Políticas de Seguridad de la Información en Función del Comportamiento de los Usuarios de Tecnologías de la Información en el Sector Microfinanciero de Lambayeque

Abstract

Las entidades financieras en el Perú están obligadas, por mandato, a proteger la información que se genera, almacena y transmite en sus procesos de negocio. Estas entidades implementan sistemas de seguridad que gestionan los riesgos operativos, sobre todo los que provienen de las tecnologías de la información que dan soporte a sus procesos. Sin embargo, estos sistemas no son efectivos para identificar, evaluar y tratar los riesgos que provienen de las amenazas internas, que según las estadísticas son más del 60%, sobre todo en entidades del sector financiero. Una amenaza interna se define generalmente como un empleado, contratista u otro socio comercial actual o anterior, que autoriza o ha autorizado el acceso a la red, al sistema de información o a los datos de la organización y ha utilizado intencionalmente ese acceso para afectar negativamente la confidencialidad, integridad o disponibilidad de la información. Las amenazas internas incluyen sabotaje, robo de información, espionaje, fraude, etc., y a menudo se llevan a cabo a través del abuso de los derechos de acceso, el robo de materiales y la manipulación de dispositivos físicos. Es vital entonces, que las entidades financieras identifiquen y evalúen los comportamientos de sus empleados, específicamente de los que utilizan algún recurso informático para cumplir con sus funciones y tareas. En este estudio se desarrolló un modelo conceptual que identifica los principales factores que influyen en los comportamientos de los usuarios de TI, ya sean éstos intencionales o no intencionales, para no cumplir con las políticas y normas de seguridad de la información en las organizaciones del sector microfinanciero en la ciudad de Lambayeque Perú. El aporte del modelo es que permite evaluar los factores que influyen en los comportamientos de los usuarios de TI, relacionados con su conducta, influencia del entorno y la percepción que tienen sobre el control instaurado, permitiéndole a los administradores de la seguridad organizacional la comprensión anticipada de tipos de personalidades y las normas de comportamiento de las personas definidas como "usuarios de Pág. N° 12 TI" lo que facilitará en la detección de desviaciones en estas normas, que generen riesgo de convertirse en una amenaza interna futuras. Para la construcción del modelo se tomó como guía a: (1) Teoría de la Conducta Planificada, (2) Teoría de la Acción Razonada y (3) Teoría de la Disuasión. Se utilizó la técnica la encuesta para recopilar los datos y como instrumento el cuestionario que fue elaborado por los investigadores y validado a través de una prueba piloto, utilizando el estadístico alfa de Conbrach, a una muestra de 133 usuarios de TI, pertenecientes a 8 entidades microfinancieras, de las cuales 110 fueron válidas, y para el procesamiento de datos se aplicó análisis de correlación obteniéndose que los factores relacionados con el comportamiento intencional tienen un coeficiente de correlación de 0.695 con respecto al cumplimiento de las políticas de seguridad de la información, mientras que los factores relacionados con el comportamiento No intencional obtienen un coeficiente de correlación del 0.564. Pero en conjunto el modelo explica que en una institución microfinanciera los resultados del cumplimiento de las políticas de seguridad de información se debe en 63.9% al comportamiento de los usuarios de tecnología de información compuesta por comportamiento intencional y comportamiento no intencional