lima- 2017repositorio.icte.ejercito.mil.pe/bitstream/icte/32/1... · 2018-04-26 · ciberdefensa y...

INSTITUTO CIENTÍFICO Y TECNOLÓGICO DEL EJÉRCITO

ESCUELA DE POS GRADO

“GRAL DIV EDGARDO MERCADO JARRÍN”

TESIS

CIBERDEFENSA Y SU INCIDENCIA EN LA PROTECCIÓN DE LA

INFORMACIÓN DEL EJÉRCITO DEL PERÚ. CASO: COPERE 2013 - 2014

PARA OPTAR EL GRADO ACADÉMICO DE

MAGISTER EN INGENIERÍA DE SISTEMA DE ARMAS

Presentado por:

Bach. ZÚÑIGA FIGUEROA, JESÚS ROLANDO

Lima- 2017

i

TITULO DE LA TESIS

“CIBERDEFENSA Y SU INCIDENCIA EN LA PROTECCIÓN DE LA

INFORMACIÓN DEL EJÉRCITO DEL PERÚ. CASO: COPERE 2013 – 2014”

ii

DEDICATORIA

A Dios por haberme permitido llegar hasta

este punto y haberme dado salud para

lograr mis objetivos, además de su infinita

bondad y amor.

A mis padres por ser el pilar fundamental

en todo lo que soy, en toda mi educación,

tanto académica, como de la vida, por su

incondicional apoyo perfectamente

mantenido a través del tiempo.

A mi Querida y Amada Esposa Maritza y

mi adorada hija María Fernanda por su

apoyo, cariño y tiempo que deje de estar

con ellos durante el desarrollo de esta

tesis.

A Mis queridos hermanos, Yeda, Winder y

Dayssi, por estar conmigo y apoyarme

siempre, los quiero mucho.

iii

AGRADECIMIENTOS

Agradezco a Dios por haber guiado mi

camino hasta ahora; y darme la

oportunidad de superarme

profesionalmente.

Agradezco a los señores catedráticos que

han contribuido a mi formación profesional

en el desarrollo de la maestría.

Agradezco a todas aquellas personas que,

de alguna forma, son parte de su

culminación.

iv

ÍNDICE

Páginas

TITULO I

DEDICATORIA II

AGRADECIMIENTO III

INDICE IV

RESUMEN VI

ABSTRACT VII

LISTA DE TABLAS VIII

LISTA DE CUADROS VIII

LISTA DE FIGURAS X

LISTA DE GRAFICOS XI

INTRODUCCION XIV

CAPÍTULO I: PLANTEAMIENTO DEL ESTUDIO

1.1 Descripción de la realidad problemática 1

1.2 Formulación del problema 4

1.2.1 Problema general 4

1.2.2 Problemas específicos 4

1.3 Objetivos 5

1.3.1 Objetivo general 5

1.3.2 Objetivos específicos 5

1.4 Justificación e Importancia del proyecto 6

1.5 Delimitación de la investigación 7

1.5.1 Delimitación espacial 7

1.5.2 Delimitación temporal 8

1.5.3 Delimitación social 8

1.5.4 Delimitación conceptual 8

1.6 Limitaciones 8

CAPÍTULO II: MARCO TEÓRICO

2.1 Antecedentes de la investigación 9

2.2 Bases teóricas o teoría sustantiva 15

v

2.3 Glosario de términos 77

2.4 Formulación de las Hipótesis 81

2.4.1 Hipótesis General 81

2.4.2 Hipótesis Especificas 81

2.5 Clasificación e Identificación de las Variables 82

2.6 Operacionalización de las Variables 88

CAPÍTULO III: METODOLOGÍA DE LA INVESTIGACIÓN

3.1 Tipo, Diseño y Nivel de Investigación 89

3.2 Población y Muestra 90

3.2.1 Población 90

3.2.1 Muestra 91

3.3 Técnicas e Instrumentos de recolección de datos 91

3.4 Procesamiento de datos 93

CAPÍTULO IV: ANALISIS Y PRESENTACION DE RESULTADOS

4.1 Presentación, análisis e interpretación de resultados 97

4.2 Contrastación de hipótesis 150

4.3 Discusión de resultados 182

CAPÍTULO IV: CONCLUSIONES Y RECOMENDACIONES

5.1 Conclusiones 185

5.2 Recomendaciones 201

REFERENCIA 209

ANEXOS

Anexo Nº 01: Identificación de la problemática, priorización provisional,

selección e integración del problema

220

Anexo Nº 02: Matriz de consistencia 221

Anexo Nº 03: Instrumento de recolección de datos 223

Anexo Nº 04: Confiabilidad y Viabilidad del Instrumento 232

vi

RESUMEN

En esta investigación se planteó como objetivo principal, determinar las

dificultades que impiden el mejoramiento de la Ciberdefensa que inciden en la

protección de la información del Ejército del Perú. Caso: COPERE 2013 - 2014

con el propósito de identificar las causas que la generan y tener base para

proponer el uso de nuevos conocimientos, que contribuyan a mejorar la protección

de la información; las hipótesis planteadas expresan que pueden solucionar las

deficiencias en los programas de capacitación, carencias en los recursos

disponibles para ciberdefensa, desconocimiento o aplicación inadecuada de los

procedimientos de seguridad informática e incumplimientos normativos

relacionados con ciberdefensa, que dificultan el mejoramiento de la Ciberdefensa

que inciden en la protección de la información del Ejército del Perú.

Metodológicamente, la presente investigación es de tipo Aplicada, de nivel

Explicativo. La técnica empleada para obtener los datos fueron la técnica del

análisis documental, la encuesta y la entrevista; se realizó encuestas a 48 personas

entre autoridades, Personal Militar y Civil que labora en los departamentos y

secciones de telemática del Comando de Personal del Ejercito del Perú y que tienen

la responsabilidad de administrar y controlar las diferentes infraestructuras de TI;

así mismo, incluye al Personal responsable de brindar seguridad de las redes y

sistemas de información de las instalaciones del CGE; y, se realizó entrevistas

solamente a los jefes de Departamentos y Sub Direcciones.

El procesamiento de los datos se hizo incorporando dichos datos al Excel y

al SPSS, para obtener tablas y gráficos. La forma de análisis de las apreciaciones

correspondientes a informaciones del dominio de las variables consistió en

cruzarlas para ser usadas como premisas para contrastarlas en cada una de las

hipótesis especificas planteadas.

Los resultados obtenidos fueron analizados en el nivel descriptivo con el

análisis No Paramétrico de la prueba estadística Binomial; y la asociación de

indicadores se utilizo prueba estadística No Paramétrica Chi Cuadrado a fin de

probar si existía o no asociación; en tal sentido, cada hipótesis especificas sirvió

como base para formular conclusiones. Dichas conclusiones sirvieron como

premisas para realizar las recomendaciones.

Palabras clave: Ciberdefensa - Protección de Información.

vii

ABSTRACT

In this investigation the main objective arises: determine the difficulties that

impede the improvement of the Cyberdefense that affect the protection of the

information of the Army of Peru. Case: COPERE 2013 - 2014, with the purpose of

to identify the causes that generate it and to have base to propose the use of new

knowledge that contribute to improving the protection of information; The

hypotheses put forward express that they can solve deficiencies in training

programs, shortcomings in the resources available for Cyberdefense, ignorance or

inadequate application of computer security procedures and Regulatory breaches

related to cyberdefense, that difficult the improvement of the Cyberdefense that

affect in the protection of the information of the Army of Peru

Methodologically, the present investigation is of the Applied type, of

Explanatory level. The technique used to obtain the data was the technique of

documentary analysis, the survey and the interview; 48 people were interviewed

between authorities, Military and Civil Personnel working in the departments and

telematic sections of the Personnel Command of the Army of Peru and that have

the responsibility to administer and control the different IT infrastructures; It also

includes the Personnel responsible for providing security of the networks and

information systems of the CGE facilities; And, interviews were conducted only to

the bosses of Departments and Sub-Directorates.

Data processing was done by incorporating such data into Excel and SPSS,

to obtain tables and graphs. The form of analysis of the information corresponding

to information of the domain of the variables consisted of crossing them to be used

as premises to test them in each one of the specific hypotheses proposed.

The results were analyzed at the descriptive level with the nonparametric

analysis of the Binomial statistical test; And the association of indicators was used

statistical test No Parametric Chi Square in order to test whether or not there was

association; In this sense, each specific hypothesis served as a basis for formulating

conclusions. These conclusions served as a basis for making recommendations

Keywords: Cyberdefense - Protection of information

viii

LISTA DE TABLAS, CUADROS, FIGURAS Y GRAFICOS

Tablas:

Tabla Nº 01: Estrategia Nacional de Ciberseguridad 37

Tabla Nº 02: Niveles de Formación de Profesionales de Ciberguerra 70

Tabla Nº 03: Naciones con capacidad de formar profesionales en

ciberguerra

70

Tabla Nº 04: Infraestructura Básica de Ciberdefensa 77

Cuadros:

Cuadro N° 01: Clasificación de las Variables. 82

Cuadro N° 02: Operacionalización de las variables. 88

Cuadro N° 03: Capacidades de ciberdefensa que ha sido capacitado el Personal Militar y Civil.

98

Cuadro N° 04: Nivel de Capacitación en Ciberdefensa. 100

Cuadro N° 05: Causas o Razones porque el personal no está capacitado en

capacidades de Ciberdefensa.

101

Cuadro N° 06: Conceptos que deben conocerse y aplicarse en la gestión de la

seguridad de las informaciones y que se encuentran plasmados en

la Norma Técnica Peruana NTP/ISO/IEC 17799.

102

Cuadro N° 07: Nivel de conocimiento de la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la seguridad de la información.

104

Cuadro N° 08: Razones o causas de no conocer o aplicar la Norma Técnica

Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la

gestión de la seguridad de la información.

105

Cuadro N° 09: Nivel de los programas de capacitación relacionados con la

ciberdefensa y su incidencia en la protección de la información del

Ejército del Perú.

107

Cuadro N° 10: Causas o razones que Ud. considera por qué no se da sumamente

satisfecho con los programas de capacitación en relación a la



108

Cuadro N° 11: Maneras o formas que conoce para obtener asignación

presupuestal para mejorar de la ciberdefensa en la protección de la

información del Ejército del Perú.

109

Cuadro N° 12: Nivel de asignación Presupuestal asignado al uso de Ciberdefensa

para proteger la información del Ejército del Perú.

111

Cuadro N° 13: Causas o Razones por las que Ud. considera que las autoridades

no asignan presupuestos para ciberdefensa en favor de la

protección de la información del Ejército del Perú.

112

Cuadro N° 14: Infraestructuras Estratégicas que ud. conoce y administra para la

Seguridad de las Informaciones.

113

Cuadro N° 15: Nivel de funcionalidad de las infraestructuras estratégicas para el

uso de ciberdefensa.

115

ix

Cuadro N° 16: Razones o causas que ud considera por qué no se dispone de un

nivel adecuado de funcionalidad en infraestructuras estratégicas

para su uso en ciberdefensa.

116

Cuadro N° 17: Nivel de recursos disponibles relacionados con la Ciberdefensa y su

incidencia en la protección de la información del Ejército del Perú.

117

Cuadro N° 18: Razones o Causas de No contar con suficientes recursos

disponibles relacionados con la ciberdefensa y su incidencia en la


119

Cuadro N° 19: Conceptos básicos que conoce y aplica adecuadamente para

mejorar de la ciberdefensa en la protección de la información del


120

Cuadro N° 20: Nivel de conocimiento y aplicación que tiene Ud. sobre los

Conceptos Básicos en seguridad de las informaciones.

122

Cuadro N° 21: Razones o causas de no aplicar o conocer los Conceptos Básicos

en Seguridad de las Informaciones.

123

Cuadro N° 22: Principios básicos que conoce y aplica adecuadamente para



124

Cuadro N° 23: Nivel de Conocimiento de los Principios básicos relacionados con la



126

Cuadro N° 24: Razones o causas de no aplicar o conocer los Principios

relacionados con la ciberdefensa y su incidencia en la protección de

la información del Ejército del Perú.

127

Cuadro N° 25: Nivel de conocimiento de los procedimientos de seguridad

informática relacionados con la ciberdefensa y su incidencia en la


128

Cuadro N° 26: Razones o causas de no aplicar o conocer los procedimientos de

seguridad informática relacionados con la ciberdefensa y su


129

Cuadro N° 27: Disposiciones Normativas del Plan de Desarrollo de la sociedad de

la Información en el Perú que conoce.

131

Cuadro N° 28: Grado de cumplimiento del Plan de Desarrollo de la sociedad de la

Información en el Perú. La agenda Digital 2.0.

133

Cuadro N° 29: Razones o Causas de no dar cumplimiento al Plan de Desarrollo de

la sociedad de la Información en el Perú- La agenda Digital 2.0

134

Cuadro N° 30: Disposiciones Normativas del Plan de Desarrollo Institucional

Bolognesi que conoce.

135

Cuadro N° 31: Grado de cumplimiento del Plan de Desarrollo institucional

Bolognesi.

137

Cuadro N° 32: Razones o Causas de no dar cumplimiento al cumplimiento Plan de

Desarrollo institucional Bolognesi.

138

Cuadro N° 33: Disposiciones Normativas de la DUFSITELE. 139

Cuadro N° 34: Grado de cumplimiento de la Directiva Única de Funcionamiento del

Sistema de Telemática y Estadifica del Ejercito (DUFSITELE).

141

Cuadro N° 35: Razones o Causas de no dar cumplimiento a la Directiva Única de

Funcionamiento del Sistema de Telemática y Estadifica del Ejercito

(DUFSITELE).

142

x

Cuadro N° 36: Disposiciones Normativas de la Directiva Nº 001- Lineamientos de

seguridad de la información para la Ciberdefensa en el Ejército del

Perú.

143

Cuadro N° 37: Grado de cumplimiento de la Directiva Lineamientos de seguridad

de la información para la Ciberdefensa en el Ejército del Perú.

145

Cuadro N° 38: Razones o Causas de no dar cumplimiento a la Directiva Nº 001-

Lineamientos de seguridad de la información para la Ciberdefensa

en el Ejército del Perú.

146

Cuadro N° 39: Grado de cumplimiento de los dispositivos normativos relacionados

con la ciberdefensa y su incidencia en la protección de la


148

Cuadro N° 40: Razones o causas de no dar cumplimiento dispositivo normativos



149

LISTA DE FIGURAS

Figura Nº 01 : Dominios del Ciberespacio 17

Figura Nº 02 : Relación de los cinco dominios en el Ciberespacio 19

Figura Nº 03 : El Ciberespacio, el quinto dominio de la guerra 23

Figura Nº 04 : Ciberguerra entre Naciones 24

Figura Nº 05 : Entrenamiento de Ciberguerreros 26

Figura Nº 06 : Principales aspectos de la ciberseguridad y ciberdefensa 40

Figura Nº 07 : Vista Sistémica de Ciberseguridad y Ciberdefensa 41

Figura Nº 08 : Infografía de la Protección de la Información 42

Figura Nº 09 : Organigrama del COPERE 43

Figura Nº 10 : Sistemas de Información del COPERE 44

Figura Nº 11 : Principios de la Seguridad de Información 46

Figura Nº 12 : Principios de la Ciberseguridad 47

Figura Nº 13 : Edificio de la Conciencia en Ciberseguridad 51

Figura Nº 14 : Metas, Objetivos/Capacidades y técnicas para medirla

ciberresiliencia

52

Figura Nº 15 : Principios de la Ciberdefensa 53

Figura Nº 16 : Diagrama de la estructura del Sistema de Ciberdefensa del Perú 61

Figura Nº 17 : Ejecución Presupuestal por categoría presupuestal del Ministerio de

Defensa

72

Figura Nº 18 : Presupuesto General de la República del Ecuador Asignación

Presupuestal para Ciberdefensa 2015-2016

74

Figura Nº 19 : Comando de Ciberdefensa del Ecuador. 75

Figura Nº 20 : Comandos de Ciberdefensa de Colombia 76

Figura Nº 21 : Distribución de Frecuencias de las Capacidades de Ciberdefensa 99

Figura Nº 22 : Distribución de Frecuencias de la Cantidad de conceptos de las NTP 103

Figura Nº 23 : Distribución de Frecuencias de las maneras o formas de obtener

asignación presupuestal

110

Figura Nº 24 : Distribución de Frecuencias de las Infraestructuras Estratégicas que

conoce y administra

114

xi

Figura Nº 25 : Distribución de Frecuencias de los Conceptos Básicos 121

Figura Nº 26 : Distribución de Frecuencias de los Principios Básicos 125

Figura Nº 27 : Distribución de Frecuencias de Disposiciones Normativas del Plan

de Desarrollo de la sociedad de la Información en el Perú

132

Figura Nº 28 : Distribución de Frecuencias de Disposiciones Normativas del Plan

de Desarrollo Institucional Bolognesi

136

Figura Nº 29 : Distribución de Frecuencias de Disposiciones Normativas de la

DUFSITELE

140

Figura Nº 30 : Distribución de Frecuencias de Disposiciones Normativas de la

Directiva Lineamientos de seguridad de la información para la

Ciberdefensa en el Ejército del Perú

144

LISTA DE GRAFICOS

Gráfico Nº 01 Capacidades de ciberdefensa que ha sido capacitado el Personal

Militar y Civil. 98

Gráfico N° 02: Nivel de Capacitación en Ciberdefensa. 100

Gráfico N° 03: Causas o Razones porque el personal no está capacitado en

capacidades de Ciberdefensa.

101

Gráfico N° 04: Conceptos que deben conocerse y aplicarse en la gestión de la

seguridad de las informaciones y que se encuentran plasmados en


103

Gráfico N° 05: Nivel de conocimiento de la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la seguridad de la información.

104

Gráfico N° 06: Razones o causas de no conocer o aplicar la Norma Técnica


gestión de la seguridad de la información.

106

Gráfico N° 07: Nivel de los programas de capacitación relacionados con la



107

Gráfico N° 08: Causas o razones que Ud. considera por qué no se da sumamente




108

Gráfico N° 09: Maneras o formas que conoce para obtener asignación



110

Gráfico N° 10: Nivel de asignación Presupuestal asignado al uso de Ciberdefensa

para proteger la información del Ejército del Perú.

111

Gráfico N° 11: Causas o Razones por las que Ud. considera que las autoridades

no asignan presupuestos para ciberdefensa en favor de la


112

Gráfico N° 12: Infraestructuras Estratégicas que ud. conoce y administra para la

Seguridad de las Informaciones.

114

Gráfico N° 13: Nivel de funcionalidad de las infraestructuras estratégicas para el

uso de ciberdefensa.

115

xii

Gráfico N° 14: Razones o causas que ud considera por qué no se dispone de un

nivel adecuado de funcionalidad en infraestructuras estratégicas

para su uso en ciberdefensa.

116

Gráfico N° 15: Nivel de recursos disponibles relacionados con la Ciberdefensa y su


118

Gráfico N° 16: Razones o Causas de No contar con suficientes recursos

disponibles relacionados con la ciberdefensa y su incidencia en la


119

Gráfico N° 17: Conceptos básicos que conoce y aplica adecuadamente para



120

Gráfico N° 18: Nivel de conocimiento y aplicación que tiene Ud. sobre los

Conceptos Básicos en seguridad de las informaciones.

122

Gráfico N° 19: Razones o causas de no aplicar o conocer los Conceptos Básicos

en Seguridad de las Informaciones.

123

Gráfico N° 20: Principios básicos que conoce y aplica adecuadamente para



124

Gráfico N° 21: Nivel de Conocimiento de los Principios básicos relacionados con la



126

Gráfico N° 22: Razones o causas de no aplicar o conocer los Principios



127

Gráfico N° 23: Nivel de conocimiento de los procedimientos de seguridad

informática relacionados con la ciberdefensa y su incidencia en la


128

Gráfico N° 24: Razones o causas de no aplicar o conocer los procedimientos de



130

Gráfico N° 25: Disposiciones Normativas del Plan de Desarrollo de la sociedad de

la Información en el Perú que conoce.

131

Gráfico N° 26: Grado de cumplimiento del Plan de Desarrollo de la sociedad de la

Información en el Perú. La agenda Digital 2.0.

132

Gráfico N° 27: Razones o Causas de no dar cumplimiento al Plan de Desarrollo de

la sociedad de la Información en el Perú- La agenda Digital 2.0

133

Gráfico N° 28: Disposiciones Normativas del Plan de Desarrollo Institucional

Bolognesi que conoce.

135

Gráfico N° 29: Grado de cumplimiento del Plan de Desarrollo institucional

Bolognesi.

137

Gráfico N° 30: Razones o Causas de no dar cumplimiento al cumplimiento Plan de

Desarrollo institucional Bolognesi.

138

Gráfico N° 31: Disposiciones Normativas de la DUFSITELE. 139

Gráfico N° 32: Grado de cumplimiento de la Directiva Única de Funcionamiento del

Sistema de Telemática y Estadifica del Ejercito (DUFSITELE).

141

Gráfico N° 33: Razones o Causas de no dar cumplimiento a la Directiva Única de


(DUFSITELE).

142

xiii

Gráfico N° 34: Disposiciones Normativas de la Directiva Nº 001- Lineamientos de


Perú.

144

Gráfico N° 35: Grado de cumplimiento de la Directiva Lineamientos de seguridad

de la información para la Ciberdefensa en el Ejército del Perú.

145

Gráfico N° 36: Razones o Causas de no dar cumplimiento a la Directiva Nº 001-


en el Ejército del Perú.

147

Gráfico N° 37: Grado de cumplimiento de los dispositivos normativos relacionados

con la ciberdefensa y su incidencia en la protección de la


148

Gráfico N° 38: Razones o causas de no dar cumplimiento dispositivo normativos



149

xiv

INTRODUCCION

El presente trabajo de investigación titulado “CIBERDEFENSA Y SU

INCIDENCIA EN LA PROTECCIÓN DE LA INFORMACIÓN DEL EJÉRCITO DEL

PERÚ. CASO: COPERE 2013 - 2014”, tuvo por objetivo determinar las dificultades

que impiden el mejoramiento de la Ciberdefensa que inciden en la protección de la

información del Ejército del Perú. con el propósito de identificar las causas que la

generan y tener base para proponer el uso de nuevos conocimientos, que

contribuyan a mejorar la protección de la información.

Hoy en día todo parece estar interconectado, los sistemas de defensa, de

seguridad, comerciales, energéticos, comunicaciones, transporte, bancarios, y todo

lo que afecta tanto nuestra vida diaria como la seguridad de los estados como tal.

Antes, cuando se hablaba de Ciberdefensa se enmarcaba en el contexto de las

“Políticas sin importancia”, ya que no se consideraba como algo vital para la

seguridad y la supervivencia del Estado, se trataba como un tema económico o

social que no afectaba al bienestar del Estado. (Sánchez Medero, 2013)

Son miles las amenazas que tienen efectos devastadores, y que generan

Indisponibilidad, falta de confidencialidad, Perdida de integridad y falta de confianza

en las transacciones electrónicas con terceros; Afrontar estas situaciones,

controlando la inseguridad de nuestros sistemas de información dentro de límites

aceptables solo es posible mediante la integración de medidas organizativas y

técnicas en el marco del desarrollo de una cultura de la Seguridad.

En tal sentido, consideró que es oportuno e importante el desarrollo de la

presente tesis, ante las crecientes dificultades que enfrentan las autoridades y

Personal Militar de los diferentes Departamentos y Secciones de telemática del

Comando de Personal del Ejército del Perú, ya que en nuestros días la

Ciberdefensa es un elemento crucial y vital para las sociedades más avanzadas, y

ha comenzado a verse como algo vital para la supervivencia del Estado tanto a

nivel nacional como a nivel internacional.

xv

El presente informe de tesis consta de los siguientes capítulos:

El capítulo I: Planteamiento del estudio. Contiene la descripción y formulación

del problema; los objetivos de la investigación; la justificación; la delimitación y

limitaciones.

El capítulo II: Marco Teórico, Se desarrolló los antecedentes de la investigación;

las bases teóricas de las variables en estudio, glosario de términos, la formulación

de hipótesis, identificación y la operacionalización de variables.

El capítulo III: Metodología de la investigación. Se desarrolló el tipo de

investigación; el diseño y nivel de investigación; población y muestra, los

instrumentos de recolección de datos y procesamiento de los datos.

El capítulo IV: Análisis y Presentación de Resultados. Contiene la presentación,

análisis e interpretación de resultados; contrastación de hipótesis y discusión de los

resultados.

El capítulo V: Conclusiones y Recomendaciones: se indica los dominios en

que se expresan las variables Ciberdefensa que incide en la protección de la

información del Comando de Personal del Ejército, según la percepción y

conocimientos de los entrevistados; en las recomendaciones, éstas se plantean

como producto del estudio realizado.

Finalmente, las referencias bibliográficas, los anexos, se presenta los instrumentos

utilizados en el presente estudio de investigación que tuvo viabilidad positiva para

su aplicación.

1

CAPÍTULO I: PLANTEAMIENTO DEL ESTUDIO

1.1. Descripción de la realidad problemática.

La información es el principal activo de toda organización según los más

modernos paradigmas de la administración empresarial, pudiendo hacer su

aparición de muchas formas: impresa o escrita en papel, almacenada

electrónicamente, transmitida por correo, ilustrada en películas o hablada en

conversaciones. En el ambiente de negocios competitivo de hoy, esa

información está constantemente bajo la amenaza de muchas fuentes, que

pueden ser internas, externas, accidentales o maliciosas para con la

organización. Con el incremento del uso de nueva tecnología para almacenar,

transmitir y recobrar información mayor dependencia se tiene de los sistemas

de información y de las comunicaciones , por tanto se han abierto canales

para un mayor número y variedad de amenazas (intrusión, manipulación,

sabotaje o interrupción, etc.), es en ese sentido que las instituciones se

preocupan por proteger la seguridad de su información para que solo sean

accesibles por partes autorizadas, dejando fuera a toda persona no

autorizada, siendo esto un reto para la Ciberdefensa de la información de hoy

en día, Capacitando personal, diseñando métodos, afinando procedimientos,

creando herramientas criptográficas, etc. que nos ayuden a mitigar el

problema de inseguridad en el hurto de la información, siendo este un reto

muy grande debido que en la actualidad los conflictos cibernéticos que se dan

en el ciberespacio no tienen fronteras ni limites, es en ese sentido, que en un

ataque cibernético no es necesario desplazarse, moverse o tener que pasar

una frontera.

1.1.1. Situación y contexto de la problemática actual

La necesidad de incrementar la seguridad de la información de las

operaciones críticas ha crecido marcadamente en los últimos años, como resultado

del aumento del uso de las tecnologías de la información, es en ese sentido que el

Comando de Personal del Ejército del Perú no es ajeno a esta situación; sin

embargo, debido a diversos factores que se presentan, esta dependencia está

expuesta a posibles ataques cibernéticos por elementos internos o externos que

desean obtener la información vulnerando las medidas de seguridad que se

disponen actualmente, Bajo este enfoque de aplicabilidad se ha evidenciado una

serie de problemáticas existentes como (Anexo N° 1):

2

La ausencia de una legislación destinada a aplicar herramientas de

“Informática Forense ”, pese que en el código penal de nuestro país existen más de

40 artículos sobre “Ciberdelitos”, y aquellos cometidos a través de medios

informáticos, el problema es la falta de desarrollo de capacidades en los jueces y

fiscales para que los usen, es decir no tienen los conocimientos necesarios para

disponer que se apliquen herramientas que “Informática Forense”, a fin de ejecutar

procedimientos que identifican, aseguran y presentan pruebas generadas y

guardadas electrónicamente en diferentes medios de almacenamiento.

La tecnología ha facilitado a las personas, el mal hábito de provocar ataques

informáticos a diversas redes informáticas, por lo que las instituciones deben

contar con personal altamente capacitado es decir profesionales informáticos que

puedan combatir esta clase de transgresiones de manera puntual y objetiva, es por

esta razón se ha identificado deficiencias en los programas de capacitación para

el Personal Militar y Civil responsable de administrar e implementar las medidas de

ciberdefensa en las infraestructuras de TI.

Otro factor que se ha podido identificar, es la vulnerabilidad del diseño de la

red perimetral de seguridad, esto originado posiblemente por la falta de un personal

experto en administración de redes, para que este se encargue de diseñar e

implementar la red perimetral de manera segura, para proteger los servidores de

datos de posibles ataques informáticos, actualmente la red de datos crece

desordenadamente sin una planificación, a esto se suma que el personal instala en

la red de datos equipos sin autorización, lo cual trae como consecuencia brechas

de seguridad que sería muy difíciles de detectar y encontrar.

En la culminación de todo proyecto de sistemas o de redes la parte más

importante en la entrega de los documentos de análisis, manuales técnicos, diseños

de red, etc., es en ese sentido que se ha identificado la falta de documentación

técnica de los sistemas de información, esto debido a que ningún sistema de

información del COPERE cuenta con documentación técnica; lo cual trae como

consecuencia que cualquier cambio en los sistemas de información no se pueda

implantar con facilidad, creando una dependencia técnica del proveedor que brindo

el servicio.

3

Las organizaciones de primer nivel dan a la seguridad de las informaciones

una alta prioridad, y por tanto asignan y ponen a disposición de las áreas

especializas los recursos disponibles necesarios para su buen funcionamiento, es

en ese sentido uno de las principales métodos de protección de la información es

la creación y control de políticas de seguridad, el uso de equipos de seguridad,

herramientas de informática forense y programas informáticos y criptográficos,

personal capacitado e infraestructuras físicas, que brinden seguridad de la

información, al momento de transmitirla o almacenarla manteniendo siempre los

principios de la seguridad (confiabilidad, integridad y disponibilidad) en tal sentido

se ha identificado carencias de Recursos Disponibles para ciberdefensa.

Al momento de modelar y diseñar un sistema de información, el analista de

sistemas tiene que tener bien en claro los requerimientos reales que el sistema

quiere que realice; sin embardo, en los diferentes sistema de información que

cuenta el COPERE se ha podido determinar que existen desconocimiento en los

requisitos funcionales y no funcionales de los sistemas de Información, esto se da

por un mal levantamiento de información al momento que las dependencias

usuarios brindan sus requisitos para el diseño del sistema, mayormente se da este

tipo de problemas debido a que el personal que se nombra para brindar la

información no es la persona responsable o el indicado, por tanto los requisitos

funcionales y no funcionales que brinda son muy generales o no están bien

definidos, ocasionando que se realicen continuas correcciones trayendo consigo

retraso en la culminación del proyecto.

Desconocimiento de los Procedimientos de Seguridad Informática o la

aplicación incorrecta de los planteamientos teóricos relacionados con el

ciberespacio, ciberguerra, ciberdefensa, ciberseguridad, seguridad de las

informaciones y los ISO 17799 y 27001 por parte del personal responsable de

implantar dichos mecanismos de seguridad; Asimismo, una causa preponderante

del desconocimiento o aplicación incorrecta es que dicho personal no cuenta con

experiencias profesional en este campo, y por tanto todo su conocimiento está

basado en su experiencia que va ganando día a día en el desempeño de sus

funciones.

4

Todas las actividades que se realizan en materia de seguridad de las

informaciones obedecen al cumplimiento de disposiciones, normas o directivas; sin

embargo, se ha podido evidenciar una serie de incumplimientos de disposiciones

normativas sobre ciberdefensa por parte del Comando del Ejército, Personal de

usuarios de la red, Personal responsable de implantar las medidas de seguridad,

esto posiblemente por falta de partidas presupuestales para programar cursos en

ciberdefensa o adquirir equipamiento de seguridad necesario y de los usuarios por

no tomar un verdadera conciencias de seguridad o simplemente porque

desconoces de dichas disposiciones por el poco interés en tomar conocimiento o

peor aún deben incumplir las normas, para poder desarrollar en forma eficiente la

misión encomendada.

El Perú uno de los países que poco ha legislado en temas de seguridad de

la información y seguridad informática y, sobre todo, en planeamiento de

ciberdefensa y ciberseguridad. Actualmente existen artículos como el 207 A, B y

C del Código Penal, el proyecto de ley de ciber delitos, la Ley de Protección de

Datos Personales, pero no existen lineamientos de ciberdefensa; es en ese

sentido, que se observa la falta de una Legislación en temas de ciberdefensa.

1.2. Formulación del problema

1.2.1. Definición del Problema General

¿Cuáles son las dificultades que impiden el mejoramiento de la

Ciberdefensa y su incidencia en la protección de la información del Ejército

del Perú?

1.2.2. Problemas específicos

¿Cuáles son las causas o razones por las cuales se presentan deficiencias

en los programas de capacitación para Personal Militar y Civil que

Administran las infraestructuras de TI?

¿Cuáles son las causas o razones por las cuales se presenta carencias de

recursos disponibles para Ciberdefensa?

¿Cuáles son las causas o razones por las cuales se desconoce o no se

aplica de manera adecuada los procedimientos de seguridad informática?

¿Cuáles son las causas o razones por las cuales se incumple las

disposiciones normativas relacionadas con Ciberdefensa?

5

1.3. Objetivos de la Investigación

1.3.1. Objetivo General

Determinar las dificultades que impiden el mejoramiento de la

Ciberdefensa y su incidencia en la protección de la información del Ejército

del Perú, con el propósito de identificar las causas que la generan y tener

base para proponer el uso de nuevos conocimientos, que contribuyan a

solucionar o mejorar la protección de la información del Ejército del Perú.

1.3.2. Objetivos específicos

Para alcanzar el Objetivo General antes enunciado es necesario

lograr los siguientes Objetivos Específicos:

a) Primer Objetivo Especifico

Identificar las causas o razones por las cuales se presenta deficiencias

en los programas de capacitación para el Personal Militar y Civil que

Administran las infraestructuras de TI; con el propósito de contar con

un adecuado nivel de capacidades en Ciberdefensa y un nivel de

conocimiento adecuado de los lineamientos que se disponen en la

Norma Técnica Peruana NTP-ISO/IEC 17799; los cuales contribuirán a

solucionar o mejorar la protección de la información en el Ejército del

Perú.

b) Segundo Objetivo Específico

Identificar las causas o razones por las cuales se observa carencia de

recursos disponibles para Ciberdefensa; con el propósito de contar con

un adecuado nivel de Asignación presupuestal y con un adecuado nivel

de funcionalidad de las Estructuras Estratégicas; los cuales

contribuirán a solucionar o mejorar la protección de la información en

el Ejército del Perú.

c) Tercer Objetivo Específico

Identificar las causas o razones por las cuales se observa

desconocimiento o aplicación inadecuada de los procedimientos de

seguridad informática; con el propósito de tener un adecuado nivel de

conocimiento de los Conceptos y Principios básicos relacionados con

Ciberdefensa; los cuales contribuirán a solucionar o mejorar la

protección de la información en el Ejército del Perú.

6

d) Cuarto Objetivo Específico

Identificar las causas o razones por las cuales se presenta

incumplimiento de las disposiciones normativas relacionadas a

ciberdefensa; con el propósito de tener un adecuado grado de

cumplimiento del Plan de Desarrollo de la Sociedad de la Información

en el Perú. La Agenda Digital 2.0, el Plan de desarrollo Institucional

“Bolognesi”, Directiva Única para el Funcionamiento del Sistema de

Telemática y Estadística del Ejército (DUFSITELE) y la Directiva Nº

001 sobre los Lineamientos de seguridad de la información para la

Ciberdefensa en el Ejército del Perú); los cuales contribuirán a

solucionar o mejorar la protección de la información en el Ejército del

Perú.

1.4. Justificación e Importancia del proyecto

1.4.1. Justificación

a) Desde el punto de vista social:

Debido a la aparición de nuevas plataformas tecnológicas disponibles, la

posibilidad de interconectarse a través de redes, se ha abierto nuevas

amenazas de vulnerabilidad en las organizaciones, con riesgos e

inseguridad; así como, fraudes informáticos, espionaje, sabotaje, virus

informático, ataques de intrusión o negación de servicio, es en ese

sentido que mediante la mejora de la Ciberdefensa en las organizaciones

se podrá hacer frente a estas amenazas internas (Insider) o externas

(Hackers) que atenten contra la seguridad de la informaciones,

mitigando de esta manera la inseguridad que los usuarios sienten al

momento de almacenar o transmitir información.

b) Desde el punto de vista institucional

Es responsabilidad de las Instituciones Militares disponer de los

lineamentos dispensables para garantizar la Ciberdefensa, la cual afirme

la obtención, procesamiento, almacenamiento y difusión de la

información segura a través del sistema de comunicaciones y

contribuyan a su empleo eficaz y eficiente en el cumplimiento de los

objetivos estratégicos institucionales, es en ese sentido que la institución

se verá beneficiada con el presente estudio en cual permitirá

diagnosticar claramente el problema y conocer su magnitud, influencia y

proyección.

7

c) Desde el punto de vista teórico:

La investigación propuesta mediante la aplicación de conceptos y teorías

de información dentro del ámbito de seguridad de la información como

son la ciberdefensa, ciberseguridad, análisis y gestión de riesgos y

cultura de seguridad, busca encontrar explicaciones para contribuir con

calidad y eficacia en los servicios críticos de las instituciones; Por ello se

hace necesario desarrollar un marco teórico y conceptual revisando el

material bibliográfico existente, contrastando las diversas corriente y

posiciones, y a partir de ella comprobar su validez en los departamentos

y/o secciones de telemática del COPERE, donde se tuvo participación.

Tal es así, “…que para lograr un nivel adecuado de protección de

información en las organizaciones, identificar sus principales

amenazas es un necesidad urgente” (Whitman, 2003, p.92)

1.4.2. Importancia de la investigación

La importancia de la ciberdefensa y su incidencia en la protección de la

información del Ejército del Perú. caso: COPERE 2013 – 2014, implica la

buena gestión de la seguridad de las informaciones para proteger los

sistemas de información e información que se maneja; así mismo, se

espera que los aportes que se brinden, trasciendan la parte académica y

ayude a mejorar la ciberseguridad en cuanto a confidencialidad, integridad

y disponibilidad de la información, sirviendo estos de base a futuros trabajos

de investigación en nuestra institución militar, que busquen determinar los

niveles de ciberseguridad más apropiados para mejorar la seguridad de las

informaciones.

1.5. Delimitación de la investigación

1.5.1. Delimitación Espacial

El trabajo de investigación y estudio se realizará en el COPERE, ubicado

en el Cuartel General del Ejército del Perú, San Borja Sur S/N.

8

1.5.2. Delimitación Temporal

El presente trabajo de investigación y estudio abarcará el periodo de

tiempo comprendido entre los años 2013 y 2014. La mencionada

delimitación temporal obedece a que podremos contar con datos e

información reciente y de esta manera poder auscultar de manera más

precisa el tema en investigación y por ende llegar a conclusiones más

precisas que permitan elaborar recomendaciones idóneas que permitan

lograr los objetivos propuestos por nuestro trabajo de investigación.

1.5.3. Delimitación Social

El grupo social objeto de estudio es el Personal Militar y Civil del COPERE,

responsables de administrar la red de datos y sistemas de información, así

como, aquellos que manejan información reservada o confidencial, en

cumplimiento de sus funciones.

1.5.4. Delimitación Conceptual

Para los efectos de la presente investigación y estudio, se conceptualizó

principalmente las variables, cuyos contenidos conceptuales pertinentes,

son los más actualizados y de reconocidos autores, a efectos que sirvan

para proponer el mejoramiento de la ciberdefensa en el Ejército de tal forma

que contribuya a la protección de la información.

1.6. Limitaciones

Como en toda investigación presenta limitaciones en su desarrollo, sin

embargo, estas no influirán en forma significativa en los resultados de la

investigación, entre ellos podemos mencionar las siguientes:

- La recopilación de información sobre el tema por las características propias.

- Escasa producción investigativa que no contribuye a la obtención de mayor

información.

- La poca difusión de los resultados de las investigaciones en el campo de

seguridad de las informaciones.

- Algunas dificultades en la recolección de información acerca de las

variables de estudio y documentación en general.

9

CAPÍTULO II: MARCO TEÓRICO

2.1. Antecedentes de la investigación

2.1.1. Trabajos Internacionales

Villalba D. (2015). “La ciberseguridad en España 2011 – 2015. Una

propuesta de modelo de organización”. Para obtener el grado académico

de Doctor. Universidad Nacional de Educación a Distancia, España. Entre

las principales conclusiones plantea:

1. Que las estrategias nacionales de seguridad se han convertido en un

modelo del que se desprende la planificación de la seguridad nacional;

que la integración de los intereses nacionales es total, destacando la

capacidad económica como referente transversal de la seguridad; que

se ha establecido un modelo organizativo similar basado en un consejo

de seguridad nacional; y que las estrategias nacionales de seguridad se

desarrollan mediante estrategias sectoriales, como es el caso de las

estrategias nacionales de ciberseguridad.

2. Se ha obtenido una visión de la situación de la ciberseguridad en cada

uno de los países de la UE, debido a que en el presente trabajo de

investigación se estudiaron en profundidad las estrategias de

ciberseguridad de Estados Unidos, China y Rusia, países que ya se

habían estudiado como referencias en el planeamiento estratégico de la

seguridad nacional, así como los modelos institucionales y organizativos

que han constituido en el ámbito de la ciberseguridad.

3. Se logró realizar una propuesta de modelo de organización nacional de

la ciberseguridad, teniendo en cuenta que las investigaciones sobre

modelos organizativos suelen estar basadas en modelos empíricos de

investigación, es en ese sentido que en el nivel político estratégico se

propone mantener el Consejo Nacional de Ciberseguridad con su

composición y misión de planeamiento político estratégico, pero

10

incorporando a este CNCS una capacidad ejecutiva para realizar el

seguimiento de la implementación del Plan Nacional de Ciberseguridad

y de sus Planes Derivados.

4. Por último, tras valorarse positivamente el diseño del nivel táctico y

técnico de la ciberseguridad en España, se propone que el CERT

Gubernamental Nacional actual (CCN-CERT) realice funciones de

coordinación nacional en el ámbito de la prevención y respuesta a

ciberataques, para los tres niveles de las administraciones públicas y

para empresas de carácter estratégico, y que se constituya además en

centro de referencia para el sector privado.

Vargas E. (2014). “Ciberseguridad y Ciberdefensa: ¿qué implicaciones

tienen para la seguridad nacional?” Para obtener el título de Especialista

en Alta Gerencia de la Defensa Nacional. Universidad Militar de Nueva

Granada, Bogotá. Entre las principales conclusiones plantea:

1. Teniendo en cuenta la vulnerabilidad que presenta el ciberespacio, aún

hace falta mayor cooperación internacional para construir una verdadera

administración de este dominio, dado que a pesar que las potencias

mundiales son fuertes bélicamente y poseen ejércitos a la vanguardia en

armamento cinético, las asimetrías de poder se hacen menos notorias

en el mundo cibernético. Con lo cual se hacen igual de vulnerables que

si no tuvieran armamento avanzado, añadiendo a esto que el siguiente

movimiento de un adversario la red es impredecible. Nunca se va a

conocer en donde será el siguiente ataque. Los bloques económicos y

comunidades regionales han realizado esfuerzos por controlar y regular

en su medida la red; sin embargo, se deben propender por adaptar

medidas más eficaces para mitigar al máximo un ciberataque.

2. Al atacar infraestructuras críticas no solo se pone a prueba el mando

militar u organizaciones estatales, las instituciones de carácter privado

también son afectadas, tales como banco, proveedores de servicios

públicos y transportes. Esto quiere decir, que la seguridad y defensa del

11

ciberespacio tiene implicaciones civiles y económicas y esto lo convierte

en un objetivo estratégico de la seguridad nacional, por lo tanto, los

hombres y mujeres que ostentan tal responsabilidad deben estar

intelectualmente preparados para asumir el compromiso de la defensa

de un país en el teatro de operaciones del ciberespacio.

3. A medida que se crean distintos modos de conectividad en la red, deben

crearse los correspondientes mecanismos de protección para evitar que

los dispositivos sean infectados con diversos virus, o aplicaciones y

programas que puedan hacer de un teléfono inteligente, Tablet o

cualquier otro equipo en atacante de otra red. Muchas veces se pensó

que la guerra en el ciberespacio era la guerra del futuro. Valdría la pena

reevaluar esa afirmación y pensar si el mundo está viviendo la guerra

cibernética en este preciso instante.

Guamán J. (2015). “Diseño de un sistema de gestión de seguridad de

la información para Instituciones Militares” Para el grado académico de

Maestro en Gestión de la Comunicaciones y Tecnologías de la Información.

Escuela Politécnica Nacional, Ecuador. Entre las principales conclusiones

plantea:

1. Las instituciones Militares, actualmente no disponen de una Sistema de

Gestión de Seguridad de la Información para resguardar los activos de

información que posee la institución, lo que dificulta mantener la

información de acuerdo a las normas de la ISO 27001:2015.

2. Se determinó la factibilidad operativa, técnica y económica para

establecer el Diseño de un sistemas de Gestión de Seguridad de la

Información para las instituciones Militares, lo que permitió verificar que

cumplan con las características acordes a las instituciones militares y

determinar que el proyecto sea puesto en marcha aprovechando todos

los beneficios para la institución logrando que los usuarios estén en

compromiso de seguridad y el reconocimientos de las responsabilidades

de seguridad de información.

12

3. Se realizó el estableciendo del Diseño de un sistema de gestión de

seguridad de las informaciones para las instituciones militares; así como

la identificación de riesgos, amenazas y vulnerabilidades; el cálculo del

riesgo, amenazas y vulnerabilidades; tratamiento de riesgos; y, revisión

de los riesgos y reevaluación de los activos de la información de la

Dirección de Tecnologías de Información y Comunicaciones, lo que

permitió aplicar para el diseño de SGSI la cláusula 4.2.1 de la misma

norma ISO 27001:2005 literales a) a la j).

2.1.2. Trabajos Nacionales

Parra R. (2016). “Proyecto Legal para un Esquema Nacional de

Ciberseguridad”, Para obtener el título profesional de Licenciado en

Derecho. Universidad de San Martin de Porres, Perú. Entre las principales

conclusiones plantea:

1. Hemos encontrado evidencia de la actividad delictiva en las experiencias

de países vecinos, con lo cual se hace necesario prestar atención a la

materia Cibernética e Informática, debido a que la falta proyección en

esta materia podría ocasionar que los Estados sean víctima de cada vez

mayores y peores incidentes, los cuales pueden ser evitados a través de

un trabajo previo y coordinado, adecuando la tecnología a la nueva

realidad en la que el ciberespacio forma parte de la vida cotidiana tanto

del Estado como de los ciudadanos.

2. Una de las mejores medidas para generar conciencia sobre

Ciberseguridad es el compartir las experiencias relacionadas a

ciberataques con la población, siempre y cuando no se expongan las

vulnerabilidades de las entidades o Estados afectados, el límite será

siempre establecido al ponderar el derecho de informarnos con la

seguridad nacional.

13

3. La cibersoberania tendría su campo de acción en la protección de

información sensible del estado, pudiendo tener como fuente a

infraestructuras críticas o ataques masivos a páginas de servicios

públicos que busquen inhabilitarlas. Mientras más conectados a la red

nos encontremos, vamos a tener mayor y mejores posibilidades de

acceso, vamos a poder enviar y recibir información, realizar operación

de manera más rápida y sencilla, pero nos encontraremos más

vulnerables frente a hackers o posibles atacantes que busquen filtrarse

en nuestros sistemas.

Rayme R. (2007). “Gestión de la Seguridad de la Información y los

servicios críticos de las universidades” Para obtener el grado

académico de Maestro Administración con mención en Gestión

Empresarial. Universidad Mayor de San Marcos, Perú. Entre las principales

conclusiones plantea:

1. La seguridad de la información ha sido siempre considerada como un

problema de ingeniería, donde la responsabilidad debe recaer en el

personal de Tecnología de Información y Comunicaciones, de tal forma

que las organizaciones han tratado de resolverlo utilizando tecnología

como controles de acceso, pero este enfoque es incorrecto porque la

gestión de la seguridad de la información requiere la participación de

todos los empleados de una organización. Los resultados de la

investigación demuestran que la estrategia de desarrollar políticas de

seguridad de la información es de prioridad en las Universidades:

UNMSM 37%, UNFV 19% y UPSJB 24%.

