UNIVERSIDAD NACIONAL DEL SANTA

FACULTAD DE INGENIERIA

E. A. P. DE INGENIERIA DE SISTEMAS E INFORMÁTICA

Tesis para Obtener el Título de

Ingeniero de Sistemas e Informática
Título:

SOFTWARE DE APLICACIÓN WEB BASADO EN LÓGICA DIFUSA, PARA

MEJORAR LA EVALUACION DE RIESGOS EN TECNOLOGIAS DE
INFORMACION, EN LA OFICINA DE TECNOLOGIAS DE INFORMACION Y
COMUNICACIONES DE LA UNIVERSIDAD NACIONAL DEL SANTA
Autor:

Bach. en Ing. VELASQUEZ RUIZ JOSE MARTIN

Asesor:

Ms. Ing. REYNA ROJAS KENE ABUSTAMANTE

Nuevo Chimbote – Perú

2016
 DEDICATORIA

Al Dios Altísimo que es la fuente del

conocimiento, perdón y amor, por
enseñarme el camino correcto de la vida,
guiándome y fortaleciéndome cada día de
mi vida.

A mi familia, por estar a mi lado siempre,

En todo momento, apoyándome en mi

Formación profesional.

i
 AGRADECIMIENTOS

La finalización de esta tesis no hubiera sido posible sin la ayuda valiosa de

algunas personas, para quienes va mi agradecimiento especial.

A mi asesor Ms. Ing. Kene Reyna Rojas, docente de nuestra honorable

Institución, quien en su calidad de Asesor de Tesis, colaboró con sus
conocimientos y experiencia en la realización y depuración del presente trabajo.

A mis padres por su sacrificio desmedido, porque con ejemplo y esfuerzo me

educaron y enseñaron a superar todos los obstáculos.

A mi esposa Carolina, porque con su compresión permitió que el camino fuera

menos difícil de recorrer, ya que fue motivo de inspiración para saber hacia dónde
ir.

A mi hijo José Kalef, porque él tuvo que soportar largas horas sin la compañía de
su papá, sin poder entender, a su corta edad, el por qué prefería estar frente a la
pantalla del notebook y no acostado y/o jugando con él. A pesar de ello, cada vez
que podíamos, al reunirnos, aprovechamos hermosos momentos, en los que su
sola sonrisa me llenaba de ánimo y fuerzas.

A mi hermano Jhonatan por su ayuda y apoyo incondicional que me brindo en los

momentos que más lo necesité, mis sinceros agradecimientos.

A los Docentes de la Universidad Nacional del Santa, quienes con sus

orientaciones y conocimientos transmitidos a lo largo de toda la carrera
universitaria, posibilitaron la realización de la presente tesis.

En general a todas las personas que aportaron su granito de arena en el

desarrollo de la presente tesis.
A todos ellos, muchas gracias de todo corazón.

Bach. en Ing. José Martín Velásquez Ruiz

ii
 PRESENTACIÓN

Señores miembros del jurado:

En cumplimiento a lo dispuesto en el Reglamento General de Grados y Títulos de

la Universidad Nacional del Santa, pongo a vuestra disposición la presente tesis
titulada: “SOFTWARE DE APLICACIÓN WEB BASADO EN LOGICA DIFUSA,
PARA MEJORAR LA EVALUACION DE RIESGOS EN TECNOLOGIAS DE
INFORMACION, EN LA OFICINA DE TECNOLOGIAS DE INFORMACION Y
COMUNICACINES DE LA UNIVERSIDAD NACIONAL DEL SANTA.”, como
requisito para optar el título Profesional de Ingeniero de Sistemas e Informática.

La presente tesis tiene como lugar de aplicación a la Universidad Nacional del

Santa ubicada en Nuevo Chimbote, cuyo propósito es el desarrollo de un software
de aplicación web basado en lógica difusa, para mejorar la evaluación de riesgos
en tecnologías de información, en la Oficina de Tecnologías de Información y
Comunicaciones de la Universidad Nacional del Santa.

Esperando cubrir con los requisitos y exigencias solicitadas en las leyes vigentes
de la Universidad para la respectiva aprobación de la presente tesis, quedo de
ustedes.

Atentamente;

José Martín Velásquez Ruiz

Bach. en Ing. Sistemas e Informática

iii
 RESUMEN

La presente tesis tiene como objetivo principal proponer un prototipo de software

de aplicación web basado en lógica difusa que permite mejorar la evaluación de
riesgos T.I en la Oficina de Tecnologías de Información y Comunicaciones de la
Universidad Nacional del Santa. Para lo cual se tuvo una muestra de 10 usuarios
donde se realizó una pre prueba de 10 riesgos obteniéndose una media de 29.20
y una varianza de 18 732.15. Después de haber desarrollado el software se volvió
a verificar con la misma muestra y con los mismos riesgos (post prueba),
obteniendo una media de 46.90 y una varianza de 25 638.28.

El software de aplicación web basado en lógica difusa para mejorar la evaluación

de riesgos utiliza como entrada las variables difusas con 05 particiones: impacto
(menor, regular, significativo, importante y mayor) y probabilidad (raro, poco
probable, probable, muy probable y casi seguro), y como salida la variable difusa
con 05 particiones: severidad (muy baja, baja, moderada, alta y extrema). Todas
ellas teniendo como función de pertenencia al tipo triangular en un rango general
de 0 a 100.

Se propuso 25 reglas difusas de acuerdo a la teoría. El software fue modelado

matemáticamente y simulado con la herramienta toolbox de lógica difusa de
matlab. Se validó el software obteniendo que el modelo propuesto es semejante al
modelo real tanto en la media como en la varianza, por lo tanto puede ser
utilizado como una herramienta para mejorar la evaluación de riesgos T.I.

iv
 ABSTRACT

This thesis has as main objective to propose a prototype web application software
based on fuzzy logic helps improve risk assessment T.I in the Office of Information
Technology and Communications of the National University of Santa. For which a
sample of 10 users where test 10 pre risks obtaining an average of 29.20 and a
variance of 18 732.15 was made was taken. Having developed the software was
rechecked the same sample and with the same risks (post-test), obtaining an
average of 46.90 and a variance of 25 638.28.

Software web application based on fuzzy logic to improve risk assessment used
as input fuzzy variables with 05 partitions impact (low, regular, significant,
important and greater) and probability (rare, unlikely, likely, very likely and almost
certainly), and outputs the fuzzy variable with 05 partitions: severity (very low, low,
moderate, high and extreme). All they are having as triangular membership
function type in a general range of 0 to 100.

25 fuzzy rules according to the theory was proposed. The software was modeled
mathematically and simulated with fuzzy logic tool toolbox of matlab. obtaining the
software it was validated that the proposed model is similar to the real model in
both the mean and variance, therefore can be used as a tool to improve risk
assessment T.I.

v
 INTRODUCCIÓN

Hoy en día internet se ha convertido en la plataforma base indispensable para

realizar nuestras actividades en cualquier área de trabajo, tal es así que ahora se
ofrecen muchos servicios sobre internet, y todo esto se orienta a lo que ahora se
ha denominado “Cloud Computing” o “Computación en la Nube”, tal es el caso de
las redes sociales, Google Apps, Amazon Web Services, etc., esto nos orienta al
desarrollo de nuevas aplicaciones como lo son las aplicaciones web que no
necesitan instalarse y están disponibles para los usuarios y para cualquier
dispositivo. (Navarrete Leal & Ninaquispe Matame, 2014)

En la actualidad se viene aplicando auditoria informática a empresas de manera

manual, donde la evaluación de riesgos se basan en cálculos de valores
cualitativos como bajo, alto, muy alto, todo es medido bajo una incertidumbre, los
cuales dan valores aproximados en un rango numérico, estipulado según la
realidad en donde se realiza el trabajo de auditoria, la evaluación de las auditorias
mayormente se basa en tablas.

El Presente Informe está dividido en 7 capítulos

CAPITULO I: La Institución y el Área de Estudio. Temática descriptiva de la
institución como su reseña histórica, Misión, Visión, Principios, Objetivos,
Organización actual, entre otros. Adicionalmente se hace una descripción de
cómo está constituida actualmente el área de estudio, estructura orgánica,
personal que labora y las funciones que realizan.
CAPITULO II: El Problema. Este capítulo comienza exponiendo la actual situación
problemática del Proceso de matrícula, sus deficiencias, desventajas, justificación
de la investigación, objetivos e hipótesis del proyecto.
CAPITULO III: Marco Teórico Referencial. En el Marco Teórico exponemos la
Información base sobre la que se fundamenta la comprensión e interpretación de
la variedad de conceptos utilizados para el desarrollo de la aplicación web.

1
CAPITULO IV: Materiales y Métodos. Se describe detalladamente las variables de
la hipótesis del proyecto, el método de investigación utilizado y la población a ser
considerada en la investigación.
CAPITULO V: Resultados. Se hace el despliegue completo de la implementación
del sistema difuso, así como el modelo de casos de uso, modelo matemático, su
modelamiento en la herramienta fuzzy toolbox de Matlab y por último el desarrollo
de la aplicación web.
EL CAPITULO VI: Validación Hipótesis. Se realiza el análisis de datos, para poder
comprobar la hipótesis planteada del proyecto, mostrando los datos y gráficos
correspondientes.
CAPITULO VII: Discusión, mencionamos las conclusiones y recomendaciones
del estudio realizado. Anexamos las encuestas utilizadas para probar la hipótesis,
así como factibilidad del proyecto.

2
 ÍNDICE
_Toc464301372
DEDICATORIA.........................................................................................................i
AGRADECIMIENTOS .............................................................................................ii
PRESENTACIÓN ...................................................................................................iii
RESUMEN .............................................................................................................iv
ABSTRACT .............................................................................................................v
INTRODUCCIÓN.....................................................................................................1
ÍNDICE ....................................................................................................................3
ÍNDICE DE FIGURAS .............................................................................................7
ÍNDICE DE TABLAS ...............................................................................................9
CAPITULO I: LA INSTITUCIÓN Y EL ÁREA DE ESTUDIO ................................10
1.1 RESEÑA HISTÓRICA DE LA UNS .............................................................. 10
1.2 PERFIL DE LA INSTITUCIÓN ..................................................................... 11
1.2.1 Datos Generales.................................................................................11
1.2.2 Dispositivos Legales ...........................................................................11
1.2.3 Misión .................................................................................................12
1.2.4 Visión..................................................................................................12
1.2.5 Funciones ...........................................................................................12
1.2.6 Objetivos ............................................................................................13
1.3 ESTRUCTURA ORGÁNICA DE LA ORGANIZACIÓN................................. 14
1.4 IDENTIFICACIÓN DEL ÁREA DE ESTUDIO ............................................... 15
1.4.1 La Oficina de Tecnologías de Información y Comunicaciones ...........15
CAPITULO II: PLANTEAMIENTO DE LA INVESTIGACIÓN ...............................17
2.1 EL PROBLEMA ............................................................................................ 17
2.1.1 Realidad Problemática .......................................................................17
2.2 ANTECEDENTES DEL PROBLEMA ........................................................... 20
2.3 JUSTIFICACIÓN .......................................................................................... 24
2.3.1 Económica..........................................................................................24
2.3.2 Social..................................................................................................24
2.3.3 Técnica ...............................................................................................24
2.3.4 Operativa ............................................................................................24
2.3.5 Institucional ........................................................................................25

3
2.4 OBJETIVOS ................................................................................................. 25
2.4.1 Objetivo General.................................................................................25
2.4.2 Objetivos Específicos .........................................................................25
CAPITULO III: MARCO TEÓRICO REFERENCIAL .............................................26
3.1 AUDITORIA DE SISTEMAS ........................................................................ 26
3.2 SEGURIDAD INFORMATICA ...................................................................... 27
3.3 ANALISIS DE RIESGO ................................................................................ 27
3.3.1 METODOLOGIAS DE ANALISIS DE RIESGO ..................................29
3.4 FUNCIONAMIENTO DE UNA APLICACIÓN WEB ...................................... 34
3.5 LOGICA DIFUSA ......................................................................................... 38
3.5.1. Conjuntos difusos................................................................................39
3.5.2. Funciones de pertenencia ...................................................................40
3.5.3. Variable lingüística ..............................................................................40
3.5.4. Particiones Difusas .............................................................................41
3.5.5. Operaciones Difusas ...........................................................................41
3.5.6. Reglas Difusas ...................................................................................41
3.5.7. Inferencia Difusa .................................................................................42
3.5.8. Sistema de control Difuso ...................................................................42
3.6 LENGUAJE UNIFICADO DE MODELADO (UML) ....................................... 42
3.7 ESTRUCTURA DE UNA APLICACIÓN WEB .............................................. 46
3.7.1 Componentes de Una Aplicación Web ...............................................46
3.7.2 Procesamiento del Lado del Cliente ...................................................47
3.7.3 Procesamiento del Lado del Servidor .................................................48
3.8 RETOS DEL DESARROLLO DE APLICACIONES WEB ............................. 49
CAPITULO IV: MATERIALES Y MÉTODOS ........................................................60
4.1 HIPÓTESIS .................................................................................................. 60
4.2 VARIABLES ................................................................................................. 60
4.2.1 Variable Independiente (VI) ................................................................60
4.2.2 Variable Dependiente (VD) .................................................................60
4.2.3 Variable Interviniente ..........................................................................60
4.3 MÉTODO DE INVESTIGACIÓN .................................................................. 61
4.4 DISEÑO DE INVESTIGACIÓN .................................................................... 61
4.5 POBLACIÓN ................................................................................................ 61

4
4.6 MUESTRA ................................................................................................... 62
4.7 TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS ............. 62
4.7.1 Técnicas .............................................................................................62
4.7.2 Instrumentos .......................................................................................62
4.8 ESTRATEGIA DE ESTUDIO........................................................................ 62
CAPITULO V: RESULTADOS ..............................................................................63
5.2 MODELAMIENTO MATEMÁTICO ............................................................... 67
5.3 MODELAMIENTO EN FUZZY TOOLBOX DE MATLAB (IMPLEMENTACIÓN
EN SIMULINK) ............................................................................................. 75
5.4 DESARROLLO DE LA APLICACIÓN WEB PARA MEJORAR EVALUACIÓN
DE RIESGOS TI .......................................................................................... 79
CAPITULO VI: VALIDACIÓN DE LA HIPÓTESIS................................................84
6.1 CONTRASTACIÓN DE LA HIPÓTESIS:...................................................... 84
6.1.1 Validación de datos de encuesta para evaluar riesgo 1 de T.I. ..........85
6.1.2 Validación de datos de encuesta para evaluar riesgo 2 de T.I. ..........88
6.1.3 Validación de datos de encuesta para evaluar riesgo 3 de T.I. ..........91
6.1.4 Validación de datos de encuesta para evaluar riesgo 4 de T.I. ..........94
6.1.5 Validación de datos de encuesta para evaluar riesgo 5 de T.I. ..........97
6.1.6 Validación de datos de encuesta para evaluar riesgo 6 de T.I. ........100
6.1.7 Validación de datos de encuesta para evaluar riesgo 7 de T.I. ........103
6.1.8 Validación de datos de encuesta para evaluar riesgo 8 de T.I. ........106
6.1.9 Validación de datos de encuesta para evaluar riesgo 9 de T.I. ........109
6.1.10 Validación de datos de encuesta para evaluar riesgo 10 de T.I. ......112
CAPITULO VII: DISCUSIÓN ...............................................................................115
7.1 CONCLUSIONES ...................................................................................... 115
7.2 RECOMENDACIONES .............................................................................. 116
BIBLIOGRAFÍA .................................................................................................. 117
ANEXOS .............................................................................................................122
ANEXO Nro. 01: Estudio de Factibilidad ............................................................ 122
1. Factibilidad Técnica ..........................................................................122
2. Factibilidad Operativa .......................................................................122
3. Factibilidad Económica.....................................................................123
ANEXO Nro. 02: Estimación del Tamaño de la Muestra .................................... 126

5
ANEXO Nro. 03: Código Fuente de la Aplicación Web ...................................... 128
ANEXO Nro. 04: Tabulación de indicadores ...................................................... 144
ANEXO Nro. 05: Encuesta para evaluar los riesgos T.I ..................................... 151
ANEXO Nro. 06: Manual Del Registro De Matricula Web .................................. 152

6
 ÍNDICE DE FIGURAS

Figura 1 Organigrama de la Institución. (MOF, 2004) ......................................... 14

Figura 2 Diagrama de conceptos genéricos implicados en el Análisis de Riesgos
(López Cuenca, 2012) .......................................................................................... 29
Figura 3 Principios y Catalizadores de COBIT. (Ferrer Olivares, 2013) .............. 31
Figura 4 MARGERIT. (Garcia Morales & Ochoa, 2014) ...................................... 32
Figura 5 Proceso de petición de una página web estática. (Velásquez Ruiz, 2013)
............................................................................................................................. 35
Figura 6 Proceso de petición de una página web dinámica. (Velásquez Ruiz,
2013) .................................................................................................................... 36
Figura 7 Proceso de petición de una página web dinámica con base de datos
(Velásquez Ruiz, 2013) ........................................................................................ 37
Figura 8 Sistema de lógica difusa (Fernández et al., 2008) ................................ 38
Figura 9 Sistema Difusor (Fernándezet al., 2008) .............................................. 38
Figura 10 Motor de Inferencia (Fernández et al., 2008) ..................................... 39
Figura 11 Funciones de pertenencia de un conjunto difuso ................................ 40
Figura 12 Variable lingüística .............................................................................. 41
Figura 13 Notación de Caso de Uso. (Rojas Cabrejos & Sullca Padilla, 2012) ... 44
Figura 14 Diagrama de Clases. (Rojas Cabrejos & Sullca Padilla, 2012) ........... 45
Figura 15 Componente de la aplicación Web con base de datos. (Navarrete Leal
& Ninaquispe Matame, 2014) ............................................................................... 47
Figura 16 Estructura de la Norma Técnica Peruana. (Vértiz, 2010) .................... 58
Figura 17 Diagrama de Casos de Uso ................................................................ 63
Figura 18 Modelo de Diseño ............................................................................... 64
Figura 19 Modelo de Diseño – Paquete de Actividad Administrador ................... 65
Figura 20 Modelo de Diseño – Paquete de Actividad Responsable .................... 65
Figura 21 Diagrama de Base de Datos ............................................................... 66
Figura 22 Función de pertenencia tipo Triangular ............................................... 67
Figura 23 Modelamiento del Sistema Difuso en Fuzzy Toolbox de Matlab ......... 75
Figura 24 Variable de entrada Probabilidad con función de pertenencia triangular
............................................................................................................................. 76
Figura 25 Variable de entrada Impacto con función de pertenencia triangular .... 76

7
Figura 26 Variable de salida Severidad con función de pertenencia triangular ... 77
Figura 27 Reglas del Modelo del sistema difuso ................................................. 77
Figura 28 Vista de las reglas del Modelo del sistema difuso ............................... 78
Figura 29 Vista en 3D de las reglas del Modelo del sistema difuso .................... 78
Figura 30 Ventana principal de la aplicación web ............................................... 79
Figura 31 Ventana donde el administrador procede a registrar la empresa ........ 79
Figura 32 Ventana donde el administrador procede a registrar a los responsables
............................................................................................................................. 80
Figura 33 Ventana donde el administrador procede a llenar Encuesta ............... 80
Figura 34 Ventanas donde el administrador podrá visualizar los distintos reportes
gráficamente intuitivos .......................................................................................... 81

8
 ÍNDICE DE TABLAS

Tabla 1 Peligros naturales y peligros causados por el hombre que pueden ocurrir
en la UNS ............................................................................................................. 18
Tabla 2 Costo hardware ..................................................................................... 123
Tabla 3 Costo software....................................................................................... 123
Tabla 4 Costo mobiliario ..................................................................................... 123
Tabla 5 Material de Escritorio ............................................................................. 124
Tabla 6 Gasto Personal de Servicio Técnico ...................................................... 124
Tabla 7 Ahorro en gasto por Personal de Servicio Técnico ................................ 125
Tabla 8 Resumen de Ahorro Anual .................................................................... 125
Tabla 9 Tabla de resultados ............................................................................... 150

9
 CAPITULO I: LA INSTITUCIÓN Y EL ÁREA DE ESTUDIO

1.1 RESEÑA HISTÓRICA DE LA UNS

El 10 de octubre de 1981, el Presidente de la República Arq. Fernando
Belaunde Terry, ofreció la creación de una Universidad con Sede en Chimbote.

