NQA ISO 27001 Guia de Implantacion
NQA ISO 27001 Guia de Implantacion
NQA ISO 27001 Guia de Implantacion
AUTOR:
Reyes Ramirez, Ronald Enrique (orcid.org/0000-0002-5112-7023)
ASESORES:
Dra. Alza Salvatierra, Silvia Del Pilar (orcid.org/0000-0002-7075-6167)
Dr. Vargas Huamán, Jhonatan Isaac (orcid.org/0000-0002-1433-7494)
LÍNEA DE INVESTIGACIÓN:
Auditoría de Sistemas y Seguridad de la
Información
ii
AGRADECIMIENTO
iii
DECLARATORIA DE AUTENTICIDAD DEL ASESOR
iv
DECLARATORIA DE ORIGINALIDAD DEL AUTOR
v
Índice de contenidos
Página
Carátula i
Dedicatoria ii
Agradecimiento iii
Declaratoria de autenticidad del asesor iv
Declaratoria de originalidad del autor v
Índice de contenidos vi
Índice de tablas vii
I. INTRODUCCIÓN 10
II. MARCO TEÓRICO 14
III. METODOLOGÍA 32
3.1. Tipo y diseño de investigación 32
3.2. Variables y operacionalización 33
3.3. Población, muestra y muestreo 33
3.4. Técnicas e instrumentos de recolección de datos 34
3.5. Procedimientos 36
3.6. Métodos de análisis de datos 36
3.7. Aspectos éticos 37
IV. RESULTADOS 38
V. DISCUSIÓN 45
VI. CONCLUSIONES 52
VII. RECOMENDACIONES 53
REFERENCIAS 54
ANEXOS 61
vi
Índice de tablas
Página
Tabla 1 Distribución de frecuencias de la Gestión de activos según pre y postest
38
Tabla 2 Estadísticos de la prueba de rangos con signo de Wilcoxon de la Gestión
de activos 40
Tabla 3 Prueba de rangos con signo de Wilcoxon de la Gestión de activos 40
Tabla 4 Estadísticos de la prueba de rangos con signo de Wilcoxon de los activos
de hardware 41
Tabla 5 Prueba de rangos con signo de Wilcoxon de Activos de hardware 42
Tabla 6 Estadísticos de la prueba de rangos con signo de Wilcoxon de los activos
de software 42
Tabla 7 Prueba de rangos con signo de Wilcoxon de Activos de software 43
Tabla 8 Estadísticos de la prueba de rangos con signo de Wilcoxon de los activos
de información 44
Tabla 9 Prueba de rangos con signo de Wilcoxon de Activos de información 44
Tabla 10 Operacionalización de la variable Gestión de Activos de TI 63
Tabla 11 Análisis de fiabilidad 78
vii
RESUMEN
viii
ABSTRACT
The general objective was to determine the influence of the International Standard
ISO/IEC 27001:2022 for IT Asset Management in a Public Institution, Ica - 2023. It
contains the analysis, implementation and seeks to solve the problem through the
applicability of the International standard.
The results concluded and demonstrated the significant impact of the international
standard ISO/IEC 27001:2022, which indicate a significant improvement in the
management of hardware, software and information assets, and are endorsed by a
value of p=0.001<0.005. This not only confirms the rejection of the null hypothesis
(H0) but also underlines the effectiveness of ISO/IEC 27001:2022 in strengthening
IT asset management.
ix
I. INTRODUCCIÓN
10
seguridad destinadas a proteger y gestionar los activos de tecnologías de la
información (ITAM) donde residen los datos.
11
¿Cómo influye la norma internacional ISO/IEC 27001:2022 en la Gestión de
Activos de TI en una institución pública, Ica 2023?
12
Por último, la justificación metodológica, se sustenta por el diseño
preexperimental, buscando sustentar y mejorar ITAM. Con el propósito de obtener
resultados fidedignos recopilados mediante instrumentos metodológicos fiables y
válidos por expertos.
13
II. MARCO TEÓRICO
De igual forma Kurnianto et al. (2018) cuya investigación fue “Evaluación del
SGSI ISO/IEC 27001:2013 En Subdirección de Data Center y Centro de
recuperación de datos en el Ministerio del Interior”, por la Universidad Diponegoro,
La seguridad de la información es un problema que concierne a todos los procesos
empresariales de una organización, es buena y cumple con los estándares
internacionales, se realiza utilizando el SGSI - ISO/IEC 27001:2013. se llevó una
evaluación de nivel elevado para analizar la robustez de la SI en el Ministerio de
Asuntos Internos. La investigación detalla la construcción de la evaluación, la cual
se implementó mediante PHP. Los datos de entrada se basan en información
14
primaria y secundaria recopilada a través de observaciones. El proceso adquiere
madurez a través de la evaluación conforme a la ISO/IEC 27001:2013. El Análisis
de Brechas observa situaciones actuales y luego proporciona recomendaciones y
un plan de acción. El resultado de esta investigación identifica que todos los
procesos de información en el Ministerio de Asuntos Internos aún no son lo
suficientemente buenos, y brinda recomendaciones y un plan de acción para
mejorar parte de todos los sistemas de información que se están ejecutando. Esto
indica que ISO/IEC 27001:2013 evalúa la madurez de la gestión de SI. Como
siguiente análisis, esta investigación utiliza las Cláusulas y Anexos de ISO/IEC
27001:2013 que son adecuados para las condiciones del Centro de Datos y el
Centro de Recuperación de Datos.
