Introducción

Los riesgos informáticos en los Centros Tecnológicos Comunitarios (CTC) son diversos, no sólo
en los procesos administrativos, sino también en los servicios que ofrecen a las comunidades
donde operan; por lo que se hace pertinente que en estos centros se conozca e implementen
Sistemas de Seguridad de la Información (SGSI) basados en la Norma ISO/IEC 27001:2013 y/o
se implanten soluciones de gobernanza de información y tecnología (TI) como COBIT 2019
(Control Objetives for Information and Related Technology, en español: Objetivos de Control
para la Información y Tecnología Relacionada). Pues en los últimos años, en muchas empresas
e instituciones, se ha comenzado hablar de riesgos en el manejo de la información.

En ese sentido, González (2015) plantea que, el surgimiento y evolución de las tecnologías de
información y la comunicación (TIC) en las instituciones, han generado el uso de diferentes
aplicaciones y artefactos electrónicos, gracias a esto se crean nuevos riesgos que pueden
afectar los sistemas y plataformas tecnológicas, entre ellos están los virus, los ataques
cibernéticos y demás aspectos que obstaculizan el desarrollo de los procesos internos, las
operaciones y los servicios que ofrecen.

En ese tenor, en el presente trabajo se desarrolla el tema: “Propuesta de Implementación de

un Sistema de Gestión de Seguridad de la Información (ISO-27001); basado en la Norma
ISO/IEC 27001 en los Centros Tecnológicos Comunitarios, Municipio San Juan de la Maguana,
2022-2023”; ya que el objetivo primordial de un SGSI es proteger la integridad,
confidencialidad y la confidencialidad de todos los activos de una organización y éste se logra
efectuando como primera medida, un minucioso análisis de los riegos a los que se enfrentan
los activos de información para luego, con este insumo, implantarlos controles necesarios que
protegerán los datos.

Para cumplir con lo antes dicho, en esta tesis de maestría, se pretende ejecutar los siguientes
capítulos: En el primero, se presenta el problema investigado, los objetivos de investigación
(general y específicos), el planteamiento del problema, la delimitación o alcance del tema, la
justificación y la operacionalización de las variables e indicadores.

En el segundo capítulo hace referencia al marco referencial, con sus antecedentes de la

investigación (internacional, nacional y local), el marco teórico, marco conceptual, marco
contextual y el marco legal. En el tercer capítulo se hará un desglose del marco metodológico,
donde se trabajará el tipo, métodos, técnicas, instrumentos y procedimiento de investigación;
así como la población y muestra de estudio.

El cuarto capítulo está compuesto por la presentación de los resultados y el análisis de los
datos por objetivos. Mientras que el quinto capítulo presenta la propuesta de implementación
de un Sistema de Gestión de Seguridad de la Información (ISO-27001); basado en la Norma
ISO/IEC 27001 en los Centros Tecnológicos Comunitarios, Municipio San Juan de la Maguana,
2022-2023. Al finalizar la investigación, se ofrecen las conclusiones y las recomendaciones de
lugar, las referencias y algunos anexos de interés.
Capítulo I. El Problema Investigado

En este capítulo, se hace mención del problema investigado, donde se trabajará el

planteamiento del problema, los objetivos de la investigación, la justificación del estudio
tratado, la delimitación o alcance del tema, así como la operacionalización de las variables.

1.1. Planteamiento del Problema

Las instituciones y empresas invierten millones de dinero en tecnología para resguardar su

activo más preciado, la información. Diseñan redes perimetrales con equipos sofisticados,
algoritmos de encriptación seguros casi indescifrable, protocolos seguros que hacen
extremadamente difícil el acceso a las empresas desde fuera por intrusos. Sin embargo, la
seguridad nunca estará garantizada a plenitud, también existen otras vulnerabilidades que,
muchas veces, no se les presta la debida atención y tratamiento adecuado para mitigar su
impacto u ocurrencia. Esta vulnerabilidad la representan los propios usuarios de la tecnología,
quienes son los agentes que principalmente ponen en riesgo los activos de información de una
empresa (Mitnick & William, 2017).

Según plantea Borghello (2019), algunos de los problemas a que se exponen las instituciones
cuando se dedican a enseñar tecnología, son los ataques de ingeniería social, que los
empleados, estudiantes o clientes, divulguen información que pueda comprometer la
seguridad de la institución, facilitando datos confidenciales a terceros, instalando softwares
maliciosos en los equipos, que las computadoras estén expuestas a terceros o que sean
utilizadas para otros fines diferentes a los que persigue la organización.

Sin contar los riesgos que se pudieran dar con personas externas y/o clientes que tienen
contacto con los equipos, quienes también son fuentes de peligro para que la organización
pierda información valiosa si no se toman los controles de lugar a nivel de TI (Tecnología de la
Información). Esto, quizás, por no contar con SGSI basados en normas como la ISO/IEC
27001:2013.

En el caso de las instituciones gubernamentales del sector educativo, dentro de las cuales están
los Centros Tecnológicos Comunitarios (CTC), la situación todavía es mayor, pues como señala
Florenciañez (2018), estas entidades carecen de controles efectivos sobre seguridad de la
información, muchas de estas organizaciones no disponen del personal de TI capacitado para
enfrentar un problema de seguridad de la información ni para tomar las medidas preventivas
de lugar para evitar que suceda una situación de esta naturaleza que ponga en peligro el activo
más importante de una organización: “la información”.

De acuerdo a dicho autor, el profesional de seguridad de la institución educativa, es el

responsable para contar con información referente a la suficiencia de seguridad de los datos,
de controles de acceso, sistema de alarmas contra robos e incendios, sistema de video-
vigilancia, manejo de documentaciones importantes, manuales de procedimientos de
seguridad, manual de emergencias y evacuación, manual de manejo de crisis y las prácticas de
evacuación ante diferentes situaciones que se podrían presentar en coordinación con los
directivos de la institución y el cuerpo de seguridad y protección física de la misma, etc.

El área de TI de los CTC del Municipio de San Juan de la Maguana, no escapa a esta realidad,
pues como la mayoría de las instituciones gubernamentales que prestan servicios educativos,
como es la enseñanza a la población, no disponen de ninguna norma sobre seguridad
de la información ni de controles adecuados para la prevención de un problema de esta
naturaleza, lo que la coloca en un sitial de vulnerabilidad ante cualquier amenaza que se
pudiera dar desde fuera o hacia dentro de la institución.

El problema de seguridad de la información es aún mayor en estas instituciones, ya que el

personal que labora en las mismas conoce muy poco y no posee la formación y las
orientaciones necesarias sobre estos temas. Visto el problema anterior, en esta investigación se
requiere elaborar una propuesta de implementación de un Sistema de Gestión de Seguridad de
la Información (ISO-27001); basado en la Norma ISO/IEC 27001 en los Centros Tecnológicos
Comunitarios (CTC) del Municipio San Juan de la Maguana, durante el período 2022-2023.

1.2. Formulación del Problema

Para cumplir con los propósitos de estudio y aportar a la solución del problema tratado en esta
investigación, se hace necesario responder a las siguientes preguntas:

1. ¿Cuáles son los tipos de controles que se implementan en los CTC del Municipio de San
Juan de la Maguana, para asegurar la confidencialidad, integridad y disponibilidad de la
información?

2. ¿Cuál es el nivel de seguridad que poseen las instalaciones tecnológicas de los CTC del
Municipio de San Juan de la Maguana?

3. ¿Cuál es el nivel de capacitación en gestión de seguridad de la información, que poseen

los usuarios que utilizan los equipos de los CTC del Municipio de San Juan de la Maguana?

4. ¿Cuál es la importancia que dan los directivos de los CTC del Municipio de San Juan de
la Maguana, a la gestión de seguridad de la información?

5. ¿Cómo diseñar un Sistema de Gestión de la Seguridad de la Información, basado en la

Norma ISO/IEC 27001, para ser implementado en los CTC del Municipio San Juan de la
Maguana?
1.3. Objetivos de la Investigación

1.3.1. Objetivo General

Elaborar una propuesta de implementación de un Sistema de Gestión de Seguridad de la

Información (ISO-27001); basado en la Norma ISO/IEC 27001 en los CTC del Municipio San Juan
de la Maguana.

1.3.2. Objetivos Específicos

1. Identificar los tipos de controles que se implementan en los CTC del Municipio de San
Juan de la Maguana, para asegurar la confidencialidad, integridad y disponibilidad de la
información.

2. Describir el nivel de seguridad que poseen las instalaciones tecnológicas de los CTC del
Municipio de San Juan de la Maguana.

3. Establecer el nivel de capacitación en gestión de seguridad de la información, que

poseen los usuarios que utilizan los equipos de los CTC del Municipio de San Juan de la
Maguana.

4. Determinar la importancia que dan los directivos de los CTC del Municipio de San Juan

de la Maguana, a la gestión de seguridad de la información.

5. Diseñar un Sistema de Gestión de la Seguridad de la Información, basado en la Norma

ISO/IEC 27001, para ser implementado en los CTC del Municipio San Juan de la Maguana.

1.4. Justificación

Los CTC, son sin lugar a dudas, un espacio donde labora un personal que necesita siempre estar
conectado con la tecnología, ya que son muchas las personas del entorno que se capacitan en
estos centros al servicio de la comunidad; pero además, en estos centros tecnológicos se
manejan informaciones importantes que luego son enviadas a otras entidades superiores del
Estado Dominicano y a organizaciones internacionales que apoyan económicamente
programas educativos en los mismos, entre otras (Rodríguez, 2018).

En ese sentido, la presente investigación es de vital importancia para los CTC, pues a través de
ésta se da a conocer algunas recomendaciones basadas en la Norma ISO/IEC 27001:2013, que
pueden servir para que las instituciones objeto de estudio o cualquier otra institución que
maneje datos, pueda implementar controles adecuados para la protección de sus activos de
información.

Este proyecto es de gran impacto para los CTC del Municipio de San Juan de la Maguana,
porque la misma procura hacer una propuesta de un diseño e implementación de un SGSI,
basado en la Norma ISO/IEC 27001:2013, con el cual los CTC objeto de estudio, dispondrán de
una herramienta para ejecutar políticas que vayan encaminadas a la seguridad de la
información que se maneja en esas entidades comunitarias del Estado Dominicano.

Este estudio también sirve de referencia a otros investigadores que se interesen por realizar
trabajos relacionados con este tema, ya que el mismo está sustentado en una recopilación
amplia de referencias bibliográficas e investigaciones de expertos que tratan el tema de la
seguridad de la información desde diferentes contextos.
Con esta investigación, el autor tiene contemplado afianzar los conocimientos sobre el tema
estudiado y dar a conocer herramientas sobre seguridad de la información que son de gran
ayuda a toda aquella organización que esté dispuesta a invertir en la protección adecuada de
sus activos de información, a través de la puesta en marcha de un SGSI tomando como
referencia la Normas ISO/IEC 27001:2013.