2. Las autoridades no consideran a la seguridad como una prioridad

alineada con la estrategia universitaria. Ello se refleja en las encuestas

realizadas al personal de TIC donde se les formuló la pregunta si habían

asistido a eventos o programas de capacitación de seguridad de la

información, la cual reportó que la mayoría nunca asistió a programas de

capacitación: UNMSM 20%, UNFV 100% y UPSJB 70%. De tal manera

que la estrategia de capacitación es de mucho interés por el personal:

UNMSM el 60%, UNFV el 70% y UPSJB el 70%.

14

3. Los resultados de la investigación con respecto a los riesgos de la

información en las Universidades como son: la divulgación ilícita de la

información por los trabajadores (UNFV 36%), no realizar copias de

seguridad (UPSJB 28%), virus informáticos (UNMSM 56%), corroboran

con lo que está pasando a nivel mundial, donde el 70% de los robos o

accidentes que se producen en los sistemas informáticos de las

organizaciones los causan los propios trabajadores, muchas veces son

resultados de errores, descuidos en sus conocimientos sobre la

seguridad de la organización o actos delictivos propiamente dichos.

Condori H. (2012) “Un Modelo de Evaluación de Factores Críticos de

Éxito en la Implementación de la Seguridad en Sistemas de

Información para determinar su influencia en la intención del usuario”,

Para obtener el grado académico de Maestro en Ciencias en Ingeniería de

Sistemas y Computación con mención en Gestión de Tecnologías de la

Información. Universidad Inca Garcilaso de la Vega, Perú. Entre las

principales conclusiones plantea:

1. Se desarrolló el Modelo de Evaluación de Factores Críticos de Éxito en

la Implementación de Seguridad de Sistemas de Información para

determinar su influencia en la intención del usuario, con nueve factores

y tres dimensiones, adecuadamente sustentadas, tomando como base

la teoría del comportamiento planificado (TPB).

2. Se validó el modelo mediante un caso de estudio que fue la Universidad

Nacional del Altiplano Puno, en base a la estadística multivalente, para

medir la confiabilidad de cada ítem, la validez de los constructores,

confiabilidad compuesta, la validez discriminante y demostrar si la

intención para implementar seguridad de información está influenciado

en el nivel macro por factores específicos; siguiendo los pasos de la guía

de implementación; donde el modelo mostró una varianza explicada en

constructor principal de 60.8%, en base a 128 observaciones válidas

correspondientes a los usuarios del Sistemas Integral Administrativo de

la UNA-Puno y un nivel de confiabilidad del 0.943, respecto a los factores

de modelo.

15

3. Dentro de todo el modelo, los factores más importantes por el grado de

influencia en la Actitud para implementar Seguridad en Sistemas de

Información son:

• En un primer lugar los Recursos y Presupuesto, donde el grado de

influencia es -0.558, de acuerdo a su path, que afecta negativamente;

ello en razón a que como ocurre en la mayoría de instituciones

públicas, como en el caso de UNA-Puno, la falta de presupuesto es

un factor determinante.

• La Cultura Organizacional donde el grado de influencia es 0.439, de

acuerdo a su path, que revela la existencia de normas y valores que

influyen positivamente en la situación estudiada.

• La Conciencia de la necesidad de seguridad por el personal con un

grado de 0.431 path, que revela el grado de conciencia que tiene del

personal de la UNA-Puno respecto a la necesidad de implementar

seguridad en los sistemas de información.

2.2. Bases teóricas o teoría sustantiva

2.2.1. Planteamientos Teóricos.

El estudio seleccionado estará enmarcado dentro de un marco referencial

teórico basado fundamentalmente en la Ciberdefensa y su incidencia en la

protección de la información del Ejército del Perú, la cual está orientada y se

sustenta con conceptos básicos y principios básicos.

2.2.1.1. Conceptos Básicos.

Se ha considerado necesario precisar conceptos básicos significativos

como parte del Marco Referencial, que va a servir como patrón comparativo a

manera de modelo, para analizar la situación encontrada en la realidad actual

del estudio (Resultados). Todos los conceptos básicos obtenidos al interior del

16

marco teórico se han obtenido de fuentes o autores que gozan de reconocimiento

y vigencia en el campo de la seguridad de las Informaciones, todas tienen citas

a pie de página; y, los precisamos porque nos permite entender, con mayor

propiedad la temática de la investigación entre los más representativos son los

siguientes conceptos:

Conceptualización

1. Ciberespacio

Al hablar del ciberespacio, resultan una serie de definiciones y conclusiones

dependiendo del punto de vista y del área el que se encuentre y el estado de

la tecnología. La Real Academia Española define al ciberespacio como:

“ámbito artificial creado por medios informáticos”. Otros autores como

Clarke & Knake (2011), nos dicen que: “El ciberespacio lo conforman todas

las redes informáticas del mundo y todo lo que ellas conectan y controlan.”

(p. 104). Otra posible definición es:

Un dominio global dentro del entorno de la información cuyo carácter

único y distintivo viene dado por el uso de la electrónica y el espectro

electromagnético para crear, almacenar, modificar, intercambiar y explotar

información a través de redes interdependientes e interconectadas utilizando

las tecnologías de información y comunicaciones (Kuehl, 2009, p.29).

Conceptos:

1. Ciberespacio.

2. Ciberguerra.

3. Ciberguerreros.

4. Ciberdefensa.

5. Ciberseguridad.

6. Protección de la información.

7. Comando de Personal del Ejército del Perú.

17

Según Gómez A. (2014). el ciberespacio es:” Un espacio artificial

creado por el hombre, compuesto por ceros y unos (código binario), que

permite transportar información de manera instantánea, por medio de las

redes alámbricas o inalámbricas entre computadores interconectados en

forma directa o indirecta a nivel global” (p.32).

Para Feliu L. (2013.). el ciberespacio es:

El espacio artificial creado por el conjunto de infraestructuras de los

sistemas de comunicaciones e informáticos, es decir de redes de

ordenadores y de telecomunicaciones interconectados directa o

indirectamente a nivel mundial, es mucho más que internet, más que

los mismos sistemas y equipos, hardware y software e incluso más

que los propios usuarios, es un nuevo espacio, con sus propias leyes

físicas que, a diferencia de los demás espacios, ha sido creado por el

hombre para su servicio. (p.4)

Figura Nº 01 – “Dominios del Ciberespacio”

Fuente: Propia del autor.

Es en ese sentido (Caro ,2011, citado por Vargas E, 2014, p.3).

vislumbra que a través del ciberespacio se realizan la mayoría de actividades

normales de un ser humano, y que un ataque cibernético podría cambiar

sustancialmente el estilo de vida de los pobladores de un país en caso de

ser atacados los proveedores de servicios públicos, los clientes de un banco,

y en casos de mayor envergadura, poner en jaque la seguridad de un Estado.

Internet sería entonces el canal de comunicación en el ciberespacio. Surge

18

entonces la pregunta ¿Qué tan dependientes son las personas del

ciberespacio hoy en día? La dependencia al ciberespacio ha sido orquestada

a partir de la tecnificación de los Sistemas de Información y Comunicaciones

(TIC), una vez la información se digitaliza, los niveles de vulnerabilidad en la

red se hacen mayores, quedando a merced de quien tenga la capacidad de

ingresar en los sistemas internos y adquirir la información que desee. Como

se sabe quien posee la información posee el poder. El ciudadano de a pie,

puede brindar su información en el momento en que realiza una transferencia

bancaria a través de internet, o solicitar documentos importantes a través de

la red, obviamente las empresas y toda entidad que maneje información

digitalizada debería tener ciertos protocolos para la seguridad de la

información de sus clientes y usuarios en general.

Otra opinión de otro autor como Llongueras, A. (2013) el cual realiza

un análisis sobre lo que el ciberespacio representa para la seguridad

nacional de un Estado:

“El ciberespacio es un elemento de poder dentro la seguridad

nacional, es a través de este nuevo y artificial dominio que se ejerce

una innovadora influencia estratégica en el siglo XXI; en este mundo

virtual hasta los actores más modestos pueden ser una amenaza para

las grandes potencias forjándose y desarrollándose el concepto de las

operaciones militares centradas en redes. (p.19)

Características de los dominios del ciberespacio

• El ciberespacio tiene características que difieren significativamente de

los dominios tierra, aire, mar y el espacio. Los cambios en el ciberespacio

son a menudo impulsados por la investigación y el desarrollo de la

industria privada, haciendo que el dominio sea dinámico y

continuamente evolucionando a medida que las capacidades de

tecnología de la información continúan expandiéndose y evolucionando.

19

• Porque el ciberespacio es hecho por el hombre, es sólo a través de la

atención y el mantenimiento continuo que persiste el ciberespacio.

• El ciberespacio refuerza el hecho de que un marco operacional no se

limita a un lugar físico. Los campos de batalla tradicionales estaban

confinados al espacio físico. Mientras que las repercusiones pueden

crear efectos sociales y políticos en todo el mundo, el impacto físico real

es Limitado al campo de batalla físico. La inclusión del ciberespacio se

expande y complica el marco operativo, transformando un campo de

batalla físico limitado en un campo de batalla global. Por ejemplo, un

virus informático ejecutado en el ciberespacio puede atacar su objetivo

previsto y también indiscriminadamente sistemas en varios países

alrededor del mundo.

• El ciberespacio es un entorno creado y mantenido con el propósito de

facilitar el uso y explotación de la información, la interacción humana y

la intercomunicación.

Figura Nº 02 – “Relación de los cinco dominios en el Ciberespacio”

Fuente: USA Army- FM 3-38. “Cyber Electromagnetic Activities”, p. 1-4.

20

Operaciones en el Ciberespacio

Según la opinión de Cortez (2014, p.14), las operaciones en el ciberespacio

son las siguientes:

• Operaciones Ofensivas en el Ciberespacio (OCO): Son operaciones

en el ciberespacio diseñadas para proyectar potencia mediante la

aplicación de fuerza en el ciberespacio. Se conducen en todo el rango

de operaciones militares teniendo como objetivo al enemigo, hostilizando

la actividad adversaria y sus capacidades relacionadas con el

ciberespacio. Existen dos tipos principales de Operaciones Ofensivas en

el Ciberespacio:

➢ Ataque al ciberespacio: Consiste en acciones que crean variados

efectos directos de denegación en el ciberespacio (por ejemplo,

degradación, interrupción o destrucción) o de manipulación del

mismo. Para el Ejército, los ataques al ciberespacio son un tipo de

operaciones que se llevan a cabo principalmente fuera de la red de

mando y control, aunque se coordinan y se eliminan conflictos dentro

de la red de datos.

Usando partes específicas del ciberespacio y el Espectro

Electromagnético como camino principal o avenidas de

aproximación, los ataques al ciberespacio pueden emplear

capacidades tales como código informático a medida, dentro y a

través de los distintos nodos de red, tales como servidores, switches,

firewalls, sensores, protocolos, sistemas operativos y hardware

asociado con procesadores u ordenadores.

Los ataques al ciberespacio se emplean para apoyar las

operaciones de maniobra creando efectos complementarios y

simultáneos. Pueden emplear la manipulación, que incluye

decepción, decodificación, condicionamiento y suplantación de

identidad, para controlar o cambiar información, sistemas de

información y redes.

21

➢ Adquisición de información en el ciberespacio: Consiste en

acciones que facilitan las ciberoperaciones, principalmente a través

de la vigilancia y el reconocimiento deliberado de redes, así como

otras actividades (incluido el acceso y control de esas redes)

realizadas en el ciberespacio. Incluye actividades dirigidas a la

recogida de inteligencia de objetivos y sistemas adversarios. La

adquisición de información en el ciberespacio se complementa con

las labores conjuntas de inteligencia, reconocimiento y seguridad

(ISR) y la preparación del entorno operacional del ciberespacio.

Las ISR en el ciberespacio incluyen actividades dirigidas a la

adquisición de inteligencia de objetivos y sistemas adversarios que

pueden requerirse para apoyar futuras operaciones. Esto incluye

identificación de datos, software, configuración de redes y sistemas

e identificadores o estructuras físicas conectadas a, o asociadas

con, la red para fines de determinación de las vulnerabilidades del

sistema.

La adquisición de información en el ciberespacio se emplea

principalmente para apoyo a las ciberoperaciones ofensivas. De esta

forma, la adquisición de información en el ciberespacio se emplea

fuera de la red de mando y control, coordinándose y eliminándose

conflictos dentro de la red.

• Operaciones Defensivas en el Ciberespacio (DCO): Son operaciones

en el ciberespacio tanto activas como pasivas, con el propósito de

preservar la capacidad para utilizar las capacidades propias del

ciberespacio y proteger los datos, redes, capacidades no centrales y

otros sistemas. Las Fuerzas Armadas conducen las DCO en todo el

rango de operaciones militares detectando, identificando y respondiendo

a los enemigos y adversarios que lleven, o traten de llevar a cabo,

acciones ofensivas contra redes amigas.

22

Las Fuerzas Armadas pueden ser requeridas para reestablecer,

reasegurar, reconstituir o aislar dinámicamente, redes comprometidas o

degradadas para asegurar el acceso a partes específicas del

ciberespacio que se utilicen por el sistema de mando de misión propio.

Existen dos tipos principales de DCO:

➢ Acciones de respuesta DCO: Son medidas defensivas,

autorizadas y deliberadas, o actividades tomadas fuera de la red

defendida, para proteger y defender las capacidades de los sistemas

propios en el ciberespacio. Utilizan sensores y capacidades

diversas.

Las acciones de respuesta DCO pueden llegar al nivel de daño físico

o destrucción de los sistemas del enemigo o adversario. En esta

situación, las acciones de respuesta DCO pueden requerir

adquisición de información del ciberespacio de la misma manera que

la requieren las OCO. Por ello, las acciones de respuesta requieren

una integración y coordinación deliberada para asegurarse que los

efectos deseados se crean y consiguen en el lugar y momento

adecuado, en apoyo de los objetivos.

Las acciones de respuesta DCO pueden implicar contramedidas, las

cuales se diseñan para identificar la fuente de la amenaza a la red

de Mando y Control y usar técnicas no intrusivas para parar o mitigar

la amenaza.

Medidas defensivas internas: Las medidas defensivas internas

son aquellas DCO que se llevan a cabo dentro de las redes del DoD.

Pueden implicar medidas de contra reconocimiento dentro de la red

u otra del DOD, para localizar amenazas internas y responder a

actividades no autorizadas.

Para ayudar en la defensa de la red de datos, éste usa el concepto

de defensa en profundidad, que incorpora un modelo de capas para

23

la implementación de herramientas defensivas y procedimientos.

Como mínimo, esto incluye un router perimetral, un firewall, un

sistema de detección de intrusiones o sistema de protección de

intrusiones, un servidor de nombres de dominio, un proxy web y un

sistema de seguridad basado en host que bloquee, engañe o

redireccione la amenaza.

2. Ciberguerra

Es frecuente referirse a los distintos espacios en que tiene lugar la guerra y

en los que consecuentemente tienen lugar ataques, explotación y defensa,

como “guerras”, de esta forma aparecen conceptos como guerra naval, guerra

aérea, guerra terrestre y así de igual modo, aparece el concepto de “guerra

cibernética” o “ciberguerra”; es en ese sentido, que para Gómez A. (2014), la

ciberguerra es:

Donde las confrontaciones y conflictos que tienen lugar en el ciberespacio

no ocurren necesariamente en el contexto de una guerra, ni siquiera en una

confrontación específica. Por ello “el término ciberguerra es algo más

descriptivo y representa la lucha entre dos estados o fracciones de los

mismos, que tiene lugar en el ciberespacio (p.33)

Figura Nº 03 – “El Ciberespacio, el quinto dominio de la guerra”

Fuente: Propia del Autor.

24

La ciberguerra utiliza medios específicos para moverse, desenvolverse y

combatir en este entorno virtual. En este combate no utiliza vehículos, fragatas

o aviones como en el campo de batalla real, estos son muy diferentes a los

utilizados normalmente en el hogar o las empresas, ya que no basta solo con

conectarse a internet y tratar de entrar en un computador u obtener información

de usuarios y claves. Los medios que utilizan son diseñados y configurados

específicamente para combatir en este nuevo escenario virtual, utilizando

computadoras, teléfonos, tabletas y hardware robusto con sistemas operativos

y aplicaciones especialmente programadas para no ser detectadas.

Una agresión promovida por un Estado y dirigida a dañar gravemente las

capacidades de otro para imponerle la aceptación de un objetivo propio o,

simplemente, para sustraer información, cortar o destruir sus sistemas de

comunicación, alterar sus bases de datos, es decir, lo que habitualmente hemos

entendido como guerra, pero con la diferencia de que el medio empleado no

sería la violencia física sino un ataque informático que va desde: La infiltración

en los sistemas informáticos enemigos para obtener información hasta el

control de proyectiles mediante computadores, pasando por la planificación de

las operaciones, la gestión del abastecimiento, etc. (Colle, 2000, p.17).

Figura Nº 04 – “Ciberguerra entre Naciones”

Así mismo para Sánchez G. (2008) “Hay que puntualizar, la ciberguerra es

la utilización de todas las herramientas electrónicas e informáticas para

derrumbar los sistemas electrónicos y de comunicación del enemigo y

mantener operativos los propios” (p.15). En todo caso, si tuviéramos que

enumerar las características de una guerra cibernética para Thomas T. (2001)

serian:

25

La Complejidad, Asimetría, Objetivos limitados, Corta duración, menos

daños físicos para los soldados, mayor espacio de combate y menor densidad

de tropas, transparencia, lucha intensa por la superioridad de la información,

aumenta la integración, mayores exigencias impuestas a los comandantes,

nuevos aspectos de la concentración de fuerzas, reacción rápida, e igual de

devastadora que una guerra convencional (p 72-79).

Pero tal vez, de todas ellas, la más importante sea la de asimetría, porque

la guerra cibernética proporciona los instrumentos necesarios para que los más

pequeños puedan enfrentarse, incluso vencer y mostrarse superiores a los más

grandes, con unos riesgos mínimos para ellos, sólo siendo necesario un

ordenador y unos avanzados conocimientos informáticos. Más, cuando los

objetivos de este tipo de guerra son:

• Dañar un sistema o entidad hasta el punto en que ya no puede funcionar ni

ser restaurado a una condición útil sin que lo reconstruyan por completo.

• Interrumpir o romper el flujo de la información.

• Destruir físicamente la información del adversario.

• Reducir la efectividad o eficiencia de los sistemas de comunicación del

adversario y sus capacidades de recolección de información.

• Impedir al adversario acceder y utilizar los sistemas y servicios críticos.

• Engañar a los adversarios.

• Lograr acceder a los sistemas del enemigo y robarles información.

• Proteger sus sistemas y restaurar los sistemas atacados.

• Responder rápidamente a los ataques o invasiones del adversario.

3. Ciberguerreros

Son Individuos que con su conocimiento pueden diseñar programas y

ciberarmas capaces de infiltrar el sistema de ya sea una organización o

entidad, y con esto acceder a información confidencial, colocar bombas

lógicas y sabotear el correcto funcionamiento de los flujos de información ya

sea de una página de internet, hasta el funcionamiento de la red eléctrica de

una ciudad o hasta un país entero (Vargas E, 2014, p.5).

26

Muchos pueden definir a los ciberguerreros como los individuos que

realizan estas acciones y están adscritos a la fuerza militar de un Estado

determinado; sin embargo, no son los únicos en capacidad de conocer

software y hardware y ocasionar daños importantes, también existen

comunidades de “geeks”, que son personas interesadas en el estudio de

software y hardware, las cuales se especializan en detectar fallos de

sistemas operativos y demás software; unos con propósitos académicos,

otros con el fin de perjudicar empresas y gobiernos”.

Figura Nº 05 – “Entrenamiento de Ciberguerreros”

Fuente: Agencia DARMA – “USA”

Una nueva amenaza global apunta a la seguridad de los Estados, esta vez

no se trata del gobierno de Estados Unidos, el policía del mundo, que impone

mediante las armas su democracia y su libertad a naciones sometidas y

pueblos marginados. Ahora la amenaza es más sofisticada, más sutil, no usa

armas ni municiones ni ejércitos, se trata de la guerra cibernética que infiltra

todos los sistemas tecnológicos y es capaz de someter gobiernos, quebrar

economías y desquiciar a grupos sociales (Badillo M, 2011, p.1)

Por lo tanto, según lo expresado anteriormente, Caro J. (2011, P. 72), hace

una clasificación de los tipos de atacantes que se encuentran en el

ciberespacio.

• Atacantes patrocinados por Estados

• Servicios de Inteligencia y Contrainteligencia

• Terrorismo, extremismo político e ideológico

• Ataques de delincuencia organizada

• Ataques de perfil bajo

27

Por esta razón, los países industrializados y que están a la vanguardia en

tecnología, como Estados Unidos, Rusia, China entre otros, buscan ostentar el

dominio del ciberespacio tanto para el ataque como para la defensa teniendo

en cuenta que el factor tiempo en el ciberespacio da un intervalo desde un par

de minutos hasta milésimas de segundo para realizar un ataque (Caro J, 2011,

P. 74). Para ello, un ciberguerrero puede emplear distintos métodos para

acceder a los sistemas y conseguir su cometido. Por eso, Joyanes L. (2011)

enumera los siguientes:

• Stuxnet

Gusano informático que afectó a equipos Windows, descubierto en junio de

2010. Es el primer gusano conocido que espía y reprograma sistemas

industriales del tipo SCADA (Supervisory Control And Data Acquisition) de

control y monitorización de procesos, pudiendo afectar a infraestructuras

críticas como centrales nucleares. Stuxnet es capaz de reprogramar

controladores lógicos programables (PLC) de la marca SIEMENS y ocultar

los cambios realizados, siendo considerado a nivel mundial como: “Un

prototipo funcional y aterrador de un arma cibernética que conducirá a la

reacción de una nueva carrera armamentista mundial para Ciberataques”.

• DDoS

Los ataques DDoS (Distributed Denial of Service) son los ataques más

comunes que puede tener una página web, que consiste en saturar los

servidores web de una institución hasta el punto que esta misma colapse,

para esto se utilizan computadoras que se encuentren infectadas por virus

(botnets) haciendo que se cree una red, en esta red de computadoras

infectadas, los usuarios no se dan cuenta que hacen parte del ataque.

• Botrnets

Los botnets (robots de la Red) son redes de computadoras utilizadas para

dirigir un ataque DDoS. Esto se da, cuando una persona del común abre un

correo basura o Spam, este correo se encuentra infectado de virus haciendo

que la maquina este a merced de los hackers o ciberguerreros. Joyanes

(2011) indica que este tipo de ataque es utilizado con el fin de espiar

corporaciones e instituciones gubernamentales.

28

• Zeus

Es un virus comúnmente conocido como troyano que se encarga de ingresar

a las computadoras de los usuarios con el fin de obtener contraseñas de

redes sociales, información bancara entre otra con el fin de realizar acciones

de suplantación y robos a cuentas bancarias tarjetas de crédito etc.

En el mundo se realizan alrededor de 362.600.000 ciberataques en el año

(BBC mundo. 15 de Marzo 2013), es en ese sentido que nuestro país no es

ajeno a este tipo de ataques cibernético.

Si bien el Perú es un estado que como otros estados está inmerso en la

posibilidad de ser víctima de ataques cibernéticos, por la experiencia dejada

por el terrorismo, debemos ser mucho más cuidadosos a la hora de emprender

la laboriosa tarea de legislar los delitos informáticos, crear directivas en

ciberdefensa y crear mecanismo de ciberseguridad. (Parra R, 2016, p. 25)

Según diferentes medios de comunicación se informado, que el Perú ha sido

víctima de un grupo de hacktivistas denominados ANONYMOUS, a

continuación, mencionaremos algunos ataques cibernéticos atribuidos a este

grupo:

➢ “Anonymous atacó varios sitios web del Estado Peruano”. Los sitios web

de diversas páginas del Estado Peruano sufrieron esta tarde el ataque de

Anonymous, un colectivo internacional integrado por hackers que ha

atacado páginas de todo el mundo. (El comercio, 09 Set 11)

➢ “Anonymous filtra 1000 documentos del Gobierno Peruano”. Como parte

de la operación @OpCensorThis se publicaron los mencionados correos

en donde se difunde el rol de entrega de valijas diplomáticas que se

enviaron a Chile, Argentina, Ecuador, etc, desde nuestro país, se publicó

también el nombre de los funcionarios responsables del cuidado de las

valijas (Perú 21, 07 Feb 12).

➢ “Anonymous ataca a la División de Delitos de Alta Tecnología de la

DIRINCRI”. Solo publica 200 correos personales (Perú.com, 04 Mar 12).

29

➢ “Anonymous Hackea a empresa de agua Sedalib”. Ataque realizado en

protesta por malos servicios y publicidad en burla de clientes por parte de

esta compañía de agua (RPP.COM.PE, 08 Jul 13).

➢ “Anonymous Perú Hackea web de entidades estatales”. Se atacaron las

webs de la Presidencia de la República del Perú, de la Región Lima,

Huánuco y de las municipalidades de Carabayllo, Independencia y Ancón.

(CAPITAL.PE, 28 Jul 13).

➢ “Anonymous Perú Hackeo web de la Municipalidad de Lima”. El servidor

web de la comuna dejó de funcionar aproximadamente a las 11:00 p.m.

Minutos después, Anonymous Perú escribió en Twitter “Tango Down”, una

jerga militar que se utiliza cuando un enemigo ha sido abatido durante un

conflicto. Pasadas las 7 a.m., el sitio web aún seguía inoperativo

(ELCOMERCIO.COM.PE, 06 Mar 15).

➢ “RENIEC niega hackeo de su base de datos, pero Anonymous ratifica

ataque”. Después de que Anonymous Perú asegurara que vulneró la

seguridad de los servidores del Registro Nacional de Identificación y Estado

Civil (RENIEC) y que se apropió de toda su base de datos, la institución

descartó tal violación. (LAPRENSA.PERU.COM, 13 Mar 15).

Es así como podemos apreciar que el Perú, no es ajeno a este tipo de

incidentes, y mucho menos nuestra institución que maneja información

clasificada; es por eso, que hay tomar las muy en serio las recomendaciones

dadas por las organizaciones internacionales; así como, implantar mecanismos

de control y seguridad a nuestra información.

4. La Ciberdefensa

La OTAN en noviembre de 2010, junto a los ministros de Defensa, aprobaron

el nuevo concepto de ciberdefensa; en junio de 2011 aprobaron la política de

ciberdefensa y un Plan de Acción de Ciberdefensa; La OTAN, ha definido la

ciberdefensa como: “la aplicación de medidas de seguridad para proteger

las infraestructuras críticas de los sistemas de información y

comunicaciones frente a los ciberataques.”

30

El Ejercito del Perú no es ajeno a este concepto, y a través de Dirección de

Telemática y Estadística del Ejercito lo define de la siguiente manera:

Son todas las actividades ofensivas y defensivas en las que se utilizan

como medio aquellos relacionados con las infraestructuras TIC (ejemplo:

redes de ordenadores, ordenadores, programas informáticos, etc.), y cuyo

campo de batalla es el ciberespacio. Las actividades de desarrollo de la

Ciberdefensa van encaminadas hacia la capacitación de los gobiernos y

naciones en la denominada ciberguerra. (LSICEP, 2015, p. 17)

La ciberdefensa es un ámbito de la seguridad nacional en el que los Estados

deberán tomar determinadas medidas, que deberán ejecutarse en coordinación

con los sectores públicos y privados, ser compatibles con los derechos y

libertades individuales, ser coordinadas con otras acciones tomadas para

responder a otras modalidades de agresión, establecer sistemas de respuesta

a los ciberataques y fomentar la cooperación internacional. (Zea ,2013)

Adicionalmente se ha considerado algunas definiciones internacionales que

nos indica la OTAN, de acuerdo a sus países miembro.

Nato : North Atlantic Treaty Organization

Una medida proactiva para detectar u obtener información sobre una

intrusión cibernética, ataque cibernético o operación cibernética inminente o

para determinar el origen de una operación que implica el lanzamiento de una

contra acción preventiva, preventiva o cibernética contra la fuente.

(NATO.INT,22 SET 16)

Belgium

La aplicación de medidas de protección efectivas para obtener un nivel

apropiado de Seguridad Cibernética con el fin de garantizar el funcionamiento

y las funcionalidades de la Defensa. Esto se logra mediante la aplicación de

medidas de protección adecuadas para reducir el riesgo de seguridad a un nivel

aceptable. Ciberdefensa consiste siguientes funciones: proteger, detectar,

responder y recuperar (Ferreyra M, 2015, p.7)

31

Desarrollo de la Ciberdefensa Militar

Para Hernández A. & Candon A. (2013), La Ciberdefensa Militar consta

básicamente de tres capacidades:

• La "Capacidad de Defensa" es el conjunto de sistemas, infraestructuras,

personal y medios de apoyo logístico, asentados sobre unos principios y

procedimientos doctrinales para la ejecución y mantenimiento de acciones y

actividades orientadas a la protección de los sistemas de información y

comunicaciones, y la información que manejan, frente a ciberataques y su

recuperación en caso de fallo o inutilización, parcial o total. Incluye

actividades de anticipación, prevención, monitorización, análisis, detección,

resistencia y recuperación frente a intrusiones, perturbaciones,

interrupciones o cualquier acción no autorizada que comprometa la

información y los sistemas propios.

• La "Capacidad de Explotación" es el conjunto de sistemas,

infraestructuras, personal y medios de apoyo logístico, asentados sobre

unos principios y procedimientos doctrinales para la ejecución y

mantenimiento de acciones y actividades orientadas a la obtención de

información sobre las capacidades cibernéticas de defensa, explotación y

respuesta de potenciales adversarios y agentes hostiles. Incluye actividades

de recopilación, análisis, valoración y explotación de información.

• La "Capacidad de Respuesta" es el conjunto de sistemas, infraestructuras,

personal y medios de apoyo logístico asentados sobre unos principios y

procedimientos doctrinales para la ejecución y mantenimiento de acciones y

actividades orientadas a la realización de ciberataques como defensa frente

a amenazas y ataques. Incluye actividades de perturbación, denegación de

uso, degradación o destrucción de información, servicios o sistemas de

información y comunicaciones de potenciales adversarios y agentes hostiles.

32

Elementos Necesarios para una Ciberdefensa Efectiva.

De acuerdo al departamento de Defensa de los Estados unidos, a en sus

diversas publicaciones como: “Information Operations 3-13, US-

Cybercommand,” no da una idea, de los elementos mínimos necesario que se

deben de considerar para realizar una ciberdefensa efectiva ante cualquier

amenaza que se pueda producir:

• Crear un equipo de respuestas ante incidentes (CSIRT).

Todos los especialistas en Tecnologías de la Información (TI), deben

saber cómo actuar en caso de un incidente. El CSIRT (Computer Security

Incident Response Team) deberá realizar la mayoría de las acciones en

respuesta ante un incidente, pero todo el personal de TI debe saber cómo

informar los incidentes internamente en la institución. Los usuarios finales

deben informar de cualquier actividad sospechosa al personal de TI

directamente o a través de un personal de asistencia, no directamente al

CSIRT.

Cada miembro del equipo debe revisar el plan de respuesta ante

incidentes detalladamente. El hecho de que el plan sea fácilmente accesible

para todo el personal de TI ayuda a garantizar que, cuando se produzca un

incidente, se seguirán los procedimientos correctos. El personal debe tener

la capacidad técnica de distinguir entre un ataque real de uno falso positivo.

El mejor motor de correlación es la experiencia del analista ante estos

ataques.

Para elaborar un plan satisfactorio de respuesta ante incidentes se deben

seguir los siguientes pasos:

➢ Realizar una evaluación inicial.

➢ Comunicar el incidente.

➢ Contener el daño y minimizar el riesgo.

➢ Identificar el tipo y la gravedad del ataque.

➢ Proteger las pruebas.

➢ Notificar a los organismos externos, si corresponde.

➢ Recuperar los sistemas.

33

➢ Compilar y organizar la documentación del incidente.

➢ Valorar los daños y costos del incidente.

➢ Revisar las directivas de respuesta y actualización.

• Disponer de tecnología que le permita analizar “anomalías” y

monitorización

Estamos hablando de SIEM (Security Information and Event

Management), registro de actividad, gestión de logs (Registro de eventos en

los computadores durante un período) que permita la recopilación de

eventos, normalización, correlación y respuesta a incidentes, inventario,

despliegue de sensores y alarmas.

Los sistemas de seguridad tienen que ser diseñados a medida,

permitiendo:

➢ Automatizar la detección de nuevas amenazas.

➢ Automatizar el proceso de análisis de ataques.

➢ Creación de firmas de ataques en tiempo real.

➢ Auditoría automática del estado de seguridad de las redes.

➢ Apoyar el proceso de respuesta ante incidentes de seguridad.

➢ Proporcionar estadísticas de ataques contra las redes.

• Equipos de defensa y ataque:

Es fundamental disponer de técnicas que puedan entretener al atacante,

desviando su atención en un entorno trampa y poder aprender qué es lo que

busca y cómo lo hace. Por lo tanto, es muy importante tener un equipo

multidisciplinario que permita llevar a cabo “el factor sorpresa” o bien la

preparación de un entorno donde repeler el ataque.

Para ello es necesario que los componentes del equipo de cibersoldados

dispongan de lo siguiente:

➢ Formación técnica especializada.

➢ Arquitectura de redes.

➢ Programación en diversos lenguajes.

34

➢ Exploits.

➢ Ingeniería inversa.

➢ Conocimientos en arquitectura de seguridad e instalación de redes trampa

(honeypots, honeynets) que incluyan:

• Creación de un segmento de red idéntico a la producción.

• Programar eventos que respondan ante ataques determinados.

• Cambiar datos ficticios muy a menudo para que sea lo más idéntico al

original (tarea compleja pero muy efectiva).

• Una buena formación en forensics, antiforensics y en productos SIEM

comerciales o no.

• Una buena “box” de 0-Days. (ataque contra aplicaciones o sistemas

que tiene como objetivo la ejecución de código malicioso gracias al

conocimiento de vulnerabilidades)

5. La Ciberseguridad

Actualmente uno de los países de la región que marca la pauta, con respecto

a los avances de la ciberseguridad y ciberdefensa es Colombia, según su

experiencia define a la ciberseguridad como: “La capacidad del Estado

para minimizar el nivel de riesgo al que están expuestos sus

ciudadanos, ante amenazas o incidentes de naturaleza cibernética”.

(MTIC, 2014, p. 4; Otra definición que nos brinda la UIT (2010) es:

Conjunto de herramientas, políticas, salvaguardas de seguridad,

directrices, métodos de gestión de riesgos, acciones, formación, prácticas

idóneas, seguros y tecnologías que pueden utilizarse para proteger los

activos de la organización y los usuarios en el ciberentorno. Los activos de

la organización y los usuarios son los dispositivos informáticos conectados,

los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las

comunicaciones multimedios, y la totalidad de la información transmitida y/o

almacenada en el ciberentorno.

35

Así mismo Leiva L. (2015). La define como: La capacidad de controlar el

acceso a las redes, sistemas de información y todo tipo de recursos de

información. Es decir, donde los controles de Ciberseguridad son eficaces y

el ciberespacio es considerado confiable, flexible y seguro para las

Infraestructuras Críticas de Información. Sin embargo, donde los controles

de Ciberseguridad están ausentes, incompletos, o mal diseñados, el

ciberespacio es considerado como tierra de nadie” (p.6).

Adicionalmente, se ha tomado los conceptos de algunos países miembro

de la OTAN en cuestión de ciberseguridad:

AUSTRALIA

Las medidas relativas a la confidencialidad, disponibilidad e integridad de la

información que se procesa, almacena y comunicada por medios

electrónicos o similares. (NATO.INT,22 SET 16).

FRANCIA

El estado deseado de un sistema de información en el que se puede resistir

eventos desde el ciberespacio que podrían poner en peligro la disponibilidad,

integridad y confidencialidad de los datos almacenados, procesados o

transmitidos y de los servicios relacionados que estos sistemas ofrecen o

hacen accesibles. (NATO.INT,22 SET 16)

Prevenir, detectar, responder y recuperarse se señalan como los objetivos

de la Ciberseguridad, pero tradicionalmente el objetivo principal fue prevenir

que se concrete un ataque exitoso; Sin embargo, todos los profesionales de

seguridad son conscientes de que simplemente no es posible evitar todos

los ataques y que debe existir una planificación y preparación que incluya

métodos para detectar ataques en progreso, preferentemente antes de que

causen daño.

36

En general se podría decir que la Ciberseguridad se refiere a métodos de

uso, procesos y tecnologías para prevenir, detectar y recuperarse de daños

a la confidencialidad, integridad y disponibilidad de la información en el

ciberespacio. (Leiva E. ,2015, p.7)

Todas las partes involucradas en la ciberseguridad, ya sea un usuario

individual de internet, un pequeño negocio, una institución, organismos

públicos o empresas privadas, deben decidir su propia política para

mantener la seguridad en el ciberespacio y estas deben estar directamente

correlacionadas entre sí y responder a una Estrategia Nacional de

Ciberseguridad de nivel superior con una misión y un propósito como nación.

El desarrollo de Políticas o Estrategias de Ciberseguridad no es una tarea

fácil, y no se basa solo en la aplicación de la ley, la gestión y la tecnología,

requiere una forma consensuada y armoniosa de actuar y resaltar la

necesidad de innovación.

Las naciones abordan el concepto de Ciberseguridad con distintos

enfoques, pero se debe tener en cuenta que enfrentan un mismo conjunto

de amenazas y que se deberían emplear actividades de coordinación, como

definiciones internacionales, Es en ese sentido que a continuación se

presenta los principales aspectos en los que se enfocan la mayoría de los

países que tienen implementadas sus estrategias Nacionales de

Ciberseguridad (ENCS), para afrontar los riesgos del ciberespacio:

37

Tabla Nª 01

Estrategia Nacional de Ciberseguridad

Bloque Geopolítico Anglosajón Unión Europea OEA

País CAN ENG USA ALE FRA ESP EST JPN RUS COL BRA CHI ARG

Pro

tec

ció

n Infraestructuras Criticas X X X X X X X X X X X X X

Economía X X X X X

Seguridad Nacional X X X X X X X X

Bienestar Social X X X X X X X X X

En

foq

ue Concientización X X X X X X X

Conocimiento X X X X

Educación X X X X X X

Capacidades cibernéticas X X X X X X

Se

ct

Pu

bl

ico

Liderazgo X X X X X X X X X X X X

Marco jurídico X X X X X X X X

Se

c.

Pri

v

Participación en la estrategia

X X X

X X X X X X X X

Co

op

Inte

r Cooperación en su grupo X X X X X X X X

Cooperación con otros países

X X X X X X X X X X X X X

Fuente: Leiva E. (2015). Estrategias Nacionales de Ciberseguridad. Pág 12.

• Protección de:

➢ Infraestructura crítica de información ICI: Es el conjunto de

computadoras, sistemas computacionales, redes de

telecomunicaciones, datos e información, cuya destrucción o

interferencia puede debilitar o impactar en la seguridad de una nación.

➢ Economía: se refiere a la presencia de la economía en el ciberespacio,

es una forma de organizar el intercambio de bienes y servicios empresa-

empresa, empresa-cliente, sin importar su ubicación geográfica, ni las

diferencias de tiempo. Las actividades más desarrolladas son

Ecommerce/E-business.

➢ Seguridad Nacional: noción de relativa estabilidad, calma y seguridad,

beneficiosa para el desarrollo de un país, así como la implementación de

los recursos y estrategias para conseguirla (principalmente a través de

la defensa nacional).

➢ Bienestar Social: conjunto de factores que participan en la calidad de

vida de las personas y que hacen que su existencia posea todos aquellos

elementos que dan lugar a la tranquilidad y satisfacción humana.

38

• Enfoque de la estrategia/política hacia:

➢ Concientización: campaña que se realiza con el objeto de que la

sociedad tome conciencia sobre los riesgos individuales (privacidad e

intimidad) y colectivos (seguridad nacional, prosperidad económica,

social y cultural) que se derivan de un uso inadecuado del ciberespacio.

➢ Conocimiento: mantener un estado avanzado de conocimiento de la

tecnología y de la situación del ciberespacio, establecer la vigilancia

tecnológica en materia de Ciberseguridad que garantice la obtención de

conocimiento y la promoción de proyectos de cooperación para lograr

una integración y el máximo aprovechamiento de las oportunidades, los

recursos y los avances internacionales.

➢ Educación: incorporar materias relacionadas con la Ciberseguridad en

los planes de educación, esta formación debe iniciarse a temprana edad

(educación primaria) y ser ampliada a lo largo de la educación

secundaria, universitaria y post-universitaria. El objeto de iniciar la

educación a temprana edad pretende, por un lado, homogeneizar los

conocimientos en el uso de las nuevas tecnologías, así como su uso

responsable, y por otro lado, identificar a los futuros ‘cibertalentos’.

➢ Capacidades cibernéticas militares: Capacidad de las fuerzas

armadas de un país para prevenir y contrarrestar toda amenaza o

incidente de naturaleza cibernética que afecte la soberanía nacional.

• Participación del sector público en la estrategia/política:

➢ Liderazgo: el ámbito y la complejidad de los desafíos del ciberespacio

requieren, además de un liderazgo nacional, la adecuada coordinación

de las capacidades, recursos y competencias involucradas. Ambas

exigencias deben ser asumidas por el gobierno quien dirigirá y

supervisará la Estrategia/Política de Ciberseguridad Nacional.

➢ Marco Jurídico: contar con un marco legislativo fuerte en el área de

ciberseguridad, que trate los diferentes tipos de delitos tanto a nivel

nacional como internacional. Además de la existencia de un marco

regulatorio para la implementación de la Estrategia Nacional de

Ciberseguridad.

39

• Participación del sector privado en la estrategia/política:

➢ Participación en la estrategia/política: los actores en sectores claves

como energía, transportes, entidades financieras, bolsas de valores,

proveedores de servicios de internet, entre otros deben evaluar los

riesgos que les afectan y mediante una adecuada gestión de los mismos

asegurar que los sistemas de información y las redes son fiables y

resistentes. Además, deben asumir el compromiso de compartir la

información con las autoridades gubernamentales competentes en

materia de Ciberseguridad.

• Cooperación internacional:

➢ Cooperación en su grupo: se denomina grupo en este caso a un

bloque geopolítico, que es la distribución conformada por países que

comparten cierta extensión de tierra, panorama económico, político y

cultural imperante. También se basa en la influencia que tiene un país

sobre los demás, respecto del poder político, económico, militar, y que

puede llegar a influenciar en la toma de decisiones de un país.

➢ Cooperación con otros países: la globalización tecnológica, sus

oportunidades y sus riesgos obligan a alinear las iniciativas de todos los

países que persiguen un ciberespacio seguro y confiable. Estos

esfuerzos internacionales han de contemplar la elaboración y adopción

de estándares globales, la expansión de la capacidad del sistema

jurídico internacional y el desarrollo y la promoción de las mejores

prácticas para generar sistemas de alerta y de respuesta a los

ciberataques.

Diferencia entre Ciberdefensa y Ciberseguridad

Para el autor Gomez A (2014), La ciberdefensa y la ciberseguridad no

deben ser actividades aisladas, sino que deben estar incluidas en la

defensa nacional y por lo tanto en la defensa militar, en la protección de

infraestructuras críticas y los sistemas de mando y control. (p.45).

40

Para ello se debe entender que los conceptos de ciberdefensa y

ciberseguridad persiguen objetivos diferentes en cuanto a lo que permiten

desarrollar y su finalidad. Es así que al analizar ambos elementos se puede

concluir que la ciberseguridad busca el desarrollo y aseguramiento de

prácticas, para minimizar los riesgos, amenazas y vulnerabilidades de los

sistemas informáticos tanto públicos como privados, en cambio la

ciberdefensa busca el desarrollo y aseguramiento de capacidades, para la

protección de infraestructuras críticas, sistemas de mando y control, que

permitan el normal desarrollo de las operaciones militares y un uso seguro

del ciberespacio, como se describe a continuación:

Figura Nº 06 – “Principales aspectos de la ciberseguridad y ciberdefensa”

Fuente: ISACA, J.Cano PhD, Seminario Internacional, Ciberdefensa y Ciberseguridad, España 2013

Si analizamos la ciberseguridad y la ciberdefensa desde un punto de

vista sistémico, se puede concluir que el recurso humano es la base para

generar una ciberseguridad y ciberdefensa efectiva, el que ejecuta las

acciones a través de los sistemas de información interconectados a la red

internet.

Estas actividades deben estar definidas por la ciberseguridad a través

de las prácticas de seguridad de los sistemas principales tanto públicos

como privados, para posteriormente, complementados con la ciberdefensa,

desarrollar la capacidad de defensa ante ataques informáticos, dando

41

protección a las ICs (Sistema de Control Industrial) y sistemas de M&C

(Sistema de Comando y Control). Este proceso entrega a la ciberdefensa

una capacidad de soporte a la ciberseguridad, la que permitirá articular las

prácticas de seguridad a través del personal de profesionales en TI.

Figura Nº 07 – “Vista Sistémica de Ciberseguridad y Ciberdefensa”

Fuente: ISACA, J.Cano PhD, Seminario Internacional, Ciberdefensa y Ciberseguridad, España 2013

6. Protección de la Información

Para poder entender en que consiste la protección de la información es

importante conocer el valor estratégico de la información que según

Gutiérrez (2003) menciona:

Que es conocido que vivimos en la era de la información, muchas

organizaciones gestionan informaciones a gran volumen, para ellas es un

activo valioso como tal valor la información debe ser custodiada con el

máximo cuidado porque, sin lugar a duda, será buscada por otros. En otras

palabras, al ser las diferentes informaciones elementos valiosos que son

apetecidos por terceros, decidimos que la información está sometida a

amenazas. (p. 4).

Es en ese sentido, que según la NTP‐ISO/ IEC 17799 (2005) menciona:

La seguridad de la información es la protección de la información de un

rango amplio de amenazas para poder asegurar la continuidad del negocio,

minimizar el riesgo comercial y maximizar el retorno de las inversiones y las

42

oportunidades comerciales”. La seguridad de la información se logra

implementando un adecuado conjunto de controles; incluyendo políticas,

procesos, procedimientos, estructuras organizacionales y funciones de

software y hardware. Se necesitan establecer, implementar, monitorear,

revisar y mejorar estos controles cuando sea necesario para asegurar que

se cumplan los objetivos de seguridad y comerciales específicos. (p.8).

Desde el punto de vista de Gutiérrez (2003): Cuando se trata de proteger

el recurso información, hay que tener en cuenta que la información puede

existir en la mente humana, en un documento, o en forma electrónica en un

sistema de información y comunicaciones, y por tanto, hay que abordad el

problema de la seguridad de la información bajo estos tres aspectos. (p.12)

Figura Nº 08 – “Infografía de la Protección de la Información”

Fuente: Instituto Nacional de Ciberseguridad de España.

https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-informacion

43

7. Comando de Personal del Ejército del Perú (COPERE).

El Comando de Personal del Ejercito fue creado el 12 junio 1981 mediante

el Decreto Legislativo N°130 – Ley Orgánica del Sector Defensa., cuya

función general es “Asesorar al Comandante General del Ejército en las

actividades relacionadas con la preparación y desarrollo del Ejército en el

campo de Personal y administrar sus recursos humanos, considerando a la

persona como el principal elemento de la organización”.

Figura Nº 09 – “Organigrama del COPERE”

Fuente: Propia del Autor

El COPERE a través de sus diferentes sistemas de información ayuda al

personal de administradores de los diferentes jefaturas, sub jefaturas y/o

departamentos a desempeñar sus funciones diarias en forma eficiente, en

dichos Sistemas de Información y Bases de Datos, es donde se ingresa,

modifica, trasmite o almacena la información referente a estructura orgánica

del Ejercito, efectivos de Personal Militar y Civil y datos personales y

remunerativos de sus integrantes, los cuales pueden ser de carácter

“Secreto”, “Confidencial” o “Reservado”; es por tal motivo, que si esta

información seria extraída sin autorización por personas ajenas a la

institución, ocasionaría un riesgo potencial de seguridad.