Del mismo modo Valencia & Orozco (2017) La metodología que propone
para la aplicacion de un SGSI está basada en la ISO/IEC 27000, destacando la
interrelación de cuatro normas fundamentales que abarcan las actividades
necesarias para cumplir ISO 27001, los controles ISO 27002, el esquema de la
norma ISO 27005 y todos los pasos que se recomiendan en la norma ISO 27003.
Como resultado, se ha desarrollado una metodología que proporciona orientación
sobre cómo abordar un proyecto. El proceso metodológico representa una
contribución para todos los profesionales encargados en esta labor y están
buscando un enfoque para lograr un SGSI implementado de forma exitosa.
Asimismo, Park & Lee (2014) indicando que las organizaciones utilizan
información importante en su negocio diario. La salvaguarda de información
confidencial es crucial y requiere una gestión adecuada. Empresas en diversas
partes del mundo resguardan información confidencial mediante la implementación
del estándar internacional conocido como SGSI (ISMS por sus siglas en inglés). La
serie ISO 27000 constituye el estándar internacional de ISMS utilizado para
preservar la integridad, disponibilidad y confidencialidad de información sensible.
Aunque un ISMS basado en la serie ISO 27000 no presenta defectos específicos
para los sistemas de información en general, no resulta adecuado para administrar
información sensible (ICS por sus siglas en inglés). Esto se debe a que la principal
prioridad del control industrial es la seguridad del sistema. Por lo tanto, se requiere
un nuevo SGSI basado en la integridad, confidencialidad, disponibilidad y seguridad
15
para los ICS.
De igual forma, Rose et al. (2016) cuya investigación indicando que a medida
que el negocio crece, las tareas que antes eran tolerables se vuelven pesadas. Esto
es especialmente evidente en un negocio donde los compartimentos estancos
impiden una visión completa de principio a fin de los flujos de trabajo y los procesos.
La gestión de configuración y de activos son dos puntos problemáticos en los que
participan múltiples unidades de negocio, pero que constantemente enfrentan
obstáculos debido a su antigüedad, falta de automatización y falta de interacciones
con otras aplicaciones vitales. La sugerencia de introducir un nuevo sistema de
16
Gestión (ITALM) y Gestión de Configuraciones (CM) mediante el empleo de
Arquitecturas de Referencia (RAs) actualizadas, como ISO 55000-2 para la gestión
de activos y ANSI/EIA 649B para CM, contribuirá a la adopción de las mejores
prácticas durante su implementación. La integración de tecnologías de seguimiento
de activos inalámbricos también puede desempeñar un papel crucial al establecer
un método continuo y automatizado para monitorear los ciclos de vida de los activos
desde su inicio hasta el final de su utilidad. Aunque comúnmente se asocian los
activos con hardware, es esencial reconocer que el software constituye un activo
fundamental que debe ser rastreado. Dado que el software que opera en los activos
físicos está sujeto a cambios debido a defectos constantes y vulnerabilidades recién
descubiertas, contar con un mecanismo para rastrear y evaluar las versiones de
software que se ejecutan en los activos físicos puede ser clave para la aplicación
proactiva de parches y actualizaciones, evitando así posibles problemas críticos de
software. Aunque el negocio no promueve ni instituye activamente un programa de
Arquitectura Empresarial, se recomienda practicar sus principios a lo largo de este
proceso utilizando arquitecturas de referencia, como TOGAF y su Método de
Desarrollo de Arquitectura (ADM), métodos ágiles scrum de scrum y reuniendo al
equipo adecuado para dar un paso atrás y observar la imagen de toda la empresa.
17
clientes. Se desarrolla un sistema de monitoreo de equipos en tiempo real para la
empresa industrial utilizando GPS, códigos de barras y RFID.
Por último, Idowu et al. (2022) cuya investigación fue Gestión de activos en
aprendizaje automático: estado de la investigación y estado de la práctica por la
universidad de Gothenburg, donde indica que los componentes de aprendizaje
automático son esenciales para los sistemas de software actuales, lo que genera
la necesidad de adaptar las prácticas tradicionales de ingeniería de software al
desarrollar sistemas basados en aprendizaje automático. La necesidad de abordar
numerosos desafíos asociados al desarrollo de componentes de aprendizaje
automático, como la gestión de activos, experimentos y dependencias, es evidente.
En respuesta a estos desafíos, han surgido diversas herramientas de gestión de
activos que desempeñan un papel crucial. Comprender el respaldo proporcionado
por estas herramientas resulta fundamental para facilitar tanto la investigación
como la implementación, con un enfoque nativo en activos de aprendizaje
automático e ingeniería de software. Este artículo sitúa la gestión de activos de
aprendizaje automático como una disciplina que ofrece métodos y herramientas
mejoradas para llevar a cabo operaciones en el ámbito de los activos de
aprendizaje automático. Se presenta una encuesta basada en características de 18
herramientas de estado de la práctica y 12 herramientas de estado de la
investigación que respaldan la gestión de activos de aprendizaje automático. Se
resumen sus características, las cuales abordan la gestión de diversos tipos de
activos utilizados en experimentos de aprendizaje automático. En términos
generales, la mayoría de las herramientas de estado de la investigación se enfocan
en el seguimiento, exploración y recuperación de activos para abordar
preocupaciones de desarrollo, como la reproducibilidad. En contraste, las
herramientas de estado de la práctica también ofrecen funcionalidades de
colaboración y operaciones relacionadas con la ejecución de flujos de trabajo.
