Ciencias sociales y polticas

Artculo de investigacin

 

Propuesta de polticas de Ciberseguridad para el Teletrabajo. Caso de estudio Rectorado ESPOCH

 

Proposal of Cybersecurity policies for Teleworking. ESPOCH Rector's case study

 

Proposta de polticas de Cibersegurana para Teletrabalho. Estudo de caso do Reitor da ESPOCH

 

 


 

 

 

 

Correspondencia: [email protected]

 

 

 

 

*Recibido: 25 de agosto 2021 *Aceptado: 15 de septiembre de 2021 * Publicado: 06 de octubre de 2021

 

 

        I.            Maestrante, Pontificia Universidad Catlica del Ecuador, Sede Ambato Tcnico Docente, Escuela Superior Politcnica de Chimborazo, Riobamba, Ecuador.

     II.            GrIISoft Research Group, Escuela Superior Politcnica de Chimborazo-Pontificia Universidad Catlica del Ecuador, Sede Ambato, Ecuador.

 

 

 

 

 

 

 

Resumen

El distanciamiento social causado por la actual pandemia se ha hecho parte de la vida cotidiana de las personas, obligando a que las instituciones pblicas y privadas opten por la modalidad de teletrabajo para cumplir sus actividades. Esto hace necesaria la prctica de polticas adecuadas de Ciberseguridad a toda persona que enva o recibe informacin por medio de Internet. En el presente trabajo se presenta una propuesta de polticas de ciberseguridad orientadas a personas que realizan teletrabajo. Para evaluar la propuesta antes mencionada se realiz un estudio de caso con personas que hacen teletrabajo y que pertenecen al rectorado de la Escuela Superior Politcnica de Chimborazo (ESPOCH). los resultados del estudio de caso sugieren que la implementacin de polticas de ciberseguridad para el teletrabajo permite el uso adecuado de la informacin del Rectorado de la ESPOCH.

Palabras clave: Ciberseguridad; teletrabajo; polticas.

 

Abstract

The social distancing caused by the current pandemic has become part of people's daily lives, forcing public and private institutions to opt for teleworking to carry out their activities. This makes it necessary to practice adequate Cybersecurity policies for anyone who sends or receives information through the Internet. This paper presents a proposal for cybersecurity policies aimed at people who telework. To evaluate the aforementioned proposal, a case study was carried out with people who do telework and who belong to the Rector of the Higher Polytechnic School of Chimborazo (ESPOCH). The results of the case study suggest that the implementation of cybersecurity policies for telework allows the proper use of the information from the ESPOCH Rectorate.

Keywords: Cybersecurity; telecommuting; policies.

 

Resumo

O distanciamento social provocado pela atual pandemia passou a fazer parte do cotidiano das pessoas, obrigando instituies pblicas e privadas a optarem pelo teletrabalho para o desempenho de suas atividades. Isso torna necessrio praticar polticas de segurana ciberntica adequadas para qualquer pessoa que envie ou receba informaes pela Internet. Este artigo apresenta uma proposta de polticas de segurana ciberntica voltadas para pessoas que fazem teletrabalho. Para avaliar a referida proposta, foi realizado um estudo de caso com pessoas que fazem teletrabalho e que pertencem ao Reitor da Escola Superior Politcnica de Chimborazo (ESPOCH). Os resultados do estudo de caso sugerem que a implementao de polticas de cibersegurana para teletrabalho permite o uso adequado das informaes da Reitoria da ESPOCH.

Palavras-chave: Cibersegurana; teletrabalho; polticas.

 

Introduccin

La crisis sanitaria que comienza a afectar al mundo entero debido a la propagacin del virus denominado SARS-CoV-2, declarada pandemia por la Organizacin Mundial de la Salud (OMS) el 11 de marzo de 2020 (COVID-19: cronologa de la actuacin de la OMS, 2020, 28 abril), hace que la comunicacin y dems actividades cotidianas se las maneje de forma masiva por Internet exponindonos a todos los peligros que este conlleva. Martn, F. A. (2020) menciona que tenemos memoria corta en temas de ciberseguridad, aduciendo que existen actores que generan inseguridad en el ciberespacio, y que estos aprovechan cualquier oportunidad para hacer dao y lucrar de esta adems que aprovechando la confusin creada por el teletrabajo masivo y las dificultades para parchear los terminales conectados remotamente, los ciberataques pasaron de algunos centenares de miles por da a casi un milln en algunos pases como Espaa y Estados Unidos

Los avances tecnolgicos y el mundo en el que nos desenvolvemos han modificado las relaciones sociales tradicionales, haciendo que con teletrabajo se garantice y obtenga los resultados deseados por parte de las personas que laboran en las instituciones, sin la presencia ni el cumplimiento de horarios rgidos; es as como, esta modalidad, que si bien es cierto no es nuevo como oferta laboral, hace que la persona se relacione de otra manera con la institucin. (Cifuentes-Leiton & Londoo-Cardozo, 2020)

En la actualidad el distanciamiento social, por la crisis del Covid-19 se ha convertido en una norma de convivencia (Ballestero, 2020), el teletrabajo se transforma en la opcin prioritaria a nivel pblico como privado para dar continuidad a sus actividades.