1.5. Delimitación y Alcance del Tema

El contexto o delimitación de estudio, se ubica en los Centros Tecnológicos Comunitarios,

pertenecientes al Municipio de San Juan de la Maguana, Provincia San Juan, Región del Valle,
República Dominicana. Dentro de estos CTC, está el de la ciudad cabecera del municipio, el de
Pedro Corto, Hato del Padre, Punta Caña y Sabana Alta.

La presente investigación tiene como alcance de estudio el municipio cabecero de la provincia

(San Juan de la Maguana) y se basa en el diseño de una propuesta de implementación de un
Sistema de Gestión de Seguridad de la Información; según la Norma ISO/IEC 27001, cuyo
período estudiado abarca los años 2022-2023 y el desarrollo de dicha propuesta está
contemplado en un tiempo de tres meses (septiembre-noviembre, 2023).
Capítulo II. Marco Referencial

A continuación, en el presente capítulo se trabaja todo el marco referencial del proyecto de

tesis, el cual inicia con los antecedentes de la investigación, continua con el marco teórico que
trata las fundamentaciones referentes al tema objeto de estudio, sigue con el marco
conceptual con la definición de los términos claves y termina con el marco contextual, el cual
describe el área de estudio.

2.1. Antecedentes de la Investigación

2.1.1. Antecedentes Internacionales

Dentro de los antecedentes internacionales recolectados en esta investigación, Macen (2015)

realizado un estudio en Paraguay, con el tema: “Políticas de Seguridad de la Información en el
Centro Tecnológico Educativo Nacional de Asunción”, para optar por la tesis de maestría en
Seguridad Informática en la Universidad Tecnológica Intercontinental, con el objetivo general
de diseñar una política de seguridad de la información en la institución objeto de estudio. En
este estudio se planteó como problema de investigación, que la institución académica carece
de políticas de seguridad de la información, lo que podría ocasionar daños en sus activos de
información, así como ocasionar efectos catastróficos en sus operaciones.

La metodología de investigación empleada en la recolección de los datos, fue utilizado del tipo
de estudio descriptivo, correlacionar y de campo; la técnica de investigación empleada fue la
observación y la encuesta a una muestra de 16 empleados. Los métodos de estudio aplicados
fueron el deductivo, inductivo, analítico y el estadístico. En sus conclusiones, el autor señala
que el análisis de riesgo desde la percepción de la Dirección de TI de la Institución Educativa
Nacional, arrojó un promedio que no supera el umbral de medio riesgo que está entre el 7,4 y
7,6 del rango 8-9 y no llega al umbral de alto riesgo que representa el rango de 12-16.

En cuanto a los aspectos culturales en el manejo de la información se pudo evidenciar el

respecto al manejo de la información de manera insegura con 𝑝 =47/84= 55.95%y una

manejo de la información en las sedes de la institución, arrojando una proporción global con

proporción de manera segura con 𝑝 =37/84= 44.05%. En los aspectos técnicos en el manejo de
la información, se verificó que 28 puntos de la seguridad de la información cumplen con el
manejo seguro de la misma y 24 de manera inseguro, desde un análisis e interpretación teórica
en base a la ISO/IEC 27001:2013.

Con este proyecto de tesis, se describió además la realidad de la Institución Educativa Nacional
para la construcción de política de seguridad, cuya concentración de los datos recogidos
arrojaron un alto nivel de inseguridad de 55.95%. Por lo que el autor recomienda la ejecución
de las políticas de seguridad de la información que se ajusten a las necesidades de la
institución académica, donde también se debe evaluar el resultado de la implementación en un
período de un año y con una constante actualización.

Guzmán (2015), en su tesis realizada en Colombia, titulada: “Diseño de un Sistema de Gestión

de Seguridad de la Información (SGSI) para el Politécnico Nacional de Colombia”; tesis de
especialización en Seguridad de la Información, sustentada en la Institución Universitaria de
Grancolombiano; con el objetivo de diseñar un SGSI para la institución académica objeto de
estudio. En la investigación se planteó como problema de estudio, que en dicho politécnico no
se implementa ningún SGSI, lo que pone en riesgo sus activos de mayor valor: la información y
las pérdidas económicas pudieran ser numerosas.

La misma se enmarcó en el paradigma de estudio descriptivo, exploratorio y de campo, cuya

técnica de recolección de los datos, fue la encuesta, la observación y la revisión bibliográfica. La
muestra seleccionada fue de 31 empleados. Según señalan las conclusiones, la institución
educativa cuenta con la infraestructura tecnológica adecuada y tiene implementado una serie
de mecanismos de seguridad, tanto físicos como lógicos, con el propósito de poder proteger la
confidencialidad, integridad y disponibilidad de la información del negocio y la privacidad de
los datos de los clientes que residen en sus bases de datos.

A pesar de contar con estos recursos tecnológicos y tener implementadas medidas de

seguridad, la institución no cuenta con los mecanismos adecuados y expeditos que le permitan
conocer el estado real de su seguridad en cuanto a personas, procesos y tecnología, ni el nivel
de efectividad de las medidas de seguridad que tiene implementadas, lo que dificulta o impide
identificar y por ende, gestionar de manera efectiva los riesgos asociados a la seguridad de sus
activos de información y las amenazas que puedan llegar con comprometer la integridad,
disponibilidad y confidencialidad de su información.

Benavides y Blandón (2018), en su trabajo: “Modelo de un Sistema de Gestión de Seguridad de

la Información (SGSI) para Instituciones Tecnológicas Educativas”, tesis de maestría para optar
por el título de Seguridad de la Información en la Universidad Autónoma de Manizales,
Colombia. La misma tuvo como objetivo general, realizar un análisis de riesgos con base en la
norma ISO 27005, identificando los activos críticos del área de secretaría académica de las
instituciones tecnológicas educativas y los riesgos asociados, para generar un plan de
tratamiento de riesgos que permita proponer una declaración de aplicabilidad, así mismo
analizar la normatividad del Ministerio de Educación de ese país y los requisitos de la norma
ISO/IEC 27001:2013 que permitan proponer un modelo general, el cual facilite la
implementación de un SGSI en este tipo de instituciones.

En el estudio, los autores se plantearon como problema de investigación, que el modelo de

seguridad de la información que aplican las instituciones tecnológicas educativas objeto de
estudio, no cumple con los requisitos obligatorios establecidos en la Norma NTC-ISO/IEC
27001:2013, lo cual no constituye una base para garantizar la disponibilidad, integridad y
confidencialidad de la información sensible de los alumnos y todo el personal que labora en
estas entidades educativas. Tampoco cumple con las disposiciones pertinentes del sector
educación a nivel de las tecnológicas de la información y la comunicación (TIC), en lo que
respecta al componente seguridad y privacidad de la información.

En la investigación se aplicó un diseño metodológico del tipo diagnóstico-descriptivo, de campo

y experimental, los métodos empleados fueron el inductivo, deductivo, analítico y estadístico.
Las técnicas utilizadas fueron la observación, visitas exploratorias, la encuesta y la entrevista.
Se aplicaron cuestionarios a una población y muestra de estudio de 29 empleados que laboran
en la institución tratada (para un 100%).

El estudio arrojó en sus conclusiones, que existe una falta de entendimiento por parte del
personal responsable de la administración del centro educativo, mantenimiento y control de la
información de los alumnos y docentes sobre el impacto de la materialización de los riesgos de
seguridad de la información. En tal sentido, el modelo de SGSI constituye una herramienta que
genera cultura sobre la disposición de los desechos tecnológicos de las instituciones
educativas, previniendo que las áreas circundantes se vean contaminadas visual y
químicamente por el inadecuado manejo de los activos que han sido dados de baja del
inventario. El modelo de SGSI propuesto en dicho proyecto, da su aporte social evitando que la
información sensible de los alumnos, sea manipulada por personas inescrupulosas que la
emplean con la finalidad de involucrar a los menores en redes de prostitución y pornografía
infantil.

El modelo también constituye una base para garantizar la confidencialidad, la integridad y la

disponibilidad de la información sensible de estudiantes, docentes y personal administrativo,
en procura del cumplimiento de lo dispuesto en el Decreto Único Reglamentario 1075/2015 del
Sector Educación, el Decreto Único Reglamentario1078/2015 del Sector TIC componente
“seguridad y privacidad de la información”, alineado con el modelo expuesto por el Ministerio
de Tecnologías de la Información y Comunicaciones (MINTIC) de Colombia.

La metodología propuesta y aplicación del SGSI, le permitió, a su vez, a los directivos de la

institución, mantener una visión general del estado de los sistemas informáticos que ésta
posee, plantear estrategias de cambio y mejora de los mismos, verificar las medidas de
seguridad aplicadas y los resultados obtenidos, valorar y asegurar sus activos de posibles
riesgos y vulnerabilidades presentes, permitiendo la toma de decisiones de manera
consecuente, argumentada y documentada, involucrando a todo el personal en un proceso
global que le proporcionará la mejora continua.

2.1.2. Antecedentes Nacionales

En el contexto nacional, no fue posible localizar investigaciones que guarden una relación
directa con el tema estudiado, sin embargo, se considera importante mencionar algunos
trabajos que también tratan la seguridad de la información:

En el trabajo de investigación realizado por Novas (2020), con el tema: “Propuesta para la
Implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI), basado en
la Norma ISO/IEC 27001:2013, en la Plataforma Tecnológica del MINERD. Caso Liceo
Secundario María Antonia Gómez, Distrito Educativo 18-02 de Tamayo, Regional Bahoruco,
Municipio de Tamayo, 2019-2020”, se formuló como objetivo general, elaborar esta propuesta
para el SGSI según la implementación que especifica la norma en dicha plataforma y e
institución educativa.

Para estos fines, su autor utilizó el tipo de estudio: descriptivo, exploratorio, de campo y
cuantitativo; cuyos métodos de investigación empleados fueron: el deductivo, inductivo,
histórico-lógico y estadístico-matemático. Las técnicas de recolección de datos que se utilizaron
son: la consulta bibliográfica, la observación, las evidencias fotográficas y la encuesta a través
de la aplicación de cuestionarios a una muestra de 40 actores de una población de 479
personas (4 usuarios empleados de la institución y 36 estudiantes) para un 8.3%. El tipo de
muestro empleado en la aplicación de los cuestionarios a los alumnos, fue el aleatorio simple o
al azar.

También se aplicó una ficha de observación (check-list), el cual permitió conocer el estado
actual de las características y la gestión de seguridad de la información que maneja dicho
centro educativo.

