“Año del Diálogo y la Reconciliación Nacional”.

INFLUENCIA DE UN PROGRAMA DE IMPLEMENTACIÓN DE LA

SEGURIDAD BASADO EN LA
NORMA ISO, PARA APOYAR LA SEGURIDAD EN LOS
SISTEMAS INFORMÁTICOS DE LA COMISARIA DEL NORTE P.N.P
EN LA CIUDAD DE CHICLAYO EN EL 2018

1
 Dedicatoria

A mis padres por ser el pilar fundamental en todo lo que soy, en toda mi
educación, tanto académica, como de la vida, por su incondicional apoyo
perfectamente mantenido a través del tiempo.
Todo este trabajo ha sido posible gracias a ellos.

2
INDICE
INTRODUCCIÓN ............................................................................................................................. 4
I. PLANTEAMIENTO DEL PROBLEMA ........................................................................................ 7
1.1 DESCRIPCION DE LA REALIDAD PROBLEMÁTICA ................................................................. 7
1.2 FORMULACION DEL PROBLEMA.......................................................................................... 7
1.3 JUSTIFICACION DE LA INVESTIGACION ................................................................................ 7
II. OBJETIVOS DE LA INVESTIGACION ........................................................................................ 9
2.1 OBJETIVO GENERAL ............................................................................................................. 9
2.2 OBJETIVO ESPECIFICO ......................................................................................................... 9
III. MARCO TEORICO ............................................................................................................... 9
3.1 ANTECEDENTES DE LA INVESTIGACION .............................................................................. 9
3.2 MARCO TEORICO ............................................................................................................... 11
3.2.1 Gestión de la Seguridad de la Información. .............................................................. 11
3.2.2 Aspectos Fundamentales en la Seguridad de la Información. ................................... 13
3.2.3 Gestión de Riesgos en la Seguridad Informática. ....................................................... 14
3.2.4 Sistema de Gestión de la Seguridad de la Información (SGSI). .................................. 15
3.2.5 Que se entiende por un SGSI...................................................................................... 16
3.2.6 Que Incluye un SGSI. .................................................................................................. 17
3.2.7 Gestión de la Seguridad de la Información. ............................................................... 18
3.2.8 Fases del Sistema de Gestión de Seguridad de Información. .................................... 19
3.2.9 Lista de Verificación de la Norma ISO 27001. ............................................................ 21
3.2.10 Como Implementar la ISO 27001. ....................................................................... 22
3.3 DEFINICION DE TERMINOS BASICOS ............................................................................. 24
IV. OPERACIONALIZACION DE VARIABLES E HIPOTESIS ....................................................... 24
V. METODOLOGIA DE LA INVESTIGACION ............................................................................... 25
5.1 TIPO DE INVESTIGACION ................................................................................................... 25
5.2 DISEÑO DE LA INVESTIGACION ......................................................................................... 25
5.3 POBLACION Y MUESTRA .................................................................................................... 25
5.4 INSTRUMENTOS DE RECOLECCION DE DATOS .................................................................. 26
VI. ASPECTO ADMINISTRATIVO ............................................................................................ 27
6.1 CRONOGRAMA DE ACTIVIDADES ...................................................................................... 27
LINKOGRAFIA........................................................................................................................... 29
ANEXO ..................................................................................................................................... 30

3
INTRODUCCIÓN

Actualmente, en las organizaciones es de suma importancia determinar si

los controles implementados son eficientes y suficientes, identificar las
causas de los problemas existentes en los sistemas de información y a su
vez las áreas de oportunidad que puedan encontrarse, identificando
causas y soluciones a problemas específicos de los sistemas de
información, que pueden estar afectando a la operación y a las estrategias
del negocio; así como las acciones preventivas y correctivas necesarias
para mantener a los sistemas de información confiables y disponibles.

Hoy en día las empresas privadas se han sistematizado y están utilizando

herramientas, equipos informáticos y personal capacitado para facilitar los
procesos de trabajo y obtener así un mayor rendimiento laboral. La
mayoría de estas empresas no le dan la suficiente importancia a la
auditoría de sistemas, creyendo que este tipo de herramienta no les
corresponde y lo ven como un gasto y no como una inversión; es por eso
que este enfoque es básico y necesario como es el de una Guía de
Implementación en la seguridad de sistemas información.

ISO/IEC 27001 es la única norma internacional auditable que define los

requisitos para un sistema de gestión de la seguridad de la información
(SGSI). La norma se ha concebido para garantizar la selección de
controles de seguridad adecuados y proporcionales. Ello ayuda a proteger
los activos de información y otorga confianza a cualquiera de las partes
interesadas, sobre todo a los clientes.