Además, los activos se rastrean predominantemente de manera intrusiva desde el
código fuente mediante API, gestionándose a través de paneles web o interfaces
de línea de comandos (CLI). Se identifican la colaboración asincrónica y la
reutilización de activos como áreas de enfoque para nuevas herramientas y
técnicas.
18
Asimismo, Hayllami (2020) En su investigación que trata de la Gestión de
Riesgos con enfoque en el SGSI para el Ministerio de Salud, el principal objetivo
fue evaluar el impacto de la implementación de un SGSI en la administración del
riesgo. Se adoptó un enfoque metodológico hipotético-deductivo, con un diseño
cuantitativo aplicado y una estructura longitudinal correlacional. La población bajo
estudio comprendió a 145 empleados. La recopilación de datos se llevó a cabo
mediante dos herramientas diseñadas para medir las variables pertinentes. El
análisis de los resultados se basó en el coeficiente estadístico de Rho de
Spearman, que facilitó la validación de las hipótesis a través de los datos
recopilados con las herramientas aplicadas. Los resultados revelaron la existencia
de una relación positiva y significativa entre las variables SGSI y Gestión del Riesgo
19
investigación preexperimental. Durante el estudio, se manipuló la variable de SI
para evaluar su efecto en el teletrabajo. Se realizó un análisis longitudinal al llevar
a cabo dos mediciones, una antes y otra después, y se trabajó con una muestra de
45 empleados. Además, el cuestionario fue revisado por 3 ingenieros con maestría
y doctorado, y se evaluó su confiabilidad, obteniendo un valor de 0.874. Los
resultados del estudio revelaron de manera significativa (to=13.857 > tc=1.680; sig.
0.00 < 0.05) que la incorporación de medidas de SI (ISO27001) influye en el
teletrabajo durante la pandemia de Covid-19 en la empresa OSIR E.I.R.L. en
Ancash en 2022. El análisis descriptivo mostró una reducción del 44.4% en el nivel
deficiente, una mejora del 22.2% en el nivel regular y un aumento del 66.7% en el
nivel eficiente, lo cual evidencia la eficacia lograda en la empresa. En resumen, en
conclusión, la implementación de medidas de SI (ISO27001) tiene un efecto
significativo en el teletrabajo durante la pandemia de Covid-19 en la empresa OSIR
E.I.R.L. en Ancash en 2022. Estos resultados se respaldan con la disminución en
el nivel deficiente, la optimización en el nivel regular y el aumento en el nivel
eficiente, lo cual demuestra el desarrollo de eficiencia en la empresa.
20
remoto.
21
y conceptos. Por lo tanto, la transdisciplinariedad no implica la eliminación del
conocimiento disciplinario, sino la búsqueda de una perspectiva más amplia. Según
García (2020), Se señala que una TGS se fundamenta en la perspectiva de
aprendizaje. El autor detalla su intención, el procedimiento utilizado y los alcances
de su teoría de la actividad, así como la teoría de estructura que se desprende de
ella. Estas teorías se revelan más beneficiosas para su aplicación práctica en
comparación con la antropología filosófica y la filosofía social. Además, sobrepasan
a los modelos que consideran a organizaciones e individuos desde la óptica de
sistemas extremadamente estables. Finalmente, Stoica et al. (2015) resalta que en
la ingeniería de software, la TGS introduce el concepto de sistema-modelo,
fusionando el proceso de diseño de ingeniería de software en una teoría de toma
de decisiones y un enfoque basado en valores de bajo riesgo. El sistema-modelo
se define como una agrupación de componentes interconectados y coherentes que
colaboran para conceptualizar, desarrollar y entregar un sistema de software.
Dentro de esta teoría general de sistemas, este concepto se emplea para
representar diversas dimensiones de un proyecto, tales como los interesados, los
modelos relacionados con el dominio o entorno, el éxito, las decisiones, el producto,
el proceso y la propiedad.
22
En el siguiente punto abordaremos las definiciones de las variables.
23
vulnerabilidades, así como el impacto y la probabilidad asociados.
24
pueden implementar y se evalúa su efectividad para mitigar un riesgo. d) Estimación
de Impacto, se realiza una estimación del impacto, entendido como el daño
causado a la propiedad como consecuencia de una amenaza. e) Estimación de
Riesgo, se calcula el riesgo, que es la estimación del impacto ponderado por la
probabilidad de ocurrencia del peligro. Estos pasos proporcionan un marco integral
para comprender y gestionar los riesgos de manera efectiva.
25
en una agencia que abarca diversas actividades. Además, los activos están bajo la
gestión de la industria (AUM) y se estima que actualmente ascienden a alrededor
de $87 billones a nivel mundial. Por último, Wang et al. argumentan que los activos
de Tecnologías de la Información (TI) en sí mismos no influyen directamente en el
desarrollo de las empresas. En cambio, sostienen que la gestión de estos activos
se presenta como un recurso estratégico capaz de potenciar la ventaja competitiva
y el crecimiento de una organización.