En Ecuador, el Comit de Operaciones de Emergencia Nacional (COE) del Ecuador, con fecha 28 de abril prioriza el teletrabajo como forma de desenvolvimiento laboral en todas las instituciones pblicas y privadas del pas, (Resoluciones COE Nacional 28 de abril 2020 Servicio Nacional de Gestin de Riesgos y Emergencias, 2020), hace que estas adopten esta modalidad para dar continuidad a sus actividades.

En la Escuela Superior Politcnica de Chimborazo (ESPOCH) el trabajo es presencial tanto en las labores administrativas como acadmicas, y a partir de la declaracin de Pandemia a causa de la COVID-19, en un giro inesperado se comienza a teletrabajar.

En la ESPOCH, la mayora de los procesos administrativos se los realiza por medio del Internet y gran parte de la documentacin ya se encuentra en forma digital, haciendo que, la informacin salga de la seguridad del rectorado de la Institucin y comience a ser manejada desde los hogares de los funcionarios; donde no existe una infraestructura de red administrada y, tampoco personal tcnico que pueda brindar soporte apropiado en el uso de esta.

En este contexto, muchas veces la falta de experiencia en temas de ciberseguridad por parte de los funcionarios en sus hogares, hacen que se cometan ciertos errores que pueden afectar sea a la Confidencialidad, Integridad o Disponibilidad de la informacin manejada.

Por tal razn, la motivacin del presente trabajo es proponer una serie de polticas de Ciberseguridad en el mbito de Teletrabajo y evaluar la propuesta en el estudio de caso de los funcionarios del Rectorado de la ESPOCH.

Trabajos relacionados

La globalizacin del mundo hace que nuevas tendencias aparezcan en todos los mbitos, es as como, el auge de las Tecnologas de la informacin y Comunicacin (TIC) ha inspirado a que el teletrabajo se convierta en una alternativa bastante atractiva para el desenvolvimiento profesional, haciendo que la continuidad de las actividades de una entidad mantenga el empleo que se puso en riesgo a causa del confinamiento por el Covid-19 (Diego Rodrguez, 2020), y que el conocimiento sobre temas de ciberseguridad sean necesario para evitar que la triada de la informacin sean vulneradas.

Segn Kaspersky, K. (2021) La ciberseguridad es la prctica de defender las computadoras, los servidores, los dispositivos mviles, los sistemas electrnicos, las redes y los datos de ataques maliciosos. Tambin se conoce como seguridad de tecnologa de la informacin o seguridad de la informacin electrnica. El trmino se aplica en diferentes contextos, desde los negocios hasta la informtica mvil.

Para el Banco Internacional de Desarrollo (BID) y la Organizacin de los estados Americanos (OEA) en su publicacin de ciberseguridad 2020, BID - OEA, B.-O. (2020), el Ecuador, como estado, aun no cuenta con una estrategia slida de Ciberseguridad, se ha logrado avances significativos en contra de amenazas en la red, pero an no son suficientes, uno de estos avances es el EcuCERT, denominado el equipo de respuesta ante incidentes cibernticos, mismo que se encuentra a cargo de la Agencia de Regulacin y Control de las Telecomunicaciones (ARCOTEL).

En la actualidad, menciona Arroyo (2020), los delitos cometidos por los ciberdelincuentes van desde ataques a la propiedad intelectual hasta ciberacoso entre otros, bajo este apartado en un ataque buscan apoderarse de credenciales que les permitan tener acceso a informacin privilegiada de distinta ndole de las entidades, sea para beneficio propio o poder obtener algn beneficio con terceros.

Bajo estas afirmaciones se hace necesarias la creacin o implementacin de polticas de ciberseguridad en el mbito de teletrabajo para que los funcionarios del Rectorado de la ESPOCH efecten un correcto manejo de la informacin teletrabajando.

A continuacin, se describe brevemente trabajos relacionados y que han sido desarrollados por investigadores que de una u otra forma han utilizado ciberseguridad para la proteccin de la informacin.

Carrillo, J. J. M., Zambrano, N. A., Zambrano, T. J. L., & Bravo, M. Z. 2020, propone la implementacin de ciberseguridad basado en 3 mbitos: Auditora interna en los procesos de las reas de Redes, Desarrollo de Software y Documentacin; Anlisis de Vulnerabilidades e Identificacin de Riesgos, mismos que van encaminados a la proteccin de infraestructura y software, sin mencionar el mbito de teletrabajo.