Dentro de las conclusiones del estudio, se determinó que este centro no posee un SGSI, no
dispone de controles de seguridad efectivos, ni su infraestructura tecnológica cumple con las
condiciones necesarias para la seguridad de la información. Los principales recursos
tecnológicos o activos de información de que dispone el centro para su trabajo, son
computadoras en el área administrativa, laboratorios de informática, instalaciones de redes e
Internet, datashow, dispositivos USB, celulares, plataforma digital del MINERD, entre otros;
recursos que son utilizados siempre por los estudiantes y el personal del área administrativa
del centro.

De acuerdo a la investigación, el personal de TI posee conocimiento básico de gestión de

seguridad de la información y de la Norma ISO/IEC 27001:2013, sin embargo, los demás
empleados y estudiantes ningún conocimiento. Dentro de la principal dificultad o deficiencia
que presenta este centro para la protección de sus activos de información, esta falta de una
infraestructura tecnológica adecuada, seguido de la falta de controles adecuados, de
capacitación a su personal de TI y demás usuarios de los equipos, descuido de los usuarios
cuando utilizan un activo de información y la poca supervisión a estos equipos. La ficha de
observación arrojó que de 536 procedimientos observados en el centro en base a la Norma
ISO/IEC 27001:2013, sólo se cumplen 51 para un 9.5%. Por lo que la mayoría de los
encuestados considera importante que la institución implemente un SGSI.

También se consultó la investigación sustentada por Mercedes (2020), que llevó como tema:
“Propuesta para la Implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI) en el Sector de las Pequeñas y Medianas Empresas (PYMES), según Norma ISO/IEC
27001:2013. Caso Municipio de Tamayo, Provincia Bahoruco 2019-2020”; tesis para optar por
el título de Maestría en Auditoría y Seguridad Informática; la cual tuvo como objetivo general,
diseñar la propuesta para la implantación de dicho SGSI en el sector objeto de estudio y según
la norma trabajada.

Para tales fines, el informe fue realizado en base al tipo de investigación: descriptiva,
cuantitativa, de desarrollo tecnológico; cuyos métodos de investigación empleados fueron:
deductivo, inductivo y estadístico-matemático. Las técnicas de recolección de datos que se
utilizaron son: la consulta bibliográfica, la observación, aplicación de la norma ISO/IEC
27001:2013, y la encuesta a través de la aplicación de cuestionarios a una muestra de 3 PYMEs
de una población de 6 PYME, de éstas 3 se encuestaron 22 usuarios que utilizan equipos
tecnológicos, para un 50%. El tipo de muestro empleado en la aplicación de los cuestionarios a
los empleados, fue por conveniencia. También se aplicó una ficha de observación (check-list), el
cual permitió conocer el estado actual de las características y la gestión de seguridad de la
información que maneja dicho centro educativo.

En esta investigación se concluyó señalando que, estas empresas tienen condiciones regulares
en su infraestructura tecnológica tanto física como lógica, pero no implementan Sistemas de
Gestión de Seguridad de la Información para la protección de su infraestructura tecnológica. De
igual forma, los resultados del check list aplicado a la infraestructura tecnológica física y lógica
de las PYME Tamayo (según la norma ISO/IEC 27001:2013), determinaron de los 536
procedimientos verificados en estas empresas; no se cumplen con 412 procedimientos (para
un 77%), sólo se cumple con 124 (para un 23%). Por lo se puede afirmar a nivel general, que la
hipótesis de investigación en este trabajo fue cumplida en su totalidad, ya que mediante el
diseño de una propuesta de implementación de un SGSI basado en la Norma ISO/IEC
27001:2013, permitirá a las PYME del Municipio de Tamayo, tener mayor seguridad y control
en sus activos de información.
Figuereo (2021) trabajó en Barahona, la investigación: “Propuesta para la Implementación de
un Sistema de Gestión de Seguridad de la Información (SGSI), basado en la Norma ISO/IEC
27001:2013; Caso Cooperativa Familiar de Servicios Múltiples Eladio Feliz "Vivito"
(COOPFELAFEVI, Inc.), Barahona, República Dominicana, Período 2018-2019”; donde se planteó
como objetivo general, diseñar este tipo de propuesta para la implementación de un SGSI
basado en dicha norma para la institución objeto estudio.

En ese sentido, aplicó el diseño metodológico descriptivo, de campo y cuantitativo, los

métodos empleados son: descriptivo, inductivo-deductivo y el estadístico. Las técnicas de
recolección de datos empleados son: la consulta bibliográfica, la observación y la encuesta por
medio de la aplicación de un cuestionario a una población de 4 empleados y/o usuarios, y 10
clientes de dicha institución. Se aplicó, además, una ficha de observación a la infraestructura
tecnológica de la empresa, la cual permitió conocer su nivel de seguridad.

Los resultados del estudio, permiten concluir que dicha tecnológica no es del todo efectivo, los
usuarios de la misma utilizan diferentes activos de información, pero los riesgos son elevados.
La institución posee algunas deficiencias para una gestión de seguridad de la información
adecuada, tales como: infraestructura con debilidades de seguridad, falta de conocimiento del
personal de TI sobre estos temas, así como la falta de controles y de política de TI adecuada,
entre otras. Los usuarios de los equipos de la empresa no poseen el grado de concienciación y
capacitación necesario sobre seguridad de la información y debido a su falta de capacitación no
están familiarizados con estos temas, ni sobre la Norma ISO/IEC 27001:2013; por lo que la
mayoría no sabe si la empresa posee en ejecución un SGSI en sus instalaciones tecnológicas.

La institución objeto de estudio dispone de algunos controles y parámetros de seguridad, como

son: plan estratégico de negocio, una política de seguridad y normas instituciones. Por tanto, se
determinó que la institución requiere implementar en lo inmediato, un SGSI basado en la
Norma ISO/IEC 27001:2013, como forma de contribuir a reducir los problemas de seguridad de
la información, pues se observó que en la misma no se cumple con los dominios, objetivos de
control, controles y los procedimientos que recomienda la norma.

2.1.3. Antecedentes Locales

En cuanto a la obtención de antecedentes locales para el sustento de este estudio, se puede

citar la investigación realizada en San Juan por Pérez (2020), con el tema: “Diseño e
Implementación de un Sistema de Gestión de Seguridad de la Información, Basado en la Norma
ISO/IEC 27001:2013 y 27002:2013, en el Área de TI en el Distrito Educativo 02-05 San Juan,
para el Período 2016-2018”; donde se planteó como objetivo general, elaborar un diseño e
implementación de un SGSI según dichas normas, área y período de estudio.

Para tales fines, se aplicó una metodología descriptiva y de campo; donde se utilizaron los
métodos: empírico, estadístico y teórico (análisis documental e histórico). Las técnicas de
investigación empleadas fueron: consultas bibliográficas, entrevistas, visitas exploratorias,
observación directa, toma de fotografías y la encuesta aplicada mediante un cuestionario con
16 preguntas cerradas a una muestra de 23 usuarios de una población de 49 (para un 47%).
Además, fue levantada una ficha de observación (tipo check list) a las instalaciones
tecnológicas de la institución objeto de estudio.
Los resultados principales obtenidos en este informe, determinaron que, aunque el personal
de informática informó que este Distrito Educativo cuenta con una política de TI para la
seguridad de los activos de información, la mayoría de los usuarios no la conoce. La institución
no cuenta SGSI, ni los empleados conocen si existe este sistema operando en la misma. Las
condiciones que poseen las instalaciones tecnológicas de este distrito son consideradas por
todos los usuarios como deficientes. Los empleados se conectan a Internet por medio de las PC
y las redes de la institución, utilizando además dispositivos USB sin control alguno, donde no
hay un sistema de backups para el resguardo de informaciones.

Los usuarios nunca se han capacitado sobre seguridad de la información, ni conocen sobre la
Norma ISO/IEC 27001:2013. Los riesgos que se presentan en la institución sobre seguridad de
la información son: falta de capacitación; concienciación de los usuarios; instalaciones
tecnológicas en mal estado; ambiente de los equipos no adecuado para su uso; acceso a
Internet sin ningún control; carencia de un sistema de control de acceso físico; acceso de
cualquier persona al uso de los equipos por lo cual se pierde muchas informaciones en los
mismos, entre otros factores.

Dentro de las dificultades sobre seguridad de la información que se presentan, se citan: falta de
controles adecuados, poca importancia de los directivos, falta de política de TI, infraestructura
tecnológica inadecuada, dejadez del personal de TI, descuido de los usuarios, falta de
capacitación al personal como principal, etc. La mayoría de los usuarios está totalmente de
acuerdo en que la institución necesita implementar un SGSI basado en la Norma ISO/IEC
27001:2013, ya que, de los 536 procedimientos analizados en las instalaciones tecnológicas
según dicha norma, sólo se cumple con 41 (para un 7.6%).

En otro estudio realizado por Fernández (2020), titulado: “Propuesta para la Implementación
de un Sistema de Gestión de Seguridad de la Información (SGSI), basado en la Norma ISO/IEC
27001:2013; Caso Centro de Datos de la UASD Centro San Juan de la Maguana de la
Universidad Autónoma de Santo Domingo, 2018-2019”, se formuló como objetivo general, de
presentar dicha propuesta para la implantación de este tipo de sistema en la institución objeto
del estudio, mediante el tipo de investigación descriptiva, de campo, exploratoria, documental
y correlacional; con un enfoque mixto (cuantitativo-cualitativo).

Los métodos de investigación empleados fueron el: teórico, sintético, descriptivo, inductivo,
deductivo, analítico y el estadístico. Las fuentes y técnicas de recolección de datos fueron:
(primarias: encuestas, cuestionarios y ficha de observación; segundarias: revisión documental
y/o bibliográfica). Los cuestionarios fueron aplicados a una muestra de 73 empleados de la
institución objeto de estudio (36 del personal administrativo y 37% del personal docente); así
como a una muestra de 43 estudiantes.

Los resultados del estudio concluyeron señalando que la mayoría de los empleados de la
academia considera que las instalaciones centro de datos de la UASD San Juan tienen las
condiciones necesarias en cuanto a seguridad de la información. Sin embargo, en los resultados
de la ficha de observación y en las opiniones de los estudiantes, estas condiciones no están del
todo adecuadas para tales fines. A pesar de que algunos empleados informaron que la
institución dispone de una política de TI, un plan de continuidad del negocio y un plan de
contingencia; la mayoría de los encuestados desconoce los instrumentos y/o controles para la
gestión de seguridad de la información que posee el centro de datos de la UASD San Juan.

También la institución posee cámaras de seguridad, pero no existen controles de seguridad

efectivos para acceder a su centro de datos (ni lógico ni físico). Los empleados de la institución
académica no saben cuándo la misma elabora, implementa y actualiza sus planes de
contingencia en el marco de la gestión de seguridad de la información. Las principales
dificultades o deficiencias que se presentan en el centro de datos de la UASD San Juan para la
protección adecuada de los equipos e instalaciones son: la falta de capacitación de los
empleados sobre gestión de seguridad de la información, el descuido de los usuarios, falta de
controles adecuados y la poca importancia de los directivos de la academia sobre esta práctica.