A través de una Guía de Implementación para la seguridad en las

aplicaciones se puede gestionar la tecnología de la información en las
entidades, a través de auditorías internas y externas. El presente trabajo
propone una Guía de Implementación que apoye a la seguridad de los
Sistemas de Información con la finalidad de medir los riesgos y evaluar
los controles en el uso de las tecnologías de información, haciendo uso de
técnicas y estrategias de análisis, que permitan una mejor gestión de
tecnologías de información, a disposición de las entidades públicas.

En la Entidad donde se desarrolla el presente trabajo de investigación,

Comisaria del Norte de la PNP de la ciudad de Chiclayo, se ha venido
trabajando diferentes enfoques que corresponden a Guías de
Implementación apoyadas a la seguridad de la Información; así se pudo
encontrar la siguiente situación problemática, la cual mencionaremos a
continuación especificando las causas que ocasionan estos
inconvenientes o problemas, los cuales citaremos a continuación:

4
 Del total del personal encuestado en la comisaria el 76% manifestó
que existe un alto grado de inseguridad en el uso de sus
aplicaciones. Esta inseguridad está reflejada en varios aspectos
como por ejemplo: desactualización de equipos, ausencia de
políticas de seguridad, activos vulnerables, etc.

 En lo que hace referencia al tiempo y uso de sus aplicaciones, de

acuerdo a la información recopilada en la comisaria cuentan por lo
menos entre 5 años a mas con el uso de sus aplicaciones, llámense
estas para registro de denuncias, investigaciones, donde se obtuvo
un 40% del personal encuestado que manifestó ese tiempo de uso
en las aplicaciones, excepto el nuevo sistema de denuncia policial
conocido como SIDPOL, el cual entró en vigencia hace un año.

 En lo que respecta a los equipos de cómputo con los que cuenta la

comisaria están desactualizados, y en algunos casos estos suelen
estar malogrados o inoperativos. Así también, en cuanto al
mantenimiento de los mismo se realizan anualmente; lo cual fue
manifestado por el 67% del total de encuestados.

 Solamente el 27% del personal es capacitado en algún curso o charla

correspondiente al uso de las nuevas tecnologías y aplicaciones en
informática, la causa presente es el deficiente nivel adecuado en las
capacitaciones esto genera un efecto en el personal no del todo
positivo ya que se limita en muchos casos el conocimiento. no a
todos se les brinda este nivel de capacitación, lo que genera en
muchos casos una inversión de los propios bolsillos de algunos
efectivos que no son beneficiados con las capacitaciones
correspondientes, para de alguna manera enterarse y actualizarse
por su propia cuenta.

 En lo que respecta a mecanismos de seguridad para las aplicaciones

y los sistemas, de acuerdo a la encuesta realizada el 80% hace uso
de los conocidos Antivirus como medios de protección, pero que a
su vez no son licenciados, sino versiones de prueba.

 En cuanto a las acciones o actividades que se toman en cuenta

frente a posibles problemas e inconvenientes que puedan
presentarse en los equipos, o activos de información en la institución.
Un 47% del total de encuestados coincidió que frente a estos
inconvenientes se contactan con un experto que no necesariamente
está dentro de la institución, un 23% los encuestados manifestó que
frente a esos inconvenientes se hace uso de un plan de contingencia.

5
 En lo que respecta al conocimiento de Políticas de seguridad,
Estrategias y niveles de riesgo enfocados a la institución. Un 93% de
los encuestados afirmó no conocer acerca de estos temas, por lo que
tan solamente un 7% conoce sobre los mismos.

 En cuanto al índice de fallas en las Aplicaciones, y los sistemas

informáticos de acuerdo a la encuesta el 53% manifestó que a veces
se suelen presentar fallas de seguridad, problemas con la
información, en cuanto a la disponibilidad, integridad, etc. o en otros
casos problemas técnicos muy puntuales, en las aplicaciones, como
por ejemplo la vulnerabilidad de las mismas.

 En cuanto a los motivos y causas que generan las fallas, demoras, e

inconvenientes en las aplicaciones que hace uso la comisaria, los
resultados que obtuvimos fueron dos motivos más resaltantes como
son: el problema de mayor recurrencia se manifestó en los equipos
desactualizados y en mal estado con un 53%, seguido de problemas
en la conexión y accedo a la red (internet) con un 47%. Estos
problemas encontrados se manifiestan en causas de carecimiento
de políticas, estrategias, y mecanismos de seguridad adecuados.
Toda esta problemática y causas se ven manifestadas en un efecto
que conlleva a deficiencias en el uso de las aplicaciones, los niveles
de seguridad vulnerables, etc. Cabe mencionar que no todo el local
de la comisaria cuenta con acceso a internet, solamente el área de
investigación, y aun así la velocidad es muy pobre tan solo 500
megas que no le son suficientes, mientras que las otras áreas no
cuentan con internet. Es por eso que algunos efectivos tienes que
llevar sus propias maquinas (laptops), para así agilizar el trabajo de
manera más eficiente en algunos casos.