En 1982, La Comisión Nacional Interuniversitaria (CONAI), nombró por

resolución Nº 2254 y 2643 de 1982 – CONAI, una comisión especial para
realizar un estudio para la creación de la Universidad en Chimbote.

En Octubre de 1982, las instituciones competentes destinaron un terreno

aproximadamente de 20 hectáreas, ubicado en la Urb. Bellamar, para la futura
ciudad universitaria, y en noviembre de 1982, CORDE ANCASH, en el
Proyecto Terminal Terrestre y de Servicios de Chimbote, reservó un terreno de
1000 m2, para las oficinas administrativas de la universidad.

El 20 de diciembre de 1984 se promulgó, la ley Nº 24035, que dispone la

creación de la Universidad Nacional del Santa, con sede en la ciudad de
Chimbote.

La primera Comisión Organizadora de la Universidad Nacional del Santa fue

designada mediante resolución Nº 4994 – CONAI del 20 de diciembre de 1984.
Se instaló y juramentó el 27 de enero de 1985, desde esa fecha inició su labor
de organización e implementación.

En 1987 se convocó por primera vez a concurso de admisión en las carreras

profesionales de Ingeniera en Energía, e Ingeniería Agroindustrial.

Mediante resolución Nº 282-90-ANR, se nombró una nueva comisión

organizadora, quienes continuaron con la labor de organización e
implementación. En este periodo la universidad tuvo en el aspecto académico
un crecimiento acelerado, creándose siete (07) escuelas profesionales más,

10
 totalizando diez (10) carreras profesionales, lo que hasta la fecha viene
ofreciéndose, sin contar las que se han agregado en tiempo más reciente.

En octubre de 1997 mediante resolución Nº 304-97-CONAFU se designó una

Comisión Especial – CONAFU, a quienes se les encargo la tarea de
institucionalización definitiva de la UNS.

A partir del 01 de agosto de 1998, la UNS inició su etapa de funcionamiento

autónomo. Sus Autoridades elegidas democráticamente, vienen conduciendo
esta joven Universidad, que pretende en la universidad líder del norte peruano.

1.2 PERFIL DE LA INSTITUCIÓN

1.2.1 Datos Generales
1.2.1.1. Razón Social: Universidad Nacional del Santa.
1.2.1.2. Domicilio Legal: La Universidad Nacional del Santa se
encuentra ubicada en al Urb. Bellamar S/N y en Urb. Buenos
Aires Av. Pacífico Nº 508, ambas en el distrito de Nuevo
Chimbote, Provincia del Santa, Departamento de Ancash.

1.2.2 Dispositivos Legales

La base legal de la Universidad Nacional del Santa se conforma de:
a. Ley Universitaria Nº 23733.
b. Ley Nº 24035, creación de la Universidad Nacional del Santa de
fecha 20 de diciembre de 1984.
c. Estatuto de la Universidad Nacional del Santa, aprobado mediante
Resolución Presidencial Nº 518-98 UNS.
d. Reglamento General de la Universidad Nacional del Santa, aprobado
mediante Resolución Nº 054-2000-CU-R-UNS.
e. Reglamento de Organización y Funciones de la Universidad
Nacional del Santa, aprobado mediante Resolución Nº 071-2001-
CU-R-UNS.
f. Cuadro de asignación para personal de la Universidad Nacional del
Santa, aprobado mediante Resolución Nº 280-2001-CU-R-UNS.

11
 g. Manual De Organización Y Funciones de la Oficina Central De
Información y Documentación de la Universidad Nacional del Santa,
aprobado mediante Resolución Nº 306-2002-CU-R-UNS

1.2.3 Misión
La Universidad Nacional del Santa es una comunidad académica
dedicada a la formación de profesionales; competentes, emprendedores
y con sentido humano; a través de la creación y transmisión de
conocimientos, basados en la investigación científica y tecnológica, en
las actividades de extensión universitaria y proyección social;
comprometida con el desarrollo del país.

Fundamenta su accionar en: calidad, solidaridad, responsabilidad,

respeto, honestidad y cultura ambiental

1.2.4 Visión
En el año 2016, la Universidad Nacional del Santa es una institución
líder que cuenta con sus escuelas de pregrado y postgrado acreditadas;
participa en el desarrollo sostenible del país mediante la ciencia, la
tecnología, la innovación y el sentido humano; practica la movilidad
académica nacional e internacional en la sociedad del conocimiento; y
sus egresados son profesionales líderes, competentes, creativos,
proactivos y con una actitud ambiental responsable.

1.2.5 Funciones
 Formación profesional.
 Investigación.
 Extensión cultural y proyección social.
 Educación continua.
 Contribución al desarrollo humano.
 Las demás que señala la Constitución Política del Perú, la Ley
Universitaria Nº 30220, su Estatuto y normas conexas.

12
1.2.6 Objetivos
 Lograr la excelencia académica en todas sus Facultades.
 Asumir liderazgo en la promoción y difusión de la cultura a través
de la proyección social, extensión universitaria e investigación.
 Impulsar el desarrollo de la región y el país a través de la
investigación científica y tecnológica innovadora y la creación
intelectual y artística.
 Lograr una plana docente altamente calificada para el ejercicio de
la docencia, la investigación y la proyección y extensión
universitaria.

13
 1.3 ESTRUCTURA ORGÁNICA DE LA ORGANIZACIÓN
Figura 1 Organigrama de la Institución. (MOF, 2004)

ASAMBLEA UNIVERSITARIA

CONSEJO UNIVERSITARIO

OF. CENTRAL DE RECTORADO

AUDITORIA INTERNA OFICINA DE
PRESUPUESTO

OFICINA DE
OF. CENTRAL DE PLANEAMIENTO Y
PLANIFIC. Y PPTO RACIONALIZ.
SECRETARIA
OFICINA DE
OF. CENTRAL DE
GENERAL INFRAESTRUCT.
ASESORIA LEGAL FÍSICA

OFICINA DE OFICINA DE
RELACIONES PÚBLICAS GRADOS Y TÍTULOS

VICERRECTORADO VICERRECTORADO
ADMINISTRATIVO ACADÉMICO

OFICINA OFIC. CENTRAL OF. CENTRAL DE OF. CENT. OF. OF.CENT. OF. CENT.
CENTRAL DE DE ECONOMIA Y ESTADÍSTICA E DE INF. Y CENT. DE DE DE
PERSONAL ADMINISTRACIÓN INFORMÁTICA DOC INVESTIG ADMISION BIENEST.
. UNIV.
OFICINA DE
FONDOS OF. OF. OF.
REMUNER. CENT. DE CENT. CENT. DE
OFICINA DE EXT. COP. EVAL. Y
ESCALAF. Y ABASTECIMI. PROY TEC. E DES.
EVAL. DOC. OFICINA DE SOCIAL INTERC. ACAD.
CONTABIL.
OFIC.DESARR.
OFIC. CONTR.
HUMANO.
PATRIMON.
OFIC. MANT.

SERV. GRAL.

FACULTAD FACULTAD FUNDACION FACULTAD DE ESCUELA

DE DE DE LA EDUCACION Y DE
INGENIERÍA CIENCIAS UNS HUMANIDADES POSGRADO

PLANTA CENT. CENTRO ESC. C.E. CENT. CENTRO

PROD. EXT. EXP. PRE. DE
PILOTO ACUIC. IDIOMAS FORM. I.P.S. UNIV. COMPUTO
SANTA CAP.
PED.

14
1.4 IDENTIFICACIÓN DEL ÁREA DE ESTUDIO
1.4.1 La Oficina de Tecnologías de Información y Comunicaciones
La Oficina de Tecnologías de Información y Comunicaciones es el
Órgano de Línea de la Oficina Central de Información y Documentación
y será la responsable de diseñar, desarrollar, gerenciar, mantener y
operar los sistemas de información y de telecomunicaciones de la UNS.

1.4.1.1 Base Legal

a. Ley Universitaria 23733.
b. Ley Nº 24035 Creación de la Universidad del Santa de
fecha del 20 de diciembre de 1984.
c. Estatuto del Universidad Nacional del Santa, aprobado
mediante resolución presidencial Nº 518-98-UNS.
d. Reglamento General de La Universidad Nacional del Santa,
aprobado mediante Resolución 054-2000-CU-R-UNS.
e. Reglamento de Organización y Funciones de la Universidad
Nacional del Santa, aprobado mediante resolución Nº 071-
2001-CU-R-UNS y sus modificaciones Nº 175-2001 y 109-
2002-CU-R-UNS.
f. Cuadro de Asignación para Personal de la Universidad
Nacional del Santa aprobado mediante Resolución Nº 280-
2001-CU-R-UNS.
g. Reglamento Académico de la UNS, aprobado mediante
Resolución Nº 135-2012-CU-R-UNS

15
1.4.1.2 Funciones
Entre sus funciones principales encontramos:
a. Administrar la red de acceso a Internet/Intranet para toda la
comunidad universitaria.
b. Planificar, organizar, dirigir y controlar los proyectos
relacionados con las innovaciones en Tecnologías de
Información relacionadas con la OCID (Oficina Central de
Información y Documentación) y con la UNS en su conjunto.
d. Planificar, organizar los Servicios de Correo.
e. Planificar, organizar los Servicios que se brindan en las Salas
de Internet (LAI)
f. Planificar, organizar los Servicios de Videoconferencia.
g. Organizar cursos de capacitación en uso de Internet y otras
tecnologías
h. Proponer y dirigir las reestructuraciones tecnológicas
necesarias para el área a fin de mejorar el servicio de acceso a
información y conocimiento para toda la comunidad universitaria.
i. Desarrollar Aplicaciones (Software) para mejorar la gestión de
la información que se genera en las actividades propias de la
UNS.
j. Dar soporte en el uso de las diferentes herramientas usadas
en el manejo de la información en la UNS.
k. Dar mantenimiento al parque informático de la UNS.

1.4.1.3 Estructura
 Órgano de Dirección:
o Jefatura de la OTIC.
 Órganos de Línea
o Unidad Servicios Académicos.
o Unidad de Soporte Técnico.
o Unidad de Desarrollo y Mantenimiento de Sistemas
Informáticos.

16
 CAPITULO II: PLANTEAMIENTO DE LA INVESTIGACIÓN

2.1 EL PROBLEMA
2.1.1 Realidad Problemática
En la actualidad, los recursos de tecnologías de información como
cualquier activo en las universidades, se encuentran expuestos a
riesgos cuando estos se materializan, no solo degradan el recurso, sino
que impactan en menor o mayor grado el cumplimiento de los
objetivos.
Si se lograra estimar la frecuencia con la cual se materializan esos
riesgos, así como la magnitud de sus posibles consecuencias, se
podría prevenir tomar medidas para reducir su impacto. Teniendo en
cuenta la importancia de los recursos tecnológicos en las universidades
y por ende en la Universidad Nacional del Santa, es responsabilidad de
la OTIC, que permita mantener una adecuada administración del riesgo
del mismo y nos permita identificar no solo las oportunidades, sino
evitar o mitigar las pérdidas económicas y de imagen asociadas con
ellos.

Los desastres son combinaciones únicas de eventos y circunstancias.

Las dos categorías primarias son: naturales y causados por el hombre.
Dentro de la categoría de causados por el hombre, podemos definir con
mayor precisión los que tienen causas intencionales y los accidentales.

Los peligros naturales son considerados típicamente “Actos de Dios”,

en los que no hay nadie a quien culpar. Por el contrario, los eventos
causados por el hombre son aquellos en los cuales uno o muchos
individuos pueden ser considerados responsables de contribuir con el
o los eventos que causan el desastre. Esto podría ser por deliberación,
negligencia o accidente. Para más detalles, veamos el cuadro “Peligros
naturales y peligros causados por el hombre que pueden ocurrir en la
UNS”. (Kirvan, SearchDataCenter en Español, 2013)

17
Tabla 1 Peligros naturales y peligros causados por el hombre que pueden
ocurrir en la UNS

Peligros Peligros causados Peligros causados Peligros causados por

naturales por el hombre por el hombre el hombre (indirectos)
(deliberados) (accidentales)

Tormenta Allanamiento Error de operador Falla de energía

Inundación Sabotaje (código Error de Falla de
malicioso, fraudes) programación de telecomunicaciones
software

Manchas
solares Incendio Explosión Daño por humo
provocado

Terremoto Huelga Incendio Inundación por los

bomberos
Disturbios Retiro de Hundimiento por
extinguidor suelo colapsado
Vandalismo Fugas de agua Colapso de edificios
cercanos
Daño por bomba Descarga del
sistema
de supresión de
fuego
Amenaza de
bomba
Terrorismo
Situación de
rehenes
Robo

Los problemas y riesgos que actualmente afronta la OTIC de la UNS

conciernen al Suministro Eléctrico, cuyo abastecimiento se ve
limitado debido a los continuos cortes de fluido eléctrico, que
generalmente se realizan los fines de semana, ya sea por pruebas
internas, mantenimientos o cortes programados por Hidrandina,
ocasionando los siguientes problemas:

18
  Daño a los servidores.
 Que no se pueda acceder a la página web de la UNS.
 Que no se pueda acceder al campus virtual.
 Que los docentes no puedan ingresar las notas de los alumnos.
 Etc.

Todo lo antes mencionado ocasionaría pérdida de la información,

siendo un fuerte impacto para la UNS; esto se podría evitar si las
subestaciones 1 y 2 fueran activadas cuando se dieran los cortes de
energía eléctrica ya que los servidores pueden operar un promedio de
15 minutos sin energía gracias a los UPS con los que cuentan, en
dicho tiempo las subestaciones deberían estar operativas para poder
brindar energía hasta que esta se agote; uno de los riesgos que existe
para la unidad de Informática de la UNS son los ataques de los ya
conocidos y populares Hackers, estos se caracterizan por los
intrusiones indeseados, malware, sabotajes web, códigos maliciosos, lo
cual ocasionaría fraudes, pérdida o fuga potencial de importante
información, cuentas de correo hackeadas; su impacto se observaría
en servidores atacados y robo de información; Sin tener personal
calificado y bien remunerado, herramientas técnicas y presupuestos
adecuados, será difícil para la OTIC mejorar su nivel de prevención y
mitigación de riesgos de seguridad de información en este caso la
OTIC está tomando las medidas correspondientes y mejorando la
seguridad para evitar ataques cibernéticos; Los Virus son otro
problema latente que afecta actualmente a toda la UNS, estos se
caracterizan por ser programas ocultos de tamaño reducido que
acompañan a otros programas o archivos de datos que se trasladan
por medio de las memorias extraíbles (USB) en las aulas multimedia,
oficinas y centros de cómputo, estos pueden ocasionar desde la
pérdida de datos o la desconfiguración de algunos de los programas
hasta el borrado completo del disco duro, su impacto se puede
observar cuando borran la pantalla, provocan que se cuelgue el
sistema operativo, sobrescriben o mezclan información y borran total o
parcialmente la información del USB o del disco duro.

En este caso la OTIC está tomando las medidas correspondientes

actualizando los antivirus de las aulas multimedia, oficinas y centros de
cómputos, así como congelar las unidades de disco duro de las
computadoras de las aulas multimedia para evitar la propagación de los
virus.

19
 Pero los riesgos son impredecibles y se deben prevenir con tiempo es
por eso que propongo este trabajo de investigación, un prototipo se
software web para evaluar el riesgo en el área de informática de la
Universidad Nacional del Santa aplicando la técnica de la lógica difusa.