26
Segunda dimensión, Gestión de Activos de Software, según Axelos Limited
(2019), Su enfoque está especialmente diseñado para administrar de manera
específica la obtención, creación, introducción, implementación, mantenimiento y
posterior retirada de activos de software. Según Albert et al. (2013) sugieren que la
Gestión de Activos de Software (SAM) es una metodología para rastrear los activos
de software, permitiendo a las organizaciones mantener y optimizar su utilización
del software. La meta principal es alinear el uso del software con los derechos de
licencia adecuados proporcionados por los proveedores de software, con el fin de
mitigar los riesgos de tecnologías de la información asociados con posibles
incumplimientos de licencias. Asimismo La Gestión de Activos de Software (SAM),
según Varela et al. (2018), brinda a las organizaciones las herramientas y procesos
necesarios para identificar no solo sus activos de software, sino también para
entender su utilización, ubicación y configuración. Este enfoque asegura que las
organizaciones cumplan con los requisitos de licencia y aborda la asimetría de la
información al registrar de manera integral todos los activos de software
desplegados en sus redes, como señala la Organización Internacional de
Normalización (2015).
27
priorización de los activos de información se consideran elementos integrales en
este proceso.
28
Shelf-ware se refiere a la situación en la que la organización paga por software o
renovación de mantenimiento que no está en uso y no es necesario. Este problema
es más común en el caso de Software como Servicio (SaaS) en comparación con
el software local tradicional. Un adecuado ITAM contribuye a evitar este tipo de
gastos innecesarios, optimizando así los recursos financieros de la organización.
ITAM eficaz evita que se produzcan estanterías (b) Recolección es cuando se retira
el hardware, las licencias de software consumidas por ese hardware deberían estar
disponibles para volver a implementarse dentro de la organización; sin embargo,
esto solo es posible con un ITAM efectivo (c) Optimización de la arquitectura, sin
un ITAM eficaz, las organizaciones pueden configurar sus entornos de forma no
optimizada desde el punto de vista de las licencias, lo que hace que se necesiten
más licencias sin ningún beneficio funcional u operativo para la organización (d)
Negociación desde una posición de conocimiento, sin un ITAM efectivo, las
organizaciones carecen de información sobre sus necesidades y están a merced
de los editores de software cuando negocian contratos de software.
Las etapas del ciclo de vida de los activos de TI son cinco, son bastante
convencionales e incluyen todas las etapas anteriores designadas por el NIST, pero
en un nivel superior.
29
La Planificación es la etapa donde las organizaciones desarrollan sus
requisitos para nuevos activos. Esto implica una evaluación minuciosa de los
activos existentes y su historial de uso. Las organizaciones pueden tomar en
consideración la posibilidad de reutilizar los activos que ya poseen. Incluso si los
activos que en su momento fueron de vanguardia ya no son adecuados para ciertos
usos, aún conservan valor si se destinan a propósitos distintos. En la fase de
Adquisición se busca identificar la fuente más adecuada para obtener los activos
de Tecnologías de la Información necesarios. Aprovechando tanto los recursos
internos como los externos, se procede al desarrollo, recuperación, obtención y
compra de computadoras, servidores, laptops o tabletas apropiadas, con el objetivo
de realizar un uso más eficiente del presupuesto disponible para TI. En la etapa de
Despliegue, los activos son serializados y puestos en uso activo. Estos pueden ser
implementados en departamentos que manejan y procesan datos con diferentes
niveles de confidencialidad. La implementación puede ocurrir de forma remota o en
las instalaciones, en dispositivos de punto final destinados al personal o clientes,
ya sea de forma centralizada o distribuida, y también pueden estar alojados en
diversos centros de datos. La etapa de Gestión constituye la fase operativa diaria
en el ciclo de vida de los activos de Tecnologías de la Información, abarcando el
seguimiento y mantenimiento de unidades y dispositivos. El mantenimiento
planificado se realiza para prolongar la vida útil de los activos de TI, asegurar
operaciones más eficientes, preservar la disponibilidad adecuada de los datos y
prevenir la pérdida de información. La fase de Desecho generalmente ocurre
cuando los activos se vuelven obsoletos o se considera que tienen un alto riesgo
de falla. Los servidores, unidades o computadoras que experimentan fallos
inesperados también atraviesan un proceso de eliminación. Los activos se pueden
destruir físicamente o se pueden desinfectar todos los datos a un nivel de Purga
utilizando un software de borrado de datos certificado.
Por otro lado, el procedimiento operativo del ITAM implica registrar un activo
al recibirlo, asignar y documentar un número de serie, cargar una imagen base de
TI con un listado de software aprobado, incluyendo agentes de gestión de
configuración y de activos que comienzan a supervisar e informar sobre los activos
una vez registrados. Estos agentes recopilan información previamente establecida
por los administradores.
30
Los agentes de gestión de configuración aplican una línea base de seguridad
y configuración, mientras que los agentes de gestión de activos de software
capturan los detalles del software instalado. Ambas categorías de agentes envían
informes a sus respectivos servidores, que funcionan como almacenes de datos.
Los servidores formatean los datos antes de enviar informes periódicos al motor de
análisis. A través de la capacidad de visualización de este motor, un analista o
gerente puede acceder a un informe visual con un nivel específico de detalle. Los
cambios que afectan los atributos de los activos se registran en estos informes
enviados al motor de análisis.
31
III. METODOLOGÍA
G01- X02
32
3.2. Variables y operacionalización
Definición conceptual
Definición conceptual
Definición operacional
3.3.1. Población
Criterios de inclusión:
Trabajadores de la unidad de TI de la sede de Ica con experiencia dentro del
área de TI mínima de 6 meses.