Gayo, M. R. 2021, habla sobre definiciones de Teletrabajo y Ciberseguridad, donde se indica que la empresa debe estar atenta a los posibles riesgos que esta modalidad de trabajo conlleva, tambin da a conocer los riesgos a los cuales se est expuesto y entrega alternativas para teletrabajar de manera segura mediante el uso de una VPN.

Adeva, A., & Ortiz, J. M. V. 2020, menciona que con la pandemia del COVID 19 el teletrabajo creci considerablemente, y con este el porcentaje de ciberataques. Al utilizar software para interconectarse tambin se busc como hacer seguras estas interconexiones haciendo de las VPNs una alternativa de proteccin.

La ciberseguridad, segn Ballestero, F. 2020, debe minimizar los riesgos de prdida de la informacin y muestra 3 etapas para lograr este cometido, prevencin, deteccin y control y recuperacin, mostrando un ecosistema de ciberseguridad basados en una interaccin continua entre la administracin pblica, empresas proveedoras de productos y servicios, empresas, instituciones y ciudadanos demandantes, universidades, medios de comunicacin e instituciones diversas.

Lema, L. L, 2020, menciona que los delitos cibernticos podran duplicarse durante el perodo del brote de coronavirus y no solo por las estafas de phishing , sino tambin por los ataques de ransomware , debido al acceso remoto inseguro a las redes corporativas, por la falta de formacin de los teletrabajadores que exponen sus credenciales de inicio de sesin de los equipos de ncleo familia, as como, por la utilizacin de los equipos informticos por todos ellos comprometiendo los archivos e informacin de la institucin a la que presta sus servicios, para lo cual propone una metodologa de anlisis de vulnerabilidades en 6 etapas bajo un proceso del Instituto Nacional de Ciberseguridad de Espaa.

Y cerrando esta seccin un estudio realizado por CEDIA informa que tan slo el 8% tiene una implementacin completa de polticas de seguridad en las universidades del pas, el 60% lo tena de manera parcial y un 32% no contaba con dichas polticas, mostrando el bajo inters sobre los temas de ciberseguridad de las instituciones, (Padilla, R., Cadena, S., Enrquez, R., Crdova, J., & Llorens, F. 2017).

Si bien se han encontrado trabajos que cuentan sus experiencias en la utilizacin de metodologas, guas o procedimientos de ciberseguridad, en este contexto no se han encontrado trabajos que aborden polticas de ciberseguridad en el mbito del teletrabajo.

Polticas de ciberseguridad para el teletrabajo

Para la ISO-27001, una afirmacin de poltica define un compromiso general, y debe incorporar objetivos de seguridad de la informacin o facilitar su desarrollo, adems, la intencin de la seguridad de la informacin es proteger la confidencialidad, integridad y disponibilidad de la informacin.

Es muy importante definir polticas de seguridad interna de una institucin sea esta pblica o privada con la finalidad de estandarizar las condiciones en las que las personas van a llevar a cabo sus labores cotidianas con la modalidad de teletrabajo.

Las polticas definidas deben resguardar al menos lo siguiente:

         Los perfiles de usuarios para el teletrabajo definiendo los permisos de acceso.

         La posible utilizacin de equipos personales (BYOD) para el teletrabajo y las debidas medidas de seguridad.

         Poltica para el almacenamiento de la informacin de la institucin.

         Procedimiento para proteger fsicamente los accesos a los equipos de cmputo de la institucin.

Bajo la norma NTC-ISO/IEC ISO27001 la aplicacin de los controles debe garantizar usos aceptables del manejo adecuado de la informacin en condiciones de teletrabajo. (Andrs, 2015.)

A continuacin, se listan una serie de polticas que pueden ayudar al uso adecuado de la informacin en condiciones de teletrabajo para los funcionarios del Rectorado de la ESPOCH.

Equipos de cmputo y sistemas operativos

Los equipos proporcionados por la institucin o equipos de uso personal deben cumplir con parmetros mnimos de seguridad, y al no cumplirlos sern catalogados como equipos no confiables, en la actualidad no se puede decir que un equipo 100% seguro pero si se puede establecer una lnea base para determinar la confiabilidad del equipo de cmputo (Andrs, 2015.)

Los requerimientos mnimos para asegurar un equipo de cmputo son:

Equipos de confianza

         Proteger el acceso de la maquina mediante una contrasea en BIOS

         Sistema operativo y aplicaciones actualizadas.

         Software antivirus, antimalware, antispyware.

         Perfiles de usuario para sin privilegios para instalacin de software y modificacin de configuraciones.

         Configuraciones seguras para los navegadores de internet

         Bloqueo automtico por inactividad.

         Control de acceso slido.

         Cifrado de disco duro.

         Verificacin peridica de las reglas de seguridad de los equipos

Equipos no confiables

En caso de tener mltiples perfiles de usuario en el sistema operativo, debe existir un perfil protegido con contrasea robusta y la informacin que contiene este perfil no debe ser accedida por otros perfiles en la misma mquina.