2.2 ANTECEDENTES DEL PROBLEMA

Referentes de la problemática mencionada tenemos:
Antecedentes locales

 (Mg. Lujan Guevara, Ms. Reyna Rojas, Lic. Vera Meza, &
Ing.Suxe Ramirez, 2015), realizaron el informe final de trabajo
de investigación: Propuesta de software de aplicación basada
en lógica difusa para evaluar riesgos en tecnologías de
información, en la Universidad Nacional del Santa, Nuevo
Chimbote-Perú. Teniendo como resumen: El presente trabajo
de investigación titulado “Propuesta de un software de
Aplicación Basado en Lógica Difusa para Evaluar Riesgos en
tecnologías de Información”, Realizado con un modelamiento
matemático bajo en reglas de Lógica Difusa tiene por objetivo
evaluar riesgos en centros informáticos que utilizan
computadoras, software de aplicación, programas de control
de equipos y personal, servicios de seguridad de
infraestructura y equipos.

Después del procesamiento de datos se obtuvo que la

varianza de los datos reales es de 2,6966 y la varianza con el
modelo propuesto es de 2,38141. La media de los datos reales
es de 2,25 y la media con el modelo propuesto es de 2,1014.
Analizando la estadística de los datos se obtuvo t 0 = 0.01245 y
tc = 1.649 y se acepta el modelo propuesto.

Importancia del Antecedente:

El presente trabajo de Investigación me brindara algunas

pautas a la hora de formular el modelo difuso para poder
procesar mis variables.

20
Antecedentes Nacionales

 (Baila Laurente, Juárez Manayay, & Orbeso Rivera,

"Evaluación de riesgo crediticio en préstamos personales
utilizando Lógica Difusa”, 2011), realizaron la Tesis:
Evaluación de riesgo crediticio en préstamos personales
utilizando Lógica Difusa, en la Universidad Cesar Vallejo,
Lima-Perú. Teniendo como resumen:
Las empresas bancarias se encargan de administrar la
economía mundial y del adecuado manejo de las mismas
depende la estabilidad del mercado mundial. Por ello se
cuentan con diversas herramientas que permiten evaluar
riesgos crediticios. Para nuestro caso, centraremos el estudio
en la evaluación de riesgos para préstamos personales
tomando en cuenta las variables y reglas de negocio aplicadas
por el grupo Scotiabank. Las herramientas utilizadas se basan
en lógica bivalente, lo que genera problemas al momento de
evaluar a las personas y algunas de la crisis en la economía
mundial. Ya sabemos que la realidad es difusa. En
consecuencia, el modelo planteado en el presente estudio se
fundamente en lógica difusa, mediante el cual se podrá
analizar el riesgo crediticio para préstamos personales.

Importancia del Antecedente:

El presente trabajo de Investigación me brindara algunas

pautas a la hora de formular el modelo difuso para poder
procesar mis variables.

(Baila Laurente, Juárez Manayay, & Orbeso Rivera,

Scribd.com, 2011). Evaluación de riesgo crediticio en
préstamos personales utilizando Lógica Difusa. Consultado el
30 de julio de 2015, de
https://es.scribd.com/document/72915206/Logica-Difusa-
Riesgo-Bancario

21
Antecedentes Internacionales

 (Medina Hurtado & Paniagua Gómez, 2008), realizaron el

trabajo de investigación: Modelo de Inferencia Difuso para
Estudio de Crédito, en la Universidad Nacional de Colombia,
Sede Medellín-Colombia. Teniendo como resumen:
El trabajo presenta el estudio realizado en una cooperativa de
servicios financieros, la cual utilizó un Sistema de Inferencia
Difuso para evaluar la solvencia de los asociados de la
cooperativa solicitantes de crédito. Para desarrollar el modelo
se contó con la base de datos de los asociados de la
cooperativa y la opinión de expertos. De la base de datos se
extrajo información sobre el monto del crédito otorgado, plazo,
garantías, aportes sociales e historial crediticio de los clientes,
para utilizarlos en el desarrollo del Modelo, el cual parte de
definir las relaciones entre las variables de entrada y salida
con ayuda del criterio experto. Lo anterior permite definir la
base de conocimiento que representa por una parte, el
entendimiento que los expertos tienen del fenómeno y por otra,
sus sistemas de razonamiento. De esta manera se obtiene un
modelo que considera toda la información en el proceso de
evaluación crediticia bajo una perspectiva más objetiva con el
fin de minimizar así el riesgo operativo y de contraparte en el
otorgamiento del crédito.

(MEDINA HURTADO & PANIAGUA GÓMEZ, 2008). Modelo

de Inferencia Difuso para Estudio de Crédito. Consultado el 30
de julio de 2015, de
http://www.redalyc.org/articulo.oa?id=49615421

22
 (Martínez Ortiz, Sebastián Medina, & Colmenares,
“Clasificación Del Riesgo Financiero Basado en Modelos De
Calificación Difusos”, 2009). Realizaron el trabajo de
investigación: Clasificación Del Riesgo Financiero Basado en
Modelos De Calificación Difusos, en la Universidad de Los
Andes, Mérida‐Venezuela. Teniendo como resumen:

El riesgo es esencial a toda actividad empresarial en la medida

en que los resultados están determinados por la aparición de
escenarios previstos o no por los gerentes, esto conlleva a que
las instituciones bancarias se vean constantemente
enfrentadas a diversos tipos de riesgo, los cuales varían
dependiendo del tipo las actividades que realicen, en general,
se pueden identificar tres tipos de riesgos bancarios: los
riesgos de negocios, los riesgos estratégicos y los riesgos
financieros. A fin de evitar crisis financieras como la ocurrida
en 1994, Actualmente, para las entidades bancarias, se ha
convertido en una necesidad considerar mejores prácticas
para una adecuada identificación, medición, valoración y
gestión de estos riesgos. En tal sentido, la presente
investigación tiene como propósito mostrar la aplicación de los
modelos de calificación de aspectos bancarios basados en
agrupamiento difuso, como una herramienta para la obtención
de un modelo de clasificación del riesgo financiero en los
bancos universales y comerciales venezolanos desde el año
1996 hasta el 2004. Por otra parte, también se mostrará una
metodología para la clasificación de tres tipos de riesgo
financiero, tales como: riesgo de crédito, operacional y
liquidez.

Importancia de los Antecedentes:

Estos trabajos de investigación me permitirán establecer mejor

mis parámetros para mi modelo borroso o difuso a la hora de

23
 establecer mis funciones de pertenencia y reglas difusas con
las que voy a trabajar en la técnica.

(Martínez Ortiz, Sebastián Medina, & Colmenares,

Clasificación Del Riesgo Financiero Basado en Modelos De
Calificación Difusos, 2009). Consultado el 30 de julio de 2015,
de
http://www.webdelprofesor.ula.ve/economia/gcolmen/programa
/economia/work_paper_sistemas_carlos_martinez_1.pdf

2.3 JUSTIFICACIÓN
2.3.1 Económica
La implementación de la presente tesis permite mejorar de
forma continua la seguridad de la información y minimiza el
impacto con reducción de costos que incluyen pérdidas de
dinero, tiempo y mano de obra, reduciendo los tiempos de
atención y restando costos innecesarios en la atención de
eventos previamente analizados.

2.3.2 Social
Apoya en la previsión de eventos perjudiciales a la universidad
que nos permite ahorrarle dinero, tiempo y esfuerzos.

2.3.3 Técnica
La lógica difusa como herramienta, permite evaluar las
respuestas a partir de las consideraciones que se deben tener
en cuenta para tal fin, haciendo que el software se consolide
como una herramienta de evaluación, a partir de los parámetros
que los usuarios finales buscan en ellos.

2.3.4 Operativa
Desde el punto de vista del usuario
La valoración y gestión de riesgos nos prepara para saber qué
hacer cuando ocurra lo que no queremos.

24
 Desde el punto de vista para la aplicación
Para la operatividad de la aplicación web la Universidad cuenta
con las herramientas de hardware (Servidores, Infraestructura de
Comunicación) y software (Herramientas de Modelado, Gestor
de Base de Datos, IDEs licenciados) necesarias.

2.3.5 Institucional
Asegura la continuidad operacional de la universidad,
manejando apropiadamente las amenazas y riesgos críticos,
manteniendo una estrategia de protección y de reducción de
riesgos.

2.4 OBJETIVOS
2.4.1 Objetivo General
Mejorar la evaluación de riesgos en tecnología de información
mediante un software de aplicación web basado en lógica difusa,
en la oficina de tecnologías de información y comunicaciones de
la Universidad Nacional del Santa,

2.4.2 Objetivos Específicos

 Modelamiento matemático de un software de aplicación web
basado en lógica difusa, con fuzzy toolbox de Matlab.
 Desarrollo del software de aplicación web basado en lógica
difusa, en PHP.
 Validación del software de aplicación web basado en lógica
difusa.

25
 CAPITULO III: MARCO TEÓRICO REFERENCIAL

3.1 AUDITORIA DE SISTEMAS

Dentro de sus objetivos principales están: el control de la función
informática, el análisis de la eficiencia de los Sistemas informáticos,
la verificación del cumplimiento de la Normativa y la revisión de la
eficaz gestión de los recursos informáticos.

En términos generales podemos definir a la auditoría informática como el

conjunto de técnicas, actividades y procedimientos destinados a
analizar, evaluar, verificar y recomendar en los asuntos relacionados
a la planificación, control, eficacia, seguridad y adecuación del
servicio informático en la empresa; para plantear alternativas de
acción, la toma de decisiones que permitan corregir errores en
caso de que existiesen, o bien para mejorar la forma de acción.

Con la realización de una Auditoría Informática se logrará conocer si la

calidad de los datos es la adecuada, si es errónea, inexacta o si la
misma ha sido manipulada de alguna manera. Se podrá también
conocer si la seguridad que posean los centros de procesamiento,
servidores y datos son las suficientes, debido a que estos en los
últimos tiempos se han convertido en blancos para la realización de
fraudes, espionaje, delincuencia y terrorismo informático; se deben
analizar si los planes de contingencia cumple las funciones para las
cuales han sido creados, para lo cual también se debe realizar un
análisis de los riesgos a los cuales están expuestos los Sistemas de
Información. Así mismo se puede conocer si la empresa ha sido o
puede ser víctima de robo de información, si el soporte técnico es el que
necesitan los usuarios. Además se puede conocer si el Departamento
de Sistemas como tal ha manejado su presupuesto de manera
adecuada, con inversiones justificadas o si han existido
desviaciones del presupuesto planteado. (Salcedo Salgado & Tapia
Mendieta, 2008)

26
3.2 SEGURIDAD INFORMATICA
La seguridad informática garantiza que la información privada de
una empresa, sea físico o lógico esté solo al alcance de las
personas con suficientes privilegios para realizar acciones que se les
ha otorgado mediante políticas dadas por la empresa.

En definitiva, la seguridad informática nos ayuda a proteger la integridad

y la privacidad de la información almacenada en un sistema
informático o bien sea un activo informático. (Cadme Ruiz & Duque
Pozo, 2012)

3.3 ANALISIS DE RIESGO

El análisis de riesgos implica la identificación de los mismos, la

evaluación de la probabilidad de que el evento ocurra, y la definición de
la gravedad de las consecuencias de ese evento. También podría ser útil
realizar una evaluación de vulnerabilidad, que ayuda a identificar
situaciones en las cuales la organización podría ponerse en mayor
riesgo al no llevar a cabo ciertas actividades. Un ejemplo podría ser el
riesgo cada vez mayor que existe de ataques de virus si no se utiliza el
antivirus más actual. Finalmente, los resultados del análisis de riego se
resumen en un informe para la dirección, que incluye actividades
recomendadas de mitigación. Podría ser útil buscar vulnerabilidades
mientras se realiza el análisis de riesgo.

Una vez que se identifican los riesgos y las vulnerabilidades, se puede

considerar cuatro tipos de respuesta defensiva:

 Medidas de protección: Estas son actividades diseñadas para

reducir las posibilidades de que ocurra un evento dañino; un
ejemplo son las cámaras de seguridad, para identificar visitantes no
autorizados y avisar a las autoridades antes de que puedan causar
algún daño.

27
 Medidas de mitigación: Estas actividades están diseñadas para
minimizar la gravedad de un evento, una vez que ha ocurrido. Dos
ejemplos son los supresores de sobretensiones, para reducir el
impacto de la caída de un rayo, y los sistemas de energía
ininterrumpida, que reducen las posibilidades de que los sistemas
críticos dejen de funcionar abruptamente debido a un apagón o a
un bajón de voltaje.

 Actividades de recuperación: Estas actividades sirven para traer

de vuelta sistemas e infraestructura dañados, hasta un nivel en el
que puedan soportar las operaciones de negocios; un ejemplo son
los datos críticos almacenados fuera de planta, que pueden ser
utilizados para reiniciar las operaciones de negocios hasta un
determinado punto en el tiempo.

 Planes de contingencia: Estos documentos a nivel de procesos

describen lo que puede hacer una organización a raíz de un evento
que pueda dañarla; por lo general, se activan sobre la base de la
información del equipo de manejo de emergencias.

La secuencia en la cual se implementan estas medidas depende en

gran medida de los resultados de la evaluación de riesgo. Una vez que
se identifica una amenaza específica, y sus vulnerabilidades asociadas,
se vuelve más fácil planear la estrategia defensiva más efectiva.
Recuerde que los planes de contingencia deben hacer frente a los
efectos, independientemente de las causas. (Kirvan, Guía de
evaluación de riesgos de TI, 2013)

28
 Figura 2 Diagrama de conceptos genéricos implicados en el Análisis
de Riesgos (López Cuenca, 2012)

3.3.1 METODOLOGIAS DE ANALISIS DE RIESGO

a) COBIT: Es un marco de negocio para el gobierno y gestión de la
empresa. (Ferrer Olivares, 2013)

El cobit se desarrolló por:

 Un mandato de la junta directiva de ISACA:
“Unir y reforzar todos los activos de conocimiento de
ISACA con COBIT”
 Integrar todos los marcos de referencia y las guías más
importantes de ISACA.
 Proporcionar un marco de referencia renovado y con la
autor necesaria para el gobierno y la gestión de la
información empresarial y las tecnologías relacionadas.

29
  Alinear con los principales marcos de referencia y
estándares.
 Proporcionar orientación en :
 Arquitectura empresarial
 Gestión de activos y de servicios
 Nuevas maneras de adquisición de recursos y
modelos empresariales
 Innovación y nuevas tecnologías

 Satisfacer las necesidades empresariales de :

 Incrementar la creación de valor
 Obtener la satisfacción de los usuarios
 Lograr el cumplimiento de las leyes, reglamentos
(regulaciones) y políticas
 Mejorar la relación entre el negocio y TI
 Aumentar el retorno sobre la inversión en tecnología

Alcance de COBIT:

 COBIT 5 trata de gobierno y gestión de la información

 Cualquiera que sea el medio que se utilice
 De extremo a extremo en toda la empresa

 La información es igualmente importante para :

 Negocios multinacionales /globales
 El gobierno nacional y local
 Organizaciones no lucrativas // de caridad
 Pequeñas y medianas empresas
 Clubes y asociaciones

Estructura de COBIT:

 COBIT 5 se basa en :
 5 principios y
 7 catalizadores (habilitadores)

30
Figura 3 Principios y Catalizadores de COBIT. (Ferrer Olivares, 2013)

b) MAGERIT: Es una metodología de carácter público elaborado

por el Consejo superior de administración pública que significa:
“Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información de las Administraciones Públicas” desarrolla el
concepto de control de riesgos en las guías de procedimientos,
técnicas, desarrollo de aplicaciones, personal y cumplimiento de
normas legales y para cumplir con esto tiene como objetivo:

1. Concienciar a los responsables de los sistemas de

información de la existencia de riesgos y de la necesidad
de atajarlos a tiempo.
2. Ofrecer un método sistemático para analizar tales riesgos.
3. Ayudar a descubrir y planificar las medidas oportunas
para mantener los riesgos bajo control.
4. Preparar a la Organización para procesos de evaluación,
auditoría, certificación o acreditación, según corresponda
en cada caso.

Visión en Conjunto: Se realiza el análisis de los incidentes que

podrían ocasionar riesgos para la tecnología de información y
partiendo de esto se busca un tratamiento donde se busca un
plan de acción para responder a este riesgo y se reduzca hasta
el estado mínimo posible.

31
Usuarios:
 Todos aquellos que trabajan con información digital y
sistemas informáticos.
 Organizaciones tanto públicas como privadas.

Finalidad:

 MARGERIT les permitirá saber cuánto valor está en juego

y les ayudara a protegerlo.
 Conocer el riesgo al que están sometidos los elementos
de trabajo.
 Proponer una aproximación metódica que no deje lugar a
la improvisación, ni dependa de la arbitrariedad del
analista.

Figura 4 MARGERIT. (Garcia Morales & Ochoa, 2014)

32
Procedimientos:

 Análisis de riesgos: En el cual se determinan en primera

instancia se determinan los activos de mayor valor con
esto se analizan las amenazas y las salvaguardas que
tiene el activo con el fin de estimar el impacto de los
riesgos sobre los mismos y así estimar el riesgo.
Existen varias herramientas los cuales son:
 Modelo de valor: Detalla los activos, sus
dependencias, las dimensiones en las que son
valiosos y la estimación de su valor en cada
dimensión.
 Mapa de riesgos: Detalla las amenazas
significativas sobre cada activo, caracterizándolas
por su frecuencia de ocurrencia y por la
degradación que causaría su materialización sobre
el activo.
 Declaración de aplicabilidad: Recoge las
contramedidas que se consideran apropiadas para
defender el sistema de información bajo estudio.
 Evaluación de salvaguardas: Detalla las
salvaguardas existentes calificándolas en su
eficacia para reducir el riesgo que afrontan.
 Informe de insuficiencias o vulnerabilidades:
Detalla las salvaguardas necesarias pero ausentes
o insuficientemente eficaces.
 Gestión de Riesgos: En este proceso se establecen las
actividades de control y reducción de los riesgos al igual
que se definen roles y funciones, dentro de este análisis
corresponde la definición de costos y beneficios de
practicabilidad y la toma de decisiones sobre la opción de
respuesta al riesgo a tomar.