6
I. PLANTEAMIENTO DEL PROBLEMA

1.1 DESCRIPCION DE LA REALIDAD PROBLEMÁTICA

Los policías muchas veces deben asociarse para contratar el servicio de

Internet. A esta realidad se suma que sólo 23 de las 114 comisarías en
la ciudad de Chiclayo tienen acceso a Reniec; cinco de cada diez al
sistema de requisitorias, y ninguna a la información de procesos
judiciales. Por esto, cuando se realiza un operativo de control de
identidad, estas dependencias deben esperar la información de una
unidad especializada.

¿Cómo ayudar en la mejora de la Seguridad de los Sistemas

Informáticos de la Comisaria del Norte en la Ciudad de Chiclayo?

1.2 FORMULACION DEL PROBLEMA

Como Objetivo General: Contribuir a mejorar el nivel de seguridad de la

Información, apoyado en la norma ISO, en la institución Policial
Comisaria del Norte – Chiclayo.

Como Objetivos Específicos tenemos a los siguientes:

 Mejorar el proceso utilizado para detectar anomalías en la seguridad

de la información.
 Disminuir los niveles de riesgos, respecto a los activos de información
considerados amenazas y vulnerabilidades.
 Mejorar el nivel de capacitación en temas de seguridad informática en
el personal.

1.3 JUSTIFICACION DE LA INVESTIGACION

La Justificación de la presente investigación se da en el ámbito

Tecnológico, Económico, Social, y Científico, las cuales se detallan a
continuación:

Tecnológica: Ya existen antecedentes orientados a este tipo de

investigación y en áreas especifica de las organizaciones, pero con otra
perspectiva y otro uso de metodologías. A través de esta investigación
se pretende hacer uso de las tecnologías estrictamente orientadas a la
7
seguridad de los sistemas de información, a la auditoria de los Sistemas
de información, ya que se pretende solucionar un problema en la
organización orientada al nivel de seguridad en el uso de sus sistemas
de información que manejan en sus actividades, generando como
consecuencia una mejora en el uso de las aplicaciones con mejores y
mayores niveles de seguridad en los sistemas de información
respectivamente.

Económica: A través del desarrollo de este tema de tesis, se pretende

ayudar en cierto modo a la organización, ya que cuenta con
inconvenientes en el nivel de seguridad y uso de sus sistemas de
información y en sus aplicaciones, con el desarrollo de la siguiente guía
se podrían obtener beneficios económicos a través de las políticas
destinadas y orientadas a mejorar esa realidad existente de la
institución.

Social: Entre los factores, por los cuales se propone el siguiente tema
de investigación y desarrollo, es porque a través del mismo se podrá
ayudar al personal que labora en la Institución y hace uso de los
sistemas y tecnologías de información con los que esta cuenta, así
mismo el poder tener un mejor y mayor control en la seguridad de su
información , y por ende un mejor nivel de seguridad en el uso de las
aplicaciones que apoyan su labor diaria, permitiéndole bridar un servicio
de calidad a los ciudadanos.

Científica: Con el desarrollo de esta investigación, se pretende servir

de apoyo a futuras investigaciones relacionadas con los temas de
seguridad y niveles de seguridad de la Información, y así mismo aportar
nuevos conocimientos con el uso de nuevas aplicaciones y
metodologías de trabajos para concretar fines específicos relacionados
con el uso de las tecnologías y sistemas de información. A si mismo
aprovechar con la Auditoria de sistemas y tecnologías de información
como herramienta fundamental de poyo, y que esta no sea vista como
un gasto extremo sino más bien como una inversión a mediano y largo
plazo, que podría colaborar en próximos intentos por mejorar cada vez
más los servicios apoyados en los Sistemas de Información.

8
 II. OBJETIVOS DE LA INVESTIGACION

2.1 OBJETIVO GENERAL

Contribuir a mejorar el nivel de seguridad de la Información, apoyado en

la norma ISO, en la institución Policial Comisaria del Norte – Chiclayo.

2.2 OBJETIVO ESPECIFICO

 Mejorar el proceso utilizado para detectar anomalías en la seguridad

de la información.
 Disminuir los niveles de riesgos, respecto a los activos de información
considerados amenazas y vulnerabilidades.
 Mejorar el nivel de capacitación en temas de seguridad informática en
el personal.

