Ciencias sociales y polticas
Artculo de investigacin
Propuesta de polticas de Ciberseguridad
para el Teletrabajo. Caso de estudio
Rectorado ESPOCH
Proposal of Cybersecurity policies for Teleworking. ESPOCH Rector's
case study
Proposta de polticas de Cibersegurana
para Teletrabalho. Estudo
de caso do Reitor da ESPOCH
Galo Ivn Vilcacundo-Reinoso I [email protected] https://orcid.org/0000-0001-8210-9111 Omar S. Gmez II [email protected]
https://orcid.org/0000-0002-2951-3833
Correspondencia: [email protected]
*Recibido: 25 de agosto 2021 *Aceptado: 15 de septiembre de 2021 * Publicado: 06 de octubre de 2021
I.
Maestrante,
Pontificia Universidad Catlica del Ecuador, Sede Ambato Tcnico Docente,
Escuela Superior Politcnica de Chimborazo, Riobamba, Ecuador.
II.
GrIISoft Research Group, Escuela Superior
Politcnica de Chimborazo-Pontificia Universidad Catlica del Ecuador, Sede
Ambato, Ecuador.
Resumen
El distanciamiento social causado por la actual
pandemia se ha hecho parte de la vida cotidiana de las personas, obligando a
que las instituciones pblicas y privadas opten por la modalidad de teletrabajo
para cumplir sus actividades. Esto hace necesaria la prctica de polticas
adecuadas de Ciberseguridad a toda persona que enva
o recibe informacin por medio de Internet. En el presente trabajo se presenta
una propuesta de polticas de ciberseguridad
orientadas a personas que realizan teletrabajo. Para evaluar la propuesta antes
mencionada se realiz un estudio de caso con personas que hacen teletrabajo y
que pertenecen al rectorado de la Escuela Superior Politcnica de Chimborazo
(ESPOCH). los resultados del estudio de caso sugieren que la implementacin de
polticas de ciberseguridad para el teletrabajo
permite el uso adecuado de la informacin del Rectorado de la ESPOCH.
Palabras clave: Ciberseguridad;
teletrabajo; polticas.
Abstract
The social distancing caused by the current pandemic
has become part of people's daily lives, forcing public and private
institutions to opt for teleworking to carry out their activities. This makes
it necessary to practice adequate Cybersecurity
policies for anyone who sends or receives information through the Internet. This
paper presents a proposal for cybersecurity policies
aimed at people who telework. To evaluate the aforementioned proposal, a case
study was carried out with people who do telework and who belong to the Rector
of the Higher Polytechnic School of Chimborazo (ESPOCH). The results of the
case study suggest that the implementation of cybersecurity
policies for telework allows the proper use of the information from the ESPOCH Rectorate.
Keywords: Cybersecurity;
telecommuting; policies.
Resumo
O distanciamento social
provocado pela atual pandemia passou
a fazer parte do cotidiano das pessoas,
obrigando instituies
pblicas e privadas a optarem pelo teletrabalho para o desempenho de
suas atividades. Isso torna necessrio praticar polticas de segurana
ciberntica adequadas para qualquer
pessoa que envie ou receba informaes pela
Internet. Este artigo apresenta uma
proposta de polticas de segurana
ciberntica voltadas para pessoas
que fazem teletrabalho.
Para avaliar a referida proposta,
foi realizado um estudo de caso com pessoas que fazem teletrabalho e que pertencem ao Reitor da Escola
Superior Politcnica de Chimborazo (ESPOCH). Os resultados do estudo de caso sugerem que a implementao de polticas de cibersegurana
para teletrabalho permite o uso adequado
das informaes da Reitoria
da ESPOCH.
Palavras-chave: Cibersegurana;
teletrabalho; polticas.
Introduccin
La crisis sanitaria que comienza a afectar al
mundo entero debido a la propagacin del virus denominado SARS-CoV-2, declarada
pandemia por la Organizacin Mundial de la Salud (OMS) el 11 de marzo de 2020 (COVID-19:
cronologa de la actuacin de la OMS, 2020, 28 abril), hace que la
comunicacin y dems actividades cotidianas se las maneje de forma masiva por
Internet exponindonos a todos los peligros que este conlleva. Martn, F. A.
(2020) menciona que tenemos memoria corta en temas de ciberseguridad,
aduciendo que existen actores que generan inseguridad en el ciberespacio, y que
estos aprovechan cualquier oportunidad para hacer dao y lucrar de esta adems
que aprovechando la confusin creada por el teletrabajo masivo y las
dificultades para parchear los terminales conectados remotamente, los ciberataques pasaron de algunos centenares de miles por da
a casi un milln en algunos pases como Espaa y Estados Unidos
Los avances tecnolgicos y el mundo en el que nos
desenvolvemos han modificado las relaciones sociales tradicionales, haciendo
que con teletrabajo se garantice y obtenga los resultados deseados por parte de
las personas que laboran en las instituciones, sin la presencia ni el
cumplimiento de horarios rgidos; es as como, esta modalidad, que si bien es
cierto no es nuevo como oferta laboral, hace que la persona se relacione de
otra manera con la institucin. (Cifuentes-Leiton &
Londoo-Cardozo, 2020)
En la actualidad el distanciamiento social, por
la crisis del Covid-19 se ha convertido en una norma de convivencia (Ballestero, 2020), el teletrabajo se transforma en la opcin prioritaria a
nivel pblico como privado para dar continuidad a sus actividades.
