Tesis2017-Copia-Final Peña

UNIVERSIDAD NACIONAL
JOSÉ FAUSTINO SÁNCHEZ CARRIÓN
FACULTAD DE INGENIERÍA INDUSTRIAL, SISTEMAS E

INFORMÁTICA
ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE
SISTEMAS
SISTEMA DE SEGURIDAD INFORMÁTICA Y SU RELACIÓN CON LA
GESTIÓN DE RIESGO EN EL HOSPITAL REGIONAL DE HUACHO
TESIS
Para obtener el título profesional de Ingeniero de Sistemas
AUTOR:
CARLOS JESÚS PEÑA NÚÑEZ
ASESOR:
Ing. ANGEL HUAMÁN TENA
Registro CIP 41456
HUACHO – PERÚ
2017
Sistema de Seguridad Informática y su Relación con la Gestión de Riesgos en el
Hospital Regional de Huacho
PEÑA NÚÑEZ, CARLOS JESÚS
Universidad Nacional José Faustino Sánchez Carrión
Nota del Autor:
Egresado de la facultad de Ingeniería Industrial, Sistemas e Informática, de la
Escuela Académico Profesional de Ingeniería de Sistemas, presento mi proyecto de
tesis con la finalidad de obtener el Título Profesional de Ingeniero de Sistemas; esta
investigación será desarrollada de forma individual y el financiamiento
económico será propio del autor; debo reconocer las contribución, dedicación y
asesoría del Ing. Angel Huamán Tena para poder elaborar mi proyecto de tesis.
2
ASESOR Y MIEMBROS DE JURADO
________________________ ________________________
PRESIDENTE SECRETARIO
Ing.José Germán Soto La Rosa Ing. Alcibiades Flamencio Sosa Palomino
Registro CIP 29081 Registro CIP 22467
________________________ ________________________
VOCAL ASESOR
Ing. José Antonio Galdos Felipe Ing. Angel Huamán Tena
Registro CIP 129716 Registro CIP 41456
3
DEDICATORIA
A Dios, por darme la vida, porque siempre puedo

contar con él, por darme aliento y la fortaleza
necesaria para seguir adelante no importando las
adversidades y situaciones difíciles por las cuales
pase.
A mi madre por sus sabios consejos, los cuales

me han servido mucho para dar frente a todas las
situaciones que he vivido y por haberme dado las
herramientas básicas para emprender esta difícil
tarea, gracias por toda la confianza que han
depositado en mí.
Autor
4
AGRADECIMIENTO
Agradezco, ante todo y en primer lugar a Dios,

porque sé que él me dio las fuerzas suficientes y
necesarias para poder desarrollarme con éxito. A mi
familia por haberme apoyado, especialmente a mi
madre e inculcado el deseo de superación en todo
momento.
A mi asesor el Ing. Angel Huamán Tena, por sus

consejos, enseñanzas, apoyo brindado dentro y fuera
de clases, pero sobre todo por su confianza en mí y
brindarme su amistad.
Autor
INDICE
5
DEDICATORIA......................................................................................................................iv
AGRADECIMIENTO.............................................................................................................v
INDICE DE TABLAS.............................................................................................................ix
INDICE DE FIGURAS............................................................................................................x
INDICE DE ANEXO..............................................................................................................xi
RESUMEN..............................................................................................................................xii
ABSTRACT...........................................................................................................................xiii
INTRODUCCIÓN................................................................................................................xiv
CAPITULO I. PLANTEAMIENTO DEL PROBLEMA.....................................................1
1.1 Descripción de la realidad problemática..........................................................................1
1.2 Formulación del problema................................................................................................2
1.2.1 Problema general.......................................................................................................2
1.2.2 Problemas específicos................................................................................................2
1.3 Objetivos de la investigación............................................................................................3

1.3.1 Objetivo general.........................................................................................................3
1.3.2 Objetivos específicos.................................................................................................3
CAPITULO II. MARCO TEÓRICO.....................................................................................4

2.1 Antecedentes de la investigación......................................................................................4
2.1.1 Antecedentes del Hospital Regional de Huacho............................................................4
2.1.2 Investigaciones Internacionales...............................................................................5
2.1.3 Investigaciones nacionales.......................................................................................8
2.2 Bases teóricas............................................................................................................11

2.2.1 Definición de Seguridad informática.......................................................................11
2.2.2 División de la seguridad Informática.......................................................................11
2.2.2.1 Seguridad Física....................................................................................................12
2.2.2.2 Seguridad lógica...................................................................................................14
2.2.2.2.1 Amenazas en la Seguridad Lógica.....................................................................15
2.2.2.2.1.1 Amenazas Humanas........................................................................................15
2.2.2.2.1.2 Amenazas lógicas............................................................................................15
2.2.2.2.2 Mecanismo de defensa.......................................................................................19
2.2.2.2.3 Técnicas de control de acceso............................................................................20
6
2.2.3 Objetivos de la Seguridad Informática....................................................................23
2.2.4 Niveles de Seguridad Informática............................................................................24
2.2.4.1. Nivel D1 El sistema entero no es confiable.........................................................25
2.2.4.2 Nivel C1 Protección de hardware.......................................................................25
2.2.4.3 Nivel C2 Resuelve problemas del nivel C1..........................................................26
2.2.4.4 Nivel B1 Protección de Seguridad Etiquetada....................................................27
2.2.4.5 Nivel B2 Protección Estructurada.......................................................................27
2.2.4.6 Nivel B3 Dominio de Seguridad.........................................................................27
2.2.4.7 Nivel A Diseño Verificado.................................................................................28
2.2.5 Gestión de Seguridad de la información..................................................................28
2.2.6 ISO 27001 Aplicada a la seguridad de la información............................................29
2.2.7 Sistema de Gestión de Seguridad de la Información (SGSI)...................................30
2.2.8 Políticas de Seguridad..............................................................................................31
2.2.8.1 Políticas de Confiabilidad.....................................................................................31
2.2.8.2 Políticas de Integridad..........................................................................................31
2.2.8.3 Políticas de Disponibilidad...................................................................................32
2.3 Definiciones conceptuales..............................................................................................34
2.4 Formulación de Hipótesis...............................................................................................36

2.4.1 Hipótesis General.....................................................................................................36
2.4.2 Hipótesis Específicas...............................................................................................36
CAPITULO III. METODOLOGÍA......................................................................................37

3.1 Diseño Metodológico.....................................................................................................37
3.1.1 Diseño......................................................................................................................37
3.1.2 Tipo de la Investigación...........................................................................................37
3.1.3 Nivel.........................................................................................................................37
3.2 Población y Muestra.......................................................................................................37

3.2.1 Población.................................................................................................................37
3.2.2 Muestra....................................................................................................................37
3.3 Operacionalización de variables e Indicadores..............................................................38

3.3.1 Variables.................................................................................................................38
3.3.2 Indicadores.............................................................................................................38
3.4 Técnicas e instrumentos de recolección de datos...........................................................38
7
3.4.1 Técnicas a emplear...................................................................................................39
3.4.2 Descripción de los instrumentos..............................................................................39
3.5 Técnicas para el procesamiento de la información.........................................................40

CAPITULO IV. PROPUESTA DE IMPLEMENTACIÓN DEL SISTEMA DE
SEGURIDAD INFORMATICA EN EL HOSPITAL REGIONAL DE HUACHO..........41
4.1 DESCRIPCION DEL AREA DE INFORMATICA.......................................................41
A1. Instalación y configuración de software........................................................................41
A2. Mantenimientos de los equipos de cómputo..................................................................43
A3. Mantenimientos de la red de información....................................................................43
4.2 PROPUESTA DE IMPLEMENTACIÓN.......................................................................48
CAPITULO V. RESULTADOS ESTADISTICOS...............................................................53
5.1 RESULTADOS METODOLÓGICOS...........................................................................53
5.1.1 Validez del Instrumento...........................................................................................53
5.1.2 CONFIABILIDAD DEL INSTRUMENTO............................................................55
5.1.3 TABLAS Y GRÁFICOS ESTADÍSTICOS.................................................................56

5.1.3.1 INTERPRETACIÓN DE LOS DATOS:...............................................................56
5.1.4. Contrastación de Hipótesis.........................................................................................68
CAPITULO V. DISCUSIÓN, CONCLUSIONES Y RECOMENDACIONES.................79

5.1 DISCUSIÓN.................................................................................................................79
5.2 CONCLUSIONES........................................................................................................81
5.3 RECOMENDACIONES................................................................................................83
CAPITULO VI: FUENTES DE INFORMACIÓN.............................................................84
6.1 Fuentes Bibliográficas....................................................................................................84
ANEXOS..................................................................................................................................86
INDICE DE TABLAS
8
TABLA 1: Equipos del Área de Informática.......................................................................................45
TABLA 2: Características del Servidor HP ProLiant ML350 Gen9....................................................51
TABLA 3: Calificación de los Expertos..............................................................................................53
TABLA 4: Calificación de los Expertos..............................................................................................54
TABLA 5: Alpha de Cronbach aplicado al Instrumento......................................................................55
TABLA 6: Escala de Confiabilidad.....................................................................................................56
TABLA 7: Tabla de Contingencia y Frecuencias Esperadas(X - Y), en SPSS 23................................69
TABLA 8: Tabla de prueba de chi cuadrado (X - Y), en SPPS 23.......................................................71
TABLA 9: Tabla de prueba chi-cuadrado (D1 - Y), en SPSS 23.........................................................72
TABLA 10: chi-cuadrado (Confidencialidad – Gestión de Riesgo), en SPSS 23................................73
TABLA 11: Tabla de prueba chi-cuadrado (D2 - Y), en SPSS 23.......................................................74
TABLA 12: chi-cuadrado (Integridad – Gestión de Riesgo), en SPPS 23...........................................74
TABLA 13: Tabla de prueba chi-cuadrado (D3 - Y), en SPSS 23.......................................................76
TABLA 14: chi-cuadrado (Disponibilidad – Gestión de Riesgo), en SPSS 23....................................76
TABLA 15: Análisis e Interpretación de la PHE.....................................¡Error! Marcador no definido.
INDICE DE FIGURAS
9
FIGURA 1: Frontis del Hospital Regional de Huacho..........................................................................5
FIGURA 2: Seguridad de la información según la norma ISO 17 799...............................................11
FIGURA 3: La seguridad informática como proceso y no como producto.........................................24
FIGURA 4: Organigrama Funcional del Área de Informática............................................................46
FIGURA 5: Instalación Active Directory............................................................................................49
FIGURA 6: Servidor HP ProLiant ML350 Gen9................................................................................50
FIGURA 7: Encuesta del Grafico N°1................................................................................................57
FIGURA 10: Encuesta del Grafico N°4..............................................................................................60
FIGURA 16: Encuesta del Grafico N°10............................................................................................66
FIGURA 17: Encuesta del Grafico N°11............................................................................................67
INDICE DE ANEXO
10
ANEXO 01: Cuestionario........................................................................................................87
ANEXO 02: Matriz de Consistencia.......................................................................................88
ANEXO 03: Vista de Variables y Vista de Datos realizados en la encuesta en el Software
SPSS 23....................................................................................................................................89
ANEXO 04: Usuarios encuestados y la Fiabilidad del Instrumento.......................................90
ANEXO 05: Modelo de Juicio de Experto..............................................................................91
11
RESUMEN
En la actualidad nos encontramos en la era de la tecnología es por ello que
diversas instituciones públicas o privadas, que brindan un servicio al sector público
deben de tener mayor seguridad ya que existen diversos riesgos que pueden afectar a
nuestros sistemas. El desarrollo del presente estudio estuvo orientado a Sistema de
Seguridad Informática y su relación con la Gestión de riesgos en el Hospital Regional de
Huacho.
La propuesta fue inspeccionada y validada por especialistas profesionales de la
facultad de ingeniería industrial, sistemas e informática de la Universidad Nacional José
Faustino Sánchez Carrión. Y para su validación de campo se utilizó el diseño
Correlacional de las cuales se observó preocupación con la problemática de los Riesgos
que con la ayuda de la tecnología (modelos informáticos) se puede tener seguridad.
Los resultados obtenidos fueron muy favorables, es así que al evaluar las
hipótesis generales y especificas a través de relación de variables (Software SPSS
versión 23.0) con un % de confianza se comprobó que si existe una buena relación entre
las dimensiones de la variable Seguridad Informática y su relación con la Gestión de
Riesgos en el Hospital Regional de Huacho.
Palabras Claves: Seguridad informática, Gestión de riesgos y Aprendizaje de
investigación.
12
ABSTRACT
At present, we are in the era of technology that is why various public or private
institutions that provide a service to the public sector must be more secure as there are
various risks that can affect our systems. The development of the present study was
oriented to Computer Security System and its relation with the Risk Management in the
Regional Hospital of Huacho.
The proposal was inspected and validated by professional specialists of the
faculty of industrial engineering, systems and informatics of the National University
José Faustino Sánchez Carrión. And for its field validation was used the Correlational
design of which was observed concern with the problematic of the Risks that with the
help of technology (computer models) you can have security.
The results obtained were very favorable, so that when evaluating the general
and specific hypotheses through the relationship of variables (SPSS Software version
23.0) with a % confidence, it was verified that if there is a good relation between the
dimensions of the variable Informática security And its relationship with Risk
Management at the Huacho Regional Hospital.
13
INTRODUCCIÓN
El desarrollo tecnológico, en los últimos siglos, ha sido el más grande en la historia, y en los
últimos años la rápida evolución de la informática, las computadoras y la conexión de estas
en red han cambiado la forma en que el ser humano percibe el mundo. Para que un sistema
sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever dicha
acción.
Los recursos del sistema de información (material informático o programas) de

una organización son utilizados de la manera que se decidió y que el acceso a la información
este contenida, así como su modificación, sólo sea posible a las personas que se encuentren
acreditadas y dentro de los límites de su autorización.
Cada vez más personas necesitan de conocer el manejo de computadoras así como las
protecciones que día a día se van ofreciendo para garantizar la seguridad en el manejo de la
información.
En concordancia al contexto emergente y realidad problemática referida en líneas anteriores

se desarrolló el tema de tesis sobre “Sistema de Seguridad Informática y su relación con la
Gestión de Riesgo en el Hospital Regional de Huacho”, para mejorar la seguridad tanto en la
confidencialidad, integridad y disponibilidad de información del Hospital Regional con la
idea central de controlar los diversos riesgos que puedan suceder de manera que se pueda
evitar y aminorar las amenazas para una mejor seguridad viable y efectiva.
En esta tesis se presenta los siguientes capítulos:
En el Capítulo I, el cual se desarrolla el marco de la realidad problemática formulada sobre