III. MARCO TEORICO

3.1 ANTECEDENTES DE LA INVESTIGACION

TITULO: INFLUENCIA DE UN PROGRAMA DE IMPLEMENTACIÓN DE

LA SEGURIDAD BASADO EN LA NORMA ISO, PARA APOYAR LA
SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS DE LA COMISARIA
DEL NORTE P.N.P EN LA CIUDAD DE CHICLAYO EN EL 2018

PROPUESTA DE DISEÑO DEL SISTEMA DE GESTION DE LA CALIDAD

SEGÚN LA NORMA ISO.
CONCLUSION:
La adopción de un sistema de gestión de la calidad permitirá a la organización
optimizar sus procesos, recursos, y realizar una gestión eficaz de la
organización en pos de cumplir con los requerimientos del cliente con
productos de calidad.
COMENTARIO:
Con la implementación de este sistema ayudara a mejorar la accesibilidad en
registros de identidad.

IMPLEMENTACIÓN DE LA NORMA DE CALIDAD ISO

9
CONCLUSION:
ISO ha constituido una excelente herramienta comunicacional y motivacional,
procurando calidad y satisfacción a todos los que de una u otra forma son
partícipes de ella en su condición de clientes/usuarios o proveedores de
servicios. No sólo el usuario recibe satisfacción con un buen servicio o
producto, también el que entrega un producto de calidad siente satisfacción; la
satisfacción de entregar satisfacción.
COMENTARIO:
Tanto en usuario como el servidor podrán tener una satisfacción con el servicio.

PROPUESTA DE DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE

GESTIÓN DE CALIDAD BASADO EN LA NORMA ISO
CONCLUSION:
La implementación de un Sistema de Gestión de Calidad mejorará la imagen
corporativa de la empresa y fortalecerá los vínculos de confianza y fidelidad de
los clientes con la organización.
COMENTARIO:
Con este sistema la comunidad estará satisfecha lo cual ayudara a fortalecer la
imagen institucional.

DISEÑO DEL SISTEMA DE GESTIÓN DE LA CALIDAD BASADO EN LOS

REQUISITOS DE LA NORMA ISO

CONCLUSION:
Fue creada una nueva perspectiva para el negocio bajo un sistema de
indicadores de gestión y un mapa de procesos que le permite a la empresa
analizar periódicamente sus actividades y realizar una toma de decisiones,
asegurando una verdadera planeación estratégica y mejoras de una forma más
sencilla y en menor tiempo.

COMENTARIO:
Su creación fue diseñada para diversos servicis, los cuales fueron
implementados y especializados para la PNP.

10
IMPLEMENTACION DEL SISTEMA DE GESTION DE CALIDAD, EN BASE A
LA NORMA ISO
CONCLUSION:
El establecimiento y estandarización de los procesos de trabajo a través de
procedimientos, instructivos y registros bajo el enfoque de mejora continua,
asegurará y mejorará la satisfacción de los usuarios o clientes internos y
externos.
COMENTARIO:
Los registros deben ser actualizados constantemente y contar con una base
de datos.

3.2 MARCO TEORICO

3.2.1 Gestión de la Seguridad de la Información.

a) Definición de Seguridad de Información.

La seguridad de la información es el conjunto de medidas preventivas

y reactivas de las organizaciones y de los sistemas tecnológicos que
permitan resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma. (Wolfgang
2009).

b) Importancia de Seguridad de Información.

En la seguridad de la información es importante señalar que su

manejo está basado en la tecnología y debemos de saber que
puede ser confidencial: la información está centralizada y puede
tener un alto valor. Puede ser divulgada, mal utilizada, ser robada,
borrada o saboteada. Esto afecta su disponibilidad y la pone en
riesgo. La información es poder, y según las posibilidades
estratégicas que ofrece tener acceso a cierta información, ésta se
clasifica como:

 Crítica: Es indispensable para la operación de la empresa.

 Valiosa: Es un activo de la empresa y muy valioso.
 Sensible: Debe de ser conocida por las personas autorizadas.

Existen dos palabras muy importantes que son riesgo y seguridad:

11
  Riesgo: Es la materialización de vulnerabilidades identificadas,
asociadas con su probabilidad de ocurrencia, amenazas
expuestas, así como el impacto negativo que ocasione a las
operaciones de negocio.
 Seguridad: Es una forma de protección contra los riesgos.
 La seguridad de la información comprende diversos aspectos
entre ellos la disponibilidad, comunicación, identificación de
problemas, análisis de riesgos, la integridad, confidencialidad,
recuperación de los riesgos. (Wolfgang 2009).