En Ecuador, el Comit de Operaciones de
Emergencia Nacional (COE) del Ecuador, con fecha 28 de abril prioriza el
teletrabajo como forma de desenvolvimiento laboral en todas las instituciones
pblicas y privadas del pas, (Resoluciones COE Nacional 28 de abril 2020
Servicio Nacional de Gestin de Riesgos y Emergencias, 2020), hace que estas
adopten esta modalidad para dar continuidad a sus actividades.
En la Escuela Superior Politcnica de Chimborazo
(ESPOCH) el trabajo es presencial tanto en las labores administrativas como
acadmicas, y a partir de la declaracin de Pandemia a causa de la COVID-19, en
un giro inesperado se comienza a teletrabajar.
En la ESPOCH, la mayora de los procesos
administrativos se los realiza por medio del Internet y gran parte de la
documentacin ya se encuentra en forma digital, haciendo que, la informacin
salga de la seguridad del rectorado de la Institucin y comience a ser
manejada desde los hogares de los funcionarios; donde no existe una
infraestructura de red administrada y, tampoco personal tcnico que pueda
brindar soporte apropiado en el uso de esta.
En este contexto, muchas veces la falta de
experiencia en temas de ciberseguridad por parte de
los funcionarios en sus hogares, hacen que se cometan ciertos errores que
pueden afectar sea a la Confidencialidad, Integridad o Disponibilidad de la
informacin manejada.
Por tal razn, la motivacin del presente trabajo
es proponer una serie de polticas de Ciberseguridad
en el mbito de Teletrabajo y evaluar la propuesta en el estudio de caso de los
funcionarios del Rectorado de la ESPOCH.
Trabajos relacionados
La globalizacin del mundo hace que nuevas
tendencias aparezcan en todos los mbitos, es as como, el auge de las
Tecnologas de la informacin y Comunicacin (TIC) ha inspirado a que el
teletrabajo se convierta en una alternativa bastante atractiva para el
desenvolvimiento profesional, haciendo que la continuidad de las actividades de
una entidad mantenga el empleo que se puso en riesgo a causa del confinamiento
por el Covid-19 (Diego Rodrguez, 2020), y que el conocimiento sobre temas de ciberseguridad sean necesario para evitar que la triada de
la informacin sean vulneradas.
Segn Kaspersky, K. (2021) La ciberseguridad
es la prctica de defender las computadoras, los servidores, los dispositivos
mviles, los sistemas electrnicos, las redes y los datos de ataques maliciosos.
Tambin se conoce como seguridad de tecnologa de la informacin o seguridad de
la informacin electrnica. El trmino se aplica en diferentes contextos, desde
los negocios hasta la informtica mvil.
Para el Banco Internacional de Desarrollo (BID) y
la Organizacin de los estados Americanos (OEA) en su publicacin de ciberseguridad 2020, BID - OEA, B.-O. (2020), el Ecuador,
como estado, aun no cuenta con una estrategia slida
de Ciberseguridad, se ha logrado avances
significativos en contra de amenazas en la red, pero an no son suficientes,
uno de estos avances es el EcuCERT, denominado el
equipo de respuesta ante incidentes cibernticos, mismo que se encuentra a
cargo de la Agencia de Regulacin y Control de las Telecomunicaciones
(ARCOTEL).
En la actualidad, menciona Arroyo (2020), los delitos cometidos por los ciberdelincuentes
van desde ataques a la propiedad intelectual hasta ciberacoso
entre otros, bajo este apartado en un ataque buscan apoderarse de credenciales
que les permitan tener acceso a informacin privilegiada de distinta ndole de
las entidades, sea para beneficio propio o poder obtener algn beneficio con
terceros.
Bajo estas afirmaciones se hace necesarias la
creacin o implementacin de polticas de ciberseguridad
en el mbito de teletrabajo para que los funcionarios del Rectorado de la
ESPOCH efecten un correcto manejo de la informacin teletrabajando.
A continuacin, se describe brevemente trabajos
relacionados y que han sido desarrollados por investigadores que de una u otra
forma han utilizado ciberseguridad para la proteccin
de la informacin.
Carrillo, J. J. M., Zambrano, N. A., Zambrano, T.
J. L., & Bravo, M. Z. 2020, propone la implementacin de ciberseguridad basado en 3 mbitos: Auditora interna en
los procesos de las reas de Redes, Desarrollo de Software y Documentacin;
Anlisis de Vulnerabilidades e Identificacin de Riesgos, mismos que van
encaminados a la proteccin de infraestructura y software, sin mencionar el
mbito de teletrabajo.
Gayo, M. R. 2021,
habla sobre definiciones de Teletrabajo y Ciberseguridad,
donde se indica que la empresa debe estar atenta a los posibles riesgos que
esta modalidad de trabajo conlleva, tambin da a conocer los riesgos a los
cuales se est expuesto y entrega alternativas para teletrabajar
de manera segura mediante el uso de una VPN.