33
Criterios de exclusión:
3.3.2. Muestra
3.3.3. Muestreo
Técnica:
Instrumentos:
34
las cuales serán objeto de medición. En este estudio, se utilizó un cuestionario
conformado por 30 ítems para evaluar la variable dependiente.
Duración: 20 minutos.
1 = No se ha practicado ni documentado
3 = Se ha practicado y documentado
Validez
Confiabilidad
35
La confiabilidad del cuestionario de madures de la Gestión de activos de TI se
realizó un piloto que involucró a diez trabajadores del área de TI. La evaluación se
llevó a cabo mediante el coeficiente Alfa de Cronbach, Considerando los valores
policotómicos de las opciones de respuesta de los instrumentos empleados, los
resultados indicaron que los cuestionarios exhibieron una fiabilidad excelente. Para
más detalles, consultar el Anexo 7.
3.5. Procedimientos
Se realizaron reuniones con la unidad de TI, para conocer los detalles de la realidad
problemática y definir los alcances de la investigación. El levantamiento de la
información física y digital de forma confidencial nos brindó las debilidades en la
gestión de activos de TI; construyendo así un cuestionario para utilizarlo como
instrumento de recolección de datos que servía para medir la persección y
aplicabilidad de SGSI en la unidad de TI por parte de todos sus integrantes (11
trabajadores). El cuestionario fue evaluado por expertos en la materia y pudo reunir
información necesaria para medir el antes y después de la aplicación de la norma
internacional.
Con los datos obtenidos de forma confidencial por medio del cuestionario nos llevó
a realizar diferentes planes, procedimientos, instructivos, charlas, entre otras
actividades para formalizar, concientizar, y divulgar las medidas correctivas y las
buenas prácticas aplicadas por la norma internacional. Finalizando estas acciones
se procedió con la toma de postest para medir el grado de madures y aplicabilidad
de la norma internacional, aplicada en las 3 dimensiones de ITAM. Finalizando con
la construcción de las conclusiones y recomendación de la presente investigación.
36
En la realización de este análisis, se utilizará el software SPSS, una herramienta
ampliamente empleada en el campo de la investigación estadística, con el fin de
llevar a cabo los cálculos necesarios y generar los resultados relevantes.
37
IV. RESULTADOS
Resultados descriptivos
Tabla 1
Distribución de frecuencias de la Gestión de activos según pre y postest
Pretest Postest
Variable/ Dimensión Nivel
Recuento Porcentaje Recuento Porcentaje
Escasa 11 100% 0 0.0%
Gestión de activos Regular 0 0.0% 0 0.0%
Adecuada 0 0.0% 11 100.0%
Escasa 11 100.0% 0 0.0%
Activos de hardware Regular 0 0.0% 6 54.5%
Adecuada 0 0.0% 5 45.5%
Escasa 11 100.0% 0 0.0%
Activos de software Regular 0 0.0% 0 0.0%
Adecuada 0 0.0% 11 100.0%
Escasa 11 100.0% 0 0.0%
Activos de información Regular 0 0.0% 0 0.0%
Adecuada 0 0.0% 11 100.0%
38
de software, el 54.5% se consideró 'Regular' y el 45.5% 'Adecuado'. Finalmente, en
los activos de información, el 100% se calificó como 'Adecuado', indicando una
mejora general en la gestión de activos de TI tras la intervención.
Resultados inferenciales
39
Prueba de hipótesis general
Tabla 2
Estadísticos de la prueba de rangos con signo de Wilcoxon de la Gestión de
activos de TI
Tabla 3
Prueba de rangos con signo de Wilcoxon de la Gestión de activos
Rango Suma de
N
promedio rangos
Rangos negativos 0a 0.00 0.00
Gestión de activos Rangos positivos 11b 6.00 66.00
(Postest) - Gestión de
activos (Pretest) Empates 0c
Total 11
a.
Nota. Gestión de activos (Postest) < Gestión de activos (Pretest)
b.
Gestión de activos (Postest) > Gestión de activos (Pretest)
c.
Gestión de activos (Postest) = Gestión de activos (Pretest)
40
apreciar que no hay rangos negativos, lo que indica que no hubo casos en los que
la gestión de activos en el postest fuera inferior al pretest. Por otro lado, hay 11
rangos positivos con un rango promedio de 6.00 y una suma de rangos de 66.00,
lo que sugiere una mejora significativa en la gestión de activos de TI en el postest
en comparación con el pretest. Esto se interpreta como una mejora general en la
gestión de activos de TI después de la intervención realizada entre el pretest y el
postest.
Prueba de hipótesis 1
Tabla 4
Estadísticos de la prueba de rangos con signo de Wilcoxon de los activos de
hardware
41
Tabla 5
Prueba de rangos con signo de Wilcoxon de Activos de hardware
Rango Suma de
N
promedio rangos
Rangos negativos 0a 0.00 0.00
Activos de hardware Rangos positivos 11b 6.00 66.00
(Postest) - Activos de
hardware (Pretest) Empates 0c
Total 11
a.
Nota. Activos de hardware (Postest) < Activos de hardware (Pretest)
b.
Activos de hardware (Postest) > Activos de hardware (Pretest)
c.