33
  Técnicas de análisis y gestión de los riesgos:
 Mediante tablas.
 Análisis algorítmico.
 Arboles de ataque.
 Técnicas gráficas.
 Sesiones de trabajo.

3.4 FUNCIONAMIENTO DE UNA APLICACIÓN WEB

Una aplicación Web es un conjunto de páginas Web estáticas y dinámicas.
Una página Web estática es aquélla que no cambia cuando un usuario la solicita: el
servidor Web envía la página al navegador Web solicitante sin modificarla. Por el
contrario, el servidor modifica las páginas Web dinámicas antes de enviarlas al
navegador solicitante. La naturaleza cambiante de este tipo de página es la que le
da el nombre de dinámica.

Por ejemplo, podría diseñar una página para que mostrara los resultados del
programa de salud y dejara cierta información fuera (como el nombre del empleado y
sus resultados) para calcularla cuando la página la solicite un empleado en
particular.

Procesamiento de páginas Web estáticas

Un sitio Web estático consta de un conjunto de páginas y de archivos HTML

relacionados alojados en un equipo que ejecuta un servidor Web.

Un servidor Web es un software que suministra páginas Web en respuesta a las

peticiones de los navegadores Web. La petición de una página se genera cuando el
usuario hace clic en un vínculo de una página Web, elige un marcador en un
navegador o introduce una URL en el cuadro de texto Dirección del navegador.

El contenido final de una página Web estática lo determina el diseñador de la página

y no cambia cuando se solicita la página. Cuando el servidor Web recibe una
petición de una página estática, el servidor lee la solicitud, localiza la página y la
envía al navegador solicitante, como se muestra en la siguiente figura: (Velásquez
Ruiz, 2013)

34
Figura 5 Proceso de petición de una página web estática. (Velásquez Ruiz,
2013)

Procesamiento de páginas dinámicas:

Cuando un servidor Web recibe una petición para mostrar una página Web
estática, el servidor la envía directamente al navegador que la solicita.

Cuando el servidor Web recibe una petición para mostrar una página
dinámica, sin embargo, reacciona de distinta forma: transfiere la página a un
software especial encargado de finalizar la página. Este software especial se
denomina servidor de aplicaciones.

El servidor de aplicaciones lee el código de la página, finaliza la página en

función de las instrucciones del código y elimina el código de la página. El
resultado es una página estática que el servidor de aplicaciones devuelve al
servidor Web, que a su vez la envía al navegador solicitante. Lo único que el
navegador recibe cuando llega la página es código HTML puro. A
continuación se incluye una vista de este proceso: (Velásquez Ruiz, 2013)

35
Figura 6 Proceso de petición de una página web dinámica. (Velásquez Ruiz,
2013)

Acceso a una base de datos:

Un servidor de aplicaciones le permite trabajar con recursos del lado del

servidor, como las bases de datos. Por ejemplo, una página dinámica puede
indicar al servidor de aplicaciones que extraiga datos de una base de datos y
los inserte en el código HTML de la página.

La instrucción para extraer datos de una base de datos recibe el nombre de

consulta de base de datos. Una consulta consta de criterios de búsqueda
expresados en un lenguaje de base de datos denominado SQL (Structured
Query Language, lenguaje de consulta estructurado). La consulta SQL se
escribe en los scripts o etiquetas del lado del servidor de la página.

Un servidor de aplicaciones no se puede comunicar directamente con una

base de datos porque el formato de esta última impide que se descifren los
datos, de una forma bastante similar a cuando un documento de Microsoft
Word no puede descifrarse al abrirlo con el Bloc de Notas o BBEdit. El

36
servidor de aplicaciones sólo se puede comunicar con la base de datos a
través de un controlador que actúe de intermediario con la base de datos: el
software actúa entonces como un intérprete entre el servidor de aplicaciones
y la base de datos.

Una vez que el controlador establece la comunicación, la consulta se ejecuta

en la base de datos y se crea un juego de registros. Un juego de registros es
un conjunto de datos extraídos de una o varias tablas de una base de datos.
El juego de registros se devuelve al servidor de aplicaciones, que emplea los
datos para completar la página. (Velásquez Ruiz, 2013)

Figura 7 Proceso de petición de una página web dinámica con base de

datos (Velásquez Ruiz, 2013)

37
3.5 LOGICA DIFUSA
El sistema de lógica difusa presenta la siguiente estructura:

Figura 8 Sistema de lógica difusa (Fernández et al., 2008)

El bloque difusor / concresor

Según Chang (2009), a cada variable de entrada se le asigna un grado de

pertenencia, relacionando cada una de las variables con conjuntos difusos de
entrada, que representan la reglamentación que delimitará el sistema. De la
misma manera el bloque concresor realiza el proceso inverso, donde a partir
del conjunto difuso de salida generado por la máquina de inferencia, se
generan procesos matemáticos de desdifusión, dando como resultado un
valor concreto no numérico sino en términos verbales.

Figura 9 Sistema Difusor (Fernándezet al., 2008)

Motor de Inferencia o máquina de inferencia

Chang (2009) se define el motor de inferencia como el componente
encargado de relacionar los conjuntos de entrada y de salida. Los elementos
de entrada son conjuntos difusos o membrecías y la salida son también

38
conjuntos difusos asociados a una variable, las cuales se encuentran
definidas dentro de las reglas difusas que conforman el sistema.

Figura 10 Motor de Inferencia (Fernández et al., 2008)

Bajo las perspectivas analizadas anteriormente, al momento de generar una

medida de un atributo de calidad, la subjetividad empieza a aparecer como
una variable que no se puede controlar y que, por ende, sesga la valoración
hacia puntos de vista específicos. Según los antecedentes presentados,
muchos de los campos de investigación y de la vida diaria se han visto en el
mismo problema (Gutiérrez et al., 2006; Dick y Kandel, 2005; Soler, 2007;
Medina, 2006; García, 2009; Vergara y Gaviria, 2009; Agüero, 2006),
generando productos que afectan nuestra vida cotidiana de una u otra
manera, a través de aplicaciones que pasan desapercibidas, pero que en el
fondo están desarrollados con lógica difusa.

3.5.1. Conjuntos difusos

En los conjuntos clásicos algo está incluido completamente en el o

no lo está en absoluto, esta puede situación puede describirse
asignando un 1 a todos los elementos incluidos en el conjunto y un 0
a los no incluidos (Martins, 2002)

Se expresa el grado de pertenencia al conjunto que tiene cada uno

de los elementos. El conjunto difuso A en X puede definirse como
el conjunto de los pares ordenados

39
 A=
( x,  A ( x)) / x U 
3.5.2. Funciones de pertenencia
La función de inclusión o pertenencia de un conjunto difuso consiste

en un conjunto de pares ordenados A= ( x,  A ( x)) / x U  si la

variable es discreta o una función continua si no lo es. El valor de
esta función está en el intervalo entre 0 y 1, siendo 1 el valor para
máxima pertenencia (Martins, 2002)

Figura 11 Funciones de pertenencia de un conjunto difuso

3.5.3. Variable lingüística

Por una variable lingüística se quiere decir que se trata de una variable
cuyos valores son palabras u oraciones en un lenguaje natural o
artificial.

40
 Figura 12 Variable lingüística

3.5.4. Particiones Difusas

Se conoce por partición a un conjunto de los conjuntos difusos que se
han definido para la variable A.

3.5.5. Operaciones Difusas

El conjunto complementario A de un conjunto difuso A es aquel cuya

función característica viene definida por:

 A ( x )  1   A ( x)

La unión de dos conjuntos difusos A y B es un conjunto difuso A U

B en U cuya función de pertenencia es:

 AB ( x)  max( A ( x), B ( x))

La intersección de dos conjuntos difusos A y B es un conjunto

difuso A  B en U con función característica:

 AB ( x)  min( A ( x), B ( x))

3.5.6. Reglas Difusas

Una regla difusa es una expresión del tipo

SI «proposición difusa» ENTONCES «proposición difusa»

41
 Donde la proposición de la izquierda se denomina antecedente o
premisa y la de la derecha se conoce como consecuente o conclusión.

3.5.7. Inferencia Difusa

Como en el caso de Lógica Clásica, la inferencia difusa se ocupa del
razonamiento formal con proposiciones, pero a diferencia de esta, los
valores de las proposiciones pueden tomar valores, intermedios entre
verdadero y falso.

3.5.8. Sistema de control Difuso

Difusificación
Toma los valores numéricos provenientes del exterior y los convierte en
valores "difusos" que pueden ser procesados por el mecanismo de
inferencia.

Mecanismo de Inferencia borrosa

La tarea del sistema de inferencia es tomar los niveles de pertenencia y

apoyado en la base de reglas generar la salida del sistema difuso.

Desdifusificación

La salida del mecanismo de inferencia es un conjunto difuso, para

generar la salida numérica a partir de este conjunto existen varias
opciones como el Centro de Gravedad.

 xf ( x) dx
Xg 
dom ( x )


dom ( x )
f ( x)dx

3.6 LENGUAJE UNIFICADO DE MODELADO (UML)

Lenguaje Unificado de Modelado (UML, por sus siglas en inglés, Unified
Modeling Language) es el lenguaje de modelado de sistemas de software más
conocido y utilizado en la actualidad. Es un lenguaje gráfico para visualizar,
especificar, construir y documentar un sistema. UML ofrece un estándar para

42
describir un "plano" del sistema (modelo), incluyendo aspectos conceptuales
tales como procesos de negocio, funciones del sistema, y aspectos concretos
como expresiones de lenguajes de programación y esquemas de bases de
datos.

Se puede aplicar en el desarrollo de software gran variedad de formas para dar

soporte a una metodología de desarrollo de software (tal como el Proceso
Unificado Racional o RUP), pero no especifica en sí mismo qué metodología o
proceso usar.
UML no puede compararse con la programación estructurada, pues UML
significa Lenguaje Unificado de Modelado, no es programación, solo se
diagrama la realidad de una utilización en un requerimiento.
Mientras que, programación estructurada, es una forma de programar como lo
es la orientación a objetos, sin embargo, la programación orientada a objetos
viene siendo un complemento perfecto de UML, pero no por eso se toma UML
sólo para lenguajes orientados a objetos.
UML cuenta con varios tipos de diagramas, los cuales muestran
diferentes aspectos de las entidades representadas, tales como:

 Caso de Uso
Un Caso de Uso es una descripción de los pasos o las actividades
que deberán realizarse para llevar a cabo algún proceso. Los
personajes o entidades que participarán en un Caso de Uso se
denominan actores.
Los diagramas de Casos de Uso sirven para especificar la
comunicación y el comportamiento de un sistema mediante su
interacción con los usuarios y/u otros sistemas. Los diagramas de
Casos de Uso se utilizan para ilustrar los requerimientos del sistema
al mostrar cómo reacciona a eventos que se producen en su ámbito o
en él mismo. (Rojas Cabrejos & Sullca Padilla, 2012)

43
Figura 13 Notación de Caso de Uso. (Rojas Cabrejos & Sullca Padilla, 2012)

 Diagrama de Clases
Un Diagrama de Clases es un tipo de diagrama estático que describe
la estructura de un sistema mostrando sus clases, atributos y las
relaciones entre ellos. Los Diagramas de Clases son utilizados
durante el proceso de análisis y diseño de los sistemas, donde se
crea el diseño conceptual de la información que se manejará en el
sistema, y los componentes que se encargaran del funcionamiento y
la relación entre uno y otro.
 Atributos o propiedades, son valores que corresponden a un
objeto, como color, material, cantidad, ubicación.
Generalmente se conoce como la información detallada del
objeto. Suponiendo que el objeto es una puerta, sus
propiedades serían: la marca, tamaño, color y peso.

 Operaciones, comúnmente llamados métodos, son aquellas

actividades o verbos que se pueden realizar con/para este
objeto, como por ejemplo abrir, cerrar, buscar, cancelar,
acreditar, cargar. De la misma manera que el nombre de un
atributo, el nombre de una operación se escribe con
minúsculas si consta de una sola palabra. Si el nombre
contiene más de una palabra, cada palabra será unida a la
anterior y comenzará con una letra mayúscula, a excepción de

44
 la primera palabra que comenzará en minúscula. Por ejemplo:
abrirPuerta, cerrarPuerta, buscarPuerta, etc.

 Interfaz, es un conjunto de operaciones que permiten a un

objeto comportarse de cierta manera, por lo que define los
requerimientos mínimos del objeto. Hace referencia a
polimorfismo.

 Herencia, se define como la reutilización de un objeto padre ya

definido para poder extender la funcionalidad en un objeto hijo.
Los objetos hijos heredan todas las operaciones y/o
propiedades de un objeto padre. Por ejemplo: Una persona
puede especializarse en Proveedores, Acreedores, Clientes,
Accionistas, Empleados; todos comparten datos básicos como
una persona, pero además cada uno tendrá información
adicional que depende del tipo de persona, como saldo del
cliente, total de inversión del accionista, salario del empleado,
etc.
(Rojas Cabrejos & Sullca Padilla, 2012)

Figura 14 Diagrama de Clases. (Rojas Cabrejos & Sullca Padilla, 2012)

45
3.7 ESTRUCTURA DE UNA APLICACIÓN WEB
3.7.1 Componentes de Una Aplicación Web
Una aplicación de Base de datos Web de fuerza industrial puede
consistir de 5 componentes principales como se muestra en la figura 06.
El servidor web corre software de servidor web especializado que
soporta HTTP para manejar múltiples solicitudes web y es responsable
por las autenticaciones de los usuarios en caso de aplicaciones de
intranet y extranet.

Un servidor de aplicación realiza casi todo el procesamiento lógico e

implementación de las reglas del negocio. También es responsable de
mantener la administración del estado y control lógico de la sesión que
son necesarios para un sistema de transacción en línea. El Servidor de
Base de Datos hospeda al sistema de administración de Base de Datos
y provee capacidades de administración y acceso a datos. En una Típica
sesión, el servidor web procesa la solicitud del cliente y envía devuelta
al cliente páginas web. Cuando lo necesita, un servidor web se conecta
al servidor de aplicaciones para procesar la lógica del negocio (por
ejemplo autorización de crédito, verificación del estado del inventario). El
servidor de Base de Datos realiza la consulta a la base de datos y envía
el resultado al servidor web.

Tal arquitectura multicapa provee alta escalabilidad del sistema. Cuando

la demanda del sistema se incrementa, la carga de trabajo puede ser
distribuida en una aplicación adicional o servidores de base datos. Sin
Embargo, esta disposición no significa que debe haber un servidor de
aplicación por las aplicaciones Web. Tampoco implica que el servidor
Web y el servidor de aplicaciones o el servidor de Base de Datos no
puedan estar ubicados en la misma máquina. La decisión sobre los
componentes arquitecturales es afectada por los requerimientos de la
aplicación, las estrategias del negocio y la infraestructura tecnológica
existente y futura. (Navarrete Leal & Ninaquispe Matame, 2014)

46
 Figura 15 Componente de la aplicación Web con base de datos. (Navarrete
Leal & Ninaquispe Matame, 2014)

Internet / Intranet

Navegador Servidor Web Servidor de Servidor de

Web Aplicación Base de
Base de
Datos
Datos
(Cliente)

3.7.2 Procesamiento del Lado del Cliente

Procesamiento del lado del cliente ha crecido mucho en los últimos años
por que mejora la capacidad de respuesta del servidor y libera alguno de
los recursos del servidor web para otras tareas. Los applets Java y los
componentes del Framework .Net que son las dos principales
tecnologías que permiten a los desarrolladores crear y mantener el
código que corre en las estaciones cliente. Los componentes del
Framework .Net y el código Java reside en el servidor y son entregados
al cliente en la demanda. Ambos proveen un significado para
automáticamente garantizar que la última versión del código está
disponible para el cliente. LA actualización de la versión es hecha la
mayoría de veces de manera transparente, así que el usuario ni siquiera
necesita saber qué cambios se han hecho. Ambos pueden ser
entregados al navegador del usuario vía una simple solicitud HTTP.

Los applets de Java y los componentes .Net son muy similares en los
medios de ejecución. Ambas tecnologías requieren del funcionamiento
de un motor de ejecución en la maquina cliente. Una rutina de tiempo de
ejecución es un programa residente que provee servicios a otros
programas durante su ejecución. La rutina de Tiempo de ejecución .Net
es conocida como Lenguaje común de tiempo de ejecución (CLR). Los
Componentes .Net son código compilado en lenguaje intermedio (IL).
Cuando el IL llega al cliente llega a la maquina cliente es transformado

47
 en código maquina nativo por el compilador justo a tiempo. Los applets
de Java son compilados en ByteCode de Java y requiere la Máquina
Virtual de Java (JVM).
Los componentes del FrameWork .Net pueden ser creados en Visual
Basic .Net, Visual C++ .Net o C# .Net. Los componentes .Net
actualmente requieren que el sistema operativo Windows sea el cliente o
que un plugin especial se usado en Netscape Navigator. El código Java
puede correr en cualquier máquina que tenga la máquina virtual de Java
instalada, y por lo tanto es de naturaleza multiplataforma. Ambos los
componentes .Net y lo Applets de Java ofrecen buenas características
de seguridad, por lo tanto, son la mejor suite para un sistema abierto
como internet. Otra Tecnología de procesamiento del lado del cliente
incluye JavaScript, VBScript, XML y XLS. (Navarrete Leal & Ninaquispe
Matame, 2014)

3.7.3 Procesamiento del Lado del Servidor

Cualquier aplicación web hace por lo menos algo de procesamiento del
lado del servidor. En su forma más estricta, las aplicaciones que usan el
procesamiento del lado del servidor, hacen todo el procesamiento en el
servidor y envían devuelta al cliente solamente HTML. En el caso de las
aplicaciones de base de datos web, el navegador web envía una solitud
de Base de Datos al servidor Web. El Servidor web pasa la solicitud
usando interfaz de entrada común CGI o interfaz de programación de
aplicaciones de servidor de internet para el Servidor de aplicación donde
el código intermedio de base de datos puede ser ubicado. Luego el
servidor de aplicaciones usa un código intermedio de Base de Datos tal
como Conexión de Base de datos Abierta ODBC) para conectarse a la
Base de Datos. El Servidor de aplicaciones recibe el resultado de la
consulta y crea la página HTML formateada y envía de vuelta la página
al servidor Web usando CGI o el estándar de transmisión ISAPI. El
servidor Web envía la página al navegador. Las opciones de
programación del lado del servidor incluyen: Java, Active Server Pages

48
 (ASP), ASP.NET, Java Server Pages (JSP), PHP, script CGI (C, C++ y
Perl). (Navarrete Leal & Ninaquispe Matame, 2014)

3.8 RETOS DEL DESARROLLO DE APLICACIONES WEB

El desarrollo de una aplicación web, no importa si está basado en internet o
basado en intranet o extranet presenta retos únicos para los desarrolladores. El
mayor Reto incluye usabilidad del diseño, mantenimiento de contenido
enriquecido, seguridad, integración con sistemas heredados (sistemas ya
existentes) y desarrollo rápido de aplicaciones. Para aplicaciones basadas en
internet hay dos retos adicionales: Escalabilidad y Balanceo de Carga.