44

Figura Nº 10 – “Sistemas de Información del COPERE”


2.2.1.2. Principios Básicos.

Se ha considerado necesario precisar Principios Básicos relacionados

con la CIBERDEFENSA Y SU INCIDENCIA CON LA PROTECION DE LA

INFORMACION EN EL EJERCITO DEL PERU. CASO: COPERE 2014-2015,

las cuales se encuentran contenidas en las estrategias nacionales de

ciberseguridad de los principales países de Sudamérica, unión europea y

anglosajón que vienen destacando en materia de ciberseguridad; como parte del

Marco referencial, que va a servir como patrón comparativo, a manera de

modelo, para analizar la situación encontrada en la realidad actual del estudio

(Resultados), al respecto se ha considerado a los siguientes principios básicos.

Todos los principios básicos al interior del marco teórico entre otros se

han obtenido, de fuentes o autores que gozan de reconocimiento y vigencia en

el campo, todos tienen citas a pie de página; y, los precisamos porque nos

permite entender, con mayor propiedad la temática de la investigación entre los

más representativos son los siguientes:

Principios:

1. Principios de la Seguridad de las Informaciones.

2. Principios de la Ciberseguridad.

3. Principios en los que se debe basar una conciencia de

ciberseguridad.

4. Principios de la Ciberdefensa.

5. Principios de la Guerra cibernética o ciberguerra.

45

Principios básicos de la actividad de CIBERDEFENSA Y SU INCIDENCIA

CON LA PROTECION DE LA INFORMACION EN EL EJERCITO DEL PERU,

contenidos en contenidos en los parámetros constitucionales vigentes, de

conformidad a lo establecido en el Decreto Supremo N° 66-2011-PCM, Plan de

Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital 2.0-

Objetivo Nº7-Estrategia Nº 4, Directiva de normas y procedimientos técnicos

para garantizar la seguridad de las informaciones publicadas por las entidades

públicas, la Norma Técnica Peruana NTP 17799 “Buenas Prácticas para la

gestión de la seguridad de la información y la política y Estrategia Nacional de

Ciberseguridad propuesta por la “Information Systems Security Association”, la

cual tiene por finalidad de Proteger la infraestructura de la información, los datos

e información del Estado y la tecnología utilizada para su procesamiento, frente

a amenazas internas o externas deliberadas o accidentales, con el fin de

asegurar la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad

de la información en el Perú.

1. Principios de la Seguridad de las Informaciones

Según Alexander A. (2007). La Seguridad de las Informaciones se basa en

la preservación de unos principios básicos, los cuales son enumerados y

definidos por diferentes autores, con algunas variantes. Cada uno de dichos

principios tiene un propósito específico dentro del marco del objetivo de la

seguridad de la Información (p.118). Los cuales son:

• Confidencialidad: Asegurar que la información sea accesible sólo a las

personas autorizadas, Basándose en este principio, las herramientas

de seguridad informática deben proteger el sistema de invasiones y

accesos por parte de personas o programas no autorizados. Este principio

es particularmente importante en sistemas distribuidos, es decir, aquellos

en los que los usuarios, computadores y datos residen en localidades

diferentes, pero están física y lógicamente interconectados.

• Integridad: Salvaguardar la precisión y exactitud de la información en

todo momento, se refiere a la validez y consistencia de los elementos de

información almacenados y procesador en un sistema informático.

Basándose en este principio, las herramientas de seguridad informática

http://www.monografias.com/trabajos16/sistemas-distribuidos/sistemas-distribuidos.shtml

http://www.monografias.com/Fisica/index.shtml

46

deben asegurar que los procesos de actualización estén bien

sincronizados y no se dupliquen, de forma que todos los elementos del

sistema manipulen adecuadamente los mismos datos. Este principio es

importante en sistemas descentralizados, es decir, aquellos en los que

diferentes usuarios, computadores y procesos comparten la misma

información.

• Disponibilidad: Se refiere a la continuidad de acceso a los elementos de

información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de seguridad informática

deber reforzar la permanencia del sistema informático, en condiciones de

actividad adecuadas para que los usuarios accedan a los datos con la

frecuencia y dedicación que requieran, este principio es importante en

sistemas informáticos cuyos compromisos con el usuario, es prestar

servicio permanente.

Figura Nº 11 – “Principios de la Seguridad de Información”

Fuente: http://tecnologia.technology/seguridad-de-la-informacion-

en-la-empresa.htm

2. Principios de la Ciberseguridad

Según Camacho J. (2016). la seguridad de la información cuenta con

tres principios que son muy conocidos en el argot de la ciberseguridad entre

ellos se encuentran: la integridad, la disponibilidad y la confidencialidad.

(p.13). La ciberdefensa pone a consideración tres elementos que robustece

en mayor proporción la buena práctica en la seguridad informática con el

objeto de no generar vulnerabilidades que sean materializadas en riesgos,

entre ellos se encuentran:

47

• Las guías de uso: Se encuentra enmarcado a la seguridad de la

información, estaría emparentado como implantación de los protocolos o

buenas prácticas por medio de la culturización y sensibilización de los

protocolos y políticas, no sirve de nada tener muy buenos softwares,

hardware y algoritmia propia si se vulnera todo internamente con

herramientas que generan riesgos en un sistema, como redes sociales,

whatsapp, entre otros o que el usuario final no sepa utilizar estas

herramientas.

• Herramientas: Ayudan a prevenir, detectar y neutralizar softwares

potencialmente maliciosos, es de tener en cuenta que estas herramientas

pueden ser realizadas a la medida o necesidad de una empresa, se utiliza

de igual forma en seguridad de la información como en ciberdefensa, y es

recomendable utilizar tecnología de fuentes abiertas y fortificarla con

personal especializado en el tema.

• La algoritmia propia: Minimiza el riesgo de que el intruso o hacker pueda

acceder a la información, y que los documentos físicos y digitales no sea

difundid a terceros en caso de que la información sea confidencial o muy

sensible a esto se refiera que tenga un grado de clasificación. La

algoritmia propia permite que al ser realizada por los propios funcionarios

de una empresa u organización esta no tenga puertas abiertas y hagan

espionaje o la roben por la vulnerabilidad anteriormente mencionada.

Figura Nº 12 – “Principios de la Ciberseguridad”


48

Así mismo, según Unión Internacional de Telecomunicaciones (2007.),

Los principios fundamentales a los que debe referirse toda acción

emprendida en nombre de la realización de la ciberseguridad son los

siguientes:

• Principio de vocabulario: Necesidad de acordar un idioma común de

definición de la seguridad.

• Principio de coherencia: La ciberseguridad resulta de la integración

armoniosa de las herramientas, mecanismos y procedimientos

vinculados a la prevención, detección, protección y corrección de los

siniestros relativos a fallos, dolo o causas naturales.

• Principio de voluntad de la dirección: Es responsabilidad de los

dirigentes facilitar los medios necesarios para la implementación y

gestión del plan de ciberseguridad.

• Principio financiero: El coste de la seguridad y de las medidas de

control debe estar en relación con el riesgo.

• Principio de simplicidad de universalidad y de discreción: Las

medidas de seguridad deben ser simples, flexibles y comprensibles

para los internautas. Las soluciones y medidas de seguridad no deben

ser provocadoras para no tentar a un atacante potencial.

• Principio de dinamicidad y de continuidad: La seguridad deber ser

dinámica para integrar la dimensión temporal de la vida de los sistemas

y de la evolución de las necesidades y los riegos. Los sistemas deben

ser operacionales de modo permanente.

• Principio de evaluación, de control y de adaptación: La seguridad

debe garantizar la adecuación del nivel de seguridad a las necesidades

reales.

49

3. Principios en los que se debe basar una conciencia de ciberseguridad.

Para el Ministerio de Defensa de España (2013, p.42) los principios en

los que se debe basar una conciencia de seguridad son:

• Conocimiento de la Amenazas y de los riesgos: todos los usuarios del

ciberespacio, los administradores de los sistemas informáticos, las

autoridades, los directivos de las empresas, los diseñadores,

programadores, etc. deben ser plenamente conscientes de las amenazas

que hay en el ciberespacio y los riesgos inherentes a las mismas; de esta

forma, podrán actuar, cada uno en su ámbito, de manera que las

posibilidades de éxito de los ataques se reduzcan.

• Notificación por los Usuarios de los errores cometidos e incidentes

sufridas: En el ciberespacio los usuarios deberían notificar al responsable

de ciberseguridad de su organización todas las incidencias, incluso los

errores propios, aunque crea que no están directamente relacionados con

ataques informáticos. Este principio es el que, sin ninguna duda, genera

más resistencia entre los usuarios. Significa un cambio de mentalidad, un

giro copernicano en la actitud de los ciudadanos. Admitir que hemos

cometido un error no es lo habitual, ni siquiera admitirlo en la intimidad;

pero es necesario que todos los usuarios colaboren contando a los

responsables de seguridad del sistema, las incidencias sufridas y los

errores cometidos, a fin de que el responsable de seguridad informática

les guie y brindé consejos para evitar los errores cometidos, pues de otra

forma se volverán a cometer los mismos errores.

• Información por los responsables de seguridad de los sistemas

informáticos: En el ámbito de la seguridad informática, los responsables

de seguridad de los sistemas informáticos deberían elaborar, cada uno

dentro de su ámbito y en colaboración con los homólogos de otras

empresas, administraciones, instituciones, etc. boletines de información

sobre ciberseguridad y recibir y analizar las notificaciones de incidencias

de los usuarios del sistema del que es responsable. Además, son también

responsables de diseñar una política de ciberseguridad, que será

aprobada por la dirección o autoridad competente, y de difundirla.

50

• Formación de todos en ciberseguridad: Se trata que todos los

ciudadanos tengan unas mínimas nociones de cómo mantener su entorno

cibernético seguro, de qué y cómo se puede publicar en el ciberespacio

sin comprometer la privacidad, confidencialidad y disponibilidad de esos

datos. Así mismo, hay que enseñar a todos los ciudadanos a utilizar las

herramientas básicas de ciberseguridad como pueden ser antivirus,

configuración del firewall y actualizaciones automáticas; es en este

sentido, que la ciberseguridad es una cuestión de seguridad nacional,

tener profesionales con una sólida formación en ciberseguridad

trabajando en todos los sectores de la nación, tanto privados como

públicos, en el desarrollo y en el mantenimiento de sistemas informáticos,

con mentalidad de seguridad informática, y en el aseguramiento de los ya

existentes cuando no lo estén.

• Adaptabilidad de usuarios, Instituciones y empresas a las

circunstancias cambiantes del ciberespacio: A lo largo de la historia

del planeta, los que no se han sabido adaptar han sucumbido y

desaparecido. La historia militar está plagada de casos en los que un

Ejército sucumbía a otro que introducía nuevo armamento, estrategia o

táctica.

Al ser el ciberespacio un concepto no dimensional, sus posibilidades de

cambio y la velocidad a la que ocurren esos cambios son muy grandes,

casi podríamos decir que ilimitadas. Esto implica la necesidad de

adaptarse a todos esos cambios a la misma velocidad, al menos, con la

que se producen.

Pero el ciberespacio es un dominio que requiere una gran especialización

por parte de los gestores de la ciberseguridad por lo que es necesario que

las instituciones y empresas adopten una estructura de ciberseguridad

con un jefe de ciberseguridad al frente que será el encargado de recibir

las notificaciones, estudiarlas, eliminar de las mismas datos que puedan

permitir identificar a personas, hacer encuestas, estudios, informes y, con

todo lo anterior, editar informes de ciberseguridad en los que, entre otras

cosas, publicará buenas prácticas a los usuarios acompañadas de

51

ejemplos de los que se han eliminado todos los datos que permitan iden-

tificar al usuario

Figura Nº 13 – “Edificio de la Conciencia en Ciberseguridad”

Fuente: Escuela de Altos Estudio de la Defensa. Necesidad de una conciencia

de Ciberseguridad. p.42.

4. Principios de la Ciberdefensa

Según Caro M (2011, p3), Los esfuerzos en ciberdefensa de la OTAN están

basados en los siguientes principios generales:

• Solidaridad: Aunque los esfuerzos de la OTAN están focalizados en sus

propios sistemas TIC, la OTAN, teniendo en cuenta los recursos

disponibles, determina que puede proporcionar soporte relacionado con

la defensa de los sistemas TIC a los Aliados; es decir, que la ayuda se

proporciona únicamente ante una petición, y en caso de no haberla se

aplica el principio de responsabilidad exclusiva de cada país soberano.

• Resiliencia: Según Dhruva J. (2014), Es el principio clave en donde los

diferentes sistemas tienen la capacidad de respuesta y rápida

recuperación ante ciberataques; así como, la capacidad de resistir a la

adversidad, de perseverar y de restablecer el estado o situación anterior.

Este término entraña también la idea de solidez general, en oposición a la

fragilidad, de los sistemas en el tiempo. (p.217).

Para los autores Suarez H. & Pelaez J. (2015) Para conseguir la

resiliencia se deben potenciar las capacidades de “identificación,

52

detección, prevención, contención, recuperación, cooperación y

mejora continua”, frente a las distintas ciberamenazas (p.19).

Figura Nº 14 – “Metas, Objetivos/Capacidades y técnicas para medirla ciberresiliencia”

Fuente: Ciber Resiliencia-Aproximación a un marco de medición. p 19.

• Prevención: Las naciones deben tomar medidas preventivas entre las

que incluye desde la elaboración de estándares y procedimientos, hasta

la ejecución de ejercicios y entrenamiento; así mismo, las estrategias

preventivas, para que sean efectivas, deben incluir múltiples mecanismos

de defensa entre el “objetivo” y el adversario (implementación del

concepto de “defensa en profundidad”) así como verificaciones de su

correcto funcionamiento como auditorías de seguridad, test de intrusión,

etc.

• No-duplicación: Al igual que la OTAN, otras organizaciones

internacionales están involucradas en la protección de los sistemas de

información de los ciberataques. La OTAN por lo tanto, en su política

especifica que se debe evitar la duplicidad de esfuerzos a nivel nacional,

regional o internacional. La Política especifica que la OTAN debe obtener

ventaja de las prácticas, información, herramientas y lecciones aprendidas

por el resto de organizaciones cuando ha sido probado que estas han sido

efectivas en la protección.

• Seguridad: Es una cooperación basada en la confianza, teniendo en

cuenta lo sensible que puede ser la información de los sistemas a la que

se debe ofrecer acceso, y sus posibles vulnerabilidades, esto se da

53

revisando la evolución de los temas concernientes al ciberespacio,

recogiendo lecciones aprendidas, compartiendo buenas prácticas con los

aliados estratégicos y proponiendo enmiendas, si estas son requeridas.

Figura Nº 15 – “Principios de la Ciberdefensa”


5. Principios de la Guerra Cibernética o Ciberguerra

Según Gómez A. (2014), Las operaciones en el ciberespacio mantienen

igualmente los principios de la guerra (p.34):

• Objetivo: dirigir los ataques informáticos hacia un objetivo claramente

definido.

• Masa: sincronizar todos los elementos (programas o virus) de poder y

concentrarlos donde tengan un efecto decisivo sobre el objetivo, en un

corto período de tiempo.

• Ofensivo: capturar, retener y explotar la iniciativa.

• Economía de fuerzas: distribuir los medios informáticos de manera

efectiva.

• Maniobra: movimiento de los medios informáticos que permitan lograr

una ventaja frente al objetivo, haciendo que el enemigo pierda el equilibrio

y lograr que sus acciones sean inefectivas frente a los ataques.

• Unidad de mando: los ataques informáticos generalmente son liderados

por una persona responsable de ellos, el que posee la autoridad para

coordinar y dirigir todos los medios hacia un propósito único.

54

La " Norma Técnica Peruana NTP-ISO/IEC 17799- Tecnología de la

información. Código de buenas prácticas para la gestión de la seguridad

de la información”. fue elaborada por el Comité Técnico de Normalización de

Codificación e Intercambio Electrónico de Datos (EDI), utilizando como

antecedente a la Norma ISO/IEC 17799:2000 Information technology – Code

of practice for information security management. y ha sido estructurada de

acuerdo a las Guías Peruanas GP 001:1995 y GP 002:1995.

• Seguridad: los ataques informáticos poseen medidas que protegen a los

autores y los medios utilizados, permitiendo eliminar los rastros dejados

en la web, tanto de los equipos como de los códigos.

• Sorpresa: los ataques informáticos se realizan en un momento, lugar o

de una manera en que la víctima no está preparada, lo que puede cambiar

decisivamente el equilibrio. Esto se logra buscando las vulnerabilidades

de los sistemas mediante el ciberespionaje.

• Simplicidad: en informática los medios por los cuales se realizan los

ataques son simples programas con códigos sencillos pero letales, siendo

esta simplicidad lo que permite el éxito de las operaciones de ataques

informáticos.

2.2.2. Marco legal de Referencia

2.2.2.1. Norma Técnica Peruana NTP-ISO/IEC 17799- Tecnología de la

información. Código de buenas prácticas para la gestión de la

seguridad de la información.

Esta Norma Técnica Peruana establece recomendaciones para realizar la

gestión de la seguridad de la información que pueden utilizarse por los

responsables de iniciar, implantar o mantener la seguridad en una organización.

Persigue proporcionar una base común para desarrollar normas de seguridad

dentro de las organizaciones y ser una práctica eficaz de la gestión de la

seguridad, así como proporcionar confianza en las relaciones entre

organizaciones. Las recomendaciones que se establecen en esta NTP deberían

elegirse y utilizarse de acuerdo con la legislación aplicable en la materia.

55

El "Plan de Desarrollo de la sociedad de la Información en el Perú. La

agenda Digital 2.0. Fue aprobado mediante Decreto Supremo Nº66-2011-

PCM y ha sido elaborada con el concurso del sector público y privado, con la

participación de entidades representativas de la sociedad civil y del sector

académico constituyendo un documento de políticas que contiene la visión,

objetivos y estrategias específicas necesarias para el adecuado desarrollo,

implementación y promoción de la sociedad de la información en el Perú, a fin

de alcanzar la modernización del estado y desarrollar un esquema real y

coherente en beneficio de la población en general.

Generalidades

Según la NTP‐ISO/ IEC 1779 (2004), La seguridad de la información se

consigue implantando un conjunto adecuado de “controles, que pueden ser

políticas, prácticas, procedimientos, estructuras organizativas y funciones

de software.” (p. IX) Estos controles deberían establecerse para asegurar que

se cumplen los objetivos específicos de seguridad de la organización.

Así mimo según NTP‐ISO/ IEC 1779 (2004), Muchos sistemas de

información no se han diseñado para ser seguros, “La seguridad que puede

lograrse a través de los medios técnicos es limitada, y debería apoyarse en

una gestión y unos procedimientos adecuados.” La identificación de los

controles que deberían instalarse requiere una planificación cuidadosa y una

atención al detalle. La gestión de la seguridad de la información necesita, como

mínimo, la participación de todos los empleados de la organización. También

puede requerir la participación de los proveedores, clientes o accionistas. La

asesoría especializada de organizaciones externas también puede ser

necesaria.

2.2.2.2. Plan de Desarrollo de la sociedad de la Información en el Perú. La

agenda Digital 2.0

56

Objetivos de la Agenda Digital:

Según el PDSIP (2011, p.4) establece una serie de objetivos de los

cuales vamos a mencionar los siguientes:

• Objetivo 4: “Impulsar la investigación científica, el desarrollo

tecnológico y la innovación con base en las prioridades nacionales

de desarrollo”

Comentario:

se debe contar con suficientes profesionales debidamente

capacitados para que asuman estos procesos de investigación y

desarrollo. Ello implica impulsar políticas de fomento para formar

nuevos cuadros, así como, capacitar y fortalecer las capacidades de

profesionales que se dedican a estos temas.

Estrategias del Objetivo 4:

- Promover la producción científica en las TIC.

- Fortalecer los recursos humanos para investigación,

desarrollo e innovación en las TIC.

- Generar mecanismos para la creación y fortalecimiento de Parques

Tecnológicos de TIC.

- Promover los centros de excelencia en TIC, su infraestructura

y equipos de laboratorio.

• Objetivo 7: “Promover una Administración Pública de calidad

orientada a la población”.

Comentario:

Es de vital importancia desarrollar una estrategia nacional que

incluya, la disuasión del crimen cibernético, la protección de las

infraestructuras críticas de la información en Perú, la implementación

y desarrollo de marcos jurídicos relacionados a la ciberseguridad.

Asimismo, establecer mecanismos de cooperación entre el gobierno

y las entidades del sector privado a nivel nacional, fortalecer la

coordinación de Respuesta a Incidentes de Seguridad de la

Información (PECERT), mediante su desarrollo y fortalecimiento de

57

El "Plan estratégico del Ejército al 2021 - Plan de Desarrollo

Institucional “Bolognesi”. Proyecto que el Ejército comenzó a elaborar

el 2001, durante el gobierno de transición de Valentín

Paniagua Corazao y la gestión del general Carlos Tafur Ganoza en la

Comandancia General del Ejército, El presente plan tiene por finalidad

alcanzar el desarrollo del Ejército, previsto en el plan primigenio, a fin de

participar con la fuerza terrestre en la defensa, desarrollo y protección

de los intereses nacionales, para lo cual, de conformidad con el

horizonte temporal al 2021 del Plan Bicentenario.

capacidades operativas a través de la gestión de incidentes,

capacitaciones, concientización, implementación de políticas y

procedimientos de seguridad, monitoreo continuo de los niveles de

seguridad a través de programas de análisis de vulnerabilidades,

entre otros; en todas las entidades del sector público.

Estrategias del Objetivo 7:

- Impulsar la Interoperabilidad entre las instituciones del Estado

para la cooperación, el desarrollo, la integración y la

prestación de más y mejores servicios para la sociedad.

- Proveer a la población información, trámites y servicios públicos

accesibles por todos los medios disponibles.

- Desarrollar e implementar mecanismos para asegurar el acceso

oportuno a la información y una participación ciudadana como

medio para aportar a la gobernabilidad y transparencia de la

gestión del Estado.

- Implementar mecanismos para mejorar la seguridad de la

información.

- Mejorar las capacidades tanto de funcionarios públicos como de la

sociedad para acceder y hacer uso efectivo de los servicios del

gobierno electrónico.

- Adecuar la normatividad necesaria para el despliegue del gobierno

electrónico.

-

2.2.2.3. Plan estratégico del Ejército al 2021 - Plan de Desarrollo

Institucional “Bolognesi”.

http://www.larepublica.pe/tag/valentin-paniagua

http://www.larepublica.pe/tag/valentin-paniagua

58

Objetivos Institucionales

• Objetivo institucional N° 3 “Personal educado y entrenado con

doctrina actualizada acorde con las competencias requeridas por la

fuerza”.

Comentario: Este objetivo nos va a permitir disponer de un sistema

educativo moderno que satisfaga las necesidades de preparación y

entrenamiento de la FO y de la OMA en todos los niveles

Objetivos de Mediano Plazo 2013-2016, del Objetivo Institucional

N° 3:

- Potenciamiento de la Educación y el Entrenamiento del Personal

con competencias requeridas por la Fuerza.

- Implementación de Centro de entrenamiento de nivel Brigada en la

III DE.

- Actualización y creación de doctrina técnica, táctica y

administrativa.

- Modernización de las Escuelas de formación y capacitación

• Objetivo institucional N° 10 “Sistema telemático moderno y eficiente

que asegure el comando y control”.

Comentario: Este objetivo permitirá asegurar el comando, control y

la información, que garanticen la idoneidad del proceso de toma de

decisiones para una eficaz administración Institucional y el apoyo a

las operaciones, estando a cargo de su implementación la Dirección

de Telemática y Estadística del Ejercito (DITELE).

Objetivos de Mediano Plazo 2013-2016 del Objetivo Institucional

N° 10:

- Implementación de la Base de Datos del Ejército (BDU).

- Implementación y funcionamiento del Sistema de GE de la III DE

- Implementación de la III DE con Sistema de comando y control.

- Modernización de la Red Comunicaciones Permanente del EP

(RCOPE)

59

La " DUFSITELE”, es un documento normativo formulado por la

Dirección de Telemática y Estadística del Ejército, según Decreto Ley

N° 1137 y su reglamentación del 31 Marzo 2015, la cual tiene por

objetivo dictar las normas y disposiciones para orientar y uniformar el

funcionamiento del Sistema de Telemática del Ejército; asimismo

normar el funcionamiento del Sistema de Estadística del Ejército.

• Objetivo institucional N° 11 “Investigación, desarrollo e innovación

de tecnologías de vanguardia, requerido por la fuerza”.

Comentario: El logro de este objetivo, permitirá al Ejército reactivar

la infraestructura de capacitación, potenciar el sistema de

investigación y desarrollo existente, y promover su integración con la

comunidad científica; generar una positiva cultura de ciencia,

tecnología e investigación en el Ejército, y disminuir la brecha

tecnológica entre nuestro Ejército y sus similares de la Región

Sudamericana.

Objetivos de Mediano Plazo 2013-2016 del Objetivo Institucional

N° 11:

- Investigación y desarrollo en las líneas tecnológicas de interés para

la implementación y modernización tecnológicas del Ejército

optimizado.

- Transferencia e innovación tecnológica necesaria para el desarrollo

y soporte tecnológico Institucional.

2.2.2.4. Directiva Única para el Funcionamiento del Sistema de Telemática

y Estadística del Ejército – DUFSITELE-Tercera Edición 2017-

20019.

El Ejército del Perú en concordancia con la Política de

Modernización del Estado, viene promoviendo el gobierno electrónico

a través del uso intensivo de las Tecnologías de la Información y

Comunicaciones (TIC’S) como soporte de los procesos estratégicos,

operativos y de apoyo de las Unidades y Dependencias del Ejército,

60

en ese esfuerzo la Dirección de Telemática y Estadística del Ejército

(DITELE) tiene la responsabilidad de articular e impulsar el proceso

de modernización, con el objeto de que todo el personal militar y civil,

particularmente los que integran este Sistema, compartan la visión

tecnológica institucional y el planeamiento estratégico, que coadyuva

este documento y sirva de herramienta para orientar el

funcionamiento y desarrollo sostenido de dicho Sistema en cada nivel

jerárquico (DUFSITELE, 2017-2019).

La DUFSITLE, por su carácter técnico y por el incesante

desarrollo tecnológico, es perfectible a ser actualizado y/o modificado;

es en ese sentido, que la última edición (3ra) se ha considera el Sub

Sistema cibernético en donde hace referencia a la importancia del

ciberespacio, ciberseguridad y ciberdefensa, es en ese sentido, que

se ha dispuesto que “La Ciberdefensa del Ejército del Perú,

inicialmente deberá estar conformado por los siguientes elementos: el

Equipos de Respuesta a Incidentes de Seguridad Informática de uso

militar (CSIRT-EP), el Centro de Operaciones de Seguridad (SOC-EP)

y el Laboratorio de Análisis de Malware, Investigación, Desarrollo e

Innovación (LAMIDi); es dar respuestas y soluciones globales a

problemas concretos y para ello son acometidos por equipos

multidisciplinarios, en los que se involucran personal experto en

seguridad de la información, ciberdefensa, ciberseguridad y

especializados en tres ramas fundamentales: asuntos operativos

funcionales y militares; asuntos tecnológicos, académicos y científicos

para la defensa; y asuntos legales” (DUFSITELE, 2017-2019. Capitulo

IV. Pág A-129).

Así mismo, en la sección IV “Estructura del Sub sistema

Cibernético”, describe que este es un conjunto de instalaciones,

equipos, doctrina, procedimientos, tecnologías, servicios esenciales y

personal, para llevar a cabo actividades de control del ciberespacio,

asegurando de manera integrada con el CCFFAA su uso afectivo, así

como impedir o dificultar ataques que atenten contra la defensa

61

La "Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad

de la información para la Ciberdefensa en el Ejército del Perú”, es un

documento normativo que tiene la finalidad de Prevenir, mitigar, neutralizar o

eliminar los riesgos provenientes de ataques informáticos, espías

informáticos y del personal propio, mediante la aplicación de la política de

seguridad de la información; destinada a evitar la pérdida, fuga y/o robo de

información o accesos subrepticios a los servicios y sistemas de información

que cuenta el Ejercito del Perú; afín de contribuir con la seguridad de la

información sensible y clasificada en el ámbito militar de la Defensa Nacional.

nacional. Actualmente el Ejército del Perú viene desarrollando el PIP

de Cibernética del Instituto, teniendo prevista su implementación para

el año 2018 – 2019. (DUFSITELE, 2017-2019. Capítulo VI. Pág A-135).

Figura Nº 16 : Diagrama de la estructura del Sistema de Ciberdefensa del Perú

2.2.2.5. Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de Seguridad

de la Información para la Ciberdefensa en el Ejército del Perú)

62

Disposiciones Generales:

a. Con la presente directiva el Ejercito del Perú, establece la

importancia del ciberespacio, considerándolo como un escenario

estratégico, por tal motivo dicho rol deberá ser asumido por nuestras

fuerzas. Ante esta realidad y consecuente a los nuevos retos y

amenazas; el Ejercito del Perú a fin de poseer la hegemonía de la

protección del ciberespacio en el país ha planteado los siguientes

Objetivos Estratégicos:

• Disponer de capacidades para la detección de amenazas y

reacción.

• Establecer una línea de defensa común y homogénea.

• Colaborar con las instituciones del sector público y privado, que

sean de interés para la ciberdefensa institucional.

• Apoyo al personal militar y civil del Ejército, en las actividades

online, capacidad para combatir al ciberterrorismo y al

ciberespionaje.

• Fortalecer el entorno futuro de la ciberseguridad en el Ejército del

Perú.

Por lo anteriormente expuesto, el Ejército del Perú, a través de la Dtva

Nª 001- LSICEP (2015, p.5), ha propuesto las siguientes líneas de

acción (dotadas presupuestalmente)

• Desarrollo del Programa Nacional de Ciberdefensa en el


Para cumplir eficazmente con las medidas de seguridad, es

necesario formar personal especialista, realizar los análisis de

riesgos pertinentes, supervisar la implantación de medidas

mediante auditorias, adquirir tecnología o contratar servicios

especializados. Por ello su aplicación requerirá una continua

inversión presupuestal.

63

• Gestión homogénea de las redes en el Ejército del Perú.

Para poder gestionar la amenaza de una manera adecuada, se

deberá realizar una gestión única, desde el punto de vista de

seguridad de las redes del Ejército. Las interconexiones con

Internet, deben ser las mínimas posibles y deben cumplir los

mínimos requisitos de seguridad. Actualmente la gestión y la

seguridad de las redes, es responsabilidad de cada una de las

Dependencias, DDEE y GGUU. Siendo responsabilidad de cada

uno de ellos, la seguridad tanto de su red como de las

interconexiones.

• Programa de concientización y Formación para la cultura en

seguridad.

El personal de las Dependencias, DDEE y GGUU, deberán recibir

la formación necesaria, para garantizar el conocimiento de las

medidas de seguridad a implementar. Es necesario el esfuerzo

continuo y coordinado con la DIEDOC, en acciones de formación

del personal que llevará a cabo la ciberdefensa en el Ejercito del

Perú. Además, serán necesarias acciones de concienciación a

todos los usuarios para que conozcan y en la medida de lo posible,

reduzcan las nuevas amenazas a las que nos enfrentamos y que

por su naturaleza cambiante, se deben plantear a largo plazo.

También se debe potenciar el desarrollo de cátedras y jornadas en

Universidades y otros centros de formación, que traten sobre temas

relacionados a la seguridad en los sistemas de información y

comunicaciones.

• Uso de estándares y certificaciones de seguridad de los

productos TIC en el Ejercito del Perú.

Es necesario que las tecnologías y productos, hayan sido revisadas

desde el punto de vista de seguridad. Estos procesos son costosos

y difíciles de abordar, por lo tanto se deben impulsar programas,

que faciliten esta actividad que indudablemente elevará la calidad

de los mismos y mejorará la calidad de los productos que consigan

una certificación. Para ello esta línea de acción, permitirá en un

64

largo plazo disponer de la arquitectura necesaria, para testear

productos TIC; bajo los estándares internacionales y militares.

• Despliegue de sistemas de alerta, protección y sus

interconexiones.

Para garantizar el nivel de seguridad requerido por los sistemas de

las de las Dependencias, DDEE y GGUU, es necesario actuar

antes de que se produzca un incidente o, por lo menos, detectarlo

en un primer momento, para reducir su impacto y alcance. La

DITELE deberá impulsar la entrada en servicio de Sistemas de

Alerta Temprana, para la detección rápida de incidentes y

anomalías, dentro de las redes del Ejército. Estos sistemas, basado

en el análisis y correlación de registros (logs) generados por las

herramientas de seguridad instaladas en las citadas redes,

permitirán detectar de manera proactiva, cualquier anomalía y

ataque, analizando el tráfico que circula en sus redes. Por otro lado

es de máximo interés, la potenciación de los sistemas similares que

permitan monitorizar en tiempo real el tráfico entrante y saliente de

las salidas de Internet de las diferentes dependencias, DDEE y

GGUU, recolectando información de seguridad relevante y

proporcionando información de los ataques recibidos.

• Establecer redes clasificadas y mejorar la seguridad en ellas.

Estas redes, manejan la información clasificada y sensible de la

institución, para conducir operaciones de mantenimiento de paz,

operaciones militares, actividades diplomáticas, actividades

contraterroristas y actividades de inteligencia. Se debe reforzar por

tanto las medidas de seguridad de estos, adaptando las

salvaguardas y procedimientos existentes, de acuerdo a la

evolución de los ciberataques. Para ello, se deberá diseñar un plan

de mejora de las mismas y potenciar las capacidades de la IGE, la

DIE y la DITELE, que deben auditar y monitorizar las actividades

de estas redes.

65

• Coordinación de esfuerzos en investigación y desarrollo (I+D)

en tecnologías de seguridad.

Observando la rapidez con la que evolucionan los sistemas, la

continua aparición de vulnerabilidades que suponen una amenaza

para la integridad de estos, y la creciente dependencia de las DDEE

y GGUU; respecto a las tecnologías de la información, se hace

necesario el desarrollo de programas, estrategias y tecnologías,

que proporcionen niveles de seguridad superiores a las que ofrecen

los actuales sistemas.

Para poder disponer de autonomía en el empleo de estas

tecnologías es necesario potenciar la coordinación con la DIDETEC

y el CONCYTEC de la PCM, para la financiación, promoción,

desarrollo, obtención, adquisición y puesta en explotación de

productos de seguridad, especialmente si incluyen cifrado. Esta

iniciativa se considera crítica, para evitar redundancias y para

identificar vulnerabilidades o deficiencias en estos esfuerzos, así

como para intentar evitar el empleo de tecnología de terceros

países en aspectos tan críticos como la protección de la

información.

• Mejorar los mecanismos de coordinación y respuesta a

incidentes cibernéticos.

El intercambio fluido de información, es fundamental para mitigar

los daños causados por los ataques desde el ciberespacio; al

permitir una pronta identificación de este y la ejecución temprana

de una respuesta rápida y adecuada. Con esta línea de acción, se

pretende aumentar las capacidades de inteligencia y defensa; por

ello, se deben mejorar los procedimientos de intercambio de

información, con los centros de operación y los centros de

respuesta, ante incidentes del Sector Defensa. Es del máximo

interés la realización de ejercicios, que demuestren la efectividad

de estos canales de coordinación.

66

Personal Capacitado: La Persona que ha adquirido conocimientos

técnicos, teóricos y prácticos que van a contribuir en su desarrollo y

desarrollar habilidades (Aptitudes y Actitudes) que le van a permitir

desarrollar sus funciones y cumplir con sus responsabilidades de

manera eficiente y efectiva.

• Desarrollar el plan de protección de los servicios críticos

institucionales ante ciberamenazas.

Será necesario, por tanto, impulsar la colaboración entre el

CCFFAA y los institutos armados (FAP y MGP) y los organismos

especializados en ciberamenaza, en los siguientes campos:

➢ Gestión de incidentes de seguridad para un tratamiento

adecuado de los ciberataques.

➢ Actualización de información sobre vulnerabilidades tanto de

sistemas que soportan los servicios críticos.

➢ Cumplimiento por parte de los operadores de los estándares de

seguridad, que se definan como mínimos.

➢ Realización de análisis de riesgos y auditorias de seguridad

que establezcan los niveles de riesgos a los que están

sometidos estos sistemas.

• Potenciar la colaboración internacional y privada en materia

de ciberdefensa y ciberseguridad.

Por la naturaleza transnacional de la amenaza y del ciberespacio,

hace necesario una cooperación internacional para hacerle frente.

Se deben impulsar, la firma de acuerdos en materia de

ciberdefensa y ciberseguridad.

2.2.3. Términos Conceptuales

2.2.3.1. Variables del Entorno Nacional – Sector Defensa

A. Personal Capacitado en Ciberdefensa.

67

El elemento humano es el factor decisivo para las operaciones en el

ciberespacio, ya que este espacio es un medio artificial, creado por el hombre,

por lo que este es un factor crítico en su desarrollo y evolución. En el extremo

final de toda conexión de la red y de todo computador conectado al ciberespacio,

siempre habrá una persona que la utilice, controle, la administre, la configure, la

programe o la repare y fundamentalmente, alguien que tome las decisiones y

ordene las acciones en función de los datos que presenten los computadores.

Según Gómez A. (2014.p 34)

El talento humano es un factor importante en el campo de la

ciberdefensa, si no está capacitado correctamente podría constituir en una

amenaza, al igual que si el personal no tiene habilidades, destrezas, aptitudes

en el campo de la informática, la rotación del personal es una amenaza para el

buen funcionamiento de la ciberdefensa, se debe pensar en una estrategia para

que el personal que integre este comando tenga un tratamiento especial en ese

aspecto; así mismo, este personal que conforma este comando debe ser

personal con altos niveles de ética, profesionalidad, responsabilidad y

habilidades especiales, lo fundamental es disponer del personal más calificado

e innovador posible y con la capacidad de desarrollar propias herramientas para

estar delante de los posibles adversarios, en tecnología y en procedimientos.

Según Castro E (2015, p 56).

Formación de un nuevo tipo de Soldado

El General Robert Elder Jr., Comandante (desde jun 2006 – hasta jul 2009)

de la Octava Fuerza Aérea, Comandante del Componente Conjunto para Ataque

e Integración Global - Comando Estratégico de EE.UU. (USSTRATCOM)

declaró:

…El cambio cultural es que vamos a tratar a Internet como un campo de

guerra y vamos a concentrarnos en él y darle prioridad para acciones en el

ciberespacio y acompañarla, si es necesario, con acciones en el espacio

aéreo y terrestre. Vamos a desarrollar, junto con las universidades, guerreros

ciberespaciales que sean capaces de reaccionar ante cualquier amenaza las

24 horas del día durante los siete días de la semana. (Mexidor D. ,2011).

68

Luego de conocer las amenazas que debe enfrentar un CERT y las tareas

que deberían realizar, fácilmente se puede inferir que los integrantes del mismo

que deban conducir las batallas virtuales, deberán ser personal altamente

calificado y sus operadores deberán estar debidamente capacitados para

estar a la altura de lo que estas nuevas amenazas y la tecnología le demandan

según Miranda S. (2014, p 26).

El personal que lo integra deberá estar en capacidad de analizar las redes

del adversario y sus vulnerabilidades, desarrollar y usar software para la

detección de intrusos y defensa de las redes, localización de averías y reparación

de las mismas, coordinación y dicreción de esfuerzos para rechazar un ataque.

Al mismo tiempo deberán mantener las capacidades de ingeniería y desarrollo

de software para la creación de nuevas armas y herramientas. Según Timothy F

(2012, p 42).

No son simples operadores lo que se necesita para integrar estos equipos,

sino que se debe formar un: …” equipo de profesionales de lucha de ciberguerra,

cada uno con sus propias responsabilidades y conjunto de habilidades, para

establecer, controlar y proyectar poder de combate en y a través del

ciberespacio.” Según Timothy F (2012, p 42).

Por el ámbito donde deben actuar y por su competencia, este personal

deberá tener una preparación eminentemente universitaria, orientada hacia el

área de informática, redes y criptología para cubrir todas las áreas de la red que

integra al sistema de defensa (computadoras, comunicaciones y seguridad de

datos).

Estos nuevos soldados pueden estar agrupados en cuatro grandes grupos:

operadores de ciberdefensa, técnicos, analistas de ciberdefensa y

desarrolladores de armas, Según Timothy F (2012, p 46). los cuales pueden

formar unidades de operaciones, tanto para el ciberataque como para la

ciberdefensa, en capacidad de dar respuesta a las diversas variantes que se

planteen en una misión.

69

Otro punto importante en la formación de los cibersoldados, es la “cultura

de combate de guerra a desarrollar”. Según Timothy F (2012, p 46)”, según

lo dicho por el Teniente Coronel de la USAF Timothy Franz, en su artículo “El

profesional de la ciberguerra – principios para desarrollar la próxima generación”

ya que:

…la mayoría de los profesionales de la ciberguerra actuales provienen de

los campos profesionales de comunicaciones e información, históricamente se

han concentrado en mantener las comunicaciones en funcionamiento, no en

comprender las misiones apoyadas por cada enlace o nodo […] nuestros

ciberdefensores necesitan familiarizarse mejor con la gama completa de

amenazas hostiles a nuestros sistemas de información y más habilidades en

combatir ataques de tales amenazas. La cultura de los actuales profesionales de

la ciberguerra debe evolucionar de una cultura que provee servicios a una que

ofrezca un equilibrio de servicio, seguridad y conocimiento de amenazas, todo

en nombre de la seguridad de la misión”. Según Timothy F (2012, p 49).

Si bien la formación profesional, en cuanto a conocimientos técnicos se

refiere, es importante también que estos nuevos tipos de soldados sean

formados también con la cultura y los valores que enarbolan las fuerzas

armadas a la que pertenecen, ya que estarán inmersos en una guerra virtual

todos los días y de ellos dependerá la seguridad de las redes de información e

inclusive el mismo comando y control de las mismas operaciones. Miranda S.

(2014, p 27).

Tabla Nº 02: Niveles de Formación de Profesionales de Ciberguerra

Nivel 1 Profesionales

Nivel 2 Técnico de nivel Superior

Nivel 3 Técnicos

Nivel 4 Desarrolladores

Profesionales en ciberguerra

(CNO), que planean, dirigen, y

ejecutan actividades ofensivas

y defensivas a través del

ciberespacio, con experiencia

en las tecnologías y funciones

de las redes y sistemas del

adversario.

Analistas y encargados de la

selección de objetivos de

ciberguerra, que ofrecen apoyo de

inteligencia a las operaciones de

ciberguerra. Con capacidad de

analizar las redes del adversario y

preparar soluciones de selección

ofensiva de objetivos para armas y

herramientas de ciberguerra.

Técnicos del

ciberespacio que

proporcionan y

mantienen la

infraestructura de

apoyo y el sistema

de armas de

ciberguerra.

Desarrolladores de

ciberguerra que diseñan y

crean herramientas y

armas de ciberguerra.

Deben poseer las

habilidades de ingeniería y

desarrollo de software para

crear hábilmente nuevos

sistemas de armas y

herramientas.

Fuente: Timothy F (2012). “El Profesional de la Ciberguerra, Principios para desarrollar la

Próxima Generación”. Air & Space Power Journal en Español. p. 68

70

Tabla Nª 03: Naciones con capacidad de formar profesionales en ciberguerra.

País Organismo Curso

Estados

Unidos

Agencia Nacional de Seguridad (NSA)

- Información, Assurance, Analysis Development Program (IAADP).

- System and Network Interdisciplinary Program (SNIP).

- AID Development and Education Program (ADEP).

United States Military Academy at West Point - Seguridad de la información, ciberguerra y forense.

Naval Postgraduate School (NPS)

- Master y Doctorado en Graduate School of Operational and Information Sciencies (GSOIS).

- Cyber Security Certificates: fundamentos, defensa y ofensivo.

Reino

Unido

Crandfiel University (Defense Academy)

- Doctorado Mas y Diploma en Información Systems and Management (ciberguerra, información warfare forensic computing, CNO).

OTAN

NATO Computer Incidents Response Capability Technical Centre (NCIRC)

- Formación y entrenamiento en ciberdefensa y ciberguerra (CNO).

NATO Cooperative Cyber Defense Centre of Excelence (CCDCOE)

- Cursos en ciberguerra (CNO).

Fuente: Timothy F (2012). “El Profesional de la Ciberguerra, Principios para Desarrollar la

Próxima Generación”. Air & Space Power Journal en Español. Pág. 69

Por lo anteriormente mencionado, el Ejército del Perú al igual que sus

homólogos, ha puesto en manifiesto está latente preocupación y está tomando

medidas para afrontar estas nuevas amenazas en el ciberespacio, es en ese

sentido, que ha dispuesto que la Dirección de Educación y Doctrina del Ejército

(DIEDOC) cumpla una serie de disposiciones, entre las cuales podemos

mencionar:

Disponer que se especialice y/o capacite al personal subalterno del área de

informática, en administración y seguridad de redes con un mínimo de 1,250

horas académicas; con la finalidad que la institución cuente con personal

idóneo para administrar los sistemas de seguridad informática en la institución.

Debiendo dicho personal laborar de manera obligatoria en las áreas

especializadas y designadas para dicho fin. (Dtva Nª 001- LSICEP, 2015,p 10)

71

Según Ryckman M. (2017), los Recursos Públicos contenidos en la Ley

Anual de Presupuesto, aprobados por una determinada Entidad del

Sector Público. Es la cantidad de fondos destinados a cubrir

los Gastos previstos en programas, subprogramas, proyectos y

unidades presupuestarias, necesarias para el logro de los objetivos y

metas programadas

2.2.3.2. Variables del Entorno Institucional – Ejercito del Perú.

A. Asignación Presupuestaria.

Según el REPORTE DE SEGURIDAD CIBERNÉTICA E

INFRAESTRUCTURA CRÍTICA DE LAS AMÉRICAS, el Perú viene sufrido

ataques cibernéticos (ICS/SCADA) y según el mismo reporte el Perú cuenta

con una calificación de “ALGO PREPARADO” para afrontar Ciber ataques

y según la OEA el Perú no ha aumentado el presupuesto para este sector

en el periodo 2014 – 2015.

Así mismo, según la OEA en TENDENCIAS DE SEGURIDAD

CIBERNETICA EN AMERICA LATINA Y EL CARIBE, “el Perú no cuenta

con una estrategia o política nacional oficial de seguridad cibernética”

(OEA,Junio 14, p 76).

Lo cual agrava aún más la situación; sin embargo, el Ministerio de

Defensa del Estado Peruano, cuanta con un presupuesto anual asignado

para “Mejorar las capacidades Militares para la Defensa y el Desarrollo

Nacional” y “Desarrollo de Ciencia y Tecnología e Innovación Tecnológica”

el cual se muestra a continuación:

http://www.eco-finanzas.com/diccionario/C/CONCEPTO_DE_GASTO.htm

72

Figura Nº 17 – “Ejecución Presupuestal por categoría presupuestal del Ministerio de Defensa”

Fuente: congreso de la república del Perú en la web: http://www.congreso.gob.pe/Docs/comisiones2016/Presupuesto/files/defensa_ppto_2017.pdf

Las principales potencias Estados Unidos, Reino Unido, Francia y Alemania

destinan importantes recursos humanos, económicos y tecnológicos al

desarrollo y obtención de cibercapacidades, en especial aquellas de carácter

ofensivo. El resto de países destina presupuestos más moderados para dotarse

de capacidades defensivas e inteligencia, aunque en el medio largo plazo se

proponen obtener capacidades de ataque

Estados Unidos invierte miles de millones de dólares en programas

destinados al desarrollo y la adquisición de cibercapacidades avanzadas con el

objetivo de mantener su condición de primera potencia mundial; Reino Unido

cuenta con la Alianza Atlántica para afianzar sus capacidades de ciberdefensa y

apoyar un programa nacional de Ciberseguridad dotado de más de 1,200

millones de euros; Francia apoyándose en un presupuesto aproximado de 1,000

millones de euros durante 2014-2015 ha optado por aprovechar el conocimiento

desarrollado por la Alianza durante la última década, así como por sus expertos

en seguridad y defensa del ciberespacio. (Fajón E, 2015).

http://www.defenceiq.com/cyber-defence/articles/france-invests-2-billion-in-cyber-defences-as-atta/

http://www.defenceiq.com/cyber-defence/articles/france-invests-2-billion-in-cyber-defences-as-atta/

73

En Sudamérica los estados han empezado a dar importancia a este gran reto

que es ciberdefensa como eje prioritario para la estabilidad de la nación; es en

ese sentido que Colombia, Brasil, Ecuador y Chile han sido primeros que han

tomado medidas para comenzar su implementación.