las bases de revisiones bibliográficas, objetivos principales y específicos, justificación e
importancia de la investigación, delimitación de investigación y viabilidad.
En el Capítulo II, está el Marco teórico, se detalla sobre el tema en estudio y se mencionan
estudios nacionales y extranjeros que fueron tomados en cuenta, asimismo se expone las
bases teórico científicas de las variables enfocados (Seguridad Informática - y su relación con
la Gestión de Riesgos en el Hospital Regional de Huacho)
14
En el Capítulo III, se da el marco metodológico, se precisan los elementos principales del
protocolo de investigación como: hipótesis, variables, tipo de investigación, diseño, método
de estudio población y muestra y técnicas e instrumentos de recolección de datos.
En el Capítulo IV, se presenta los resultados de la investigación donde se muestra los

hallazgos explorados y expresados en tablas estadísticas, gráficos y medidas de resumen
procesados en el software SPSS versión 23.0.Complementando con interpretaciones y prueba
de hipótesis, de acuerdo a los objetivos generales y específicos establecidos previamente.
En el Capítulo V, se presenta las conclusiones y recomendaciones de la tesis.
Finalmente en el Capítulo VI se muestra las bibliografías y también los anexos de la presente

investigación que complementan a la información en donde contribuye a lograr la
credibilidad del estudio.
Autor
15
CAPITULO I. PLANTEAMIENTO DEL PROBLEMA
1.1 Descripción de la realidad problemática
En la actualidad lo que más ha evolucionado en el mundo es la tecnología de la
información, siendo estas un soporte importante en las diferentes actividades
administrativas y financieras de las instituciones de hoy. Las organizaciones públicas y
privadas día a día generan conocimientos, datos, reportes, actas y material de diferente
índole de suma importancia para ellas, lo cual representa toda la información que
requieren para su funcionalidad.
Esta información en la mayoría de los casos, es almacenada en diferentes medios
tanto físicos como electrónicos, además es puesta a disposición del personal que requiere
hacer uso de esta información para toma de decisiones, reportes, inventarios, entre otros.
El acceso no autorizado a la información se ha vuelto más fácil debido a los tantos
métodos existentes y nuevos para extraer información, esto ha permitido que sea más
difícil salvaguardar la información y sus métodos de transmisión, ya sean estos
comunicados verbales, archivos, documentos, base de datos, etc.
Debido a los diversos acontecimientos, el Hospital Regional de Huacho necesita tener
cuidado en el aspecto de las personas inescrupulosas que quisieran robar o modificar la
información de forma no autorizada de tal forma que puede ser un peligro para el control
del acceso al sistema quien esté a cargo. También es por ello que deben tener una
seguridad física en el control de los equipos y la seguridad lógica que consiste en la
aplicación de barreras y procedimientos que resguarden el acceso a los datos.
Es necesario que el sistema de seguridad informática controle y asegure la
confidencialidad, disponibilidad e integridad de la información ya que con ellos nos
garantizará a que se accedan a dichos datos quienes estén designados para su uso, esté
1
disponible cuando se requiera y permanezca tal como fue creada por sus propietarios y
asegurar también la actualización de la misma.
Por lo anterior mencionado se establece esta investigación para poder determinar el
grado de significancia entre el sistema de seguridad informática y su relación con la
gestión de riesgo en el Hospital regional de Huacho.
1.2 Formulación del problema
1.2.1 Problema general
¿Qué relación existe entre el Sistema de Seguridad Informática y la Gestión de
Riesgo en el Hospital Regional Huacho?
1.2.2 Problemas específicos
a) ¿Qué relación existe entre el Sistema de Seguridad Físico y la Gestión de Riesgo
en el Hospital Regional Huacho?
b) ¿Qué relación existe entre el Sistema de Seguridad Lógico y la Gestión de Riesgo
en el Hospital Regional Huacho?
1.3 Objetivos de la investigación
1.3.1 Objetivo general
2
Establecer la relación entre el Sistema de Seguridad Informática y la Gestión de
Riesgo en el Hospital Regional Huacho.
1.3.2 Objetivos específicos
 Determinar la relación entre el Sistema de Seguridad Físico y la Gestión de
 Determinar la relación entre el Sistema de Seguridad Lógico y la Gestión de
CAPITULO II. MARCO TEÓRICO
2.1 Antecedentes de la investigación
2.1.1 Antecedentes del Hospital Regional de Huacho
El Hospital Regional de Huacho está situado a 150 Km. al Norte de
Lima, fue fundado el 02 de Octubre de 1970 siendo un Hospital Centro de
Salud con solo las 4 especialidades Básicas. El crecimiento de la Institución ha
sido a través de un Planeamiento Estratégico de ir transformándolos en un
Hospital de Especialidades, donde se hace docencia en Salud: Medicina,
Enfermería y Nutrición, como sede de la "Universidad Nacional José Faustino
Sánchez Carrión de Huacho", siendo estas actividades las que nos constituyen
3
en un Centro de Creación de Proyectos de Desarrollo Institucional e
Investigación en las diferentes áreas de la Salud.
Dentro de lo que consideramos nuestra visión a largo plazo, está en
convertirnos en un Centro de Investigación y Docencia con Escuelas de Post-
Grado, tanto en lo referente a las Gerencias de Salud como las especialidades
de las diferentes disciplinas de la Medicina, perfeccionando la equidad,
eficiencia y calidad de nuestro sector.
El Hospital Regional de Huacho es el Centro Referencial de los Servicios
Básicos Huaura - Oyón cuenta con 45 Puestos y 09 Centros de Salud. En la
Provincia de Huaura los Centros de Salud de Hualmay, Végueta, Carquín,
Santa María y Huaura, en la Costa y en la Sierra el Centro de Salud de Ambar
y Centro de Salud de Sayán. En la Provincia de Oyón los Centros de Salud de
Churín y Oyón.
 Micro red Hualmay
 Micro red Huaura
 Micro red Vegueta
 Micro red Sayán
 Micro red Churín – Oyón
FUENTE: Hospital Regional de Huacho
FIGURA 1: Frontis del Hospital Regional de Huacho.

2.1.2 Investigaciones Internacionales
 Viteri Jiménez, Mayra Johanna (2014) “Políticas de seguridad informática en el
Departamento de Tecnologías de la Información y comunicación en beneficio de
la Universidad Técnica Estatal de Quevedo Manual de Procedimientos”. Tesis
previa para obtención del título de ingeniería de sistemas, Universidad Técnica
Estatal de Quevedo Ecuador. Lo cual tiene como objetivo definir políticas de
seguridad informáticas en la UTEQ que conlleven a un mejor uso de los activos
tecnológicos y la información. Esta propuesta está basada en la definición de
políticas y estándares de la seguridad basada en la ISO 27001, misma que
proporciona los controles necesarios para la implementación de un sistema de
seguridad. La metodología de investigación que se llevó a cabo para este proyecto
es el método descriptivo, teniendo como finalidad la adquisición de datos
objetivos, precisos y sistemáticos que pueden usarse en promedio. Y con lo
preliminar mencionando se llegó a las siguientes conclusiones Se efectuó un
análisis de riesgos informáticos mediante encuesta a todo personal de la Unidad
de Tic para valorar los activos y así adecuar las políticas a la realidad de la
institución. Se pudo concluir que las conexiones a Internet deben contar con
elementos de prevención, detección de intrusos, filtros contra virus, manejo de
5
contenidos, los mismos que afectan la integridad de los sistemas y la información
institucional.
 Jorge. G., & Cristian A. (2013) “Protocolo de Políticas de seguridad para las
Universidades de Risaralda”, Tesis previa a la Obtención del Título de: Ingeniero
de Sistemas y Telecomunicaciones. Universidad Católica de Pereira Colombia, lo
cual tiene por objetivo general un protocolo para la elaboración de una política de
seguridad informática de la educación superior en Risaralda ya que la
información juega un papel muy importante y es considerado el activo más
valioso en todas las organizaciones, lo cual ha generado que se le dé mayor
atención a la disponibilidad, confidencialidad e integridad segura y sistemas
protegidos.
Por lo tanto, se hace necesario contar con estrategias y procedimientos a la hora
de implementar la seguridad informática, para así garantizar el correcto
funcionamiento de los sistemas y al momento de un posible ataque o desastre
natural que conlleve a la perdida de información o sistemas informáticos, saber
cómo actuar para mitigar el problema tomando los correcticos apropiados.
Haciendo relación a las universidades de Risaralda, estas instituciones educativas
de educación superior requieren de gran control en este aspecto, así como unas
políticas bien establecidas en todo lo cierne a este aspecto, así como unas
políticas bien establecida en todo lo que concierne al manejo de la información de
datos y usuarios, que sean precavidas a la hora de permitir el acceso a los
sistemas informáticos.
La conclusiones más resaltantes de esta investigación es que la educación
superior no se está rigiendo por ninguna norma de estandarización modelo como
la norma ISO 27000 y la norma ISO 17000 que brindan una guía para el
establecimiento e implementación adecuada de la seguridad informática, una de
6
las principales debilidades reflejadas en la indagación realizada en campo
mediante normativos y prácticos que permitan la evaluación de desempeño de los
sistemas tecnológicos e informáticos, como lo son las auditorias y estudios de la
red para establecer los riesgos, amenazas y vulnerabilidades presentes en estos.

 Diego. F., & Christian C. (2012) “Auditoria de seguridad informática Iso 27001
para la empresa de alimentos Italimentos CIA. LTDA”. Proyecto de grado previo
a la obtención del título de Ingeniero en Sistemas e Informática. Universidad
Politécnica Salesiana Sede Cuenca Bolivia. Los objetivos que establece esta
investigación es que la auditoria de seguridad con políticas claramente establecida
y bien elaboradas son inmediatas, ya que Italimentos trabajará sobre su
plataforma confiable, que se refleja en los siguientes puntos: Aumento de la
productividad de la compañía, aumento de la motivación del personal al cumplir
su trabajo, ayuda a formar equipos confiables, mejora el ambiente laboral entre
personal.
La metodología de investigación es experimental. Las conclusiones que
determina esta investigación son que la empresa de Italimentos hace mejor uso de
los recursos informáticos. Promueve objetivos de la empresa de un ambiente claro
y seguro.
Se garantiza la seguridad, rendimientos y privacidad de los sistemas y máquinas
de la empresa como también la de las Italdelis, El personal tiene compromiso a la
no divulgación de datos e información imprescindible de la empresa.
 Alvarez Basuldúa Luis Daniel (2005) “Seguridad en informática”. Proyecto de
grado Maestro en Ingeniería de Sistemas Empresariales. Universidad
Iberoamericana México. Se propone tener una política de seguridad de red bien
concebida y efectiva que pueda proteger la inversión y los recursos de la
información de la compañía. Vale la pena implementar una política de seguridad
7
si los recursos y la información que la organización tiene en sus redes merecen
protegerse. La mayoría de las organizaciones tienes en sus redes información
delicada y secretos importantes; esto debe protegerse del acceso indebido del
mismo modo que otros bienes valiosos como la propiedad corporativa y los
edificios de oficinas. Una política de seguridad en redes efectiva es algo que
todos los usuarios y administradores de redes pueden aceptar y están dispuestos a
aplicar.
2.1.3 Investigaciones nacionales

 Diego. F., & Christian C. (2012)“Diseño e implementación de un sistema de
gestión de seguridad de información en procesos tecnológicos”, Para optar el
título profesional de Ingeniero de computación y sistemas, Universidad San
Martin de Porres, determina como problemática principal que Card Perú no
cuenta con los controles, medidas, procedimientos de seguridad necesarios para
resguardar sus activos de información, tales como documentos, software,
dispositivos físicos, personas, imagen, reputación y servicios, están expuestos
altos niveles de riesgos, frente a las diversas amenazas físicas y lógicas existentes
como son desastres naturales, estructurales, hardware, software, Red LAN y
WAN, información, riesgo contra el patrimonio y otros riesgos.

El objetivo general que se presenta en esta investigación es reducir y mitigar los
riesgos de los activos de información de los procesos que se encuentra bajo la
gerencia de tecnología de Card Perú que ponen en peligro los recursos, servicios
y continuidad de los procesos tecnológicos. Es una investigación experimental y
se llega a las siguientes conclusiones que el implementar una política de
seguridad y que los colaboradores la conozcan es de vital importancia para la
empresa.
8
 Alvarez Basuldúa Luis Daniel (2003) “Sistema de seguridad de software
aplicando criptografía con autómatas celulares”. Proyecto de grado para la
obtención de grado de título profesional en Ingeniería de Sistemas, Estadística e
Informática. Universidad Nacional del Altiplano. Lo cual se tiene por objetivo
diseñar y construir un Sistema de Seguridad con Aplicación de Criptografía de
Autómatas Celulares para la Protección de Archivos Ejecutables “PE” de las
plataformas Microsoft Windows.

La metodología de la investigación para el desarrollo del sistema se ha tomado
por conveniente el proceso de construcción evolutivo denominado Modelo en
Espiral propuesto por Boehm lo cual se llega a una conclusión general hoy en día
no se conoce de un sistema de protección de software que use Algoritmos de
Encriptación con Autómatas Celulares, por lo que el presente trabajo de
investigación será un punto de partida muy importante en la Seguridad de
Software en conjunción con los Sistemas Dinámicos y más precisamente con los
Autómatas Celulares.
Esta investigación no pretende dar una solución completa a la Seguridad del
Software, sino una alternativa de solución para que se logren hacer sistemas de
protección de software más fuertes que impidan a Cracker’s romper fácilmente
estos algoritmos.
 Córdova Rodríguez Norma Edith (2003) “Plan de seguridad informática en una
entidad financiera”. Tesis previa para obtención del título profesional en
Computación, Universidad Nacional Mayor de San Marcos. Lo cual se establece
que es vital implementar un plan de seguridad teniendo en cuenta que la mayoría
de empresas ha invertido tiempo y dinero en la construcción de infraestructura
para la tecnología de la información que soporte su compañía, esa infraestructura
de TI podría resultar ser una gran debilidad si se ve comprometida. Para las
9
organizaciones que funciona en la era de la información interconectada y con
comunicación electrónica, las políticas de información bien documentadas que se
comunican, entienden e implementan en toda la empresa, son herramientas
comerciales esenciales en el entorno actual para minimizar riesgos de seguridad.
La metodología empleada para la planificación y desarrollo del presente trabajo
está basado en la metodología Enterprise Security Arquitecture para el diseño de
un modelo de seguridad.
2.2 Bases teóricas
2.2.1 Definición de Seguridad informática
La seguridad informática es el mecanismo que impide la ejecución de operaciones
no autorizadas dentro de un sistema o red informática, evitando daños de
información, confidencialidad, autenticidad, integridad, incluyendo hardware,
software y datos que se procesa, almacena y transporta.