En lo posible emplear arranque dual el cual permite dos sistemas operativos en la misma maquina uno destinado para actividades de teletrabajo y el segundo para fines personales. (Andrs, 2015.)

BYOD (Bring Your Own Device)

Es una modalidad donde las instituciones optan por reducir costos y la administracin de los equipos de cmputo permitiendo al empleado mezclar su vida laboral y personal con el objetivo de aumentar la productividad. Este modelo lleva a importantes problemas de seguridad ya que no existe administracin o control por el departamento TI, para lo cual se debe considerar lo siguiente:

         Polticas de seguridad indicando el uso adecuado de los equipos y de la informacin.

         Clusula de responsabilidades en el manejo de la informacin de la institucin.

Comunicaciones

La infraestructura en las comunicaciones brinda grandes beneficios en la disponibilidad de aplicativos y de la informacin de las compaas, pero este denota riesgos en la seguridad ya que los mtodos de acceso en las redes sugieren miles de conexiones que pueden ser vectores de ataque.

La seguridad en las comunicaciones debe estar dirigida en combatir o contrarrestar una o varias amenazas ya sea inmediato, latente o potencial que pretendan atentar con los principios de confidencialidad, disponibilidad e integridad de la informacin.

La creacin de un modelo de seguridad para las comunicaciones debe identificar los componentes o caractersticas de las redes de comunicacin, existen tres tipos de redes. (Andrs, 2015.)

Redes no controladas

Este tipo de red es aquella que no puede ser gestionada o controlada por el departamento de TI Institucional.

Red controlada

Este tipo de red es toda aquella que se encuentra bajo el control del departamento TI institucional.

Red en mbito protegido

Este tipo de red se encuentra bajo la conceptualizacin de la red controlada, pero adiciona componentes criptogrficos.

Estos componentes de criptografa punto a punto se consiguen mediante la configuracin de VPNs.

VPN (Virtual Private Network)

Esta configuracin brinda beneficios para los administradores de TI ya que permite una administracin centralizada evitando abrir accesos a cada una de las aplicaciones con sus consiguientes riesgos de ataque y sus controles de seguridad.

Otra de las bondades de las redes VPN radica en su robustez y seguridad, para que utilicen autenticacin fuerte de doble factor el cual consiste en combinar certificados de seguridad con una autenticacin mediante contrasea. (Andrs, 2015.)

Seguridad de la Informacin

La seguridad de la informacin es el conjunto de medidas tcnicas, organizativas y legales que permiten a las instituciones asegurar la confidencialidad, integridad y disponibilidad de su sistema de informacin la definicin brindada por el estndar para la seguridad de la informacin ISO/IEC 27001, aprobado y publicado en octubre de 2005 por la ISO (International Organization for Standardization) y por la comisin IEC (International Electrotechnical Commission).

Al establecer los controles de la familia de la norma NTC-ISO/IEC ISO27000 permite asegurar el activo ms importante de una organizacin como lo es la informacin. (Andrs, 2015.)

Copias de seguridad

En el entorno de teletrabajo no se aplican mejores prcticas en respaldar la informacin.

El mtodo de backup, vara de acuerdo con la forma de teletrabajo:

         Escritorios remotos

         Perfil mvil, o sincronizacin automtica, mediante software

         Sincronizacin manual.

         Copias de seguridad offline

Sistemas de almacenamiento en lnea

Andrs, (2015.) hace mencin que los mltiples proveedores de almacenamiento en lnea; entregan beneficios en la portabilidad, disponibilidad de la informacin en diferentes dispositivos, control de versiones, acceso controlado a otros usuarios, suprimiendo el uso de medios extrables, el software de sincronizacin viene incluido en la mayora de los sistemas operativos. A pesar de todos los beneficios, se deben considerar los peligros de este tipo de almacenamiento.

         Valorar el tipo de informacin que ser guardada en los almacenamientos en lnea ya que si la plataforma es vulnerable a un ataque podra ser posible acceder a la informacin por terceros.

         La informacin puede ser accedida por los funcionarios de la institucin o gobierno donde se encuentre alojada la plataforma.

         El cifrado de la informacin es delegada a la plataforma de almacenamiento lo cual no permite tener control sobre esto.

         La informacin almacenada en sistemas en lnea puede incurrir en incumplimientos de normativas o leyes de protecciones de datos.

         No descuidar los contratos de prestacin de servicio que ofrecen estas plataformas ya que no siempre se comprometen a garantizar la disponibilidad de la informacin, pudiendo tener fallos tcnicos que les dejen sin conectividad durante das, o pudiendo llegar al extremo de cerrar por temas legales con el pas donde se aloja la plataforma

Seguridad del Talento Humano

Andrs, (2015.) en su investigacin indica que el talento humano quiz es el eslabn ms crtico al momento de garantizar las tres caractersticas de la seguridad de la informacin: integridad, confidencialidad y disponibilidad, por lo tanto, deben adoptarse controles y prcticas de gestin que ayuden a mitigar el impacto de los riesgos que por este factor se pudieran materializar. Uno de los pilares bsicos de la norma ISO 27001 es la seguridad sujetada a los recursos humanos, que debe enfocarse desde la definicin de las funciones y los recursos hasta la finalizacin de la relacin laboral, y en el desarrollo normal de sus funciones.