La seguridad de la información comprende diversos aspectos entre

ellos la disponibilidad, comunicación, identificación de problemas,
análisis de riesgos, la integridad, confidencialidad, recuperación de
los riesgos. (Álvarez 2008)

c) Objeto de la Seguridad de la Información.

La seguridad de la información tiene como objeto los sistemas el

acceso, uso, divulgación, interrupción o destrucción no autorizada
de información. Los términos seguridad de la información,
seguridad informática y garantía de la información son usados
frecuentemente como sinónimos porque todos ellos persiguen una
misma finalidad al proteger la confidencialidad, integridad y
disponibilidad de la información. Sin embargo, no son exactamente
lo mismo existiendo algunas diferencias sutiles. Estas diferencias
radican principalmente en el enfoque, las metodologías utilizadas, y
las zonas de concentración. Además, la seguridad de la
información involucra la implementación de estrategias que cubran
los procesos en donde la información es el activo primordial. Estas
estrategias deben tener como punto primordial el establecimiento
de políticas, controles de seguridad, tecnologías y procedimientos
para detectar amenazas que puedan explotar vulnerabilidades y
que pongan en riesgo dicho activo, es decir, que ayuden a proteger
y salvaguardar tanto información como los sistemas que la
almacenan y administran. La seguridad de la información incumbe
a gobiernos, entidades militares, instituciones financieras, los
hospitales y las empresas privadas con información confidencial
sobre sus empleados, clientes, productos, investigación y su
situación financiera.

12
3.2.2 Aspectos Fundamentales en la Seguridad de la Información.

Tenemos los siguientes aspectos como son los que se detallaran a

continuación como: La Confidencialidad, La Integridad, La
Disponibilidad, y La Autentificación. En seguida hablaremos de
cada una de ellas:

a) La Confidencialidad.

Es la propiedad de prevenir la divulgación de información a

personas o sistemas no autorizados. A groso modo, la
confidencialidad es el acceso a la información únicamente por
personas que cuenten con la debida autorización.
La pérdida de la confidencialidad de la información puede adoptar
muchas formas. Cuando alguien mira por encima de su hombro,
mientras usted tiene información confidencial en la pantalla, cuando
se publica información privada, cuando un laptop con información
sensible sobre una empresa es robado, cuando se divulga
información confidencial a través del teléfono, etc. Todos estos
casos pueden constituir una violación de la confidencialidad.
(Álvarez 2008)

b) La Integridad.

Es la propiedad que busca mantener los datos libres de

modificaciones no autorizadas. (No es igual a integridad referencial
en bases de datos.) A groso modo, la integridad es el mantener con
exactitud la información tal cual fue generada, sin ser manipulada o
alterada por personas o procesos no autorizados. La violación de
integridad se presenta cuando un empleado, programa o proceso
(por accidente o con mala intención) modifica o borra los datos
importantes que son parte de la información, así mismo hace que
su contenido permanezca inalterado a menos que sea modificado
por personal autorizado, y esta modificación sea registrada,
asegurando su precisión y confiabilidad. La integridad de un
mensaje se obtiene adjuntándole otro conjunto de datos de
comprobación de la integridad: la firma digital Es uno de los pilares
fundamentales de la seguridad de la información.

c) Disponibilidad.

La disponibilidad es la característica, cualidad o condición de la

información de encontrarse a disposición de quienes deben
acceder a ella, ya sean personas, procesos o aplicaciones. Groso
13
 modo, la disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento que así lo
requieran. En el caso de los sistemas informáticos utilizados para
almacenar y procesar la información, los controles de seguridad
utilizados para protegerlo, y los canales de comunicación
protegidos que se utilizan para acceder a ella deben estar
funcionando correctamente. La Alta disponibilidad sistemas objetivo
debe estar disponible en todo momento, evitando interrupciones del
servicio debido a cortes de energía, fallos de hardware, y
actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque

de denegación de servicio. Para poder manejar con mayor facilidad la
seguridad de la información, las empresas o negocios se pueden
ayudar con un sistema de gestión que permita conocer, administrar y
minimizar los posibles riesgos que atenten contra la seguridad de la
información del negocio.

La disponibilidad además de ser importante en el proceso de

seguridad de la información, es además variada en el sentido de
que existen varios mecanismos para cumplir con los niveles de
servicio que se requiera. Tales mecanismos se implementan en
infraestructura tecnológica, servidores de correo electrónico, de
bases de datos, de web etc. Mediante el uso de clúster o arreglos
de discos, equipos en alta disponibilidad a nivel de red, servidores
espejo, replicación de datos, redes de almacenamiento (SAN),
enlaces redundantes, etc. La gama de posibilidades dependerá de
lo que queremos proteger y el nivel de servicio que se quiera
proporcionar.

d) Autenticación.