“Desde el punto de vista más amplio, en la norma ISO 17799 se define la
Seguridad de la información como preservación de su confidencialidad, su
integridad y disponibilidad [ CITATION Ana09 \l 10250 ]
10
FIGURA 2: Seguridad de la
la información
información según
según la
la norma
normaISO
ISO 17 799.
17799
FUENTE: Norma ISO 17 799 [ CITATION Ana09 \l 10250 ]
2.2.2 División de la seguridad Informática
Dependiendo de la naturaleza de las amenazas se puede dividir en seguridad física
y seguridad lógica.
2.2.2.1 Seguridad Física
Se refiere a todos los mecanismos generalmente de prevención y detección
destinados a proteger físicamente cualquier recurso del sistema; estos
recursos son desde un simple teclado hasta una cinta de backup con toda la
información que hay en el sistema, pasando por la propia CPU de la
máquina. (Córdova Rodríguez, 2013)
11
Se determina así también como la seguridad que trata de proteger el
hardware de amenazas físicas que son provocadas por el hombre, de forma
accidental o voluntaria, o bien por factores naturales.
A continuación se enumera las principales amenazas y los mecanismos para
salvaguardar los recursos del sistema.
a)Incendios: Los mecanismos de defensa que se deben tener en cuenta son:
 Los sistemas ignífugos que tiene como objetivo retardar las
consecuencias del fuego. Al realizar este tipo de protección
conseguimos dilatar el tiempo para permitir tanto la evacuación de las
personas, como el acceso de los cuerpos especializados en extinción
de incendios por un determinado plazo de tiempo.
 La localización del centro de procesamiento de datos cerca de zonas
donde se manejen o almacenen sustancias inflamables o explosivos.
 Existencia de sistemas antiincendios, detectores de humo, rociadores
de gas, extintores, etc., para sofocar el incendio en el menor tiempo
posible y así evitar que se propague ocasionando numerosas pérdidas
materiales.
b) Inundaciones: Los mecanismo de defensa general es el siguiente :
Evitar la ubicación del área de cómputo en las plantas bajas para
protegerse de la entrada de aguas superficiales.
12
c) Robos: Los controles para esta amenaza son indispensables por la
inseguridad en que vivimos en nuestras sociedad, para ello sería
recomendable proteger las áreas que poseen equipos de cómputo
mediante cámaras de seguridad, vigilantes jurados y con estas medidas
básica pretendemos evitar la entrada de personal no autorizado.
d) Apagones: Se requiere de un mecanismo de defensa denominado
Sistemas de Alimentación Ininterrumpida, SAI, que proporcionan
corriente eléctrica durante un periodo de tiempo suficiente.
e) Señales electromagnéticas: Se debe evitar que los lugares o áreas que
tienen equipos de cómputo estén próximos a lugares con gran radiación
de señales electromagnéticas, pues pueden interferir en el correcto
funcionamiento de los equipos informáticos y del cableado de red.
En caso de no poder evitar la ubicación en zonas con grandes emisiones
de este tipo de señales deberemos proteger el centro frente de dichas
emisiones mediante el uso de filtros o de cableado especial, o si es
posible, utilizar fibra óptica, que no es sensible a este tipo de
interferencias.
[ CITATION Juá05 \l 10250 ]
2.2.2.2 Seguridad lógica
13
Se refiere a la seguridad en el uso de software y los sistemas, la protección
de los datos, procesos y programas, así como la del acceso ordenado y
autorizado de los usuarios a la información. Involucra todas aquellas
medidas establecidas por la administración usuarios y administradores de
recursos de tecnología de información para minimizar los riesgos de
seguridad asociados con sus operaciones cotidianas llevadas a cabo
utilizando la tecnología de información. [ CITATION Her12 \l 10250 ]
El Manual sobre Normas Técnicas de Control Interno Relativas a los
Sistemas de Información Computadorizado emitido por la Contraloría
General de la República, establece en la norma Nº 305-03 sobre seguridad
lógica, que el acceso a los archivos de datos y programas sólo se permitirá
al personal autorizado.
Los principales objetivos que persigue la seguridad lógica son:
 Restringir el acceso al arranque (desde la BIOS) al sistema operativo,
los programas y archivos.
 Asegurar que los usuarios puedan trabajar sin una supervisión
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
Asegurar que se estén utilizando los datos, archivos y programas correctos
en y por el procedimiento correcto analizando periódicamente los mismos.
[ CITATION Bor01 \l 10250 ]
2.2.2.2.1 Amenazas en la Seguridad Lógica
14
2.2.2.2.1.1 Amenazas Humanas
 Hacker: persona curiosa, inconformista y paciente que
busca su superación continua aprovechando las
posibilidades que le brindan los sistemas.
 Cracker: Hacker dañino.
 Phreaker: persona que engaña a las compañías
telefónicas para su beneficio propio.
 Pirata Informático: persona que vende software
protegido por las leyes de Copyright.
 Creador de virus :Diseminadores de virus
 Insider: personal interno de una organización que
amenaza de cualquier forma al sistema de la misma.
( Viteri, 2014)
2.2.2.2.1.2 Amenazas lógicas
Bajo la etiqueta de amenazas lógicas encontramos todo
tipo de programas que de una forma u otra pueden
dañar a nuestro sistema, creados de forma intencionada
para ello (software malicioso, también conocido como
malware) o simplemente por error (bugs o agujeros).
15
Una excelente lectura que estudia las definiciones de
algunas de estas amenazas y su implicación en los
sistemas se presenta en un nivel más general, cabe
aclarar que estas se engloban en una definición de
malware proviene de una agrupación de las palabras
(malicious software); este programa o archivo, que es
dañino para el ordenador, está diseñado para insertar
virus, gusanos, troyanos, spyware o incluso losbots,
intentando conseguir algún objetivo, como podría ser el
de recoger información sobre el usuario o sobre el
ordenador en sí.
 Puertas traseras
Durante el desarrollo de aplicaciones grandes o de
sistemas operativos es habitual entre los programadores
insertar atajos en los sistemas habituales de
autenticación del programa o del núcleo que se está
diseñando.
A estos atajos se les denomina puertas traseras, y con
ellos se consigue mayor velocidad a la hora de detectar
y depurar fallos: por ejemplo, los diseñadores de un
software de gestión de bases de datos en el que para
acceder a una tabla se necesiten cuatro claves diferentes
de diez caracteres cada una pueden insertar una rutina
para conseguir ese acceso mediante una única clave
16
especial, con el objetivo de perder menos tiempo al
depurar el sistema.
Algunos programadores pueden dejar estos atajos en las
versiones definitivas de su software para facilitar un
mantenimiento posterior, para garantizar su propio
acceso, o simplemente por descuido; la cuestión es que
si un atacante descubre una de estas puertas traseras va
a tener un acceso global a datos que no debería poder
leer, lo que obviamente supone un grave peligro para la
integridad de nuestro sistema.
( Viteri, 2014)
 Virus
Un virus es una secuencia de código que se inserta en
un fichero ejecutable denominado huésped, de forma
que cuando el archivo se ejecuta, el virus también lo
hace, insertándose a sí mismo en otros programas.
(Alvarez, 2005)
 Spyware
Los programas espía o spyware son aplicaciones que
recopilan información sobre una persona u organización
sin su conocimiento. La función más común que tienen
estos programas es la de recopilar información sobre el
usuario y distribuirlo a empresas publicitarias u otras
17
organizaciones interesadas, pero también se han
empleado en círculos legales para recopilar información
contra sospechosos de delitos, como en el caso de la
piratería de software.
Además pueden servir para enviar a los usuarios a sitios
de internet que tienen la imagen corporativa de otros,
con el objetivo de obtener información importante.
Recolectan información proveniente del teclado de la
víctima, descubriendo contraseñas e información
valiosa para cualquier atacante.
(Alvarez, 2005)
 Spam
Son mensajes no solicitados, habitualmente de tipo
publicitario, enviados en cantidades masivas. Aunque se
puede hacer por distintas vías, la más utilizada entre el
público en general es la basada en el correo electrónico.
Otras tecnologías de internet que han sido objeto de
spam incluyen grupos de noticias usenet, motores de
búsqueda, wikis y blogs. El spam también puede tener
como objetivo los teléfonos móviles (a través de
mensajes de texto) y los sistemas de mensajería
instantánea.
(Alvarez, 2005)
18
2.2.2.2.2 Mecanismo de defensa
 La mayoría de los ataques mencionados se basan en fallos de
diseño inherentes a Internet, sus protocolos y a los sistemas
operativos utilizados, por lo que no son solucionables en un
plazo breve de tiempo.
 La solución inmediata en cada caso es mantenerse informado
sobre todos los tipos de ataques existentes y las
actualizaciones que permanentemente lanzan las empresas
desarrolladoras de software, principalmente de sistemas
operativos.
 Las siguientes son medidas preventivas. Medidas que toda red
y administrador deben conocer y desplegar cuanto antes:
 Mantener las máquinas actualizadas y seguras físicamente
 Mantener personal especializado en cuestiones de seguridad (o
subcontratarlo).
 Aunque una máquina no contenga información valiosa, hay
que tener en cuenta que puede resultar útil para un atacante, a
19
la hora de ser empleada en un DoS coordinado o para ocultar
su verdadera dirección.
 No permitir el tráfico broadcast desde fuera de nuestra red. De
esta forma evitamos ser empleados como multiplicadores
durante un ataque Smurf.
 Filtrar el tráfico IP Spoof.
 Auditorias de seguridad y sistemas de detección.
 Mantenerse informado constantemente sobre cada una de las
vulnerabilidades encontradas y parches lanzados. Para esto es
recomendable estar suscripto a listas que brinden este servicio
de información.
 Por último, pero quizás lo más importante, la capacitación del
usuario.
2.2.2.2.3 Técnicas de control de acceso
Estos controles pueden implementarse en la BIOS, el Sistema
operativo, sobre los sistemas de aplicación, en la base de datos,
en un paquete específico de seguridad o en cualquier otra
aplicación. Constituyen una importante ayuda para proteger al
Sistema Operativo de la red, al sistema de aplicación y demás
software de la utilización o modificaciones no autorizadas. Para
mantener la integridad de la información y para resguardar la
información confidencial de accesos no autorizados. Así mismo
20
es conveniente tener en cuenta otras consideraciones referidas a
la seguridad lógica como por ejemplo las relacionadas al
procedimiento que se lleva a cabo para determinar si corresponde
un permiso de acceso.
(Baez & Mina, 2011)
a) Identificación y autenticación
Se denomina identificación al momento en que el usuario se da a
conocer en el sistema y autenticación a la verificación que se
realiza en el sistema sobre esta identificación. Existen 4 tipos de
técnicas que permiten realizar la autenticación de la identidad del
usuario, las cuales pueden ser utilizadas individualmente o
colectivamente:
Algo que solamente el individuo conoce: Una clave, un pin etc.
Algo que la persona posee: Una tarjeta.
Algo que el individuo es: Huella digital o voz
Algo que el individuo es capaz de hacer: Patrones de escritura.
b) Password seguras
Para un atacante una contraseña segura debe parecerse a una
cadena aleatoria de caracteres, puede conseguir que su contraseña
sea segura por los siguientes criterios.
21
 Que no sea corta, cada carácter que agrega a su contraseña
aumenta exponencialmente el grado de protección que esta
ofrece, las contraseñas deben contener un mínimo de 8
caracteres lo ideal es que contengan 14 o más, muchos
sistemas también admiten el uso de la barra espaciadora de
modo que se pueden crear contraseñas de varias palabras
(una frase codificada) por lo general una frase codificada
resulta más fácil de recordar y más difícil de adivinar que
una contraseña simple.
 Combina letras, números y símbolos, cuantos más diversos
sean los tipos de caracteres más difícil será adivinarla.
 Cuantos menos tipos de caracteres haya en la contraseña más
larga deberá ser esta. Una contraseña de 15 caracteres
formada únicamente por letras y números es unas 33000
veces más segura que una de 8 caracteres compuestos por
caracteres de todo tipo. Si la contraseña no puede tener
símbolos deberá ser considerablemente más larga para
conseguir el mismo grado de protección. Una contraseña
ideal combinaría una mayor longitud y distintos tipos de
símbolos.
22
 Utiliza todo tipo de teclas, no te limites a los caracteres más
comunes los símbolos que necesitan que se presione la tecla
mayúscula junto con un número son muy habituales, tu
contraseña será mucho más segura si eliges entre todos los
símbolos del teclado incluidos los símbolos de puntuación
así como los exclusivos de tu idioma.
 Utiliza palabras y frases que te resulten fáciles de recordar
pero que a otras personas les sea difícil de adivinar. La
manera más sencilla de recordar tus contraseñas y frases
codificadas consiste en anotarlas, no hay nada malo en anotar
las contraseñas si bien estas anotaciones deben estar
debidamente protegidas para que resulten seguras y eficaces.
 Por lo general las contraseñas escritas en un trozo de papel
suponen un riesgo menor en Internet que un administrador de
contraseñas, un sitio web u otra herramienta basada en
Software.
Algunas estrategias que deben evitarse son:
 No incluya secuencias ni caracteres repetidos, cadenas como
12345678, 22222222, abcdefg o el uso de letras adyacentes
en el teclado no ayudan a crear contraseñas seguras.
 Evita utilizar sustituciones de letras por símbolos o números
similares por ejemplo la i por el 1, la a por la @, o la o por el
0. Estas sustituciones pueden ser eficaces cuando se
23
combinan con otras medidas, con una mayor longitud,
errores ortográficos voluntarios, variaciones entre
mayúsculas y minúsculas.
 No utilice el nombre de inicio de sesión, cualquier parte del
nombre, fecha de nacimiento, número de DNI o datos
similares propios o de tus familiares constituye una mala
elección.
[ CITATION Her12 \l 10250 ]
2.2.3 Objetivos de la Seguridad Informática
 Minimizar y gestionar los riesgos y detectar los posibles problemas y
amenazas a la seguridad.
 Garantizar la adecuada utilización de los recursos y de las aplicaciones del
sistema.
 Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso
de incidente de seguridad.
 Cumplir con el marco legal y con los requisitos impuesto por los clientes en
sus contratos.
“Una organización debe entender la Seguridad informática como un proceso y
no como un producto que se pueda “comprar” o “instalar”. Se trata, por lo
tanto de un ciclo interactivo, en el que se incluyen actividades como la
valoración de riesgos, prevención, detección y respuestas ante incidente de
seguridad.” (Alvarez, 2005)
24
Reducir
Reducir incidentes
incidentes de
de
seguridad
seguridad
Revisión
Revisión yy actualización
actualización Facilitar
Facilitar la
la rápida
rápida
de
Reducir
Reducir
La incidentes
incidentes de
seguridad de
de las
las medidas
medidas dede La seguridad detección
detección de
de incidentes
incidentes
como seguridad
seguridad
seguridad
seguridad implantadas
implantadas como proceso
proceso de
de seguridad
seguridad
(auditoria)
(auditoria)
Conseguir
Revisión
Conseguir
Revisión la
la rápida
yy actualización
rápida
actualización Minimizar
Minimizar el impacto
elFacilitar
impacto la
Facilitar en
enrápida
la rápida
derecuperación
de las medidasde
las medidas
recuperación delos
de los La
La seguridad
seguridad el
el sistema de
detección
sistema de de
detección de incidentes
incidentes
daños
seguridad experimentados
implantadas
daños experimentados
seguridad implantadas como
como proceso
proceso informaciónde
de seguridad
información seguridad
(auditoria)
(auditoria)
Conseguir
Conseguir la
la rápida
rápida Minimizar
Minimizar elel impacto
impacto en
en
recuperación
recuperación dede los
los el
el sistema
sistema de
de
daños
daños experimentados
experimentados información
información
FIGURA 3: La seguridad informática como proceso y no como producto.
FUENTE: La seguridad como proceso (Alvarez, 2005)
2.2.4 Niveles de Seguridad Informática
El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC
Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en
computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido
la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC)
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así
el subnivel B2 abarca los subniveles B1, C2, C1 y el D. (Latham, 1983)
2.2.4.1. Nivel D1: El sistema entero no es confiable
Es la forma más baja de seguridad, esta norma establece que el sistema
entero no es confiable. No dispone de protección para el hardware; el
25
sistema operativo se compromete fácilmente y no existe autentificación
respecto de los usuarios y sus derechos a tener acceso a la información
almacenada en la computadora.
(Latham, 1983)
2.2.4.2 Nivel C1: Protección de hardware
Existe cierto nivel de protección para el hardware, ya que este no puede
comprometerse fácilmente, aunque sea posible. Los usuarios deben
identificarse ante el sistema mediante su login y contraseña, se emplea
esta combinación para determinar los derechos de acceso a programas e
información que tiene cada usuario.
Estos derechos de acceso son los permisos de archivo y directorio, los
controles de acceso discrecional permiten al dueño del archivo o
directorio, así como al administrador del sistema, evitar que ciertas
personas o grupos tengan acceso a dichos programas o información. Sin
embargo, no se impide que la cuenta del administrador del sistema realice
ninguna actividad, en consecuencia un administrador poco escrupuloso
puede comprometer fácilmente la seguridad del sistema sin que nadie lo
sepa.
Además, muchas de las tareas cotidianas de administración del sistema
solo pueden ser realizadas por el login de usuario llamado raíz (root). Con
la actual descentralización de los sistemas de cómputo, no es raro que en
una organización se encuentre dos o tres personas que conocen la clave
26
del usuario root, esto si es un problema pues no hay forma de distinguir
cuál de los usuarios que ingresa como root realizó los cambios.
[ CITATION Lat \l 10250 ]
2.2.4.3 Nivel C2: Resuelve problemas del nivel C1
Está diseñado para ayudar a resolver los problemas anteriores, además de
las funciones del nivel C1, el nivel C2 cuenta con características
adicionales que crean un ambiente de acceso controlado. Este ambiente
tiene la capacidad de restringir aún más el que los usuarios ejecuten
ciertos comandos o tengan acceso a ciertos archivos, con base no sólo en
los permisos, sino también en los niveles de autorización. Además, este
nivel de seguridad requiere que se audite al sistema, lo cual implica
registrar una auditoria por cada acción que ocurra en el sistema.
La auditoría se utiliza para llevar registros de todas las acciones
relacionadas con la seguridad como puede ser las actividades efectuadas
por el administrador del sistema. La auditoría requiere de autentificación
adicional pues, sin ésta ¿cómo estar seguros de que la persona que ejecuta
el comando realmente es quien dice ser? ; La desventaja de la auditoría es
que requiere recursos adicionales del procesador y del subsistema de
disco.
Con el uso de autorizaciones adicionales, es posible que los usuarios de un
sistema C2 tengan la autorización para realizar tareas de administración
del sistema sin necesidad de la contraseña del root., esto permite llevar
mejor cuenta de las tareas relacionadas con la administración del sistema,
27
ya que es cada usuario quien ejecuta el trabajo y no el administrador del
sistema.
[ CITATION Lat \l 10250 ]
2.2.4.4 Nivel B1: Protección de Seguridad Etiquetada
Es también llamado Protección de Seguridad Etiquetada, es el primer
nivel con soporte para seguridad multinivel, como el secreto y el ultra
secreto. En este nivel se establece que el dueño del archivo no puede
modificar los permisos de un objeto que este bajo control de acceso
obligatorio.
2.2.4.5 Nivel B2: Protección Estructurada
Conocido como Protección Estructurada, requiere que todos los objetos
estén etiquetados, los dispositivos como discos, cintas y terminales,
pueden tener asignado uno o varios niveles de seguridad. Este es el primer
nivel en que aborda el problema de la comunicación de un objeto con otro
que se encuentra en un nivel de seguridad inferior.
2.2.4.6 Nivel B3: Dominio de Seguridad
Llamado de Dominios de Seguridad, refuerza los dominios con la
instalación de hardware. Por ejemplo, se utiliza hardware de manejo de
memoria para proteger el dominio de seguridad contra accesos no
autorizados y modificaciones de objetos en diferentes dominios de
seguridad. Este nivel requiere también que la terminal del usuario esté
conectada al sistema a través de una ruta de acceso confiable.
28
2.2.4.7 Nivel A: Diseño Verificado
Conocido como Diseño Verificado, constituye actualmente el nivel de
seguridad válido más alto. Para alcanzar este nivel de seguridad, deben
incluirse todos los componentes de los niveles inferiores; el diseño debe
verificarse matemáticamente y debe realizarse un análisis de los canales
cubiertos y de distribución confiable. La distribución confiable significa
que el hardware y el software hayan estado protegidos durante su traslado
para evitar violaciones de los sistemas de seguridad.
2.2.5 Gestión de Seguridad de la información
La seguridad de la información es la protección de los activos de la información de
un rango amplio de amenazas para poder asegurar la continuidad del negocio,
minimizar el riesgo comercial y maximizar el retorno de las inversiones y las
oportunidades comerciales. Estos activos se pueden detallar como: correos
electrónicos, páginas web, imágenes, base de datos, telecomunicaciones, contratos,
documentos, etc.
La seguridad de estos activos de la información se logra implementando un
adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos,
estructuras organizacionales y funciones de software y hardware. Se necesitan
establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea
necesario para asegurar que se cumplan los objetivos de seguridad y comerciales
específicos.
La gestión de seguridad de la información apunta a mantener la estabilidad en los
siguientes aspectos con respecto a estos activos:
29
 Confiabilidad: Acceso solo de personal autorizados.
 Integridad: Exactitud y completitud de la información y procesos.
 Disponibilidad: Acceso a la información y procesos por parte del personal
autorizado, cuando lo requieran.