Con la definicin de sus funciones a desempear se asegura que todo el recurso humano en el modo de teletrabajo de la institucin entienda sus responsabilidades y estn en las condiciones para desarrollarlos; de esta forma se pueden reducir riesgos de fraude y uso inadecuado de los activos de informacin de la institucin.

Es necesario establecer los procedimientos para garantizar que el retiro de la institucin por parte del recurso humano sea controlado para garantizar la devolucin de todo el equipamiento y la eliminacin de las credenciales de acceso a los sistemas.

Lo ms recomendable es remover, en primer lugar, el acceso a los sistemas institucionales, incluyendo las cuentas de correo electrnico para garantizar que no se extraiga informacin confidencial, respetando las consideraciones de privacidad que apliquen.

Todo lo relacionado con la finalizacin de contrato debera estar formalizado para incluir el retorno previo del software, documentos institucionales, equipos, dispositivos mviles, tarjetas de acceso e informacin guardada en medios electrnicos.

 

Ingeniera social

En la actualidad la ingeniera social es uno de los mtodos ms utilizados para tratar de vulnerar la seguridad de las personas, se logra por medio de manipulacin psicolgica y habilidades sociales con el objetivo de obtener algn tipo de informacin sensible o til de la institucin o empleado.

La ingeniera social tiene diversas formas de actuar:

         Tcnicas Pasivas: Basadas en observar y analizar a los empleados, permitiendo crear un perfil psicolgico que permite abordar al empleado.

         Tcnica no presencial: Se emplea medios de comunicacin como telfono, correo electrnico.

         Tcnica presencial no agresiva: Mediante el seguimiento, vigilancia de domicilios, bsqueda en la basura del empleado con el fin de recolectar la mayor cantidad de informacin.

         Tcnicas activas: Mediante la suplantacin de identidad, personalizaciones de otros empleados y presin psicolgica

Como menciona, Andrs, (2015.) Para implementar defensas ante amenazas de ingeniera social se debe tener en cuenta los siguientes parmetros:

         Disear y efectuar polticas de seguridad las cuales deben darse a conocer a los funcionarios donde ellos adquieran el conocimiento y compromisos por parte de ellos.

         Las campaas de concienciacin son muy importantes mediante aprendizaje estructurado, reuniones menos formales, campaas con psteres u otros eventos para anunciar las directivas de seguridad. Cuanto ms refuerce los mensajes de sus directivas, ms exitosa ser su implementacin.

         Deben existir protocolos reactivos en los procedimientos relacionados con la directiva de seguridad, registrando los posibles ataques de ingeniera social para prevenir posibles ataques.

Si las propuestas de seguridad afectan negativamente a la agilidad laboral de la institucin, es probable se deba evaluar el riesgo. Se debe lograr un equilibrio entre la seguridad y la operatividad.

Estudio de caso

Este artculo se basa en la investigacin de estudio de caso que, segn Mertens (2010); un grupo de personas es visto y analizado como una entidad, as como sostiene Yin (1994), el estudio de caso es una indagacin profunda sobre un fenmeno contextualizado en el mundo real, en este contexto el grupo de estudio fue el personal administrativo que labora en la oficina del Rectorado de la ESPOCH (6 personas), donde se efectu a cada uno de ellos una encuesta de 18 preguntas.

Para el desarrollo del trabajo de investigacin se destacan 4 fases que a continuacin se resumen en el siguiente grfico.

Figura. 1: Fases de la Investigacin.

Fase 1.

Presentacin de la solicitud para realizar la investigacin del estudio de caso.

 

Fase 2.

Encuesta sobre el conocimiento previo de ciberseguridad para el teletrabajo a los funcionarios de la dependencia.

Fase 3.

Capacitacin sobre la propuesta de polticas de ciberseguridad

Fase 4.

Encuesta sobre el aprendizaje de ciberseguridad para el teletrabajo a los funcionarios de la dependencia.

 

 

 

 

 

 

 


Fuente: Autores

Fase 1. Se convers directamente

 

 

El Dr. Rector de la ESPOCH con la propuesta de investigacin, dando su aprobacin para realizar la misma.

Fase 2. Para la toma de muestras iniciales se realiz la encuesta de 18 preguntas enfocadas en 4 aspectos que son: Equipos de Cmputo y Sistemas Operativos, Comunicaciones, Seguridad de la Informacin y el Talento Humano todo en torno a la temtica de ciberseguridad y teletrabajo a los 15 das del mes de marzo del 2021.