Adeva, A., & Ortiz, J.
M. V. 2020, menciona que con la pandemia del COVID 19 el teletrabajo creci
considerablemente, y con este el porcentaje de ciberataques.
Al utilizar software para interconectarse tambin se busc como hacer seguras
estas interconexiones haciendo de las VPNs una
alternativa de proteccin.
La ciberseguridad,
segn Ballestero, F. 2020, debe minimizar los riesgos de prdida de la
informacin y muestra 3 etapas para lograr este cometido, prevencin, deteccin
y control y recuperacin, mostrando un ecosistema de ciberseguridad
basados en una interaccin continua entre la administracin pblica, empresas
proveedoras de productos y servicios, empresas, instituciones y ciudadanos
demandantes, universidades, medios de comunicacin e instituciones diversas.
Lema, L. L, 2020,
menciona que los delitos cibernticos
podran duplicarse durante
el perodo del brote de
coronavirus y no solo por las estafas de phishing ,
sino tambin por los ataques de ransomware , debido
al acceso remoto inseguro a las redes corporativas, por la falta de formacin
de los teletrabajadores que exponen sus credenciales
de inicio de sesin de los equipos de ncleo familia, as como, por la
utilizacin de los equipos informticos por todos ellos comprometiendo los
archivos e informacin de la institucin a la que presta sus servicios, para lo
cual propone una metodologa de anlisis de vulnerabilidades en 6 etapas bajo
un proceso del Instituto Nacional de Ciberseguridad
de Espaa.
Y cerrando esta seccin un estudio realizado por
CEDIA informa que tan slo el 8% tiene una implementacin completa de polticas
de seguridad en las universidades del pas, el 60% lo tena de manera parcial y
un 32% no contaba con dichas polticas, mostrando el bajo inters sobre los
temas de ciberseguridad de las instituciones, (Padilla, R., Cadena, S., Enrquez, R., Crdova, J., &
Llorens, F. 2017).
Si bien se han encontrado trabajos que cuentan
sus experiencias en la utilizacin de metodologas, guas o procedimientos de ciberseguridad, en este contexto no se han encontrado
trabajos que aborden polticas de ciberseguridad en
el mbito del teletrabajo.
Polticas de ciberseguridad para el teletrabajo
Para la ISO-27001, una afirmacin de poltica
define un compromiso general, y debe incorporar objetivos de seguridad de la
informacin o facilitar su desarrollo, adems, la intencin de la seguridad de
la informacin es proteger la confidencialidad, integridad y disponibilidad de
la informacin.
Es muy importante definir polticas de seguridad
interna de una institucin sea esta pblica o privada con la finalidad de
estandarizar las condiciones en las que las personas van a llevar a cabo sus
labores cotidianas con la modalidad de teletrabajo.
Las polticas definidas deben resguardar al menos
lo siguiente:
Los perfiles de usuarios para el teletrabajo definiendo
los permisos de acceso.
La posible utilizacin de equipos personales (BYOD) para
el teletrabajo y las debidas medidas de seguridad.
Poltica para el almacenamiento de la informacin de la
institucin.
Procedimiento para proteger fsicamente los accesos a los
equipos de cmputo de la institucin.
Bajo la norma NTC-ISO/IEC ISO27001 la aplicacin
de los controles debe garantizar usos aceptables del manejo adecuado de la
informacin en condiciones de teletrabajo. (Andrs, 2015.)
A continuacin, se listan una serie de polticas
que pueden ayudar al uso adecuado de la informacin en condiciones de
teletrabajo para los funcionarios del Rectorado de la ESPOCH.
Equipos de cmputo y
sistemas operativos
Los equipos proporcionados por la institucin o
equipos de uso personal deben cumplir con parmetros mnimos de seguridad, y al
no cumplirlos sern catalogados como equipos no confiables, en la actualidad no
se puede decir que un equipo 100% seguro pero si se puede establecer una lnea
base para determinar la confiabilidad del equipo de cmputo (Andrs, 2015.)
Los requerimientos mnimos para asegurar un
equipo de cmputo son:
Equipos de confianza
Proteger el acceso de la maquina mediante una contrasea
en BIOS
Sistema operativo y aplicaciones actualizadas.
Software antivirus, antimalware, antispyware.
Perfiles de usuario para sin privilegios para instalacin
de software y modificacin de configuraciones.
Configuraciones seguras para los navegadores de internet
Bloqueo automtico por inactividad.
Control de acceso slido.
Cifrado de disco duro.
Verificacin peridica de las reglas de seguridad de los
equipos
Equipos no confiables
En caso de tener mltiples perfiles de usuario en
el sistema operativo, debe existir un perfil protegido con contrasea robusta y
la informacin que contiene este perfil no debe ser accedida por otros perfiles
en la misma mquina.
En lo posible emplear arranque dual el cual
permite dos sistemas operativos en la misma maquina uno destinado para
actividades de teletrabajo y el segundo para fines personales. (Andrs, 2015.)