[ CITATION Ana09 \l 10250 ]
2.2.6 ISO 27001 Aplicada a la seguridad de la información
Es un estándar ISO que proporciona un modelo para establecer, implementar,
operar, supervisar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad
de la Información (SGSI). Se basa en el ciclo de vida PDCA (Planear-Hacer-
Verificar-Actuar) de mejora continua, al igual que otras normas de sistemas de
gestión.
Este estándar es certificable, es decir, cualquier organización que tenga implantado
un SGSI según este modelo, puede solicitar una auditoría externa por parte de una
entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO
27001.
El origen de la Norma ISO27001 está en el estándar británico BSI (British
Standards Institution) BS7799- Parte 2, estándar que fue publicado en 1998 y era
certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue publicada
el 15 de octubre de 2005.
El enfoque del proceso para la gestión de la seguridad de la información presentado
en este estándar internacional fomenta que sus usuarios enfaticen la importancia de:
 Entender los requerimientos de seguridad de la información de una
organización y la necesidad de establecer una política y objetivos para la
seguridad de la información.
30
 Implementar y operar controles para manejar los riesgos de la seguridad de
la información.
 Monitorear y revisar el desempeño del SGSI.
 Realizar mejoramiento continuo en base a la medición del objetivo.
[ CITATION Ana09 \l 10250 ]
2.2.7 Sistema de Gestión de Seguridad de la Información (SGSI)
El Sistema de Gestión de Seguridad de la Información es el concepto central sobre el
que se construye ISO 27001. La gestión de la seguridad de la información debe
realizarse mediante un proceso sistemático, documentado y conocido por toda la
organización. Este proceso es el que constituye un SGSI, que podría considerarse, como
el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de
disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la
seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de
la información sean conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada, repetible, eficiente
y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
2.2.8 Políticas de Seguridad
2.2.8.1 Políticas de Confiabilidad
La gestión a desarrollar indica los siguientes parámetros para mantener la
confiabilidad de la información:
31
 Todo cambio dentro de la información del sistema debe ser notificada vía
escrita firmada por el jefe de departamento que comunica el cambio,
directamente, al encargado del área de sistemas.

 La información a ingresar debe ser correctamente revisada, y teniendo en
cuenta que los datos manejados son de vital importancia para el desempeño
de las funciones de la compañía y aún más relevantes para los clientes de la
misma.
 La eliminación de la información no es permitida, solamente se pueden
realizar registros nuevos con la modificación.

( Viteri, 2014)
2.2.8.2 Políticas de Integridad
Se sugiere a la compañía seguir los siguientes lineamientos para mantener la
integridad de su información:
 Cada acceso al sistema deber mediante nombre de usuario y clave.
 El nombre de usuario y clave será dado al momento de la incorporación a la
empresa.
 En caso de cambio de los datos de acceso, deberá ser notificado por escrito,
detallando la causa del cambio y firmado por el responsable y el jefe del
departamento de recursos humanos. Los cambios de cargo, sueldo, carga
familiar, etc. se podrán realizar directamente en el sistema asignado al área de
recursos humanos.
 En caso de finalización de la relación laboral, deberá ser notificado por
escrito, detallando la causa y firmado por el responsable y el jefe del
departamento de recursos humanos. El cambio cambiará el estado de la
información de acceso a inactivado. Una vez inactivado esta información no
podrá ser cambiado a ningún otro estado.

 Al intentar ingresar al sistema, solo se podrá escribir la clave hasta cinco
veces. Al completar el límite, el usuario de bloqueará.
32
 El bloqueo de un usuario solo podrá ser inhabilitado, mediante un oficio
escrito donde se detalle la causa del bloqueo firmado por el responsable y el
jefe del departamento referido. Este documento debe ser entregado al
encargado del área de sistemas.

 La información de acceso es responsabilidad, totalmente, del empleado a la
cual fue asignada y no debe ser divulgada a ningún tercero.

 La información de acceso es considerada de carácter secreto e intransferible.
( Viteri, 2014)
2.2.8.3 Políticas de Disponibilidad
Las políticas de disponibilidad detallan las especificaciones para mantener la
información correcta para quienes la puedan consultar:
 El ingreso o modificación de la información del sistema será un proceso en
línea.
 La información de los clientes es considerada de carácter privado.
 En caso de modificación de la información del sistema, el registro o los
registros utilizados serán bloqueados para evitar error en el cambio de los
datos.
( Viteri, 2014)
33
2.3 Definiciones conceptuales
A. Confidencialidad: Es uno de los tres principios básicos de la implementación de
la seguridad de la información. La confidencialidad implica que debe protegerse la
información de forma tal que sólo sea conocida por las personas autorizadas y se la
resguarde del acceso de terceros.
[ CITATION Sto13 \l 10250 ]
B. Copia de Seguridad: Duplicado de información que suele guardarse en un sitio
lógico y/o físico distinto de aquel en el cual reside la información original. La
importancia de tener copias de seguridad radica en poder recuperar la información.
(Borghello, 2000)
C. Código malicioso: Software diseñado para ejecutar acciones maliciosas (como
provocar daños al software de la computadora, robar información almacenada en un
sistema informático, aprovechar recursos informáticos para efectuar otras acciones
perjudiciales para el usuario) y que incluye programas
como virus, gusanos, troyanos y spyware. Puede utilizar como vía de diseminación, el
correo electrónico, sitios de internet, redes, dispositivos móviles, dispositivos
removibles.
[ CITATION DeA08 \l 10250 ]
D. Integridad: Uno de los tres principios básicos (los otros dos son el principio
de confidencialidad y el de disponibilidad) de la implementación de la seguridad de la
información. La integridad implica que debe salvaguardarse la totalidad y la exactitud de
la información que se gestiona. [ CITATION Sto13 \l 10250 ]
34
E. Plan de contingencia: Documento donde constan los procedimientos a seguir, la
tecnología y las personas requeridas para la contención de la situación adversa y la
recuperación de las actividades de la Institución frente a la ocurrencia de un desastre,
plasmados en un estrategia de continuidad de las operaciones. (Poyato & Martínez,
2000).
F. Riesgo: Es una medida de la magnitud de los daños frente a una situación peligrosa. El
riesgo se mide asumiendo una determinada vulnerabilidad frente a cada tipo de peligro. Si
bien no siempre se hace debe distinguirse adecuadamente entre peligrosidad(probabilidad
de ocurrencia de un peligro), vulnerabilidad (probabilidad de ocurrencia de daños dado
que se ha presentado un peligro) y riesgo (Soldano, 2005).
G. Seguridad: La seguridad se enfoca en la protección y la privatización de sus
sistemas y en esta se pueden encontrar dos tipos: La seguridad lógica que se enfoca en la
protección de los contenidos y su información y la seguridad física aplicada a los equipos
como tal, ya que el ataque no es estrictamente al software y también al hardware y
también la infraestructura informática es una parte fundamental para la preservación del
activo más valioso que es la información, así mismo se busca mantener la
confidencialidad, integridad, autenticidad, y disponibilidad que son los datos recordando
símbolos que representan hechos, situaciones, condiciones o información es el resultado
de procesar o transformar los datos la información es significativa para el usuario.
(Cervantes & Ochoa, 2012)
H. Virus: Son un tipo más del conjunto de software denominado como “malware” los
virus en sí son programas informáticos cuyos objetivos son la reproducción y el provocar
algún tipo de daño en el sistema informático, que puede ir desde una simple molestia
hasta la pérdida de valiosa información.