Se determinó, además, que la institución universitaria necesita implementar de manera

urgente un SGSI basado en la Norma ISO/IEC 27001:2013, ya que son muchos los riesgos que
pudieran generar pérdida de información en los equipos tecnológicos; y pocos los
procedimientos que ejecuta la institución para la gestión de seguridad de la información.

En otra investigación realizado en San Juan por Agramonte (2021), titulada: “Propuesta de un
Sistema de Gestión de Seguridad de la Información, basado en la Norma ISO/IEC 27001:2013.
Caso Instituto Superior de Formación Docente Salomé Ureña (ISFODOSU), Recinto Urania
Montás, San Juan de la Maguana, República Dominicana, Período 2016-2018”, se formuló
como objetivo general, diseñar una propuesta de un SGSI, basado en dicha norma para la
institución educativa objeto del estudio.

En la misma el autor aplicó la metodología de investigación, descriptiva y de campo; bajo el

diseño no experimental, con un enfoque cuantitativo; cuyos métodos de investigación
empleados, son el teórico, sintético, inductivo, deductivo, analítico y estadístico. Las técnicas
de recolección de datos, fueron: revisión documental y/o bibliográfica, entrevistas informales y
la encuesta a través de la aplicación de cuestionarios a una muestra de 26 empleados de una
población de 63 (para un 41%). Y una muestra de 39 estudiantes de una población de 380 (para
un 10.3%). El tipo de muestro empleado fue el aleatorio simple o al azar.

En los resultados del estudio se concluyó que la institución posee un plan de contingencia y
una política de TI como parte de sus controles asegurar la confidencialidad, integridad y
disponibilidad de la información. La institución no posee un nivel de seguridad adecuado en su
infraestructura tecnológica para la protección de sus activos de información. De igual forma,
tanto el personal como los estudiantes de la institución no tienen el suficiente nivel de
capacitación en gestión de seguridad de la información, ya que sus directivos se preocupan
poco por la promoción de estos temas, lo que ha establecido la necesidad urgente de que la
institución proceda a implementar un SGSI basado en la ISO/IEC 27001:2013.

2.2. Marco Teórico

2.2.1. La Seguridad de la Información

Según Herrera (2013), la seguridad de la información es el conjunto de medidas preventivas y

reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y
proteger la información con el fin de mantener la confidencialidad, la disponibilidad e
integridad de datos y de la información. La Seguridad de la información está definida como
todas las medidas preventivas y de reacción del individuo, la organización y las tecnologías,
para proteger la información; buscando mantener en esta la confidencialidad, la autenticidad e
Integridad.

La seguridad de la información es el conjunto de medidas que toman las organizaciones para

resguardar y proteger toda la información para así mantener la confidencialidad, la
disponibilidad y la integridad de esta. Se puede definir también como la práctica de defender la
información contra cualquier uso, divulgación, alteración, modificación, lectura, inspección,
registro o destrucción independientemente de la forma que se obtenga (Areitio, 2016).

De acuerdo con Gutiérrez (2014), la seguridad de la información es un concepto más amplio

que la seguridad informática, ya que la información puede encontrarse en diferentes medios
como el papel, además del informático. Hay que tener claro que los términos seguridad de la
información y seguridad informática son diferentes. La segunda trata solamente de la
seguridad en el medio informático, mientras que la primera es para cualquier tipo de
información, sea esta digital o impresa.

Para Mcleod (2010), la seguridad de la información es la protección de la información de un

rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo
comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. La
seguridad de la información se logra implementando un adecuado conjunto de controles;
incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de
software y hardware. Se necesita establecer, implementar, monitorear, revisar y mejorar estos
controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad y
comerciales específicos. Esto se debiera realizar en conjunción con otros procesos de gestión
del negocio.

La seguridad de la información también se puede definir como el área de la informática que se

enfoca en la protección de la infraestructura de tecnología y todo lo relacionado con ésta, y lo
más importante, la información contenida en esta o la que circula. La seguridad de la
información abarca muchas cosas, pero todas éstas giran en torno a la información. Por
ejemplo, la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la
integridad, confidencialidad, recuperación de los riesgos (Díaz, 2010).

En resumen, la seguridad de la información puede definirse como la disciplina que se ocupa de

diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema
seguro y confiable de gestión de seguridad de la información (SGSI). Es identificar y eliminar las
vulnerabilidades y reducir los riesgos de seguridad de una empresa.

2.2.2. Objetivos de la Seguridad de la Información

El objetivo de la seguridad informática es mantener la integridad, disponibilidad, privacidad,

control y autenticidad de la información manejada por computadora. El objetivo de la
seguridad de la información, es de proteger los recursos (personal, información, material,
instalaciones) y las actividades de una empresa. Según sea el recurso a proteger, se utilizan los
términos de seguridad del personal, seguridad de la información, seguridad del material,
seguridad de las instalaciones, o seguridad de operaciones, Cuando se trata de proteger el
recurso información, hay que tener en cuenta que la información puede existir en la mente
humana, en un documento, o en forma electrónica en un sistema de información y
comunicaciones (Navarro, 2013).

Según Salazar (2014), el objetivo de la seguridad de la información es desarrollar, implementar

y gestionar un programa de seguridad que alcance los siguientes seis (6) objetivos básicos:

1. Alineación estratégica. Alinear la seguridad de información con la estrategia de negocio

para apoyar los objetivos de la organización.
2. Análisis y gestión de riesgos.

3. Optimizar las inversiones en seguridad en apoyo a los objetivos de negocio.

4. Utilización del conocimiento y la infraestructura de seguridad con eficiencia y

efectividad.

5. Monitorización y reporte de los procesos para garantizar que se alcanzan los objetivos.

6. Emplear un enfoque de sistemas para planificar, implementar, monitorizar y gestionar

la seguridad de la información.

Para que la seguridad de la información aborde de manera efectiva la protección de los activos,
es fundamental una estrategia de seguridad que documente la dirección y las metas a
conseguir. Posteriormente, la estrategia establece la base para implementar un gobierno
efectivo de seguridad de la información (Salazar, 2014).

En resumen, la seguridad de la información tiene como misión principal, cuidar del buen
funcionamiento de los datos y de la transmisión de los mismos en un entorno seguro,
utilizando protocolos de seguridad (códigos cifrados) y técnicas para evitar riesgos.

2.2.3. Principios de la Seguridad de la Información

Para lograr sus objetivos, señala Duarte (2015) que la seguridad de la información se
fundamenta en tres principios fundamentales, que debe cumplir todo sistema de gestión de
seguridad de la información (SGSI):

Confidencialidad: Es la propiedad que impide la divulgación de la información a personas o

sistemas no autorizados. Asegura el acceso a la información únicamente a aquellos usuarios
que cuenten con la debida autorización. En un sistema de gestión de seguridad de la
información, la confidencialidad se encarga de proteger y dar una garantía de que toda la
información y datos recopilados no se divulgarán sino existe autorización.

Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados

y procesados en un sistema informático. Busca Mantener los datos libres de modificaciones no
autorizadas. La integridad garantiza la seguridad de la información mostrando los datos sin
modificar y exactos.

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información

almacenados y procesados. Busca asegurar que el acceso a la información este siempre
disponible. La disponibilidad hace posible que los usuarios autorizados puedan acceder a ella
en cualquier momento (Duarte, 2015).

2.2.4. Factores que intervienen en la Seguridad de la Información

Para Jiménez, Vicente y Mateos (2015), la información es poder y según las posibilidades que
ofrece tener acceso a cierta información, ésta se puede clasificar en crítica, valiosa o sensible.
En tal sentido, hay dos factores importantes que intervienen en la seguridad de la información,
que son:
Seguridad de la Tecnología de la Información: Conocido como seguridad informática, son las
medidas aplicadas a nivel de tecnología. Es bueno saber que cuando se habla de
computadoras, no necesariamente se está hablando de una estación de trabajo, puede ser
cualquier dispositivo con procesador y memoria. Es por esta razón, que los profesionales de la
seguridad de una organización son responsables de mantener cualquier medio tecnológico
protegido contra cualquier ciberataque, que usualmente abren una brecha para obtener
información sensible o crítica de la organización.

Asegurar la Información: Es el acto de asegurarse que la información no se pierda en caso de

que surja una situación crítica. Estas situaciones pueden ser, desastres naturales, falla de los
servidores, robo físico o cualquier otra situación donde la información puede ser robada.

Actualmente la información es usualmente guardada en servidores, así que el asegurar la

información es responsabilidad del profesional de seguridad de la organización. Uno de los
métodos más comunes para asegurar la información, es tener un respaldo de la información en
otra ubicación en caso de que surja una de estas situaciones.

2.2.5. Políticas de Seguridad de la Información

La seguridad de la tecnología de la información debe establecer las normas o políticas que

minimicen lo más posible los riesgos a la información y la infraestructura tecnológica. Estas
políticas deben establecer denegaciones, autorizaciones, restricciones, planes de emergencia y
recuperación, protocolos, en otras palabras, todo lo necesario para lograr un buen nivel de
seguridad y proteger los sistemas de las amenazas, y lo más importante, minimizando el
impacto del desempeño de los usuarios y de la organización en general.

Las políticas de seguridad de la información son un conjunto de documentos de alto nivel (nivel
estratégico), donde se definen las directrices a seguir por una organización en un aspecto en
concreto para garantizar la confidencialidad, integridad y disponibilidad de la información. Es
decir, estos documentos deben ser elaborados, revisados y mantenidos por el consejo directivo
(preferiblemente) o la máxima autoridad de la organización, depende de cómo funcione la
misma; la cuestión es que las políticas de seguridad de la información son una decisión y
gestión estratégica, no táctica y mucho menos operativa (Salazar, 2014).

Navarro (2013) considera que “las políticas son directrices u orientaciones sobre una
determinada materia en un entorno concreto. Se trata de fijar objetivos, sin decir cómo
conseguirlos y viene a representar el marco o filosofía de actuación de la entidad. No deben ser
largas ni farragosas, una o dos páginas por política, a lo sumo. Tienen que ser fáciles de
entender por todo el personal de la empresa” (p. 57). En ese orden, la intención de la política
de seguridad de la información es generar y/o confirmar el compromiso de la alta gerencia (de
allí la importancia de la participación del consejo directivo) en materia de seguridad de la
información.