BYOD (Bring Your Own
Device)
Es una modalidad donde las instituciones optan
por reducir costos y la administracin de los equipos de cmputo permitiendo al
empleado mezclar su vida laboral y personal con el objetivo de aumentar la
productividad. Este modelo lleva a importantes problemas de seguridad ya que no
existe administracin o control por el departamento TI, para lo cual se debe
considerar lo siguiente:
Polticas de seguridad indicando el uso adecuado de los
equipos y de la informacin.
Clusula de responsabilidades en el manejo de la
informacin de la institucin.
Comunicaciones
La infraestructura en las comunicaciones brinda
grandes beneficios en la disponibilidad de aplicativos y de la informacin de
las compaas, pero este denota riesgos en la seguridad ya que los mtodos de
acceso en las redes sugieren miles de conexiones que pueden ser vectores de
ataque.
La seguridad en las comunicaciones debe estar
dirigida en combatir o contrarrestar una o varias amenazas ya sea inmediato,
latente o potencial que pretendan atentar con los principios de
confidencialidad, disponibilidad e integridad de la informacin.
La creacin de un modelo de seguridad para las
comunicaciones debe identificar los componentes o caractersticas de las redes
de comunicacin, existen tres tipos de redes. (Andrs, 2015.)
Redes no controladas
Este tipo de red es aquella que no puede ser
gestionada o controlada por el departamento de TI Institucional.
Red controlada
Este tipo de red es toda aquella que se encuentra
bajo el control del departamento TI institucional.
Red en mbito protegido
Este tipo de red se encuentra bajo la
conceptualizacin de la red controlada, pero adiciona componentes
criptogrficos.
Estos componentes de criptografa punto a punto
se consiguen mediante la configuracin de VPNs.
VPN (Virtual Private Network)
Esta configuracin brinda beneficios para los
administradores de TI ya que permite una administracin centralizada evitando
abrir accesos a cada una de las aplicaciones con sus consiguientes riesgos de
ataque y sus controles de seguridad.
Otra de las bondades de las redes VPN radica en
su robustez y seguridad, para que utilicen autenticacin fuerte de doble factor
el cual consiste en combinar certificados de seguridad con una autenticacin
mediante contrasea. (Andrs, 2015.)
Seguridad de la
Informacin
La seguridad de la informacin es el conjunto de
medidas tcnicas, organizativas y legales que permiten a las instituciones
asegurar la confidencialidad, integridad y disponibilidad de su sistema de
informacin la definicin brindada por el estndar para la seguridad de la
informacin ISO/IEC 27001, aprobado y publicado en octubre de 2005 por la ISO
(International Organization for
Standardization) y por la comisin IEC (International
Electrotechnical Commission).
Al establecer los controles de la familia de la
norma NTC-ISO/IEC ISO27000 permite asegurar el activo ms importante de una
organizacin como lo es la informacin. (Andrs, 2015.)
Copias de seguridad
En el entorno de teletrabajo no se aplican
mejores prcticas en respaldar la informacin.
El mtodo de backup,
vara de acuerdo con la forma de teletrabajo:
Escritorios remotos
Perfil mvil, o sincronizacin automtica, mediante
software
Sincronizacin manual.
Copias de seguridad offline
Sistemas de almacenamiento
en lnea
Andrs, (2015.) hace mencin que los mltiples proveedores de
almacenamiento en lnea; entregan beneficios en la portabilidad, disponibilidad
de la informacin en diferentes dispositivos, control de versiones, acceso
controlado a otros usuarios, suprimiendo el uso de medios extrables, el
software de sincronizacin viene incluido en la mayora de los sistemas
operativos. A pesar de todos los beneficios, se deben considerar los peligros
de este tipo de almacenamiento.
Valorar el tipo de informacin que ser guardada en los
almacenamientos en lnea ya que si la plataforma es vulnerable a un ataque
podra ser posible acceder a la informacin por terceros.
La informacin puede ser accedida por los funcionarios de
la institucin o gobierno donde se encuentre alojada la plataforma.
El cifrado de la informacin es delegada a la plataforma
de almacenamiento lo cual no permite tener control sobre esto.
La informacin almacenada en sistemas en lnea puede
incurrir en incumplimientos de normativas o leyes de protecciones de datos.
No descuidar los contratos de prestacin de servicio que
ofrecen estas plataformas ya que no siempre se comprometen a garantizar la
disponibilidad de la informacin, pudiendo tener fallos tcnicos que les dejen
sin conectividad durante das, o pudiendo llegar al extremo de cerrar por temas
legales con el pas donde se aloja la plataforma
Seguridad del Talento
Humano
Andrs, (2015.) en su investigacin indica que el talento humano quiz
es el eslabn ms crtico al momento de garantizar las tres caractersticas de
la seguridad de la informacin: integridad, confidencialidad y disponibilidad,
por lo tanto, deben adoptarse controles y prcticas de gestin que ayuden a
mitigar el impacto de los riesgos que por este factor se pudieran materializar.
Uno de los pilares bsicos de la norma ISO 27001 es la seguridad sujetada a los
recursos humanos, que debe enfocarse desde la definicin de las funciones y los
recursos hasta la finalizacin de la relacin laboral, y en el desarrollo
normal de sus funciones.
Con la definicin de sus funciones a desempear
se asegura que todo el recurso humano en el modo de teletrabajo de la
institucin entienda sus responsabilidades y estn en las condiciones para
desarrollarlos; de esta forma se pueden reducir riesgos de fraude y uso
inadecuado de los activos de informacin de la institucin.