• Colombia destinará 28,3 millones de dólares hasta 2019 para reforzar sus

sistemas de ciberseguridad y ser uno de los primeros países del mundo en

adecuarse a las recomendaciones de la Organización para la Cooperación y

el Desarrollo Económico, estos millonarios recursos también buscan reforzar

las capacidades técnicas de ciberdefensa y actualizar una estrategia de

protección de la infraestructura crítica, como el sistema energético o el

financiero, que corren riesgos informáticos que podrían causar problemas

serios en su operación. (Sputnik Mundo, 2011)

• Chile: Según publicaron diversos medios de comunicación, la Policía de

Investigaciones de Chile (PDI) invirtió casi 3 millones de dólares en la compra

de un malware espía con características de botnet, a la empresa italiana

Hacking Team (Galileo, rebautizado como “Phantom”). Es de público

conocimiento que esta empresa fue objeto de una filtración de emails,

documentos y código fuente de su malware. (Provoste J , 2015).

• Ecuador: El general Luis Garzón, jefe del Comando Conjunto de las Fuerzas

Armadas, anunció que la entidad piensa en implementar un Comando de

Ciberdefensa, que tendría un presupuesto inicial de 8 millones de dólares. El

nuevo Comando este nuevo Comando de Ciberdefensa, que estará ubicado

inicialmente en el batallón de comunicaciones Rumiñahui y luego en la brigada

de infantería Pichincha, en Aychapichu, cerca de Machachi, en Pichincha. (EL

TELÉGRAFO,2015)

https://www.google.com.pe/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&sqi=2&ved=0ahUKEwjl0pHfs47TAhWLMSYKHRtBBnUQFggYMAA&url=https%3A%2F%2Fmundo.sputniknews.com%2F&usg=AFQjCNFY9axStQBr9Tk4VMJT-OWFLO6alw&sig2=eKIDuV-CYAJ36tpou13xSw&bvm=bv.151426398,d.eWE

74

Son aquellas instalaciones, redes, servicios y equipos asociados o

vinculados con activos de tecnología de información y

comunicaciones, o activos de información sobre las que descansa el

funcionamiento de los servicios esenciales y cuya afectación,

interrupción o destrucción tendría un impacto negativo en el desarrollo

de las actividades cotidianas de la organización. Por definición,

presenta un alto grado de riesgo y amenaza, y su salvaguarda y

seguridad son temas de importancia relevante.

Figura Nº 18 – “Presupuesto General de la República del Ecuador

Asignación Presupuestal para Ciberdefensa 2015-2016”

B. Infraestructuras estratégicas

75

Existen países que tienen un gran potencial económico y bélico que

han sido afectados por esta amenaza del ciberataque, ciberguerra y el

espionaje. Estos países han comenzado a implementar sus políticas de

ciberdefensa y ciberseguridad; así como, han empezado edificar

infraestructuras, adquirir equipamiento y capacitar a su personal, a fin de

hacer frente a estas amenazas globales.

Es en ese sentido que nivel Sudamérica países como Colombia,

Ecuador, Chile, Argentina vienen implementado y mejorando sus

comandos de ciberdefensa, los cuales cuentan con infraestructuras de

Tecnologías de Información que le permiten desarrollar las capacidades

cibernéticas, a continuación, mencionaremos algunas de ellas:

• Ecuador: El comando especializado en ciberdefensa que las FF.AA.

ejecutarán desde el 2015, se encargará de evitar vulneraciones a la

seguridad del Estado, convirtiéndose a partir de su aplicación en el sexto

comando operacional. (Cotar C. ,2015).

Figura Nº 19 – “Comando de Ciberdefensa del Ecuador”

Fuente: Cybersecurity Week from the Center of the World

• Colombia: es el primer país de América Latina en adoptar una estrategia

para prevenir, enfrentar delitos y minimizar el nivel de riesgo de los

ciudadanos ante amenazas o incidentes de naturaleza cibernética, para

esto el Gobierno Nacional estableció tres organismos con la capacidad

técnica y operativa para enfrentar estas nuevas amenazas, conformando

así el denominado “Tridente” de ciberseguridad y ciberdefensa.

76

- En primera instancia, se consolidó la entidad interinstitucional

COLCERT (con funcionarios del Ministerio de Defensa, Ministerio de

Justicia y Ministerio TIC) encargada de la respuesta a incidentes

cibernéticos y de la coordinación entre las partes interesadas en el

ámbito nacional.

- En segunda instancia, se desarrolló el Comando Cibernético Policial

(CCP) de la Policía Nacional, bajo la dirección de Investigación

Criminal e INTERPOL (DIJIN). El CCP es la principal unidad

designada para investigar todos los casos en los que se ha visto

comprometida la ciberseguridad de las entidades del Gobierno y del

sector privado del país.

- En tercera instancia, se creó el Comando Conjunto Cibernético

(CCOC) en cabeza del Comando General de las Fuerzas Militares,

encargado de prevenir y contrarrestar todo ataque de naturaleza

cibernética que afecte los intereses nacionales.

Figura Nº 20 – “Comandos de Ciberdefensa de Colombia”

Fuente: Consejo Nacional de Política Económica y Social - CONPES 3701.

77

Infraestructura Básica de la Ciberdefensa.

De acuerdo al estudio de varios modelos de otros países, lo que la mayoría

menciona es que se debe tener:

Tabla Nª 04

Infraestructura Básica de Ciberdefensa.

01 Infraestructura física para 130 personas y equipos

02 Los servidores necesarios con el software y herramientas.

03 Centro de monitoreo y Centro de análisis.

04 Centro de monitoreo de sistemas críticos, Laboratorio de análisis forense,

laboratorio de malware, sandbox.

05 Centro de respuesta a incidentes militares, laboratorios de guerra cibernética,

laboratorio forense, laboratorio de pruebas.

06 Data center robusto, sensores de monitoreo, segmentos de red aislada.

07 Seguridad física, Seguridad Lógica (Claves), Seguridad de acceso a la

información

08 Equipos de análisis de vulnerabilidades, equipos para detectar amenazas.

09 Hardware, software con licenciamiento en áreas de defensa (explotación,

respuesta y forense).

10 Redes de nueva generación (redundancia, escalada, alta disponibilidad,

seguridad) Planes de continuidad (Planes de recuperación de desastres).

11 Estructura orgánica: hardware relacionado, software de monitoreo, hacking y

forense.

12 Monitoreo de red SIM (manejo de información de seguridad), herramientas de

análisis forense y evaluación de seguridad.

13 Hardware y Software para seguridad y monitoreo de las FFAA.

14 Grupo de Respuesta, Grupo de Explotación.

15 Personal con altos niveles de ética, profesionalidad, responsabilidad y

habilidades.

16 Crear la capacidad para la protección de infraestructura crítica y realizar

operaciones básicas ofensivas en el ciberespacio.

2.3. Glosario de términos

a. Atacante

Cualquier persona que deliberadamente explotar vulnerabilidades en los

controles técnicos y no técnicos de seguridad con el fin de robar o

comprometer los sistemas y redes de información, y poner en peligro la

disponibilidad para los usuarios legítimos del sistema de información y

recursos de la red.

78

b. Amenazas

Todo aquello que intenta o pretende destruir, es un peligro latente que

puede dañar y que puede llegar a culminarse o puede no hacerlo. Una

amenaza será cualquier circunstancia con el potencial suficiente para

causar pérdida o daño al sistema.

c. Ataque de Red

Las medidas adoptadas a través del uso de redes de ordenadores para

interrumpir, negar, degradar o destruir la información almacenada en los

ordenadores y redes informáticas, o los ordenadores y las propias redes.

d. Buenas prácticas

Las buenas prácticas son recomendaciones o consejos que se le dan al

personal durante su trabajo o al momento de su capacitación, para que éste

desarrolle de manera eficiente el trabajo, resuelva o evite problemas

relacionados con las actividades a realizar. Las cuales surgen de la

experiencia y se apoyan en algunas políticas de seguridad de la misma

organización.

e. Capacidad de Ciberdefensa

Capacidad para proteger y repeler contra una explotación cibernética o

ataque cibernético que puede ser utilizado como una disuasión cibernética

eficazmente.

f. Capacidad de Ciberofensiva

Una capacidad de iniciar un ataque cibernético que puede ser utilizado

como un elemento disuasorio cibernético.

g. Componentes lógicos de la información

Corresponden a la capa abstracta de datos que fluyen a través de las

infraestructuras físicas de la información. Son componentes lógicos de la

información, todos los programas computacionales, los protocolos técnicos

de transmisión y almacenamiento de datos en todas sus capas, y en

general todas las infraestructuras lógicas que sustentan las interacciones

humanas en el ciberespacio.

79

h. Ciberataque

Consistente en acciones hostiles desarrolladas en el ciberespacio con el

objetivo de irrumpir, explotar, denegar, degradar o destruir la infraestructura

tecnológica, componente lógico o interacciones de éste y pueden tener

distintos niveles según su duración, frecuencia y daño generado.

i. Ciberemergencia

Es un estado, durante el cual la información de seguridad en sistemas de

información o servicios o redes de comunicaciones electrónicas seguridad

se ponen en peligro de extinción por lo tanto pueden ser violados o

destruidas.

j. Ciberespionaje

Los ataques cibernéticos dirigidos contra la confidencialidad de un sistema

de TI se les conoce como "espionaje cibernético", es decir, el espionaje

digital. Los ataques cibernéticos dirigidos contra la integridad y la

disponibilidad de un sistema de TI se denominan como el sabotaje

cibernético.

k. Ciberinteligencia

Actividades utilizando todas las fuentes de "inteligencia" en apoyo de

Seguridad Cibernética para trazar la amenaza general cibernética, para

recoger las intenciones cibernéticos y posibilidades de adversarios

potenciales, analizar y comunicar, y para identificar, localizar y asignar el

origen de los ataques cibernéticos.

l. Detección de Intrusos

Sistemas utilizados para detectar las intrusiones o los intentos de intrusión;

cualquier mecanismo de seguridad con este propósito puede ser

considerado sistema de detección de intrusos, pero generalmente sólo se

aplica esta denominación a los sistemas automáticos.

80

m. Exploits

Secuencia de comandos utilizado con el fin de aprovechar una

vulnerabilidad de seguridad de un sistema de información para conseguir

un comportamiento deseado).

n. Infraestructura crítica de la información:

Las instalaciones, redes, servicios y equipos físicos y de tecnología de la

información cuya afectación, degradación, denegación, interrupción o

destrucción pueden tener una repercusión importante en la salud, la

seguridad o el bienestar económico de los ciudadanos o en el eficaz

funcionamiento de los gobiernos de los Estados.

o. Intrusión

Se denomina intrusión a un conjunto de acciones que intentan

comprometer la integridad, confidencialidad o disponibilidad; además una

intrusión no tiene por qué consistir solo en un acceso no autorizado a una

máquina, también puede ser una negación de servicio, es decir dejar sin

funcionamiento al sistema informático.

p. Medio Ambiente Cibernético

Esto incluye a los usuarios, redes, dispositivos, todo el software, los

procesos, la información en el almacenamiento o el transporte,

aplicaciones, servicios y sistemas que se pueden conectar directa o

indirectamente a las redes.

q. Política de seguridad de la información

Una política de seguridad de la información es un conjunto de reglas

aplicadas a todas las actividades relacionadas al manejo de la información

de una entidad, teniendo el propósito de proteger la información, los

recursos y la reputación de la misma.

r. Red de Defensa de Ordenadores (CDN)

Las medidas adoptadas para defenderse de la actividad no autorizada

dentro de las redes de ordenadores. CDN incluye el monitoreo, detección,

análisis (tales como análisis de tendencias y patrones), y la respuesta y la

restauración de las actividades.

81

2.4. Formulación de las hipótesis

2.4.1. Hipótesis general

Se presenta dificultades que impiden el mejoramiento de la Ciberdefensa y

su incidencia en la protección de la información del Ejército del Perú,

porque: “…existen deficiencias en los programas de capacitación; o

por carencias de recursos disponibles para ciberdefensa; o por

desconocimiento o no se aplica de manera adecuada de los

procedimientos de seguridad informática; o por presentar

incumplimientos normativos de disposiciones internas o externas

referidos a la ciberdefensa…”

2.4.2. Hipótesis específicas

a) Hipótesis Específica “a”

“…Se presentan deficiencias en los Programas de Capacitación, para

el Personal Militar o Civil que Administran las infraestructuras de TI; por

no contar con un adecuado nivel de capacitación en Ciberdefensa; o por

no tener un nivel de conocimiento adecuado de los lineamientos que se

disponen en la Norma Técnica Peruana NTP-ISO/IEC 17799, sobre

buenas prácticas para la gestión de la seguridad de la información…”

b) Hipótesis Específica “b”

“…Se observa, carencia de Recursos Disponibles para Ciberdefensa;

por no contar un adecuado nivel de Asignación presupuestal o por no

contar con un adecuado nivel de funcionalidad de las Estructuras

Estratégicas necesarias que brinden seguridad a la información…”.

c) Hipótesis Específica “c”

“…Se observa desconocimiento o aplicación inadecuada de los

procedimientos de seguridad informática; por no contar con un adecuado

nivel de conocimiento de los Conceptos y Principios básicos

relacionados con Ciberdefensa …”.

82

d) Hipótesis Específica “d”

“…Se presenta incumplimientos de disposiciones normativos

relacionados a ciberdefensa; por no tener un adecuado grado de

cumplimiento del Plan de Desarrollo de la Sociedad de la Información en

el Perú. La Agenda Digital 2.0, o el Plan de desarrollo Institucional

“Bolognesi”, Directiva única para el Funcionamiento del Sistema de

Telemática y Estadística del Ejército (DUFSITELE) y la Directiva Nº

Directiva Nº 001 sobre los Lineamientos de seguridad de la información

para la Ciberdefensa en el Ejército del Perú …”.

2.5. Clasificación e Identificación de las variables

• Variable Independiente X:

La Ciberdefensa

• Variable Dependiente Y:

La Protección de la Información.

2.5.1. Clasificación de las Variables

Variables de la Realidad

Programas de Capacitación

Recursos disponibles

Procedimientos de seguridad informática

Disposiciones Normativas

Variables del Marco Referencial

Variables Teóricas:

Conceptos básicos

Principios básicos

Variables del Entorno Nacional – Sector Defensa:

Personal Capacitado en Ciberseguridad y Ciberdefensa.

83

Variables del Entorno Institucional Ejército del Perú:

Asignación Presupuestal

Infraestructura Estratégica

Variables sobre Disposiciones Externas e Internas:

Norma Técnica Peruana NTP-ISO/IEZ 17799.

Plan de Desarrollo de la sociedad de la Información en el Perú. La agenda

Digital 2.0

Directiva Única para el Funcionamiento del Sistema de Telemática y

Estadística del Ejército

Directiva Nº 001/sobre los Lineamientos de seguridad de la información para

la Ciberdefensa en el Ejército del Perú).

2.5.2. Definición de las Variables

Variables de la Realidad (A)

Programas de Capacitación. -

Pertenecen al dominio de esta variable todos los datos que en común

tienen la propiedad de explicitar: según Conner (1991) “…es un proceso

estructurado y organizado por medio del cual se suministra

información y se proporcionan habilidades a una persona para que

desempeñe a satisfacción un trabajo determinado.

Recursos disponibles. -


tienen la propiedad de explicitar: ”… los recursos de las organizaciones

son todos aquellos elementos que están bajo el control de una

organización, y que potencialmente pueden contribuir al logro de sus

objetivos, Los recursos de las organizaciones se pueden clasificar en

recursos humanos, recursos materiales, recursos financieros y

recursos intangibles…” (Guerrero J. ,2015)

84

Procedimientos de seguridad informática. -


tienen la propiedad de explicitar: “…son el factor más importante dentro de

la protección de activos de información se basa en la administración de la

seguridad de la información, en la cual se detallan los pasos a seguir o

ejecutarse para llevar a cabo unas tareas determinadas; así como permiten

aplicar e implantar las Políticas de Seguridad que han sido aprobadas por

la organización.” (López M. & Quezada C. , 2006, p 23).

Dispositivos Normativos. -


tienen la propiedad de explicitar: “…una disposición normativa es una

prescripción adoptada por una institución con autoridad para

establecer un tipo de normas, las cuales tienen rango de ley o carácter

reglamentario que pueden tener normas jurídicas…”

Variables del Marco Referencial

a) Variables teóricas

Conceptos básicos. -

Pertenecen al dominio de esta variable todos los datos que en común tienen

la propiedad de explicitar: “…es la originalidad teórica que enriquece el

desarrollo científico…”; “…es la articulación de las teorías

científicas...”; “…es el conjunto de imágenes con significado que

poseemos en nuestra conciencia y del que nos auxiliamos para

identificar las cosas observadas…” (Torres c, 2013, p. 36)

Principios básicos. -


la propiedad de explicitar: “...es un enunciado proposicional que explicita

una constante de cambio de la realidad que antes ha sido una ley o un

axioma; y que, está siendo usado al inicio de un desarrollo teórico.”

(Torres c, 2013, p. 80)

85

b) Variables del Entorno Nacional – Sector Defensa

Personal Capacitado en Ciberseguridad y Ciberdefensa. -


la propiedad de explicitar: “…La Persona que ha adquirido conocimientos

técnicos, teóricos y prácticos en Ciberseguridad y Ciberdefensa que van

a contribuir en su desarrollo y desarrollar habilidades (Aptitudes y

Actitudes) que le van a permitir desarrollar sus funciones y cumplir con

sus responsabilidades de manera eficiente y efectiva…”

c) Variables del Entorno Institucional Ejército del Perú

Asignación Presupuestal. -


la propiedad de explicitar: “...Son los Recursos Públicos contenidos en la

Ley Anual de Presupuesto, aprobados por una determinada Entidad del

Sector Público. Es un monto destinado a cubrir los Gastos previstos en

programas, subprogramas, proyectos y unidades presupuestarias,

necesarias para el logro de los objetivos y metas programadas…” (

Ryckman M. (2017).

Infraestructura Estratégica. -


la propiedad de explicitar: “… Son aquellas instalaciones, redes, servicios

y equipos asociados o vinculados con activos de tecnología de

información y comunicaciones, o activos de información sobre las que

descansa el funcionamiento de los servicios esenciales y cuya

afectación, interrupción o destrucción tendría un impacto negativo en el

desarrollo de las actividades cotidianas de la organización…” (Ministerio

de Defensa de España, 2010, p 349)

http://www.eco-finanzas.com/diccionario/C/CONCEPTO_DE_GASTO.htm

86

d) Variables sobre Disposiciones Externas e Internas

Norma Técnica Peruana NTP-ISO/IEC 17799


la propiedad de explicitar:

“…establece recomendaciones para realizar la gestión de la seguridad

de la información que pueden utilizarse por los responsables de iniciar,

implantar o mantener la seguridad en una organización. Persigue

proporcionar una base común para desarrollar normas de seguridad dentro

de las organizaciones y ser una práctica eficaz de la gestión de la seguridad,

así como proporcionar confianza en las relaciones entre organizaciones.”

(NTP‐ISO/ IEC 17799:2004, p.1)

Plan de Desarrollo de la Sociedad de la Información en el Perú. La

Agenda Digital 2.0.-



“…que el Plan de Desarrollo de la Sociedad de la Información en el Perú,

constituye una importante contribución de políticas para el cumplimiento de

los objetivos de Desarrollo del Milenio para el Perú y habiendo identificado

claramente que las Tecnologías de la Información y la Comunicación, no son

un fin en sí mismas, sino un instrumento en la búsqueda de un desarrollo

humano más equitativo y sostenible que haga posible un mayor crecimiento

económico, el logro de mejores empleos y un aumento de la competitividad,

inductor de la inclusión social…” (PDSIP,2016, p.2)

Plan Estratégico Institucional “Bolognesi”. -



87

“…el Plan Bolognesi referido a la modernización del Ejército Peruano es

preciso en cuanto a las metas y objetivos que este busca alcanzar al 2021,

año del Bicentenario de la Independencia Nacional, los objetivos 10 y 11 de

largo plazo del Plan Desarrollo Institucional dispone que el sistema

telemático moderno y eficiente que asegure el comando y control y viabilice

la Investigación, desarrollo e innovación de tecnologías de vanguardia,

requerida por la fuerza…” (PDIB,2014)

Directiva Única de Funcionamiento del Sistema de Telemática y

Estadístico del Ejército - DUFSITELE



“…dicta las normas y disposiciones para orientar y uniformar el

funcionamiento del Sistema de Telemática del Ejército; asimismo normar el

funcionamiento del Sistema de Estadística del Ejército; Así mismo, tiene la

responsabilidad de planear, coordinar, supervisar, controlar y apoyar el Plan

Estratégico Institucional PEI 2017 – 2019, mediante la Acción Estratégica No

07 “Componente Terrestre con un Sistema de Comando y Control Integrado”,

con la finalidad de alcanzar los objetivos institucionales previstos.“

(DUFSITELE, 2017-2019, p2)

Directiva sobre Lineamientos de seguridad de la información para la

Ciberdefensa en el Ejército del Perú



“…documento normativo que tiene la finalidad de Prevenir, mitigar,

neutralizar o eliminar los riesgos provenientes de ataques informáticos,

espías informáticos y del personal propio, mediante la aplicación de la

política de seguridad de la información; destinada a evitar la pérdida, fuga

y/o robo de información o accesos subrepticios a los servicios y sistemas de

información que cuenta el Ejercito del Perú…” (LSICEP,2015,p.1)

88

2.5.3. Operacionalización de las variables

Variable Independiente Dimensiones

X:

Ciberdefensa

X1: Programas de Capacitación. X2: Recursos Disponibles X3: Los Procedimientos de Seguridad Informática X4: Dispositivos Normativos.

Y:

Protección de la Información

Y1: Protección de la Información

NOMBRE DE LAS VARIABLES CONSIDERADAS INDICADORES

X1 = Programas de Capacitación

Personal Capacitado en Ciberseguridad y Ciberdefensa • Nivel de Capacitación

Norma Técnica Peruana NTP- ISO/IEC 17799 • Nivel de Conocimiento

X2 = Recursos Disponibles

Asignación Presupuestal • Nivel de Asignación

Infraestructura Estratégica • Nivel de Funcionalidad

X3 = Procedimientos de seguridad Informática

Conceptos Básicos • Nivel de Conocimiento

Principios Básicos • Nivel de Conocimiento

X4 = Disposiciones Normativas

Plan de Desarrollo de la sociedad de la Información en el Perú. La agenda Digital 2.0 • Grado de Cumplimiento

Plan de Desarrollo Institucional “Bolognesi • Grado de Cumplimiento

Directiva Única de Funcionamiento del sistema de Telemática y Estadística del Ejercito. • Grado de Cumplimiento

Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú)

• Grado de Cumplimiento

89

CAPÍTULO III: METODOLOGÍA DE LA INVESTIGACIÓN

3.1. Tipo, Diseño y Nivel de la investigación

3.1.1. Tipo de investigación

a) Según su finalidad

Investigación Aplicada: Este tipo de investigación también recibe el

nombre de investigación práctica o empírica, se caracteriza porque busca la

aplicación o utilización de los conocimientos que se adquieren, esto queda

aclarado si nos percatamos de que toda investigación aplicada requiere de un

marco teórico, sin embargo, en una investigación empírica, lo que le interesa al

investigador, primordialmente, son las consecuencias prácticas, en el caso

particular del desarrollo de la presente tesis, se aplicara tanto la parte teórica

fundamentalmente a través del marco teórico y también la parte práctica como

consecuencia de las diversas encuestas que se realizaran.

b) Según su alcance temporal

Transversal: El alcance temporal es de tipo Transversal porque en el

desarrollo de esta tesis obligatoriamente se tiene que dar un corte en el tiempo,

asimismo el análisis de la misma contempla un periodo específico, porque los

datos pueden variar por algunas circunstancias perdiendo la relevancia en el

tiempo.

c) Según su carácter

Cuantitativa: La investigación se basa en la recopilación y análisis de

datos numéricos que se obtiene de la construcción de instrumentos de medición

(encuesta) para la posterior prueba de hipótesis.

3.1.2. Nivel de la Investigación

De acuerdo a la naturaleza del estudio de la Investigación, reúne por su nivel

las características de un estudio explicativo, porque no solo pretende

describir o hacer un mero acercamiento en torno a un fenómeno o hecho

específico, sino que busca establecer las causas que se encuentran

detrás de éste.

90

3.1.3. Diseño de investigación

El diseño de la investigación es el No Experimental y de Corte

Transversal, en el primer caso, debido a que no se manipula el factor causal para

la determinación posterior de sus efectos, sólo se describe la situación de la

Ciberdefensa en relación a la protección de la información. Caso: COPERE; se

analiza su incidencia e interrelación en un momento dado de las variables y en el

segundo caso, en razón que el objetivo general y los específicos se orientan al

análisis del nivel o estado de las variables, mediante la recolección de datos en

un punto en el tiempo, a efectos de proponer el mejoramiento de la citada función.

En dicho contexto, se determina el universo de esta investigación, se

selecciona las técnicas, instrumentos e informantes o fuentes, se determina la

muestra y su tamaño, la forma de tratamiento de los datos, la forma de análisis de

las informaciones y el cronograma de ejecución, entre otras acciones.

3.2. Población y muestra

3.2.1. Población

La población de informantes para el presente trabajo de investigación

está constituida por todo Personal Militar y Civil del COPERE que tienen la

responsabilidad de administrar y controlar las diferentes infraestructuras de TI; así

mismo, dicha selección incluye al personal responsable de brindar seguridad de

las redes y sistemas de Información las instalaciones del CGE. que suman 48

personas, las cuales se describen de la siguiente manera.

COPERE

❖ 01 jefe del Departamento de Telemática

❖ 05 jefes de Sección de Telemática (SJAT, SJAPCE, SJAO, SJATSO,

JADPE).

❖ 19 personas entre Personal Militar y Civil que laboran en el DETEL y

SETELES

91

3.2.2. Muestra

En vista de que la población es pequeña, para el presente trabajo de

investigación se tomará la totalidad de la población y según la opinión de López

(1998), “la muestra censal es aquella porción que representa toda la población”.

(p.123); es decir, que las 48 personas que tienen la responsabilidad de administrar

y controlar las diferentes infraestructuras de TI; así como, la responsable de

brindar seguridad de las redes y sistemas de Información las instalaciones del

CGE se tomaran como muestra.

3.3. Técnicas e Instrumento de recolección de datos

3.3.1. Técnicas

Cada Hipótesis especifica se ha contrastado a partir de los datos de los

dominios de las variables que cada una de ellas cruza, por ello para poder

contrastarlas y obtener los datos de los dominios de esas variables, se aplicó las

técnicas que se indican, recurriendo a la información disponible relativa a la

ciberdefensa y su incidencia con la protección de la información. Caso: COPERE

2013-2014

DITELE

❖ 01 jefe de la Sub Dirección de Informática.

❖ 01 jefe de la Sub Dirección de Cibernética.

❖ 01 jefe de la Sub Dirección de Guerra electrónica

❖ 01 jefe de la Sub Dirección de Telecomunicaciones.

❖ 01 jefe del Departamento de Riesgos.

❖ 01 jefe del Departamento de vulnerabilidades.

❖ 01 jefe del Departamento de Operaciones.

❖ 01 jefe del Departamento de Sistemas

❖ 15 personas entre Personal Militar y Civil que laboran en los

diferentes departamentos y data center.

Total de la población: 48 informantes.

92

a) La Técnica del Análisis Documental.

Se ha utilizado, como instrumentos de recolección de datos: fichas

textuales y de resumen; teniendo como fuentes libros (sobre seguridad de

las informaciones, ciberdefensa, ciberseguridad, etc.), e informes y otros

documentos de la Institución, y de instituciones afines; que usaremos para

obtener datos de los dominios de las variables: conceptos y principios

Básicos relacionados a ciberdefensa, Disposiciones emitidas en la Técnica

Peruana NTP-ISO/IEC 17799, Disposiciones del Plan de Desarrollo de la

sociedad de la Información en el Perú, Disposiciones del Plan de Desarrollo

Institucional “Bolognesi, Disposiciones, disposiciones de la Directiva única

para el funcionamiento del sistema de telemática y estadística del Ejército y

Disposiciones de la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos

de seguridad de la información para la Ciberdefensa en el Ejército del Perú)

b) La Técnica de la Encuesta.

Se ha utilizado como instrumento un cuestionario; recurriendo como

informantes a Personal Militar y Civil del COPERE que tienen la

responsabilidad de administrar y controlar las diferentes infraestructuras de

TI; así mismo, dicha selección incluye al personal responsable de brindar

seguridad de las redes y sistemas de Información las instalaciones del CGE,

mediante el cual se ha aplicado para obtener los datos del dominio de las

variables: Programas de Capacitación, Recursos Disponibles,

Procedimientos de Seguridad Informática y Disposiciones Normativas.

c) Indagación

Esta técnica facilitó disponer de datos cualitativos y cuantitativos de cierto

nivel de razonabilidad sobre la ciberdefensa y su incidencia en la protección

de la información del Ejército del Perú.

93

d) Tabulación de cuadros con cantidades y porcentajes.

Información cuantitativa fue ordenada en cuadros que indican conceptos,

cantidades, porcentajes y otros detalles de utilidad relacionados con el

presente trabajo de investigación.

e) Comprensión de gráficos.

Se utilizó los gráficos para presentar información y para comprender la

evolución de la información entre periodos, entre elementos y otros aspectos

relacionados con el tema de investigación.

3.3.2. Instrumentos

Se empleó los instrumentos que se indican, mencionados en el sub

numeral anterior, que servirán para obtener, de los informes documentos,

encuestas y entrevistas que se efectúen, la información pertinente relativa a las

variables correspondientes, relacionadas con la ciberdefensa y su incidencia con

la protección de la información del Ejército del Perú.

a) Las fichas textuales, para efectuar las anotaciones que sean pertinentes.

b) Las fichas de resumen, para consignar los resúmenes que se elaboren.

c) Los cuestionarios, para recabar la información según las interrogantes que

previamente se consideren.

3.4. Procesamiento de los datos

Los datos obtenidos mediante la aplicación de las técnicas e instrumentos

indicados, (rubro 3.3.) se procesaron a través del programa estadístico de

informática SPSS en su versión 25.0; y con ellos se realizaron los cruces que

consideran las hipótesis especificas; y con precisiones porcentuales, con

prelación en su ordenamiento de relevancia de mayor a menor; esta

información se sustentó a través de cuadros, gráficos, etc. Por lo cual los

resultados evidenciaron una realidad la misma que fue analizada para

contrastar cada hipótesis específica y por extensión la Hipótesis Global.

94

3.4.1. Técnicas de Análisis e Interpretación de la información

a) Con respecto a las informaciones que se presentaron como resúmenes,

cuadros, gráficos, etc. se formularon apreciaciones objetivas. Las

apreciaciones correspondientes a informaciones del dominio de variables

que han sido cruzadas en una determinada hipótesis específica, estas

fueron usadas como premisas para contrastar esa hipótesis específica.

b) El resultado de la contrastación de cada hipótesis específica (que pueda

ser prueba total, prueba parcial, disprueba parciales o disprueba total) fue

base para formular una conclusión parcial (es decir que tendremos tantas

conclusiones, parciales como hipótesis específica hayamos

planteado). Las conclusiones parciales, a su vez, se usaron como

premisas para contrastar la hipótesis global.

c) El resultado de la contrastación de la hipótesis global, (que también pudo

ser prueba total, prueba y disprueba parciales o disprueba total) nos dio

base para formular la conclusión general de la investigación.

d) Las apreciaciones y conclusiones resultantes del análisis fundamentarán

cada parte de la propuesta de solución al problema nuevo que dio lugar al

inicio de la investigación.

3.4.2. Diseño estadístico: Validación de Hipótesis.

a) Los Resultados: se han obtenido utilizando la “Estadística Descriptiva”

mediante los cuadros y gráficos estadísticos los que se muestran y

explican.

b) Validación de los Resultados: Hipótesis –Hipótesis Específica

La validación se ha realizado a través de la Estadística Inferencial,

utilizando la herramienta de estadística: Prueba de Hipótesis Binomial la

cual permite contrastar la Hipótesis en base a sus variables cuantitativas

DICOTOMICAS, las cuales presentan dos opciones. Esta prueba se

aplicado a cada una de las variables independientes del Marco

95

Referencial y a las variables de la realidad. Esta prueba Binomial, nos

permitió validar lo que se afirma en las hipótesis específicas descritas en el

numeral 2.4.2. del presente trabajo de investigación.

Características de la distribución binomial:

1. En cada prueba del experimento sólo son posibles dos

resultados: éxito y fracaso.

2. La probabilidad de éxito es constante, es decir, que no varía de una

prueba a otra. Se representa por p.

3. La probabilidad de fracaso también es constante, Se representa por q,

q = 1 – p

4. El resultado obtenido en cada prueba es independiente de los

resultados obtenidos anteriormente.

5. La variable aleatoria binomial, X, expresa el número de éxitos

obtenidos en las n pruebas. Por tanto, los valores que puede

tomar X son: 0, 1, 2, 3, 4, ..., n.

6. La distribución binomial se expresa por B(n, p).

Cálculo de probabilidades en una distribución binomial:

𝑍 =𝑋 − 𝑁𝑃

√𝑁𝑃𝑄

X La proporción de Personal Militar y Civil que conocen, aplican, cumplen

los diferentes conceptos o normas relacionadas a ciberdefensa

P Proporción optima que es 0.05

Q Diferencia de la Proporción Optima es decir 1-P = (1- 0.05)

N La Población que en este caso es 48

c) Asociación de Indicadores

Se realizo la validación de asociación, para observar si existe o no

asociación entre dos variables, dentro del mismo grupo, los mismos que

tuvieron el siguiente procedimiento:

96

• Las frecuencias observadas se sometieron primero a la prueba

estadística No Paramétrica Chi Cuadrado a fin de probar si existía o no

asociación, donde el estadígrafo es el siguiente:

𝑥2 =∑∑(𝑂𝑖𝑗 − 𝐸𝑖𝑗)

2

𝐸𝑖𝑗

𝑛

𝑗=0

𝑛

𝑖=1

Dónde:

l: Representa el número de filas

J: Representa el número de columnas

i: Representa la posición de fila

j: Representa la posición de la columna

Oij: frecuencia observada en cada celda.

Eij: frecuencia esperada.

• Si el valor de probabilidad asociado al Chi Cuadrado (p) es menor o igual

que 0.05 (p<0.05) entonces se afirma que la asociación entre las dos

variables es significativa. Si el valor de p es mayor a 0.05 (p>0.05)

entonces se afirma que la asociación entre las dos variables no es

significativa

• Para medir la intensidad de la relación entre dos variables se ha utilizado

el estadístico Coeficiente de Contingencia de Pawlik, estos toman los

siguientes valores:

➢ 0% hasta 25% : Asociación pobre entre las variables.

➢ 25.01 % hasta 50% : asociación regular entre las variables.

➢ 50.01 % hasta 75 % : Asociación fuerte entre las variables.

➢ 75.01% hasta 100% : Asociación fortísima entre las variables.

d) En Conclusión, se ha validado categóricamente las hipótesis específicas,

las mismas que por la profundidad de sus explicaciones se sustentan, y

demuestran por si solas en el capítulo que corresponde, así mismo por el

análisis lógico del estudio es válido para este tipo de Investigación.

97

CAPÍTULO IV: ANÁLISIS Y PRESENTACIÓN DE RESULTADOS

4.1 PRESENTACIÓN, ANÁLISIS E INTERPRETACIÓN DE RESULTADOS

4.1.1 PRESENTACIÓN DE RESULTADOS

En la presente investigación se utilizó las siguientes técnicas estadísticas:

a. Cuestionario constituido por 38 ítems, dirigida al Personal Militar y Civil

del COPERE que tiene la responsabilidad de administrar y controlar las

diferentes infraestructuras de TI; así mismo, incluye al Personal Militar y

Civil responsable de brindar seguridad de las redes y sistemas de

información de las instalaciones del CGE.

b. Las técnicas estadísticas aplicadas para el procesamiento estadístico de

los datos de las preguntas 2.1, 2,4, 3.1, 3.4, 4.1, 4.4 ,5.1 ,5.4 ,5.7 y 5.10,

fue el análisis No Paramétrico de la prueba estadística Binomial, realizado

con todas las variables del Marco Referencial y las variables de la

Realidad.

c. Las técnicas estadísticas aplicadas para el procesamiento estadístico de

los datos de las preguntas 2.2, 2,3, 2.5, 2.6, 2.7,2.8, 3.2, 3.3, 3.5, 3.6, 3.7,

3.8, 4.2, 4.3, 4.5,4.6,4.7,4.8, 5.2 ,5.3 ,5.5, 5.6, 5.8, 5.9, 5.11, 5.12, 5.13 y

5.14, fue el análisis No Paramétrico de la prueba estadística Chi

Cuadrado, en la cual se determinó la asociación de los indicadores y la

razón por la cual se generan.

Los resultados obtenidos fueron analizados en el NIVEL DESCRIPTIVO,

según los objetivos y las variables de estudios.

98

0

5

10

15

20

25

30

35

40

Capacidad dePrevención

Capacidad deDefensa

Capacidad deDetección

Capacidad deRespuesta

Capacidad deExplotación

Promedio

% Conoce 15 16 11 12 10 12.80

% No Conoce 33 32 37 36 38 35.20

15 16

11 1210

12.80

33 32

37 3638

35.20

4.1.2 ANÁLISIS E INTERPRETACIÓN DE RESULTADOS

4.1.2.1 PROGRAMAS DE CAPACITACION

1) De entre las siguientes Capacidades, marqué los que a su entender

ud. ha sido capacitado y pude aplicar adecuadamente para lograr la

mejora de la ciberdefensa en la protección de la información del


Cuadro N° 03: Capacidades que a su entender ud. ha sido capacitado y

pude aplicar adecuadamente para lograr la mejora de la ciberdefensa en


Conoce No

Conoce Población

Encuestada %

Conoce

% No

Conoce

% Total

Capacidad de Prevención 15 33

48

31.25 68.75

100%

Capacidad de Defensa 16 32 33.33 66.67

Capacidad de Detección 11 37 22.92 77.08

Capacidad de Respuesta 12 36 25.00 75.00

Capacidad de Explotación 10 38 20.83 79.17

Promedio 12.80 35.20 26.67 73.33

FUENTE: Elaboración propia a partir de los datos obtenidos de la encuesta aplicada al Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI y personal responsable de brindar seguridad de las redes y sistemas de Información las instalaciones del CGE. Al 30 septiembre del 2016.

Gráfico Nº 01: Capacidades que a su entender ud. ha sido capacitado y

pude aplicar adecuadamente para lograr la mejora de la ciberdefensa en

la protección de la información del Ejército del Perú

99

Figura Nº 21 – Distribución de Frecuencias de las Capacidades de Ciberdefensa

Análisis. – La anterior figura nos permite interpretar:

…” La cantidad promedio de capacidades de ciberdefensa que conocen el

Personal Militar y Civil del COPERE encargados de administrar las

infraestructuras de TI es: 1,33 y, la mayor cantidad de capacidades de

ciberdefensa que conocen el Personal Militar y Civil del COPERE

encargados de administrar las infraestructuras de TI es está comprendido

en: 0,854 (1,33– 0,476) a 1,806 (1,33+ 0,476) “…

Lo que nos permite calificar como negativo y lo interpretamos como la

explicación de las deficiencias en los programas de capacitación, porque

lo correcto es que la cantidad promedio de capacidades de ciberdefensa

que deben conocen el Personal Militar y Civil del COPERE encargados

de administrar las infraestructuras de TI tienda a las cinco capacidades

consideradas.

100

0.0%4.2%

2.1%

72.9%

20.8%

Totalmente Capacitados

Mayoritariamente Capacitados

Regularmente Capacitados

Minoritariamente Capacitados

No Capacitados

“…que existe deficiencias en la capacitación del Personal Militar y Civil

del COPERE encargadas administrar las infraestructuras de TI, como

consecuencia de la minoritaria y no capacitación de este personal en

Ciberseguridad y Ciberdefensa …”

2) ¿Considera Ud que el Personal Militar y Civil del COPERE

encargadas administrar las infraestructuras de TI, está capacitado en

ciberseguridad y Ciberdefensa para la protección de la Información?

Cuadro N° 04.- Personal Militar y Civil del COPERE encargadas administrar las infraestructuras de TI, está capacitado en ciberseguridad y Ciberdefensa para la protección de Información.

Grafico Nº02: Personal Militar y Civil del COPERE encargadas

administrar las infraestructuras de TI, está capacitado en Ciberseguridad

y Ciberdefensa para la protección de Información.

Análisis. - En consecuencia, con relación a la realidad observada en el

numeral 4.1.2.1. del ítem 2). Existe un 72.9% se encuentra minoritariamente

capacitados en Ciberseguridad y Ciberdefensa, el 20.8% no se encuentra

capacitados; así mismo, el 4.2% se encuentran mayoritariamente

capacitados y tan solo el 2.1% poseen una regular capacitación, los

resultados de la población encuestada se muestran en el cuadro Nº 04 y

gráfico Nº 02. Las razones puestas de manifiesto por los informantes nos

permiten afirmar:

Frecuencia Porcentaje

Porcentaje válido

Porcentaje acumulado

Vá

lidos

Totalmente Capacitados 0 0 0 0

Mayoritariamente Capacitados 2 4.2 4.2 4.2

Regularmente Capacitados 1 2.1 2,1 6.3

Minoritariamente Capacitados 35 72.9 72,9 79.2

No Capacitados 10 20.8 20.8 100

Total 48 100.0 100,0

101

41.7%

18.8%

25.0%

10.4%

4.2% Falta de Planificación

Falta de Infraestructuras de

TI

Falta de Interés de las

Autoridades

Falta de Personal

especialista

Otra, ¿Cuál?

3) ¿Cuáles son las causas o razones que ud. considera por qué el


infraestructuras de TI, No están capacitadas en Ciberseguridad y

Ciberdefensa para la protección de la Información?

Cuadro N° 05.- Causas o razones por la que el Personal Militar y Civil del

COPERE encargados de administrar las infraestructuras de TI, No están

capacitadas en Ciberseguridad y Ciberdefensa para la protección de la

Información.

Grafico Nº03: Causas o razones por la que el Personal Militar y Civil del

COPERE encargados de administrar las infraestructuras de TI, No están

capacitadas en Ciberseguridad y Ciberdefensa para la protección de la

Información.

Análisis. – Estudiando y analizando las razones del Cuadro Nº 5 y Gráfico Nº

03 del numeral 4.1.2.1 del ítem 3). los informantes coinciden en las razones

fundamentales que el Personal Militar y Civil del COPERE encargados de

administrar las infraestructuras de TI, No están capacitadas en Ciberseguridad

y Ciberdefensa para la protección de la Información, porque hay falta de

planificaciones en un 41.7%, falta de interés de las autoridades en un 25%, falta

de Infraestructuras de TI en un 18.8%, falta de personal especialista en un

10.4% y finalmente por falta de recursos económicos en un 4.2 % por tanto, Las

Frecuencia

Porcentaje

Porcentaje válido


Vá

lidos

Falta de Planificación 20 41.7 41.7 41.7

Falta de Infraestructuras de TI 9 18.8 18.8 60.4

Falta de Interés de las Autoridades

12 25.0 25.0 85.4

Falta de Personal especialista 5 10.4 10.4 95.8

Otra, ¿Cuál? 2 4.2 4.2 100

Total 48 100.0 100,0

102

razones puestas de manifiesto por los informantes nos permiten afirmar:

4) De entre los siguientes conceptos que teóricamente deben

conocerse y aplicarse en la gestión de la seguridad de las

informaciones y que se encuentran plasmados en la Norma Técnica

Peruana NTP/ISO/IEC 17799, mencioné las que ud. conoce y aplica

para lograr la mejora de la ciberdefensa en la protección de la


Cuadro N° 06: Conceptos que deben conocerse y aplicarse en la gestión

de la seguridad de las informaciones y que se encuentran plasmados en


Conoce No

Conoce Población

Encuestada %

Conoce

% No

Conoce

% Total

Seguridad Ligada al Personal 14 34

48

29.17 70.83

100

Seguridad Física y del Entorno

15 33 31.25 68.75

Gestión de Comunicaciones y Operaciones

15 33 31.25 68.75

Administración y Control de Acceso

16 32 33.33 66.67

Desarrollo y Mantenimiento de Sistemas

12 36 25.00 75.00

Aspectos Organizativos de la Seguridad

13 35 27.08 72.92

Promedio 14.17 33.83 29.51 70.49


Razones suficientes para sustentar que, como consecuencia de Falta de

planificación, Falta de interés de las autoridades, falta de infraestructuras

de TI, falta de personal especialista y otro, se presentan deficiencias en

la capacitación del Personal Militar y Civil del COPERE encargados de

administrar las infraestructuras de TI.

103

0

5

10

15

20

25

30

35

40

SeguridadLigada alPersonal

SeguridadFísica y del

Entorno

Gestión deComunicacio

nes yOperaciones

Administración y Control

de Acceso

Desarrollo yMantenimie

nto deSistemas

AspectosOrganizativo

s de laSeguridad

Promedio

Conoce 14 15 15 16 12 13 14.17

No Conoce 34 33 33 32 36 35 33.83

14 15 15 1612 13 14.17

34 33 33 3236 35 33.83

Grafico Nº 04: Conceptos que deben conocerse y aplicarse en la gestión

de la seguridad de las informaciones y que se encuentran plasmados en

la Norma Técnica Peruana NTP/ISO/IEC 17799

Figura Nº 22 – Distribución de Frecuencias de la

Cantidad de conceptos de las NTP


…” La cantidad promedio de conceptos sobre la Norma Técnica Peruana

que conocen el Personal Militar y Civil del COPERE encargados de

administrar las infraestructuras de TI es: 1,77 y, la mayor cantidad de

conceptos sobre la Norma Técnica Peruana que conocen el Personal Militar

y Civil del COPERE encargados de administrar las infraestructuras de TI es

está comprendido en: 0,865 (1,77– 0,905) a 2,675 (1,77+ 0,905) “…

104

8.3%

20.8%

37.5%

33.3%

0.0%Total Conocimiento

Mayor Conocimiento

Regular Conocimiento

Menor Conocimiento

No tiene Conocimiento


explicación de las deficiencias en los programas de capacitación, porque

lo correcto es que la cantidad promedio de conceptos sobre la Norma

Técnica Peruana que deben conocen el Personal Militar y Civil del

COPERE encargados de administrar las infraestructuras de TI tienda a

los seis conceptos considerados.

5) Marque con una (X) el nivel de conocimiento de la Norma Técnica


gestión de la seguridad de la información”.

Cuadro N° 07.- Nivel de conocimiento de la Norma Técnica Peruana

NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la

seguridad de la información”.

Grafico Nº05: Nivel de conocimiento de la Norma Técnica Peruana

NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la

seguridad de la información”.


Porcentaje válido


Vá

lidos

Total Conocimiento 4 8.3 8.3 8.3

Mayor Conocimiento 10 20.8 20.8 29.2

Regular Conocimiento 18 37.5 37.5 66.7

Menor Conocimiento 16 33.3 33.3 100.0

No tiene Conocimiento 0 0 0 0

Total 48 100.0 100,0

105

Análisis. – Estudiando y analizando las razones del Cuadro Nº 7 y Gráfico

Nº 05 del numeral 4.1.2.1 del ítem 5). los informantes coinciden con el nivel

de conocimiento de la Norma Técnica Peruana NTP/ISO/IEC 17799 –

“Código de buenas prácticas para la gestión de la seguridad de la

información., donde se observa que, de acuerdo a la prelación, el 37.5% de

informantes tiene regular conocimiento, seguido del 33.3% que respondieron

que tienen menor conocimiento, 20.8% tienen mayor conocimiento y

finalmente un 8.3% tienen total conocimiento de la mencionada directiva. Las


6) ¿Cuáles son las razones o causas de no conocer o aplicar la Norma

Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas

para la gestión de la seguridad de la información”?