La Academia Latinoamericana de Seguridad Informática (2013) menciona que la política es

elaborada considerando el entorno en que se está trabajando como la tecnología de la
seguridad de la información, para que los criterios establecidos estén de acuerdo con las
prácticas internas más recomendadas de la organización, con las prácticas de seguridad
actualmente adoptadas, para buscar una conformidad mayor con criterios actualizados y
reconocidos en todo el mundo.
La política es elaborada tomando como base, la cultura de la organización y el conocimiento
especializado de seguridad de los profesionales involucrados con su aplicación y compromiso.
Es importante considerar que, para la elaboración de una política de seguridad institucional, se
debe integrar el comité de seguridad responsable de definir la política, conformado por un
equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la
organización, y que se reúnan periódicamente dentro de un cronograma establecido por el
Comité de Seguridad. Este comité está formado por un grupo definido de personas
responsables de las actividades referentes a la creación y aprobación de nuevas normas de
seguridad en la organización.

2.2.6. Elementos de Seguridad de la Información

Dentro de un SGSI deben estar incluidos los siguientes elementos de seguridad de la

información (Pallas & Corti, 2011).

Control: Solo los usuarios autorizados deciden cuando y como permitir el acceso a la
información.

Autenticidad: Definir que la información requerida es válida y utilizable en tiempo, forma y

distribución.

No Repudio: Evita que cualquier entidad que envió o recibió información alegue, que no lo
hizo.

Auditoría: Determinar qué, cuándo, cómo y quién realiza acciones sobre el sistema.

2.2.7. Mecanismos de Seguridad de la Información

Los mecanismos de seguridad de la información son las técnicas o herramientas que se utilizan
para fortalecer la confidencialidad, integridad y disponibilidad de los activos de información.
Dependiendo de su función, se pueden clasificar en:

Preventivos: Son las acciones tomadas antes de que ocurran un evento, su función es detener
cualquier intento de acceso no autorizado.

Detectivos: Acciones tomadas antes de que ocurran un evento y su función es revelar la

presencia de un agente no deseado en los sistemas.

Correctivos: Acciones tomadas luego de ocurrido un evento y su función es corregir la

consecuencia (Vanegas & Pardo, 2014).

2.2.8. Sistemas de Gestión de Seguridad de la Información (SGSI)

Como el nombre lo indica, un Sistemas de Gestión de Seguridad de la Información (SGSI), es un

conjunto de políticas de administración de la información desde la perspectiva de la seguridad
informática. Cabe destacar, que este tipo de sistemas son usados en otros estándares no solo
por la ISO 27001.
Un Sistema de Gestión de Seguridad de la Información (SGSI) consta del diseño, implantación y
mantenimiento de un conjunto de procesos para gestionar de manera correcta y eficiente el
acceso a la información, buscando mantener factores de calidad de la información como la
confidencialidad, integridad y disponibilidad de los activos de información, siempre buscando
minimizar los riesgos de seguridad (Prado, 2018).

Según Rojas (2012), los Sistemas de Gestión de Seguridad de la Información (SGSI) son el medio
más eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los procesos de
negocio y/o servicios de TI, activos y sus riesgos, considerando el impacto para la organización,
y se adoptan los controles y procedimientos más eficaces y coherentes con la estrategia de
negocio.

Un SGSI permite minimizar el riesgo de pérdida o sustracción de datos, para ello se identifican
y valoran los activos de la organización y sus riesgos, considerando el impacto que tendría una
pérdida de los mismos, sobre este análisis, se planifican controles y procedimientos eficaces
dentro de la estrategia de negocio (Linier, 2016).

En resumen, un Sistema de Gestión de Seguridad de la Información (SGSI) es el elemento más

importante de la Norma ISO 27001, que unifica los criterios para la evaluación de los riesgos
asociados al manejo de los activos de información en las organizaciones. Un SGSI es, por tanto,
el conjunto de prácticas orientadas a garantizar la confidencialidad, integridad y disponibilidad
de la información.

2.2.9. Importancia de un Sistema de Gestión de Seguridad de la Información (SGSI)

En la actualidad, revela Gómez (2018), el avance tecnológico que se está presentando a nivel
internacional, trae consigo desafíos que generan preocupaciones a los altos directivos
organizacionales. Garantizar un máximo nivel de disponibilidad, integridad y confidencialidad
de la información manejada diariamente en las organizaciones es un aspecto de gran
importancia que se procura tener en cuenta dentro de las labores empresariales hoy en día.

En el mundo de las redes y comunicaciones se presentan diferentes amenazas tales como los
ataques de ciberdelincuentes en busca de datos confidenciales y de gran interés comercial,
sabotajes, modificación de información altamente confidencial, entre otras, que se realizan con
algún interés económico, comercial, competitivo o con el fin de que el atacante obtenga alguna
reputación. Pero esta problemática presentada no afecta solamente a las grandes empresas u
organizaciones con una gran infraestructura para su funcionamiento, actualmente ni las
grandes y pequeñas empresas, ni los gobiernos o personas del común están exentas, o se
encuentran vulnerables ante algún ataque informático, según la Firma de Cyberseguridad
Digiware, en el año transcurrido entre agosto de 2016 y 2017, se han presentado 198 millones
de ciberataques, de acuerdo con la compañía en promedio se registran 542 mil incidentes y el
impacto de los daños informáticos ha generado pérdidas por más de 6 mil millones de dólares
en el país.

Por lo anterior, es de gran utilidad para las organizaciones la implementación de un SGSI

(Sistema de Gestión de Seguridad de la Información), el cual está fundamentado sobre la
norma ISO27001 y establece un proceso sistemático para la protección ante cualquier amenaza
que podría llegar afectar la confidencialidad, integridad o disponibilidad de la información.
Este sistema ofrece las mejores prácticas y procedimientos que siendo aplicados
correctamente en el ámbito empresarial, proporcionan una mejora continua y apropiada para
evaluar los riegos a los que nos enfrentarnos diariamente, establecer controles para una mejor
protección y defender así nuestro activo más valioso dentro de la organización: la información.

En pocas palabras, un SGSI analiza y gestiona los riesgos que se puedan presentar en una
entidad basados en los procesos misionales, y activos de información con los que cuenta una
organización, de forma que se garantice un mayor control en cuanto a las vulnerabilidades que
se puedan presentar, evitando la materialización de amenazas que afecten directa o
indirectamente el funcionamiento diario de la organización.

La implementación de un sistema de gestión de la seguridad de la información, dentro de las

organizaciones basadas en el ciclo de vida de la información, resulta de gran importancia, ya
que aporta grandes beneficios tales como:

– Garantiza un alto nivel de confidencialidad, integridad y disponibilidad de la

información manejada en las labores diarias en la organización.

– El acceso a la información tendrá controles de acuerdo con niveles de seguridad y

confidencialidad que dificultan la manipulación por parte de personas no autorizadas.

– Existirá un mejoramiento continuo que genera una continua evaluación de la situación

actual y facilitará la detección de vulnerabilidades o incidentes de seguridad a tiempo.

– Los proveedores, aliados estratégicos y clientes de nuestro negocio tendrán mayor

confianza debido a la calidad y confidencialidad que genera la implementación de un SGSI.

– Garantiza la continuidad del negocio, aspecto importante dentro de la competitividad

empresarial.

– Ayuda a mantenerse al margen de la legislación nacional en cuanto al manejo de la

información de proveedores, clientes, aliados estratégicos, entre otros.

– Es un factor diferenciador que genera un plus ante la competencia (Gómez, 2018).

2.2.10. Objetivo de un Sistema de Gestión de Seguridad de la Información (SGSI)

La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) tiene como

objetivo establecer y mantener un ambiente razonablemente seguro alineado a la misión de la
organización, de manera tal que permita proteger sus activos de información, así como el
adecuado uso de los recursos y de la gestión del riesgo, con el fin de proteger la disponibilidad,
integridad y confidencialidad de la información que administra, así como la continuidad de los
servicios tecnológicos de la institución.

Es decir, la puesta en marcha de una SGSI tiene como objetivo, proteger los activos de
información de la organización basado en los criterios de disponibilidad, integridad y
confidencialidad, según Norma ISO/IEC 27001:2013. Otros de sus objetivos es gestionar los
riesgos de seguridad de la información para mantenerlos en niveles aceptables, así como
implementar el plan de continuidad para los servicios que estén en el alcance del Sistema de
Gestión de la Seguridad de la Información (Hernández, 2019).
2.2.11. Norma ISO/IEC 27001:2013

Según la Organización Internacional de Normalización (ISO) (2013), la Norma ISO 27001, es un

estándar internacional que certifica a los procesos de la organización en el manejo correcto de
la seguridad de la información. La ISO 27001 es una norma internacional que permite el
aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de
los sistemas que la procesan. El estándar ISO/IEC 27001:2013 para los Sistemas Gestión de la
Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la
aplicación de los controles necesarios para mitigarlos o eliminarlos (ISO, 2013).

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la

competitividad y la imagen de una organización. La Gestión de la Seguridad de la Información
se complementa con las buenas prácticas o controles establecidos en la Norma ISO [Link]
Norma ISO/IEC 27001 versión 2013, es la primera revisión que se ha realizado de la Norma ISO
27001. La revisión se ha realizado gracias a la experiencia práctica en la utilización de la norma
durante estos años.

Existen dos claras influencias para realizar la revisión. La primera de las influencias está
relacionada con la necesidad de que todas las normas cumplan con la estructura de alto nivel,
la conformidad con dichos requisitos, generarán una tendencia en todos los sistemas de
gestión. La segunda de las influencias se relaciona con la necesidad que existe de alinear la
Norma ISO 27001 versión 2013, con los principios y la orientación ofrecida por la Norma ISO
31000 de gestión de riesgos. El resultado de la revisión genera una gran diferencia entre la
Norma ISO 27001 versión 2013 y la ISO 27001:2005. En la Norma ISO 27001:2013 no se
duplican requisitos y existe una mayor libertad de elección (Prado, 2018).

La Norma ISO 27001 también se basa en otras normas, como la ISO/IEC 17799:2005, la serie
ISO 13335, ISO/IEC TR 18044:2004 y las Directrices de la OCDE (Organización para la
Cooperación y el Desarrollo Económicos) para sistemas y redes de seguridad de la información,
que brindan orientación para implementar sistemas de seguridad de la información (ISOTools,
2019).

2.2.12. Estructura de la Norma ISO/IEC 27001:2013

Según ISOTools (2019), la estructura de la Norma ISO/IEC 27001:2013, está compuesta por 10
componentes esenciales, los cuales son los siguientes:

1. Objeto y Campo de Aplicación: La norma comienza aportando unas orientaciones sobre

el uso, finalidad y modo de aplicación de este estándar.

2. Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables

para la aplicación de ISO27001.

3. Términos y Definiciones: Describe la terminología aplicable a este estándar.

4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge

indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de las
necesidades y expectativas de las partes interesadas y la determinación del alcance del SGSI.

5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la

organización han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de
demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad que conozca
toda la organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.