35
(De Armas, 2008)
I. Vulnerabilidad: Debilidad en un activo que lo hace susceptible de ser atacado.

(Stolk, 2013).
J. Ataque: Es cualquier acción que explota una vulnerabilidad (Stolk, 2013).
K. Amenaza: Cualquier circunstancia con el potencial suficiente para causar pérdida o
daño al sistema (Stolk, 2013).
2.4 Formulación de Hipótesis
2.4.1 Hipótesis General
El Sistema de Seguridad Informática se relaciona significativamente con la Gestión
de Riesgo en el Hospital Regional Huacho.
2.4.2 Hipótesis Específicas
 EL Sistema de Seguridad Físico se relaciona significativamente con la Gestión de

 El Sistema de Seguridad Lógico se relaciona significativamente con la Gestión de


36
CAPITULO III. METODOLOGÍA
3.1 Diseño Metodológico
3.1.1 Diseño
El diseño de la presente investigación es no experimental, ya que no existe
manipulación de las variables; y es transversal debido a que se desarrolla durante
un periodo de tiempo determinado.
3.1.2 Tipo de la Investigación
El tipo de investigación es de tipo aplicada, debido a que se utilizan herramientas
sobre sistemas de seguridad informática y la Gestión de Riesgo, para aplicarlos, en
la investigación, para beneficio de la institución.
3.1.3 Nivel
El nivel de la investigación es Correlacional; debido a que se trata de averiguar el
grado de relación entre el Sistema de Seguridad informática y la Gestión de Riesgo
en el Hospital Regional de Huacho.
3.2 Población y Muestra
3.2.1 Población
La Presente investigación contara con una población de 30 Usuarios que son Jefes de
Área, Directivos, Administrativos y personal técnico del Área de Informática del
Hospital Regional Huacho.
3.2.2 Muestra
37
En el estudio no se aplicara el muestreo debido a que los elementos de estudio están
formados por toda la población.
3.3 Operacionalización de variables e Indicadores
3.3.1 Variables
V1: Sistema de seguridad informática
V2: Gestión de Riesgo
3.3.2 Indicadores
X1: Uso de clave confidencial
X2: Uso de técnicas de control
X3: Protección de datos en caso de accidente.
X4: Accesibilidad de los sistemas
X5: Protección de datos modificados
X6: utilización de Sistemas por usuarios autorizados.
Y1: Robo
Y2: Virus
Y3: Incendio por instalación
3.4 Técnicas e instrumentos de recolección de datos
38
La técnica a utilizar es la encuesta utilizándose como instrumento el cuestionario donde
se realizaran las preguntas pertinentes a los usuarios; donde ellos calificaran las
preguntas planteadas en el ámbito de seguridad informática según cada área donde se
desempeñen.
También se utiliza la técnica de la entrevista y como instrumento una ficha donde se
anotaran las respuestas de los entrevistados.
3.4.1 Técnicas a emplear
Las técnicas para la obtención de la información que se necesitara para el
desarrollo de la investigación será:
 Cuestionario
 Entrevista
3.4.2 Descripción de los instrumentos
Entrevista:
Sabino, (1992:116) comenta que la entrevista, desde el punto de vista del método
es una forma específica de interacción social que tiene por objeto recolectar datos
para una investigación.

Se realizó una entrevista a cada usuario en la cual se le dio una ficha para que anote
según su criterio las preguntas dadas, para de esta manera poder determinar los
problemas de seguridad informática y los diversos riesgos que existen en el
Hospital Regional de Huacho y ver la validez de la hipótesis y su respectiva
solución.
Encuesta:
Díaz de Rada (2001:13), describe a la encuesta como la búsqueda sistemática de
información en la que el investigador pregunta a los investigados sobre los datos
39
que desea obtener, y posteriormente reúne estos datos individuales para obtener
durante la evaluación datos agregados.
En la presente Investigación se utilizó encuestas para los usuarios donde se
preguntaron acerca de los diversos puntos de la seguridad informática y los
diversos riesgos que se pueden presentar.
3.5 Técnicas para el procesamiento de la información
Se evaluará el nivel de validez de los resultados y el grado de correlación entre las
variables estudiadas aplicando el análisis de varianza, el coeficiente alfa de Cronbach y
correlación lineal y se utilizara los programas de Excel y SPSS para el procesamiento de
los datos.
40
CAPITULO IV. PROPUESTA DE IMPLEMENTACIÓN DEL SISTEMA DE
SEGURIDAD INFORMATICA EN EL HOSPITAL REGIONAL DE HUACHO.
El presente estudio de Investigación sobre SISTEMA DE SEGURIDAD INFORMÁTICA
Y SU RELACIÓN CON LA GESTIÓN DE RIESGO EN EL HOSPITAL REGIONAL DE
HUACHO; básicamente se Implementaría en el ÁREA DE INFORMÁTICA de dicho
Hospital.
4.1 DESCRIPCIÓN DEL ÁREA DE INFORMÁTICA
Es la encargada de planear, coordinar, controlar y evaluar las actividades de
desarrollo de sistemas y servicios de cómputo. Es por ello que el área de Informática es de
suma importancia para las diversas áreas que requieren la solución, optimización y calidad
funcional de sus equipos para continuar sus actividades y seguir con sus responsabilidades
de trabajo.
En base a la importancia que toma cada vez esta área, se ve la necesidad de ubicarla en un
contexto mucho más amplio dentro de la empresa, influyendo con mayor vigor en los
lugares estratégicos de la organización donde los beneficios de su aplicación podrán
apreciarse como nunca en la historia de esta área, al fortalecer enormemente las
actividades operativas, de control y de servicio.
A. DESCRIPCIÓN DE LAS OPERACIONES
A continuación, se presenta la descripción de las operaciones principales del Área de
Informática, del Hospital Regional de Huacho Huaura Oyón y SBS.
41
A1. Instalación y configuración de software
Primeramente, se realiza la comprobación si el equipo cumple con los
requisitos mínimos para la instalación y configuración del software, se
debe verificar la compatibilidad, etc. A veces es necesario desinstalar
versiones anteriores del mismo software para instalarle las más
actualizadas con la finalidad de brindarle al usuario un equipo que le
permita realizar sus actividades de manera correcta.
Con lo que respecta a software se realiza las instalaciones y
configuraciones del desde lo esencial para el funcionamiento del
ordenador como son: drivers de pantalla, de audio, de red, del sistema, de
teclado, de mouse, lectores ópticos etc., Además de la instalación de
software de oficina como, Microsoft Office normalmente la versión
2007,2010 y 2013, los Software utilitarios como exploradores,
reproductores, antivirus debidamente actualizados, entre otros, también se
realiza la instalación de los diferentes aplicativos que se manejas en
diferentes áreas del Hospital Huacho Huaura Oyón y SBS como Historias
Clínicas, Inventario , Caja, Índice de masa corporal y otros. Además de
sistemas utilizados por instituciones del estado como son, Sistema
Integrado de Gestión Administrativa (SIGA) y Sistema Integrado de
Administración Financiera (SIAF).
Al finalizar la instalación, configuración y actualización del software
completo se realiza una copia de seguridad del sistema, para que en el
futuro se pueda restaurar cuando ocurran problemas de infección de virus
o lentitud del equipo, dicha copia de respaldo se almacena en una carpeta

42
llamada “Computo no tocar” de la partición. Secundaria del disco duro del
equipo.
A2. Mantenimientos de los equipos de cómputo
Para realizar el mantenimiento de los diferentes equipos de cómputo, se
tiene en cuenta el uso de diferentes materiales, herramientas e insumos
para dar soporte técnico a las computadoras, así como la aplicación de
conocimientos para detectar fallas en las diferentes partes del equipo
como son: placa base, fuente de poder, disco duro, lectores ópticos,
memorias, procesador y tarjetas de red dependiendo del caso presentado.
El procedimiento es el siguiente, primeramente, se realiza una limpieza
general del equipo, luego se instalan o retiran las piezas para que la
computadora empiece a funcionar de manera correcta, de tal manera que
vamos descartando las posibilidades, y de esa manera vamos a identificar
el problema que ocasiona el mal funcionamiento del equipo para luego
realizar las acciones correspondientes para dejar el equipo operativo.
A3. Mantenimientos de la red de información

Primeramente, verificar si el problema se encuentra en la computadora,
debido a cables desconectados, otro de los problemas suele suceder
cuando el cable de datos ha sufrido roturas por lo cual se debe realizar el
testeo correspondiente para verificar con exactitud a cuantos metros a
sufrido la rotura para realizar el cambio respectivo. En muchas
oportunidades, otra de las causas se debe a que las tarjetas de red se
hayan deteriorado por lo cual se debe de realizar el informe respectivo
para su compra, otra de las causas de mal funcionamiento de la red de
43
información se debe a la des configuración y/o desinstalación de los
controladores / drivers de red, para lo cual se debe de identificar el
modelo de la placa y realizar la instalación o actualización respectiva.
B. DESCRIPCIÓN DE LOS SERVICIOS
El servicio principal del Área de Informática, del Hospital Regional de
Huacho Huaura Oyón y SBS, es el de brindar el mantenimiento y soporte
técnico a las diferentes áreas de la organización así como a las diferentes
micro redes que la componen, el personal encargado atiende la solicitud de
servicio de soporte técnico, mantenimiento de equipos o red de información,
se recibe el equipo y brevemente se toma en cuenta cual es el motivo, luego se
realiza las diferentes actividades de mantenimiento y soporte técnico para
descartar las distintas posibilidades que ocasionan el mal funcionamiento del
equipo, una vez identificado el problema se realiza el soporte respectivo para
solucionar el problema, en muchos de los casos los problemas son
solucionados con la restauración del sistema operativo a una copia de
seguridad creada y almacenada en el disco duro del equipo al momento de su
configuración o en la última atención de soporte y mantenimiento realizada.
Se instala los software requerido y se actualiza respectivamente para volver a
crear una nueva copia de seguridad que remplazará a la anterior luego el
equipo es sometido a las pruebas de funcionamiento para verificar si el
problema fue solucionado, si el equipo está operativo se realiza el registro del
trabajo realizado en la base de datos inventario para verificar la productividad
de cada personal que previamente a obtenido un nombre de usuario y un
password de acceso, el registro se realiza tomando en cuenta datos como:
44
número de inventario del equipo, unidad o área de donde proviene, cuál fue el
problema por el que se solicitó el servicio de soporte y mantenimiento, cuál
fue el problema encontrado y cuáles fueron las causas y que es lo que se hizo
para solucionarlo, el proceso finaliza con la instalación del equipo en el área
de trabajo donde pertenece o en la entrega a la persona que solicito el soporte
y mantenimiento, para ello debemos tener en cuenta la compatibilidad, caso
contrario si luego de las diferentes actividades realizadas se ha determinado
que el equipo está obsoleto se realiza el informe de baja y es enviado a la
Unidad de Patrimonio.
C. DESCRIPCIÓN DE EQUIPOS
A continuación, se muestra la tabla con el listado de los equipos del Área de
Informática donde se presenta cada uno de ellos con sus respectivas
especificaciones.
Por motivos de seguridad de la organización solo nos fueron proporcionadas
algunas características de cada uno de los equipos que a continuación se
presentan:
TABLA 1: Equipos del Área de Informática
45
EQUIPOS TIPOS TOTAL
SERVIDORES HP Proliant DL380e

IBM eServerx Series 225
HP Proliant ML370 Gen4 4
IBM System x3630 M4
COMPUTADORAS  PC DE ESCRITORIO 3
 ADAPTADOS A SERVIDORES 5
IMPRESORA EPSON FX 890 1
SWITCH Cisco Small Bussiness SG300-52
Cisco Small Bussiness SG300-28 3
D Link DES-1016D
MODEM  CLARO 2
 MOVISTAR 3
UPS BLAZER VISTA S 4
AIRE ACONDICIONADO SPLIT 1
FUFUENTE: Elaboración Propia.

D.ORGANIGRAMA FUNCIONAL
46
FIGURA 4: Organigrama Funcional del Área de Informática.
FUENTE: El Área de Informática
E. IDENTIFICACIÓN DE LOS PROBLEMAS A SOLUCIONAR
El Área de Informática, es un Área que pertenece al Hospital Regional de Huacho
Huaura Oyón y SBS, es la responsable de suministrar al hospital en mención:
soporte informático de hardware y software, desarrollo de aplicaciones
empresariales, administración de las redes de comunicaciones (internet, intranet,
telefonía y correo institucional), administración de bases de datos, control de
servidores y asesoría tecnológica a la organización.
El Área de Informática cumple una función importante de acuerdo a las
problemáticas, por ello no cuenta con un servidor Active Directory en las cuales
controle el acceso a los usuarios de manera eficiente de tal manera sea muy
vulnerable a cualquier tipo de situación que se presenta día a día a nivel de todas
las áreas.
47
Los usuarios tienen acceso ilimitado a carpetas compartidas por lo cual debería
tener un mayor control de las informaciones que posee dicho usuario para así tener
un mejor funcionamiento de los recursos administrados.
El personal de las diferentes áreas tiene acceso a ingresar a cualquier tipo de
periférico tales como USB, discos duros y cargar los celulares los cuales
permitirían una contaminación con virus.
Otro problema muy particular es que serían necesario las restricciones de acceso a
internet ya que el usuario no cumple debidamente su función con respecto a su
trabajo y por ende gasta el tiempo en otras cosas como navegar en páginas de
YouTube, Facebook, páginas de mayores, etc.
4.2 PROPUESTA DE IMPLEMENTACIÓN

A. PLANTEAMIENTO
El Área de informática brinda servicios a diferentes áreas que son se suma
importancia del Hospital Regional de Huacho, pero a su vez necesitan de lo ya
mencionando la implementación del Servidor Active Directory, ya que como se
muestra existe deficiencias para el control de acceso de usuarios que para una
institución no es lo recomendable.
B. OBJETIVOS
El objetivo es implementar el Servidor Active Directory en el Área de informática del
Hospital Regional de Huacho para controlar los accesos que se dan a los usuarios e
ingresos a aplicativos de acceso a internet.
C. METODOLOGÍA Y PROCEDIMIENTO
48
Para empezar la implementación del servidor de Active Directory, podrá mejorar el
acceso a los usuarios, grupos de trabajo y recursos.
A continuación, se mostrará los pasos para lo que será la instalación del Active
Directory cuando se Implemente.
Se instalara el servidor de Active Directory en donde se creara grupos de trabajo, que
serán “Logística”, “Informática” , “Personal”, entre otras áreas administrativas así
como también crearemos usuarios y los asignamos a los grupos correspondientes, para
luego hacer las pruebas, las cuales son:
- Crear y compartir una carpeta entre “Logística” e “Informática”,
haciendo que sólo estas Áreas pudieran abrir y editar los documentos
dentro de la carpeta (Permisos de Lectura y Escritura).