Fase 3. Se promocion el evento de capacitacin por medio del portal web CiberSeguridad. (2021, abril), donde se mostr definiciones sobre ciberseguridad, teletrabajo y la temtica de capacitacin, y en la misma web los funcionarios de esta dependencia se inscribieron para recibir la preparacin, pgina que se encuentra activa desde el 01 de abril de 2021. En la Figura 2 se muestra parte de la web en mencin.

 

 

 

 

 

 

 

Figura. 2: Portal web

Fuente: (CiberSeguridad.. 2021, abril)

La capacitacin se llev a cabo en 2 das, 8 y 9 de abril de 2021, que, por causas de la pandemia, se lo realiz por la plataforma virtual Microsoft Teams donde se desarrollaron los temas propuestos en la Fase 2, contando con la aceptacin de los funcionarios del rectorado de la ESPOCH, como se observa en la Figura 3.

Figura. 3: Capacitacin va Microsoft Teams Polticas de Ciberseguridad.

Fuente: Autores

Fase 4. Se utiliza la misma encuesta de la fase 2 para recolectar las muestras finales y poder realizar el anlisis, esta encuesta se la realiza el viernes 25 de abril de 2021.

El enfoque aplicado en la investigacin es cuantitativo, y se utiliz la escala de Likert para dar una valoracin a las respuestas obtenidas en las encuestas previa y post capacitacin, como se muestra en la tabla 1.

Tabla 1: Escala de Likert para valoracin del Test

ITEM

PUNTAJE

TOTALMENTE DE ACUERDO

5

DE ACUERDO

4

INDECISO

3

EN DESACUERDO

2

TOTALMENTE EN DESACUERDO

1

Fuente: Autores

En la Tabla 1 se puede apreciar que el puntaje mximo asignado es de 5 y el puntaje mnimo es de 1, estos valores se aplicaran a cada pregunta segn como respondan los participantes de la encuesta.

 

Resultados

Partimos de la pregunta La Seleccin y/o creacin de polticas adecuadas de ciberseguridad para el teletrabajo, permite el uso adecuado de la informacin del Rectorado de la ESPOCH?, misma que para el efecto de anlisis la plantearemos como la hiptesis alternativa.

Mientras que la Hiptesis nula La Seleccin y/o creacin de polticas adecuadas de ciberseguridad para el teletrabajo, NO permite el uso adecuado de la informacin del Rectorado de la ESPOCH?

Para determinar si esta hiptesis alternativa es viable se realiz una encuesta preliminar (Pre-Test) y la misma encuesta despus de socializacin de Polticas de Ciberseguridad para el Teletrabajo (Post-Test) a los 6 funcionarios del Rectorado de la ESPOCH, los resultados arrojados en esta son los que se detallan continuacin.

Tabla 2: Resultados del Pre-Test.

PRE-TEST

CASO

P

1

P

2

P

3

P

4

P

5

P

6

P

7

P

8

P

9

P 10

P 11

P 12

P 13

P 14

P 15

P 16

P 17

P 18

T P

P

M

%

1

3

4

3

5

3

3

5

3

3

3

4

3

5

3

3

3

3

5

64

90

0,71

2

3

4

5

4

3

4

3

4

3

4

4

4

4

4

3

3

4

4

67

90

0,74

3

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

1

4

5

85

90

0,74

4

5

3

5

5

5

5

5

3

5

3

5

5

4

4

4

3

5

5

79

90

0,88

5

3

4

4

5

3

5

4

3

3

4

5

5

5

5

5

4

5

5

77

90

0,86

6

2

3

3

3

2

3

3

3

3

3

3

4

3

3

3

3

3

3

53

90

0,59

Fuente: Autores

 

En la Tabla 2 se puede observar los puntajes obtenidos de cada una de las preguntas de la encuesta (P1 hasta P18) antes de realizar la capacitacin, donde TP es el puntaje total obtenido de la suma de los valores de cada una de las preguntas, PM es el valor mximo que se puede obtener de la suma de los valores de las preguntas (caso ideal), asumiendo que, en todas estas se escogi la opcin Totalmente de acuerdo (5P), el porcentaje (%) aparece de la divisin entre TP y PM.

Tabla 3: Resultados del Post-Test

POST-TEST

CASO

P

1

P

2

P

3

P

4

P

5

P

6

P

7

P

8

P

9

P 10

P 11

P 12

P 13

P 14

P 15

P 16

P 17

P 18

T P

P

M

%

1

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

90

90

1

2

5

4

4

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

88

90

0,98

3

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

90

90

1

4

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

90

90

1

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

90

90

1

6

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

5

90

90

1

Fuente: Autores

En la Tabla 3 se puede observar los puntajes obtenidos de cada una de las preguntas de la encuesta (P1 hasta P18) despus de realizar la capacitacin, donde TP es el puntaje total obtenido de la suma de los valores de cada una de las preguntas, PM es el valor mximo que se puede obtener de la suma de los valores de las preguntas (caso ideal), asumiendo que, en todas estas se escogi la opcin Totalmente de acuerdo (5P), el porcentaje (%) aparece de la divisin entre TP y PM.