6. Planificación: Esta es una sección que pone de manifiesto la importancia de la

determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión de
Seguridad de la Información, así como de establecer objetivos de Seguridad de la Información y
el modo de lograrlos.

7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la
organización debe contar con los recursos, competencias, conciencia, comunicación e
información documentada pertinente en cada caso.

8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte
de la norma indica que se debe planificar, implementar y controlar los procesos de la
organización, hacer una valoración de los riesgos de la Seguridad de la Información y un
tratamiento de ellos.

9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a

cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por
la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona
según lo planificado.

10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar
continuamente la conveniencia, adecuación y eficacia del SGSI (ISOTools, 2019).

2.2.13. Objetivos de la Norma ISO/IEC 27001:2013

Según Solarte (2016), el objetivo de la Norma ISO/IEC 27001, es conseguir los niveles
adecuados de integridad, confidencialidad y disponibilidad para toda la información
institucional relevante, con el fin de asegurar la continuidad operacional de los procesos y
servicios, mediante un Sistema de Gestión de Seguridad de la Información. El SGSI es una
herramienta que apoya la gestión en las organizaciones, ya que la información es uno de los
activos más importantes dentro de una empresa moderna, por lo que se requiere que ésta se
encuentre lo suficientemente protegida frente a las amenazas que pueden poner en peligro la
continuidad de los niveles de servicio, la rentabilidad de la organización y la conformidad legal,
por lo que se hace necesario alcanzar todos los objetivos institucionales.

El eje central de la Norma ISO 27001 es proteger la confidencialidad, integridad y

disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los
potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y
luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es
decir, mitigación o tratamiento del riesgo).

De este modo, la normativa ISO 27001 tiene como objetivo establecer normas de obligado
cumplimiento por parte del personal ligado al SGSI para reducir riesgos asociados a los activos
que se contemplan. Asimismo, pretende establecer la metodología a aplicar en busca de la
mejora continua de los procesos de la organización. Esto se consigue promoviendo una
formación adecuada acorde a lo dispuesto en la política de calidad, medio ambiente y
seguridad de la información (Solarte, 2016).

2.2.14. Ventajas y Desventajas de la Norma ISO/IEC 27001:2013

De acuerdo con Quiñones (2018), la Norma ISO/IEC 27001:2013 ofrece algunas ventajas y
desventajas para la seguridad de los activos de información de una organización, las cuales son:

Ventajas:

• En el ámbito de la propia organización, ya que se establece un importante compromiso

con la seguridad de la información. Existen diferentes registros y medidas de control que
facilitan que la seguridad de la información se encuentre garantizada en la empresa y que
todos los esfuerzos realizados puedan demostrarse.

• En el cumplimiento legal de las exigencias, se manifiesta la conformidad de la

organización en el cumplimiento de los requisitos legales que se le aplique la legislación de la
región en la que se encuentra ubicada la organización y la actividad que realice.

• Se desarrolla una adecuada gestión de riesgos. La empresa conoce a la perfección su

organización y los Sistemas de Información que aplican, los problemas que se encuentran y los
medios de protección que le son aplicados, además deben terminar garantizando la mejor
disponibilidad de los materiales y los datos, y asegurando la continuidad sin alteraciones que
no han sido controladas.

• En el aspecto comercial, se genera credibilidad y confianza entre todos los clientes de

la organización. Se debe tener presente que nos encontramos en una sociedad en la que falta
confianza de los clientes afecta a nuestras ventas de la misma forma que la calidad y la
funcionalidad de los productos, por lo que se debe cuidar los dos aspectos.

• En el mundo financiero, las empresas tienen que conseguir una disminución de los
costes vinculados a los diferentes incidentes y se consigue minimizar las primas de los seguros
que tienen contratados.

• En cuanto a los humanos, se genera una sensibilización del personal en relación con la
importancia de la correcta manipulación de la información, a la aplicación adecuada de todas
las medidas de seguridad que se tiene que adoptar por parte de la organización y la
responsabilidad del personal y de la organización con relación a la información que la que
disponen y por supuesto, no nos podemos olvidar de los dueños de la información.

• Facilita la integración de todos los sistemas de gestión, gracias a la estructura de alto

nivel, los términos y las definiciones ayudan a la implementación.

• Los riesgos en la seguridad de la información tienen que ser abordados.

• Los documentos requeridos se encuentran perfectamente establecidos, ya que hacen

referencia a la complejidad y al tamaño.

• Se hace mención a las todas las acciones preventivas.

• Todas las definiciones de esta norma se pueden encontrar en el estándar ISO 27000.
Desventajas:

• Es una abstracción y es un nivel alto, por lo que no se encuentra muy detallado.

• Los requisitos son difíciles de interpretar, ya que existen nuevos conceptos.

• No se hace mención del modelo PHVA o Ciclo de Deming (Planificar, Hacer, Verificar y
Actuar).

• No se hace mención de la política del Sistema de Gestión de Seguridad de la

Información.

• No existe una descripción detallada a la hora de identificar los riesgos.

• Delegación de todas las responsabilidades en departamentos técnicos.

• Temor ante el cambio: resistencia de las personas.

• Discrepancias en los comités de dirección.

• No asumir que la seguridad de la información es inherente a los procesos de negocio.

• Falta de comunicación de los progresos al personal de la organización (Quiñones,

2018).

2.2.15. Descripción del Ciclo de Deming

El Ciclo de Deming, también conocido como círculo PDCA o ciclo de mejoras continuas, se basa
en cuatro (4) pasos: Planificar, Hacer, Verificar y Actuar (Plan, Do, Check, Act). Cada paso se
describe de la siguiente manera (Romero, 2017).

1. Ciclo PDCA: Planificar (Plan): En esta primera fase se establecen las actividades
necesarias del proceso para llegar al resultado esperado. Al basar las acciones en el resultado
esperado, la exactitud y cumplimiento de las especificaciones a lograr se convierten también en
un elemento a mejorar. Es necesario:

• Recopilar datos para profundizar en el conocimiento del proceso.

• Detallar las especificaciones de los resultados esperados.

• Definir las actividades necesarias para lograr el producto o servicio, verificando los
requisitos especificados.

• Establecer los objetivos y procesos necesarios para conseguir resultados necesarios de

acuerdo con los requerimientos del cliente y las políticas organizacionales.

2. Ciclo PDCA: Hacer (Do): A partir de los resultados conseguidos en la fase anterior se
procede a recopilar lo aprendido y a ponerlo en marcha. También suelen aparecer
recomendaciones y observaciones que suelen servir para volver al paso inicial de Planificar y
así el círculo nunca dejará de fluir. Actualmente algunos expertos prefieren denominar este
paso “Ajustar”. Esto ayuda a las personas que se inician en el ciclo PDCA a comprender que el
cuarto paso tiene que ver con la idea de cerrar el ciclo con la realimentación para acercar los
resultados obtenidos a los objetivos. Además, no debe confundirse este paso “A” con el
conjunto de acciones (implementación) consecuencia del despliegue de los planes (que se
desarrolla en el segundo paso, “D”, de “hacer” o “llevar a cabo las Acciones”).

3. Ciclo PDCA: Controlar o Verificar (Check): Pasado un periodo previsto de antemano, los
datos de control son recopilados y analizados, comparándolos con los requisitos especificados
inicialmente, para saber si se han cumplido y, en su caso, evaluar si se ha producido la mejora
esperada. Si la mejora no cumple las expectativas iníciales habrá que modificarla para ajustarla
a los objetivos esperados.

4. Ciclo PDCA: Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben
estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber
sido implantada la mejora. Si los resultados son satisfactorios se implantará la mejora de forma
definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si
desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para
estudiar nuevas mejoras a implantar (Romero, 2017).

2.3. Marco Conceptual

Activos de Información: Son recursos del Sistema de Seguridad de la Información según ISO
27001, necesarios para que la empresa funcione y consiga los objetivos que se ha propuesto la
alta dirección a nivel seguridad de la información (Mendoza & Lorenzana, 2013).

Amenazas: Objeto, fenómeno o persona que constituye una posible causa de riesgo o perjuicio
para alguien o algo (Bembibre, 2010).

Capacitación: Se define como el conjunto de actividades didácticas, orientadas a ampliar los

conocimientos, habilidades y aptitudes del personal que labora en una empresa. La
capacitación les permite a los trabajadores poder tener un mejor desempeño en sus actuales y
futuros cargos, adaptándose a las exigencias cambiantes del entorno (Luévano & Rivera, 2012).

Condiciones: Naturaleza o conjunto de características propias y definitorias de un ser o de un

conjunto de seres. Condición también se define como el estado o situación en que se halla
alguien o algo (Pérez & Gardey, 2014).

Controles: Es una de las etapas que forman el proceso administrativo, en la cual se puede tener
una información más precisa de lo que sucede. Es la función administrativa que consiste en
medir y corregir el desempeño individual y organizacional para asegurar que los hechos se
ajusten a los planes y objetivos de las empresas (Castro & García, 2011).

Directivo: Que tiene a su cargo junto con otras personas la dirección o el mando de una
empresa, una institución o una agrupación. Se denomina directivo a aquella persona que tiene
la función de dirigir. Entre la dirección, puede encargarse de dirigir a una serie de personas,
dirigir la compañía en su totalidad o dirigir un departamento. Habitualmente, el directivo suele
ser la persona de mayor rango en la jerarquía organizativa de la compañía y/o departamento
(Coll, 2020).

Diseño: Actividad creativa que tiene por fin proyectar objetos que sean útiles y estéticos.

El diseño se define como el proceso previo de configuración mental, prefiguración, en la

búsqueda de una solución en cualquier campo. Conjunto de estudios necesarios para conseguir
el título de diseñador y ejercer esa actividad. Se aplica habitualmente en el contexto de la
industria, ingeniería, arquitectura, comunicación y otras disciplinas que requieren creatividad
(Herrera, 2012).

Estudiante: Persona que cursa estudios en un centro o institución educativa. La palabra

estudiante es un sustantivo masculino o femenino que se refiere al aprendiz dentro del ámbito
académico y que se dedica a esta actividad como su ocupación principal, además se centra en
lo que su nombre indica “estudiar” aplicando consigo técnicas y maneras de aprendizaje, un
estudiante es aquel que sigue y adquiere ideas de un superior, para después aplicarlas y
desarrollarlas (Real Academia de la Lengua Española, 2015).

Gestión: Es la acción básica (pura y simple) de la administración. Es el término que se da al

conjunto de todos los procesos humanos que son necesarios para producir bienes y servicios
facilitando el uso y consumo. También se puede decir que la gestión es una ciencia, es una
corriente de la administración que implica dirigir o gerencial una organización (Carod & Correa,
2013).