Es necesario establecer los procedimientos para
garantizar que el retiro de la institucin por parte del recurso humano sea
controlado para garantizar la devolucin de todo el equipamiento y la
eliminacin de las credenciales de acceso a los sistemas.
Lo ms recomendable es remover, en primer lugar,
el acceso a los sistemas institucionales, incluyendo las cuentas de correo
electrnico para garantizar que no se extraiga informacin confidencial,
respetando las consideraciones de privacidad que apliquen.
Todo lo relacionado con la finalizacin de
contrato debera estar formalizado para incluir el retorno previo del software,
documentos institucionales, equipos, dispositivos mviles, tarjetas de acceso e
informacin guardada en medios electrnicos.
Ingeniera social
En la actualidad la ingeniera social es uno de los
mtodos ms utilizados para tratar de vulnerar la seguridad de las personas, se
logra por medio de manipulacin psicolgica y habilidades sociales con el
objetivo de obtener algn tipo de informacin sensible o til de la institucin
o empleado.
La ingeniera social tiene diversas formas de
actuar:
Tcnicas Pasivas: Basadas en observar y analizar a los
empleados, permitiendo crear un perfil psicolgico que permite abordar al
empleado.
Tcnica no presencial: Se emplea medios de comunicacin
como telfono, correo electrnico.
Tcnica presencial no agresiva: Mediante el seguimiento,
vigilancia de domicilios, bsqueda en la basura del empleado con el fin de
recolectar la mayor cantidad de informacin.
Tcnicas activas: Mediante la suplantacin de identidad, personalizaciones
de otros empleados y presin psicolgica
Como menciona, Andrs, (2015.) Para implementar defensas ante amenazas de ingeniera
social se debe tener en cuenta los siguientes parmetros:
Disear y efectuar polticas de seguridad las cuales
deben darse a conocer a los funcionarios donde ellos adquieran el conocimiento
y compromisos por parte de ellos.
Las campaas de concienciacin son muy importantes
mediante aprendizaje estructurado, reuniones menos formales, campaas con
psteres u otros eventos para anunciar las directivas de seguridad. Cuanto ms
refuerce los mensajes de sus directivas, ms exitosa ser su implementacin.
Deben existir protocolos reactivos en los procedimientos
relacionados con la directiva de seguridad, registrando los posibles ataques de
ingeniera social para prevenir posibles ataques.
Si las
propuestas de seguridad afectan negativamente a la agilidad laboral de la
institucin, es probable se deba evaluar el riesgo. Se debe lograr un
equilibrio entre la seguridad y la operatividad.
Estudio de caso
Este artculo se basa en la investigacin de
estudio de caso que, segn Mertens (2010); un grupo
de personas es visto y analizado como una entidad, as como sostiene Yin (1994),
el estudio de caso es una indagacin profunda sobre un fenmeno contextualizado
en el mundo real, en este contexto el grupo de estudio fue el personal
administrativo que labora en la oficina del Rectorado de la ESPOCH (6
personas), donde se efectu a cada uno de ellos una encuesta de 18 preguntas.
Para el desarrollo del
trabajo de investigacin se destacan 4 fases que a continuacin se resumen en
el siguiente grfico.
Figura. 1: Fases de la
Investigacin.
Fase 1. Presentacin de la solicitud para realizar la investigacin del
estudio de caso. Fase 2. Encuesta sobre el conocimiento previo de ciberseguridad para el teletrabajo a los funcionarios
de la dependencia. Fase 3. Capacitacin sobre la propuesta de polticas de ciberseguridad Fase 4. Encuesta sobre el aprendizaje de ciberseguridad para el teletrabajo a los funcionarios
de la dependencia.
Fuente: Autores
Fase 1. Se convers
directamente
El Dr. Rector de la
ESPOCH con la propuesta de investigacin, dando su aprobacin para realizar la
misma.
Fase 2. Para la toma de
muestras iniciales se realiz la encuesta de 18 preguntas enfocadas en 4
aspectos que son: Equipos de Cmputo y Sistemas Operativos, Comunicaciones,
Seguridad de la Informacin y el Talento Humano todo en torno a la temtica de ciberseguridad y teletrabajo a los 15 das del mes de marzo
del 2021.
Fase 3. Se promocion el
evento de capacitacin por medio del portal web CiberSeguridad. (2021, abril), donde se mostr
definiciones sobre ciberseguridad, teletrabajo y la
temtica de capacitacin, y en la misma web los funcionarios de esta
dependencia se inscribieron para recibir la preparacin, pgina que se
encuentra activa desde el 01 de abril de 2021. En la Figura 2 se muestra parte
de la web en mencin.
Figura. 2: Portal web
Fuente: (CiberSeguridad.. 2021, abril)
La capacitacin se
llev a cabo en 2 das, 8 y 9 de abril de 2021, que, por causas de la pandemia,
se lo realiz por la plataforma virtual Microsoft Teams
donde se desarrollaron los temas propuestos en la Fase 2, contando con la
aceptacin de los funcionarios del rectorado de la ESPOCH, como se observa en
la Figura 3.