Es la propiedad que permite identificar el generador de la

información. Por ejemplo al recibir un mensaje de alguien, estar
seguro que es de ese alguien el que lo ha mandado, y no una
tercera persona haciéndose pasar por la otra (suplantación de
identidad). En un sistema informático se suele conseguir este factor
con el uso de cuentas de usuario y contraseñas de acceso.

3.2.3 Gestión de Riesgos en la Seguridad Informática.

14
 La Gestión de Riesgo es un método para determinar, analizar,
valorar y clasificar el riesgo, para posteriormente implementar
mecanismos que permitan controlarlo, es así que tenemos a los
siguientes parámetros como son los que detallaremos a
continuación:

1) Análisis del Riesgo.

Determina los componentes de un sistema que requiere protección,
sus vulnerabilidades que lo debilitan y las amenazas que lo ponen
en peligro, con el resultado de revelar su grado de riesgo.

2) Clasificación.
Determina si los riesgos encontrados y los riesgos restantes son
aceptables.

3) Reducción.
Define e implementa las medidas de protección. Además sensibiliza y
capacita los usuarios conforme a las medidas.

4) Control:
Analiza el funcionamiento, la efectividad y el cumplimiento de las
medidas, para determinar y ajustar las medidas deficientes y
sancionar el incumplimiento. Todo el proceso está basado en las
llamadas políticas de seguridad, normas y reglas institucionales,
que forman el marco operativo del proceso, con el propósito de:

 Potenciar las capacidades institucionales, reduciendo la

vulnerabilidad y limitando las amenazas con el resultado de
reducir el riesgo.
 Orientar el funcionamiento organizativo y funcional.
 Garantizar comportamiento homogéneo.
 Garantizar corrección de conductas o prácticas que nos hacen
vulnerables.
 Conducir a la coherencia entre lo que pensamos, decimos y
hacemos.

3.2.4 Sistema de Gestión de la Seguridad de la Información (SGSI).

El SGSI (Sistema de Gestión de Seguridad de la Información) es el

concepto central sobre el que se construye ISO 27001. La gestión

15
 de la seguridad de la información debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la
organización. Este proceso es el que constituye un SGSI, que
podría considerarse, por analogía con una norma tan conocida
como ISO 9001, como el sistema de calidad para la seguridad de la
información.

Garantizar un nivel de protección total es virtualmente imposible,

incluso en el caso de disponer de un presupuesto ilimitado. El
propósito de un sistema de gestión de la seguridad de la
información es, por tanto, garantizar que los riesgos de la seguridad
de la información sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada,
sistemática, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las
tecnologías.

En las siguientes secciones (a las que puede acceder directamente

a través del submenú de la izquierda o siguiendo los marcadores
de final de página) se desarrollarán los conceptos fundamentales
de un SGSI según la norma ISO.

3.2.5 Que se entiende por un SGSI.

SGSI es la abreviatura utilizada para referirse a un Sistema de

Gestión de la Seguridad de la Información. ISMS es el concepto
equivalente en idioma inglés, siglas de Información Security
Management System.
En el contexto aquí tratado, se entiende por información todo aquel
conjunto de datos organizados en poder de una entidad que
posean valor para la misma, independientemente de la forma en
que se guarde o transmita, de su origen (de la propia organización
o de fuentes externas) o de la fecha de elaboración.

Figura [Link] que referencia un SGSI.

16
 La seguridad de la información, según ISO 27001, consiste en la
preservación de su confidencialidad, integridad y disponibilidad, así
como de los sistemas implicados en su tratamiento, dentro de una
organización. Así pues, estos tres términos constituyen la base
sobre la que se cimienta todo el edificio de la seguridad de la
información:

 Confidencialidad: la información no se pone a disposición ni se

revela a individuos, entidades o procesos no autorizados.
 Integridad: mantenimiento de la exactitud y completitud de la
información y sus métodos de proceso.
 Disponibilidad: acceso y utilización de la información y los
sistemas de tratamiento de la misma por parte de los individuos,
entidades o procesos autorizados cuando lo requieran.

3.2.6 Que Incluye un SGSI.

En el ámbito de la gestión de la calidad según ISO 9001, siempre

se ha mostrado gráficamente la documentación del sistema como
una pirámide de cuatro niveles. Es posible trasladar ese modelo a
un Sistema de Gestión de la Seguridad de la Información basado
en ISO 27001 de la siguiente forma:

Figura [Link] Piramidal de los distintos Niveles de un SGSI.

17
 1. Documentos de Nivel 1.

Manual de seguridad: por analogía con el manual de calidad,

aunque el término se usa también en otros ámbitos.