Cuadro N° 08.- Razones o causas de no conocer o aplicar la Norma

Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la

gestión de la seguridad de la información


Porcentaje válido


Vá

lidos

Por desconocimiento parcial o total de sus lineamientos 26 54.2 54.2 54.2

No he sido Capacitado 15 31.3 31.3 85.4

Sus lineamientos son difíciles de aplicar en la realidad 4 8.3 8.3 93.8

Sus dispositivos no se adecuan con la realidad de la institución 3 6.3 6.3 100.0

Otra, ¿Cuál? 0 0 0 0

Total 48 100.0 100,0

“…Existen deficiencias en el nivel de conocimiento de la Norma Técnica

Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión

de la seguridad de la información, debido que se tiene un regular y menor

conocimiento de sus lineamientos”

106

54.2%

8.3%6.3%

31.3%

0.0%Por desconocimiento parcial

o total de sus lineamientos

Sus lineamientos son

difíciles de aplicar en la

realidad

Sus dispositivos no se

adecuan con la realidad de

la institución

No he sido Capacitado

Otra, ¿Cuál?

Grafico Nº 06: Razones o causas de no conocer o aplicar la Norma

Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas

para la gestión de la seguridad de la información.


Nº 6 del numeral 4.1.2.1 del ítem 6). los informantes coinciden con las

razones por las cuales no se tiene un buen nivel de conocimiento de la

Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas

para la gestión de la seguridad de la información”, en la cual se observa que,

de acuerdo a la prelación, el 54.2% de informantes manifiestan tener un

desconocimiento parcial o total de la mencionada norma, seguido del 31.3%

que manifestaron no haber tenido capacitación en el tema, 8.3%

respondieron que el desconocimiento es debido a que sus lineamientos son

difíciles de aplicar y finalmente un 6.3 % manifestaron que sus dispositivos

no se adecuan a la realidad institucional. Las razones puestas de manifiesto

por los informantes nos permiten afirmar:

Razones suficientes para sustentar que, como consecuencia del

desconocimiento total o parcial de la norma, la falta de capacitación en el

tema, la dificultad de aplicar sus lineamientos y que sus dispositivos no

se adecuan a la realidad de nuestra institución, se presentan deficiencias

en el nivel de conocimiento de la Norma Técnica Peruana NTP/ISO/IEC

17799 – “Código de buenas prácticas para la gestión de la seguridad de

la información”., ya que el Personal Militar y Civil del COPERE no posee

con los conocimientos necesarios para la óptima aplicación de esta.

107

0.0% 12.5%

56.3%

31.3%

Sumamente Satisfecho

Muy Satisfecho

Satisfecho

Poco satisfecho

Nada satisfecho

7) A1 ¿Cómo califica el nivel de los programas de capacitación

relacionados con la ciberdefensa y su incidencia en la protección de la

información del Ejército del Perú?

Cuadro N° 09.- Nivel de los programas de capacitación relacionados con

la ciberdefensa y su incidencia en la protección de la información del Ejército

del Perú

Grafico Nº07: Nivel de los programas de capacitación relacionados con la

ciberdefensa y su incidencia en la protección de la información del Ejército

del Perú.

Análisis. – Estudiando y analizando las razones del Cuadro Nº 9 y Gráfico Nº 07

del numeral 4.1.2.1 del ítem 7). los informantes coinciden con el nivel de los

programas de capacitación relacionados con la ciberdefensa y su incidencia en la

protección de la información del Ejército del Perú., donde se observa que un 87.6%

de los informantes están poco o nada satisfechos y tan solo un 12.5% están

satisfechos con los programas de capacitación. Por las razones puestas de

manifiesto por los informantes nos permiten afirmar:


Porcentaje válido


Vá

lidos

Sumamente Satisfecho 0 0 0 0

Muy Satisfecho 0 0 0 0

Satisfecho 6 12.5 12.5 12.5

Poco satisfecho 27 56.3 56.3 68.8

Nada satisfecho 15 31.3 31.3 100.00

Total 48 100.0 100,0

“…Existen deficiencias en el nivel de los programas de capacitación


información del Ejército del Perú., debido que Personal Militar y Civil del

COPERE encargados de administrar las infraestructuras de TI y personal

responsable de brindar seguridad de las redes y sistemas de Información las

instalaciones del CGE, se encuentran poco o nada satisfechos con los

mencionados programas de capacitación.”

108

25.0%

22.9%

18.8%

25.0%

8.3%Mala planificación

Falta de Instalaciones

Mala designación de alumnos

Falta de docentes especialistas

Otra, ¿Cuál?

8) ¿Causas o razones que Ud. considera por qué no se da sumamente



Ejército del Perú?

Cuadro N° 10.- Causas o razones que Ud. considera por qué no se da

sumamente satisfecho con los programas de capacitación en relación a la


del Perú

Grafico Nº08: Causas o razones que Ud. considera por qué no se da

sumamente satisfecho con los programas de capacitación en relación a la


del Perú.

Fuente: Elaboración propia a partir de los datos obtenidos de la encuesta aplicada al

Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI y

personal responsable de brindar seguridad de las redes y sistemas de Información las

instalaciones del CGE. Al 30 septiembre del 2016.


Porcentaje válido


Vá

lidos

Mala planificación 12 25.0 25.0 25.0

Falta de Instalaciones 11 22.9 22.9 47.9

Mala designación de alumnos 9 18.8 18.8 66.7

Falta de docentes especialistas 12 25.0 25.0 91.7

Otra, ¿Cuál? 4 8.3 8.3 100.00

Total 48 100.0 100.0

109



razones por las cuales no se encuentran sumamente satisfechos con los

programas de capacitación en relación a la ciberdefensa como parte de la

protección de la información del Ejército del Perú, en la cual se observa que,

de acuerdo a la prelación, el 25% de informantes manifiestan que esto se da

por la falta de planificación, el 25% por falta de personal docente especialista

en el tema, un 22.9% por falta de instalaciones adecuadas , 18.8% por la

mala designación de alumnos para asistir a estos cursos y un 8.3 % por otros

motivos como falta de interés del escalón superior en realizar este tipo de

cursos por no ser prioridad en estos momentos. Por las razones puestas de


4.1.2.2 RECURSOS DISPONIBLES

9) De entre las siguientes maneras o formas de obtener asignación

presupuestal, mencioné las que ud. conoce para mejorar de la

ciberdefensa en la protección de la información del Ejército del Perú.

Cuadro N° 11: Maneras o formas que conoce para obtener asignación


información del Ejército del Perú

Conoce No

Conoce Población

Encuestada %

Conoce

% No

Conoce

% Total

Confeccionar un Proyecto de Inversión Publica

16 32

48

33.33 66.67

100

Demanda adicional al MEF ante una amenaza potencial

15 33 31.25 68.75

Convenios con Instituciones Privadas

12 36 25.00 75.00

Considerarlo en el Programa Presupuestal Anual

14 34 29.17 70.83

Promedio 14.25 33.75 29.69 70.31


Razones suficientes para sustentar que, como consecuencia de la mala

planificación de la programación de cursos, falta de docentes

especialistas en ciberdefensa, falta de instalaciones adecuadas para

desarrollar este tipo de cursos y una mala designación a alumnos para

asistir a estos cursos, se presentan deficiencias en los programas de

capacitación en relación a la ciberdefensa como parte de la protección


110

0

5

10

15

20

25

30

35

40

Confeccionar unProyecto de

Inversión Publica

Demanda adicionalal MEF ante una

amenaza potencial

Convenios conInstituciones

Privadas

Considerarlo en elPrograma

Presupuestal Anual

Promedio

Conoce 16 15 12 14 14.25

No Conoce 32 33 36 34 33.75

16 1512

1414.25

32 3336

34 33.75

Grafico Nº 09: Maneras o formas que conoce para obtener asignación



Figura Nº 23 – Distribución de Frecuencias de las maneras o formas de obtener asignación presupuestal


…” La cantidad promedio de maneras o formas de obtener asignación

presupuestal que conocen el Personal Militar y Civil del COPERE

encargados de administrar las infraestructuras de TI es: 1,19 y, la mayor

cantidad de maneras o formas de obtener asignación presupuestal que

conocen el Personal Militar y Civil del COPERE encargados de administrar

las infraestructuras de TI está comprendido en: 0,796 (1,19– 0,394) a 1,384

(1,19+ 0,194) “…

111

8.3%

75.0%

16.7% Muy Favorable

Favorable

Medianamente Favorable

Desfavorable

Adversa


explicación de las carencias de recursos disponibles, porque lo correcto

es que la cantidad promedio de maneras o formas de obtener asignación

presupuestal que deben conocen el Personal Militar y Civil del COPERE

encargados de administrar las infraestructuras de TI tienda a las cuatro

formas consideradas.

10) B4 ¿Cómo califica el nivel de asignación Presupuestal asignado al

uso de Ciberdefensa para proteger la información del Ejército del

Perú?

Cuadro N° 12.- Nivel de asignación Presupuestal asignado al uso de

Ciberdefensa para proteger la información del Ejército del Perú

Grafico Nº10: Nivel de asignación Presupuestal asignado al uso de

Ciberdefensa para proteger la información del Ejército del Perú.


Nº 10 del numeral 4.1.2.2 del ítem 10). los informantes coinciden con el nivel

de asignación Presupuestal asignado al uso de Ciberdefensa para proteger

la información del Ejército del Perú., donde se observa que un 75%

manifestaron que es desfavorable, el 16.7% que es adversa y tan solo el


Porcentaje válido


Vá

lidos

Muy Favorable 0 0 0 0

Favorable 0 0 0 0

Medianamente Favorable 4 8.3 8.3 8.3

Desfavorable 36 75.0 75.0 83.3

Adversa 8 16.7 16.7 100.00

Total 48 100.0 100,0

112

29.2%

14.6%

10.4%16.7%

29.2%

Falta de Planificación

Otras Prioridades del estado

Falta de interés de las

autoridadesFalta de Recursos Disponibles

Otra, ¿Cuál?

8.3% que es medianamente favorable. Por las razones puestas de manifiesto


11) ¿Cuáles son las causas o razones por las que Ud. considera que las

autoridades no asignan presupuestos para ciberdefensa en favor de

la protección de la información del Ejército del Perú?

Cuadro N° 13.- Causas o Razones por las que Ud. considera que las

autoridades no asignan presupuestos para ciberdefensa en favor de la


Grafico Nº11: Causas o Razones por las que Ud. considera que las

autoridades no asignan presupuestos para ciberdefensa en favor de la

protección de la información del Ejército del Perú


Porcentaje válido


Vá

lidos


Otras Prioridades del estado 7 14.6 14.6 43.8

Falta de interés de las autoridades 5 10.4 10.4 54.2

Falta de Recursos Disponibles 8 16.7 16.7 70.8

Otra, ¿Cuál? 14 29.2 29.2 100.00

Total 48 100.0 100,0

“…Existen carencias en el nivel de asignación Presupuestal asignado

al uso de Ciberdefensa para proteger la información del Ejército del

Perú., en razón que se ve dificultado porque no existe la asignación

presupuestal necesaria para implementar ciberdefensa; y así de esta

manera proteger la información del Ejército del Perú.”

113



razones por las cuales las autoridades no asignan presupuestos para

ciberdefensa en favor de la protección de la información del Ejército del Perú,

en la cual se observa que, de acuerdo a la prelación, el 29.2% de informantes

manifiestan que esto se da por la falta de planificación, un 29.2% por otras

razones, como la falta de políticas en ciberdefensa a nivel estado o la falta

de conciencia de seguridad, el 16.7% por falta de recursos presupuestarios,

14.6% por que el estado tiene otras prioridades y finalmente el 10.4 % por

falta de interés de las autoridades. Por las razones puestas de manifiesto por

los informantes nos permiten afirmar:

12) De entre las siguientes Infraestructuras Estratégicas, que deben

conocerse y administrarse en la seguridad de las informaciones,

mencioné las que ud. conoce.

Cuadro N° 14: Infraestructuras Estratégicas que ud. conoce y administra

para la Seguridad de las Informaciones

Conoce No

Conoce Población

Encuestada %

Conoce

% No

Conoce

% Total

Personal 16 32

48

33.33 66.67

100

Instalaciones 15 33 31.25 68.75

Equipos 14 34 29.17 70.83

Servicios 16 32 33.33 66.67

Redes 15 33 31.25 68.75

Sistemas de Información 16 32 33.33 66.67

Promedio 15.33 32.67 31.94 68.06


Razones suficientes para sustentar que, como consecuencia de la falta

de planificación, falta de políticas en ciberdefensa o conciencia de

seguridad, falta de recursos presupuestarios, falta de prioridad y falta de

interés de las autoridades, se presentan Carencias en la asignación

presupuestaria para ciberdefensa en favor de la protección de la


114

0

5

10

15

20

25

30

35

Personal Instalaciones Equipos Servicios Redes Sistemas deInformación

Promedio

Conoce 16 15 14 16 15 16 15.33

No Conoce 32 33 34 32 33 32 32.67

16 15 1416 15 16 15.33

32 33 3432 33 32 32.67

Grafico Nº 12: Infraestructuras Estratégicas que ud. conoce y administra

para la Seguridad de las Informaciones

Figura Nº 24 – Distribución de Frecuencias de las

Infraestructuras Estratégicas que conoce y administra


…” La cantidad promedio de infraestructuras estratégicas que conocen y

administra el Personal Militar y Civil del COPERE encargados de administrar

las infraestructuras de TI es: 1,92 y, la mayor cantidad de infraestructuras

estratégicas que conocen y administra el Personal Militar y Civil del COPERE

encargados de administrar las infraestructuras de TI está comprendido en:

1,025 (1,92– 0,895) a 2,815 (1,92 + 0,895) “…

115

8.3%

66.7%

25.0%

Muy Favorable

Favorable


Desfavorable

Adversa


explicación de las carencias de recursos disponibles, porque lo correcto

es que la cantidad promedio de infraestructuras estratégicas que conocen

y administra el Personal Militar y Civil del COPERE encargados de

administrar las infraestructuras de TI tienda a las seis infraestructuras

consideradas.

13) B5 ¿Cómo califica el nivel de funcionalidad de las infraestructuras

estratégicas para el uso de ciberdefensa?

Cuadro N° 15.- Nivel de funcionalidad de las infraestructuras estratégicas

para el uso de ciberdefensa

Grafico Nº 13: Nivel de funcionalidad de las infraestructuras

estratégicas para el uso de ciberdefensa

Análisis. – Estudiando y analizando las razones del Cuadro Nº 15 y

Gráfico Nº 13 del numeral 4.1.2.2 del ítem 13). los informantes coinciden

con el nivel de funcionalidad de las infraestructuras estratégicas para el

uso de ciberdefensa., donde se observa que, de acuerdo a la prelación,

un 66.7% manifestaron que es desfavorable, el 25% que es adversa y tan


Porcentaje válido


Vá

lidos


Favorable 0 0 0 0



Adversa 12 25.0 25.0 100.0

Total 48 100.0 100,0

116

solo el 8.3% que es medianamente favorable. Por las razones puestas de


14) ¿Cuáles son las razones o causas que ud considera por qué no se

dispone de un nivel adecuado de funcionalidad en infraestructuras

estratégicas para su uso en ciberdefensa?

Cuadro N° 16.- Razones o causas que ud considera por qué no se


estratégicas para su uso en ciberdefensa.

Grafico Nº14: Razones o causas que ud considera por qué no se


estratégicas para su uso en ciberdefensa


Porcentaje válido


Vá

lidos

Falta de interés de las autoridades. 2 4.2 4.2 4.2

Falta de Equipamiento 12 25 25 29.2

Falta de asignación presupuestal 27 56.3 56.3 85.4

Falta de personal capacitado 4 8.3 8.3 93.8

Otra, ¿Cuál? 3 6.3 6.3 100.0

Total 48 100.0 100.0

“…Existen carencias en el nivel de Funcionalidad de las

infraestructuras estratégicas para el uso de ciberdefensa., en razón que

se ve dificultado porque no existen las infraestructuras estratégicas

adecuadas que permitan implementar ciberdefensa para la protección

de la información del Ejército del Perú.”

4.2%

25.0%

56.3%

8.3%

6.3%Falta de interés de las

autoridades.

Falta de Equipamiento

Falta de asignación

presupuestal

Falta de personal

capacitado

Otra, ¿Cuál?

117



con las razones por las cuales no se dispone de un nivel adecuado de

funcionalidad en infraestructuras estratégicas para su uso en

ciberdefensa, en la cual se observa que, de acuerdo a la prelación, el

56.3% de informantes manifiestan que esto se da por falta de asignación

presupuestal, el 25 % por la falta de equipamiento que brinden

ciberseguridad (Protección, Monitoreo, exploración), un 8.3% por falta de

personal capacitado que pueda desarrollar herramientas informáticas que

brinden ciberdefensa, el 6.3 % por otras razones, como la falta de políticas

en ciberdefensa a nivel estado o la software especializado y el 4.2% por

falta de interés de las autoridades. Por las razones puestas de manifiesto


A2 ¿Cómo califica el nivel de recursos disponibles relacionados con la



Cuadro N° 17.- Nivel de recursos disponibles relacionados con la

Ciberdefensa y su incidencia en la protección de la información del

Ejército del Perú


Porcentaje válido


Vá

lidos


Favorable 0 0 0 0



Adversa 8 16.7 16.7 100.0

Total 48 100.0 100,0


de equipamiento, falta asignación presupuestal, falta de políticas en

ciberdefensa o software especializado, falta de personal capacitado, y

falta de interés de las autoridades, se presentan Carencias en la

funcionalidad de infraestructuras estratégicas para ciberdefensa en favor

de la protección de la información del Ejército del Perú.

118

0.0% 4.2%

79.2%

16.7%

Muy Favorable

Favorable


Desfavorable

Adversa

Grafico Nº 15: Nivel de recursos disponibles relacionados con la





en relación al nivel de recursos disponibles relacionados con la


Ejército del Perú., donde se observa que un 79.2% de los informantes

manifiestan que es desfavorable, 16.7% que es adversa y tan solo 4.2%

que es medianamente favorable. Por las razones puestas de manifiesto


15) ¿Cuáles son las razones o causas de No contar con suficientes

recursos disponibles relacionados con la ciberdefensa y su

incidencia en la protección de la información del Ejército del Perú?

“…Existen carencias en el nivel de recursos disponibles relacionados

con la Ciberdefensa y su incidencia en la protección de la información

del Ejército del Perú., en razón que se ve dificultado porque, los

recursos disponibles que se dispone son desfavorables o adversos

para poder para implementar ciberdefensa; y así de esta manera

proteger la información del Ejército del Perú.”

119

Cuadro N° 18.- Razones o Causas de No contar con suficientes

recursos disponibles relacionados con la ciberdefensa y su incidencia en


Grafico Nº16: Razones o Causas de No contar con suficientes

recursos disponibles relacionados con la ciberdefensa y su incidencia en




razones por las cuales no se cuenta con los suficientes recursos disponibles


información del Ejército del Perú, en la cual se observa que, de acuerdo a la

prelación, el 35.4% manifestaron que este hecho se da porque no existen

políticas del estado en temas de ciberdefensa, un 27.1% por falta de

planificación , 20.8% porque el estado tiene otras prioridades para la

asignación de recursos y un 16.6 % por falta de conocimientos y falta de

interés de las autoridades. Por las razones puestas de manifiesto por los

informantes nos permiten afirmar:


Porcentaje válido


Vá

lidos


Otras Prioridades del estado 10 20.8 20.8 45.8

Falta de interés de las autoridades 5 10.4 10.4 56.3

Falta de Conocimientos 4 8.3 8.3 64.6

Otra, ¿Cuál? 17 35.4 35.4 100.00

Total 48 100.0 100.0

27.1%

20.8%

8.3%8.3%

35.4%

Falta de Planificación

Otras Prioridades del

estado

Falta de interés de las

autoridades

Falta de Conocimientos

Otra, ¿Cuál?

120

0

5

10

15

20

25

30

35

40

Seguridad delas

informaciones

Ciberseguridad Ciberdefensa Ciberguerra Protección delas

informaciones

Ciberespacio Promedio

Conoce 16 10 9 11 15 14 12.50

No Conoce 32 38 39 37 33 34 35.50

16

10 911

15 14 12.50

32

38 3937

33 3435.50

4.1.2.3 PROCEDIMIENTOS DE SEGURIDAD INFORMATICA

16) De entre los siguientes conceptos básicos, marque los que a su

entender conoce y son aplicados adecuadamente para mejorar de la


Cuadro N° 19: Conceptos básicos que conoce y aplica adecuadamente

para mejorar de la ciberdefensa en la protección de la información del

Ejército del Perú

Conoce No

Conoce Población

Encuestada %

Conoce

% No

Conoce

% Total

Seguridad de las Informaciones

16 32

48

33.33 66.67

100

Ciberseguridad 10 38 20.83 79.17

Ciberdefensa 9 39 18.75 81.25

Ciberguerra 11 37 22.92 77.08

Protección de las informaciones

15 33 31.25 68.75

Ciberespacio 14 34 29.17 70.83

Promedio 12.50 35.50 26.04 73.96

Grafico Nº 17: Conceptos básicos que conoce y aplica adecuadamente


Ejército del Perú

Razones suficientes para sustentar que, como consecuencia de falta de

políticas del estado en temas de ciberdefensa, falta de planificación,

por no ser prioridad para el estado en estos momentos y falta de

conocimientos e interés por las autoridades, se presentan carencias en

los recursos disponibles relacionados con la ciberdefensa y su incidencia

en la protección de la información del Ejército del Perú.

121


explicación del desconocimiento o mala aplicación de la seguridad de las

informaciones, porque lo correcto es que la cantidad promedio de

conceptos básicos relacionado con ciberdefensa que conocen el


infraestructuras de TI tienda a los seis conceptos considerados.

Figura Nº 25 – Distribución de Frecuencias de los Conceptos Básicos


…” La cantidad promedio de Conceptos Básicos relacionados con



cantidad Conceptos Básicos relacionados con ciberdefensa que conocen y


las infraestructuras de TI está comprendido en: 0,771 (1.56 – 0,789) a 2,209

(1,56+ 0,649) “…

17) B1 ¿Marque con una (X) en nivel de conocimiento y aplicación que

tiene Ud. sobre los Conceptos Básicos en seguridad de las

informaciones?

Teóricamente se plantea que, para desarrollar eficientemente la


del Perú, se deben conocer y aplicar los conceptos básicos que se indican

en el numeral 2.2.1.1.

122

Cuadro N° 20.- Nivel de conocimiento y aplicación que tiene Ud. sobre los

Conceptos Básicos en seguridad de las informaciones

Grafico Nº18: Nivel de conocimiento y aplicación que tiene Ud. sobre

los Conceptos Básicos en seguridad de las informaciones

Análisis. – En consecuencia a la realidad observada podemos apreciar en el

Cuadro Nº 20 y Gráfico Nº 18 (B1 Conceptos Básicos que conoce y aplica

en la Seguridad de las Informaciones), que solo existe un 27.1% de los

informantes que posee un nivel de conocimiento Muy bueno y/o Bueno, de

igual manera se observa que el 72.9%, poseen un nivel regular y malo de los

conceptos básicos de Seguridad de las Informaciones, Como resultado

consecuente, se observa:

Frecuencia Porcentaje Porcentaje válido


Vá

lidos

Muy bueno 4 8.3 8.3 8.3

Bueno 9 18.8 18.8 27.1

Regular 15 31.3 31.3 58.3

Malo 20 41.7 41.7 100.0

Pésimo 0 0 0 0

Total 48 100.0 100.0

“…Existe Desconocimiento o aplicación inadecuada de los

conceptos básicos relacionados con la seguridad de las informaciones,

en razón de que el personal Militar o Civil que administra las

Infraestructuras de TI, no posee un nivel de conocimientos y aplicación

adecuado …”

8.3%

18.8%

31.3

41.7%

0.0%Muy bueno

Bueno

Regular

Malo

Pésimo

123

47.9%

25.0%

14.6%

4.2%

8.3%Falta de Capacitación

Falta de Recursos

Económicos

Por desconocimiento

Difícil de aplicar

Otra, ¿Cuál?

18) ¿Cuáles son las razones o causas de no aplicar o conocer los

Conceptos Básicos en Seguridad de las Informaciones?

Cuadro N° 21.- Razones o causas de no aplicar o conocer los Conceptos

Básicos en Seguridad de las Informaciones.

Grafico Nº19: Razones o causas de no aplicar o conocer los Conceptos

Básicos en Seguridad de las Informaciones



razones o causas por las cuales no se conoce los conceptos básicos en

seguridad de las informaciones, en la cual se observa que, de acuerdo a la

prelación, el 47.9% manifestaron que es por la falta de capacitación, 25 %

por falta de recursos económicos, estas razones representan debilidad

representativa equivalente al 72.9% de la población informante; así mismo,

un 27.1% del potencial humano manifiesta que esta situación se da por

desconocimiento, que son difíciles de aplica y por falta de interés de las

autoridades en capacitar al personal. Razones suficientes para sustentar que

existen:


Porcentaje válido


Vá

lidos

Falta de Capacitación 23 47.9 47.9 47.9

Falta de Recursos Económicos 12 25 25 72.9

Por desconocimiento 7 14.6 14.6 87.5

Difícil de aplicar 2 4.2 4.2 91.7

Otra, ¿Cuál? 4 8.3 8.3 100.0

Total 48 100.0 100,0

124

0

5

10

15

20

25

30

35

40

Principios de laSeguridad de lasInformaciones

Principios de laCiberseguridad

Principios de unaconciencia en

ciberseguridad

Principios de laCiberdefensa

Principios de laCiberguerra

Promedio

Conoce 15 11 8 14 16 12.80

No Conoce 33 37 40 34 32 35.20

1511

8

1416

12.80

3337

40

3432

35.20

19) Marque con una “X” los principios básicos que ud conoce y aplica

en relación a la ciberdefensa y su incidencia en la protección de la


Cuadro N° 22: Principios básicos que conoce y aplica adecuadamente


Ejército del Perú

Grafico Nº 20: Principios básicos que conoce y aplica adecuadamente


Ejército del Perú

Conoce No

Conoce Población

Encuestada %

Conoce

% No

Conoce

% Total

Principios de la Seguridad de las Informaciones

15 33

48

31.25 68.75

100

Principios de la Ciberseguridad

11 37 22.92 77.08

Principios de una conciencia en ciberseguridad

8 40 16.67 83.33

Principios de la Ciberdefensa

14 34 29.17 70.83

Principios de la Ciberguerra

16 32 33.33 66.67

Promedio 12.80 35.20 26.67 73.33


de capacitación, falta de recursos económicos, por desconocimiento del

tema, por la dificultad de aplicar los conocimientos y falta de interés de las

autoridades en capacitar al personal, se presenta Desconocimiento o

aplicación inadecuada de la seguridad de las informaciones, en razón

de no aplicar y conocer los conceptos básicos.

125


explicación del desconocimiento o aplicación inadecuada de la seguridad

de las informaciones, porque lo correcto es que la cantidad promedio de

principios básicos relacionado con ciberdefensa que conocen el Personal

Militar y Civil del COPERE encargados de administrar las infraestructuras

de TI tienda a los cinco principios considerados.

Figura Nº 26 – Distribución de Frecuencias de los Principios Básicos


…” La cantidad promedio de Principios Básicos relacionados con



cantidad Principios Básicos relacionados con ciberdefensa que conocen y


las infraestructuras de TI está comprendido en: 0,811 (1,33 – 0,519) a 1,849

(1,33+ 0,519) “…

20) B2 ¿Marque con una (X) en nivel de conocimiento y aplicación que

tiene Ud. sobre los Principios Básicos descritos anteriormente?

Teóricamente se plantea que, para desarrollar eficientemente la


del Perú, se deben conocer y aplicar adecuadamente los Principios

126

6.3%

14.6%

31.347.9%

0.0%Muy bueno

Bueno

Regular

Malo

Pésimo

Básicos que se indican en el Numeral 2.2.1.2. es en ese sentido que de

acuerdo al Cuadro Nº 22 y Gráfico Nº 21 se observa la siguiente situación

que se describe en prelación.

Cuadro N° 23.- Nivel de Conocimiento de los Principios básicos relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú

Grafico Nº21: Nivel de Conocimiento de los Principios básicos relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú

Análisis. – En consecuencia, a la realidad observada podemos apreciar en

el Cuadro Nº 23 y Gráfico Nº 21 (B2 Principios Básicos que conoce y aplica

en la Seguridad de las Informaciones), que solo existe un 20.9% de los

informantes que posee un nivel de conocimiento Muy bueno y/o Bueno, de

igual manera se observa que el 79.1%, poseen un nivel regular y malo de los

Principios básicos relacionados con la Ciberdefensa, Como resultado

consecuente, se observa:

Frecuencia Porcentaje Porcentaje válido


Vá

lidos

Muy bueno 3 6.3 6.3 6.3

Bueno 7 14.6 14.6 20.9

Regular 15 31.3 31.3 52.2

Malo 23 47.9 47.9 100.

Pésimo 0 0.0 0.0 0.0

Total 48 100.0 100,0

“…que existen Desconocimiento o aplicación inadecuada de los

principios relacionados a la ciberdefensa y su incidencia en la protección

de la información del Ejército del Perú, como consecuencia de la no

aplicación y/o el desconocimiento de los principios enunciados...”

127

47.9%

18.8%4.2%

22.9%

6.3%

Falta de Capacitación

Falta de Recursos Económicos

Por desconocimiento

Difícil de aplicar

Otra, ¿Cuál?

21) ¿Cuáles son las razones o causas de no aplicar o conocer los

Principios relacionados con la ciberdefensa y su incidencia en la

protección de la información del Ejército del Perú?

Cuadro N° 24.- Razones o causas de no aplicar o conocer los Principios



Grafico Nº22: Razones o causas no aplicar o conocer los Principios




Nº 22. los informantes coinciden con las razones o causas por las cuales no

se conoce o aplica los Principios relacionados con la ciberdefensa y su

incidencia en la protección de la información del Ejército del Perú, que el

47.9% manifestaron que es por la falta de capacitación, el 22.9 % porque los

principios son difíciles de aplicar, el 18.8% por falta de recursos económicos,

el 6.3 % por falta de políticas a nivel estado referentes a ciberdefensa y un

4.2% por desconocimiento. Razones suficientes para sustentar que existen:


Porcentaje válido


Vá

lidos


Falta de Recursos Económicos 9 18.8 18.8 66.7



Otra, ¿Cuál? 3 6.3 6.3 100.0

Total 48 100.0 100,0

128

2.1% 6.3%

45.8

27.1%

18.8%

Muy bueno

Bueno

Regular

Malo

Pésimo

22) A3 ¿Cómo califica el nivel de conocimiento de los procedimientos de



Cuadro N° 25.- Nivel de conocimiento de los procedimientos de

seguridad informática relacionados con la ciberdefensa y su incidencia en


Grafico Nº 23: Nivel de conocimiento de los procedimientos de

seguridad informática relacionados con la ciberdefensa y su incidencia

en la protección de la información del Ejército del Perú


Porcentaje válido


Vá

lidos

Muy bueno 1 2.1 2.1 2.1

Bueno 3 6.3 6.3 8.3

Regular 22 45.8 45.8 54.2

Malo 13 27.1 27.1 81.3

Pésimo 9 18.8 18.8 100.0

Total 48 100.0 100,0


de capacitación, dificultad en la aplicación de los principios, la falta de

recursos económicos, la falta de políticas de estado referentes a

ciberdefensa y por desconocimiento de los principios, se presenta

Desconocimiento o aplicación inadecuada de los Principios


información del Ejército del Perú, en razón de no aplicarlos y/o

conocerlos.

129


Nº 23 del numeral 4.1.2.3 del ítem 23). los informantes coinciden en relación

al nivel de conocimiento de los procedimientos de seguridad informática


información del Ejército del Perú, donde se observa que el 91.7 % poseen

regular, malo o pésimo nivel de conocimiento y tan solo un 8.4 % poseen un

buen y muy buenos conocimientos. Por las razones puestas de manifiesto


23) ¿Cuáles son las Razones o causas de no aplicar o conocer los

procedimientos de seguridad informática relacionados con la



Cuadro N° 26.- Razones o causas de no aplicar o conocer los



Ejército del Perú


Porcentaje válido


Vá

lidos


Falta de Recursos Económicos 4 8.3 8.3 45.8



Otra, ¿Cuál? 5 10.4 10.4 100.00

Total 48 100.0 100.0

“…que existe Desconocimiento o aplicación inadecuada de los

procedimientos de seguridad informática relacionados a la


Ejército del Perú, como consecuencia que los informantes no poseen

los conocimientos necesarios para su aplicación …”

130

37.5%

8.3%25.0%

18.8%

10.4%

Falta de Capacitación

Falta de Recursos

Económicos

Por desconocimiento

Difícil de aplicar

Otra, ¿Cuál?

Grafico Nº24: Razones o causas de no aplicar o conocer los






razones o causas de no aplicar o conocer los procedimientos de seguridad

informática relacionados con la ciberdefensa y su incidencia en la protección

de la información del Ejército del Perú, en la cual se observa que, de acuerdo

a la prelación, el 37.5% manifestaron que este hecho se presenta por falta

de capacitación, el 25% por desconocimientos de los procedimientos, el

18.8% porque los procedimientos son difíciles de aplicar, el 10.4% por falta

de planificación e interés de las autoridades responsables y un 8.3 % por

falta de recursos económicos. Por las razones puestas de manifiesto por los


Razones suficientes para sustentar que, como consecuencia de falta de

capacitación, desconocimiento de los procedimientos, dificultad de

aplicar los procedimientos, falta de planificación e interés de las

autoridades y falta de recursos económicos, se presentan

Desconocimiento o aplicación inadecuada de los procedimientos de

seguridad informática relacionados con la ciberdefensa y su incidencia


131

0

5

10

15

20

25

30

35

40

Fortalecer losRecursos

Humanos.

Promover losCentros deExcelencia

Promover laProducciónCientífica

Mecanismosseguridad de

lainformación

Impulsar laInteroperabili

dad

AccesoOportuno a lainformación

Promedio

Conoce 16 10 11 15 14 13 13.17

No Conoce 32 38 37 33 34 35 34.83

16

10 11

15 14 13 13.17

32

38 37

33 34 35 34.83

4.1.2.4 DISPOSICIONES NORMATIVAS

24) De entre las siguientes disposiciones normativas que se deben

cumplir en el Plan de Desarrollo de la sociedad de la Información en

el Perú, mencioné las que ud. conoce y cumple para lograr la mejora

de la ciberdefensa en la protección de la información del Ejército del

Perú.

Cuadro N° 27: Disposiciones Normativas del Plan de Desarrollo de la

sociedad de la Información en el Perú que conoce.

Conoce No

Conoce Población

Encuestada %

Conoce

% No

Conoce

% Total

Fortalecer los Recursos Humanos.

16 32

48

33.33 66.67

100

Promover los Centros de Excelencia

10 38 20.83 79.17

Promover la Producción Científica

11 37 22.92 77.08

Mecanismos seguridad de la información

15 33 31.25 68.75

Impulsar la Interoperabilidad

14 34 29.17 70.83

Acceso Oportuno a la información

13 35 27.08 72.92

Promedio 13.17 34.83 22.92 60.42

Grafico Nº 25: Disposiciones Normativas del plan de desarrollo de la

sociedad de la información en el Perú que conoce.

132


explicación de los incumplimientos normativos, porque lo correcto es que

la cantidad promedio de Disposiciones Normativas del Plan de Desarrollo

de las Sociedad de la Información en el Perú que conocen y dan

cumplimiento el Personal Militar y Civil del COPERE encargados de

administrar las infraestructuras de TI tienda a las seis disposiciones

consideradas.

Figura Nº 27 – Distribución de Frecuencias de Disposiciones Normativas del Plan de Desarrollo de la sociedad de la Información en el Perú


…” La cantidad promedio de Disposiciones Normativas del Plan de

Desarrollo de las Sociedad de la Información en el Perú que conocen y dan


administrar las infraestructuras de TI es: 1,65 y, la mayor cantidad de

Disposiciones Normativas del Plan de Desarrollo de las Sociedad de la

Información en el Perú que conocen y dan cumplimiento el Personal Militar

y Civil del COPERE encargados de administrar las infraestructuras de TI está

comprendido en: 1,015 (1,65– 0,635) a 2,285 (1,65+ 0,635)“…

25) B7 A su criterio ¿Cómo califica el grado de cumplimiento del Plan de

Desarrollo de la sociedad de la Información en el Perú-La agenda

Digital 2.0?

133

0.0% 8.3%

64.6

22.9%

4.2%Total cumplimiento

Mayor cumplimiento

Regular cumplimiento

Menor cumplimiento

No se cumple

Cuadro N° 28.- Grado de cumplimiento del Plan de Desarrollo de la

sociedad de la Información en el Perú? La agenda Digital 2.0

Grafico Nº 26: Grado de cumplimiento del Plan de Desarrollo de la

sociedad de la Información en el Perú? La agenda Digital 2.0



al Grado de cumplimiento del Plan de Desarrollo de la sociedad de la

Información en el Perú-La agenda Digital 2.0, en la cual se observa que, de

acuerdo a la prelación, se evidencia un regular cumplimiento en un 64.6 %,

un 22.9 % un menor cumplimiento, un 8.3 % dan un mayor cumplimiento y

un 4.2% manifestaron no dar cumplimiento alguno del mencionado plan. Por

las razones puestas de manifiesto por los informantes nos permiten afirmar:


Porcentaje válido


Vá

lidos

Total cumplimiento 0 0 0 0

Mayor cumplimiento 4 8.3 8.3 8.3

Regular cumplimiento 31 64.6 64.6 72.9

Menor cumplimiento 11 22.9 22.9 95.8

No se cumple 2 4.2 4.2 100.0

Total 48 100.0 100,0

“…Existen Incumplimientos de dispositivos normativos como el

Plan de Desarrollo de la sociedad de la Información en el Perú-La

agenda Digital 2.0, como consecuencia que los informantes dan

regular, menor o simplemente no cumplen con la aplicación del

mencionado dispositivo …”

134

56.3%

25.0%

6.3

8.3%

4.2% Por desconocimiento parcial o

total de sus lineamientos


Sus lineamientos son difíciles de

aplicar en la realidad

Sus dispositivos no se adecuan

con la realidad de la institución

Otra, ¿Cuál?

26) ¿Cuáles son las razones o causas de no dar cumplimiento al Plan de

Desarrollo de la sociedad de la Información en el Perú- La agenda

Digital 2.0?

Cuadro N° 29.- Razones o Causas de no dar cumplimiento al Plan de

Desarrollo de la sociedad de la Información en el Perú- La agenda Digital 2.0

Grafico Nº27: Razones o Causas de no dar cumplimiento al Plan de

Desarrollo de la sociedad de la Información en el Perú- La agenda Digital 2.0.



con las razones o causas no dar cumplimiento al Plan de Desarrollo de la

sociedad de la Información en el Perú- La agenda Digital 2.0., en la cual

se observa que, de acuerdo a la prelación, el 56.3% manifestaron que

desconocen parcial o total sus lineamientos, el 25% por no haber recibido

capacitación, el 8.3% manifiestan que sus lineamientos no se adecuan a

nuestra realidad, el 6.3% sus lineamientos son difíciles de aplicar a

nuestra realidad institucional y finalmente el 4.2% por falta de

equipamiento, infraestructura y personal especializado. Por las razones

puestas de manifiesto por los informantes nos permiten afirmar:


Porcentaje válido


Vá

lidos


No he sido Capacitado 12 25 25 81.3



Otra, ¿Cuál? 2 4.2 4.2 100.0

Total 48 100.0 100.0

135

0

10

20

30

40

Potenciamiento de la

Educación yel

Entrenamiento

Implementación de laBase de

Datos delEjército(BDU).

Implementación de

Centro deEntrenamien

to

Modernización de las

Escuelas deformación ycapacitación

Actualizaciónde doctrina

técnica,táctica y

administrativa

Implementación del

Sistema deComando y

Control.

Promedio

Conoce 11 13 14 8 12 11 11.50

No Conoce 37 35 34 40 36 37 36.50

1113 14

812 11 11.50

3735 34

4036 37 36.50


cumplir en el Plan de Desarrollo institucional Bolognesi, mencioné

las que ud. conoce y cumple para lograr la mejora de la ciberdefensa


Cuadro N° 30: Disposiciones Normativas del Plan de Desarrollo

Institucional Bolognesi que conoce.

Grafico Nº 28: Disposiciones Normativas del Plan de Desarrollo

Institucional Bolognesi que conoce.

Conoce No

Conoce Pobla.

% Conoce

% No

Conoce

Potenciamiento de la Educación y el Entrenamiento 11 37

48

22.92 77.08

Implementación de la Base de Datos del Ejército (BDU). 13 35 27.08 72.92

Implementación de Centro de Entrenamiento 14 34 29.17 70.83

Modernización de las Escuelas de formación y capacitación

8 40 16.67 83.33

Actualización de doctrina técnica, táctica y administrativa 12 36 25.00 75.00

Implementación del Sistema de Comando y Control. 11 37 22.92 77.08

Promedio 11.50 36.50 20.14 63.19


desconocen parcial o total sus lineamientos, no haber recibido

capacitación para su cumplimiento, sus lineamientos no están de

acuerdo a nuestra realidad institucional, sus lineamientos son difíciles

de aplicar y finalmente a la falta de equipamiento, infraestructuras y

personal especializado, se presentan Incumplimientos de

dispositivos normativos en la aplicación del Plan de Desarrollo de la

sociedad de la Información en el Perú- La agenda Digital 2.0.

136



la cantidad promedio de Disposiciones Normativas del Plan de Desarrollo

Institucional Bolognesi que conocen y dan cumplimiento el Personal

Militar y Civil del COPERE encargados de administrar las infraestructuras

de TI tienda a las seis disposiciones consideradas.

Figura Nº 28 – Distribución de Frecuencias de Disposiciones Normativas del Plan de Desarrollo Institucional Bolognesi


…” La cantidad promedio de Disposiciones Normativas del Plan de

Desarrollo Institucional Bolognesi que conocen y dan cumplimiento el


infraestructuras de TI es: 1,071 y, la mayor cantidad de Disposiciones

Normativas del plan de Desarrollo Institucional Bolognesi que conocen y dan


administrar las infraestructuras de TI está comprendido en: 1,389 (2,46–

1,071) a 3,531 (2,46+ 1,071) “…

137

0.0% 4.2%

27.1

64.6%

4.2% Total cumplimiento

Mayor cumplimiento


Menor cumplimiento

No se cumple

28) B8 A su criterio ¿Cómo califica el grado de cumplimiento del Plan de

Desarrollo institucional Bolognesi?

Cuadro N° 31.- Grado de cumplimiento del Plan de Desarrollo institucional

Bolognesi

Grafico Nº 29: Grado de cumplimiento del Plan de Desarrollo

institucional Bolognesi



al Grado de cumplimiento del Plan de Desarrollo institucional Bolognesi, en

la cual se observa que, de acuerdo a la prelación, se evidencia un menor

cumplimiento en un 64.6 %, un 27.1 % un regular cumplimiento, un 4.2 %

dan un mayor cumplimiento y un 4.2% manifestaron no dar cumplimiento

alguno del mencionado plan. Por las razones puestas de manifiesto por los



Porcentaje válido


Vá

lidos





No se cumple 2 4.2 4.2 100.0

Total 48 100.0 100,0

“…Existen Incumplimientos de dispositivos normativos como el

Plan de Desarrollo institucional Bolognesi, como consecuencia que los

informantes dan menor, regular o simplemente no cumplen con la

aplicación del mencionado dispositivo …”

138

37.5%

25.0%

20.8

8.3%

8.3%Por desconocimiento parcial o total

de sus lineamientos


Sus lineamientos son difíciles de

aplicar en la realidad

Sus dispositivos no se adecuan con

la realidad de la institución

Otra, ¿Cuál?

29) ¿Cuáles son las razones o causas de no dar cumplimiento Plan de

Desarrollo institucional Bolognesi?

Cuadro N° 32.- Razones o Causas de no dar cumplimiento al

cumplimiento Plan de Desarrollo institucional Bolognesi

Grafico Nº30: Razones o Causas de no dar cumplimiento al

cumplimiento Plan de Desarrollo institucional Bolognesi



razones o causas no dar cumplimiento al Plan de Desarrollo institucional

Bolognesi., en la cual se observa que, de acuerdo a la prelación, el 37.5%

manifestaron que desconocen parcial o total sus lineamientos, el 25% por no

haber recibido capacitación, el 20.8% manifiestan que sus lineamientos son

difíciles de aplicar a nuestra realidad institucional , el 8.3% sus lineamientos

no se adecuan a nuestra realidad institucional y finalmente el 8.3% por falta

de equipamiento, infraestructura y personal especializado. Por las razones

puestas de manifiesto por los informantes nos permiten afirmar:


Porcentaje válido


Vá

lidos





Otra, ¿Cuál? 4 8.3 8.3 100.0

Total 48 100.0 100.0

139

0

5

10

15

20

25

30

35

40

PolíticasInstitucionale

s deTelemática

Componentesdel SubSistema

cibernético

Presupuestoy Proyectosde Inversión

Publica

Factores deldiseño delSistema deTelemática

Capacidadesdel Sistema

de Comandoy control

Componentesdel subSistema

Informático

Promedio

Conoce 16 16 12 16 10 12 13.67

No Conoce 32 32 36 32 38 36 34.33

16 16

12

16

1012

13.67

32 32

36

32

3836

34.33


cumplir en la Directiva Única de Funcionamiento del Sistema de

Telemática y Estadifica del Ejercito (DUFSITELE), mencioné las que

ud. conoce y cumple para lograr la mejora de la ciberdefensa en la


Cuadro N° 33: Disposiciones Normativas de la DUFSITELE

Conoce No

Conoce Población

Encuestada %

Conoce % No

Conoce

Políticas Institucionales de Telemática 16 32

48

33.33 66.67

Componentes del Sub Sistema cibernético 16 32 33.33 66.67

Presupuesto y Proyectos de Inversión Publica 12 36 25.00 75.00

Factores del diseño del Sistema de Telemática 16 32 33.33 66.67 Capacidades del Sistema de Comando y control

10 38 20.83 79.17

Implementación del Sistema de Comando y Control.

12 36 25.00 75.00

Promedio 13.67 34.33 24.31 59.03

Grafico Nº 31: Disposiciones Normativas de la DUFSITELE que conoce.


desconocen parcial o total sus lineamientos, no haber recibido

capacitación para su cumplimiento, sus lineamientos son difíciles de

aplicar, sus lineamientos no están de acuerdo a nuestra realidad

institucional y finalmente a la falta de equipamiento, infraestructuras y


dispositivos normativos en la aplicación del Plan de Desarrollo

institucional Bolognesi

140



la cantidad promedio de Disposiciones Normativas de la DUFSITLE que

conocen y dan cumplimiento el Personal Militar y Civil del COPERE

encargados de administrar las infraestructuras de TI tienda a las seis

disposiciones consideradas.

Figura Nº 29 – Distribución de Frecuencias de Disposiciones Normativas de la DUFSITELE


…” La cantidad promedio de Disposiciones Normativas de la DUFSITELE

que conocen y dan cumplimiento el Personal Militar y Civil del COPERE

encargados de administrar las infraestructuras de TI es: 1,71 y la mayor

cantidad de Disposiciones Normativas de la DIFSITELE que conocen y dan


administrar las infraestructuras de TI está comprendido en: 1,059 (1,71–

0,651) a 2,361 (1,71+ 0,651) “…

31) B9 A su criterio ¿Cómo califica el grado de cumplimiento de la


Estadifica del Ejercito (DUFSITELE)?

141

14.6%

33.3%

31.3

20.8%

0.0%Total cumplimiento

Mayor cumplimiento


Menor cumplimiento

No se cumple

Cuadro N° 34.- Grado de cumplimiento de la Directiva Única de


(DUFSITELE)

Grafico Nº 32: Grado de cumplimiento de la Directiva Única de


(DUFSITELE)



al Grado de cumplimiento de la Directiva Única de Funcionamiento del

Sistema de Telemática y Estadifica del Ejercito (DUFSITELE), en la cual se

observa que, de acuerdo a la prelación, se evidencia un mayor cumplimiento

en un 33.3 %, un 31.3 % un regular cumplimiento, un 20.8 % en un menor

cumplimiento y un 14.6% manifestaron dar un total cumplimiento. Por las



Porcentaje válido


Vá

lidos

Total cumplimiento 7 14.6 14.6 14.6




No se cumple 0 0 0 0

Total 48 100.0 100,0

“…Existen Incumplimientos de dispositivos normativos como la


Estadifica del Ejercito (DUFSITELE), como consecuencia que los

informantes dan regular y menor cumplimiento a la aplicación del

mencionado dispositivo …”

142

20.8%

56.3%

14.6

4.2%

4.2%Por desconocimiento parcial o



Sus lineamientos son difíciles

de aplicar en la realidad



Otra, ¿Cuál?