1. Usabilidad del diseño: La usabilidad de un Sitio Web de Comercio

electrónico, en gran medida determinara el éxito o fracaso de la presencia
Web de la organización. En una relación tradicional de compra/Venta, los
usuarios experimentan la usabilidad después de que ellos compraron el
software. Si ocurre algún problema el usuario siempre puede llamar al
centro de soporte por ayuda. Sin embargo en la web los usuarios
experimentan la usabilidad antes de que ellos compren. Menos usabilidad
del diseño alejará a los usuarios por que los competidores están apenas a
un click de lejanía. Las aplicaciones de comercio electroncito están
diseñadas para usuarios desconocidos, plataforma de hardware
desconocido y configuraciones de software desconocido en el lado del
cliente.

2. Contenido enriquecido: La mayoría de las aplicaciones web son de

contenido enriquecido. Las aplicaciones de contenido enriquecido
requieren mantenimiento y actualizaciones frecuentes. Una actualización,
memos frecuente del sitio web rápidamente haría que sus visitantes
coloquen en mente la duda sobre su exactitud y utilidad. Para aplicaciones
Web la noción de mantenimiento toma un significado diferente donde las
líneas entre el desarrollo y el mantenimiento empañan el punto donde ellos
son realmente la misma cosa.

49
3. Escalabilidad: Una aplicación Web corre en un entorno operativo
diferente que una aplicación no basada en internet. Los sistemas no
basados en internet operan en un entorno bien definido. Los usuarios del
sistema y la carga de trabajo están bien comprendidos. Las aplicaciones de
internet, sin embargo, corre en un entorno abierto donde la carga de trabajo
y los perfiles de usuario son menos entendibles y menos predecibles. Por
lo tanto las aplicaciones de internet pueden encontrar máximas cargas de
transacciones altamente variables y potencialmente enormes. El sistema
debe ser diseñado para manejar fluctuaciones dramáticas de las demandas
de usuario y tener actualizaciones adicionales para reforzar el rendimiento
del sistema y soporte adicional para el usuario.
4. Balanceo de Carga: En una aplicación de internet multiservidor, el no
balanceo de la carga reduce el rendimiento del sistema, la fiabilidad y
disponibilidad. El Balancear la carga del sistema requiere una cuidadosa
selección de un conjunto de técnicas y herramientas. No existe una solo
bala de plata que pueda ser aplicada a todos los sistemas de aplicación.
Algunas de las técnicas de balanceo de carga incluyen particionamiento de
la aplicación y replicación del servicio.

5. Seguridad: La seguridad es una preocupación principal para las

aplicaciones de internet debido al entorno de operación de abierto. Aun
para las aplicaciones de intranet y extranet la seguridad debe ser una
preocupación. Ningún producto en el mercado puede garantizar una
aplicación segura. La seguridad debe ser diseñada dentro de una
aplicación y necesita dársele mantenimiento. Además, el procedimiento y
las políticas de seguridad de seguridad a lo largo de la organización deben
estar en su lugar. Los siguientes problemas de seguridad deben abordar:
a. Privacidad: Como asegurar que los datos confidenciales sean
salvaguardados.
b. Integridad: Como asegurar que la exactitud y la consistencia de los
datos sean mantenidos mientras están viajando a través de la red.
c. Autenticación: Como verificar la identidad verdadera de las partes
involucradas en una transacción de negocios.

50
 d. Control de Acceso: Como permitir a los usuarios autorizados el
acceso solamente a la información a la que a ellos se les ha dado
permiso de acceso. Como prevenir el acceso no autorizado.
e. No Repudio: Como prevenir la negativa de sumisión de transacciones,
ya sea desde el envió y o final de la recepción de un proceso de
comunicación.

6. Sistemas heredados: Más y más organizaciones están enlazando sus

sistemas heredados, los cuales pueden correr sobre diferentes plataformas
de computación, a sus aplicaciones web. Muchas soluciones web de
código intermedio están disponibles para tender un puente sobre la
tecnología Web hacia las bases de datos relacionales y sistemas
heredados. Por ejemplo, la corporación Oracle, Informix Software ya la
corporación Sybase ofrecen código intermedio de Base de Datos Web.
MQSeries de IBM y SmartSockets de Talarian son herramientas de código
intermedio orientados al mensaje. El reto es encontrar la herramienta
apropiada que se adecue a las necesidades de la organización.

7. Desarrollo Rápido: Una aplicación Web de buena calidad de Diseño

puede ser una ventaja competitiva. Por lo tanto, los desarrolladores Web
están sumergidos en abrumadora presión desde la gestión para el
desarrollo muy rápido de la aplicación.
(Navarrete Leal & Ninaquispe Matame, 2014)

3.9 Estándares NTP e ISO 31000

 NTP-ISO/IEC 17799 – Seguridad de la Información: La norma técnica
peruana NTP-ISO/IEC 17799 ofrece todas las recomendaciones
necesarias para poder gestionar un Sistema de Seguridad de la
Información (SSI), al igual que la norma internacional ISO 27001,
ofreciendo los requisitos necesarios para que los responsables del área
en concreto puedan iniciar, implantar, mantener y mejorar la seguridad
en las organizaciones.

51
La norma ISO/IEC 17799 persigue que se proporcione una base común
con la que poder llevar a cabo normas de seguridad dentro de las
empresas y convertirse en una práctica eficaz de gestión de la
seguridad.

La norma técnica peruana ISO/IEC 17799 es una guía práctica que

desarrolla los estándares organizacionales de la seguridad y genera
prácticas efectivas durante la gestión de la Seguridad de la Información.
Además, incrementa la confianza a la hora de establecer relaciones
entre diferentes organizaciones. Todas las recomendaciones que genera
esta norma tienen que ser utilizadas de acuerdo con la legislación
aplicable a esta materia.

La información es un activo que tiene un elevado valor para las

empresas, lo que requiere que se genere una protección adecuada. Hay
que tener en cuenta el aumento en la seguridad dentro de las
organizaciones. El resultado de este creciente aumento es que la
información se encuentra más expuesta a un alto número de amenazas
y vulnerabilidades.

La información es adoptada de varías formas diferentes. Puede

encontrarse en formato papel, almacenada electrónicamente, enviada
por correo electrónico, en formato vídeo o a través de una conversación
hablada personalmente. Es por todo esto, que la información tiene que
estar debidamente protegida, sea cual sea el formato en la que no la
encontremos.

El Sistema de Seguridad de la Información (SSI) ayuda a proteger la

información de un amplio rango de amenazas diferentes con el que
asegurar la continuidad del negocio, disminuir los daños generados en la
organización y maximizar el retorno de la inversiones y las
oportunidades de negocio.

El Sistema de Seguridad de la Información se consigue implementando

un conjunto adecuado de controles, que puede ser políticas de

52
seguridad, procedimientos, estructuras organizativas y funciones de
software y hardware. Los controles necesarios son establecidos,
implementados, monitoreados, revisados y mejorados en lo que sea
necesario, con lo que se asegura que se cumplan todos los objetivos
específicos de seguridad y negocios de la organización.

Esta norma ISO/IEC 17799 cuenta con unos términos específicos, los
cuales es necesario conocer para poder entender lo que expone la
norma, durante este post vamos a ver todos los términos y a definirlos
para su mejor comprensión:

Activo: es algo que tenga un gran valor para la organización.

Control: es la herramienta de gestión del riesgo, en el que se incluyen

las políticas, las pautas, las estructuras organizacionales, que sean de
naturaleza administrativa, técnica o legal.

Pauta: describe de forma clara lo que se debe hacer y cómo se debe

hacer, persiguiendo el fin de alcanzar todos los objetivos planteados en
la política de seguridad.

Instalaciones de proceso de información: Sistemas de información,

servicio o infraestructuras en las que se localice de forma física.

Seguridad de la Información: es la preservación de la confidencialidad,

la integridad y la disponibilidad de la información, además de otras
muchas propiedades como puede ser la autenticidad, la falta de rechazo,
la contabilidad y la confiabilidad que puede ser considera también.

Evento de Seguridad de la Información: es una ocurrencia que se

encuentra identificada por un sistema, servicio o red en el que se indica
una posible fisura en la política de seguridad de información o algún
posible fallo en las situaciones relevantes para la seguridad.

Incidente de Seguridad de la Información: se encuentra indicado por

diferentes eventos que no son esperados o no deseados, y que tienen

53
una gran probabilidad de poner en un compromiso las operaciones de
negocios y las amenazas de Seguridad de la Información.

Política de Seguridad: es un documento en el que se expresa los

objetivos que tiene una organización a la hora de implementa un
Sistema de Seguridad de la Información. Se encuentra firmada por la
gerencia de la empresa y tiene que estar disponible para todo el mundo
que desee verla.

Riesgo: es la combinación de probabilidad de que ocurra un incidente y

las consecuencias de éste.

Análisis del riesgo: utilización sistemática de la información para

identificar todas las fuentes que puedan generar algún riesgo.

Evaluación del riesgo: es el proceso general de análisis y evaluación

de riesgo.

Valoración del riesgo: es el proceso mediante el cual se compara el

riego estimado con el riesgo dado.

Gestión del riesgo: son actividades coordinadas para dirigir y controlar

una organización considerando el riesgo que puede producir.

Tratamiento del riesgo: es el proceso por el que se selecciona e

implementa las medidas para modificar el riesgo.

Terceros: es la persona que se reconoce por ser independiente por las

partes involucradas concerniente al tema en cuestión.

Amenaza: causa potencial de un incidente no deseado lo que puede

resultar dañando al sistema o a la organización.

Vulnerabilidad: es la debilidad presentada por un activo o grupo de

activos que pueden ser explotados por una o más amenazas.

(SGSI, 2015)
54
 NTP-ISO/IEC 12207 – Desarrollo de Software: Los procesos
principales del ciclo de vida son cinco, que dan servicio a las partes
principales durante el ciclo de vida del software. Una parte principal es
aquella que inicia o lleva a cabo el desarrollo, operación, o
mantenimiento de los productos software. Estas partes principales son el
adquiriente, el proveedor, el desarrollador, el operador y el responsable
de mantenimiento de productos software. Los procesos principales
son:
1. Proceso de adquisición. Define las actividades del adquiriente,
la organización que adquiere un sistema, producto software o
servicio software.
2. Proceso de suministro. Define las actividades del proveedor,
organización que proporciona un sistema, producto software o
servicio software al adquiriente.
3. Proceso de desarrollo. Define las actividades del desarrollador,
organización que define y desarrolla el producto software.
4. Proceso de operación. Define las actividades del operador,
organización que proporciona el servicio de operar un sistema
informático en su entorno real, para sus usuarios.
5. Proceso de mantenimiento. Define las actividades del
responsable de mantenimiento, organización que proporciona el
servicio de mantenimiento del producto software; esto es, la
gestión de las modificaciones al producto software para
mantenerlo actualizada y operativa. Este proceso incluye la
migración y retirada del producto software.

Procesos de apoyo del ciclo de vida

Hay ocho procesos de apoyo del ciclo de vida. Un proceso de apoyo es

el que apoya a otro proceso como parte esencial del mismo, con un
propósito bien definido y contribuye al éxito y calidad del proyecto
software. Un proceso de apoyo se emplea y ejecuta por otro proceso,
según sus necesidades.

55
Los procesos de apoyo son:

1. Proceso de documentación. Define las actividades para el

registro de la información producida por un proceso del ciclo de
vida.
2. Proceso de gestión de la configuración. Define las
actividades de la gestión de la configuración.
3. Proceso de aseguramiento de la calidad. Define las
actividades para asegurar, de una manera objetiva, que los
productos software y los procesos son conformes a sus
requerimientos especificados y se ajustan a sus planes
establecidos. Revisión Conjunta, Auditoría, Verificación y
Validación pueden ser utilizados como técnicas de
Aseguramiento de la Calidad.
4. Proceso de verificación. Define las actividades (para el
adquiriente, proveedor o una parte independiente) para verificar
hasta un nivel de detalle dependiente del proyecto software, los
productos software.
5. Proceso de validación. Define las actividades (para el
adquiriente, proveedor o una parte independiente) para validar
los productos software del proyecto software.
6. Proceso de revisión conjunta. Define las actividades para
evaluar el estado y productos de una actividad. Este proceso
puede ser empleado por cualquiera de las dos partes, donde
una de las partes (la revisora) revisa a la otra parte (la parte
revisada), de una manera conjunta.
7. Proceso de auditoría. Define las actividades para determinar la
conformidad con los requerimientos, planes y contrato. Este
proceso puede ser empleado por dos partes cualesquiera,
donde una parte (la auditora) audita los productos software o
actividades de otra parte (la auditada).
8. Proceso de solución de problemas. Define las actividades
para analizar y eliminar los problemas (incluyendo las no

56
 conformidades) que sean descubiertos durante la ejecución del
proceso de desarrollo, operación, mantenimiento u otros
procesos, cualquiera que sea su naturaleza o causa.

Procesos organizativos del ciclo de vida.

Los procesos organizativos del ciclo de vida son cuatro. Se emplean

por una organización para establecer e implementar una infraestructura
constituida por procesos y personal asociado al ciclo de vida y para
mejorar continuamente esta infraestructura. Se usan habitualmente
fuera del ámbito de proyectos y contratos específicos; sin embargo, la
experiencia adquirida mediante dichos proyectos y contratos contribuye
a la mejora de la organización. Los procesos organizativos son:

1. Proceso de gestión. Define las actividades básicas de gestión,

incluyendo la gestión de proyectos, durante un proceso del ciclo
de vida.
2. Proceso de infraestructura. Define las actividades básicas
para establecer la infraestructura de un proceso del ciclo de
vida.
3. Proceso de mejora de proceso. Define las actividades básicas
que una organización (adquiriente, proveedor, desarrollador,
operador, responsable de mantenimiento o gestor de otro
proceso) lleva a cabo para establecer, medir, controlar y mejorar
sus procesos del ciclo de vida.
4. Proceso de recursos humanos. Define las actividades básicas
para conseguir personal adecuadamente capacitado.

(Vértiz, 2010)

57
Figura 16 Estructura de la Norma Técnica Peruana. (Vértiz, 2010)

 ISO Gestión de Riesgo – ISO 31000: la norma ISO 31000 establece

principios y guías para el diseño, implementación y mantenimiento de la
gestión de riesgos en forma sistemática y transparente de toda forma de
riesgo en cualquier contexto.

Esta norma responde a una internacionalización de la norma AS/NZS

4360 que, desde hace años se viene aplicando especialmente en
Australia y Nueva Zelanda, pero también en otros países, habiendo sido
incluso traducida en varios países como Argentina (IRAM 17550).

La ISO 31000 se publicó en noviembre de 2009, al mismo tiempo que

una nueva versión de la Guide 73, también de la ISO, que ofrece una
lista de más de 50 términos referidos a la gestión de riesgos con sus
correspondientes definiciones.

Un punto trascendente de dicha guía, y que se incorpora a la ISO 31000,

es el nuevo concepto de riesgo.

Efectivamente, hasta ahora el riesgo se ha venido tratando como la

posibilidad que algo ocurra que tenga un impacto en los objetivos.

Pero a partir de la ISO 31000, el riesgo se define (con ajuste a la Guide

73) en términos del efecto de la incertidumbre en los objetivos.

58
La nueva definición implica que la palabra “riesgo” se refiere tanto a las
situaciones negativas tradicionales de riesgo (downside risk) que
provocan pérdidas, como a las situaciones positivas de riesgo (upside
risk), que constituyen oportunidades.

La norma ISO 31000 se puede aplicar a cualquier tipo de riesgo, por

ejemplo financieros, de infraestructura de operación, de mercado, de
imagen/reputación corporativa, etc., además por supuesto de la
seguridad de la información.

La ISO 31000 está estructurada en tres elementos claves para una

gestión de riesgos efectiva, transparente, sistemática y creíble. Dichos
elementos son:
 Principios de la gestión de riesgos.
 Marco de trabajo (framework) para la gestión de riesgos.
 Proceso de gestión de riesgos.

(Ormella Meyer, 2014)

59
 CAPITULO IV: MATERIALES Y MÉTODOS
4.
4.1 HIPÓTESIS
El Desarrollo de un software de aplicación web basado en Lógica Difusa,
permite mejorar la evaluación de riesgos T.I en la Oficina de Tecnologías de
Información y Comunicaciones de la Universidad Nacional del Santa.