Tabla 4: Anlisis descriptivo

ANALISIS DESCRIPTIVO

GRUPO

CASOS

PROM

MED

DESVIACIN ESTANDAR

VARIANZA

MIN

MAX

PRETEST

6

79%

74%

11%

1%

59%

94%

POST-TEST

6

99,6%

100%

0,8%

0,006%

97,8%

100%

Fuente: Autores

En la Tabla 4 se puede observar el Anlisis Descriptivo del Pre-Test y Post-Test en donde podemos resaltar los valores obtenidos de la desviacin Estndar en el Pre-Test es del 11% indicando que existe mayor dispersin en las mediciones, y que, en cambio en el Post-Test es mucho menor con tendencia a 0 con un 0,8% de dispersin.

Al observar los valores mnimos y mximos, en el Pre-Test se encuentra entre el 59% y el 94% notando de mejor manera esta dispersin en las muestras, mientras que en el Post-Test estos valores se encuentran entre el 97,8% y el 100% mostrando una mayor precisin de la muestra y con menos dispersin de estas.

Figura. 3: Histograma del Anlisis descriptivo.

Fuente: Autores

Para el anlisis estadstico se utiliz el anlisis inferencial, ya que, provee elementos que permiten la evaluacin sistemtica y eficiente de una muestra de poblacin del estudio. La prueba de rangos con signo de Wilcoxon fue el utilizado para dicho anlisis, ya que se compar los resultados obtenidos de las encuestas del Pre-Test y Post-Test y no cumple con el supuesto de normalidad, siendo la alternativa no paramtrica del mtodo t de Student para muestras relacionadas y adems que la muestra de poblacin es pequea, 6 casos, indicando que no es una distribucin normal de las muestras obtenidas.

En la siguiente tabla se muestra los valores calculados.

Tabla 5: Prueba de rangos con signo de Wilcoxon

DIFERCIA PRE-TEST Y POS-TEST

VALOR ABSOLUTO

RANGOS

-26

26

5

-21

21

4

-5

5

1

-11

11

2

-13

13

3

-37

37

6

Fuente: Autores

Primero se calcul la diferencia de los valores obtenidos entre el PT de los datos obtenidos del Pre y Post Test, tambin se muestran los valores absolutos de las diferencias encontradas, y el rango al que pertenece cada valor.

Tabla 6: clculos de valores preliminares

CALCULO DE VALORES PRELIMINARES

CASOS (n)

6

SUMA DE RANGOS POSITIVOS

0

SUMA DE RANGOS NEGATIVOS

21

Fuente: Autores

La finalidad de encontrar los rangos fue para obtener la suma de estos con respecto al signo que se obtiene de las diferencias y continuar con los clculos posteriores.

Observemos los valores de la siguiente tabla.

Tabla 7: Resultados de la prueba de rangos con signo de Wilcoxon

Estadstico (W)

0

Z(cal)=

-2,201398157

NIVEL DE SIGNIFICANCIA

0,05

Fuente: Autores

En la tabla 7 se muestran los valores del estadstico W, del valor Z calculado y el nivel de significancia con el que se trabaj en este anlisis.

De donde se obtuvo un valor crtico y un P valor mostrados en la siguiente tabla

 

Tabla 8: Valor crtico y P Valor de la prueba de rangos con signo de Wilcoxon

RESULTADOS

VALOR CRITICO

1,96

P VALOR

0,0139

Fuente: Autores

Al arrojar en los clculos un valor crtico de 1,96 y un P valor de 0.0139 se puede decir que la hiptesis nula es rechazada, dando paso a que la hiptesis alternativa es viable.

Las diferencias estadsticamente son significativas, tomando en cuenta que el personal encuestado tiene cierto conocimiento previo en seguridad de la informacin no de una forma tcnica, pero si en nociones bsicas del tema.

 

Discusin y conclusiones

En el anlisis realizado se demuestra una diferencia significativa del antes y despus en reflejado en el P Valor, donde, este es menor al valor de significancia demostrando la propuesta de polticas de ciberseguridad para el teletrabajo permite el uso adecuado de la informacin del Rectorado de la ESPOCH.

Luego de haber aplicado la propuesta de polticas de ciberseguridad para el teletrabajo en el Rectorado de la ESPOCH, se puede afirmar que los funcionarios de esta dependencia se vuelven menos vulnerables a posibles ataques cibernticos.

En el anlisis de resultados se observa que los valores obtenidos en el pretest son altos, al observar la valoracin dada para los tems se nota que el valor asignado para indeciso es de 3 y este, al ser el ms escogido en la encuesta previa en las preguntas planteadas, hace que los valores obtenidos sean altos, a ms de un conocimiento previo referente a seguridad de la informacin, no evita que la propuesta sea viable.