2. Documentos de Nivel 2

Procedimientos: documentos en el nivel operativo, que aseguran

que se realicen de forma eficaz la planificación, operación y control
de los procesos de seguridad de la información.
3. Documentos de Nivel 3

Instrucciones, checklists y formularios: documentos que describen

cómo se realizan las tareas y las actividades específicas
relacionadas con la seguridad de la información.
4. Documentos de Nivel 4

Registros: documentos que proporcionan una evidencia objetiva del

cumplimiento de los requisitos del SGSI; están asociados a
documentos de los otros tres niveles como output que demuestra
que se ha cumplido lo indicado en los mismos. ([Link])

3.2.7 Gestión de la Seguridad de la Información.

18
 La norma ISO 27001 define cómo organizar la seguridad de la
información en cualquier tipo de organización, con o sin fines de
lucro, privada o pública, pequeña o grande. Es posible afirmar que
esta norma constituye la base para la gestión de la seguridad de la
información. La ISO 27001 es para la seguridad de la información lo
mismo que la ISO 9001 es para la calidad: es una norma redactada
por los mejores especialistas del mundo en el campo de seguridad
de la información y su objetivo es proporcionar una metodología
para la implementación de la seguridad de la información en una
organización.

También permite que una organización sea certificada, lo cual

significa que una entidad de certificación independiente ha
confirmado que la seguridad de la información se ha implementado
en esa organización de la mejor forma posible. A raíz de la
importancia de la norma ISO 27001, muchas legislaturas han
tomado esta norma como base para confeccionar las diferentes
normativas en el campo de la protección de datos personales,
protección de información confidencial, protección de sistemas de
información, gestión de riesgos operativos en instituciones
financieras, etc.

3.2.8 Fases del Sistema de Gestión de Seguridad de Información.

La norma ISO 27001 determina cómo gestionar la seguridad de la

información a través de un sistema de gestión de seguridad de la
información.
Un sistema de gestión de este tipo, igual que las normas ISO 9001
o ISO 14001, está formado por cuatro fases que se deben
implementar en forma constante para reducir al mínimo los riesgos
sobre confidencialidad, integridad y disponibilidad de la información.

Las fases son las siguientes:

a) La Fase de planificación: esta fase sirve para planificar la

organización básica y establecer los objetivos de la seguridad
de la información y para escoger los controles adecuados de
seguridad (la norma contiene un catálogo de 133 posibles
controles).

b) La Fase de implementación: esta fase implica la realización

de todo lo planificado en la fase anterior.

19
 c) La Fase de revisión: el objetivo de esta fase es monitorear el
funcionamiento del SGSI mediante diversos “canales” y
verificar si los resultados cumplen los objetivos establecidos.

d) La Fase de mantenimiento y mejora: el objetivo de esta fase

es mejorar todos los incumplimientos detectados en la fase
anterior.

El ciclo de estas cuatro fases nunca termina, todas las actividades

deben ser implementadas cíclicamente para mantener la eficacia
del SGSI.
a) La Fase de planificación.

Esta fase está formada por los

siguientes pasos: Determinación
del alcance del SGSI;
 Redacción de una Política de SGSI;
 Identificación de la metodología para evaluar los riesgos y
determinar los criterios para la aceptabilidad de riesgos;
 Identificación de activos, vulnerabilidades y amenazas;
 Evaluación de la magnitud de los riesgos;
 Identificación y evaluación de opciones para el tratamiento de
riesgos;
 Selección de controles para el tratamiento de riesgos;
 Obtención de la aprobación de la gerencia para los riesgos
residuales;
 Obtención de la aprobación de la gerencia para la
implementación del SGSI;
 Redacción de una declaración de aplicabilidad que detalle todos
los controles aplicables, determine cuáles ya han sido
implementados y cuáles no son aplicables.

b) La Fase de verificación.

Esta fase incluye los siguientes pasos como:

 Implementación de procedimientos y demás controles de
supervisión y control para determinar cualquier violación,
procesamiento incorrecto de datos, si las actividades de
seguridad se desarrollan de acuerdo a lo previsto, etc.;
 Revisiones periódicas de la eficacia del SGSI;
 Medición la eficacia de los controles;
 Revisión periódica de la evaluación de riesgos;
 Auditorías internas planificadas;

20
  Revisiones por parte de la dirección para asegurar el
funcionamiento del SGSI y para identificar oportunidades de
mejoras;
 Actualización de los planes de seguridad para tener en cuenta
otras actividades de supervisión y revisión;
 Mantenimiento de registros de actividades e incidentes que
puedan afectar la eficacia del SGSI.

c) La Fase de mantenimiento y mejora.