4.2 VARIABLES
4.2.1 Variable Independiente (VI)
Desarrollo de un software de aplicación web basado en Lógica Difusa.

4.2.2 Variable Dependiente (VD)

Mejorar la evaluación de riesgos T.I en la Oficina de Tecnologías de
Información y Comunicaciones de la Universidad Nacional del Santa.

4.2.3 Variable Interviniente

Lógica Difusa.

Variables Indicadores Instrumentos(Son

ejemplos)
VI: Desarrollo de un 1. Nivel de impacto de Porcentaje
software de aplicación riesgos. Porcentaje
web basado en Lógica 2. Nivel de probabilidad de
Difusa. ocurrencia de riesgos.
VD: Mejorar la 1. Nivel de severidad de Porcentaje
evaluación de riesgos T.I riesgos.
en la Oficina de
Tecnologías de
Información y
Comunicaciones de la
Universidad Nacional del
Santa.

60
4.3 MÉTODO DE INVESTIGACIÓN
Inductivo – Deductivo

4.4 DISEÑO DE INVESTIGACIÓN

El diseño de estudio de la Investigación es el diseño con pos prueba con
grupo de control. Para este diseño se eligen dos grupos:

GE: O1 X O2
Dónde:
GE: Grupo Experimental
O1: Preprueba (Evaluación de los riesgos T.I y el tiempo de Proceso de
las encuestas antes de la propuesta) al grupo experimental.

X: Software de aplicación web basado en Lógica Difusa.

O2: Pos prueba (Evaluación de los riesgos T.I y el tiempo de Proceso de las
encuestas después de la propuesta) al grupo experimental.

 Variable independiente (x)

Software de aplicación web basado en Lógica Difusa.

 Variable dependiente
Evaluación de riesgos T.I en la oficina de tecnologías de información
y comunicaciones de la Universidad Nacional del Santa.
 Indicadores
o Variable independiente
 Nivel de impacto
 Nivel de probabilidad de ocurrencia
o Variable dependiente
 Nivel de riesgo

4.5 POBLACIÓN
Trabajadores Administrativos de la OTIC de la Universidad Nacional del Santa
es de 10 personas.

61
4.6 MUESTRA
Por ser reducida la población, la muestra estará conformada por todos los
trabajadores de la OTIC, véase anexo b.

4.7 TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS

4.7.1 Técnicas
Para la recolección de datos se usará:
 Aplicación directa de encuestas y entrevistas
4.7.2 Instrumentos
Para la recolección de datos se usará:
 Formatos de encuestas y Cuestionarios

4.8 ESTRATEGIA DE ESTUDIO

Se va aplicar netamente la técnica de lógica borrosa partiendo desde la
Borrosificación (funciones de pertenencia, variables lingüísticas), Inferencia
borrosa o mecanismo de inferencia (una de las Implicaciones, reglas
borrosas) y Desborrosificación (una de las técnicas de desborrosificación).

El procedimiento de la investigación será el siguiente:

 Elaboración del plan de tesis.

 Revisión de bibliografía más exhaustiva.
 Diseño y validación de instrumentos para la muestra poblacional (pre
prueba).
 Recolección, procesamiento y análisis de los datos (pre prueba).
 Desarrollo del Modelo Difuso.
 Validación del modelo Difuso (post prueba).
 Redacción del Informe de tesis.

62
 CAPITULO V: RESULTADOS

6. 5.1 Modelamiento Casos de Uso y Diagrama de Base de Datos

7. 5.1.1 Diagrama de Casos de Uso
8.
9. En esta fase se estudiaron los requerimientos de la aplicación web y se realizó
el modelo de casos de uso de la aplicación web. La Figura 1 muestra el
diagrama de casos de uso para la aplicación web.
10.
11. Figura 17 Diagrama de Casos de Uso

12.
13.
14.

63
15. 5.1.2 Diagrama de Paquetes

16. En la Figura 2 se muestra el modelo de diseño de la aplicación web

estructurado en paquetes. En la Figura 3 los paquetes Manipular Datos de
Empresa y Manipular Datos de Responsables incluyen las operaciones básicas
de Inserción, Eliminación, Modificación y Consulta. En la Figura 4 el paquete de
Generar Reporte incluye la ejecución y visualización de resultados de las
consultas difusas. El paquete Llenar Encuesta corresponde a la visión del
responsable.

Figura 18 Modelo de Diseño

17.

64
 18. Figura 19 Modelo de Diseño – Paquete de Actividad
Administrador
19.

20. Figura 20 Modelo de Diseño – Paquete de Actividad Responsable

21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.

33.
34.
35.

65
36. 5.1.3 Diagrama de Base de Datos
37. En esta fase se estudiaron los requerimientos de la aplicación web y se realizó el
diagrama de base de datos de la aplicación web. La Figura 5 muestra el
diagrama de base de datos para la aplicación web.

38. Figura 21 Diagrama de Base de Datos

39.
40.

66
 5.2 MODELAMIENTO MATEMÁTICO
Se tendrá en cuenta las funciones de pertenencia recomendada en la teoría
de lógica difusa, tanto para las variables difusas de entrada como de salida
para el modelo difuso.

5.2.1 Variable de entrada

Se seleccionó la función de pertenencia tipo triangular para las

variables de impacto y probabilidad con solapamiento equidistantes. A
continuación se muestra el modelo para estas dos variables

Variable Impacto

μ(X)
Menor Regular Significativo Importante Mayor

X= Impacto
0 16.67 33.34 50.01 66.6 83.35 100
8

Figura 22 Función de pertenencia tipo Triangular

67
( )

( )

68
 ( )

( )

( )

69
5. Variable probabilidad

μ(X)
Poco Muy
Raro Probable Probable Probable Casi Seguro

X= Probabilidad
0 16.67 33.34 50.01 66.6 83.35 100
8

70
( )

( )

( )

( )

71
 ( )

5.2.2 Variable de salida

Para la variable de salida que es la evaluación del riesgo se utilizó la

función de pertenencia tipo triangular sin solapamiento

μ(X)
Muy Baja Baja Moderada Alta Extrema

X= Severidad (%)
0 20 40 60 80 100

( )

72
( )

( )

( )

( )

73
 5.2.3 Reglas difusas

A continuación se muestra las reglas difusas para este modelo.

1 Si (Probabilidad es raro) y (Impacto es menor) entonces Evaluación es muy bajo

2 Si (Probabilidad es raro) y (Impacto es regular) entonces Evaluación es muy bajo
3 Si (Probabilidad es raro) y (Impacto es significativo) entonces Evaluación es muy bajo
4 Si (Probabilidad es raro) y (Impacto es importante) entonces Evaluación es bajo
5 Si (Probabilidad es raro) y (Impacto es mayor) entonces Evaluación es moderado

6 Si (Probabilidad es poco probable) y (Impacto es menor) entonces Evaluación es muy bajo

7 Si (Probabilidad es poco probable) y (Impacto es regular) entonces Evaluación es muy bajo
8 Si (Probabilidad es poco probable) y (Impacto es significativo) entonces Evaluación es bajo
9 Si (Probabilidad es poco probable) y (Impacto es importante) entonces Evaluación es moderado
10 Si (Probabilidad es poco probable) y (Impacto es mayor) entonces Evaluación es alto

11 Si (Probabilidad es probable) y (Impacto es menor) entonces Evaluación es muy bajo

12 Si (Probabilidad es probable) y (Impacto es regular) entonces Evaluación es bajo
13 Si (Probabilidad es probable) y (Impacto es significativo) entonces Evaluación es moderado
14 Si (Probabilidad es probable) y (Impacto es importante) entonces Evaluación es alto
15 Si (Probabilidad es probable) y (Impacto es mayor) entonces Evaluación es alto

16 Si (Probabilidad es muy probable) y (Impacto es menor) entonces Evaluación es bajo

17 Si (Probabilidad es muy probable) y (Impacto es regular) entonces Evaluación es moderado
18 Si (Probabilidad es muy probable) y (Impacto es significativo) entonces Evaluación es alto
19 Si (Probabilidad es muy probable) y (Impacto es importante) entonces Evaluación es alto
20 Si (Probabilidad es muy probable) y (Impacto es mayor) entonces Evaluación es extrema

21 Si (Probabilidad es casi seguro) y (Impacto es menor) entonces Evaluación es moderado

22 Si (Probabilidad es casi seguro) y (Impacto es regular) entonces Evaluación es alto
23 Si (Probabilidad es casi seguro) y (Impacto es significativo) entonces Evaluación es alto
24 Si (Probabilidad es casi seguro) y (Impacto es importante) entonces Evaluación es extrema
25 Si (Probabilidad es casi seguro) y (Impacto es mayor) entonces Evaluación es extrema

74
5.3 MODELAMIENTO EN FUZZY TOOLBOX DE MATLAB
(IMPLEMENTACIÓN EN SIMULINK)

En esta fase se realizó el modelamiento del sistema difuso utilizando la

herramienta fuzzy toolbox de Matlab dentro la cual hemos elegido el modelo
Mamdani para este sistema difuso. La Figura 23 muestra el modelamiento
del sistema difuso.

Figura 23 Modelamiento del Sistema Difuso en Fuzzy Toolbox de Matlab

75
Figura 24 Variable de entrada Probabilidad con función de pertenencia
triangular

Figura 25 Variable de entrada Impacto con función de pertenencia

triangular

76
Figura 26 Variable de salida Severidad con función de pertenencia
triangular

Figura 27 Reglas del Modelo del sistema difuso

77
 Figura 28 Vista de las reglas del Modelo del sistema difuso

Figura 29 Vista en 3D de las reglas del Modelo del sistema difuso

78
5.4 DESARROLLO DE LA APLICACIÓN WEB PARA MEJORAR
EVALUACIÓN DE RIESGOS TI

Figura 30 Ventana principal de la aplicación web

Figura 31 Ventana donde el administrador procede a registrar la empresa

79
Figura 32 Ventana donde el administrador procede a registrar a los
responsables

Figura 33 Ventana donde el administrador procede a llenar Encuesta

80
Figura 34 Ventanas donde el administrador podrá visualizar los distintos
reportes gráficamente intuitivos

81
82
83
 CAPITULO VI: VALIDACIÓN DE LA HIPÓTESIS

6.1 CONTRASTACIÓN DE LA HIPÓTESIS:

La contrastación de hipótesis se realizó con el método propuesto en el capítulo
IV– Materiales y Métodos (PreTest - PostTest) para así poder aceptar o
rechazar la hipótesis. Así mismo para la realización de este diseño se
identificaron indicadores cualitativos y cuantitativos para evaluar el
rendimiento del modelo actual y el software de aplicación web propuesto.
Entiéndase como modelo actual al proceso de evaluar los riesgos T.I mediante
encuestas en papel, como se viene desarrollando en la Universidad Nacional
del Santa. Mientras que en el software de aplicación web propuesto nos
referimos a la aplicación web basada en lógica difusa para mejorar la
evaluación de los riesgos T.I en la Oficina de Tecnologías de Información y
Comunicaciones de la Universidad Nacional del Santa. Para esto se realizó una
prueba por cada indicador; las cuales fueron:

Ho: El Software de aplicación web basado en Lógica Difusa, permite mejorar la

Evaluación de riesgos T.I en la OTIC de la Universidad Nacional del Santa.

Ha: El Software de aplicación web basado en Lógica Difusa, no permite

mejorar la Evaluación de riesgos T.I en la OTIC de la Universidad Nacional del
Santa.

84
6.1.1 Validación de datos de encuesta para evaluar riesgo 1 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

85
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

86
d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

87
6.1.2 Validación de datos de encuesta para evaluar riesgo 2 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

88
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

89
d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

90
6.1.3 Validación de datos de encuesta para evaluar riesgo 3 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

E. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

F. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

G. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

H. Resultados de las Hipótesis Estadísticas:

e. Promedio:
Remplazando valores:

91
f. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

g. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

92
h. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

93
6.1.4 Validación de datos de encuesta para evaluar riesgo 4 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

94
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

95
d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

96
6.1.5 Validación de datos de encuesta para evaluar riesgo 5 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

97
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

98
d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

99
6.1.6 Validación de datos de encuesta para evaluar riesgo 6 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

100
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

101
d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

102
6.1.7 Validación de datos de encuesta para evaluar riesgo 7 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

103
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

104
d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

105
6.1.8 Validación de datos de encuesta para evaluar riesgo 8 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

106
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

107
d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

108
6.1.9 Validación de datos de encuesta para evaluar riesgo 9 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

109
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

110
d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

111
6.1.10 Validación de datos de encuesta para evaluar riesgo 10 de T.I.

Para esto se empleó una encuesta de 10 preguntas (Riesgos T.I), tanto

antes como después del nuevo software de aplicación web basado en
lógica difusa.

Severidad (S)

A. Definición de variables:
: Severidad de Riesgo con el modelo Actual.

: Severidad de Riesgo con el modelo Propuesto.

B. Nivel de Significancia:
Usando un nivel de significancia (α = 0.05) del 5%. Por lo tanto el
nivel de confianza (1-α = 0.95) será del 95%.

C. Valores Tabulados:
Para calcular la probabilidad de riesgo T.I ha estimado una muestra
de 7 trabajadores encuestados.
(Ver Anexo 06 inciso 6.1)

D. Resultados de las Hipótesis Estadísticas:

a. Promedio:
Remplazando valores:

112
b. Varianza:
n

 ( x  x)
i 1
i
2

n .......................................... ………(1.1)
Dónde:
= Desviación Estándar
= El dato i – esimo
̅ = Promedio.
= Numero de datos.

Remplazando valores en la fórmula (1.1), se obtiene:

c. Hipótesis sobre la varianza:

: V [Modelo Propuesto] = V [Modelo Real]

: V [Modelo Propuesto] ≠V [Modelo Real]

De la tabla estadística con 7 grados de libertad con un nivel

de rechazo del 5% es Fc = 1.895, como resultado tenemos
que F0 < Fc, Ya que F0 es menor que Fc, se asume que los
datos del modelo propuesto tiene la misma variancia que el
modelo real.

113
 d. Hipótesis sobre la media:
: µ [Modelo Propuesto] = µ [Modelo Real]

: µ [Modelo Propuesto] ≠ µ [Modelo Real]

(̅ ̅ )
........................................... (1.2)
√ √

Remplazando valores en la fórmula (1.2), se obtiene

( )
( ) ( )
√[ ( )]

De la tabla estadística con 7 + 7 – 2 = 12 grados de libertad

con un nivel de rechazo del 5% tenemos que tc = 1.782,
como resultado tenemos que t0 < tc, entonces se acepta los
datos de salida del modelo propuesto y se asume que su
media de sus datos son iguales.

Conclusión General:

Puesto que los resultados han arrojado valores similares tanto en

varianza como en la media, se acepta el modelo propuesto con un
nivel de error de 5%.

114
 CAPITULO VII: DISCUSIÓN

7.1 CONCLUSIONES
La implementación del Software de aplicación web basado en lógica difusa,
mejoró la evaluación de riesgos en tecnologías de información, en la Oficina de
Tecnologías de Información y Comunicaciones de la Universidad Nacional del
Santa.

 El Software propuesto ha arrojado valores semejantes tanto en varianza

como en la media, por lo que podemos concluir que esta propuesta de
software de aplicación web basado en lógica difusa sirve como una
herramienta TI para mejorar la evaluación de riesgos en Tecnologías de
Información.

 Al aplicar la teoría de la lógica difusa para mejorar la evaluación de los

riesgos en Tecnologías de Información, produce y ofrece datos más
cercanos que la metodología tradicional.

 La herramienta toolbox de lógica difusa de Matlab, permite la simulación

de un sistema difuso de una manera rápida, intuitiva, estructurada,
sencilla y de fácil entendimiento.

 Se ha desarrollado un modelamiento matemático para relacionar las

variables de entrada como las variables de salida.

 Actualmente la lógica difusa se utiliza como una alternativa importante

para el desarrollo de modelos y sistemas basados en el conocimiento, los
cuales sirven como una herramienta de apoyo a la toma de decisiones.

 La lógica difusa está relacionada al mundo humano, por lo cual esta tesis
servirá de guía para el planteamiento de futuros proyectos.

115
7.2 RECOMENDACIONES

Al término del presente informe se recomienda lo siguiente:

 Se puede mejorar este software y utilizarlo para analizar los riesgos en

Tecnologías de Información que se luego serán evaluados.

 Se puede utilizar otras funciones de pertenencia y puede dar mejores

resultados.

 Investigar sobre el uso de otras técnicas como algoritmos genéticos o

redes neuronales aplicadas al análisis y evaluación de riesgos en
Tecnologías de Información, que permitan la inclusión de nuevos
parámetros o eliminar restricciones del software.

 Desarrollar una reunión cada primer lunes de mes, para que la jefatura de
la OTIC evalué con los coordinadores de cada unidad los planes de
tratamiento que se están aplicando a los riesgos de los reportes gráficos
como alto o extremo, con el objetivo de actualizarlos y si se considera que
es factible, mejorarlos para mitigar el riesgo.