Activos de hardware (Postest) = Activos de hardware (Pretest)
Los resultados de la Prueba de rangos con signo de Wilcoxon aplicada a los activos
de hardware en un pretest y un postest que se muestran en la Tabla 5 permiten
apreciar que no hay rangos negativos, lo que indica que no hubo casos en los que
los activos de hardware en el postest fueran inferior al pretest. Por otro lado, hay
11 rangos positivos con un rango promedio de 6.00 y una suma de rangos de 66.00,
lo que sugiere una mejora significativa en los activos de hardware en el postest en
comparación con el pretest. Esto se interpreta como una mejora general en los
activos de hardware después de la intervención realizada entre el pretest y el
postest.
Prueba de hipótesis 2
Tabla 6
Estadísticos de la prueba de rangos con signo de Wilcoxon de los activos de
software
42
Se observa que el valor de significancia obtenido es p=0.001<0.005 lo que refrenda
el rechazo de H0, es decir que implementación de la norma internacional ISO/IEC
27001:2022 mejora significativamente los activos de software. Estos resultados se
complementan con la prueba de rangos con signo que se muestra a continuación:
Tabla 7
Prueba de rangos con signo de Wilcoxon de Activos de software
Rango Suma de
N
promedio rangos
Rangos negativos 0a 0.00 0.00
Activos de software Rangos positivos 11b 6.00 66.00
(Postest) - Activos de
software (Pretest) Empates 0c
Total 11
a.
Nota. Activos de software (Postest) < Activos de software (Pretest)
b.
Activos de software (Postest) > Activos de software (Pretest)
c.
Activos de software (Postest) = Activos de software (Pretest)
Los resultados de la Prueba de rangos con signo de Wilcoxon aplicada a los activos
de software en un pretest y un postest que se muestran en la Tabla 7 permiten
apreciar que no hay rangos negativos, lo que indica que no hubo casos en los que
los activos de software en el postest fueran inferior al pretest. Por otro lado, hay 11
rangos positivos con un rango promedio de 6.00 y una suma de rangos de 66.00,
lo que sugiere una mejora significativa en los activos de software en el postest en
comparación con el pretest. Esto se interpreta como una mejora general en los
activos de software después de la intervención realizada entre el pretest y el
postest.
Prueba de hipótesis 3
43
Tabla 8
Estadísticos de la prueba de rangos con signo de Wilcoxon de los activos de
información
Tabla 9
Prueba de rangos con signo de Wilcoxon de Activos de información
Rango Suma de
N
promedio rangos
Rangos negativos 0a 0.00 0.00
Activos de
información (Postest) Rangos positivos 11b 6.00 66.00
- Activos de Empates 0c
información (Pretest)
Total 11
a.
Nota. Activos de información (Postest) < Activos de información (Pretest)
b.
Activos de información (Postest) > Activos de información (Pretest)
c.
Activos de información (Postest) = Activos de información (Pretest)
Los resultados de la Prueba de rangos con signo de Wilcoxon aplicada a los activos
de información en un pretest y un postest que se muestran en la Tabla 9 permiten
apreciar que no hay rangos negativos, lo que indica que no hubo casos en los que
los activos de información en el postest fueran inferior al pretest. Por otro lado, hay
11 rangos positivos con un rango promedio de 6.00 y una suma de rangos de 66.00,
lo que sugiere una mejora significativa en los activos de información en el postest
en comparación con el pretest. Esto se interpreta como una mejora general en los
activos de información después de la intervención realizada entre el pretest y el
postest.
44
V. DISCUSIÓN
45
Si bien los resultados son positivos, es crucial reflexionar sobre los desafíos
y las posibles áreas de mejora en la implementación de normas como ISO/IEC
27001. Como se evidencia en la adaptación de la norma a contextos específicos
(como discuten Park & Lee (2014)) y la integración continua de nuevas tecnologías
y prácticas (como el aprendizaje automático mencionado por Idowu et al. (2022))
son aspectos cruciales para mantener la relevancia y eficacia de la normativa.
46
y las amenazas, en tanto que en el resultado obtenido en este caso, se enfoca
específicamente en la mejora de los activos de hardware.
47
indican una mejora significativa, evidenciada por la ausencia de rangos negativos
y la presencia de 11 rangos positivos con un rango promedio de 6.00 y una suma
de rangos de 66.00. Esto sugiere que activos de software mejoró significativamente
después de la intervención como lo demuestra el valor de significancia de p=0.003
48
Kaizen para la gestión de activos de TI, mientras que el resultado presentado se
centra en los cambios en los activos de software tras la implementación de ISO/IEC
27001.
49
mientras que el resultado presentado se centra en una mejora general de los
activos de información bajo la normativa ISO/IEC 27001.
50
presentado proporciona evidencia concreta del impacto positivo de la
implementación de ISO/IEC 27001 en la mejora específica de los activos de
información.
51
VI. CONCLUSIONES
52
VII. RECOMENDACIONES
Séptimo, Se sugiere a los investigadores indagar sobre los desafíos y barreras que
enfrentan las organizaciones al implementar la norma ISO/IEC 27001, para
desarrollar estrategias que faciliten su adopción y efectividad.
53
REFERENCIAS
Bolek (2023) Next generation cloud computing: New trends and research
directions https://doi.org/10.1016/j.future.2017.09.020
54
Calder. (2016). Nine steps to succes : an ISO 27001: 2013 implementation
overview (Third edition.). IT Governance Publishing.