- Crear y compartir una carpeta entre “Logística” e “Informática” con
permisos de Lectura y Escritura, pero también con permisos de Sólo
Lectura al grupo “Personal”.

- Definir fondos de pantalla personalizados para todas las
computadoras dentro del servidor con el logo de la empresa del
Hospital Regional de Huacho.

- Las computadoras unidas al dominio solo puedan ser usadas con
cuentas creadas en el servidor del dominio.

- Asignar permisos de Administrador a un usuario el encargado será el
jefe del Área de Informática para que pueda tener acceso a todas las
carpetas compartidas.
49
FIGURA 5: Instalación Active Directory.
FUENTE: Elaboración propia
D. DESARROLLO
D.1 Implementar un Servidor Active Directory
Este Servidor Active Directory se implementara con la finalidad de controlar los
accesos que se dan a los usuarios e ingresos a aplicativos de acceso a internet.
Para esta implementación será en el área de Informática debido a que brinda
todos los servicios del hospital en el cual cumple dicha función.
Para esta implementación se utilizara el Servidor HP ProLiant ML350 Gen9 (de
generación 9): descripción general:
Descripción del Producto:
El servidor HP ProLiant ML350 Gen9 ofrece una combinación líder en el sector
de rendimiento, capacidad de ampliación, capacidad de gestión, fiabilidad y
facilidad de mantenimiento, lo que lo convierte en la opción ideal para PYMES,
oficinas remotas y centros de datos en expansión.
El servidor ML350 Gen9 aprovecha los últimos procesadores de Intel E5-2600 v3
con hasta un 70 % de aumento de rendimiento 1, además de la más reciente HP
DDR4 SmartMemory, ofreciendo un aumento del rendimiento de hasta el 14 %.
50
FIGURA 6: Servidor HP ProLiant ML350 Gen9.
Característica del Producto
TABLA 2: Características del Servidor HP ProLiant ML350 Gen9.
Procesador Intel® Xeon® Six-Core: E5-2620v3 (2.4GHz).

Posee de fábrica 1 Procesador con 15MB Level 3
cache
Soporte de Procesador Soporta hasta 2 procesadores
Memoria RAM / Expansión Estándar 16 GB (1 x 16 GB) RDIMM / Máximo 1.5
TB usando LRDIMM / El máximo se logra con la
instalación de los dos sockets (servidor posee 12
DIMM slots por socket).
Slot de expansión 4 slots PCI-Express 3.0 estándar (2 slots x16 y 2
slots x8). Posibilidad de adicionar 4 slots PCI-
Express 3.0 (2 slots x16 y 2 slots x8) y uno PCI-
Express 2.0 x8. Es necesario contar con el 2do
procesador para adicionar slots.
Discos incluidos No incluido
Capacidad de discos Soporta un máximo estándar: Ocho (8) discos SFF
2.5” Hot Plug de serie SAS o SATA
Máximo opcional: 38.4TB (32 x 1.2TB) con Serial
Attached SCSI (SAS) ó 32TB (32 x 1TB) con Serial
51
ATA (SATA).
Controlador de disco / Controladora de Almacenamiento P440ar/2GB Flash
RAID BackupWrite Cache, soporta RAID
0/1/1+0/5/5+0/6/6+0/1 ADM. SAS 12Gb.
Controlador de red Tarjeta integrada de cuatro puertos de 1Gb - HP 331i
con soporte de VMwareNetQueue and Microsoft
VMQ. Incluye soporte avanzado como Large Send
offload capability, TCP checksum and segmentation,
VLAN tagging. Un slot FlexLOM disponible.
Fuente de poder y Estándar con una fuente de poder reemplazable en
refrigeración caliente Flex Slot de 500 Watts Platinum con 94%
de eficiencia. Soporta opción de añadir 2º
fuente para redundancia 1+1. Todos los modelos
poseen estándar ventiladores Hot Plug.
Sistemas operativos Microsoft Windows Server 2008 R2, Windows
soportados Server 2012 R2, Hyper-V, RHEL, SLES, VMware,
Ubuntu y Citrix.
Garantía 3 años - Garantía de Fabricante.
FUENTE: Tienda Especializada de Cómputo MAGITECH.
En el Área de Informática donde se implementara el Servidor Active Directory cumplirá
los diversos funcionamientos para las áreas administrativas en donde se tiene una
población entre 80 y 100 máquinas las cuales son las siguientes:
 Área de Personal.
 Área de Dirección ejecutiva.
 Área de Logística.
 Área de OCI (Órgano de Control Patrimonial).
 Área de Planeamiento Estratégico.
 Área de Economía.
 Área de Gestión de Calidad.
E. RESULTADOS
52
Al tener Implementado el Servidor Active Directory en el Área de informática tendrá
estas ventajas:
 El aumento de ancho de banda (mayor velocidad).
 La descontaminación de virus
 El control de uso de internet (Se restringe a las páginas sociales, páginas de adulto,
etc.).
 Evita el robo de información en tal manera no sufra una adulteración de modificación
de datos
 Evita el ingreso no autorizado de otras personas
 Ahorro de material de impresión
 Aumento de la productividad del trabajo
CAPITULO V. RESULTADOS ESTADISTICOS
5.1 RESULTADOS METODOLÓGICOS
5.1.1 Validez del Instrumento
La validez del instrumento (Instrumento para la toma de datos) de la presente
investigación, se realizó por medio del juicio de expertos, en donde ellos
evaluaron y a criterio propio calificaron el contenido del cuestionario empleado.
Los expertos que realizaron fueron los siguientes:
Experto 1: Ing. Ramírez Sánchez Julio Américo – CIP N° 144859.
Experto 2: Ing. Huamán Tena Noé – CIP N° 16758.
Experto 3: Ing. Gallardo Andrés Jhonar Ángel – CIP N° 138158.
53
Las calificaciones para los criterios de validación, que se mencionan en la hoja de
juicio de experto (Juicio de Expertos ver en el Anexo05) con respecto al
contenido del instrumento, se muestran en la siguiente tabla:
TABLA 3: Calificación de los Expertos
EXPERTOS
Nª PREGUNTA Y ALTERNATIVAS TA
E1 E2 E3
Pregunta Nº 1 y sus alternativas 1 1 1 3
Totalmente de Acuerdo (TA)= 10 10 11 31
Donde: 1 = Totalmente de Acuerdo (TA)
0 = Totalmente en Desacuerdo (TD)
CÁLCULO DEL COEFICIENTE DE VALIDEZ
Total de Acuerdo
Validez=
Total de Acuerdo ( TA )+Total de Desacuerdo ( TD )
31
Variable= = 0.94 = 94%
31+2
Con una validez general de 94% según la escala de validez el instrumento tiene
Excelente validez; SISTEMA DE SEGURIDAD INFORMÁTICA Y SU RELACIÓN
54
CON LA GESTIÓN DE RIESGO EN EL HOSPITAL REGIONAL DE HUACHO (Ver
tabla 4), de acuerdo al criterio de los expertos.
TABLA 4: Calificación de los Expertos
ESCALA INDICADOR
0.00 - 0.53 Validez Nula
0.54 - 0.64 Validez Baja
0.65 - 0.69 Válida
0.70 - 0.80 Muy Válida
0.81 - 0.94 Excelente Validez
0.95 - 1.00 Validez Perfecta
FUENTE: (Herrera, 1998)
5.1.2 CONFIABILIDAD DEL INSTRUMENTO
Se realizó el análisis de fiabilidad en el programa estadísticos SPSS Statistics 23.0
al instrumento aplicado a todos los participantes o integrantes del Hospital Regional de
Huacho (Jefes del Área, Personal técnico, Directivos, Administrativos).
Se obtuvo una fiabilidad de 0.724 (ver en el Anexo04), este instrumento estuvo
conformado por 11 ítems, distribuidos para la variable independiente: Seguridad
Informática y para la variable dependiente: Relación con la Gestión de Riesgo en el
Hospital Regional de Huacho.
TABLA 5: Alpha de Cronbach aplicado al Instrumento.
Alpha de Cronbach Nº de elementos
0.724 11
Este quiere decir que el instrumento tiene una valoración de Muy Confiable según la
escala de expertos, como se muestra a continuación en la tabla 6.
55
TABLA 6: Escala de Confiabilidad
ESCALA INDICADOR
0.00 - 0.53 Confiabilidad Nula
0.54 - 0.64 Confiabilidad Baja
0.65 - 0.69 Confiable
0.70 - 0.80 Muy Confiable
0.81 - 0.94 Excelente Confiabilidad
0.95 - 1.00 Confiabilidad Perfecta
FUENTE: (Herrera, 1998)
5.1.3 TABLAS Y GRÁFICOS ESTADÍSTICOS
5.1.3.1 INTERPRETACIÓN DE LOS DATOS:
Se estableció los datos estadísticos en el software SPSS teniendo en cuenta 11
ítems que se precisaron en la encuesta con la representación gráfica de barras de
los cuales la escala de valoración Likert fueron: siempre, casi siempre, alguna
veces y nunca.
56
GRÁFICO N°1
FIGURA 7: Encuesta del Grafico N°1.

ELABORACIÓN: Propia.
INTERPRETACIÓN
El en gráfico de barra podemos observar que el 100% (30 encuestados), establece que el uso
de antivirus debe ser permanentemente puesto para su computadora donde la escala de
valoración es siempre.
57
GRÁFICO N°2

ELABORACIÓN: Propia
INTERPRETACIÓN
El en gráfico podemos observar que el 52% (16 encuestados) determina que siempre es
necesario que cada jefe de área maneje una clave de acceso a registro, el 28% (8 encuestados)
establecen la escala de valoración casi siempre y en la escala de algunas veces solo precisa el
20% (6 encuestados).
58
GRÁFICO N°3

INTERPRETACIÓN
El en gráfico podemos observar que el 64% (19 encuestados) determina que la propagación
de un software malicioso siempre dañaría tu información registrada en tu computadora, el
28% (9 encuestados) establecen la escala de valoración casi siempre y en la escala de algunas
veces solo precisa el 8% (2 encuestados).
59
GRÁFICO N°4

INTERPRETACIÓN
En el gráfico de barras podemos observar que el 20% (6 encuestados) precisa que siempre ha
contado con sistemas de seguridad para impedir el paso a lugar de acceso privado, el 32% (10
encuestados) posee una valoración de casi siempre, el 16% (4 encuestados) establecen la
escala de valoración algunas veces y por último se precisa el 32% (10 encuestados) nuca ha
contado con sistemas de seguridad para impedir el paso a lugares de acceso restringido.
60
GRÁFICO N°5

INTERPRETACIÓN
En el gráfico de barras podemos observar que el 88% (27 encuestados) considera relevante la
seguridad de la información del Hospital, el 8% (2 encuestados) determina una escala de
valoración de casi siempre y el 4% (1 encuestado) solo algunas veces considera relevante la
seguridad de la información del Hospital.
61
GRÁFICO N°6

INTERPRETACIÓN
En el gráfico de barras podemos observar que el 40% (12 encuestados) Precisa en sus
respuestas que la utilización de una copia de seguridad o backup pueden proteger su equipo
de cómputo de cualquier problema, el 24% (7 encuestados) determina una escala de
valoración de casi siempre, el 20% (6 encuestados) establecen la escala de valoración algunas
veces y por último el 16% (5 encuestado) considera que nunca han utilizado una copia de
seguridad o backup cuando se pierde una determinada cantidad de archivos.
62
GRÁFICO N°7

INTERPRETACIÓN
En el gráfico de barras podemos observar que el 56% (17 encuestados) Precisa en sus
respuestas que la restricción de acceso a programas y archivo malicioso pueden proteger tu
equipo de cómputo, el 28% (8 encuestados) determina una escala de valoración de casi
siempre y el 16% (5 encuestado) considera que algunas veces la restricción de acceso a
programas y archivos malicioso pueden proteger el equipo.
63
GRÁFICO N°8

INTERPRETACIÓN
En el gráfico de barras podemos observar que el 64% (19 encuestados), determina que
siempre es necesario para mantener la seguridad física el uso de sistema de aire
acondicionado en el área de computo, el 32% (10 encuestados), establecen la escala de
valoración de casi siempre y el 4% (1 encuestado) solo determina que algunas veces es
necesario.
64
GRÁFICO N°9

INTERPRETACIÓN
En el gráfico de barras podemos observar que el 24% (7 encuestados) determina que tienen
medios adecuados para extinción de fuego en caso suceda algún inconveniente, el 24% (7
encuestados) posee una valoración de casi siempre, el 16% (5 encuestados) establecen la
escala de valoración algunas veces y por último se precisa el 36% (11 encuestados) nunca han
tenido medios adecuados para extinción de fuego en caso suceda inconvenientes.
65
GRÁFICO N°10

INTERPRETACIÓN
siempre es necesario que los usuarios deben estar protegidos mediante un plan de seguridad
informático en el hospital, el 16% (5 encuestados), establecen la escala de valoración de casi
siempre y el 4% (1 encuestado) solo determina que algunas veces es necesario.
66
GRÁFICO N°11

INTERPRETACIÓN
siempre es necesario que su equipo de cómputo esté conectado a una línea tierra, el 20% (6
encuestados), establecen la escala de valoración de casi siempre y el 4% (1 encuestado) solo
determina que algunas veces es necesario.
67
5.1.4. Contrastación de Hipótesis
En la realización de la contrastación de hipótesis se empleó la data obtenida del
cuestionario: SISTEMA DE SEGURIDAD INFORMATICA Y SU RELACION
CON LA GESTIÓN DE RIESGO EN EL HOSPITAL REGIONAL DE
HUACHO, donde se obtuvo las respuestas a las 11 preguntas planteadas,
contestadas según escala de Likert, siendo: (1) siempre, (2)casi siempre,
(3)algunas veces y (4)nunca.
 A) PRUEBA DE HIPOTESIS DE INDICADORES X1 – Y

Ho: El Sistema de Seguridad Informática no tendrá relación con la Gestión de
Riesgo en el Hospital Regional de Huacho.