116
 BIBLIOGRAFÍA

 Caños Daros, L. (s.f.). AEPUMA. Recuperado de

www.uv.es/asepuma/recta/ordinarios/6/6-2.pdf
 Cenzo, R. (2001). Administración de Recursos Humanos .Limusa.
 Davenport, T. (2006).Capital Humano: “Creando Ventajas competitivas
atraves de las personas”. Deusto.
 Dessler, G. (2000). Administracion de Personal- Prentice-Hall.
 (Navarrete Leal & Ninaquispe Matame, 2014). Implementación de una
aplicación web en línea para mejorar el proceso de matrícula de los alumnos
de pregrado de la universidad nacional del santa empleando las tecnologías
jpa y jsf.
 (Kirvan, Guía de evaluación de riesgos de TI, 2013).
 (Kirvan, SearchDataCenter en Español, 2013).
 (Ferrer Olivares, 2013). COBIT 5 Gobierno y Gestión de TI.
 (Garcia Morales & Ochoa, 2014). Resumen técnico: MAGERIT.
 Jiménez Cordero, L. (2008). Unidad de Riesgo de Seguridad; Centro de
Informática, UCR. Obtenido de
http://ci.ucr.ac.cr/sites/default/files/informaciondigital/por_qu%C3%A9_analisis
_de_riesgo_en_ti_(art35a-ci)_v1-0.pdf
 Martins, B. (2002).Redes Neuronales y Sistemas Difusos. Alfaomega.
 Navarro, J., & D. de Quijano, S. (s.f.). Psicothema 2003. Obtenido de
http://www.psicothema.com/pdf/1118.pdf
 Angarita, A.A., Tabares, C.A. y Rios, J.I. (2015) Definición de un modelo de
medición de análisis de riesgos de la seguridad de la información aplicando
lógica difusa y sistemas basados en el conocimiento.
 (Ramírez R., 2014). Auditoría a la Gestión de las Tecnologías y Sistemas de
Información, Lima – Perú. Recuperado de
http://revistasinvestigacion.unmsm.edu.pe/index.php/idata/article/view/6017
 (Montes Aliaga, 2014). Automatización de un Horno Eléctrico de Esterilización
Médica, Lima – Perú. Recuperado de

117
 http://revistasinvestigacion.unmsm.edu.pe/index.php/electron/article/view/324
6
 (Moscoso Alarcon, 2014). Automatización del Sistema de Alimentación de
agua hacia calderas usando un control PID, con una alternativa en control
fuzzy en el entorno grafico labview, Arequipa – Perú. Recuperado de
http://tesis.ucsm.edu.pe/repositorio/handle/UCSM/4682
 (Ruiz de Somocurcio Salas, 2008). Control de Tráfico Vehicular Automatizado
Utilizando Lógica Difusa, Lima – Perú. Recuperado de
http://cybertesis.urp.edu.pe/handle/urp/85
 (Salas Cervantes, 2006). Control Difuso PID de un Sistema de Control para
una grúa puente, Arequipa – Perú. Recuperado de
http://tesis.ucsm.edu.pe/repositorio/handle/UCSM/4227
 (Ugarte Díaz, 2016). Desarrollo de un controlador inteligente para un bastidor
de osmosis inversa de una planta desalinizadora de agua de mar, Lima -
Perú. Recuperado de
http://tesis.pucp.edu.pe/repositorio/handle/123456789/6954
 (Guevara Cáceres, 2014). Desarrollo de una propuesta metodológica de
Auditoría de Data Center dirigido a Medianas Empresas en la ciudad de
Arequipa, Arequipa – Perú. Recuperado de
http://tesis.ucsm.edu.pe/repositorio/handle/UCSM/4653
 (Baca Berrío, 2013). Diseño de sistema de cálculo de tiempo de exposición
aplicado a un sistema de adquisición de imágenes multiespectrales, Lima -
Perú. Recuperado de
http://tesis.pucp.edu.pe/repositorio/handle/123456789/5310
 (Vilela López, 2009). Diseño de un modelo de estimación del oxígeno disuelto
en el estanque de crianza de tilapias de la PUCP usando lógica difusa, Lima -
Perú. Recuperado de
http://tesis.pucp.edu.pe/repositorio/handle/123456789/250
 (Gonzáles Chávez, 2013). Diseño del sistema de control de un Robot Tipo
PUMA utilizando LÓGICA DIFUSA, Lima - Perú. Recuperado de
http://cybertesis.urp.edu.pe/handle/urp/423

118
 (Palacios Ambrocio, 2015). Diseño e implementación de un sistema de control
difuso a una columna de destilación, Chimbote - Perú. Recuperado de
http://servicios.uss.edu.pe/ojs/index.php/ING/article/view/105
 (Vilca Contreras, 2011). Diseño e implementación de un sistema de control
difuso de agua temperada de uso doméstico, Lima - Perú. Recuperado de
http://tesis.pucp.edu.pe/repositorio/handle/123456789/867
 (BALUARTE HURTADO, 2015). Diseño e implementación de un sistema de
video inteligente para el seguimiento de patrones, Arequipa – Perú.
Recuperado de http://tesis.ucsm.edu.pe/repositorio/handle/UCSM/3006

 (Aredo, 2014). El Método de Superficie de Respuesta y el Modelamiento

Difuso en el desarrollo de una galleta con semillas de chía (Salvia Hispánica
L.), Trujillo – Perú. Recuperado de
http://revistas.unitru.edu.pe/index.php/agroindscience/article/view/694
 (Nizama Reyes, 2015). Evaluación de la seguridad para el personal
informático y usuarios de sistemas en la Municipalidad Provincial de Piura,
Piura – Perú. Recuperado de
http://revistas.uladech.edu.pe/index.php/increscendo-
ingenieria/article/view/888
 (Ruelas Santoyo, 2015). Evaluación del deterioro presente en conductores de
acero al carbón mediante un sistema inteligente, Lima - Perú. Recuperado de
http://revistasinvestigacion.unmsm.edu.pe/index.php/idata/article/view/12103
 (Rayme Serrano, 2007). Gestión de seguridad de la información y los
servicios críticos de las universidades: un estudio de tres casos en Lima
Metropolitana, Lima - Perú. Recuperado de
http://cybertesis.unmsm.edu.pe/xmlui/handle/cybertesis/428
 (Alcantára Flores, 2015). Guía de implementación de la seguridad basado en
la norma ISOIEC27001, para apoyar la seguridad en los sistemas
informáticos de la Comisaria del Norte P.N.P. en la ciudad de Chiclayo,
Chiclayo - Perú. Recuperado de
http://tesis.usat.edu.pe/jspui/handle/123456789/491

119
 (Huamán Bustamante, 2007). Implementación de un controlador difuso de
temperatura prototipo usando la inferencia difusa de Takagi Sugeno, Lima -
Perú. Recuperado de http://cybertesis.uni.edu.pe/handle/uni/876
 (Rivera León, 2014). La seguridad y confiabilidad de los datos en los sistemas
de información computarizada, Lima - Perú. Recuperado de
http://revistasinvestigacion.unmsm.edu.pe/index.php/administrativas/article/vie
w/8763
 (Cevallos Ampuero, 2015). Metodología de optimización de la calidad de
productos, Lima - Perú. Recuperado de
http://revistasinvestigacion.unmsm.edu.pe/index.php/idata/article/view/12105
 (Kraenau Espinal, 2016). Métrica difusa para la evaluación del desempeño en
la gestión por procesos, Lima - Perú. Recuperado de
http://revistasinvestigacion.unmsm.edu.pe/index.php/idata/article/view/12063
 (Zuloaga Cachay, 2015). Modelo heurístico dinámico con lógica difusa para
mejorar la gestión en empresas molineras de arroz cáscara de Lambayeque,
Chiclayo - Perú. Recuperado de
http://servicios.uss.edu.pe/ojs/index.php/tzh/article/view/279
 (Alvarado Castillo, 2013). Propuesta de un modelo de auditoría informática
basado en el modelo COBIT para evaluar la gestión de los sistemas y
tecnologías de información de la Universidad Nacional Pedro Ruiz Gallo,
Lambayeque - Perú. Recuperado de
http://servicios.uss.edu.pe/ojs/index.php/tzh/article/view/279
 (Bances Santamaría, 2015). Semáforos inteligentes para la regulación del
tráfico vehicular, Pimentel - Perú. Recuperado de
http://servicios.uss.edu.pe/ojs/index.php/ING/article/view/113
 (Vega Huerta, 2014). Simulación de conducción de un móvil usando lógica
difusa, Lima - Perú. Recuperado de
http://revistasinvestigacion.unmsm.edu.pe/index.php/sistem/article/view/3208
 (Hidalgo Herencia, 2012). Sistema automático de estabilización para un
vehículo submarino operado remotamente utilizando visión por computadora,
Lima - Perú. Recuperado de
http://tesis.pucp.edu.pe/repositorio/handle/123456789/1752

120
 (Leiva Povis, 2010). Sistema experto Kalm para el mantenimiento preventivo
correctivo en la red telefónica peruana, Lima - Perú. Recuperado de
http://cybertesis.uni.edu.pe/handle/uni/136
 (Maguiña Pérez, 2014). Sistemas de inferencia basados en Lógica Borrosa
Fundamentos y caso de estudio, Lima - Perú. Recuperado de
http://revistasinvestigacion.unmsm.edu.pe/index.php/sistem/article/view/3270

 (Tejada Muñoz, 2014). Tutorial de Lógica Fuzzy, Lima - Perú. Recuperado de

http://revistasinvestigacion.unmsm.edu.pe/index.php/electron/article/view/442
6
 (De la Cruz Lázaro, Espinoza Limaylla, Mizuno Inafuko, Sotelo Bedòn, &
Vidaurre Gastelú, 2014). Un modelo difuso para el diagnóstico de alumnos
universitarios con bajo rendimiento, Lima - Perú. Recuperado de
http://revistasinvestigacion.unmsm.edu.pe/index.php/sistem/article/view/6326
 (Paredes Larroca, 2012). Vehículo aéreo no tripulado basado en control de
lógica difusa, Lima - Perú. Recuperado de
http://cybertesis.uni.edu.pe/handle/uni/1137

121
 ANEXOS
ANEXO Nro. 01: Estudio de Factibilidad

1. Factibilidad Técnica
Actualmente la Universidad Nacional del Santa cuenta con el equipo necesario
para poder llevar a cabo el proyecto por lo tanto no es necesario adquirir
nuevos equipos informáticos.
Por lo expuesto el proyecto si es técnicamente factible.

2. Factibilidad Operativa

 Según Facilidad de uso

o Modelo Actual: Se realiza la encuesta manualmente
o Modelo Propuesto: Al implementar el software de aplicación web
basado en lógica difusa la evaluación de riesgos T.I seria Automático.

 Según Escalabilidad
o Modelo Actual:
o Modelo Propuesto: El software de aplicación web basado en lógica
difusa para mejorar la evaluación de riesgos T.I se puede ampliar
fácilmente para otros tipos de casos futuros.

 Según la Flexibilidad
o Modelo Actual:
o Modelo Propuesto: El software de aplicación web basado en lógica
difusa para mejorar la evaluación de riesgos T.I se puede modificar y
agregar fácilmente más módulos.

Por lo expuesto el proyecto si es operativamente factible.

122
3. Factibilidad Económica

a. Hardware

Tabla 2 Costo hardware

DESCRIPCIÓN CANTIDAD DISPONIBLE SUBTOTAL (S/.)
Computadora Core 2 Quad
1 SI 0.00
2.66 Ghz 4 GB de RAM
Impresora Láser Jet 3050 1 SI 0.00
Grabador DVD 1 SI 0.00
TOTAL (S/.) S/. 0.00

b. Software

Tabla 3 Costo software

DESCRIPCIÓN CANTIDAD DISPONIBLE SUBTOTAL (S/.)
MySQL 5 1 SI 0.00
PHP 5 1 SI 0.00
Matlab por una Licencia 1 SI 600.00
TOTAL (S/.) S/. 600.00

c. Mobiliario

Tabla 4 Costo mobiliario

DESCRIPCIÓN CANTIDAD DISPONIBLE SUBTOTAL (S/.)
Mueble para PC 2 SI 0.00
Silla giratoria 2 SI 0.00
TOTAL (S/.) S/. 0.00

123
3.1 Beneficios

a. Beneficios tangibles
El software de aplicación web basado en lógica difusa para mejorar
la evaluación de riesgos T.I generará beneficios económicos al
reducir el uso de material de escritorio y personal al momento de
realizar la encuesta, puesto que ya no se hará en cada unidad de la
OTIC

 Ahorro por gasto de Material de Escritorio

Tabla 5 Material de Escritorio

Descripción Cantidad P. Unitario Costo(S/.)
Papel bond A4 6 Millares 24.00 144.00
Tinta o cartucho color Negro 30 Cartuchos 50.00 1 500.00
Grapas 24 Unidades 3.00 72.00
Lapicero 24 Unidades 1.50 36.00
Total Materiales(S/.) 1752.00

 Ahorro en gasto por Personal Administrativo

- Personal de OTIC (Servicio Técnico)

Tabla 6 Gasto Personal de Servicio Técnico

Trabajador: Personal de OTIC

Sueldo Mensual Horas al mes Sueldo/Hora
1035.00 240 4.3125

124
 Tabla 7 Ahorro en gasto por Personal de Servicio Técnico
Actividad de Trabajador Ahorro Anual
Horas S/.
Estimadas
Mantenimiento PC 100.00 431.25
Mantenimiento Impresora 50.00 215.625
Pasar las encuestas de papel a PC 50.00 215.625
TOTAL 200.00 862.50

CUADRO RESUMEN DE AHORRO ANUAL

Tabla 8 Resumen de Ahorro Anual
Área Ahorro Anual
Personal de Servicio Técnico 862.50
TOTAL 862.50

Total Beneficio tangible = S/.1 752.00 + S/.862.50= S/.2 614.50

b. Beneficios intangibles
 Mejora de la imagen institucional
 Mejor evaluación de riesgos en T.I
 Menor tiempo en realizar las encuestas.
 Integración la Información.

TOTAL BENEFICIOS = S/. 2 614.50

3.2 Conclusión
Dado los resultados obtenidos en el punto anterior donde se satisface
las tres evaluaciones de factibilidad, se concluye que el software de
aplicación web basado en lógica difusa para mejorar la evaluación de
riesgos en Tecnologías de Información en la Oficina de Tecnologías de
Información y Comunicaciones de la Universidad Nacional del Santa es
Factible.

125
 ANEXO Nro. 02: Estimación del Tamaño de la Muestra

POBLACIÓN
En nuestro estudio hemos considerado como población al total de trabajadores
administrativos de la OTICde la Universidad Nacional del Santa.

MUESTRA

La fórmula para calcular la estimación de la muestra es:

Dónde:

n: representa la muestra; es la cantidad representativa de personas de la población que

queremos estudiar, también definido como el número de encuestas que vamos a realizar o el
número de personas a quien vamos a encuestar.

N: representa la población; es el grupo de personas con quienes se va a realizar el

estudio; es decir nuestro público objetivo.

Z: nivel de confianza; establece la confiabilidad de los resultados, normalmente se estila

utilizar un nivel de confianza del 95% (z=1.96) o 90% (z = 1.65). A mayor nivel de confianza
mayor será la confiabilidad de resultados, pero también será mayor el tamaño de la muestra,
en otras palabras debemos encuestar a mayor cantidad de personas.

e: grado de error; mide el porcentaje de error que puede haber en los resultados. Lo
habitual es utilizar un grado de error del 5% o 10%. A menor margen de error mayor validez
tendrán los resultados, pero mayor será el tamaño de la muestra; en otras palabras nuestra
cantidad de personas a encuestar será mayor.

p: probabilidad de ocurrencia; probabilidad de ocurrencia de un evento. Usualmente se

utiliza una probabilidad del 50%.

q: probabilidad de no ocurrencia; probabilidad de que no ocurra un evento. Lo normal

es utilizar una probabilidad de no ocurrencia del 50 %.La probabilidad de ocurrencia
sumada a la probabilidad de no ocurrencia debe ser igual al 100% (p + q=100%).

126
Al aplicar la fórmula del tamaño de la muestra tenemos:

o Población (N): 10
o Nivel de confianza (95%, Z): 1.96
o Grado de error (e): 0.05
o Probabilidad de Ocurrencia (p): 0.50
o Probabilidad de no Ocurrencia (q): 0.50
( ) ( )( )( )
( )( ) ( ) ( )( )

Finalizando tenemos n= 10personas.