Las prcticas de polticas orientadas a ciberseguridad para el teletrabajo han hecho que los funcionarios del Rectorado de la ESPOCH conozcan de los riegos que conlleva el teletrabajo y las formas que se pueden evitar posibles ataques y la prdida de la informacin de esta dependencia.

Si bien las polticas de ciberseguridad para el teletrabajo estn bajo la norma ISO/IEC 27001, ests no estn complementadas con las buenas prcticas o controles establecidos en la norma ISO/IEC 27002 siendo una limitante en este estudio.

Referencias

1.      Adeva, A., & Ortiz, J. M. V. (2020). Teletrabajo seguro, el catalizador digital de la transformacin socioeconmica. Revista SIC: ciberseguridad, seguridad de la informacin y privacidad, 29(140), 62-63.

2.      Andrs, B. G. C. (s. f.). SEGURIDAD INFORMTICA PARA EL TELETRABAJO EN EMPRESAS PRIVADAS EN COLOMBIA. 5.

3.      Arroyo, S. C. (2020). Estudios criminolgicos contemporneos (IX): La Cibercriminologa y el perfil del ciberdelincuente(*). 43.

4.      Ballestero, F. (2020). La ciberseguridad en tiempos difciles. Boletn Econmico de ICE, 3122. https://doi.org/10.32796/bice.2020.3122.6993

5.      BID - OEA, B.-O. (2020). CIBERSEGURIDAD. Reporte de ciberseguridad 2020. https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf

6.      Carrillo, J. J. M., Zambrano, N. A., Zambrano, T. J. L., & Bravo, M. Z. (2020). Proceso de Ciberseguridad: Gua Metodolgica para su implementacin. Revista Ibrica de Sistemas e Tecnologias de Informao, (E29), 41-50.

7.      CiberSeguridad. (2021, abril). Ciberseguridad y Teletrabajo. https://ciberseguridad.siscomelectric.com

8.      Cifuentes-Leiton, D. M., & Londoo-Cardozo, J. (2020). Teletrabajo: El problema de la institucionalizacin. Telecommuting: The problem of institutionalization. 9.

9.      COVID-19: cronologa de la actuacin de la OMS. (2020, 28 abril). OMS. https://www.who.int/es/news/item/27-04-2020-who-timeline---covid-19

10.  Gayo, M. R. (2021). Ciberseguridad en el Trabajo en Movilidad ya Distancia (Teletrabajo). Revista Derecho social y empresa, (14), 6.

11.  International Labour Office, ILO Office in Argentina, Argentina, Ministerio de Trabajo, E. y S. S., & Unin Industrial Argentina. (2011). Manual de buenas prcticas en teletrabajo. OIT.

12.  Kaspersky, K. (2021). Lider en seguridad. Kaspersky. https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security

13.  Lema, L. L. (2020). La gestin de la informacin durante etapas de teletrabajo en la poca de la COVID-19. P erspectivas, (3).

14.  Martn, F. A. (2020). Ciberseguridad en tiempos de pandemia: repaso a la COVID-19. Anlisis del Real Instituto Elcano (ARI), (67), 1.

15.  Mertens, D.M. (2010). Research and evaluation in education and psychology: integrating diversity with quantitative, qualitative, and mixed methods. (3rd ed.). Thousand Oaks, CA: Sage Publications.

16.  Padilla, R., Cadena, S., Enrquez, R., Crdova, J., & Llorens, F. (2017). Uetic, 193. Retrieved from https://www.cedia.edu.ec/dmdocuments/publicaciones/Libros/ UETIC_2017.pdf

17.  Rodrguez, D. R., & de, M. (s. f.). Teletrabajo, acceso a Internet y apoyo a la digitalizacin en el contexto del Covid-19. 19.

18.  Wilcoxon, Frank (Dec 1945). "Individual comparisons by ranking methods". Biometrics Bulletin. 1 (6): 8083

19.  Yin, Robert K. (1994). Case Study Research: Design and Methods. Sage Publications, Thousand Oaks, CA.

 

 

 

 

 

 

2021 por los autores. Este artculo es de acceso abierto y distribuido segn los trminos y condiciones de la licencia Creative Commons Atribucin-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/).

Métricas del Artículos

Cargando Métricas.....

Metrics powered by MI WEB PRO

Enlaces de Referencia

  • Por el momento, no existen enlaces de referencia


Copyright (c) 2021 Galo Iván Vilcacundo-Reinoso, Omar S. Gómez

URL de la Licencia: https://creativecommons.org/licenses/by-nc-sa/4.0/deed.es

Polo de Capacitación, Investigación y Publicación (POCAIP)

Dirección: Ciudadela El Palmar, II Etapa,  Manta - Manabí - Ecuador.

Código Postal: 130801

Teléfonos: 056051775/0991871420

Email: [email protected]

URL: https://www.dominiodelasciencias.com/

DOI: https://doi.org/10.23857/pocaip