H1: El Sistema de Seguridad Informática tendrá relación con la Gestión de

B) Con un nivel de significancia: Del 5% (α=0.05)
C) Estadístico de Prueba
χ² crítico (gl; α)
D) Criterio de Decisión
Se rechazara la Ho si:
χ² crítico < χ² calculado
Si se rechaza Ho la de independencia, entonces existe relación entre ambas
variables.
E) Cálculos
1. Tabla de Contingencia y Frecuencias Esperadas
La tabla 7, tiende a consolidar las respuestas del instrumento de la
investigación en valor cuantitativo según la escala de Likert que
corresponden a las variables Sistema de Seguridad Informática (X) y
Gestión de Riesgo (Y), asimismo consolida las frecuencias esperadas
según el cálculo respectivo.

FfxFc
Fe=
n
Donde:
Fe: Frecuencia esperada
Ff: Frecuencia total de una fila
Fc: Frecuencia total de una columna
El cálculo de la frecuencia esperada para la fila 1 columna 1 es:
68
6 x 14
Fe= =2.8
30
TABLA 7: Tabla de Contingencia y Frecuencias Esperadas(X - Y), en SPSS 23.
Gestión de Riesgo
Algunas
Siempre Casi Siempre Veces Total
Sistema seguridad Siempre Recuento 5 1 0 6

Informática Recuento esperado 2,8 2,8 ,4 6,0
Casi Siempre Recuento 9 13 1 23
Recuento esperado 10,7 10,7 1,5 23,0
Algunas Veces Recuento 0 0 1 1
Recuento esperado ,5 ,5 ,1 1,0

Total Recuento 14 14 2 30
2. Grado de Libertad
Para el cálculo de los grados de libertad se considera la siguiente ecuación
gl= (f-1) (c-1)
Donde:
gl: Grados de libertad
f: Número de filas
c: Número de columnas
Por lo tanto:
gl= (3-1) * (3-1) = 4
3. Valor crítico para el estadístico de prueba
χ² crítico (gl; α) = χ² crítico (4; 0.05) = 9.4877
4. Valor calculado para el estadístico de prueba
El estadístico de prueba chi cuadrado, se calcula con la ecuación
siguiente:
fe
fo−¿
¿
χ² calculado ¿2
¿
¿∑ ¿
Donde:
2
x : Grados de Libertad
fo : Frecuencia Observada
fe : Frecuencia Esperada
Por lo tanto:
69
fe
fo−¿
¿
¿2 2.8 30
¿ 1−¿ 30−¿
x
2
Calculado = 2.8 + ¿ +…+ ¿
5−¿ ¿ 2 ¿ 2
¿ ¿ ¿
¿2 ¿ ¿
¿
∑¿
TABLA 8: Tabla de prueba de chi cuadrado (X - Y), en SPPS 23.
Significación
Valor gl asintótica (bilateral)
Chi-cuadrado de Pearson 18,230a 4 ,001

Razón de verosimilitud 10,111 4 ,039
Asociación lineal por lineal 6,718 1 ,010
N de casos válidos 30
Interpretación:
Como tu P valor es menor al nivel de significación de muestra que es 0.001,
menor al 0.05, se considera que el error es bajísimo por lo tanto se Rechaza la
Hipótesis Nula y en su lugar se Acepta la Hipótesis Alternativa del investigador.
E) Toma de Decisión
Como χ² calculado = 18,230 es mayor a χ² crítico = 9,4877 y cae en la región
de rechazo, entonces rechazamos la Ho y aceptamos la H1, a un nivel de
70
significancia del 5%, es decir, que el Sistema de Seguridad Informática se
relaciona significativamente con la Gestión de Riesgos en el Hospital
Regional de Huacho.
 Contrastación de Hipótesis Específicas

En este apartado se desarrolló la contrastación de hipótesis específicas,
mediante la lógica de solución de la prueba de independencia chi cuadrada
de la hipótesis general y utilizando los valores cuantitativos del
instrumento documental Sistema de Seguridad Informática
(Confidencialidad, Integridad y Disponibilidad) y la Gestión de Riesgo en
las categorías comprendidas en la escala de Likert.
Confidencialidad (D1) y Gestión de Riesgo (Y)

A) Formulación de Hipótesis
Ho: La confidencialidad del Sistema de Seguridad Informática no se
relaciona significativamente con la Gestión de Riesgo del Hospital Regional
de Huacho.
H1: La confidencialidad del Sistema de Seguridad Informática se relaciona
significativamente con la Gestión de Riesgo del Hospital Regional de
Huacho.
TABLA 9: Tabla de prueba chi-cuadrado (D1 - Y), en SPSS 23.

Gestión de Riesgo
Siempre Casi Siempre Algunas Veces Total
Confiabilidad Siempre Recuento 9 2 0 11
Recuento esperado 5,1 5,1 ,7 11,0

71
B) Valor crítico para el estadístico de prueba
χ² crítico (gl; α) = χ² crítico (4; 0,05) = 9,4877
TABLA 10: chi-cuadrado (Confidencialidad – Gestión de Riesgo), en SPSS 23.
Significación asintótica
Valor Gl (bilateral)
a
Chi-cuadrado de Pearson 9,773 4 ,044
Interpretación:
menor al 0.05, se considera que el error es bajísimo por lo tanto se Rechaza la
Hipótesis Nula y en su lugar se Acepta la Hipótesis Alternativa del investigador.
C) Toma de Decisión
Como χ² calculado = 9,773 es mayor a χ² crítico = 9,4877 y cae en la región
de rechazo, entonces rechazamos la Ho y aceptamos la H1, a un nivel de
significancia del 5%, es decir, que la confidencialidad en el Sistema de
Seguridad Informática se relaciona significativamente con la Gestión de
Integridad (D2) y Gestión de Riesgo

A) Formulación de la Hipótesis
Ho: La integridad del Sistema de Seguridad Informática no se relaciona
significativamente con la Gestión de Riesgo en el Hospital Regional de
Huacho.
H1: La integridad del Sistema de Seguridad Informática se relaciona
Huacho.
72
Gestión de Riesgo
Integridad Siempre Recuento 6 5 0 11

χ² crítico (gl; α) = χ² crítico (4; 0.05) = 9,4877
TABLA 12: chi-cuadrado (Integridad – Gestión de Riesgo), en SPPS 23.

Significación
Valor Gl asintótica (bilateral)
a
Chi-cuadrado de Pearson 19,740 4 ,001
Interpretación:
73
menor al 0.05, se considera que el error es bajísimo por lo tanto se Rechaza
la Hipótesis Nula y en su lugar se Acepta la Hipótesis Alternativa del
investigador.
Como χ² calculado = 19,740 es mayor a χ² crítico = 9,4877 y cae en la
región de rechazo, entonces rechazamos la Ho y aceptamos la H1, a un nivel
de significancia del 5%, es decir, que la confidencialidad en el Sistema de
Disponibilidad (D3) y Gestión de Riesgo (Y)

A) Formulación de la Hipótesis
Ho: La Disponibilidad del Sistema de Seguridad Informática no se relaciona
Huacho.
H1: La Disponibilidad del Sistema de Seguridad Informática se relaciona
Huacho.

Gestión de Riesgo
Disponibilidad Siempre Recuento 8 3 0 11
Nunca Recuento 0 1 0 1
74
Recuento esperado ,5 ,5 ,1 1,0

χ² crítico (gl; α) = χ² crítico (6; 0.05) = 12,5916
TABLA 14: chi-cuadrado (Disponibilidad – Gestión de Riesgo), en SPSS 23.
Significación
Valor Gl asintótica (bilateral)
Chi-cuadrado de Pearson 18,660a 6 ,005

Interpretación:
menor al 0.05, se considera que el error es bajísimo por lo tanto se Rechaza
la Hipótesis Nula y en su lugar se Acepta la Hipótesis Alternativa del
investigador.
Como χ² calculado = 18,660 es mayor a χ² crítico = 12,5916 y cae en la
región de rechazo, entonces rechazamos la Ho y aceptamos la H1, a un nivel
de significancia del 5%, es decir, que la confidencialidad en el Sistema de
75
RESUMEN, ANÁLISIS E INTERPRETACIÓN DE LA PHE
TABLA 15: Análisis e Interpretación de la PHE.
DECISIÓN
CONTRASTACIONES
H. NULA H. ALTERNATIVA
Determinar la relación entre el Sistema …….. Se Acepta

de Seguridad Física y la Relación con la
Determinar la relación entre el Sistema …….. Se Acepta
de Seguridad Lógica y la Relación con
Sobre los indicadores establecidos en nuestra investigación, se encuentra que entre ellos si
existe Relación, es decir con una Probabilidad del 95%, en las dos pruebas de hipótesis se
tiene la Aceptación de la Hipótesis Alternativa, lo que nos conduce a una Aceptación de
relación entre variables.
POR LO TANTO:
En las dos pruebas de hipótesis, se encuentra que en su totalidad se Acepta la Hipótesis
Alternativa, dando paso al Rechazo de la Hipótesis Nula, con lo que se confirma la
ACEPTACIÓN DE LA HIPÓTESIS PRINCIPAL, es decir que: El Sistema de Seguridad
Informática se Relaciona con la Gestión de Riesgo en el Hospital Regional Huacho.
76
CAPITULO V. DISCUSIÓN, CONCLUSIONES Y RECOMENDACIONES
5.1 DISCUSIÓN
Debido a que el uso de Internet se encuentra en aumento, cada vez más las empresas
públicas y privadas permiten a sus socios y proveedores acceder a sus sistemas de
información. Por lo tanto, es fundamental saber qué recursos de la empresa necesitan
protección para así controlar el acceso al sistema y los derechos de los usuarios del
sistema de información.
Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a
través de Internet. En este sentido, la Seguridad Informática sirve para la protección de
la información, en contra de amenazas o peligros, para evitar daños y para minimizar
riesgos, relacionados con ella.
Por ello esta investigación se centra en encontrar un correlación entre las dos variables
que son Sistemas de seguridad y gestión de riesgos para los equipos de cómputo como
77
sabemos el avance la tecnología engloba aspectos negativos y positivos ahora queremos
realzar la misión el cumple la seguridad informática porque entendiendo su importancia
comprenderemos que la información que maneja cada usuario en su equipo de cómputo
necesita de una seguridad física y lógica.
Por ello sería necesario implementar en el Hospital un sistema que sea seguro o fiable y
podamos garantizar tres aspectos: confiabilidad, integral y disponibilidad.
Estableciendo esta investigación como base preliminar a cualquier actividad aplicativa
en base a sistema de seguridad informática.
78
5.2 CONCLUSIONES
 Si bien nuestro objetivo fue determinar el grado de significancia entre el Sistema
de seguridad informática y la gestión de riesgo, con nuestro instrumento de
recolección de datos que fue la encuesta, pudimos encontrar un alto grado de
importancia en los ítems de seguridad por la respuesta de cada encuestado fue
favorable para determinar que los indicadores establecidos son de suma
importancia en la investigación.
 Se concluye la correlación entre una y otra variable, determinando así que este
tema elegido es de vital importancia en el Hospital Regional de Huacho.

 La seguridad informática es el conjunto de normas, procedimientos y
herramientas, que tienen como objetivo garantizar la disponibilidad, integridad,
confidencialidad y buen uso de la información que reside en un sistema de
información.
 Cada día más y más personas mal intencionadas intentan tener acceso a
los datos de nuestros ordenadores.

El acceso no autorizado a una red informática o a los equipos que en ella se
encuentran puede ocasionar en la gran mayoría de los casos graves problemas.

 Uno de las posibles consecuencias de una intrusión es la pérdida de datos. Es un
hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de
79
las copias de seguridad. Por ende con la propuesta de implementación del
servidor Active Directory la autenticación asegurara que los usuarios que acceden
a la red estén autorizados siendo de esta manera un importante mecanismo para
asegurar los recursos de la red e información.