32) Cuáles son las razones o causas de no dar cumplimiento a la


Estadifica del Ejercito (¿DUFSITELE)?

Cuadro N° 35.- Razones o Causas de no dar cumplimiento a la Directiva

Única de Funcionamiento del Sistema de Telemática y Estadifica del

Ejercito (DUFSITELE

Grafico Nº33: Razones o Causas de no dar cumplimiento a la Directiva

Única de Funcionamiento del Sistema de Telemática y Estadifica del

Ejercito (DUFSITELE)

|



con las razones o causas no dar cumplimiento no dar cumplimiento a la

Directiva Única de Funcionamiento del Sistema de Telemática y Estadifica

del Ejercito (DUFSITELE)., en la cual se observa que, de acuerdo a la

prelación, el 50.3% manifestaron no haber sido capacitados, , el 20.8%

desconocen parcial o total sus lineamientos, el 14.6% sus lineamientos


Porcentaje válido


Vá

lidos





Otra, ¿Cuál? 2 4.2 4.2 100.0

Total 48 100.0 100.0

143

son difíciles de aplicar a nuestra realidad institucional , el 4.2% sus

lineamientos no se adecuan a nuestra realidad institucional y finalmente

el 4.2% por falta de equipamiento, infraestructura y personal

especializado. Por las razones puestas de manifiesto por los informantes

nos permiten afirmar:


cumplir en la Directiva Nº 001 - Lineamientos de seguridad de la

información para la Ciberdefensa en el Ejército del Perú, mencioné

las que ud. conoce y cumple para lograr la mejora de la ciberdefensa


Cuadro N° 36: Disposiciones Normativas de la Directiva Nº 001-

Lineamientos de seguridad de la información para la Ciberdefensa en el

Ejército del Perú)

Conoce No

Conoce Población

% Conoce

% No

Conoce Desarrollo del Programa Nacional de Ciberdefensa

9 39

48

18.75 81.25

Gestión homogénea de las redes 14 34 29.17 70.83 Estándares y Certificaciones de Seguridad

11 37 22.92 77.08

Programa de concientización y Formación 11 37 22.92 77.08 Mecanismos de Coordinación y Respuesta

14 34 29.17 70.83

Despliegue de Sistemas de Alerta, Protección

10 38 20.83 79.17

Promedio 11.50 36.50 20.49 62.85

Razones suficientes para sustentar que, como consecuencia de no

haber recibido capacitación para su cumplimiento, desconocimiento

parcial o total sus lineamientos, sus lineamientos son difíciles de aplicar,

sus lineamientos no están de acuerdo a nuestra realidad institucional y

finalmente a la falta de equipamiento, infraestructuras y personal

especializado, se presentan Incumplimientos de dispositivos

normativos en la aplicación Directiva Única de Funcionamiento del

Sistema de Telemática y Estadifica del Ejercito.

144

0

5

10

15

20

25

30

35

40

Desarrollodel

ProgramaNacional de

Ciberdefensa

Gestiónhomogéneade las redes

Estándares yCertificacion

es deSeguridad

Programa deconcientizaci

ón yFormación

Mecanismosde

Coordinación y

Respuesta

Desplieguede Sistemasde Alerta,Protección

Promedio

Conoce 9 14 11 11 14 10 11.50

No Conoce 39 34 37 37 34 38 36.50

9

1411 11

1410 11.50

39

3437 37

3438 36.50

Grafico Nº 34: Disposiciones Normativas de la Directiva Nº 001-


Ejército del Perú que conoce.

Figura Nº 30 – Distribución de Frecuencias de Disposiciones Normativas de la Directiva Lineamientos de seguridad de la información

para la Ciberdefensa en el Ejército del Perú


…” La cantidad promedio de Disposiciones Normativas de la Directiva


Ejército del Perú que conocen y dan cumplimiento el Personal Militar y Civil

del COPERE encargados de administrar las infraestructuras de TI es: 1,44 y

la mayor cantidad de Disposiciones Normativas de la Directiva Lineamientos

145

0.0%

12.5

27.1%

60.4%

Total cumplimiento

Mayor cumplimiento


Menor cumplimiento

No se cumple



la cantidad promedio de Disposiciones Normativas de la Directiva


Ejército del Perú que conocen y dan cumplimiento el Personal Militar y

Civil del COPERE encargados de administrar las infraestructuras de TI

tienda a las seis disposiciones consideradas.

de seguridad de la información para la Ciberdefensa en el Ejército del Perú

que conocen y dan cumplimiento el Personal Militar y Civil del COPERE

encargados de administrar las infraestructuras de TI está comprendido en:

0,86 (1,44– 0,58) a 2,02 (1,44+ 0,58) “…

34) B10 A su criterio ¿Cómo califica el grado de cumplimiento de la

Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad

de la información para la Ciberdefensa en el Ejército del Perú)?

Cuadro N° 37.- Grado de cumplimiento de la Directiva Lineamientos de

seguridad de la información para la Ciberdefensa en el Ejército del Perú

Grafico Nº 35: Grado de cumplimiento de la Directiva Lineamientos de

seguridad de la información para la Ciberdefensa en el Ejército del Perú


Porcentaje válido


Vá

lidos


Mayor cumplimiento 0 0 0 0



No se cumple 13 27.1 27.1 100.0

Total 48 100.0 100,0

146



al Grado de cumplimiento de la Directiva Nº 001/CGE/DITELE/SD SIDE

(Lineamientos de seguridad de la información para la Ciberdefensa en el

Ejército del Perú), en la cual se observa que, de acuerdo a la prelación, se

evidencia que el 60.4% de informantes no cumplen con sus lineamientos, el

27.1% dan un menor cumplimiento y tan solo el 12.5% dan regular

cumplimiento. Por las razones puestas de manifiesto por los informantes nos

permiten afirmar:

35) ¿Cuáles son las razones o causas de no dar cumplimiento a la

Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad

de la información para la Ciberdefensa en el Ejército del Perú)?

Cuadro N° 38.- Razones o Causas de no dar cumplimiento a la Directiva

Nº 001-Lineamientos de seguridad de la información para la Ciberdefensa

en el Ejército del Perú


Porcentaje válido


Vá

lidos





Otra, ¿Cuál? 1 2.1 2.1 100.0

Total 48 100.0 100.0

“…Existen Incumplimientos de dispositivos normativos como en

la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de


Perú), como consecuencia que los informantes dan regular, menor o

simplemente no dan cumplimiento mencionado dispositivo, impidiendo

su aplicación …”

147

66.7%20.8%

8.3%

2.1% 2.1% Por desconocimiento parcial o







Otra, ¿Cuál?

Grafico Nº36: Razones o Causas de no dar cumplimiento a la Directiva

Nº 001-Lineamientos de seguridad de la información para la

Ciberdefensa en el Ejército del Perú)



razones o causas no dar cumplimiento a la Directiva Nº

001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información

para la Ciberdefensa en el Ejército del Perú., en la cual se observa que, de

acuerdo a la prelación, el 66.7% manifestaron no haber sido capacitados, ,

el 20.8% desconocen parcial o total sus lineamientos, el 14.6% sus

lineamientos son difíciles de aplicar a nuestra realidad institucional , el 4.2%

sus lineamientos no se adecuan a nuestra realidad institucional y finalmente

el 4.2% por falta de equipamiento, infraestructura y personal especializado.

Por las razones puestas de manifiesto por los informantes nos permiten

afirmar:

Razones suficientes para sustentar que, como consecuencia de no

haber recibido capacitación para su cumplimiento, desconocimiento

parcial o total sus lineamientos, sus lineamientos son difíciles de

aplicar, sus lineamientos no están de acuerdo a nuestra realidad

institucional y finalmente a la falta de equipamiento, infraestructuras y


dispositivos normativos en la aplicación Directiva Única de


(DUFSITELE)

148

0.0%

10.4

41.7%47.9%

Total cumplimiento

Mayor cumplimiento


Menor cumplimiento

No se cumple

36) A4 A su criterio ¿Cómo califica el grado de cumplimiento de los

dispositivos normativos relacionados con la ciberdefensa y su


Cuadro N° 39 Grado de cumplimiento de los dispositivos normativos



Grafico Nº 37: Grado de cumplimiento de los dispositivos normativos





al Grado de cumplimiento de los dispositivos normativos relacionados con la


del Perú, en la cual se observa que, de acuerdo a la prelación, se evidencia

que el 47.9% de informantes no cumplen con los lineamientos, el 41.7% dan

un menor cumplimiento y tan solo el 10.4% dan regular cumplimiento. Por

las razones puestas de manifiesto por los informantes nos permiten afirmar:


Porcentaje válido


Vá

lidos


Mayor cumplimiento 0 0 0 0



No se cumple 23 47.9 47.9 100.0

Total 48 100.0 100,0

149

70.8%16.7%

6.3%

2.1% 4.2% Por desconocimiento parcial o







Otra, ¿Cuál?

37) ¿Cuáles son las razones o causas de no dar cumplimiento dispositivo

normativos relacionados con la ciberdefensa y su incidencia en la

protección de la información del Ejército del Perú?

Cuadro N° 40.- Razones o causas de no dar cumplimiento dispositivo

normativos relacionados con la ciberdefensa y su incidencia en la protección

de la información del Ejército del Perú

Grafico Nº38: Razones o causas de no dar cumplimiento dispositivo

normativos relacionados con la ciberdefensa y su incidencia en la protección



Porcentaje válido


Vá

lidos





Otra, ¿Cuál? 2 4.2 4.2 100.0

Total 48 100.0 100.0

“…Existen Incumplimientos de dispositivos normativos


información del Ejército del Perú, como consecuencia que los

informantes no dan cumplimiento, o dan cumplimiento de manera

regular o menor, impidiendo su aplicación …”

150



razones o causas no dar cumplimiento a los dispositivo normativos


información del Ejército del Perú., en la cual se observa que, de acuerdo a

la prelación, el 70.8% desconocen parcial o total sus lineamientos, el 16.3%

manifestaron no haber sido capacitados, el 6.3% sus lineamientos son

difíciles de aplicar a nuestra realidad institucional , el 4.2% por falta de

equipamiento, infraestructura, personal especializado y políticas de estado

sobre ciberdefensa y finalmente el 2.1% manifestaron que sus lineamientos

no se adecuan a nuestra realidad institucional. Por las razones puestas de


4.2. CONTRASTACIÓN DE HIPÓTESIS

Los resultados obtenidos fueron analizados en el NIVEL INFERENCIAL,

según los objetivos y las hipótesis formuladas.

Con la estadística inferencial se ha desarrollado inferencias a partir de las

pruebas NO PARAMÉTRICAS, las cuales no requieren asumir normalidad

de la población y que en su mayoría se basan en el ordenamiento de los

datos. El análisis adecuado se realizó con la PRUEBA BINOMIAL para la

población que permite averiguar si la distribución empírica de una variable

categórica se ajusta o no (se parece o no) a una determinada distribución

teórica (UNIFORME, BINOMIAL, MULTINOMIAL, etc.). Esta hipótesis de

ajuste, o mejor, de bondad de ajuste, se pone a prueba utilizando un


desconocimiento parcial o total sus lineamientos, del no haber recibido

capacitación para su cumplimiento, sus lineamientos son difíciles de

aplicar, por falta de equipamiento, infraestructuras, personal

especializado, políticas de estado en ciberdefensa y finalmente debido

a que sus lineamientos no están de acuerdo a nuestra realidad

institucional, se presentan Incumplimientos de dispositivos

normativos en la aplicación de dispositivos relacionados con la


Ejército del Perú

151

estadístico originalmente propuesto por Pearson (1900; y Cochran, 1952)

para comparar las frecuencias observadas o empíricas con las esperadas o

teóricas de cada categoría, es decir, un estadístico diseñado para comparar

las frecuencias de hecho obtenidas en una muestra concreta (frecuencias

observadas: ni) con las frecuencias que deberíamos encontrar si la variable

realmente siguiera la distribución teórica propuesta en la hipótesis nula

(frecuencias esperadas: mi).

4.2.1 Contrastación de la Hipótesis Específicas

4.2.1.1 Hipótesis específicas “a”:

a) Planteamiento de la Hipótesis estadística:

H0 = Hipótesis nula: “…No se presentan deficiencias en los

Programas de Capacitación, para el Personal Militar o Civil que

Administran las infraestructuras de TI; por no contar con un adecuado

nivel de capacitación en Ciberdefensa; o por no tener un nivel de


Norma Técnica Peruana NTP-ISO/IEC 17799, sobre buenas prácticas

para la gestión de la seguridad de la información…”

Ha = Hipótesis alterna: “…Se presentan deficiencias en los

Programas de Capacitación, para el Personal Militar o Civil que

Administran las infraestructuras de TI; por no contar con un adecuado

nivel de capacitación en Ciberdefensa; o por no tener un nivel de


Norma Técnica Peruana NTP-ISO/IEC 17799, sobre buenas prácticas

para la gestión de la seguridad de la información…”

b) Nivel de significación = 5%

c) Prueba Estadística a usar: Se utilizará la prueba Binomial para una

muestra grande, es decir: N > 25 con una aproximación a la

distribución normal.

152

d) Criterio de decisión:

Si P-value < 0,05 se rechaza la H0 y se acepta la Ha.

Si P-value >= 0,05 Se acepta la H0 y se rechaza la Ha.

e) Desarrollo de la prueba:

• Programas de Capacitación: Pregunta 2.1 “Personal Capacitado

en Ciberdefensa”

Prueba Binomial

Categoría N Proporción observada

Prop. de prueba

Sig. asintót.

(bilateral)

C. Prevención

Grupo 1 No 33 .69 .50 .013(a)

Grupo 2 Si 15 .31

Total 48 1.00

C.Defensa

Grupo 1 No 32 .67 .50 .029(a)

Grupo 2 Si 16 .33

Total 48 1.00

C. Detección

Grupo 1 No 37 .77 .50 .000(a)

Grupo 2 Si 11 .23

Total 48 1.00

C. Respuesta

Grupo 1 Si 12 .25 .50 .001(a)

Grupo 2 No 36 .75

Total 48 1.00

C .Explotación

Grupo 1 Si 10 .21 .50 .000(a)

Grupo 2 No 38 .79

Total 48 1.00

a Basado en la aproximación Z.

• Programas de Capacitación: Pregunta 2.2 y 2.3

Resumen del procesamiento de los casos con prueba de Chi Cuadrado

Casos

Nivel de Capacitación de Capacidades de

Ciberdefensa * Causas de no estar Capacitado

Válidos Perdidos Total

N Porcentaje N Porcentaje N Porcentaje

48 100.0% 0 .0% 48 100.0%

Pruebas de Chi-Cuadrado

Valor gl Sig. asintótica

(bilateral)

Chi-cuadrado de Pearson 53.577(a) 12 .000

Razón de verosimilitudes 33.434 12 .001

Asociación lineal por lineal .846 1 .358

N de casos válidos 48

a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .06.

153

Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi 1.056 .000

V de Cramer .610 .000

Coeficiente de contingencia .726 .000


a Asumiendo la hipótesis alternativa. b Empleando el error típico asintótico basado en la hipótesis nula.

• Resultados Parciales de las presuntas 2.1, 2.2 y 2.3

De acuerdo al resultado obtenido con el SPSS de la pregunta 2.1

se tiene:

➢ En el grupo 1 se observa que conocen las Capacidades de

Ciberdefensa.

➢ En el grupo 2 se observa que no conocen las Capacidades de

Ciberdefensa.

Por tanto, podemos asegurar con un 95% de confianza (Ps =

(0.013, 0.029,0.00,0.001 y 0.00) < 0.05) que el Personal Militar

y Civil del COPERE que tienen la responsabilidad de

administrar y controlar las diferentes infraestructuras de TI

desconocen las Capacidades de Ciberdefensa.

De acuerdo a los resultados obtenidos con el SPS de las preguntas

2.2 y 2.3 se tiene que existe una Asociación Fuerte (Coeficiente

contingencia =0.7263) entre el nivel de conocimiento de las

capacidades de ciberdefensa y las razones o causas de que el


infraestructuras de TI no esté capacitado en Ciberdefensa (Chi

Cuadrado = 0.00)

154

• Programas de Capacitación: Pregunta 2.4 “Norma Técnica Peruana ISO/IEC 17799”

Prueba Binomial


Prop. de

prueba

Sig. asintót.

(bilateral)

Seg. Ligada al Personal

Grupo 1 Si 14 .29 .50 .006(a)

Grupo 2 No 34 .71

Total 48 1.00

Seg. Física y del Entorno

Grupo 1 No 33 .69 .50 .013(a)

Grupo 2 Si 15 .31

Total 48 1.00

G. Comunicaciones y Operaciones

Grupo 1 Si 15 .31 .50 .013(a)

Grupo 2 No 33 .69

Total 48 1.00

Adm y Control de Acceso

Grupo 1 No 32 .67 .50 .029(a)

Grupo 2 Si 16 .33

Total 48 1.00

Desarrollo y Manto de Sistemas

Grupo 1 Si 12 .25 .50 .001(a)

Grupo 2 No 36 .75

Total 48 1.00

Aspectos Org. De la Seguridad

Grupo 1 No 35 .73 .50 .002(a)

Grupo 2 Si 13 .27

Total 48 1.00




Casos

Nivel de Conocimiento de la NTP * Causas o

Razones de no Conocerlas o Aplicarlas



48 100.0% 0 .0% 48 100.0%


Valor gl

Sig. asintótica (bilateral)



Asociación lineal por lineal 15.711 1 .000



155

Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi 1.227 .000







se tiene:

➢ En el grupo 1 se observa que conocen las disposiciones de la

NTP ISO/IEC 17799.

➢ En el grupo 2 se observa que no conocen las disposiciones de

la NTP ISO/IEC 17799.


(0.006, 0.013, 0.013, 0.029, 0.001 y 0.002) < 0.05) que el

Personal Militar y Civil del COPERE que tienen la

responsabilidad de administrar y controlar las diferentes

infraestructuras de TI desconocen las disposiciones de la NTP

ISO/IEC 17799.


2.5 y 2.6 se tiene que existe una Asociación fortísima

(Coeficiente contingencia =0.775) entre el nivel de conocimiento

de la NTP ISO/IEC 17799 y las razones o causas de que el


infraestructuras de TI no conozcan o apliquen la NTP ISO/IEC

17799 (Chi Cuadrado = 0.00).

156



Casos

Nivel de Programas de Capacitación en Ciberdefensa * Protección de la Información del EP



48 100.0% 0 .0% 48 100.0%



(bilateral)






Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .885 .000





• Resultados Parciales de las presuntas 2.7 y 2.8

De acuerdo al resultado obtenido con el SPSS de las preguntas

2.7 y 2.8 se tiene que existe una Asociación fuerte (Coeficiente

contingencia =0.663) entre el nivel de los Programas de

Capacitación en Ciberdefensa y la Protección de la Información

del ejercito del Perú (Chi Cuadrado = 0.00).

f) Conclusión parcial:

Por lo tanto, de acuerdo a los resultados parciales obtenidos con la

prueba Binomial, en donde los valores de P son menores a (P< 0.05),

es por esa razón que se rechaza la H0, y se acepta la Ha; así mismo,

se ha obtenido mediante prueba de chi cuadrado que existe

asociación en el nivel de capacitación en ciberdefensa y las razones

157

o causas por las que no está capacitado, asociación en el nivel de

conocimiento de la NTP ISO/IEC 17799 y las razones o causas por

las que no las conoce o no las aplica y la asociación del nivel de los

programas de capacitación con la protección de la información del

Ejército del Perú, todos ellos con un valor de significación asintótica

de 0.00. Por lo tanto, existe información estadística suficiente para

afirmar que existe solución a la falta de programas de capacitación

para el Personal Militar y Civil que Administran las infraestructuras de

TI; lo cual posibilitará contar con un adecuado nivel de capacidades

en ciberdefensa y contar con un nivel de conocimiento adecuado de

los lineamientos que se disponen en la Norma Técnica Peruana NTP-

ISO/IEC 17799, los cuales contribuirán a solucionar o mejorar la

protección de la información en el Ejército del Perú..

4.2.1.2 Hipótesis específicas “b”:


H0 = Hipótesis nula: “…No se observa, carencia de Recursos

Disponibles para Ciberdefensa; por no contar un adecuado nivel de

Asignación presupuestal o por no contar con un adecuado nivel de

funcionalidad de las Estructuras Estratégicas necesarias que

brinden seguridad a la información…”.

Ha = Hipótesis alterna: “…Se observa, carencia de Recursos

Disponibles para Ciberdefensa; por no contar un adecuado nivel de

Asignación presupuestal o por no contar con un adecuado nivel de

funcionalidad de las Estructuras Estratégicas necesarias que

brinden seguridad a la información…”.





158





• Recursos Disponibles: Pregunta 3.1 “Asignación Presupuestal

para Ciberdefensa”

Prueba Binomial


Prop. de prueba

Sig. asintót. (bilateral)

Proyecto de Inversión Publica

Grupo 1 Si 16 .33 .50 .029(a)

Grupo 2 No 32 .67

Total 48 1.00

Demanda adicional al MEF

Grupo 1 No 33 .69 .50 .013(a)

Grupo 2 Si 15 .31

Total 48 1.00

Convenios con Instituciones Privadas

Grupo 1 No 36 .75 .50 .001(a)

Grupo 2 Si 12 .25

Total 48 1.00

Considerarlo en el Programa Presupuestal Anual

Grupo 1 No 34 .71 .50 .006(a)

Grupo 2 Si 14 .29

Total 48 1.00


• Recursos Disponibles: Pregunta 3.2 y 3.3


Casos

Nivel de Asignación Presupuestal * Causas

de no tener presupuesto



48 100.0% 0 .0% 48 100.0%



(bilateral)



Asociación lineal por lineal .161 1 .688


a 12 casillas (80.0%) tienen una frecuencia esperada inferior a 5. La frecuencia

mínima esperada es .42

159

Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .785 .000







se tiene:

➢ En el grupo 1 se observa que conocen las formas o maneras

de obtener asignación Presupuestal para ciberdefensa.

➢ En el grupo 2 se observa que no conocen las formas o maneras

de obtener asignación Presupuestal para ciberdefensa.


(0.029, 0.013, 0.001 y 0.006) < 0.05) que el Personal Militar y

Civil del COPERE que tienen la responsabilidad de administrar

y controlar las diferentes infraestructuras de TI desconocen las

formas o maneras de obtener asignación Presupuestal para

ciberdefensa.


3.2 y 3.3 se tiene que existe una Asociación Fuerte (Coeficiente

contingencia =0.618) entre el nivel de asignación presupuestal

para ciberdefensa y las causas o razones por las que las

autoridades no asignan presupuestos para ciberdefensa en favor

de la protección de la información del ejercito del Perú (Chi

Cuadrado = 0.00)

160

• Recursos Disponibles: Pregunta 3.4 “Infraestructuras Estratégicas”

Prueba Binomial


Prop. de prueba


Personal

Grupo 1 No 32 .67 .50 .029(a) Grupo 2 Si 16 .33 Total 48 1.00

Instalaciones

Grupo 1 Si 15 .31 .50 .013(a) Grupo 2 No 33 .69 Total 48 1.00

Equipos


Servicios


Redes


Sistemas de Información

Grupo 1 No 32 .67 .50 .029(a) Grupo 2 Si 16 .33

Total 48 1.00




Casos

Nivel de Infraestructuras estratégicas * Causas o

Razones de no tener infraestructuras

Estratégicas



48 100.0% 0 .0% 48 100.0%



(bilateral)






161

Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .895 .000







se tiene:

➢ En el grupo 1 se observa que conocen las infraestructuras

Estratégicas.

➢ En el grupo 2 se observa que no conocen las infraestructuras

Estratégicas.


(0.029, 0.013, 0.006, 0.029, 0.013 y 0.029) < 0.05) que el



infraestructuras de TI desconocen de las infraestructuras

estratégicas.



contingencia =0.667) entre el nivel de funcionalidad de las

infraestructuras estratégicas y las causas o razones por las que no

se disponer de un nivel adecuado de infraestructuras estratégicas

para ciberdefensa (Chi Cuadrado = 0.00)

162



Casos

Nivel de Recursos Disponibles para Ciberdefensa * Protección de la Información del EP



48 100.0% 0 .0% 48 100.0%



(bilateral)






Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi 1.001 .000








contingencia =0.707) entre el nivel de los Recursos Disponibles

para Ciberdefensa y la Protección de la Información del ejercito del

Perú (Chi Cuadrado = 0.00).






asociación en el nivel de asignación Presupuestal y las razones o

causas por las que las autoridades no asignan presupuestos,

163

asociación en el nivel de funcionalidad de las Infraestructuras

Estratégicas y las razones o causas de que el personal no conozca

las Infraestructuras Estratégicas y la asociación de recursos

disponibles para ciberdefensa con la protección de la información del

Ejército del Perú, todos ellos con un valor de significación asintótica

de 0.00. Por lo tanto, existe información estadística suficiente para

afirmar que existe solución a las carencias de recursos disponibles

para ciberdefensa; lo cual posibilitará contar con un adecuado nivel

de Asignación presupuestal y contar con un adecuado nivel de

funcionalidad de las Estructuras Estratégicas, los cuales contribuirán

a solucionar o mejorar la protección de la información en el Ejército

del Perú.

4.2.1.3 Hipótesis específicas “c”:


H0 = Hipótesis nula: “…No se observa desconocimiento o aplicación

inadecuada de los procedimientos de seguridad informática; por no

contar con un adecuado nivel de conocimiento de los Conceptos y

Principios básicos relacionados con Ciberdefensa …”.

Ha = Hipótesis alterna: “…Se observa desconocimiento o aplicación

inadecuada de los procedimientos de seguridad informática; por no

contar con un adecuado nivel de conocimiento de los Conceptos y

Principios básicos relacionados con Ciberdefensa …”.








164


• Procedimientos de Seguridad Informática: Pregunta 4.1

“Conceptos Básicos relacionados con Ciberdefensa”

Prueba Binomial


Prop. de prueba


Seguridad de las Informaciones

Grupo 1 Si 16 .33 .50 .029(a)

Grupo 2 No 32 .67

Total 48 1.00

Ciberseguridad

Grupo 1 No 38 .79 .50 .000(a)

Grupo 2 Si 10 .21

Total 48 1.00

Ciberdefensa

Grupo 1 No 39 .81 .50 .000(a)

Grupo 2 Si 9 .19

Total 48 1.00

Ciberguerra

Grupo 1 No 37 .77 .50 .000(a)

Grupo 2 Si 11 .23

Total 48 1.00

Protección de la Información

Grupo 1 No 33 .69 .50 .013(a)

Grupo 2 Si 15 .31

Total 48 1.00

Ciberespacio

Grupo 1 No 34 .71 .50 .006(a)

Grupo 2 Si 14 .29

Total 48 1.00


• Procedimientos de Seguridad Informática: Pregunta 4.2 y 4.3


Casos

Nivel de conocimiento de los Conceptos

Básicos Ciberdefensa * Causas o Razones de

no conocer los Conceptos Básicos



48 100.0% 0 .0% 48 100.0%



(bilateral)





a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .17

165

Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi 1.376 .000







se tiene:

➢ En el grupo 1 se observa que conocen los conceptos básicos

relacionados con Ciberdefensa.

➢ En el grupo 2 se observa que no conocen los conceptos

básicos relacionados con Ciberdefensa.


(0.029, 0.0, 0.0, 0.0, 0.013 y 0.006) < 0.05) que el Personal

Militar y Civil del COPERE que tienen la responsabilidad de


desconocen los conceptos básicos relacionados con

Ciberdefensa.


4.2 y 4.3 se tiene que existe una Asociación fortísima

(Coeficiente contingencia =0.809) entre el nivel de conocimiento

de los conceptos básicos relacionados con ciberdefensa y las

razones o causas de que el Personal Militar y Civil del COPERE

encargados de administrar las infraestructuras de TI no conozca

los conceptos básicos (Chi Cuadrado = 0.00)

166

• Procedimientos de Seguridad Informática: Pregunta 4.4

“Principios Básicos relacionados con Ciberdefensa”

Prueba Binomial


Prop. de prueba


P. Seguridad de las Informaciones

Grupo 1 Si 15 .31 .50 .013(a)

Grupo 2 No 33 .69

Total 48 1.00

P. Ciberseguridad

Grupo 1 No 37 .77 .50 .000(a)

Grupo 2 Si 11 .23

Total 48 1.00

P. de una conciencia de Ciberseguridad

Grupo 1 No 40 .83 .50 .000(a)

Grupo 2 Si 8 .17

Tota 48 1.00

P. Ciberdefensa

Grupo 1 Si 14 .29 .50 .006(a)

Grupo 2 No 34 .71

Total 48 1.00

P. Ciberguerra

Grupo 1 No 32 .67 .50 .029(a)

Grupo 2 Si 16 .33

Total 48 1.00




Casos

Nivel de conocimiento de los Principios

Básicos Ciberdefensa * Causas o Razones de

no conocer los Principios Básicos



48 100.0% 0 .0% 48 100.0%



(bilateral)






167

Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .958 .000







se tiene:

➢ En el grupo 1 se observa que conocen los Principios básicos


➢ En el grupo 2 se observa que no conocen los Principios básicos



(0.013, 0.0, 0.0, 0.006 y 0.029) < 0.05) que el Personal Militar



desconocen los Principios Básicos Relacionados con

Ciberdefensa.



contingencia =0.692) entre el nivel de conocimiento de los

principios básicos relacionados con ciberdefensa y las razones o

causas de que el Personal Militar y Civil del COPERE encargados

de administrar las infraestructuras de TI no conozcan los Principios

Básicos (Chi Cuadrado = 0.00).

168



Casos

Nivel de conocimiento de los Procedimientos de seguridad informática * Protección de la Información del EP



48 100.0% 0 .0% 48 100.0%



(bilateral)






Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .977 .000








contingencia =0.699) entre el nivel de conocimiento de los

Procedimientos de seguridad informática y la Protección de la

Información del ejercito del Perú (Chi Cuadrado = 0.00).






asociación en el nivel de conocimiento de los conceptos básicos

169

relacionado con ciberdefensa y las razones o causas por las que el

Personal no tiene conocimiento de los mencionados conceptos

básicos, asociación en el nivel de conocimiento de los principios

básicos relacionado con ciberdefensa y las razones o causas por las

que el personal no tiene conocimiento de los mencionados Principios

básicos y la asociación del nivel de conocimiento de los

procedimientos de seguridad informática con la protección de la

información del Ejército del Perú, todos ellos con un valor de

significación asintótica de 0.00. Por lo tanto, existe información

estadística suficiente para afirmar que existe solución al

desconocimiento o la mala aplicación de los procedimientos de

seguridad informática; lo cual posibilitará tener un adecuado nivel de

conocimiento de los Conceptos y Principios básicos relacionados con

Ciberdefensa, los cuales contribuirán a solucionar o mejorar la

protección de la información en el Ejército del Perú.

4.2.1.4 Hipótesis específicas “d”:


H0 = Hipótesis nula: “…No se presenta incumplimientos de

disposiciones normativos relacionados a ciberdefensa; por no tener

un adecuado grado de cumplimiento del Plan de Desarrollo de la

Sociedad de la Información en el Perú. La Agenda Digital 2.0, o el Plan

de desarrollo Institucional “Bolognesi”, Directiva única para el

funcionamiento del sistema de telemática y estadística del Ejército

(DUFSITELE) y la Directiva Nº Directiva Nº 001 sobre los Lineamientos

de seguridad de la información para la Ciberdefensa en el Ejército del

Perú …”.

Ha = Hipótesis alterna: “…Se presenta incumplimientos de

disposiciones normativos relacionados a ciberdefensa; por no tener

un adecuado grado de cumplimiento del Plan de Desarrollo de la

Sociedad de la Información en el Perú. La Agenda Digital 2.0, o el Plan

de desarrollo Institucional “Bolognesi”, Directiva única para el

170

funcionamiento del sistema de telemática y estadística del Ejército

(DUFSITELE) y la Directiva Nº Directiva Nº 001 sobre los Lineamientos


Perú …”.









• Disposiciones Normativas: Pregunta 5.1 “Plan de Desarrollo de

la Sociedad de la Información en el Perú”

Prueba Binomial


Prop. de prueba


Fortalecer los RH

Grupo 1 No 32 .67 .50 .029(a)

Grupo 2 Si 16 .33

Total 48 1.00

Promover los Centros de Excelencia

Grupo 1 Si 10 .21 .50 .000(a)

Grupo 2 No 38 .79

Total 48 1.00

Promover la Prod Científica

Grupo 1 No 37 .77 .50 .000(a)

Grupo 2 Si 11 .23

Total 48 1.00

Implementar Mec. Seg.

Grupo 1 No 33 .69 .50 .013(a)

Grupo 2 Si 15 .31

Total 48 1.00

Impulsar la Interoperabilidad

Grupo 1 No 34 .71 .50 .006(a)

Grupo 2 Si 14 .29

Total 48 1.00

Implementar Mec. Acceso a la Info.

Grupo 1 No 35 .73 .50 .002(a)

Grupo 2 Si 13 .27

Total 48 1.00


171

• Disposiciones Normativas: Pregunta 5.2 y 5.3


Casos

Grado de cumplimiento del Plan de Desarrollo de la

Sociedad de la Información en el Perú * Causas o

Razones de no cumplir la mencionada normativa



48 100.0% 0 .0% 48 100.0%



(bilateral)





a 17 casillas (85.0%) tienen una frecuencia esperada inferior a 5. La frecuencia mínima esperada es .08

Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi 1.033 .000







se tiene:

➢ En el grupo 1 se observa que conoce y cumplen las

disposiciones normativas del Plan de Desarrollo de la Sociedad

de la Información en el Perú.

➢ En el grupo 2 se observa que no conoce y cumplen las

disposiciones normativas del Plan de Desarrollo de la Sociedad


172


(0.029, 0.0, 0.0, 0.013, 0.006 y 0.002) < 0.05) que el Personal



desconocen y no cumplen el Plan de Desarrollo de la Sociedad




contingencia =0.719) entre el nivel de conocimiento y cumplimiento

del Plan de Desarrollo de la Sociedad de la Información en el Perú

y las razones o causas de que el Personal Militar y Civil del

COPERE encargados de administrar las infraestructuras de TI

desconozcan y no cumplen el Plan de Desarrollo de la Sociedad

de la Información en el Perú (Chi Cuadrado = 0.00).

• Disposiciones Normativas: Pregunta 5.4 “Plan de Desarrollo

institucional Bolognesi”

Prueba Binomial


Prop. de prueba


Potenciamiento de la Educación

Grupo 1 No 37 .77 .50 .000(a)

Grupo 2 Si 11 .23

Total 48 1.00

Implementación de la BDU

Grupo 1 Si 13 .27 .50 .002(a)

Grupo 2 No 35 .73

Total 48 1.00

Implementación del centro de entrenamiento

Grupo 1 No 34 .71 .50 .006(a)

Grupo 2 Si 14 .29

Total 48 1.00

Modernización de las Escuelas de Formación y capacitación

Grupo 1 No 40 .83 .50 .000(a)

Grupo 2 Si 8 .17

Total 48 1.00

Actualización y creación de doctrina técnica, táctica y adm

Grupo 1 No 36 .75 .50 .001(a)

Grupo 2 Si 12 .25

Total 48 1.00

Implementación del

sistema C2

Grupo 1 No 37 .77 .50 .000(a)

Grupo 2 Si 11 .23

Total 48 1.00


173



Casos

Grado de cumplimiento del Plan de Desarrollo

institucional Bolognesi * Causas o Razones de no

cumplir la mencionada normativa



48 100.0% 0 .0% 48 100.0%



(bilateral)



Asociación lineal por lineal 7,752 1 .005



Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .922 .000







se tiene:


disposiciones normativas del Plan de Desarrollo institucional

Bolognesi.


disposiciones normativas del Plan de Desarrollo institucional

Bolognesi.

174


(0.0, 0.002, 0.006, 0.0, 0.001 y 0.0) < 0.05) que el Personal



desconocen y no cumplen el Plan de Desarrollo institucional

Bolognesi.




del Plan de Desarrollo institucional Bolognesi y las razones o

causas de que el Personal Militar y Civil del COPERE encargados

de administrar las infraestructuras de TI desconozcan y no

cumplen el Plan de Desarrollo institucional Bolognesi (Chi

Cuadrado = 0.00).

• Disposiciones Normativas: Pregunta 5.7 “Directiva Única de

Funcionamiento del Sistema de Telemática y Estadifica del

Ejercito”

Prueba Binomial


Prop. de prueba


Políticas Institucionales de Telemática

Grupo 1 No 32 .67 .50 .029(a)

Grupo 2 Si 16 .33

Total 48 1.00

Componentes del sub sistema Cibernético

Grupo 1 No 32 .67 .50 .029(a)

Grupo 2 Si 16 .33

Total 48 1.00

Presupuesto y Proyectos de Inversión Publica

Grupo 1 No 36 .75 .50 .001(a)

Grupo 2 Si 12 .25

Total 48 1.00

Factores del Diseño del sistema de Telemática

Grupo 1 No 32 .67 .50 .029(a)

Grupo 2 Si 16 .33

Total 48 1.00

Implementación de las Capacidades de

sistema de C2

Grupo 1 Si 10 .21 .50 .000(a)

Grupo 2 No 38 .79

Total 48 1.00

Componentes del sub Sistema de Telemática

Grupo 1 No 36 .75 .50 .001(a)

Grupo 2 Si 12 .25

Total 48 1.00


175



Casos

Grado de cumplimiento de la DUFSITELE * Causas o Razones de no cumplir la

mencionada normativa



48 100.0% 0 .0% 48 100.0%



(bilateral)






Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .914 .000







se tiene:


disposiciones normativas de la Directiva Única de


Ejercito.


disposiciones normativas de la Directiva Única de


Ejercito.


(0.029, 0.029, 0.001, 0.029, 0.0 y 0.001) < 0.05) que el



176

infraestructuras de TI desconocen y no cumplen la Directiva

Única de Funcionamiento del Sistema de Telemática y

Estadifica del Ejercito.





Estadifica del Ejercito y las razones o causas de que el Personal

Militar y Civil del COPERE encargados de administrar las

infraestructuras de TI desconozcan y no cumplen la Directiva

Única de Funcionamiento del Sistema de Telemática y Estadifica

del Ejercito (Chi Cuadrado = 0.00).

• Disposiciones Normativas: Pregunta 5.10 “Directiva Nº 01 -


en el Ejército del Perú”

Prueba Binomial


Prop. de prueba


Desarrollo del Programa Nacional de Ciberdefensa en el Ejército del Perú

Grupo 1 No 39 .81 .50 .000(a)

Grupo 2 Si 9 .19

Total 48 1.00

Gestión homogénea de las redes en el Ejército del Perú

Grupo 1 No 34 .71 .50 .006(a)

Grupo 2 Si 14 .29

Total 48 1.00

Uso de estándares y certificaciones de seguridad

Grupo 1 Si 11 .23 .50 .000(a)

Grupo 2 No 37 .77

Total 48 1.00

Programa de concientización y Formación para la cultura en seguridad

Grupo 1 No 37 .77 .50 .000(a)

Grupo 2 Si 11 .23

Total 48 1.00

Mejorar los mecanismos de coordinación y respuesta a incidentes cibernéticos

Grupo 1 No 34 .71 .50 .006(a)

Grupo 2 Si 14 .29

Total 48 1.00

Despliegue de sistemas de alerta, protección y sus interconexiones

Grupo 1 No 38 .79 .50 .000(a)

Grupo 2 Si 10 .21

Total 48 1.00


177



Casos

Grado de cumplimiento de la Directiva Nº 01 -

Lineamientos de seguridad de la información para la

Ciberdefensa en el Ejército del Perú * Causas o

Razones de no cumplir la mencionada normativa



48 100.0% 0 .0% 48 100.0%



(bilateral)






Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .992 .000







se tiene:


disposiciones normativas de la Directiva Nº 01 -Lineamientos

de seguridad de la información para la Ciberdefensa en el



disposiciones normativas de la Directiva Nº 01 -Lineamientos

de seguridad de la información para la Ciberdefensa en el


178


(0.0, 0.006, 0.0, 0.0, 0.006 y 0.0) < 0.05) que el Personal Militar



desconocen y no cumplen Directiva Nº 01 -Lineamientos de

seguridad de la información para la Ciberdefensa en el Ejército

del Perú.




de la Directiva Nº 01 -Lineamientos de seguridad de la información

para la Ciberdefensa en el Ejército del Perú y las razones o causas

de que el Personal Militar y Civil del COPERE encargados de

administrar las infraestructuras de TI desconozcan y no cumplen

la Directiva Nº 01 -Lineamientos de seguridad de la información

para la Ciberdefensa en el Ejército del Perú (Chi Cuadrado = 0.00).



Casos

Grado de cumplimiento de los dispositivos normativos relacionados con la ciberdefensa * Protección de la Información del EP



48 100.0% 0 .0% 48 100.0%



(bilateral)







179

Medidas Simétricas

Valor Sig.

aproximada

Nominal por nominal

Phi .838 .000








contingencia =0.642) entre el nivel de cumplimiento de los

dispositivos normativos relacionado con ciberdefensa y la

Protección de la Información del ejercito del Perú (Chi Cuadrado =

0.00).






asociación en el Grado de cumplimiento del Plan de Desarrollo de la

Sociedad de la Información en el Perú y las razones o causas por las

que el Personal no conoce o no cumplen las disposiciones normativas

del mencionado plan, asociación del Grado de cumplimiento del Plan

de Desarrollo Institucional Bolognesi y las razones o causas por las


del mencionado plan, la asociación del Grado de cumplimiento de la


Estadifica del Ejercito y las razones o causas por las que el Personal

no conoce o no cumplen las disposiciones normativas de la

mencionada directiva, la asociación del Grado de cumplimiento de la

Directiva Nº 01-Lineamientos de seguridad de la información para la

180

Ciberdefensa en el Ejército del Perú y las razones o causas por las


de la mencionada directiva y la asociación del grado de cumplimiento

de las disposiciones normativas relacionadas con la protección de la

información del Ejército del Perú, todos ellos con un valor de

significación asintótica de 0.00. Por lo tanto, existe información

estadística suficiente para afirmar que existe solución a los

Incumplimientos normativos relacionados con ciberdefensa; lo cual

posibilitará tener un adecuado grado de cumplimiento del Plan de

Desarrollo de la Sociedad de la Información en el Perú. La Agenda

Digital 2.0, el Plan de desarrollo Institucional “Bolognesi”, la Directiva

única para el funcionamiento del sistema de telemática y estadística

del Ejército (DUFSITELE) y la Directiva Nº 001 sobre los Lineamientos


Perú; los cuales contribuirán a solucionar o mejorar la protección de

la información en el Ejército del Perú.

4.2.2 Contrastación de la Hipótesis Global o Principal


H0 = Hipótesis nula: No se presenta dificultades que impiden el

mejoramiento de la Ciberdefensa y su incidencia en la protección de la

información del Ejército del Perú, porque: “… No existen deficiencias

en los programas de capacitación; o porque no existen carencias

de recursos disponibles para ciberdefensa; o por no existe

desconocimiento o no se aplica de manera adecuada de los

procedimientos de seguridad informática; o porque no se

presentan incumplimientos normativos de disposiciones internas o

externas referidos a la ciberdefensa…”

H1 = Hipótesis alterna: Se presenta dificultades que impiden el


información del Ejército del Perú, porque: “…existen deficiencias en

181

los programas de capacitación; o por carencias de recursos

disponibles para ciberdefensa; o por desconocimiento o no se

aplica de manera adecuada de los procedimientos de seguridad

informática; o por presentar incumplimientos normativos de

disposiciones internas o externas referidos a la ciberdefensa…”

Nivel de significación = 5%

b) Prueba Estadística a usar: Se utilizará la prueba Binomial para una



c) Criterio de decisión:



d) Desarrollo de la prueba:

Se ha tomado como premisas para contrastar la hipótesis global, las

conclusiones parciales de cada hipótesis específica, donde se obtuvo

con un 95% de confianza, que los valores de Ps de las hipótesis

especificas son menores a 0.05 (Ps > 0.55) y las asociaciones de los

diferentes indicadores que tienen una significación asintótica de 0.00.

e) Conclusión:

De acuerdo al párrafo anterior, se rechaza la hipótesis nula y se

aceptó la hipótesis alterna, y por lo cual se prueba deficiencias en los

programas de capacitación, carencias de recursos disponibles para

ciberdefensa, desconocimiento o la mala aplicación de los

procedimientos de seguridad informática y los incumplimientos de la

normatividad relacionados a ciberdefensa.

182

4.3 DISCUSIÓN DE LOS RESULTADOS

Discusión y análisis de la Ciberdefensa y su incidencia en la protección de la

información del Ejército del Perú. Caso COPERE 2013 – 2014.

El presente trabajo es el resultado de haber estudiado, discutido y analizado el

conocimiento y uso de conceptos, principios, teorías, técnicas y otros

enunciados o postulados por parte del investigador en el desarrollo de la

Ciberdefensa y su incidencia en la protección de la información del Ejército del

Perú. Caso COPERE 2013 – 2014.

El propósito de esta discusión y análisis es afirmar y demostrar que: “…existen

deficiencias en los programas de capacitación; o carencias de recursos

disponibles para ciberdefensa; o por desconocimiento o mala aplicación

de los procedimientos de seguridad informática al no aplicar

adecuadamente los conceptos y principios básicos; o por

incumplimientos de dispositivos normativos referidos a ciberdefensa;

para el mejoramiento de la Ciberdefensa y su incidencia en la protección

de la Información del Ejercito del Perú …”

Esta discusión y análisis de la Ciberdefensa y su incidencia en la protección de

la información del Ejército del Perú, ha permitido aplicar:

a) Relevamiento directo de los datos y/o información fuente:

Se han obtenido los datos y la información por medio del método de la

encuesta a la muestra de la población informante seleccionada, así como

se ha aplicado técnicas de observación directa, entrevistas, consultas,

de igual forma el análisis de la información generada por cada

procedimiento inherente al mejoramiento de la Ciberdefensa y su incidencia

en la protección de la Información del Ejercito del Perú.

b) Criterios y metodologías altamente técnicas:

Se han realizado reuniones de trabajo con las autoridades y funcionarios

de las secciones y Departamentos de Telemática del COPERE,

responsables de implementar y mejorar la protección de la Información que

maneja el COPERE; así mismo, se contado con la participación del

personal de la Dirección de Telemática y Estadística del Ejercito del Perú,

183

responsables de las seguridad de las informaciones, Tecnologías de

Información y sistemas de información; dichas reuniones han permitido

afirmar, ratificar, esclarecer y enriquecer el presente diagnóstico

posibilitando contar con una visión de la realidad actual ampliamente

objetiva y constructiva para el mejoramiento de la Ciberdefensa y su

incidencia en la protección de la Información del Ejercito del Perú.

c) La fuente de información básica se ha agrupado para efectos del

estudio en los siguientes aspectos de la contrastación de las

hipótesis:

• Rechazar la hipótesis nula de la hipótesis global o principal presentada

y aceptar la hipótesis de investigación (alterna); por lo tanto, existe

solución a las deficiencias de programas de capacitación, Carencia de

recursos disponibles para ciberdefensa, desconocimiento o mala

aplicación de los procedimientos de seguridad informática e

incumplimientos normativos relacionados con ciberdefensa, que

dificultan el mejoramiento de la Ciberdefensa y su incidencia en la

protección de la información del Ejército del Perú. Caso: COPERE 2013

– 2014. En cuanto a que los valores de p de todas las hipótesis

especificas son menores a 0.05 (Ps> 0.05).

• Rechazar la hipótesis nula de la Hipótesis Específica “a”, presentada y

aceptar la hipótesis de investigación (alterna); por lo tanto, existe

solución a las deficiencias en los programas de capacitación, que


protección de la información del Ejército del Perú. En cuanto a que los

valores de P son menores que 0.05 (Ps> 0.05).