Gestión de Riesgo: Es un enfoque estructurado para manejar la incertidumbre relativa a una

amenaza, a través de una secuencia de actividades humanas que incluyen la identificación, el
análisis y la evaluación de riesgo, para luego establecer las estrategias para su tratamiento,
utilizando recursos gerenciales (Laskurain, 2017).

IEC: (International Electrotechnical Commission, es la Comisión Electrotécnica Internacional

(CEI), más conocida por sus siglas en inglés IEC. Es una organización de normalización en los
campos: eléctrico, electrónico y tecnologías relacionadas (IEC, 2015).

Implementación: Es la ejecución o puesta en marcha de una idea programada, ya sea, de una

aplicación informática, un plan, modelo científico, diseño especifico, estándar, algoritmo o
política. Distíngase siempre el término implementación de implantación, puesto que una
implantación se realiza de forma impuesta u obligatoria al usuario sin importar su opinión; en
cambio en la implementación se involucra al usuario en el desarrollo de lo que se está
realizando (Pérez, 2018).

Importancia: Valor, interés o influencia de una cosa. Su significado también se refiere a algo o
alguien que posee prestigio, calidad, cantidad, influencia natural, personal, nivel económico,
político o social, capaz de dejar su impronta o modificar alguna realidad (Diccionario
Electrónico de Conceptos, 2019).

Información: Es un conjunto organizado de datos procesados, que constituyen un mensaje que

cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Desde el
punto de vista de la ciencia de la computación, la información es un conocimiento explícito
extraído por seres vivos o sistemas expertos como resultado de interacción con el entorno o
percepciones sensibles del mismo entorno (Martínez, 2010).

Instalaciones Tecnológicas: Conjunto de elementos para el almacenamiento de los datos de

una empresa. En ella se incluye el hardware, el software y los diferentes servicios necesarios
para optimizar la gestión interna y seguridad de información (Ferrol, 2016).

ISO: La Organización Internacional de Normalización (originalmente en inglés: International

Organization for Standardization, conocida por la abreviación ISO); es una organización para la
creación de estándares internacionales compuesta por diversas organizaciones nacionales de
estandarización (ISO, 2013).
Nivel de Capacitación: Es el grado de formación o preparación que posee una persona sobre un
área específica, un oficio o una disciplina del saber (Salgado, Gómez & Carvajal, 2017).

Nivel de Seguridad: Los niveles de seguridad permiten a las empresas, certificar el nivel de
robustez, protección y confianza de sus equipos o activos de información, según estándares
internacionalmente reconocidos (Carisio, 2018).

Norma: Norma es un término que proviene del latín y significa “escuadra”. Se conoce como
norma, a la regla o un conjunto de éstas, una ley, una pauta o un principio que se impone, se
adopta y se debe seguir para realizar correctamente una acción o también para guiar, dirigir o
ajustar la conducta o el comportamiento de los individuos (Schettino, 2016).

Personal: (Empleado, Colaborador, Recurso Humano). Es conjunto de empleados o

colaboradores de una organización, sector económico o de una economía completa.

Frecuentemente, también se utiliza para referirse al sistema o proceso de gestión que se ocupa
de seleccionar, contratar, formar, emplear y retener al personal que la organización necesita
para lograr sus objetivos (Alles, 2015).

Política de Seguridad: Para Stallings (2014), es un plan de acción para afrontar riesgos de
seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden
cubrir cualquier cosa desde buenas prácticas para la seguridad de un solo ordenador, reglas de
una empresa o edificio, hasta las directrices de seguridad de un país entero. La política de
seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la
seguridad de la información. Contiene la definición de la seguridad de la información desde el
punto de vista de cierta entidad.

Propuesta: Proyecto o idea que se presenta a una persona o institución para que lo acepte y dé
su conformidad para realizarlo. También se refiere a una proposición, invitación, que alguien le
efectúa a otro individuo con la intención de llevar a cabo alguna actividad, fin, u objetivo
común (Florencia, 2012).

Protección: Acción de proteger o impedir que una persona o una cosa reciba daño o que llegue
hasta ella algo que lo produzca. Es el cuidado y resguardo con que algo o alguien, preserva un
objeto o sujeto (Ucha, 2013).

Riesgo: Posibilidad de que se produzca un contratiempo o una desgracia, de que alguien o algo
sufra perjuicio o daño. Riesgo es una medida de la magnitud de los daños frente a una
situación peligrosa. El riesgo se mide asumiendo una determinada vulnerabilidad frente a cada
tipo de peligro (Martí, 2013).

Según García (2016), un sistema informático es un conjunto de instrucciones que permite

almacenar y procesar información. Es el conjunto de partes interrelacionadas: hardware,
software y personal informático. El hardware incluye computadoras o cualquier tipo de
dispositivo electrónico, que consisten en procesadores, memoria, sistemas de almacenamiento
externo, etc.

Seguridad: Se puede referir a la ausencia de riesgo o a la confianza en algo o en alguien.

Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga
referencia en la seguridad. En términos generales, la seguridad se define como "el estado de
bienestar que percibe y disfruta el ser humano". Una definición dentro de las ciencias de la
seguridad es "Ciencia interdisciplinaria que está encargada de evaluar, estudiar y gestionar los
riesgos que se encuentra sometido una persona, un bien o el ambiente (Waever, 2019).)

Sistema: Conjunto ordenado de normas y procedimientos que regulan el funcionamiento de un

grupo o colectividad (Bunge, 2009).

Sistema de Información: De acuerdo con Laudon y Kenneth (2016), un sistema de información

es un conjunto de elementos orientados al tratamiento y administración de datos e
información, organizados y listos para su uso posterior, generados para cubrir una necesidad o
un objetivo. Un sistema de información se entiende como el conjunto de tecnologías, procesos,
aplicaciones de negocios y software disponibles para las personas dentro de una organización.

Tecnología: González y Pérez (2012) la definen como el conjunto de los conocimientos propios
de una técnica. La tecnología es la ciencia aplicada a la resolución de problemas concretos.
Constituye un conjunto de conocimientos científicamente ordenados, que permiten diseñar y
crear bienes o servicios que facilitan la adaptación al medio ambiente y la satisfacción de las
necesidades esenciales y los deseos de la humanidad.

TI: (Tecnología de la Información). Es la aplicación de ordenadores y equipos de

telecomunicación para almacenar, recuperar, transmitir y manipular datos, con frecuencia
utilizado en el contexto de los negocios u otras empresas. El término es utilizado como
sinónimo para los computadores, y las redes de computadoras, pero también abarca otras
tecnologías de distribución de información, tales como la televisión y los teléfonos (Roig, 2015).

Usuario: En informática, un usuario es una persona que utiliza una computadora o un servicio
de red. Los usuarios de sistemas informáticos y productos de softwares, generalmente, carecen
de la experiencia técnica necesaria para comprender completamente cómo funcionan.
También un usuario se denomina a aquella persona que utiliza un producto o servicio de forma
habitual, beneficiándose de algún modo de dicha utilización, sin entrar a valorar la marca, el
precio o las características técnicas de lo que utiliza (Pérez, 2023).

Vulnerabilidad: Es el riesgo que una persona, sistema u objeto puede sufrir frente a peligros
inminentes, sean ellos desastres naturales, desigualdades económicas, políticas, sociales o
culturales. Es el grado en que las personas pueden ser susceptibles a las pérdidas, los daños, el
sufrimiento y la muerte, en casos de desastre o siniestro (Beck, 2018).

2.4. Marco Contextual

2.4.1. Descripción del Municipio de San Juan de la Maguana

El contexto donde se desarrolló este estudio se ubica en el casco urbano del Municipio de San
Juan de la Maguana, Provincia San Juan, República Dominicana.

En los aspectos históricos, según Montás (2008), la Villa de San Juan de la Maguana fue
levantada entre 1502 y 1503, por órdenes del Gobernador de la isla Nicolás de Ovando. El
Municipio de San Juan de la Maguana, en su inicio se denominó: “San Juan Bautista de la
Maguana”, en honor a “San Juan el Bautista” quien bautizó a Jesús.

En los aspectos geográficos, de acuerdo con datos de la Oficina Nacional de Estadística (ONE)
(2010), la mayor parte del territorio del Municipio de San Juan de la Maguana, se encuentra
ubicada en el valle del mismo nombre, entre la Cordillera Central y la Sierra de Neiba. Este valle
es el segundo en extensión del territorio nacional. Mide unos 100 km de largo por 20 km de
ancho. Sus límites son los siguientes: al Sur con el Municipio de Vallejuelo; al Norte con el
Municipio de Juan de Herrera.; al Este con la Provincia de Azua y al Oeste con el Municipio de
Las Matas de Farfán.

Según los aspectos demográficos, San Juan de la Maguana es el municipio cabecero de la

Provincia San Juan, situado a 200 km de la Ciudad de Santo Domingo (Capital Dominicana),
pertenece a la Región Suroeste de la República Dominicana, posee una población de 132,177
habitantes: 69,329 hombres y 62,848 mujeres (ONE, 2010).

Mencionando los aspectos socioeconómicos, se puede decir que la economía de San Juan de la
Maguana es fundamentalmente agrícola. San Juan produce más del 90% de las habichuelas,
84% del maní, 35% del guandul, 20% de la cebolla y el 36% de la batata que consume la
población dominicana. Otra fuente de ingreso para los residentes, son los diversos negocios
formales e informales, como: panaderías, sastrerías, laboratorios, clínicas, consultorios
médicos, farmacias, hoteles, galleras, bares, discotecas, actividades de transportes, además de
las remesas del exterior, entre otros (Montás, 2008).

En los aspectos pecuarios, se puede inferir que en cuanto a la actividad pecuaria en el

Municipio de San Juan de la Maguana, el ganado, especialmente el vacuno, ha jugado un papel
importante como fuente económica de esta zona, desde los tiempos de la colonia; pero en las
últimas décadas, ha habido una importante transición de la crianza extensiva por la intensiva,
lo que ha incidido de manera considerable, en la calidad de las reses. (Cabral & Gómez, 2014).

En los aspectos educativos, según Tejada, Ruiz y Galán (2010), en el año de 1916 se oficializó la
educación en San Juan de la Maguana, fundándose la Escuela Primaria Francisco del Rosario
Sánchez, para varones y el colegio de señoritas el 22 de diciembre. Para el 1950 se abre la
Escuela Parroquial patrocinada por la Iglesia Católica a cargo de los Padres Redentoristas. En
San Juan de la Maguana opera la Dirección Regional de Educación 02, con siete (7) Distritos
Educativos: el 02-05 y 02-06, que cubren el Municipio de San Juan de la Maguana; el 02-03 que
abarca Las Matas de Farfán; 02-04 que pertenece a El Cercado; 02-07 a Hondo Valle; 02-02 a
Pedro Santana; y 02-01 a Comendador, Elías Piña.