Figura. 3:
Capacitacin va
Microsoft Teams Polticas de Ciberseguridad.
Fuente: Autores
Fase 4. Se utiliza la misma
encuesta de la fase 2 para recolectar las muestras finales y poder realizar el
anlisis, esta encuesta se la realiza el viernes 25 de abril de 2021.
El enfoque aplicado en la investigacin es
cuantitativo, y se utiliz la escala de Likert para dar una valoracin a las
respuestas obtenidas en las encuestas previa y post capacitacin, como se
muestra en la tabla 1.
Tabla 1: Escala de Likert para valoracin
del Test
ITEM |
PUNTAJE |
TOTALMENTE DE ACUERDO |
5 |
DE ACUERDO |
4 |
INDECISO |
3 |
EN DESACUERDO |
2 |
TOTALMENTE EN DESACUERDO |
1 |
Fuente: Autores
En la Tabla 1 se puede
apreciar que el puntaje mximo asignado es de 5 y el puntaje mnimo es de 1,
estos valores se aplicaran a cada pregunta segn como respondan los
participantes de la encuesta.
Resultados
Partimos de la pregunta La
Seleccin y/o creacin de polticas adecuadas de ciberseguridad
para el teletrabajo, permite el uso adecuado de la informacin del Rectorado de
la ESPOCH?, misma que para el efecto de anlisis la plantearemos como la
hiptesis alternativa.
Mientras que la Hiptesis nula
La Seleccin y/o creacin de polticas adecuadas de ciberseguridad
para el teletrabajo, NO permite el uso adecuado de la informacin del Rectorado
de la ESPOCH?
Para determinar si esta
hiptesis alternativa es viable se realiz una encuesta preliminar (Pre-Test) y
la misma encuesta despus de socializacin de Polticas de Ciberseguridad
para el Teletrabajo (Post-Test) a los 6 funcionarios del Rectorado de la
ESPOCH, los resultados arrojados en esta son los que se detallan continuacin.
Tabla 2: Resultados del Pre-Test.
PRE-TEST |
|||||||||||||||||||||
CASO |
P 1 |
P 2 |
P 3 |
P 4 |
P 5 |
P 6 |
P 7 |
P 8 |
P 9 |
P 10 |
P 11 |
P 12 |
P 13 |
P 14 |
P 15 |
P 16 |
P 17 |
P 18 |
T P |
P M |
% |
1 |
3 |
4 |
3 |
5 |
3 |
3 |
5 |
3 |
3 |
3 |
4 |
3 |
5 |
3 |
3 |
3 |
3 |
5 |
64 |
90 |
0,71 |
2 |
3 |
4 |
5 |
4 |
3 |
4 |
3 |
4 |
3 |
4 |
4 |
4 |
4 |
4 |
3 |
3 |
4 |
4 |
67 |
90 |
0,74 |
3 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
1 |
4 |
5 |
85 |
90 |
0,74 |
4 |
5 |
3 |
5 |
5 |
5 |
5 |
5 |
3 |
5 |
3 |
5 |
5 |
4 |
4 |
4 |
3 |
5 |
5 |
79 |
90 |
0,88 |
5 |
3 |
4 |
4 |
5 |
3 |
5 |
4 |
3 |
3 |
4 |
5 |
5 |
5 |
5 |
5 |
4 |
5 |
5 |
77 |
90 |
0,86 |
6 |
2 |
3 |
3 |
3 |
2 |
3 |
3 |
3 |
3 |
3 |
3 |
4 |
3 |
3 |
3 |
3 |
3 |
3 |
53 |
90 |
0,59 |
Fuente: Autores
En la Tabla 2 se puede
observar los puntajes obtenidos de cada una de las preguntas de la encuesta (P1
hasta P18) antes de realizar la capacitacin, donde TP es el puntaje total
obtenido de la suma de los valores de cada una de las preguntas, PM es el valor
mximo que se puede obtener de la suma de los valores de las preguntas (caso
ideal), asumiendo que, en todas estas se escogi la opcin Totalmente de
acuerdo (5P), el porcentaje (%) aparece de la divisin entre TP y PM.
Tabla 3: Resultados del Post-Test
POST-TEST |
|||||||||||||||||||||
CASO |
P 1 |
P 2 |
P 3 |
P 4 |
P 5 |
P 6 |
P 7 |
P 8 |
P 9 |
P 10 |
P 11 |
P 12 |
P 13 |
P 14 |
P 15 |
P 16 |
P 17 |
P 18 |
T P |
P M |
% |
1 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
90 |
90 |
1 |
2 |
5 |
4 |
4 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
88 |
90 |
0,98 |
3 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
90 |
90 |
1 |
4 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
90 |
90 |
1 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
90 |
90 |
1 |
6 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
5 |
90 |
90 |
1 |
Fuente: Autores
En la Tabla 3 se puede
observar los puntajes obtenidos de cada una de las preguntas de la encuesta (P1
hasta P18) despus de realizar la capacitacin, donde TP es el puntaje total
obtenido de la suma de los valores de cada una de las preguntas, PM es el valor
mximo que se puede obtener de la suma de los valores de las preguntas (caso
ideal), asumiendo que, en todas estas se escogi la opcin Totalmente de
acuerdo (5P), el porcentaje (%) aparece de la divisin entre TP y PM.