 Otro de los problemas más dañinos es el robo de información sensible y
confidencial. La divulgación de la información que posee una empresa sobre
sus clientes puede acarrear demandas millonarias contra esta, o un ejemplo más
cercano a usted es el de nuestras contraseñas de las cuentas de correo por las que
intercambiamos información con otros. Con la constante evolución de las
computadoras es fundamental saber que recursos necesitar para obtener seguridad
en los sistemas de información.
80
5.3 RECOMENDACIONES
En el Hospital Regional de Huacho se debe cambiar no solo por las diversas
vulnerabilidades en el control de sus equipos sino que también necesita una protección
en sus datos, información y sistemas de la manera que pueda obtener una mayor
confiablidad, disponibilidad e integridad en su manejo de la seguridad es por ello que es
necesario poner en funcionamiento el Sistema de Seguridad informática ya que están
orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en
sistemas informáticos.
Para el manejo de esta técnica y por todo lo investigado se recomienda también que
mientras se van implementando nuevas tecnologías se vaya tomando en cuenta para la
buena gestión del hospital el Sistema de Seguridad informática ya que todo influirá para
la buena atención del usuario, la tranquilidad y satisfacción de los encargados de área.
Si queremos que el servicio del Hospital Regional de Huacho mejore en el aspecto de la
seguridad informática se debe tener del apoyo de cada jefe o área responsable para el
cuidado y protección de los datos y equipos de cómputo para dar una buena calidad en su
funcionamiento.
81
CAPITULO VI: FUENTES DE INFORMACIÓN
6.1 Fuentes Bibliográficas
Viteri Jiménez, M. J. (2014). Políticas de Seguridad Informática en el Departamento de

Tecnología de la Información y Comunicación. Tesis de pregrado. Ecuador:
Universidad Técnica Estatal de Quevedo. Obtenido de
http://repositorio.uteq.edu.ec/handle/43000/130
Alvarez Basaldúa, L. D. (2005). Seguridad en Informática- Auditoría en Sistemas. Tesis de

Maestría. México: Universidad Iberoamericana . Obtenido de
http://www.bib.uia.mx/tesis/pdf/014663/014663.pdf
Baez , R., & Mina, P. (2011). Metodología para el desarrollo de firewalls de software
mediante Java. Implementación de un prototipo para la U.T.N. Tesis de pregrado.
Ecuador: Universidad Técnica del Norte.
Borghello, C. F. (2001). Seguridad Informática sus implicancias e implementación. Tesis de

pregrado. Universidad Tecnológica Nacional. Obtenido de
https://www.academia.edu/10446995/SEGURIDAD_DE_LA_INFORMACION
Cervantes Sánchez, O., & Ochoa Ovalle, S. (Julio de 2012). Seguridad Informática.
(Edumed.net, Ed.) Obtenido de www.eumed.net/rev/cccss/21/
Córdova Rodríguez, N. E. (2013). Plan de Seguridad Informática para una Entidad

Financiera. Tesis de Pregrado. Perú: Universidad Nacional Mayor de San Marcos.
Obtenido de
http://sisbib.unmsm.edu.pe/bibvirtual/Tesis/Basic/cordova_rn/contenido.htm
De Armas, G. (2008). Virus Informático. Tesis de pregrado. Obtenido de

www.ccee.edu.uy/ensenian/catcomp/material/VirusInf.pdf
Gómez, L., & Andrés, A. (2009). Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre
seguridad en sistemas de información para pymes. Iso 27001. España: AENOR.
Obtenido de http://www.varios.cen7dias.es/documentos/documentos/90/iso.pdf
Hermoso, R., & Vasirani, M. (2012). Seguridad Informática y Control de Acceso. Tesis de
Pregrado. España: Universidad Rey Juan Carlos. Obtenido de www.ia.urjc.es
82
Juárez Vargas, H. (2005). Sistema de Seguridad de Software Aplicando Criptografía. Tesis de
pregrado. Perú: Universidad Nacional del Altiplano. Obtenido de
http://www.unap.edu.pe
Latham, D. (26 de Diciembre de 1983). Departament Of Defense Standard. System

Evaluation Criterial. USA.
Stolk, A. (2013). Técnicas de Seguridad Informática con software libre. México. Obtenido de
http://www.human.ula.ve/ceaa/temporal/fundamentos_de_seguridad.pdf
Tallana Farinango, L. (2012). Auditoría de Seguridad Informática de la Empresa Corporación

Elite. Tesis de pregrado. Ecuador: Universidad de las Américas Laureate Internacional
Universities.
Zuccardi , G., & Guiterrez, J. D. (Octubre de 2006). Pegasus.Javeriana. Obtenido de

http://pegasus.javeriana.edu.co/~edigital/Docs/Seguridad%20Informatica/Seguridad
%20Informatica%20v1.0.pdf
83
ANEXOS
84
ANEXO 01: CUESTIONARIO
UNIVERSIDAD NACIONAL
JOSÉ FAUSTINO SANCHEZ CARRIÓN
FACULTAD DE INGENIERIA INDUSTRIAL, SISTEMAS E INFORMÁTICA
Cuestionario de Encuesta para determinar el grado de relación entre el Sistema de

Seguridad Informática y la Gestión de Riesgo en el Hospital Regional de Huacho.
I.PRESENTACIÓN
Estimado (a) señor (a), el presente cuestionario es parte de una investigación que tiene por
finalidad obtener información, acerca de la Recolección de datos del Sistema de seguridad
informática y la Gestión de Riesgo en el Hospital Regional de Huacho.
II.INSTRUCCIONES
- Este cuestionario es anónimo. Por favor responda con sinceridad.
- Escriba a que área pertenece, lea detenidamente cada ítem. Responda el ítem y
ponga una escala valorativa que se muestra en el cuadro.
- Gracias por su colaboración.
Área: ________________________________________________________________
PREGUNTAS Siempre Casi Algunas Nunca
Siempre Veces
1. ¿Cree usted que el uso de antivirus debe ser permanentemente

activo para su computadora?
2. ¿Es necesario que cada jefe de área maneje una clave de acceso a
registro?
3. ¿La propagación de un software malicioso dañaría tu
información registrada en tu computadora?
4. ¿Cuenta con sistemas de seguridad para impedir el paso a
lugares de acceso restringido?
5. ¿Considera relevante la seguridad de la información del
Hospital?
6. ¿Se utiliza una copia de seguridad o backup cuando se pierde
una determinada cantidad de archivos?
7. ¿crees que la restricción de acceso a programas y archivos
maliciosos pueden proteger tu equipo de cómputo?
8. ¿Es necesario para mantener la seguridad física el uso de sistema

de aire acondicionado en el área de cómputo?
9. ¿Tienen medios adecuados para extinción de fuego en caso
suceda algún inconveniente?
10. ¿Para que el usuario tenga confianza de que sus datos estén
protegidos es necesario tener un plan de Seguridad Informática en
el Hospital?
11. ¿Es necesario que su equipo de cómputo esté conectado a una
línea tierra (Tercer polo del toma corriente)?
Escala valorativa
85
Siempre Casi siempre Algunas veces Nunca
1 2 3 4
86
ANEXO 02: MATRIZ DE CONSISTENCIA.
VARIABLES,
PROBLEMA OBJETIVOS HIPOTESIS INDICADORES METODOLOGÍA
DIMENSIONES
PROBLEMA GENERAL OBJETIVO GENERAL HIPOTESIS GENERAL V1 -Uso de clave confidencial TIPO DE
INVESTICAGIÓN
- El Sistema de Sistema de Seguridad -Uso de técnicas de control
Informática. - Aplicada
Seguridad Informática
¿Qué relación existe - Establecer la relación se relaciona -Protección de datos
DIMENSIONES modificados Nivel
entre el Sistema de entre el Sistema de significativamente con
Seguridad Informática y Seguridad Informática y la Gestión de Riesgo en- Confidencialidad.
-Protección de datos en caso - Correlacional.
la Gestión de Riesgo en la Gestión de Riesgo en el Hospital Regional- Integridad.
de accidente.
el Hospital Regional el Hospital Regional Huacho. Disponibilidad. Diseño
Huacho. Huacho. -Accesibilidad de los sistemas
. HIPOTESIS V2
PROBLEMA - No experimental.
ESPECIFICA -utilización de Sistemas por
Gestión de Riesgo
ESPECIFICO OBJETIVO usuarios autorizados.
ESPECIFICO a) EL Sistema de
DIMENSIONES Población
Seguridad Físico se -Robo
a) Determinar la relación relaciona - Criminalidad. - 30 trabajadores
a) ¿Qué relación existe -virus
entre el Sistema de significativamente con la - Sucesos físicos.
entre el Sistema de Seguridad Físico y la Gestión de Riesgo en el - Negligencia.
Seguridad Físico y la Gestión de Riesgo en el -Incendio Instrumentos de
Hospital Regional
Gestión de Riesgo en el Hospital Regional recolección de
Huacho.
Hospital Regional -falta de corriente datos
Huacho.
Huacho? b) b)
-Compartir contraseñas -Encuesta
b) ¿Qué relación existe
c) Determinar la relación c) El Sistema de Seguridad - Cifrar datos críticos. -Entrevista
entre el Sistema de lógico se relaciona
entre el Sistema de
Seguridad Lógico y la significativamente con la
Seguridad Lógico y la
Gestión de Riesgo en el Gestión de Riesgo en el
Gestión de Riesgo en
Hospital Regional Hospital Regional
el Hospital Regional
Huacho?
Huacho.
87
Huacho.
NOMBRE: SISTEMA DE SEGURIDAD INFORMÁTICA Y SU RELACIÓN CON LA GESTIÓN DE RIESGOS EN EL HOSPITAL REGIONAL DE HUACHO .
88
ANEXO 03: VISTA DE VARIABLES Y VISTA DE DATOS REALIZADOS EN LA
ENCUESTA EN EL SOFTWARE SPSS 23.
89
90
ANEXO 04: USUARIOS ENCUESTADOS Y LA FIABILIDAD DEL INSTRUMENTO.
91
Estadísticas de fiabilidad
Resumen de procesamiento
Alfa de Cronbach de casos
N de elementos
,724 N 11%
Casos Válido 30 100,0
Excluidoa 0 ,0
Total 30 100,0
ANEXO 05: MODELO DE JUICIO DE EXPERTO.

SISTEMA DE SEGURIDAD INFORMÁTICA Y SU RELACIÓN CON LA GESTIÓN DE RIESGOS EN EL
HOSPITAL REGIONAL DE HUACHO
I. DATOS GENERALES
1.1. Apellidos y nombres del juez: …………………………………………………..
1.2. Especialidad: ……………………………. Grado: …………………………….
1.3. Nombre del instrumento evaluado: Encuesta
1.4. Autor del instrumento: Carlos Jesús Peña Núñez
II. DATOS DE LA INVESTIGACIÓN
2.1. Título:
Sistema de Seguridad Informática y su Relación con la Gestión de Riesgo en el Hospital Regional Huacho.
2.2. Objetivo:
92
Establecer la relación entre el Sistema de Seguridad Informática y su Relación con la Gestión de Riesgo en el Hospital
Regional Huacho.
III. ASPECTOS DE VALIDACIÓN
Nunca Algunas Casi Siempre

INDICADORES CRITERIOS Veces Siempre
1 2 3 4
Permite medir hechos observables
I. OBJETIVIDAD
Está formulado con un lenguaje
CLARIDAD
II. apropiado y comprensible
Tener relación entre las variables

III. COHERENCIA
Presentación ordenada: problema –
IV. ORGANIZACIÓN objetivos – hipótesis
Adecuado al avance de la ciencia y
V. ACTUALIDAD tecnología para el desarrollo.
Permite conseguir datos de acuerdo a los
VI. PERTINENCIA objetivos planteados y correspondientes
Comprende aspectos de la variable en
VII. SUFICIENCIA calidad y cantidad suficiente en el proceso
Pretende conseguir datos basados en
VIII. CONSISTENCIA Teorías o modelos teóricos.
(Realización del conteo de cada una de las categorías de la escala)
IV. CALIFICACIÓN GLOBAL ……………………………

N INTERVALO INTERPRETACION …………………………………………………………………
1 [0.01-0.20> Validez Nula …………………………………………………………………
…………………………………………...
2 [0.21-0.64> Validez baja
3 [0.41-0.69> Válida Huacho,…….de…………….. del 2017
4 [0.61-0.80> Muy Válida
5 [0.61-0.80> Excelente Validez
6 [0.81-0.94] Validez Perfecta
Firma del Experto

DNI:
93

Tesis2017-Copia-Final Peña

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Tesis2017-Copia-Final Peña

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD NACIONAL

JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

FACULTAD DE INGENIERÍA INDUSTRIAL, SISTEMAS E

SISTEMA DE SEGURIDAD INFORMÁTICA Y SU RELACIÓN CON LA

GESTIÓN DE RIESGO EN EL HOSPITAL REGIONAL DE HUACHO

Para obtener el título profesional de Ingeniero de Sistemas

CARLOS JESÚS PEÑA NÚÑEZ

Ing. ANGEL HUAMÁN TENA

Registro CIP 41456

Hospital Regional de Huacho

PEÑA NÚÑEZ, CARLOS JESÚS

Universidad Nacional José Faustino Sánchez Carrión

Nota del Autor:

Egresado de la facultad de Ingeniería Industrial, Sistemas e Informática, de la

Escuela Académico Profesional de Ingeniería de Sistemas, presento mi proyecto de

tesis con la finalidad de obtener el Título Profesional de Ingeniero de Sistemas; esta

investigación será desarrollada de forma individual y el financiamiento

Ing.José Germán Soto La Rosa Ing. Alcibiades Flamencio Sosa Palomino

Registro CIP 29081 Registro CIP 22467

Ing. José Antonio Galdos Felipe Ing. Angel Huamán Tena

Registro CIP 129716 Registro CIP 41456

A Dios, por darme la vida, porque siempre puedo

A mi madre por sus sabios consejos, los cuales

Agradezco, ante todo y en primer lugar a Dios,

A mi asesor el Ing. Angel Huamán Tena, por sus

1.3 Objetivos de la investigación............................................................................................3

CAPITULO II. MARCO TEÓRICO.....................................................................................4

2.1.3 Investigaciones nacionales.......................................................................................8

2.2 Bases teóricas............................................................................................................11

2.3 Definiciones conceptuales..............................................................................................34

2.4 Formulación de Hipótesis...............................................................................................36

CAPITULO III. METODOLOGÍA......................................................................................37

3.2 Población y Muestra.......................................................................................................37

3.3 Operacionalización de variables e Indicadores..............................................................38

3.4 Técnicas e instrumentos de recolección de datos...........................................................38

3.5 Técnicas para el procesamiento de la información.........................................................40

5.1.3 TABLAS Y GRÁFICOS ESTADÍSTICOS.................................................................56

5.1.4. Contrastación de Hipótesis.........................................................................................68

CAPITULO V. DISCUSIÓN, CONCLUSIONES Y RECOMENDACIONES.................79

En la actualidad nos encontramos en la era de la tecnología es por ello que

diversas instituciones públicas o privadas, que brindan un servicio al sector público

nuestros sistemas. El desarrollo del presente estudio estuvo orientado a Sistema de

Seguridad Informática y su relación con la Gestión de riesgos en el Hospital Regional de

La propuesta fue inspeccionada y validada por especialistas profesionales de la

facultad de ingeniería industrial, sistemas e informática de la Universidad Nacional José

Faustino Sánchez Carrión. Y para su validación de campo se utilizó el diseño

Correlacional de las cuales se observó preocupación con la problemática de los Riesgos

que con la ayuda de la tecnología (modelos informáticos) se puede tener seguridad.

hipótesis generales y especificas a través de relación de variables (Software SPSS

las dimensiones de la variable Seguridad Informática y su relación con la Gestión de

Riesgos en el Hospital Regional de Huacho.

Palabras Claves: Seguridad informática, Gestión de riesgos y Aprendizaje de

Regional Hospital of Huacho.

The proposal was inspected and validated by professional specialists of the

faculty of industrial engineering, systems and informatics of the National University

help of technology (computer models) you can have security.

Management at the Huacho Regional Hospital.

Los recursos del sistema de información (material informático o programas) de

En concordancia al contexto emergente y realidad problemática referida en líneas anteriores

En esta tesis se presenta los siguientes capítulos:

En el Capítulo I, el cual se desarrolla el marco de la realidad problemática formulada sobre

En el Capítulo IV, se presenta los resultados de la investigación donde se muestra los

En el Capítulo V, se presenta las conclusiones y recomendaciones de la tesis.