A nivel superior, la educación universitaria en la Provincia de San Juan, se inicia a raíz de la

llegada de la extensión de la Universidad Nacional Pedro Henríquez Ureña (UNPHU) en 1972.
Mientras que, en el año 1982, comienza a operar la extensión de la Universidad Central del
Este (UCE), En el 1996, se instala el Centro Universitario Regional Oeste, de la Universidad
Autónoma de Santo Domingo (UASD). En la actualidad, la provincia cuenta con tres (3)
importantes Centros de Educación Superior: Universidad Autónoma de Santo Domingo, Centro
San Juan de la Maguana, la Universidad Central del Este (UCE), extensión San Juan de la
Maguana; y el Instituto Superior de Formación Docente Salomé Ureña, Recinto Urania Montás.

De acuerdo con los aspectos culturales, San Juan de la Maguana posee una cultura muy rica,
con múltiples tradiciones y espacio para manifestar la diversidad que la caracteriza. Hay varios
elementos que distinguen a los sanjuaneros, tales como: la religiosidad popular, la gastronomía
propia (con su reconocido chenchén y su chacá), la música y el baile con fuertes acentos de
percusión africana y otras formas de expresión cultural. En este municipio tiene un gran valor
cultural las fiestas patronales, por ejemplo: las fiestas en honor a San Juan Bautista, que se
celebran del 15 al 24 de Junio, en honor al Santo Patrón de la ciudad cabecera (Méndez, 2009).
Acorde a los aspectos tecnológicos, de las pocas informaciones que se tienen al respecto en
toda la Provincia San Juan, el Instituto Dominicano de las Telecomunicaciones (INDOTEL), en
sus “Indicadores Estadísticos Semestrales”, correspondientes al último semestre del año 2019
(julio-diciembre), detalla el estado actual del uso de medios de telecomunicaciones en el
municipio cabecera San Juan de la Maguana, señalando dichos indicadores que unos 8,421
hogares poseen servicios de telefonía fija, en 7,028 hogares hay servicio de internet fijo y unos
8,310 hogares poseen servicio de televisión por suscripción (TV cable) en este municipio
(INDOTEL, 2019).

2.4.2. Descripción de los Centros Tecnológicos Comunitarios

Los Centros Tecnológicos Comunitarios (CTC), llevan la tecnología a las comunidades más
remotas de la República Dominicana. Desde Azua, Bahoruco, Barahona, Dajabón, Duarte, El
Seibo, Elías Piña, Espaillat, Hato Mayor, Independencia, La Romana, La Vega, María Trinidad
Sánchez, Montecristi, Monte Plata, Nagua, Pedernales, Peravia, Samaná, San Cristóbal, San
José de Ocoa, San Juan de la Maguana, Santiago, Santiago Rodríguez, Santo Domingo hasta
Valverde Mao, se puede observar la presencia de los CTC.

Los CTC promueven el desarrollo humano de las comunidades, utilizan las Tecnologías de la
Información y Comunicación (TIC) para brindar acceso a la educación, al conocimiento y a la
información. Su fin es ofrecer a los ciudadanos, la utilización de las TIC, con el propósito de
mejorar su educación y acceso a la información, al mismo tiempo, que mejora su comunicación
con el resto del mundo para así poder enfrentar los retos del siglo XXI. Los CTC brindan una
oportunidad de desarrollo con servicios que cubren las necesidades de cada comunidad y dan
sostenibilidad económica al centro.

Los CTC son espacios físicos que brindan acceso público gratuito a hombres, mujeres, niños y
niñas, permitiéndoles a los ciudadanos con bajos ingresos, mujeres en situación de riesgo,
personas con discapacidades y personas con dificultad socioeconómicas, mejorar sus
habilidades a través de la utilización de la tecnología. Estas unidades operativas ofrecen
servicios de internet, capacitación tecnológica, charlas y talleres, servicio de radio comunitaria
y biblioteca, entre otros servicios (Comunidad Solidaria, 2016).

Estos centros tecnológicos ofrecen una amplia selección de cursos, actividades y programas
especiales, a través de socios locales e internacionales, tales como Microsoft, Cisco System,
Instituto Tecnológico de las Américas (ITLA), entre otros. Los servicios ofrecidos por los CTC, se
enfocan en la capacidad y habilidad de las comunidades de poner en práctica los
conocimientos adquiridos en el centro, con el fin de obtener bienestar y desarrollo personal
y/o comunitario, estableciendo así una relación en la que el CTC es clave para el desarrollo de
la comunidad y la comunidad es clave para el desarrollo del Centro Tecnológico Comunitario
(CTC).

Los colaboradores de los CTC son denominados “Voluntarios Incentivados”. Voluntarios,

porque son personas que poseen una alta vocación de servicio, además de estar preparadas en
las áreas de Pedagogía, Ingeniería en Sistemas, Licenciatura en Informática, Psicología y/o
Administración de Empresas, entre otras. Estos de forma voluntaria deciden aportar sus
conocimientos a su comunidad a través del CTC. Incentivados, porque reciben un incentivo
económico mensual, en agradecimiento por su labor comunitaria (Comunidad Solidaria, 2016).
Misión: Ser una institución gubernamental ágil y eficiente, que con sensibilidad humana reduce
la brecha digital, crea y potencia capacidades y promueve la aprehensión del conocimiento a
favor del desarrollo integral y en valores de las familias dominicanas.

Visión: Familias dominicanas desarrollándose íntegramente y viviendo en valores, en un marco

de equidad, solidaridad y justicia social.

Valores: Ser solidarios y trabajar intensamente, con empatía, pasión y respeto, para mejorar la
calidad de vida de los más necesitados. Ser responsables, con compromiso y cumplimiento de
sus objetivos y lo que se promete a la comunidad; actuando de forma proactiva, con
entusiasmo, creatividad y calidad. Ser íntegros, al actuar según los principios éticos, de forma
honesta, auténtica y transparente.

CAPÍTULO III. MARCO METODOLÓGICO

Capítulo III. Marco Metodológico

En el presente capítulo se hará referencia al marco metodológico empleado en la conformación

del informe final, así como en la recogida de las informaciones y la recolección de los datos que
estarán contenidos en dicho trabajo.

3.1. Tipo de Investigación

La investigación trabajada es de tipo descriptiva, ya que a través de esta se dio a conocer un

fenómeno en sus diferentes manifestaciones. En este caso, el “Propuesta de Implementación
de un Sistema de Gestión de Seguridad de la Información (ISO-27001); basado en la Norma
ISO/IEC 27001 en los Centros Tecnológicos Comunitarios, Municipio San Juan de la Maguana,
2022-2023”.

También está sustentada en el trabajo de campo, pues se apoya en informaciones que

provienen de encuestas y cuestionarios aplicados a una muestra seleccionada en el mismo
contexto donde se manifiesta el fenómeno bajo estudio. Además, en este proyecto de
investigación se utilizó el enfoque cuantitativo, el cual permitió inferir a partir de resultados
estadísticos, cuál ha sido el comportamiento del fenómeno de estudio.

3.2. Métodos de Investigación

En este trabajo de investigación se utilizaron los siguientes métodos de investigación.

Deductivo: Con este método se usó el razonamiento lógico, ya que se pretende partir de lo
general a lo particular, de forma que partiendo de unos enunciados de carácter universal y
utilizando instrumentos científicos, se derivaron enunciados particulares. También con este

método, permitió realizar el análisis de los datos sobre aspectos específicos del tema en
cuestión, los cuales hicieron posible llegar a conclusiones generales en la investigación.

Empírico: ya que este trabajo se sustentó en los datos obtenidos por medio de encuestas
realizadas a la población seleccionada para realizar la investigación.
Estadístico: se usó para describir cuantitativamente las características que adopta la población
estudiada en torno a su comportamiento y manifestación.

Analítico: ya que el estudio está basado en el análisis de datos y estadísticas obtenidas a través
de los instrumentos aplicados a la población seleccionada en la investigación.

3.3. Técnicas de Investigación

Dentro de las técnicas de recolección de datos utilizadas en dicha investigación, están las
siguientes:

Consultas Bibliográficas: realizadas a través de tesis, libros, revistas, periódicos, informes

institucionales, normas de la familia de la ISO, Internet y otras fuentes para obtener
informaciones y datos referentes a dicho tema.

Visitas Exploratorias: se realizaron al lugar donde se desarrolló el trabajo de campo.

Observación directa: permitió evidenciar desde el mismo lugar de los hechos, cómo se
manifiesta la problemática estudiada.

Encuestas: aplicadas por medio de cuestionarios de recolección de datos, los cuales

permitieron realizar la presentación de los resultados, el análisis de los datos por objetivos, las
conclusiones y las recomendaciones del estudio.

3.6. Instrumentos de Investigación

Para la recolección de los datos, se utilizó un cuestionario con 12 preguntas cerradas, el cual
fue aplicado por medio de la técnica de la encuesta, a una muestra de 26 usuarios que utilizan
equipos tecnológicos en los CTC del Municipio de San Juan de la Maguana. De igual forma, se
aplicó otro cuestionario con 12 preguntas cerradas a los estudiantes que asisten a dichos
centros a tomar los cursos técnicos y a realizar otras actividades, como son: tareas, búsquedas
de informaciones, etc. Estos cuestionarios fueron elaborados con preguntas diseñadas al
cumplimiento de las variables e indicadores formulados en los objetivos de investigación.

También fue aplicada una ficha de observación (check list), basada en la Norma ISO/IEC
27001:2013 a la infraestructura tecnológica de los CTC objeto de estudio, con el fin de verificar
los niveles de seguridad de la información que poseen dichos centros.
3.7. Procedimiento de Investigación

Para la construcción de este proyecto de tesis, se contó con el apoyo de un asesor designado
por parte de la Universidad Autónoma de Santo Domingo (UASD). Luego de aprobar dicho
tema, se solicitó vía formal comunicación de la UASD, el consentimiento o permiso a los
directivos de los CTC objeto de estudio, a quienes se les explicó el motivo de la investigación.

Más adelante, se procedió al levantamiento bibliográfico de todas las informaciones que

conformarán el marco teórico de este trabajo. Después se diseñaron y aplicaron los
cuestionarios con el propósito de recolectar los datos que permitieron medir las variables e
indicadores contenidos en los objetivos formulados en dicho estudio, con el fin de realizar la
presentación y análisis de los resultados.

En ese sentido, se hizo una propuesta de un Sistema de Gestión de Seguridad de la Información

(ISO-27001); basado en la Norma ISO/IEC 27001 en los Centros Tecnológicos Comunitarios,
Municipio San Juan de la Maguana, 2022-2023, con el propósito de aportar soluciones a la
problemática detectada durante el trabajo de campo. Por último, fueron emitidas las
conclusiones y recomendaciones pertinentes en base al problema de investigación.