Tabla 4: Anlisis descriptivo
ANALISIS DESCRIPTIVO |
|||||||
GRUPO |
CASOS |
PROM |
MED |
DESVIACIN ESTANDAR |
VARIANZA |
MIN |
MAX |
PRETEST |
6 |
79% |
74% |
11% |
1% |
59% |
94% |
POST-TEST |
6 |
99,6% |
100% |
0,8% |
0,006% |
97,8% |
100% |
Fuente: Autores
En la Tabla 4 se puede
observar el Anlisis Descriptivo
del Pre-Test y Post-Test en donde podemos resaltar los valores obtenidos de la
desviacin Estndar en el Pre-Test es del 11% indicando que existe mayor
dispersin en las mediciones, y que, en cambio en el Post-Test es mucho menor
con tendencia a 0 con un 0,8% de dispersin.
Al observar los valores
mnimos y mximos, en el Pre-Test se encuentra entre el 59% y el 94% notando de
mejor manera esta dispersin en las muestras, mientras que en el Post-Test
estos valores se encuentran entre el 97,8% y el 100% mostrando una mayor
precisin de la muestra y con menos dispersin de estas.
Figura. 3:
Histograma del Anlisis
descriptivo.
Fuente: Autores
Para el anlisis estadstico se
utiliz el anlisis inferencial, ya que, provee elementos
que permiten la evaluacin sistemtica y eficiente de una muestra de poblacin
del estudio. La prueba de rangos con signo de Wilcoxon
fue el utilizado para dicho anlisis, ya que se compar los resultados
obtenidos de las encuestas del Pre-Test y Post-Test y no cumple con el supuesto
de normalidad, siendo la alternativa no paramtrica del mtodo t de Student para muestras relacionadas y adems que la muestra
de poblacin es pequea, 6 casos, indicando que no es una distribucin normal
de las muestras obtenidas.
En la siguiente tabla se muestra los
valores calculados.
Tabla 5: Prueba de rangos con
signo de Wilcoxon
DIFERCIA PRE-TEST Y POS-TEST |
VALOR ABSOLUTO |
RANGOS |
-26 |
26 |
5 |
-21 |
21 |
4 |
-5 |
5 |
1 |
-11 |
11 |
2 |
-13 |
13 |
3 |
-37 |
37 |
6 |
Fuente: Autores
Primero se calcul la diferencia de
los valores obtenidos entre el PT de los datos obtenidos del Pre y Post Test,
tambin se muestran los valores absolutos de las diferencias encontradas, y el
rango al que pertenece cada valor.
Tabla 6: clculos de valores
preliminares
CALCULO DE VALORES PRELIMINARES |
|
CASOS (n) |
6 |
SUMA DE RANGOS
POSITIVOS |
0 |
SUMA DE RANGOS
NEGATIVOS |
21 |
Fuente: Autores
La finalidad
de encontrar los rangos fue para obtener la suma de estos con respecto al signo
que se obtiene de las diferencias y continuar con los clculos posteriores.
Observemos
los valores de la siguiente tabla.
Tabla 7: Resultados de la prueba
de rangos con signo de Wilcoxon
Estadstico (W) |
0 |
Z(cal)= |
-2,201398157 |
NIVEL DE SIGNIFICANCIA |
0,05 |
Fuente: Autores
En la tabla 7 se muestran los valores
del estadstico W, del valor Z calculado y el nivel de significancia con el que
se trabaj en este anlisis.
De donde se obtuvo un valor crtico y
un P valor mostrados en la siguiente tabla
Tabla 8: Valor crtico y P Valor
de la prueba de rangos con signo de Wilcoxon
RESULTADOS |
|
VALOR CRITICO |
1,96 |
P VALOR |
0,0139 |
Fuente: Autores
Al arrojar en los clculos un valor crtico de
1,96 y un P valor de 0.0139 se puede decir que la hiptesis nula es rechazada,
dando paso a que la hiptesis alternativa es viable.
Las diferencias estadsticamente son
significativas, tomando en cuenta que el personal encuestado tiene cierto
conocimiento previo en seguridad de la informacin no de una forma tcnica,
pero si en nociones bsicas del tema.
Discusin y
conclusiones
En el anlisis realizado se demuestra
una diferencia significativa del antes y despus en reflejado en el P Valor,
donde, este es menor al valor de significancia demostrando la propuesta de
polticas de ciberseguridad para el teletrabajo permite
el uso adecuado de la informacin del Rectorado de la ESPOCH.
Luego de haber
aplicado la propuesta de polticas de ciberseguridad
para el teletrabajo en el Rectorado de la ESPOCH, se puede afirmar que los
funcionarios de esta dependencia se vuelven menos vulnerables a posibles
ataques cibernticos.
En el anlisis de
resultados se observa que los valores obtenidos en el pretest
son altos, al observar la valoracin dada para los tems se nota que el valor
asignado para indeciso es de 3 y este, al ser el ms escogido en la encuesta
previa en las preguntas planteadas, hace que los valores obtenidos sean altos,
a ms de un conocimiento previo referente a seguridad de la informacin, no
evita que la propuesta sea viable.