• Rechazar la hipótesis nula de la Hipótesis Específica “b”, presentada y


solución a las carencias de recursos disponibles para ciberdefensa que


protección de la información del Ejército del Perú. En cuanto a que los

valores de P son menores que 0.05 (Ps> 0.05).

184

• Rechazar la hipótesis nula de la Hipótesis Específica “c”, presentada y


solución al desconocimiento o mala aplicación de los procedimientos de

seguridad informática que dificultan el mejoramiento de la Ciberdefensa

y su incidencia en la protección de la información del Ejército del Perú.

En cuanto a que los valores de P son menores que 0.05 (Ps> 0.05).

• Rechazar la hipótesis nula de la Hipótesis Específica “d”, presentada y


solución a los Incumplimientos Normativos relacionados con

ciberdefensa que dificultan el mejoramiento de la Ciberdefensa y su

incidencia en la protección de la información del Ejército del Perú. En

cuanto a que los valores de P son menores que 0.05 (Ps> 0.05).

185

CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES

5.1. Conclusiones

Cada conclusión parcial se basa en el resultado de la contratación de una

hipótesis especifica.

5.1.1. Conclusión parcial N.º 1

5.1.1.1. Contrastación con la hipótesis específica “a”

En el numeral N.º 2.4.2. se ha enunciado la siguiente hipótesis

específica “a”:

“…Se presentan deficiencias en los Programas de Capacitación, para

el Personal Militar o Civil que Administran las infraestructuras de TI; por no

contar con un adecuado nivel de capacitación en Ciberdefensa; o por no

tener un nivel de conocimiento adecuado de los lineamientos que se

disponen en la Norma Técnica Peruana NTP-ISO/IEC 17799, sobre buenas

prácticas para la gestión de la seguridad de la información…”

Tomando como premisas el análisis de los resultados obtenidos en el

numeral 4.1.2 y 4.2.1.1; todas las cuales se han obtenido de la tabulación de

las respuestas a las preguntas consideradas en la guía de entrevista Nº01;

se establecer que:

a) Podemos afirmar con un 95% de confianza que el Personal Militar y Civil

del COPERE que tienen la responsabilidad de administrar y controlar las

diferentes infraestructuras de TI; así como, el personal responsable de

brindar seguridad de las redes y sistemas de información de las

instalaciones del CGE desconocen o no aplican adecuadamente las

capacidades de ciberdefensa, debido que el promedio de capacidades de

ciberdefensa que conocen es de 1,33 de un total de 05 capacidades que

el personal debe conocer; de igual manera sucede con la NTP ISO/IEC

17799 ya que su promedio de conocimiento y aplicabilidad es de 1.77 de

un total de 6 conceptos que deben conocerse y aplicarse.

186

b) De acuerdo a los resultados de la prueba binomial se ha obtenido que los

valores de P son menores a 0.5, por lo tanto, se confirma estadísticamente

que el Personal Militar y Civil del COPERE que tienen la responsabilidad

de administrar y controlar las diferentes infraestructuras de TI; así como,

el personal responsable de brindar seguridad de las redes y sistemas de

información de las instalaciones del CGE desconocen o no aplican

adecuadamente las capacidades de ciberdefensa, así como también que

se confirma que existe asociación fuerte entre el nivel de capacitación en

ciberdefensa y las razones o causas por las que no está capacitado (Coef.

Contingencia:0.7263), asociación fortísima entre el nivel de conocimiento

de la NTP ISO/IEC 17799 y las razones o causas por las que no las

conoce o no las aplica (Coef. Contingencia:0.775 ) y una asociación fuerte

entre el nivel de los programas de capacitación con la protección de la

información del Ejército del Perú (Coef. Contingencia:0.663), debido a los

resultados obtenidos con la prueba estadística de chi cuadrado con un

valor de significación asintótica de 0.00.

c) Podemos afirmar con un 95% de confianza; que el 93.7% de informantes

no están capacitados en ciberdefensa, y tan solo 6.3% tienen

conocimiento del tema.

Siendo las causas: la falta de planificación en un 41.7%, la falta de

interés de las autoridades en un 25%, la falta de infraestructuras de TI en

un 18.8%, Falta de personal especialista en 10.4% y finalmente por falta

de recursos económicos en un 4.2%.

d) Podemos afirmar con un 95% de confianza; que el 70.8% del personal

informante tiene un regular y menor nivel del conocimiento de la Norma

Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para

la gestión de la seguridad de la información, y tan solo el 29.1% poseen

un mayor y total nivel de conocimiento de la mencionada norma.

187

Siendo las causas el desconocimiento parcial o total de la mencionada

norma en un 54.2%, la falta capacitación en un 31.3%, los lineamientos

son difíciles de aplicar en un 8.3%, y finalmente sus dispositivos no se

adecuan a la realidad institucional en un 6.3%.

e) Podemos afirmar con un 95% de confianza; que el 87.6% del personal

informante esta poco o nada satisfecho con el nivel de los programas de

capacitación y tan solo el 12.5% están satisfechos con los programas de

capacitaciones relacionados con Ciberdefensa.

Siendo las causas la mala planificación en un 25%, la falta de docentes

especialistas en estos temas en un 25%, la falta instalaciones adecuadas

en un 22.9%, la mala designación de alumnos a los programas de

capacitación en un 18.8% y finalmente un 8.3% % por otros motivos como

falta de interés del escalón superior en realizar este tipo de cursos por no

ser prioridad en estos momentos.

Contrastación: Podemos establecer que esta hipótesis alternativa “a”:

Se prueba totalmente ante la falta de Personal Militar o Civil que conozca y

aplique las capacidades de ciberdefensa; así como, conozca y aplique las

recomendaciones emitidas en la Norma Técnica Peruana NTP/ISO/IEC

17799; lo que trae como consecuencia que el nivel de los programas de

capacitación relacionados con ciberdefensa no sea el adecuado para brindar

protección a la información del Ejército del Perú.

Como resultado consecuente, se observa la existencia de Deficiencias en

el nivel de capacitación del Personal Militar y Civil encargadas administrar

las infraestructuras de TI, Deficiencias en el nivel de conocimiento de la

Norma Técnica Peruana NTP/ISO/IEC 17799, Deficiencias en el nivel de

los programas de capacitación relacionados con la ciberdefensa y su

incidencia en la protección de la información del Ejército del Perú

188

5.1.1.2. Enunciado de la Conclusión 1

El resultado de la contratación de la hipótesis alternativa “a”, nos da base

para formular la conclusión parcial 1, mediante el siguiente enunciado:

“…Esta probado que existen Deficiencias en los programas de

capacitación relacionados a ciberdefensa para la protección de la

Información del Ejército del Perú, porque no se cuenta con personal

Militar o Civil que administra las infraestructuras de TI, que cuenten con

un adecuado nivel de capacitación en temas relacionados a la

ciberdefensa; o que este personal no posea el nivel de conocimiento

adecuado de la Norma Técnica Peruana NTP/ISO/IEC 17799, para poner

en práctica su aplicación y así de esta manera mejorar la protección de

la Información del Ejército del Perú…”.


5.1.2.1. Contrastación con la hipótesis específica “b”

En el numeral N.º 2.4.2. se ha enunciado la siguiente sub hipótesis “b”:

“…Se observa, carencia de Recursos Disponibles para Ciberdefensa;

por no contar un adecuado nivel de Asignación presupuestal o por no contar

con un adecuado nivel de funcionalidad de las Estructuras Estratégicas

necesarias que brinden seguridad a la información…”.





instalaciones del CGE desconocen las maneras o formas de obtener

asignación presupuestal para ciberdefensa, debido que la cantidad

promedio de formas o maneras es de 1,19 de un total de 04 formas o

maneras consideradas, las cuales el personal debe conocer; de igual

manera sucede con las Infraestructuras estratégicas ya que su promedio

de conocimiento y aplicabilidad es de 1.92 de un total de 6 infraestructuras

estratégicas consideradas.

189






información de las instalaciones del CGE desconocen las maneras o

formas de obtener asignación presupuestal para ciberdefensa, así como

también que se confirma que existe asociación fuerte entre de nivel de

asignación presupuestal para ciberdefensa y las razones o causas por las

por las que las autoridades no asignan presupuestos para ciberdefensa

en favor de la protección de la información del ejercito del Perú (Coef.

Contingencia: 0..618), asociación fuerte entre el nivel de funcionalidad de

las infraestructuras estratégicas y las causas o razones por las que no se

disponer de un nivel adecuado de infraestructuras estratégicas para

ciberdefensa (Coef. Contingencia:0.667) y una asociación fuerte entre el

nivel de los Recursos Disponibles para Ciberdefensa y la protección de la

información del Ejército del Perú (Coef. Contingencia:0.707), debido a los

resultados obtenidos con la prueba estadística de chi cuadrado con un

valor de significación asintótica de 0.00.


manifestaron que el nivel de asignación presupuestal para ciberdefensa

es desfavorable o adversa; y tan solo el 8.3% manifestaron que esta es

medianamente favorable.

Siendo las causas: la falta de planificación en un 29.2%, por otras

razones como falta de políticas en ciberdefensa a nivel estado o la falta

de conciencia de seguridad en un 29.2%, por falta de recursos disponibles

en un 16.7%, por no ser prioridad del estado en estos momentos en un

14.6%; y finalmente por falta de interés de las autoridades en un 10.4%.

190

d) Podemos afirmar con un 95% de confianza; que el 91.7% manifestaron

que el nivel de funcionalidad de las infraestructuras estratégicas es

desfavorable o adversa, y tan solo el 8.3% manifiestan que es

medianamente favorable.

Siendo las causas: la falta asignación presupuestal en un 56.3%; o la

falta de equipamiento que brinden ciberseguridad (Protección, Monitoreo,

exploración) en un 25%, por falta de personal capacitado que pueda

desarrollar herramientas informáticas que brinden ciberdefensa en un

8.3%, o por otras razones, como la falta de políticas en ciberdefensa a

nivel estado o software especializado en un 6.3% y finalmente por falta de

interés de las autoridades en un 4.2%.


informante manifiesta que nivel de recursos disponibles relacionados con

la Ciberdefensa es desfavorable o adverso y tan solo el 4.2%

manifestaron que es medianamente favorable.

Siendo las causas la falta de políticas de estado en temas de

ciberdefensa en un 35.4%, por falta de planificación en un 27.1%, Por no

ser una prioridad para el estado en un 20.8%, y finalmente por falta de

conocimientos y falta de interés de las autoridades en un 16.6%.

Contrastación: Podemos establecer que esta hipótesis especifica “b”, se

prueba totalmente, debido a que no se posee un nivel de asignación

Presupuestal adecuado para el empleo de la Ciberdefensa; así mismo, no

se posee un nivel adecuado de Funcionalidad de las infraestructuras

estratégicas para el uso de ciberdefensa y finalmente, el nivel de recursos

disponibles relacionados con ciberdefensa no es el adecuado para brindar

protección a la información del Ejército del Perú.

Como resultado consecuente, se observa la existencia Carencias en el

nivel asignación Presupuestal, Carencias en el nivel de Funcionalidad de

las infraestructuras estratégicas y Carencias en el nivel de recursos

191

disponibles relacionados con ciberdefensa y su incidencia en la protección



El resultado de la contratación de la hipótesis específica “b”, nos da

base para formular la conclusión parcial 2, mediante el siguiente

enunciado:

“…Esta probado que existen Carencias de Recursos Disponibles

relacionados a ciberdefensa para la protección de la Información del

Ejército del Perú, porque no se cuenta con un adecuado nivel de

asignación presupuestal destinado a ciberdefensa; o porque no se

posea un adecuado nivel de Funcionalidad de las infraestructuras

estratégicas, que permitan mejorar la protección de la Información

del Ejército del Perú…”.


5.1.3.1. Contrastación con la sub hipótesis “c”

En el numeral N.º 2.4.2. se ha enunciado la siguiente sub hipótesis “c”:

“…Se observa desconocimiento o aplicación inadecuada de los

procedimientos de seguridad informática; por no contar con un adecuado

nivel de conocimiento de los Conceptos y Principios básicos relacionados

con Ciberdefensa …”.




se establecer que:





instalaciones del CGE, desconocen o no aplican adecuadamente los

192

Conceptos Básicos relacionados con ciberdefensa, debido que que la

cantidad promedio de conceptos básicos relacionado con ciberdefensa

que conocen y aplicas es de 1,56 de un total de 06 conceptos

considerador que el personal debe conocer y aplicar; de igual manera

sucede con los principios básicos relacionado con ciberdefensa, ya que

su promedio de conocimiento y aplicabilidad es de 1.33 de un total de 5

principios que deben conocerse y aplicarse.






información de las instalaciones del CGE desconocen o no aplican

adecuadamente conceptos básicos relacionados con ciberdefensa, así

como también que se confirma que existe asociación fortísima entre el

nivel de conocimiento de los conceptos básicos relacionados con

ciberdefensa y las razones o causas de no conocerlos (Coef.

Contingencia:0.809), asociación fuerte entre el nivel de conocimiento de

los principios básicos relacionados con ciberdefensa y las razones o

causas de no conocerlos o no las aplicarlos (Coef. Contingencia:0.692) y

una asociación fuerte entre el nivel de conocimiento de los Procedimientos

de seguridad informática y la protección de la información del Ejército del

Perú (Coef. Contingencia:0.699), debido a los resultados obtenidos con la

prueba estadística de chi cuadrado con un valor de significación asintótica

de 0.00.


manifestaron que poseen un nivel regular y malo de los conceptos básicos

de Seguridad de las Informaciones; y tan solo el 27.1% manifestaron que

esta es medianamente favorable.

193

Siendo las causas: la falta de capacitación en un 47.9%, por falta de

recursos económicos en un 25%, el desconocimiento de estos temas en

14.6%, por otras razones como la falta de interés de las autoridades en

capacitar al personal; y finalmente por la dificultad de aplicar estos

conceptos en un 4.2%.

d) Podemos afirmar con un 95% de confianza; que el 54.2% no respondieron

o conocen someramente estos principios relacionados a ciberdefensa, el

16.7% conoce o aplica los principios de seguridad de las informaciones,

12.5% conoce o aplica los principios de ciberseguridad, el 8.3 conoce o

plica los principios de ciberdefensa, el 6.3% conoce o aplica los principios

de ciberguerra, y el 2.1% conoce los principios de conciencia de

ciberseguridad.

Siendo las causas: la falta de capacitación en un 47.9%, los principios

son difíciles de aplicar en un 22.9%, la falta de recursos económicos en

un 18.8%, otras causas como la falta de políticas a nivel estado referentes

a ciberdefensa en un 6.3% y finalmente por desconocimiento de estos

principios en un 4.2%


informante manifiesta que nivel de conocimiento de los procedimientos de

seguridad informática es regular, malo o pésimo y tan solo el 8.4%

manifiesta que es bueno o muy bueno.

Siendo las causas la falta de capacitación en un 37.5%, por

desconocimiento en un 25%, por difíciles de aplicar en un 18.8%, por otras

causas como la falta de políticas a nivel estado referentes a ciberdefensa

en un 10.4% y finalmente por falta de recursos económicos en un 4.2%.

Contrastación: Podemos establecer que esta hipótesis específica “c”, se

prueba totalmente, debido a que no se posee un nivel de conocimiento

adecuado de los conceptos básicos relacionados con ciberdefensa; así

194

mismo, no se posee un nivel adecuado de conocimiento de los principios

básicos relacionados a ciberdefensa y finalmente el nivel de conocimiento

de los procedimientos de seguridad informática no es el adecuado para

brindar protección a la información del Ejército del Perú.

Como resultado consecuente, se observa un bajo nivel de conocimiento de

los conceptos básicos de seguridad de las informaciones, un bajo nivel de

conocimiento de los principios básicos relacionados a ciberdefensa y

finalmente, un bajo nivel de conocimiento de los procedimientos de

seguridad informática relacionados con ciberdefensa y su incidencia en la

protección de la información del Ejército del Perú


El resultado de la contratación de la hipótesis específica “c”, nos da

base para formular la conclusión parcial 3, mediante el siguiente

enunciado:

“…Esta probado que existen Desconocimiento o aplicación incorrecta

de los procedimientos de seguridad informática relacionados a

ciberdefensa para la protección de la Información del Ejército del Perú,

porque no se cuenta con un adecuado nivel de conocimiento de los

conceptos básicos relacionados con ciberdefensa; o porque no se posea

un adecuado nivel de conocimiento de los principios básicos

relacionados a ciberdefensa, que permitan mejorar la protección de la

Información del Ejército del Perú…”.


5.1.4.1. Contrastación con la hipótesis específica “d”

En el numeral N.º 2.4.2. se ha enunciado la siguiente sub hipótesis “d”:

“…Se presenta incumplimientos de disposiciones normativos relacionados

a ciberdefensa; por no tener un adecuado grado de cumplimiento del Plan

de Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital

195

2.0, o el Plan de desarrollo Institucional “Bolognesi”, Directiva única para el

Funcionamiento del Sistema de Telemática y Estadística del Ejército

(DUFSITELE) y la Directiva Nº Directiva Nº 001 sobre los Lineamientos de

seguridad de la información para la Ciberdefensa en el Ejército del Perú …”.




se establecer que:





instalaciones del CGE, incumplen o no conocen el del Plan de Desarrollo

de las Sociedad de la Información en el Perú, debido que la cantidad

promedio de disposiciones normativas que conocen y aplicas es de 1,65

de un total de seis disposiciones que el personal debe conocer y aplicar;

de igual manera sucede con el plan de Desarrollo Institucional Bolognesi

ya que la cantidad promedio de disposiciones que conocen y aplican es

1,071 de un total de seis disposiciones consideradas; con la DUFSITELE

ya que la cantidad promedio de disposiciones que conocen y aplican es

de 1.41 de un total de seis disposiciones consideradas; con la Directiva


Ejército del Perú ya que la cantidad promedio de disposiciones que

conocen y aplican es de 1.44 de un total de seis disposiciones

consideradas.






información de las instalaciones del CGE incumplen o no conocen el Plan

196

de Desarrollo de la Sociedad de la Información en el Perú , así como

también que se confirma que existe asociación fuerte entre en nivel de

conocimiento y cumplimiento del Plan de Desarrollo de la Sociedad de la

Información en el Perú con las razones o causas por las cuales

desconocen y no cumplen (Coef. Contingencia:0.719), asociación fuerte

entre el Plan de Desarrollo institucional Bolognesi y las razones o causas

por las cuales desconocen y no cumplen (Coef. Contingencia:0.678),

asociación fuerte entre la Directiva Única de Funcionamiento del Sistema

de Telemática y Estadifica del Ejercito y las razones o causas por las

cuales desconocen y no cumplen (Coef. Contingencia:0.675) y asociación

fuerte entre la Directiva Nº 01 -Lineamientos de seguridad de la

información para la Ciberdefensa en el Ejército del Perú y las razones o

causas por las cuales desconocen y no cumplen (Coef.

Contingencia:0.704), asociación fuerte entre el nivel de cumplimiento de

los dispositivos normativos relacionado con ciberdefensa y la Protección

de la Información del ejercito del Perú (Coef. Contingencia:0.642), debido

a los resultados obtenidos con la prueba estadística de chi cuadrado con

un valor de significación asintótica de 0.00.


manifestaron dar cumplimiento al Plan de Desarrollo de la Sociedad de la

Información en el Perú. La Agenda Digital 2.0 en un nivel regular, menor

o no cumplen, y tan solo el 8.3% dan mayor cumplimiento al mencionado

plan.

Siendo las causas: el desconocimiento parcial o total de sus

lineamientos en un 56.3%, por no haber sido capacitados en un 25%,

porque sus dispositivos no se adecuan a la realidad de la institución en un

8.3%, debido a que sus lineamientos son difíciles de aplicar en la realidad

en un 6.3%y finalmente por otras razones como por falta de equipamiento,

infraestructura y personal especializado en un 4.2%.

197

d) Podemos afirmar con un 95% de confianza; que el 95.8% de informantes

manifestaron dar cumplimiento al Plan de desarrollo Institucional

“Bolognesi, en un nivel regular, menor o no cumplen, y tan solo el 4.2%

dan mayor cumplimiento al mencionado plan.


lineamientos en un 37.5%, por no haber sido capacitados en un 25%,

debido a que sus lineamientos son difíciles de aplicar en la realidad en un

20.8% porque sus dispositivos no se adecuan a la realidad de la institución

en un 8.3%, y finalmente por otras razones como por falta de

equipamiento, infraestructura y personal especializado en un 8.3%.

e) Podemos afirmar con un 95% de confianza; que el 52.1% de informantes

manifestaron dar cumplimiento a la Directiva única para el funcionamiento

del sistema de telemática y estadística del Ejército (DUFSITELE) en un

nivel regular o menor, y el 47.9 % dan mayor o total cumplimiento a la

mencionada directiva.

Siendo las causas: no haber sido capacitados en un 56.3%, por

desconocimiento parcial o total de sus lineamientos en un 20.8%, debido

a que sus lineamientos son difíciles de aplicar en la realidad en un 14.6%,

porque sus dispositivos no se adecuan a la realidad de la institución en un

4.2%, y finalmente por otras razones como por falta de equipamiento,

infraestructura y personal especializado en un 4.2%.

f) Podemos afirmar con un 95% de confianza; que el 100% de informantes

manifestaron dar cumplimiento a la Directiva Nº 001/CGE/DITELE/SD

SIDE (Lineamientos de seguridad de la información para la Ciberdefensa

en el Ejército del Perú) en un nivel regular, menor o no cumplen.


lineamientos en un 66.7%, por no haber sido capacitados en un 20.8%,


8.3%, porque sus dispositivos no se adecuan a la realidad de la institución

198

en un 2.1%, y finalmente por otras razones como por falta de

equipamiento, infraestructura y personal especializado en un 2.1%.

g) Podemos afirmar con un 95% de confianza; que el 100% de informantes

manifestaron dar cumplimiento a las disposiciones normativas

relacionadas con ciberdefensa en un nivel regular, menor o no cumplen.


lineamientos en un 70.8%, por no haber sido capacitados en un 16.7%,


6.3, por otras razones como por falta de equipamiento, infraestructura y

personal especializado en un 4.2%, y finalmente porque sus dispositivos

no se adecuan a la realidad de la institución en un 2.1%,

Como resultado consecuente, se observa la existencia de

incumplimientos normativos en el grado de cumplimiento del plan de

Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital

2.0, incumplimientos normativos en el grado de cumplimiento del plan

de desarrollo Institucional “Bolognesi”, incumplimientos normativos en

el grado de cumplimiento de la Directiva única para el funcionamiento del

sistema de telemática y estadística del Ejército (DUFSITELE),

incumplimientos normativos en el grado de cumplimiento de la Directiva

Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la

información para la Ciberdefensa en el Ejército del Perú), y finalmente

incumplimientos normativos en el grado de cumplimiento de

dispositivos normativos relacionados con ciberdefensa y su incidencia en



El resultado de la contratación de la hipótesis específica “d”, nos da base

para formular la conclusión parcial 4, mediante el siguiente enunciado:

199

“…Esta probado que existen Incumplimientos Normativos


Ejército del Perú, debido a que no se da un adecuado grado de

cumplimiento del plan de Desarrollo de la Sociedad de la Información

en el Perú. La Agenda Digital 2.0; o porque no se da un adecuado grado

de cumplimiento del plan de desarrollo Institucional “Bolognesi”; o

porque no se da un adecuado grado de cumplimiento de la Directiva

única para el funcionamiento del sistema de telemática y estadística

del Ejército (DUFSITELE); o porque no se da un adecuado grado de

cumplimiento de la la Directiva Nº 001/CGE/DITELE/SD SIDE

(Lineamientos de seguridad de la información para la Ciberdefensa

en el Ejército del Perú), que permitan mejorar la protección de la


5.1.5. CONCLUSIÓN GENERAL

5.1.5.1. Contrastación con la Hipótesis General

En el numeral N.º 2.4.1. se ha enunciado la siguiente hipótesis general:

Se presenta dificultades que impiden el mejoramiento de la Ciberdefensa

y su incidencia en la protección de la información del Ejército del Perú,

porque “…Existen deficiencias en los programas de capacitación; o

por carencias de recursos disponibles para ciberdefensa; o

desconocimiento o aplicación de los conceptos o principios

relacionados con ciberdefensa; o por presentar incumplimientos

normativos de disposiciones internas o externas referidos a la

ciberdefensa…”

Tomando como premisas las conclusiones parciales que figuran en los

numerales 5.1.1.2, 5.1.2.2, 5.1.3.2 y 5.1.4.2, se puede establecer que se

prueba las deficiencias de los programas de capacitación, la carencia de

recursos disponibles para ciberdefensa, desconocimiento o aplicación

incorrecta de los procedimientos de seguridad informática y los

incumplimientos de dispositivos normativos internos y externos

relacionados con ciberdefensa.

200

5.1.5.2. Enunciado de la Conclusión General

El resultado de la contrastación de la hipótesis global, da base para

formular en un 95% de confianza la conclusión general de la presente

investigación mediante el siguiente enunciado:

“Se presenta dificultades que impiden el mejoramiento de la


Ejército del Perú, porque esta investigación ha probado la existencia de

deficiencias en los programas de capacitación, al no disponer de

Personal Militar o Civil que cuente con un adecuado nivel de capacitación

en ciberdefensa; así como, no tener un nivel adecuado de conocimiento

de la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas

prácticas para la gestión de la seguridad de la información; la existencia

de carencia de recursos disponibles para ciberdefensa, al no

disponer de un nivel adecuado de asignación presupuestal, para ser

utilizado en ciberdefensa; así como, no disponer de un nivel adecuado

de funcionalidad de las infraestructuras estratégicas para el uso en

ciberdefensa; la existencia de desconocimiento o aplicación

incorrecta de los procedimientos de seguridad que dificultan el


información del Ejército del Perú, como consecuencia que el personal

Militar o civil no conoce o aplica adecuadamente los conceptos y

principios básicos relacionados con ciberdefensa; y la existencia de

incumplimientos de dispositivos normativos que puedan darse de

forma internas o externas referidos al Decreto Supremo N° 66-2011-

PCM, Plan de Desarrollo de la Sociedad de la Información en el Perú. La

Agenda Digital 2.0., o Plan Estratégico Institucional “Bolognesi” o la


Estadifica del Ejercito (DUFSITELE) o la Directiva - Lineamientos de

seguridad de la información para la Ciberdefensa en el Ejército del Perú,

como consecuencia que el personal Militar o civil desconoce o no aplica

las mencionadas disposiciones normativas…”

Nota: El Enunciado anterior se ha validado en un 95% de confianza, debido a

que cada una de sus variables dicotomizadas han sido contrastada con la

PRUEBA DE BINOMIAL Y CHI CUADRADO.

201

5.2. RECOMENDACIONES

5.2.1. RECOMENDACIÓNES PARCIALES

5.2.1.1. RECOMENDACIÓN PARA CORREGIR LAS DEFICIENCIAS

Las deficiencias encontradas en los los programas de capacitación


Ejército del Perú, se debe fundamentalmente por que no se dispone

de personal militar o civil que cuente con un adecuado nivel de

capacitación en temas relacionados a la ciberdefensa; o porque este

personal no posea el nivel de conocimiento adecuado de la Norma

Técnica Peruana NTP/ISO/IEC 17799, para poner en práctica su

aplicación.

Por estas razones se observa que: “…en los programas de

capacitación se hacen las cosas, pero con algunas fallas o

errores; en consecuencia, tenemos... deficiencias...”

Ante esta realidad comprobada se recomienda:

5.2.1.1.1. Desarrollo de un plan de capacitación integral permanente y

sostenida dirigido al personal que administra las

infraestructuras de TI. -

A fin de instruir, entrenar, adiestrar el Potencial Humano en

nuestra Institución, con énfasis al personal que administra las

infraestructuras de TI (Servidores, redes, Firewalls, Sistemas de

Información) quienes tienen la capacidad de tomar decisiones y son los que

conducen la Gestión de la seguridad de la información aplicando principios

científicos y técnicas de protección de la información (Políticas de seguridad,

manejo de protocolos, Encriptación de información, manejo de sistema de

monitoreo y detección de intrusos, etc. ); así como, conocer y aplicar bien los

conceptos más usados o avanzadas, tal como se indica en el numeral 2.2. y


202

5.2.1.1.2. Gestionar la adquisición de Infraestructuras de TI, para poner

en práctica los conocimientos que se van adquiriendo.

Para que el Personal Militar y Civil que administra infraestructuras de

TI pueda afianzar los conocimientos teóricos, y ponerlos en práctica en nuestra

realidad, es necesario contar con el equipamiento que ayude a aumentar la

competitividad y desarrollo; debido que en nuestros tiempos se ha hecho

dispensable el uso de tecnologías del primer nivel; es en ese sentido, que se

hace necesario realizar las gestiones pertinente al comnado del Ejército,

sustentando las amenazas latentes que enfrentamos, las cuales pueden traer

graves daños a la información y al prestigio de la Institución.

5.2.1.1.3. Realizar una evaluación de personal, y evaluación de

Desempeño o Competencias.

Con el propósito de seleccionar el potencial humano con las

mejores condiciones, es importante que se evalué al personal que administra

las infraestructuras de TI, para garantizar que todas las técnicas que se

desarrollen en los programas de capacitación, puedan ser asimiladas por

este personal, y así de esta manera las ponga en práctica sin deficiencias

técnicas.

5.2.1.1.4. Realizar convenios con entidades educativas especializadas

en temas de seguridad de las informaciones, Ciberseguridad y

ciberdefensa, con el propósito de mejorar la protección de la


Es importante que se coordine con las Instituciones educativas

especializadas como Universidades, Tecnológicos e Institutos privados u

nacionales para que celebren convenios educativos y se pueda desarrollar

especializaciones, diplomados, o carreras técnicas especializadas a fin de

superar las deficiencias que existe frente a la formación y preparación del

Personal Militar o Civil que administra las infraestructuras de TI.

203

El beneficio que se logrará es contar con personal con capacidad e iniciativa

para desarrollar nuevas inventivas que permitan mejorar la seguridad de las

informaciones; así como, disminuir las debilidades en cuanto a las severas

deficiencias del Potencial Humano. Esta recomendación importante en virtud

de mejorar la protección de la información y superar las deficiencias con

un flujo de suministro externo de Potencial Humano suficiente y capacitado

para garantizar el desarrollo de los procesos, procedimientos y toda actividad

que demande la Gestión de la seguridad de las informaciones.

5.2.1.2. RECOMENDACIÓN PARA CORREGIR LAS CARENCIAS

Las carencias encontradas en los Recursos Disponibles relacionados

a ciberdefensa para la protección de la Información del Ejército del

Perú, se debe fundamentalmente por que no se cuenta con un

adecuado nivel de asignación presupuestal destinado a ciberdefensa;

o porque no se posea un adecuado nivel de Funcionalidad de las

infraestructuras estratégicas, que permitan mejorar la protección de la


Por estas razones se observa que: “… los recursos disponibles

asignados a ciberdefensa no son suficientes o son escasos; en

consecuencia, tenemos... carencias...”


5.2.1.2.1. Impulsar los proyectos de inversión Pública para obtener

recursos económicos que permitan la implementación de un

centro de respuesta temprana para ataques cibernéticos

(CERT)

Ante las latentes amenazas cibernéticas que debemos enfrentar,

es de suma importancia para la institución, que se organice equipos de

trabajo para que realicen la formulación de Proyectos de Inversión Publica

referentes a la implementación, adquisición de equipos, sistemas

información, etc. que permitan mejorar la ciberdefensa de la red de datos,

siendo este método el más adecuado para solicitar la asignación de

204

presupuesto; es en ese sentido, que hay que seguir el ejemplo de otras

instituciones armadas, en la cual realizan diversos PIPs como la

implementación de la integración sistema C2 WIRACOCHA - DMS TISIS

para el helicóptero HMM (SH-2G), y más importante aún es el apoyar a la

Dirección de Telemática y Estadística del Ejército, para que se pueda

concretar el proyecto de Inversión Pública “CREACION DEL CENTRO DE

GESTION DE SERVICIOS EN CIBERSEGURIDAD E INVESTIGACION,

DESARROLLO E INNOVACION (I+D+I) EN TECNOLOGIAS DE LA

INFORMACION Y LA COMUNICACIÓN (TIC) DEL EJERCITO DEL PERU”, y

tenga este prioridad para la Dirección de Inversiones del Ejercito (DINVE) y

este pueda sustentar su viabilidad y su necesidad ante el Ministerio de

Defensa, a fin gestionar la asignación de presupuesto que es requerido para

su implementación.

5.2.1.3. RECOMENDACIÓN PARA REDUCIR AL MÍNIMO EL

DESCONOCIMIENTO O APLICACIÓN INADECUADA DE LOS

PROCEDIMIENTOS DE SEGURIDAD INFORMÁTICA

Las dificultades encontradas en los procedimientos de seguridad

informática relacionados a ciberdefensa para la protección de la

Información del Ejército del Perú, evidencian que los responsables de

ejecutar y conducir los Procedimientos de seguridad informática que se

siguen o aplican, así como en las diversas Técnicas Empleadas, deben

de conocer y aplicar una serie de planteamientos teóricos-científicos,

como: conceptos, leyes científicas, axiomas, principios, técnicas,

procedimientos, modelos, sistemas, etc.; todos ellos deben ser

“atingentes”; es decir que estén directamente relacionados con las áreas

de la realidad (programación, soporte técnico, monitoreo, sistemas,

seguridad informática, etc.) áreas que se han tomado como objeto de

estudios, así mismo nos permite “ver” si en verdad en la realidad, son

conocidos, si son aplicados con criterios técnicos y/o científico.

205

Sin embargo, se observa que existen diferencias, entre lo que hacen y

lo que deben hacer, entonces hemos identificado problemas.


5.2.1.3.1. Capacitar de manera integral a todo el personal que realiza

labores de administración de infraestructuras estratégicas.

Teóricamente se plantea que, para desarrollar y conducir de

manera eficiente y eficaz los procedimientos de seguridad informática, se

debe conocer y aplicar bien los conceptos y principios Básicos relacionados

con la ciberdefensa que se indican en el Numeral 2.2.1.1; es en ese sentido,

que para poder hacer frente eficazmente a los retos y amenazas actuales y

futuros en el ciberespacio, es absolutamente imprescindible que el Personal

Militar o Civil que cumple esta delicada e importante función reciban una

adecuada formación integral en todos aquellos aspectos técnicos, tácticos y

procedimentales en los que se fundamenta la capacidad de ciberdefensa,

esta formación integral debe abarcar la combinación de la formación teórica

y el entrenamiento práctica, a fin de poder aprender, desarrollar o mejorar

sus capacidades y habilidades; esto se logra a través de Certificaciones,

Talleres , Seminarios, Congresos, simulaciones y entrenamientos, etc.

5.2.1.3.2. Realizar ensayos para afrontar ciberataques, para

entrenamiento del personal.

Un método muy usado por las empresas en los últimos tiempos es

que el personal que labora en áreas críticas, se les programe situaciones

que simules eventos inesperados (Ciberataques), para que el personal se

familiarice y ponga en prácticas los procedimientos de seguridad informática

adecuados, permitiéndoles explotar sus habilidades, con el fin de obtener la

resiliencia de los sistemas. Para poder llevar a cabo este fin se hace

indispensable contar con simuladores de entrenamiento que permitan

simular cualquier red, realizar un análisis forense para conocer los detalles

del ataque, prevenir ciberataques y aprender técnicas de ciberdefensa; por

206

lo tanto, nuestra institución debe gestionar la adquisición de este tipo de

simuladores a través de una PIP. Un ejemplo de este tipo de software es el

SACO (Simulador Avanzado para la Ciberdefensa Organizada), un proyecto

de la empresa INDRA que persigue formar profesionales en el ámbito de la

ciberdefensa y ciberseguridad.

5.2.1.3.3. Realizar pasantías en otras instituciones especializadas

Existen instituciones públicas (MGP, PNP-División de

Investigaciones de Delitos de Alta Tecnología (DIVINTAD), que tienen

personal mejor capacitado, con mejores experiencias en temas de

ciberdefensa y de los cuales se puede aprender; es en ese sentido, que se

recomienda que el escalón superior o autoridad competente autorizar al

Personal Militar o Civil que tenga las aptitudes necesarias, ser enviado o

destacado temporalmente a estas organizaciones para poder acopiar todas

las experiencias de éxito que hayan podido obtener, a fin de aprender las

técnicas y procedimientos utilizados para mitigar o neutralizar las amenazas;

y así de esta manera obtener conocimiento práctico, el cual pueda ser

adecuado a nuestra institución.

5.2.1.4. RECOMENDACIÓN PARA ASEGURAR EL CUMPLIMIENTO DE

DISPOSITIVOS NORMATIVOS RELACIONADOS A CIBERDEFENSA.

Los incumplimientos de disposiciones normativos relacionados a

ciberdefensa para la protección de la Información del Ejercito del Perú;

se debe fundamentalmente por que no se cuenta con un adecuado grado

de cumplimiento de algunas disposiciones del Decreto Supremo N° 66-

2011-PCM- Plan de Desarrollo de la Sociedad de la Información en el

Perú. La Agenda Digital 2.0, o el Plan de desarrollo Institucional

“Bolognesi”, Directiva única para el funcionamiento del sistema de

telemática y estadística del Ejército (DUFSITELE) y la Directiva Nº

001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la

información para la Ciberdefensa en el Ejército del Perú).

Por estas razones se observa que: “… se ha podido verificar y

comprobar que; basta que una de las disposiciones normativas internas

o externa no se desarrolle o se ejecute, para sustentar que existe un

problema y debemos nombrarlos como incumplimientos…”

207


5.2.1.4.1. Establecer mecanismos para Incrementar la difusión de las

disposiciones normativas al personal que Administra las

infraestructuras Tecnológicas.

En la actualidad, diversas directivas que llegan a las unidades son

recibidas y distribuidas para conocimiento del personal, pero son pocos o

ninguno que toma una verdadera conciencia de su estricto cumplimiento,

solo se limitan a firmar el famoso “Tomo conocimiento”; es en ese sentido,

que se debe implantar mecanismos de difusión que obliguen al personal a

conocer el contenido, para que estos puedan cumplir sus lineamientos. A

continuación, se presentan algunas alternativas que se podría realizar:

• Confeccionar folletos o trípticos con las informaciones más importantes.

• Incluir sus lineamientos en los silabus de las escuelas de formación.

• Ser consideradas como bibliografía para los exámenes de ascenso.

• Realizar su difusión en página web del Ejercito.

5.2.1.4.2. Aplicar y dar cumplimiento de manera correcta a las

Disposiciones relacionadas a Ciberdefensa.

Los lineamientos de los documentos normativos deben ser de

estricto cumplimiento por parte del personal responsable; es por tanto, que

los jefes de departamento deberán verificar el cumplimiento de las funciones

descritas y dispuestas, a fin de garantizar el cumplimiento de las funciones,

procedimientos; así mismo, el órganos de control (Inspectoría) debe incluir

estos documentos en las listas de verificación y velar su fiel cumplimiento, o

de lo contrario tomar las acciones necesarias para corregir estos

incumplimientos.

208

5.2.1.4.3. Presentar recomendaciones para mejorar disposiciones

normativas y que se adecuen a la realidad institucional.

Muchas de los lineamientos que son incluidos en documentos

normativos, no se ajustan a la realidad, por falta de equipamiento,

capacitación, desconocimiento practico de la situación, etc.; es por tal razón,

que de suscitarse esta eventualidad, el personal responsable debe

inmediatamente enviar sus observaciones a la entidad que formula el

documento normativo para ser considerado e incluir su recomendación de

cómo se debe dar la normatividad.

5.2.2. RECOMENDACIÓN GENERAL

La presente recomendación está dirigida a todo el personal responsable del

desarrollo e implementación de la ciberdefensa en nuestra institución, tomando como

base las razones por las cuales se sustentan las deficiencias en los programas de

capacitación, carencias en los recursos disponibles para ciberdefensa,

desconocimiento o aplicación inadecuada de los procedimientos de seguridad

informática e incumplimientos de disposiciones normativas relacionadas con

ciberdefensa; es en ese sentido, que es fundamental corregir las deficiencias, mejorar

las carencias, minimizar el desconocimientos o aplicación inadecuada y eliminar el

incumplimiento de la normatividad en el más breve plazo. Y para lograr esto debemos

comprender que la modernización, el mejoramiento continuo de la seguridad de las

informaciones y específicamente las capacidades de ciberdefensa, se lograran en la

medida en que los responsables de conducir y desarrollar los diversos procedimientos

técnicos, conozcan y ejecuten los principios teorías y todos los conceptos que el

marco conceptual exige, esto contribuirá a incrementar el grado de conocimiento y el

nivel de cumplimiento, y para esto se debe priorizar la capacitación especializada del

personal calificado con grado de experiencia profesional comprobada, lo cual puede

desarrollarse mediante la recomendaciones específicas 5.2.1.1 y 5.2.1.3; así como,

desterrar las carencias de asignación presupuestaria, la cual se puede obtenerse

mediante la recomendación especifica 5.2.1.2, disminuir proporcionalmente los

incumplimientos de dispositivos normativos internas o externas, aplicando

mecanismos que permitan conocer la normatividad como se recomienda en la

especifica 5.2.1.4

209

REFERENCIAS

REFERENCIAS BIBLIOGRAFICAS

Alexander A. (2007). Diseño de un Sistema de Seguridad de Información. ISO

27001:2015, Colombia-Bogotá. Edit Alfa Omega Colombiana S.A

Clarke, R. & Knake, R. (2011). Guerra en la red, los Nuevos Campos de Batalla.

Barcelona. Edit Planeta.

Caballero A (2011). Metodología innovadora integral para planes y tesis. Perú-Lima:

Edit. Instituto Metodológico Alen Caro.

Ferreyra M (2015). Cyber Security VS. Cyber Defense Portuguese view on

Distinction. Portugal: Universidad de Lisboa.

López M. & Quezada C. (2006). Fundamentos de Seguridad Informática. México:

UNAM. Facultad de Ingeniería.

Torres C (2007). Orientaciones Básicas de Metodología de La Investigación

Científica. Perú-Lima: Edit C.Torres

REFERENCIAS DE TESIS

Camacho J. (2016). Evolución de la Ciberseguridad y la Seguridad de las

Informaciones en Colombia. Para optar el grado de especialista en

administración de la seguridad. Universidad Militar de Nueva Granada.

Colombia.

Castro E. (2015). Estudio prospectivo de la ciberdefensa en la Fuerzas Armadas de

Ecuador. Para optar el grado de especialista en Estudios Estratégicos de la

Defensa. Universidad de las Fuerzas Armadas. Ecuador

210

Condori H. (2012) en la investigación denominada “Un Modelo de Evaluación de

Factores Críticos de Éxito en la Implementación de la Seguridad en Sistemas

de Información para determinar su influencia en la intención del usuario”, Para

optar el grado académico de Magister en Ingeniería de Sistemas y

computación con mención en Tecnologías de las Información. Universidad

Inca Garcilaso de la Vega, Perú.

Guerrero, J. (2015). en la investigación denominada “Programa de Capacitación en

Inteligencia Emocional con Técnicas Cognitivo-conductuales para los

Directivos de Educación”. Para optar el grado académico de Doctor, Mérida

Venezuela.

Guamán J. (2015) en la investigación denominada “Diseño de un sistema de

gestión de seguridad de la información para Instituciones Militares”. Para optar

el grado académico de Magister en Gestión de las comunicaciones y

Tecnologías de la Información. Escuela Politécnica Nacional, Ecuador.

Leiva E. (2015). Estrategias Nacionales de Ciberseguridad: Estudio comparativo

basado en un enfoque top-down desde una visión global a una visión local.

Para optar el grado de especialista en Ingeniería de Sistemas de información.

Universidad Tecnológica Nacional. Argentina.

Parra R. (2016) en la investigación denominada “Proyecto Legal para un Esquema

Nacional de Ciberseguridad”, Para optar el grado académico de licenciado en

derecho. Universidad de San Martin de Porres, Perú.

Rayme R. (2007) en la investigación denominada “Gestión de la Seguridad de la

Información y los servicios críticos de las universidades”. Para optar el grado

académico de Magister en administración con mención en Gestión

Empresarial. Universidad Mayor de San Marcos, Perú

211

Vargas E. (2014) en la investigación denominada “Ciberseguridad y Ciberdefensa:

¿qué implicaciones tienen para la seguridad nacional?”. Para optar el grado

académico de Magister en alta Gerencia de la Defensa Nacional. Universidad

Militar de Nueva Granada, Bogotá.

Villalba D. (2015) en la investigación denominada “La ciberseguridad en España

2011 – 2015. Una propuesta de modelo de organización”. Para optar el grado

académico de Doctor. Universidad Nacional de Educación a Distancia,

España.

REFERENCIAS DE TEXTOS ESPECIALES

Caro M. (2011). La Nueva Política de Ciberdefensa de la OTAN, DIEEEI37.

España-Barcelona: Instituto español de estudios estratégicos. Recuperado

de: http://www.ieee.es/Galerias/fichero/docs_informativos/2011/DIEEEI37-

2011LaPoliticadeCiberdefensaOTAN.MJCaro.pdf

Caro M. (2011). Alcance y ámbito de la seguridad nacional en el ciberespacio.

España-Barcelona: Instituto español de estudios estratégicos. Recuperado

de: https://dialnet.unirioja.es/descarga/articulo/3837251.pdf

Colle, R (2000). “Internet: un cuerpo enfermo y un campo de batalla”, en Revista

Latina de Comunicación Social, Nº 30, junio. Recuperado de:

http://www.ull.es/publicaciones/ latina/aa2000qjn/91colle.htm

Conner (1991) “A historical comparison of resource-based theory and five schools

of thought within industrial organizational economics”. Recuperado de:

http://www.zonaeconomica.com/recursos

Cortes P. (2014), El concepto doctrinal “Actividades Ciberelectromagnéticas”

(CEMA), en el Ejército de tierra de los Estados Unidos”. Recuperado de:

http://www.estudiosmilitares.es/comunicaciones/Pedro%20Cortés%20Ruiz.p

df

212

Department of the Army (2014), FM 3-38 - Cyber Electromagnetic Activities. USA:

Department of the Arny, Recuperado de: https://fas.org/irp/doddir/army/fm3-

38.pdf

Department of the Navy (2012)- Joint Publication 3-13, Information Operations, US-

Cybercommand, Recuperado de: https://fas.org/irp/doddir/dod/jp3_13.pdf.

Dhruva Jaishankar (2014), Resilience and the Future Balance of Power, Survival,

vol. 56, Recuperado de: http://www.tandfonline.com/doi/abs/10.1080/0039

6338.2014.920153

Feliu L. (2013.) Seguridad Nacional y Ciberdefensa, Aproximación Conceptual:

Ciberseguridad Y Ciberdefensa, Madrid-España: Escuela Superior de

Ingenieros de Telecomunicaciones, Recuperado de: http://catedraisdefe.etsit.

upm.es/wp -content/uploads/2013/01/Ponencia-Luis-Feliu.pdf

Gómez A. (2014). Ciberseguridad y Ciberdefensa dos elementos de la ciberguerra.

Chile: Fuerza Terrestre del Ejército de Chile, Recuperado de:

https://www.google.com.pe/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&

cad=rja&uact=8&ved=0ahUKEwj3sOPkntLUAhXI6CYKHdDLAOIQFghhMAk

&url=http%3A%2F%2Fwww.ejercito.cl%2Fdescargador.php%3Ffile%3D1428

945381_216865318.pdf%26path%3Ddocumentos&usg=AFQjCNEA91VaRy

M-yjuXmtV8kirwZwZaFA

Hernández A. & Candon A. (2013). Guerra Cibernética – Aspectos Organizativos”.

España: Curso de Defensa Nacional, Recuperado de:

http://www.defensa.gob.es/ceseden/Galerias/ealede/cursos/curDefNacional/fi

cheros/Ciberseguridad_nuevo_reto_del_siglo_XXI_Guerra_cibernetica_aspe

ctos_organizativos.pdf

Joyanes, L. (2011). Introducción al Estado del arte de la ciberseguridad. España-

Barcelona: Instituto español de estudios estratégico. Recuperado de:

https://dialnet.unirioja.es/ejemplar/296108

213

Kuehl, D. T. (1957). From Cyberspace to Cyberpower: Defining the Problem. En F.