Davies, R., Dieter, J., & McGrail, T. (2011). The IEEE and asset management: A
discussion paper. 2011 IEEE Power and Energy Society General Meeting,
3. https://doi.org/10.1109/pes.2011.6039770
Erick Guerra, Harold Neira, Jorge L. Díaz y Janns Patiño (2021). Desarrollo de
un sistema de gestión para la seguridad de la información basado en
metodología de identificación y análisis de riesgo en bibliotecas
universitarias Vol. 32(5), 145-156 (2021) http://dx.doi.org/10.4067/S0718-
07642021000500145
55
Fuente del texto citado en ITIL® Foundation (edición ITIL® 4), 2019. AXELOS
Limited ISBN 9780113316076
Haji, Sami, & Tan, Q. S. (2019). A Hybrid Model for Information Security Risk
Assessment. International Journal of Advanced Trends in Computer
Science and Engineering, 8(1.1), 100 - 1. doi:
https://doi.org/10.30534/ijatcse/2019/1981.12019
56
Idowu, S., Strüber, D., & Berger, T. (2022). Asset Management in Machine
Learning: State-of-research and State-of-practice. ACM Computing
Surveys, 55(7). https://doi.org/10.1145/3543847
Iluore, O. E., Mamudu Onose, A., & Emetere, M. (2020). Development of asset
management model using real-time equipment monitoring (RTEM): case
study of an industrial company. Cogent Business and Management, 7(1).
https://www.tandfonline.com/doi/full/10.1080/23311975.2020.1763649
Kure, H. I., & Islam, S. (2019). Assets focus risk management framework for
critical infrastructure cybersecurity risk management. IET Cyber-Physical
Systems: Theory & Applications, 4(4), 332-340. doi: 10.1049/iet-
cps.2018.5079
57
Latsou, C., Dunnett, S. J., & Jackson, L. M. (2016). Petri net modelling for
enhanced IT asset recycling solutions. OpenAccess Series in Informatics,
50, 3.1-3.10. https://doi.org/10.4230/OASIcs.SCOR.2016.3
Mackita, M., S. S.-Y., & Choe, T.-Y. (2019). ERMOCTAVE: A risk management
framework for IT systems which adopt cloud computing. Future Internet,
11(9). doi:10.3390/fi11090195
58
NIST Interagency Report 8011 (2017), Automation Support for Security Control
Assessments. Volume 1: Hardware Asset Management. Volume 2
https://doi.org/10.6028/NIST.IR.8011-2
Piedra, M., Irrechukwu, C., Perper, H., Wynne, D., Kauffman, L., (2018) Gestion
de Activos de TI (9) http://doi.org/10.6028/NIST.SP.1800-5
Rose, B., Else, S., Tierney, T. J., & McGuire, M. J. (2016). Evolving Productivity
with IT Asset Lifecycle Management and Configuration Management for
Master of Science Software Design and Programming. https://eapj.org/wp-
content/uploads/2017/01/Evolving-Productivity-with-IT-Asset-Lifecycle-
Management-and-Configuration-Management-Brandon-Rose.pdf
59
Stoica, A. J., Pelckmans, K., & Rowe, W. (2015). System components of a
general theory of software engineering. Science of Computer
Programming, 101, 42- 65. https://doi.org/10.1016/j.scico.2014.11.008
Stone, M., Irrechukwu, C., Perper, H., Wynne, D., & Kauffman, L. (2018). IT asset
management: financial services. https://doi.org/10.6028/NIST.SP.1800-5
Varela, A. M., Méxas, M. P., & Drumond, G. M. (2018). The scenario of software
asset management (SAM) in large and midsize companies. Independent
Journal of Management & Production, 9(2), 301-320.
doi:10.14807/ijmp.v9i2.730
Vega G., Deza D & De los Santos M. (2023) Vulnerabilidades y amenazas en los
activos de información: una revisión sistemática Universidad de trujillo
DOI:10.51252/rcsi.v3i1.461
60
ANEXOS
Tabla 8
Operacionalización de la variable Gestión de Activos de TI
1) No se ha practicado ni documentado
2) Se ha practicado pero no documentado o se ha documentado pero no practicado
3) Se ha practicado y documentado
4) Se ha practicado, documentado y revisado en el último año
5) Se ha practicado, documentado, revisado y armonizado según la estrategia
empresarial o de TI
ESCALA
DIMENSIONES 1 2 3 4 5
Dimensión 1. Activos de Hardware
1 ¿Tiene la organización un inventario actualizado y clasificado de activos de hardware?
2 ¿Tiene la organización control del ciclo de vida de los activos de hardware?
3 ¿Tiene la organización clasificado activos de hardware según su importancia y sensibilidad?
4 ¿Tiene la organización identificados los responsables de los activos de información?
5 ¿Tienes un proceso de alertas físicas de activos del Data Center?
6 ¿Tiene un procedimiento para el control de accesos al Data Center?
¿Tiene la organización procedimiento de recuperación ante desastres y continuidad de
7
negocio?
8 ¿Tiene un procedimiento de registro de indisponibilidad de servicios de Red?
9 ¿Tiene un procedimiento para detectar y/o prevenir accesos no autorizados en activos de TI?
¿Tiene un lineamiento para la gestión de interrupción programada de los servicios
10
informáticos?
Dimensión 2. Activos de Software
11 ¿Tiene la organización un inventario actualizado y clasificado de activos de software?
12 ¿Tiene un proceso de alertas de servicios críticos de TI?
¿Tiene la organización clasificado los activos de software según su importancia y nivel de
13
riesgo para la organización?