Las prcticas de
polticas orientadas a ciberseguridad para el
teletrabajo han hecho que los funcionarios del Rectorado de la ESPOCH conozcan
de los riegos que conlleva el teletrabajo y las formas que se pueden evitar
posibles ataques y la prdida de la informacin de esta dependencia.
Si bien las polticas
de ciberseguridad para el teletrabajo estn bajo la
norma ISO/IEC 27001, ests no
estn complementadas con las buenas prcticas o controles establecidos en la norma ISO/IEC 27002 siendo una
limitante en este estudio.
Referencias
1.
Adeva, A.,
& Ortiz, J. M. V. (2020). Teletrabajo seguro, el catalizador digital de la
transformacin socioeconmica. Revista SIC: ciberseguridad, seguridad de la informacin y privacidad, 29(140), 62-63.
2.
Andrs,
B. G. C. (s. f.). SEGURIDAD INFORMTICA PARA EL TELETRABAJO EN EMPRESAS
PRIVADAS EN COLOMBIA. 5.
3.
Arroyo,
S. C. (2020). Estudios criminolgicos contemporneos (IX): La Cibercriminologa y el perfil del ciberdelincuente(*).
43.
4.
Ballestero,
F. (2020). La ciberseguridad en tiempos difciles.
Boletn Econmico de ICE, 3122. https://doi.org/10.32796/bice.2020.3122.6993
5.
BID -
OEA, B.-O. (2020). CIBERSEGURIDAD. Reporte de ciberseguridad
2020.
https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
6.
Carrillo,
J. J. M., Zambrano, N. A., Zambrano, T. J. L., & Bravo, M. Z. (2020).
Proceso de Ciberseguridad: Gua Metodolgica para su
implementacin. Revista Ibrica de Sistemas e Tecnologias
de Informao, (E29), 41-50.
7.
CiberSeguridad. (2021, abril). Ciberseguridad
y Teletrabajo. https://ciberseguridad.siscomelectric.com
8.
Cifuentes-Leiton, D. M., & Londoo-Cardozo, J. (2020).
Teletrabajo: El problema de la institucionalizacin. Telecommuting: The problem of institutionalization. 9.
9.
COVID-19:
cronologa de la actuacin de la OMS. (2020, 28 abril). OMS. https://www.who.int/es/news/item/27-04-2020-who-timeline---covid-19
10. Gayo, M. R. (2021). Ciberseguridad
en el Trabajo en Movilidad ya Distancia (Teletrabajo). Revista Derecho social y empresa, (14), 6.
11. International Labour Office,
ILO Office in Argentina, Argentina, Ministerio de Trabajo, E. y S. S., &
Unin Industrial Argentina. (2011). Manual de buenas prcticas en teletrabajo. OIT.
12. Kaspersky, K. (2021). Lider en
seguridad. Kaspersky.
https://latam.kaspersky.com/resource-center/definitions/what-is-cyber-security
13. Lema, L. L. (2020). La gestin de la informacin
durante etapas de teletrabajo en la poca de la COVID-19. P erspectivas, (3).
14. Martn, F. A. (2020). Ciberseguridad
en tiempos de pandemia: repaso a la COVID-19. Anlisis del Real Instituto Elcano (ARI), (67), 1.
15. Mertens, D.M. (2010). Research and evaluation in education
and psychology: integrating diversity with
quantitative, qualitative, and
mixed methods. (3rd
ed.). Thousand Oaks,
CA: Sage Publications.
16. Padilla, R., Cadena, S., Enrquez, R., Crdova, J.,
& Llorens, F. (2017). Uetic,
193. Retrieved from https://www.cedia.edu.ec/dmdocuments/publicaciones/Libros/
UETIC_2017.pdf
17. Rodrguez, D. R., & de, M. (s. f.). Teletrabajo,
acceso a Internet y apoyo a la digitalizacin en el contexto del Covid-19. 19.
18. Wilcoxon, Frank (Dec 1945). "Individual
comparisons by ranking methods". Biometrics Bulletin. 1 (6): 8083
19. Yin, Robert
K. (1994). Case
Study Research: Design
and Methods. Sage
Publications, Thousand Oaks, CA.
2021 por los autores. Este artculo
es de acceso abierto y distribuido segn los trminos y condiciones de la
licencia Creative Commons
Atribucin-NoComercial-CompartirIgual
4.0 Internacional (CC BY-NC-SA 4.0)
Métricas del Artículos
Metrics powered by MI WEB PRO
Enlaces de Referencia
- Por el momento, no existen enlaces de referencia
Copyright (c) 2021 Galo Iván Vilcacundo-Reinoso, Omar S. Gómez
URL de la Licencia: https://creativecommons.org/licenses/by-nc-sa/4.0/deed.es
Polo de Capacitación, Investigación y Publicación (POCAIP)
Dirección: Ciudadela El Palmar, II Etapa, Manta - Manabí - Ecuador.
Código Postal: 130801
Teléfonos: 056051775/0991871420
Email: [email protected]
URL: https://www.dominiodelasciencias.com/
DOI: https://doi.org/10.23857/pocaip