D. Kraner, S. Starr, & L. K. Wentz (Eds.), 2009 . National Defense University.

Recuperado de: http://ctnsp.dodlive.mil/files/2014/03/Cyberpower-I-Chap-

02.pdf

Llongueras, A. (2013). “La guerra inexistente, la ciberguerra “. Madrid-España:

Editorial Académica MIA. Recuperado de: https://www.academia.edu

/6182513/La_Ciberguerra_la_guerra_inexistente

Ministerio de Defensa de España (2010). Ciberseguridad. retos y amenazas a la

Seguridad Nacional en el Ciberespacio. España: Instituto español de Estudios

Estratégicos, Recuperado de: https://www.cni.es/comun/recursos/descargas/

Cuaderno_IEEE_149_Ciberseguridad.pdf

Ministerio de Defensa de España (2013). Necesidad de una Conciencia Nacional

de Ciberseguridad. España: Escuela de altos estudio de la defensa.,

Recuperado de: http://www.defensa.gob.es/ceseden/Galerias/destacados/pu

blicaciones/monografias/ficheros/137_NECESIDAD_DE_UNA_CONCIENCI

A_NACIONAL_DE_CIBERSEGURIDAD_LA_CIBERDEFENSA_UN_RETO_

PRIORITARIO.pdf

Ministerio de Defensa de España (2010). Ciberseguridad. retos y amenazas a la

Seguridad Nacional en el Ciberespacio. Recuperdo de:

http://www.ieee.es/Galerias/fichero/cuadernos/CE_149_Ciberseguridad.pdf

MTIC - Ministerio de Tecnología de la Información y las Comunicaciones (2014).

Ciberseguridad-Agenda estratégica de Innovación, Recuperado de

https://www.mintic.gov.co/portal/604/articles-6120_recurso_2.pdf

Miranda S. (2014). La ciberguerra como amenaza a los sistemas de defensa

integrados y basados en redes del teatro de operaciones. Escuela Superior

de Guerra Conjunta de las FFAA. Argentina. Recuperado de:

http://www.cefadigital.edu.ar/bitstream/123456789/150/1/TFI%2030-014%20

MIRANDA.pdf

214

OEA – TREND MICRO, Reporte sobre Seguridad Cibernética e Infraestructura

Crítica en las Américas, Abril 2015., Recuperado de:

https://www.sites.oas.org/cyber/Documents/2015%20-%20OEA%20Trend%

20Micro%20Reporte%20Seguridad%20Cibernetica%20y%20Porteccion%20

de%20la%20Inf%20Critica.pdf.

Suarez H & Pelaez J (2015), Ciber Resiliencia-Aproximación a un marco de

medición, Recuperado de: https://www.incibe.es/extfrontinteco/img/

File/Estudios/int_ciber_resiliencia_marco_medicion.pdf

Timothy F (2012). El profesional de la ciberguerra – principios para desarrollar la

próxima generación; Air&space Power Journal en español, recuperado de:

http://www.cefadigital.edu.ar/bitstream/123456789/176/1/TFI%2061-2013%

20GIUDICI.pdf

REFERENCIAS WEB

Badillo M. (2011). Guerra cibernética, la nueva amenaza. México: ONG Voltaire.

Recuperado de http://www.voltairenet.org/article171119.html

Cotar C. (2015). Ecuador crea su 6to Comando de Ciberdefensa Nacional.

Recuperado de: http://latamahora.blogspot.pe/2014/09/ecuador-crea-su-6to-

comando-de.html

Conner (1991) “A historical comparison of resource-based theory and five schools

of thought within industrial organizational economics”.

http://www.zonaeconomica.com/recursos. Información sustraída: 24/01/2017

CAPITAL.PE – Portal digital de Radio Capital. “Anonymous Perú hackea web de

entidades estatales”. Publicado el 28 de Julio de 2013. Recuperado de:

http://www.capital.com.pe/2013-07-28-anonymous-peru-hackea-web-de-

entidades-estatales-noticia_617378.html Información sustraída: 06/03/2016

215

ELCOMERCIO.COM.PE – Portal digital del comercio “Anonymous atacó varios

sitios web del Estado Peruano”. Publicado 09 de Setiembre de 2011.

Recuperado de http://elcomercio.pe/tecnologia/actualidad/anonymous-ataco-

hoy-varios-sitios-web-estado-peruano-noticia-1284976 Información sustraída:

03/03/2016.

ELCOMERCIO.COM.PE – Portal digital de el Comercio “Twitter: Anonymous Perú

hackeó web de la Municipalidad de Lima” Publicado el 06 de Marzo de 2015.

Recuperado de: http://elcomercio.pe/redes-sociales/twitter/twitter-

anonymous-peru-hackeo-web-municipalidad-lima-noticia-

1795706?ref=flujo_tags_223948 &ft=nota_13&e=titulo Información sustraída:

06/03/2016

Fajón E (2015). Diferentes Velocidades de la Ciberdefensa en el ámbito de la

OTAN. El Mundo. Recuperado de: http://www.elmundo.es/tecnologia

/2015/03/25/5512dffd22601db4688b47.html.

Fajón E (2015). Comando de Ciberdefensa iniciara con $ 8 millones. Diario EL

TELÉGRAFO recuperado de: http://www.eltelegrafo.com.ec/noticias/politica

/2/comando-de-ciberdefensa-

LAPRENSA.PERU.COM - “RENIEC niega hackeo de su base de datos, pero

Anonymous ratifica ataque”. Publicado el 13 de Marzo de 2015. Recuperado

de: http://laprensa.peru.com/actualidad/noticia-anoymous-peru-base-datos-

reniec-niega-hacker-violacion-seguridad-40750

NATO.INT – Portal de la OTAN, Centro de Excelencia de la OTAN. Recuperado de:

https://ccdcoe.org/cyber-definitions.html, Información sustraída: 22/05/2016

Mexidor D. (2011); Ciberguerra: mercenarismo en la red; Las razones de Cuba.

recuperado de: http://www.granma.cu/granmad/secciones/razones_de_cuba/

artic-06.html .

216

Peru21.pe – Portal digital del Diario Peru21. “Anonymous filtra 1000 documentos

del gobierno peruano”. Publicado el 07 de febrero de 2012. Recuperado de:

http;//peru21.pe/2012/02/07/actualidad/anonymous-filtra-mil-documentos-

gobierno-peruano-2010892 Información sustraída: 06/03/2016

PERU.com: “Anonymous publica casi 200 correos de Policía Informática” Publicado

el 04 de Marzo de 2012. Recuperado de: http://peru.com/2012/03/04/

actualidad/nacionales/anonymous-publica-casi-200-correos-policia-

informatica-noticia-45207 Información sustraída: 06/03/2016

Provoste J (2015). Seguridad, Ciberdefensa y Ciberguerra en chile. recuperado de:

https://www.joshuaprovoste.com/seguridad-ciberdefensa-y-ciberguerra-en-

chile/

RPP.COM.PE – Portal digital de RPP Noticias. “La Libertad. Anonymous Hackea a

empresa de agua Sedalib” Publicado el 08 de Julio de 2013. Recuperado de:

http://www.rpp.com.pe/2013-07-08-la-libertad-anonymous-hackea-a-

empresa-de-agua-sedalib-noticia_611239.html Información sustraída:

06/03/2016.

Ryckman M. (2017); Que es una asignación Presupuestaria; La voz de Houston.

Recuperado de: http://pyme.lavoztx.com/qu-es-una-asignacin-presupuestaria

-12718.html.

Sánchez G. (2008): “Ciberterrorismo: la guerra del siglo XXI”, España: el viejo Topo.

Recuperado de: https://www.researchgate.net/publication/28244181_Cibe

rterrorismo_La_guerra_del_siglo_XXI

Sputnik Mundo. Colombia refuerza su presupuesto para planes de ciberseguridad.

recuperado de: https://mundo.sputniknews.com/americalatina/20170202

1066646346-colombia-ciberseguridad/

https://www.google.com.pe/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&sqi=2&ved=0ahUKEwjl0pHfs47TAhWLMSYKHRtBBnUQFggYMAA&url=https%3A%2F%2Fmundo.sputniknews.com%2F&usg=AFQjCNFY9axStQBr9Tk4VMJT-OWFLO6alw&sig2=eKIDuV-CYAJ36tpou13xSw&bvm=bv.151426398,d.eWE

217

Thomas T. (2001). Las estrategias electrónicas de China». USA: Military Review,

Recuperado de: http://catalogo.anepe.cl/cgi-bin/koha/opac-detail.pl? biblionu

mber=28402

UIT -Unión Internacional de Telecomunicaciones. “Resolución 181, recomendación

UIT-TX 1205” 2010. Recuperado de http://www.ub.edu.ar/centros_de_estudio

/cedef/13_diciembre_2015.pdf. Información sustraída: 29/12/2016.

Zea F. (2013). Ciberdefensa en la Fuerzas Armadas, perspectiva conjunta, España:

Estado Mayor de la Defensa. Recuperado de: http://www.academia.edu

/16838270/Plan_de_Acci%C3%B3n_de_Ciberdefensa_Militar

Whitman M. E., Enemy at the Gate: “Threats to Information Security” ,2003.

Recuperado de: http://digitalcommons.kennesaw.edu/cgi/viewcontent.cgi?

article=2421&context=facpubs

http://www.ejercito.mil.pe/index.php/rese%C3%B1a-historica-copere

http://www.ejercito.mil.pe/index.php/organizacion/190-comandos/copere

www.uv.es/legalskills/validez/en_qu_se_diferencia_una_norma_de_una_disposici

n_normativa.html. Información sustraída fecha: 15/03/16

DOCUMENTOS NORMATIVOS:

DUFSITELE - “Directiva Única para el Funcionamiento del Sistema de Telemática

y Estadística del Ejército. “ 3ra Edición 2017-2019.

ISO/IEC Estándar Internacional ISO/IEC 17999. (2005) Tecnología de la

Información – Técnicas de seguridad – Código para la práctica de la gestión

de la seguridad de la información.

LSICEP – Ejercito del Perú- DITELE “Dtva Nª 001 - Lineamientos de Seguridad de

la Información para la Ciberdefensa en el Ejército del Perú”, 2015.

218

RFGSSIEP- Ejercito del Perú- DITELE ”Dtva Nº 002 - Responsabilidades y

Funciones para la gestión de la seguridad de los sistemas de información en

el Ejército del Perú. 2015.

NTP‐ISO/ IEC 17799 - Norma Técnica Peruana ”Tecnología de la Información”,

2004.

PCM-PEQW. (2013-2017). Presidencia del Consejo de Ministros - Lineamientos

que establecen el contenido mínimo de los Planes Estratégicos de Gobierno

Electrónico.

PDIB- “Plan de Desarrollo Institucional “Bolognesi 2021”.

PDSIP – “Plan de Desarrollo de la Sociedad de la Información en el Perú”,

Agenda Digital 2.0, 2011.

PSIEP –“Política de Seguridad de la Información del Ejército del Perú”, 2014

219

ANEXOS

220

ANEXO Nº 01. IDENTIFICACIÓN DE LA PROBLEMÁTICA, PRIORIZACIÓN PROVISIONAL, SELECCIÓN E INTEGRACIÓN DEL PROBLEMA

“CIBERDEFENSA Y SU INCIDENCIA

EN LA PROTECCIÓN DE LA INFORMACIÓN DEL EJÉRCITO DEL PERÚ. CASO: COPERE 2013 – 2014”

PROBLEMATICA

CRITERIOS DE SELECCIÓN Y PRIORIZACIÓN

Suma de criterios positivos

Priorización inicial

El investigador tiene acceso a los datos

Investigador tiene experiencia previa en la solución de este tipo de problemas

La solución contribuirá la solución de otros problemas

Se incumple con más frecuencia en la realidad

El Ejército considera de interés implementar esta Problemática

a. Ausencia de una legislación destinada a aplicar herramientas de "informática forense”

No No Si Si No 2 9

b. Deficiencias en los programas de capacitación en ciberdefensa

Si No Si SI Si 4 3

c. Vulnerabilidad del diseño de la red perimetral

No No Si SI No 2 8

d. Falta de documentación técnica de los sistemas de información

SI SI Si No No 3 7

e. Carencias de Recursos Disponibles para ciberdefensa

Si Si Si Si Si 5 1

f. Desconocimiento en los requisitos funcionales y no funcionales de los sistemas de Información

Si No Si Si No 3 6

g. Desconocimiento de los procedimientos de seguridad informática.

Si SI Si Si Si 5 4

h. Incumplimientos de disposiciones normativas sobre ciberdefensa

Si Si Si SI Si 5 2

i. Falta de una Legislación en temas de Ciberdefensa

No No Si Si Si 3 5

Problema: Provisionalmente Priorizado, seleccionado e integrado

221

Anexo N° 02 - Matriz de Consistencia

TITULO: “LA CIBERDEFENSA Y SU INCIDENCIA EN LA PROTECCION DE LA INFORMACION DEL EJÉRCITO DEL PERÚ. CASO: COPERE. 2013 - 2014”

PROBLEMAS OBJETIVOS HIPÓTESIS VARIABLES METODOLOGIA

PROBLEMA PRINCIPAL

¿Cuáles son las dificultades que impiden el mejoramiento de la Ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?

PROBLEMAS SECUNDARIOS

a. ¿Cuáles son las causas o razones por las cuales se presentan deficiencias en los programas de capacitación para Personal Militar y Civil que Administran las infraestructuras de TI?

b. ¿Cuáles son las causas o razones por las cuales se presenta carencias de recursos disponibles para Ciberdefensa?

c. ¿Cuáles son las causas o razones por las cuales se desconoce o no se aplica de manera adecuada los procedimientos de seguridad informática?

d. ¿Cuáles son las causas o razones por las cuales se incumple las disposiciones normativas relacionadas con Ciberdefensa?

OBJETIVO GENERAL Determinar las dificultades que impiden el mejoramiento de la Ciberdefensa y su incidencia en la protección de la información del Ejército del Perú, con el propósito de identificar las causas que la generan y tener base para proponer el uso de nuevos conocimientos, que contribuyan a solucionar o mejorar la protección de la información del Ejército del Perú. OBJETIVOS ESPECIFICOS: a. Identificar las causas o razones por las

cuales se presenta deficiencias en los programas de capacitación para el Personal Militar y Civil que Administran las infraestructuras de TI; con el propósito de contar con un adecuado nivel de capacidades en Ciberdefensa y un nivel de conocimiento adecuado de los lineamientos que se disponen en la Norma Técnica Peruana NTP-ISO/IEC 17799, los cuales contribuirán a solucionar o mejorar la protección de la información en el Ejército del Perú.

b. Identificar las causas o razones por las cuales se observa carencia de recursos disponibles para Ciberdefensa; con el propósito de contar con un adecuado nivel de Asignación presupuestal y con un adecuado nivel de funcionalidad de las Estructuras Estratégicas; los cuales contribuirán a solucionar o mejorar la protección de la información en el Ejército del Perú.

HIPÓTESIS GENERAL Se presenta dificultades que impiden el mejoramiento de la Ciberdefensa y su incidencia en la protección de la información del Ejército del Perú, porque: “…existen deficiencias en los programas de capacitación; o por carencias de recursos disponibles para ciberdefensa; o por desconocimiento o no se aplica de manera adecuada de los procedimientos de seguridad informática; o por presentar incumplimientos normativos de disposiciones internas o externas referidos a la ciberdefensa…” HIPÓTESIS ESPECIFICAS Hipótesis Especifica “a”: Se presentan deficiencias en los Programas de Capacitación, para el Personal Militar o Civil que Administran las infraestructuras de TI; por no contar con un adecuado nivel de capacitación en Ciberdefensa; o por no tener un nivel de conocimiento adecuado de los lineamientos que se disponen en la Norma Técnica Peruana NTP-ISO/IEC 17799, sobre buenas prácticas para la gestión de la seguridad de la información. Hipótesis Especifica “b”: Se observa, carencia de Recursos Disponibles para Ciberdefensa; por no contar un adecuado nivel de Asignación presupuestal o por no contar con un adecuado nivel de funcionalidad de las Estructuras Estratégicas necesarias que brinden seguridad a la información.

VARIABLES VARIABLE INDEPENDIENTE La Ciberdefensa VARIABLE DEPENDIENTE La Protección de la Información Causa Minoritaria VARIABLES INTERVINIENTES 1. Variables de la Realidad Programas de Capacitación Indicador: Nivel de los programas de

capacitación. Recursos Disponibles para Ciberdefensa

Indicador: Nivel de Recursos Procedimientos de Seguridad Informática Indicador: Nivel de conocimiento Disposiciones Normativas relacionadas con

Ciberdefensa. Indicador: Grado de Cumplimiento

Causa Mayoritaria 2. Variables del Marco Referencial a) Variables Teóricas Conceptos básicos.

Indicador: Nivel de conocimiento Principios básicos.

Indicador: Nivel de conocimiento

TIPO DE INVESTIGACIÓN ESTUDIO 1. Según su Finalidad Investigación Aplicada 2. Según su Alcance Temporal Transversal 3. Según su Carácter Cuantitativa NIVEL DE INVESTIGACIÓN Explicativa DISEÑO DE LA INVESTIGACIÓN No Experimental y de corte Transversal Población y Muestra La población informante del presente trabajo de investigación y estudio ha quedado definida por: Personal Militar y Civil del COPERE que tienen la responsabilidad de administrar y controlar las diferentes infraestructuras de TI; así mismo, dicha selección incluye al personal responsable de brindar seguridad de las redes y sistemas de Información las instalaciones del CGE., siendo 48 Personas. Técnicas e Instrumentos y Fuentes o Informantes. a) Encuestas. - Se aplicará con el fin de recabar información sobre los sistemas de seguridad que se utilizan para proteger la información en el COPERE, 2013 – 2014.

222

c. Identificar las causas o razones por las

cuales se observa desconocimiento o aplicación inadecuada de los procedimientos de seguridad informática; con el propósito de tener un adecuado nivel de conocimiento de los Conceptos y Principios básicos relacionados con Ciberdefensa; los cuales contribuirán a solucionar o mejorar la protección de la información en el Ejército del Perú.

d. Identificar las causas o razones por las cuales se presenta incumplimiento de las disposiciones normativas relacionadas a ciberdefensa; con el propósito de tener un adecuado grado de cumplimiento del Plan de Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital 2.0, el Plan de desarrollo Institucional “Bolognesi”, Directiva Única para el Funcionamiento del Sistema de Telemática y Estadística del Ejército (DUFSITELE) y la Directiva Nº 001 sobre los Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú); los cuales contribuirán a solucionar o mejorar la protección de la información en el Ejército del Perú.

Hipótesis Especifica “c”: Se observa desconocimiento o aplicación inadecuada de los procedimientos de seguridad informática; por no contar con un adecuado nivel de conocimiento de los Conceptos y Principios básicos relacionados con Ciberdefensa. Hipótesis Especifica “d”: Se presenta incumplimientos de disposiciones normativos relacionados a ciberdefensa; por no tener un adecuado grado de cumplimiento del Plan de Desarrollo de la Sociedad de la Información en el Perú. La Agenda Digital 2.0, o el Plan de desarrollo Institucional “Bolognesi”, Directiva única para el Funcionamiento del Sistema de Telemática y Estadística del Ejército (DUFSITELE) y la Directiva Nº Directiva Nº 001 sobre los Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú.

b) Variables del Entorno Nacional – Sector

Defensa: Personal Capacitado en Ciberseguridad y

Ciberdefensa Indicador: Nivel de Capacitación

c) Variables del Entorno Institucional Ejército del

Perú: Asignación Presupuestal

Indicador: Nivel disponibilidad

Infraestructura Estratégica Indicador: Nivel de funcionalidad

d) Variables sobre Disposiciones Externas e

Internas: Norma Técnica Peruana NTP- ISO/IEC 17799

Indicador: Nivel conocimiento.

Decreto Supremo N° 66-2011-PCM, Plan de Desarrollo de la Sociedad Indicador: Grado de cumplimiento

Plan Estratégico Institucional “Bolognesi”

Indicador: Grado de cumplimiento Directiva Única de Funcionamiento del

Sistema de Telemática del Ejército Indicador: Grado de cumplimiento

Directiva Nº 001/CGE/DITELE/SD SIDE

(Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú) Indicador: Grado de cumplimiento

b) Indagación. - Esta técnica facilitará disponer de datos cuantitativos de cierto nivel de razonabilidad sobre nivel de Seguridad que seguridad que cuenta el COPERE c) Tabulación de cuadros con cantidades y porcentajes. - La información cuantitativa será ordenada en cuadros que indican conceptos, cantidades, porcentajes y otros detalles de utilidad relacionados con el presente trabajo de investigación. d) Comprensión de gráficos. - Se utilizará los gráficos para presentar información y para comprender la evolución de la información entre periodos, entre elementos y otros aspectos relacionados con el tema de investigación.

223

ANEXO Nº 03

INSTITUTO CIENTÍFICO Y TECNOLÓGICO DEL EJERCITO

ESCUELA DE POSGRADO

“GRAL DIV EDGARDO MERCADO JARRIN”

CUESTIONARIO Nº 01

Población: informante, censal universo 2 variables: 1 Dependientes, 1 independientes. Muestra estratificada, aleatoria,

Personal Militar y Civil del COPERE que tienen la responsabilidad de administrar y controlar las diferentes infraestructuras de ti. Así mismo, incluye al personal responsable de brindar seguridad de las redes y sistemas de información de las instalaciones del CGE.

Agradeceré a usted responder este breve y sencillo cuestionario, su aporte es muy importante para el logro del siguiente objetivo.

OBJETIVO: Determinar las dificultades que impiden el mejoramiento de la Ciberdefensa y su incidencia en la protección de la información del Ejército del Perú, con el propósito de identificar las causas que la generan y tener base para proponer el uso de nuevos conocimientos, que contribuyan a mejorar la protección de la información

GENERALIDADES:

Esta información será utilizada en forma confidencial, anónima y acumulativa; por lo que agradeceremos a las personas entrevistadas proporcionarnos informaciones veraces, solo así serán realmente útiles para la investigación.

INFORMANTES:

La presente encuesta está dirigida al Personal Militar y Civil del COPERE que tienen la responsabilidad de administrar y controlar las diferentes infraestructuras de TI; así mismo, incluye al personal responsable de brindar seguridad de las redes y sistemas de

información de las instalaciones del CGE.

1.1. DATOS DE LA INSTITUCION

1.1.1. Denominación:

1.1.3. Ubicación geográfica

1.1.4. Dependencia donde labora

1.2. DATOS DEL INFORMANTE

1.2.1. Nivel de Instrucción Alcanzado:

Sin Estudios ( ), Secundaria Completa ( ), Estudios Técnicos ( ).

Estudios Universitarios concluidos ( ) Especialización............................................................................

Grado académico...................................Título Profesional.............................Otros...........................................

1.2.2. Tiempo de Servicio en el cargo actual : 1.2.3. Tiempo de Servicio en la administración Pública :

1.2.3 Indique los últimos tres eventos de Capacitación en CIBERDEFENSA que Ud. asistido e

indique las fechas

a)…………………………………………………………………….…..Fecha

b)……………………………………………………………………….. Fecha

TESIS: “CIBERDEFENSA Y SU INCIDENCIA EN LA PROTECCION DE LA

INFORMACION DEL EJÉRCITO DEL PERÚ. CASO: COPERE 2013-2014”

224

2. PROGRAMAS DE CAPACITACION

2.1. De entre las siguientes Capacidades de Ciberdefensa, marqué los que a su entender

ud. ha sido capacitado y pude aplicar adecuadamente para lograr la mejora de la


a) Capacidad de Prevención b) Capacidad de Defensa

c) Capacidad de Detección d) Capacidad de Respuesta

e) Capacidad de Explotación f) Otra, ¿Cuál?

2.2. ¿Considera Ud que el Personal Militar y Civil del COPERE encargadas administrar las infraestructuras de TI, está capacitado en Ciberdefensa para la protección de la Información?

a) Totalmente Capacitado

b) Mayoritariamente Capacitado

c) Regularmente Capacitado

d) Minoritariamente Capacitado

e) No Capacitado

2.3. ¿Cuáles son las causas o razones que ud. considera por qué el Personal Militar y Civil del COPERE encargados de administrar las infraestructuras de TI, No están capacitadas en Ciberseguridad y Ciberdefensa para la protección de la Información?

a) Falta planificación b) Falta de infraestructuras de

TI

c) Falta de interés de las autoridades d) Falta de personal

especialista

e) Otra, ¿Cuál?

2.4. De entre los siguientes conceptos que teóricamente deben conocerse y aplicarse en la

gestión de la seguridad de las informaciones y que se encuentran plasmados en la

Norma Técnica Peruana NTP/ISO/IEC 17799, mencioné las que ud. conoce y aplica

para lograr la mejora de la ciberdefensa en la protección de la información del Ejército

del Perú.

a) Seguridad ligada al personal b) Seguridad Física y del

Entorno

c) Gestión de comunicaciones y operaciones

d) Administración y Control de

acceso

e) Desarrollo y Mantenimiento de Sistemas

f) Aspectos Organizativos de la

Seguridad

2.5. Marque con una (X) el nivel de conocimiento que ud. posee sobre la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la seguridad de la información”

a) Total Conocimiento

b) Mayor Conocimiento

c) Regular Conocimiento

d) Menor Conocimiento

e) No tiene Conocimiento

225

2.6. ¿Cuáles son las razones o causas de no conocer o aplicar la Norma Técnica Peruana NTP/ISO/IEC 17799 – “Código de buenas prácticas para la gestión de la seguridad de la información”?

a) Por desconocimiento parcial o total de sus lineamientos

b) No he sido Capacitado

c) Sus lineamientos son difíciles de aplicar en la realidad

d) Sus dispositivos no se

adecuan con la realidad de la institución

e) Otra, ¿Cuál?

2.7. ¿Cómo califica el nivel de los

programas de capacitación

relacionados con la ciberdefensa y

su incidencia en la protección de la

información del Ejército del Perú?

a) Sumamente Satisfecho

b) Muy Satisfecho

c) Satisfecho

d) Poco satisfecho

e) Nada satisfecho

2.8. ¿Cuáles son las causas o razones que Ud. considera por qué no se da sumamente satisfecho con los programas de capacitación en relación a la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?

a) Mala planificación b) Falta de Instalaciones

c) Mala designación de alumnos d) Falta de docentes

especialistas

e) Otra, ¿Cuál?

3. RECURSOS DISPOBIBLES PARA CIBERDEFESA

3.1. De entre las siguientes maneras o formas de obtener asignación presupuestal,

mencioné las que ud. conoce para lograr la mejora de la ciberdefensa en la protección


a) Confeccionar un Proyecto de Inversión Publica

b) Demanda adicional al MEF

ante una amenaza potencial

c) Convenios con Instituciones Privadas d) Considerarlo en el Programa

Presupuestal anual

e) Otra, ¿Cuál?

3.2. ¿Cómo califica el nivel de asignación Presupuestal asignado al uso de Ciberdefensa para proteger la información del Ejército del Perú?

a) Muy Favorable b) Favorable

c) Medianamente Favorable d) Desfavorable

e) Adversa

226

3.3. ¿Cuáles son las causas o razones por las que Ud. considera que las autoridades no

asignan presupuestos para ciberdefensa en favor de la protección de la información

del Ejército del Perú?

a) Falta de Planificación b) Otras Prioridades del estado

c) Falta de interés de las autoridades d) Falta de Recursos

Disponibles

e) Otra, ¿Cuál?

3.4. De entre las siguientes Infraestructuras Estratégicas, que deben conocerse y

administrarse en la seguridad de las informaciones, mencioné las que ud. conoce.

a) Personal b) Instalaciones

c) Equipos d) Servicios

e) Redes f) Sistemas de Información

3.5. ¿Cómo califica el nivel de funcionalidad de las infraestructuras estratégicas para el uso de ciberdefensa?

a) Muy Favorable

b) Favorable

c) Medianamente Favorable

d) Desfavorable

e) Adversa

3.6. ¿Cuáles son las razones o causas que ud considera por qué no se dispone de un nivel

adecuado de funcionalidad en infraestructuras estratégicas para su uso en

ciberdefensa?

a) Falta de interés de las autoridades. b) Falta de Equipamiento.

c) Falta de asignación presupuestal. d) Falta de personal capacitado

e) Otra, ¿Cuál?

3.7. ¿Cómo califica el nivel de recursos disponibles relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?

a) Muy Favorable

b) Favorable

c) Medianamente Favorable

d) Desfavorable

e) Adversa

3.8. ¿Cuáles son las razones o causas de No contar con suficientes recursos disponibles

relacionados con la ciberdefensa y su incidencia en la protección de la información del


a) Falta de Planificación b) Otras Prioridades

c) Falta de interés de las autoridades d) Falta de Conocimiento

e) Otra, ¿Cuál?

227

4. PROCEDIMIENTOS DE SEGURIDAD INFORMATICA:

4.1. De entre los siguientes conceptos básicos, marque los que a su entender conoce y son aplicados adecuadamente para mejorar de la ciberdefensa en la protección de la información del Ejército del Perú.

a) Seguridad de las informaciones b) Ciberseguridad

c) Ciberdefensa d) Ciberguerra

e) Protección de las informaciones f) Ciberespacio

4.2. Marque con una (X) en nivel de conocimiento y aplicación que tiene Ud. sobre los Conceptos Básicos descritos anteriormente.

a) Muy bueno b) Bueno

c) Regular e) Malo

e) Pésimo

4.3. ¿Cuáles son las razones o causas de no aplicar o conocer los Conceptos Básicos descritos anteriormente?

a) Falta de capacitación b) Falta de Recursos

Económicos

c) Por desconocimiento d) Difícil de entender

e) Otra, ¿Cuál?

4.4. Marque con una “X” los principios básicos que ud conoce y aplica en relación a la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú.

a) Principios de la Seguridad de las Informaciones

b) Principios de la Ciberseguridad

c) Principios de una conciencia en ciberseguridad

d) Principios de la Ciberdefensa

e) Principios de la Ciberguerra

4.5. Marque con una (X) en nivel de conocimiento y aplicación que tiene Ud. sobre los Principios Básicos descritos anteriormente.

a) Muy Bueno b) Bueno

c) Regular e) Malo

e) Pésimo

4.6. ¿Cuáles son las Razones o causas de no aplicar o conocer los Principios relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?

a) Falta de capacitación b) Falta de recursos

económicos

c) Por desconocimiento d) Difícil de aplicar

e) Otra, ¿Cuál?

228

4.7. A su criterio ¿Cómo califica el nivel

de conocimiento de los

procedimientos de seguridad

informática relacionados con la

ciberdefensa y su incidencia en la

protección de la información del


a) Muy bueno

b) Bueno

c) Regular

d) Malo

e) Pésimo

4.8. ¿Cuáles son las Razones o causas de no aplicar o conocer los procedimientos de

seguridad informática relacionados con la ciberdefensa y su incidencia en la protección de

la información del Ejército del Perú?

a) Falta de Capacitación b) Falta de Recursos Económicos

c) Por Desconocimiento d) Difícil de entender

e) Otra, ¿Cuál?

5. Disposiciones Normativas relacionadas con Ciberdefensa

5.1. De entre las siguientes disposiciones normativas que se deben cumplir en el Plan de Desarrollo de la sociedad de la Información en el Perú, mencioné las que ud. conoce y cumple para lograr la mejora de la ciberdefensa en la protección de la información del Ejército del Perú.

a) Fortalecer los recursos humanos para investigación, desarrollo e innovación en las TIC

b) Promover los centros de

excelencia en TIC

c) Promover la producción científica en las TIC

d) Implementar mecanismos

para mejorar la seguridad de la información.

e) Impulsar la Interoperabilidad entre las instituciones del Estado

f) implementar mecanismos

para asegurar el acceso oportuno a la información

5.2. A su criterio ¿Cómo califica el grado de cumplimiento del Plan de Desarrollo de la sociedad de la Información en el Perú- La agenda Digital 2.0?

a) Total cumplimiento

b) Mayor cumplimiento

c) Regular cumplimiento

d) Menor cumplimiento

e) No se cumple

5.3. ¿Cuáles son las razones o causas de no dar cumplimiento al Plan de Desarrollo de la sociedad de la Información en el Perú? La agenda Digital 2.0?






e) Otra, ¿Cuál?

229

5.4. De entre las siguientes disposiciones normativas que se deben cumplir en el Plan de Desarrollo institucional Bolognesi , mencioné las que ud. conoce y cumple para lograr la mejora de la ciberdefensa en la protección de la información del Ejército del Perú.

a) Potenciamiento de la Educación y el Entrenamiento del Personal.

b) Implementación de la Base de

Datos del Ejército (BDU)

c) Implementación del Centro de entrenamiento

d) Modernización de las Escuelas

de formación y capacitación

e) Actualización y creación de doctrina técnica, táctica y administrativa.

f) Implementación del Sistema

de comando y control.

5.5. A su criterio ¿Cómo califica el grado de cumplimiento del Plan de Desarrollo institucional Bolognesi?





e) No se cumple

5.6. ¿Cuáles son las razones o causas del No cumplimiento del Plan de Desarrollo institucional Bolognesi?






e) Otra, ¿Cuál?

5.7. De entre las siguientes disposiciones normativas que se deben cumplir en la Directiva Única de Funcionamiento del Sistema de Telemática y Estadifica del Ejercito (DUFSITELE), mencioné las que ud. conoce y cumple para lograr la mejora de la ciberdefensa en la protección de la información del Ejército del Perú.

a) Políticas Institucionales de Telemática

b) Componentes del Sub

Sistema cibernético

c) Presupuesto y Proyectos de Inversión Publica

d) Factores del diseño del

Sistema de Telemática

e) Implementación de las capacidades del sistema de Comando y control

f) Componentes del sub

Sistema Informático

5.8. A su criterio ¿Cómo califica el grado de cumplimiento de la Directiva Única de Funcionamiento del Sistema de Telemática y Estadifica del Ejercito (DUFSITELE) ?





e) No se cumple

230

5.9. ¿Cuáles son las causas o razones que Ud. considera por qué no se da el total cumplimiento de la Directiva Única de Funcionamiento del Sistema de Telemática y Estadifica del Ejercito (DUFSITELE)?






e) Otra, ¿Cuál?

5.10. De entre las siguientes disposiciones normativas que se deben cumplir en la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú), mencioné las que ud. conoce y cumple para lograr la mejora de la ciberdefensa en la protección de la información del Ejército del Perú.

a) Desarrollo del Programa Nacional de Ciberdefensa en el Ejército del Perú

b) Gestión homogénea de las

redes en el Ejército del Perú

c) Uso de estándares y certificaciones de seguridad de los productos TIC en el Ejercito del Perú

d) Programa de concientización

y Formación para la cultura en seguridad

e) Mejorar los mecanismos de coordinación y respuesta a incidentes cibernéticos

f) Despliegue de sistemas de

alerta, protección y sus interconexiones

5.11. A su criterio ¿Cómo califica el grado de cumplimiento de la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú)





e) No se cumple

5.12. ¿Cuáles son las causas o razones que Ud. considera por qué no se da el total cumplimiento de la Directiva Nº 001/CGE/DITELE/SD SIDE (Lineamientos de seguridad de la información para la Ciberdefensa en el Ejército del Perú)?






e) Otra, ¿Cuál?

5.13. A su criterio ¿Cómo califica el grado de cumplimiento de los dispositivos normativos relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?





e) No se cumple

231

5.14. ¿Cuáles son las razones o causas del No cumplimiento de los dispositivos normativos relacionados con la ciberdefensa y su incidencia en la protección de la información del Ejército del Perú?






e) Otra, ¿Cuál?

232

Anexo Nº 04

CONFIABILIDAD Y FIABILIDAD DEL INSTRUMENTO DE RECOLECCIÓN DE DATOS

El método para determinar la confiabilidad según R. Hernández Sanpieri, será el

coeficiente Alfa de Crombach a través del cual se estimará la consistencia interna

de la prueba. Para evaluar la confiabilidad se tomará, por ejemplo, un porcentaje

(%) como muestra de ítems para obtener un nivel de confiabilidad del instrumento.

El coeficiente Alpha de Cronbach, es un coeficiente que estima la coincidencia

interna del instrumento de medición: cuestionario, guía de entrevista, escala de

actitud, etc. Para medir su confiabilidad, es decir, si el instrumento se puede aplicar

para casos similares en otras latitudes, dando resultados confiables; se procede

tomando una muestra de los ítems o índices del instrumento aplicando la fórmula

que proporciona en Coeficiente Alfa Cronbach. El resultado debe aproximarse a

0.100, pero nunca bajar de .050, ya que sería un instrumento sin confiabilidad.

Coeficiente Alfa Cronbach

En donde:

K = El número de ítems

∑Si2 = Sumatoria de Varianzas de los ítems

St2 = Varianza de la suma de los ítems

ɶ = Coeficiente de Alfa de Cronbach

Criterio de confiabilidad valores:

• No es confiable -1 a 0

• Baja confiabilidad 0.01 a 0. 49

• Moderada confiabilidad 0.5 a 0.75

• Fuerte confiabilidad 0.76 a 0.89

• Alta confiabilidad 0.9 a 1

K 1-- ∑Si2

K-1 St 2

α =

233

En el presente trabajo de investigación, para poder medir la viabilidad y

confiabilidad del instrumento de recolección de datos, que en este caso es el

cuestionario me he valido de tres componentes que determinan su validación:

• Validez de Contenido.

• Validez de Criterio

• Validez de Constructo

Por tanto:

• Validez del contenido se valida por medio de un juicio de expertos) lo

• Validez de Criterio por medio del alfa de Cronbach

• Validez de Constructo por medio del análisis factorial

Como tenemos dos tipos de preguntas (uno con escala Likert y el otro con escala

dicotómica) separamos dichos datos para analizarlos por separado.

Expertos en materia de Seguridad de las Informaciones, que realizaron la validación del contenido del instrumento:

Experto 1

Nombre LINDO CLAUDET, ELLIOT HANS

Cargo Especialista en Redes II

Institución Ministerio de Economía y Finanzas – MEF

Área Oficina General de Tecnologías de la Información OGTI

Experto 2

Nombre RUIZ SANCHEZ, FELIX

Cargo Analista de Operaciones Seguros Masivos

Institución Chubb SegurosBR

Área Tecnología de Información

Experto 3

Nombre CHAVEZ ZUÑIGA, JEAN PEARE

Cargo Analista de Procesos DWH

Institución Banco de Crédito del Perú

Área Gestión de Procesos e informática

Validez del Cuestionario = Promedio (Validez de contenido + Validez de Criterio + Validez de Constructo)

https://www.facebook.com/pages/Analista-de-Operaciones-Seguros-Masivos/323056761429905?ref=br_rs

https://www.facebook.com/ChubbSegurosBR/?ref=br_rs

234

Operación

• Preguntas Dicotómicas: Validez del Contenido (Juicio de expertos).

Expertos PREGUNTAS

Pg 2.1 Pg 2.4 Pg 3.1 Pg 3.4 Pg 4.1 Pg 4.4 Pg 5.1 Pg 5.4 Pg 5.7 Pg 5.10

Experto 1 4 3 4 3 4 4 3 4 4 4 Experto 2 3 3 3 3 3 4 4 3 3 3

Experto 3 3 4 4 4 3 4 3 4 3 4

Estadísticos de fiabilidad

Alfa de Cronbach N de elementos

.635 10

• Preguntas Dicotómicas: Validez del Criterio (alfa de Cronbach)



.677 10

Estadísticos total-elemento

Media de la escala si se elimina el elemento

Varianza de la escala si se elimina el elemento

Correlación elemento-total

corregida

Alfa de Cronbach si se elimina el

elemento

CANTIDAD DE CAPACIDADES DE CIBERDEFENSA QUE CONOCE Y APLICA 14.133 8.124 0.741 0.574

CANTIDAD DE CONCEPTOS QUE CONOCE Y APLICA DE LA NORMA TECNICA PERUANA 13.933 10.210 0.076 0.712

CANTIDAD DE MAMERAS O FORMAS QUE CONOCE PARA OBTENER ASIGNACION PRESUPUESTAL

14.200 11.029 -0.017 0.704

CANTIDAD DE INFRAESTRUCTURAS ESTRATEGICAS QUE CONOCE Y ADMINISTRA 14.067 7.924 0.668 0.579

CANTIDAD DE CONCEPTOS BASICOS RELACIONACOS CON CIBERDEFENSA QUE CONOCE Y APLICA

14.133 9.838 0.247 0.670

CANTIDAD DE PRINCIPIOS BASICOS RELACIONACOS CON CIBERDEFENSA QUE CONOCE Y APLICA

14.000 10.286 0.228 0.671

CANTIDAD DE DISPOSICIONES NORMATIVAS DEL PLAN DE DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN EN EL PERÚ QUE DA CUMPLIMIENTO Y APLICA

14.133 9.552 0.323 0.656

CANTIDAD DE DISPOSICIONES NORMATIVAS DEL PLAN DE DESARROLLO INSTITUCIONAL BOLOGNESI QUE DA CUMPLIMIENTO Y APLICA

14.133 8.124 0.741 0.574

CANTIDAD DE DISPOSICIONES NORMATIVAS DE LA DUFSITELE QUE DA CUMPLIMIENTO Y APLICA 14.267 9.495 0.345 0.652

CANTIDAD DE DISPOSICIONES NORMATIVAS DE LA DIRECTIVA Nº 001/CGE/DITELE/SD SIDE (LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA CIBERDEFENSA EN EL EJÉRCITO DEL PERÚ) QUE DA CUMPLIMIENTO Y APLICA

14.000 9.714 0.168 0.694

235

• Preguntas Dicotómicas: Validez del Constructo (análisis factorial)

Comunalidades

Inicial Extracción

CANTIDAD DE CAPACIDADES DE CIBERDEFENSA QUE CONOCE Y APLICA 1.000 0.972

CANTIDAD DE CONCEPTOS QUE CONOCE Y APLICA DE LA NORMA TECNICA PERUANA 1.000 0.561

MAMERAS O FORMAS QUE CONOCE PARA OBTENER ASIGNACION PRESUPUESTAL 1.000 0.844

CANTIDAD DE INFRAESTRUCTURAS ESTRATEGICAS QUE CONOCE Y ADMINISTRA 1.000 0.885

CANTIDAD DE CONCEPTOS BASICOS RELACIONACOS CON CIBERDEFENSA QUE CONOCE Y APLICA

1.000 0.775

CANTIDAD DE PRINCIPIOS BASICOS RELACIONACOS CON CIBERDEFENSA QUE CONOCE Y APLICA

1.000 0.891

CANTIDAD DE DISPOSICIONES NORMATIVAS DEL PLAN DE DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN EN EL PERÚ QUE DA CUMPLIMIENTO Y APLICA

1.000 0.758

CANTIDAD DE DISPOSICIONES NORMATIVAS DEL PLAN DE DESARROLLO INSTITUCIONAL BOLOGNESI QUE DA CUMPLIMIENTO Y APLICA

1.000 0.972

CANTIDAD DE DISPOSICIONES NORMATIVAS DE LA DUFSITELE QUE DA CUMPLIMIENTO Y APLICA 1.000 0.651

CANTIDAD DE DISPOSICIONES NORMATIVAS DE LA DIRECTIVA Nº 001/CGE/DITELE/SD SIDE (LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA CIBERDEFENSA EN EL EJÉRCITO DEL PERÚ) QUE DA CUMPLIMIENTO Y APLICA

1.000 0.778

Análisis Factorial 0.809

Por lo tanto, Validez del Cuestionario = Promedio (Validez de contenido + Validez de Criterio +

Validez de Constructo) Validez del Cuestionario = Promedio (.635+ .677 + .809)

Validez del Cuestionario = 0.707 por lo tanto el instrumento tiene Fuerte confiabilidad

236

Operación

• Preguntas Likert: Validez del Contenido (Juicio de expertos).

Expertos PREGUNTAS


Experto 1 5 4 5 5 3 4 4 4 4 4 Experto 2 3 5 3 4 4 3 4 3 3 3 Experto 3 4 4 4 4 3 4 4 4 4 3

Expertos PREGUNTAS


Experto 1 4 4 3 4 3 3 4 3 4 3 Experto 2 3 3 3 3 3 3 3 3 3 3 Experto 3 4 4 4 4 4 4 4 4 4 4

Expertos PREGUNTAS

Pg 5.5 Pg 5.6 Pg 5.8 Pg 5.9 Pg 5.11 Pg 5.12 Pg 5.13 Pg 5.14

Experto 1 3 4 4 3 4 4 3 4 Experto 2 3 4 3 4 4 3 4 3 Experto 3 4 4 4 4 3 4 3 4



.881 28

• Preguntas Likert: Validez del Criterio (alfa de Cronbach)



.558 28

Estadísticos total-elemento

Media de la escala si se elimina el elemento

Varianza de la escala si se elimina el elemento

Correlación elemento-total

corregida

Alfa de Cronbach si se elimina el

elemento

Pg.2.2 78.000 57.857 0.133 0.552

Pg.2.3 79.600 52.686 0.238 0.536

Pg.2.5 79.067 66.352 -0.535 0.618

Pg.2.6 80.200 52.743 0.438 0.513

Pg.2.7 77.867 55.981 0.388 0.533

Pg.2.8 79.800 48.314 0.702 0.470

Pg.3.2 78.000 59.286 0.041 0.559

Pg.3.3 80.067 53.067 0.397 0.518

Pg.3.5 77.733 60.924 -0.152 0.576

Pg.3.6 79.133 62.267 -0.227 0.593

Pg.3.7 77.667 61.810 -0.311 0.578

237

Pg.3.8 78.733 56.495 0.028 0.579

Pg.4.2 78.933 60.352 -0.101 0.581

Pg.4.3 79.800 58.314 -0.011 0.577

Pg.4.5 78.667 58.381 0.046 0.562

Pg.4.6 79.600 52.257 0.218 0.540

Pg.4.7 78.533 55.124 0.283 0.534

Pg.4.8 79.867 55.410 0.130 0.555

Pg.5.2 78.733 57.067 0.221 0.545

Pg.5.3 79.867 47.838 0.550 0.478

Pg.5.5 78.133 57.410 0.242 0.545

Pg.5.6 79.800 48.314 0.702 0.470

Pg.5.8 79.067 56.210 0.174 0.547

Pg.5.9 79.933 57.924 0.143 0.552

Pg.5.11 77.667 59.667 -0.042 0.569

Pg.5.12 79.800 48.314 0.702 0.470

Pg.5.13 77.467 59.838 -0.047 0.567

Pg.5.14 80.467 61.695 -0.199 0.586

• Preguntas Likert: Validez del Constructo (análisis factorial)

Comunalidades

Inicial Extracción

Pg.2.2 1.000 0.889

Pg.2.3 1.000 0.887

Pg.2.5 1.000 0.907

Pg.2.6 1.000 0.985

Pg.2.7 1.000 0.907

Pg.2.8 1.000 0.995

Pg.3.2 1.000 0.811

Pg.3.3 1.000 0.968

Pg.3.5 1.000 0.737

Pg.3.6 1.000 0.858

Pg.3.7 1.000 0.761

Pg.3.8 1.000 0.928

Pg.4.2 1.000 0.951

Pg.4.3 1.000 0.968

Pg.4.5 1.000 0.933

Pg.4.6 1.000 0.834

Pg.4.7 1.000 0.886

Pg.4.8 1.000 0.980

Pg.5.2 1.000 0.918

Pg.5.3 1.000 0.917

Pg.5.5 1.000 0.946

Pg.5.6 1.000 0.995

Pg.5.8 1.000 0.930

Pg.5.9 1.000 0.950

Pg.5.11 1.000 0.986

238

Pg.5.12 1.000 0.995

Pg.5.13 1.000 0.935

Pg.5.14 1.000 0.940

Análisis Factorial 0.918

Por lo tanto, Validez del Cuestionario = Promedio (Validez de contenido + Validez de Criterio +

Validez de Constructo) Validez del Cuestionario = Promedio (.881+ .558 + .918)

Validez del Cuestionario = 0.786 por lo tanto el instrumento tiene Fuerte confiabilidad

Resultado:

Validez dicotómica = 0.707 Validez Likert = 0.786

Validez total = 0.746 Iinstrumentó tiene Fuerte

confiabilidad