14 ¿Tiene la organización evaluaciones automáticas de vulnerabilidades en el software?
15 ¿Tienes un proceso de detección y respuesta de vulnerabilidades cibernéticas?
16 ¿Tienes un proceso de log de eventos de ataques cibernéticos?
¿Tiene la organización controles de autenticación para garantizar que solo los usuarios
17
autorizados tengan acceso a los activos de software?
18 ¿Tiene un proceso de protección lógica de activos de TI?
19 ¿Tiene un proceso para identificar cambios no autorizados en sistemas de Información?
20 ¿Tienes un procedimiento de Inicio y detención de Base Datos Oracle?
Dimensión 3. Activos de Información
21 ¿Tiene la organización un inventario de activos de información críticos de la organización?
22 ¿Tiene un procedimiento de Backup y restore de activos críticos de TI?
¿Tiene la organización clasificada los activos de información según su importancia y
23
sensibilidad?
24 ¿Tiene un proceso para prevenir la fuga de información?
25 ¿Tienes un proceso de control de contratos de servicios de TI?
26 ¿Tiene una directiva para el acceso a las plataformas de TICs?
¿Tiene un procedimiento de revisiones periódicas de los controles de acceso de sistema de
27
información?
28 ¿Tiene un proceso de concientización sobre seguridad de la información y ciberseguridad?
¿Tiene la organización planes de respaldo y recuperación de datos para los activos de
29
información?
30 ¿Tiene un proceso de prevención de errores de Backup de información?
Anexo 5. Consentimiento
Anexo 6. Matriz Evaluación por juicio de expertos
Primer experto
Segundo experto
Tercer experto
Anexo 7. Confiabilidad
Tabla 9
Análisis de fiabilidad
c10
c11
c12
c13
c14
c15
c16
c17
c18
c19
c20
c21
c22
c23
c24
c25
c26
c27
c28
c29
c30
c1
c2
c3
c4
c5
c6
c7
c8
c9
1 2 1 1 1 2 1 1 1 2 2 2 1 1 2 2 2 1 2 1 2 1 1 2 2 1 2 1 2 1 1
2 2 1 2 1 1 1 2 2 2 2 2 2 1 2 1 1 2 2 2 2 1 2 2 2 2 1 2 1 1 2
3 2 1 2 1 2 1 1 2 2 1 2 1 1 2 2 2 1 1 2 2 1 2 1 2 1 1 2 2 1 2
4 2 1 1 1 1 1 1 1 2 2 2 1 2 2 1 2 1 1 1 2 1 2 2 3 1 1 1 2 1 2
5 1 1 2 1 1 1 2 2 2 2 2 2 1 2 2 2 2 2 1 2 1 2 1 2 2 1 2 1 2 1
6 1 1 2 1 2 1 2 2 2 2 2 1 1 1 2 2 2 2 2 1 1 1 2 3 1 2 1 1 2 1
7 2 2 2 1 1 1 2 1 2 3 2 1 2 2 1 2 2 2 1 3 1 1 1 3 1 2 2 2 1 3
8 2 1 1 1 2 1 2 1 2 2 2 1 1 2 1 2 1 2 1 1 2 1 2 3 2 1 2 2 2 2
9 2 1 2 1 2 2 1 2 2 3 2 2 2 2 2 1 2 1 1 3 2 1 2 2 2 2 1 2 2 3
1
2 1 2 1 2 1 1 2 2 2 2 1 1 2 2 1 1 2 2 2 1 1 2 2 1 1 2 1 2 1
0
1
2 1 1 1 1 1 1 1 2 2 2 1 2 2 2 1 2 2 2 2 2 1 1 2 1 2 2 1 1 1
1
5 5 3 4 4 4 4 4 5 5 3 3 5 5 5 4 3 4 3 4 3 5 3 5 4 5 3 4 5 4
3 4 5 5 4 4 4 5 4 5 5 3 3 4 4 3 4 4 4 5 3 5 3 5 3 4 3 4 5 5
3 3 4 5 3 4 4 5 4 5 4 3 5 3 4 4 4 3 5 4 4 4 5 4 5 4 3 4 5 5
5 3 3 4 4 3 5 4 4 4 3 4 3 3 5 4 4 5 3 4 4 3 5 5 5 5 5 4 3 3
3 4 3 3 3 5 4 5 5 5 5 3 4 5 4 3 3 5 4 5 3 3 3 5 4 4 5 5 4 3
5 3 5 4 5 4 5 4 4 4 5 3 3 5 4 3 4 3 4 4 3 3 5 5 3 4 4 4 5 3
5 3 5 3 3 3 4 4 5 4 3 5 4 4 3 5 4 3 5 5 4 4 3 5 5 4 3 4 5 3
5 5 4 5 4 4 4 5 4 5 3 3 4 5 4 4 4 3 4 5 4 5 3 4 4 5 5 4 3 5
4 5 3 3 5 3 4 4 5 5 5 5 3 5 3 4 3 5 5 4 4 3 3 5 4 4 5 4 4 4
4 4 5 3 4 5 4 5 4 4 3 3 4 3 4 4 4 4 4 5 4 5 3 5 3 4 3 4 5 5
3 5 5 3 5 3 5 4 4 4 5 4 3 5 5 4 3 5 5 5 4 4 3 5 5 4 4 4 5 3
Anexo 9. Evidencias de implementación y de metodología utilizada.