127
 ANEXO Nro. 03: Código Fuente de la Aplicación Web

5.1. Script de conexión a la base de datos desde php

<?php

//Nos conectamos a mysql

$conn=mysql_connect("localhost","root","") or die("Error de conexion:

".mysql_error());

//Seleccionamos la base de datos

mysql_select_db("analisis",$conn) or die("Error al seleccionar DB: ".mysql_error());

//mostramos las palabras con tildes y palabras con “ñ” guardadas en la base de
datos

mysql_query("SET NAMES 'utf8'");

?>

5.2. Script de la página de inicio con acceso a todas opciones (Registrar

Empresa, Registrar Responsable, Llenar Encuesta y Visualizar los
Estadísticos)

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"

"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<title>Analisis de Riesgo</title>

<!-- Algo de CSS para personalizar la pagina -->

<link rel="stylesheet" href="css/plantilla.css">

128
 <script type="text/javascript" src="js/jquery-1.6.2.js"></script>
<script type="text/javascript" src="js/index.js"></script>

</head>
<body>
<div id="wrapper">
<!-- Titulo o encabezado -->
<div id="headerwrap">
<div id="header">
<h3><strong>SOFTWARE DE APLICACION WEB BASADO EN LÓGICA
DIFUSA, PARA MEJORAR LA EVALUACION DE RIESGOS EN </strong>T.I</h3>
</div>
</div>

<!-- Opciones de Menu -->

<div id="leftcolumnwrap">
<div id="leftcolumn">
<div id="menu8">
<ul>
<li><a href="index.php" >Inicio</a></li>
<li><a href="empresa/index.php" id="emp">Registrar
Empresa</a></li>
<li><a href="responsable/index.php" id="res">Registrar
Responsable</a></li>
<li><a href="#menuv" id="encu">Llenar Encuesta</a></li>
<!--<li><a href="#menuv" id="map">Mapa Térmico</a></li>-->
<li><a href="#menuv" id="esta">Estadisticas</a></li>
<!--<li><a href="grafica/grafica.html">Listar</a></li>-->
<!--<li><a href="#menuv" id="topdf">Exportar a PDF</a></li>-->

</ul>
</div>

129
 </div>
</div>

<!-- Contenido -->

<div id="contentwrap">
<div id="contenido">
Contenido: Evaluación de Riesgos T.I en PHP y algo de AJAX elemental.
<br /><br />
<center ><img src="img/1.png" width="605" /></center>
</div>
</div>
<?php include 'plantilla/footer.php';?>

5.3. Script de la página para el registro de Empresa

5.3.1 adicionar.php

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"

"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<title>Adicionar Persona</title>

<script type="text/javascript" src="../js/jquery-1.6.2.js"></script>

<script type="text/javascript" src="../js/registrar_empresa.js">

</script>

<link rel="stylesheet" href="css/plantilla.css">

</style>

130
</head>

<body>

<h3>Formulario registro de Empresa</h3>

<form id="frm_add" name="frm_add" method="post">

<table width="254" cellpadding="4">

<tr>

<td><label>Ruc:</label></td>

<td><input type="text" name="ruc" /></td>

</tr>

<tr>

<td><label>Nombre:</label></td>

<td><input type="text" name="nombre" /></td>

</tr>

<tr>

<td><label>Rubro:</label></td>

<td><input type="text" name="rubro" /></td>

</tr>

<tr>

<td><input type="button" id="enviar" name="enviar" value="Guardar" /></td>

<td><input type="reset" id="cancel" name="cancel" value="Cancelar" /></td>

</tr>

</table>

131
</form>

</body>

</html>

5.3.2 registrar_empresa,js

$(document).ready(function(){

//programamos el evento click del boton enviar del formulario

$("#enviar").click(function() {

//Variables del formulario

var ruc=frm_add.ruc.value;

var nom=frm_add.nombre.value;

var rubro=frm_add.rubro.value;

//preguntamos si no hay campos vacios

if(ruc!="" && nom!="" && rubro!="")

//Enviamos mediante el metodo post de JQuery

$.post("archivo.php",{parametros}, callback);

$.post("add_emp.php", {enviar:frm_add.enviar.value, ruc:ruc,

nombre:nom, rubro:rubro}, function(output){

//El parametro output, recibe como salida lo generado por el

script php

alert(output);

132
 //con esta linea limpiamos el formulario

document.frm_add.reset();

});

else

alert("Existe algun campo vacio!");

});

});

5.3.3 add_emp.php

<?php

//solicitamos archivo de conexion a mysql

require_once('../conf/connection.php');

//si an pulsado el boton de enviar

$enviar=$_POST["enviar"];

if(isset($enviar))

//grupo de variables enviadas mediante metodo post desde el formulario

$ruc=stripslashes($_POST["ruc"]);

$nombre=stripslashes($_POST["nombre"]);

$rubro=stripslashes($_POST["rubro"]);

133
 //comprobamos si la identidad personal de esta persona existe

//si existiera no haremos nada!. Mediante un query

$comprobar="select * from empresa where ruc=\"$ruc\"";

//Enviamos el query a Mysql mediante la funcion de PHP mysql_query()

$r_ide=mysql_query($comprobar,$conn) or die("Error en el query:

".mysql_error());

//Vemos si el query nos mando registros y cuantos mediante

mysql_num_rows()

$nr_ide=mysql_num_rows($r_ide);

//Es decir si devolvio registros

if($nr_ide>0)

//Mandamos un javascript con notificacion

echo "Este RUC: $ruc ya existe!";

//procedemos a guardar el registro

else

//Construimos el query!

$insertar="insert into empresa(ruc, nombre, rubro) values (";

$insertar.="\"$ruc\", \"$nombre\", \"$rubro\")";

//enviamos el query mediante la funcion mysql_query()

134
 mysql_query($insertar, $conn) or die("Error en el query:
".mysql_error());

mysql_close($conn);

echo "Registro almacenado con exito!";

//si no han pulsado el bonton enviar, suponemos que han cargado el archivo
adicionar.php

//y se mostrara el formulario! :)

else

echo "Intento ilegal de llamar al SCRIPT!";

?>

5.4. Script de la página para el Llenado de la Encuesta

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Aplicando Fuzzy Logic </title>
<script type="text/javascript" src="../js/jquery-1.6.2.js"></script>
<script type="text/javascript" src="../js/fuzzy_logic.js"></script>

</head>

<BODY>

135
<H3 align="Center" style="font-size:16px">Llenado de Encuestas por
Responsable</H3>
</br>

<form action="encuesta/add_enc.php" method="post">

<?PHP
include '../conf/connection.php';

//mostramos la lista de responsables

$sql="select id_responsable,apellidos,nombres from responsable";
$result2 = mysql_query($sql,$conn); //usamos la conexion para dar un
resultado a la variables
$num_rows=mysql_num_rows($result2);
$num = 0;

if ($num_rows > 0) //si la variable tiene al menos 1 fila entonces seguimos con
el codigo
{
$responsable="";
while ($row = mysql_fetch_array($result2))
{
$responsable .=" <option
value='".$row['id_responsable']."'>".$row['apellidos']."
".$row['nombres']."</option>"; //concatenamos el los options para luego ser
insertado en el HTML
}
}

?>

136
<div>
<table cellpadding="4" align="left">
<tr>
<td>
Seleccionar Responsable:
</td>
</tr>
<tr>
<td>
<select name="responsable[]" id = "id_res">
<option>Seleccione Responsable</option>
<?php echo $responsable; ?>
</select>
</td>
</tr>
</table>

<!--Inicio LEYENDA de Probabilidad-->

<table align="left" border="1" bordercolor="#CC0000" >
<tr>
<th colspan="5" style="font-size:14px">Cuadro Resumen Probabilidad</th>
</tr>
<tr align="center">
<td>N°</td>
<td>Descripcion</td>
<td>Min</td>
<td>Max</td>
</tr>

<?php

$sql="select * from probabilidad";

137
$result = mysql_query($sql,$conn); //usamos la conexion para dar un
resultado a la variables
$num_rows=mysql_num_rows($result);
$num = 0;
if($num_rows>0)
{

while($row = mysql_fetch_array($result))
{
echo "<tr>";
echo "<td>".$row['id_probabilidad']."</td>";
echo "<td>".$row['significado']."</td>";
echo "<td>".$row['minimo']."</td>";
echo "<td>".$row['maximo']."</td>";
echo "</tr>";
}
}
?>
</table>
<!--Fin LEYENDA de Probabilidad-->

<!--Inicio LEYENDA de Impacto-->

<table align="right" border="1" bordercolor="#CC0000" >
<tr>
<th colspan="5" style="font-size:14px">Cuadro Resumen Impacto</th>
</tr>
<tr align="center">
<td>N°</td>
<td>Descripcion</td>
<td>Min</td>
<td>Max</td>
</tr>

138
 <?php

$sql="select * from impacto";

$result = mysql_query($sql,$conn); //usamos la conexion para dar un
resultado a la variables
$num_rows=mysql_num_rows($result);
$num = 0;
if($num_rows>0)
{

while($row = mysql_fetch_array($result))
{
echo "<tr>";
echo "<td>".$row['id_impacto']."</td>";
echo "<td>".$row['significado']."</td>";
echo "<td>".$row['minimo']."</td>";
echo "<td>".$row['maximo']."</td>";
echo "</tr>";
}
}
?>
</table>
<!--Fin LEYENDA de Impacto-->
</div>

</br></br></br></br></br></br></br></br></br></br>
<?php
//mostramos las opciones de probabilidad
$sql="select * from probabilidad";
$result = mysql_query($sql,$conn); //usamos la conexion para dar un
resultado a la variables
$num_rows=mysql_num_rows($result);

139
$num = 0;

if ($num_rows > 0) //si la variable tiene al menos 1 fila entonces seguimos con
el codigo
{
$probabilidad="";
while ($row = mysql_fetch_array($result))
{
$probabilidad .=" <option
value='".$row['id_probabilidad']."'>".$row['significado']."</option>";
//concatenamos el los options para luego ser insertado en el HTML
}
}

//mostramos las opciones de impacto

$sql="select * from impacto";
$result = mysql_query($sql,$conn); //usamos la conexion para dar un
resultado a la variables
$num_rows=mysql_num_rows($result);
$num = 0;

if ($num_rows > 0) //si la variable tiene al menos 1 fila entonces seguimos con
el codigo
{
$impacto="";
while ($row = mysql_fetch_array($result))
{
$impacto .=" <option
value='".$row['id_impacto']."'>".$row['significado']."</option>"; //concatenamos
el los options para luego ser insertado en el HTML
}
}

140
//mostramos la lista de riesgos a ser evaluados
// Enviar consulta
$instruccion = "select id_riesgo, descripcion from riesgo";

// Mostrar resultados de la consulta

$r=mysql_query($instruccion,$conn) or die("Error en el query:
".mysql_error());
$n=mysql_num_rows($r);
//si hay registros los procesamos
if($n>0)
{
//recorremos el listado de registros mediante un
while
//tomando los datos del mysql_query y procesarlos
como arreglos
//mediante mysql_fetch_assoc()!

echo "<table border=\"1\" cellpadding=\"4\"

bordercolor=\"#CC0000\">";
echo "<tr align=\"center\">";
echo "<td>Nº</td>";
echo "<td>RIESGO</td>";
echo "<td>PROBABILIDAD</td>";
echo "<td>RANGO</td>";
echo "<td>IMPACTO</td>";
echo "<td>RANGO</td>";
echo "</tr>";
while($row=mysql_fetch_assoc($r))
{
$i = 0;
$num =$num +1;

141
 //Procesamos cada registro como una fila de
tabla
echo "<tr>";
//$row["nomCampo"] estos nomCampo son
los campos devueltos por el
//query en la variable $r que procesa
mysql_fetch_assoc
echo "<td>".$num."</td>";
echo "<td style=\"display:none\"><input
style=\"width:55px\" type=\"hidden\" name=\"riesgo[]\"
value=\"".$num."\"></td>";
echo "<td>".$row["descripcion"]."</td>";
?>
<td>
<select id = "id_prob" name="id_prob[]">
<option>Seleccionar</option>
<?php echo $probabilidad; ?>
</select>
</td>
<?php
echo "<td><input style=\"width:75px\"
type=\"number\" step=\"any\" min=\"0\" max=\"100\" name=\"prob[]\"
maxlength=\"2\" required></td>";
?>
<td>
<select id = "id_imp" name="id_imp[]">
<option>Seleccionar</option>
<?php echo $impacto; ?>
</select>
</td>
<?php

142
 echo "<td><input style=\"width:75px\"
type=\"number\" step=\"any\" min=\"0\" max=\"100\" name=\"imp[]\"
maxlength=\"2\" required></td>";
echo "</tr>";
}
?>
<tr>
<td colspan="3" align="center"><input type="submit" id="enviar"
name="enviar" value="Calcular" /></td>
<td colspan="3" align="center"><input type="reset" id="cancel"
name="cancel" value="Cancelar" /></td>
</tr>
<?php
echo "</table>";
?>

<?php }
else
{
echo "No hubieron coincidencias!";
}
?>

</form>

143
 ANEXO Nro. 04: Tabulación de indicadores

6.1 Toma de datos para el Modelo Real

Datos de Modelo Real

ENCUESTA N° 1
N° Probabilidad Impacto Severidad
01 6 6 24
02 6 6 36
03 4 4 16
04 8 4 32
05 6 6 36
06 4 4 16
07 6 6 36
08 6 4 24
09 8 6 48
10 6 6 36

ENCUESTA N° 2
N° Probabilidad Impacto Severidad
01 4 2 8
02 2 2 4
03 2 2 4
04 6 4 24
05 4 4 16
06 2 2 4
07 4 4 16
08 4 2 8
09 4 4 16
10 4 2 8

144
 ENCUESTA N° 3
N° Probabilidad Impacto Severidad
01 6 8 48
02 8 6 48
03 2 8 16
04 8 8 64
05 6 9 48
06 4 6 24
07 8 10 80
08 4 4 16
09 4 6 24
10 8 4 32

ENCUESTA N° 4
N° Probabilidad Impacto Severidad
01 6 8 48
02 4 8 32
03 2 8 16
04 4 8 32
05 8 6 48
06 4 6 24
07 8 8 64
08 4 4 16
09 4 8 32
10 4 4 16

ENCUESTA N° 5
N° Probabilidad Impacto Severidad
01 4 4 16
02 2 2 4
03 4 4 16
04 8 2 16
05 6 4 24
06 2 2 4
07 10 8 80
08 4 2 8
09 2 6 12
10 4 10 40

145
 ENCUESTA N° 6
N° Probabilidad Impacto Severidad
01 4 8 32
02 4 8 32
03 4 6 24
04 8 8 64
05 6 8 48
06 6 6 36
07 8 6 48
08 6 6 36
09 8 8 64
10 8 8 64

ENCUESTA N° 7
N° Probabilidad Impacto Severidad
01 4 4 16
02 2 2 4
03 2 2 4
04 8 6 48
05 2 2 4
06 4 4 16
07 10 8 80
08 2 2 4
09 6 8 48
10 2 6 12

146
6.2 Toma de datos para el Modelo Propuesto

Datos de Modelo Propuesto

ENCUESTA N° 1
N° Probabilidad Impacto Severidad
01 45 30 10
02 40 45 38
03 30 30 34.3
04 65 30 38.8
05 40 45 41.8
06 30 30 38.8
07 45 40 44
08 50 45 45.7
09 70 45 58.1
10 40 45 54.7

ENCUESTA N° 2
N° Probabilidad Impacto Severidad
01 20 20 10
02 30 20 10
03 5 5 10
04 40 20 10
05 20 20 10
06 30 30 10
07 20 20 10
08 30 30 10
09 33 20 10
10 30 20 10

147
 ENCUESTA N° 3
N° Probabilidad Impacto Severidad
01 66 83 89,3
02 83 66 89.3
03 33 50 72.4
04 51 51 66
05 65 83 66
06 50 66 80.6
07 83 100 80.6
08 17 17 75.2
09 50 66 75.2
10 83 17 69.3

ENCUESTA N° 4
N° Probabilidad Impacto Severidad
01 50 75 70
02 25 80 58.2
03 15 80 56.7
04 25 80 58.2
05 80 50 61
06 25 50 55.2
07 25 40 56.1
08 25 40 56.1
09 25 80 56.1
10 25 40 56.1

ENCUESTA N° 5
N° Probabilidad Impacto Severidad
01 35 35 23.8
02 28 28 26.7
03 30 30 25.1
04 51 25 25.1
05 45 35 29.7
06 12 20 26.1
07 68 70 65.5
08 17 5 67.4
09 10 50 66.6
10 35 70 61.7

148
 ENCUESTA N° 6
N° Probabilidad Impacto Severidad
01 30 60 42.5
02 30 65 46.4
03 30 66 46.9
04 60 70 62.7
05 40 75 64.8
06 50 55 63.3
07 75 50 63.3
08 60 55 65.7
09 80 75 71.3
10 75 77 71.3

ENCUESTA N° 7
N° Probabilidad Impacto Severidad
01 20 18 10
02 17 20 10
03 15 20 10
04 65 34 44.4
05 15 20 44.4
06 17 20 44.4
07 75 55 61.5
08 2 15 65.1
09 50 52 65.1
10 20 35 60.6

149
6.3 Tabla de Resultados

Tabla 9 Tabla de resultados

DATOS MODELO ACTUAL DATOS MODELO PROPUESTO RESULTADOS

Ítem (Riesgo) SUMA MEDIA VARIANZA SUMA MEDIA VARIANZA F T
1 192,00 27,43 216,82 255,60 36,51 887,73 0,2442 -0,7228
2 160,00 22,86 291,27 278,60 39,80 683,33 0,4263 -1,4357
3 96,00 13,71 45,06 255,40 36,49 477,76 0,0943 -2,6359
4 280,00 40,00 310,86 305,20 43,60 367,80 0,8452 -0,3656
5 224,00 32,00 269,71 317,70 45,39 365,38 0,7382 -1,4058
6 124,00 17,71 113,63 318,40 45,49 475,09 0,2392 -3,0946
7 404,00 57,71 547,92 381,00 54,43 431,67 1,2693 0,2773
8 112,00 16,00 105,14 385,20 55,03 413,00 0,2546 -4,5365
9 244,00 34,86 314,12 402,40 57,49 414,70 0,7575 -2,2178
10 208,00 29,71 328,49 383,70 54,81 367,50 0,8939 -2,5172

SUMA 291,99 2543,02 469,04 4883,96

MEDIA 29,20 254,30 46,90 488,40
VARIANZA 155,91 18732,15 57,94 25638,28

150
ANEXO Nro. 05: Encuesta para evaluar los riesgos T.I

ENCUESTA A LOS TRABAJADORES DE LA OTIC

Año 2016

151
 ANEXO Nro. 06: Manual Del Registro De Matricula Web

UNIVERSIDAD NACIONAL DEL SANTA

MANUAL DE USUARIO DE LA APLICACIÓN WEB

BASADO EN LÓGICA DIFUSA, PARA MEJORAR LA
EVALUACION DE RIESGOS EN TECNOLOGIAS DE
INFORMACION, EN LA OFICINA DE TECNOLOGIAS
DE INFORMACION Y COMUNICACIONES DE LA
UNIVERSIDAD NACIONAL DEL SANTA

UNS

OFICINA DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES

Av. Pacífico 508 - Nuevo Chimbote; Teléfono: (51)-43-310445

152
 ÍNDICE

1. Inicio………………………………………………………………………… ....... - 154 -

2. Registrar Empresa …………………………………………………………. - 154 -
3. Registrar Responsable................................................ ………………..….. - 155 -
4. Llenar Encuesta ....................................................................................... ……. - 155 -
5. Visualizar Reportes……………………………………………………………. - 156 -

153
1. Inicio
Pantalla de presentación de la aplicación web, desde donde se puede acceder a
las opciones en la imagen inferior.

Figura 1: Ventana principal de la aplicación web

2 Registrar la empresa

Figura 2: Ventana donde el administrador procede a registrar la empresa

154
3 Registrar a los Responsables

Figura 3: Ventana donde el administrador procede a registrar a los responsables

4 Llenar Encuesta

Figura 4: Ventana donde el administrador procede a llenar Encuesta

155
5. Visualizar Reportes

Ventanas donde el administrador podrá visualizar los distintos reportes

gráficamente intuitivos.

156
157
158