Esta fase incluye los siguientes pasos como:

 Implementación en el SGSI de las mejoras identificadas;
 Toma de medidas correctivas y preventivas y aplicación de
experiencias de seguridad propias y de terceros;
 Comunicación de actividades y mejoras a todos los grupos de
interés; Asegurar que las mejoras cumplan los objetivos
previstos.

3.2.9 Lista de Verificación de la Norma ISO 27001.

La Organización Internacional de Normalización (ISO, por sus

siglas en inglés) publicó la norma ISO 27001 para establecer,
supervisar y mejorar la gestión de seguridad de la información en
las organizaciones. La lista de verificación la norma ISO 27001
ayuda a las empresas desarrollar y mantener un programa de
seguridad que impida las fugas de información y otras violaciones
de seguridad de la información. La lista cubre una amplia gama de
medidas de control legales, físicas y técnicas que van desde la
clasificación sensitiva de los datos a la entrada de restricción de las
personas con malas intenciones.

A. Política de seguridad

La lista de verificación de la norma ISO 27001 debe analizar si una

empresa tiene un sistema de información del programa de seguridad
que está aprobado por la dirección y se comunica a todos los
empleados de la compañía. La administración debe manifestar su
compromiso con la seguridad y el enfoque de la organización para la
gestión de seguridad de la información. La política debe revisarse a
intervalos. Esto es para asegurar la continua estabilidad, suficiencia y
efectividad de la tecnología de la información del sistema. Todas
estas cuestiones deben abordarse en la lista.

B. Coordinación de seguridad

21
 Las actividades de seguridad de la información deben ser
coordinadas por representantes de diversos departamentos de la
empresa. La necesidad de la organización de acuerdos de
confidencialidad o no divulgación debe estar claramente definida y
revisada con regularidad. Los empleados deben entender que la
violación del acuerdo de no divulgación tiene sus consecuencias.
Por ejemplo, un analista de inteligencia de [Link]. fue detenido en
Irak en junio de 2010 por filtrar un video clasificado de las tropas
disparando contra civiles. Bradley Manning filtró el vídeo a los
denunciantes del sitio web Wikileaks. El liderazgo organizacional
también debe identificar los riesgos a los servicios de información
antes de conceder acceso a terceros. Las medidas de control
deben ser implementadas antes de concederse el acceso. La
información debe ser clasificada también en términos de su valor y
la sensibilidad de la empresa.

C. Protección contra la entrada maliciosa

Necesitas tener la capacidad para detectar y prevenir intentos

maliciosos internos o externos para acceder a tu información. Si se
trata de un negocio en línea, por ejemplo, los clientes deben ser
capaces de comprar de forma segura la mercancía. El programa
que transfiere datos de un ordenador a otro debe ser capaz de
funcionar efectivamente por su cuenta. Con el fin de evitar poner en
peligro información valiosa, la red de una organización debe ser
adecuadamente gestionada y controlada para evitar cualquier
amenaza y mantener la seguridad de los sistemas y aplicaciones
en toda la red de la organización. Sin ese mecanismo, la
información de la organización está en riesgo de abuso por parte de
delincuentes que se benefician con datos en línea. (Alvares 2012)

3.2.10 Como Implementar la ISO 27001.

La ISO 27001 es un estándar de calidad general desarrollado por

ISO (International Standards Organization - Organización
Internacional de Estándares) enfocado en la seguridad de la
información. La seguridad de la información varía por organización;
sin embargo, en general incluye todas las formas de datos,
comunicaciones, conversaciones, grabaciones, documentos e
incluso fotografías. Incluye todo desde correos electrónicos a faxes
y conversaciones telefónicas. La implementación del ISO 27001 es
utilizada específicamente para obtener certificación para el sistema
de administración de seguridad de la información (ISMS o
Information Security Management System) de una organización. El
22
ISMS define el estándar para toda la organización, proveyendo
objetivos marcados por un plan accionable para lograr y mejorar
sobre ellos de acuerdo al estándar de la administración.

Instrucciones:

1) Establece objetivos. Cada sistema de administración de

seguridad de la información debería tener un conjunto de
ISMS hacia el cual trabajar. Los objetivos exactos dependerán
de la organización y el entorno regulador de la industria en la
que la industria trabaja. Por ejemplo, un banco que trabaje con
clientes con un alto patrimonio neto necesitará establecer
objetivos más rigurosos en relación a la seguridad de la
información que una compañía de ganado.

2) Define el alcance y los límites de los objetivos de tu ISMS.

Para cada objetivo, asigna un valor que te ayude a medir el
alcance de su éxito. Por ejemplo, si quieres reducir el fraude
en relación a la seguridad de la información, puedes
establecer un objetivo que incluya una reducción del fraude de
un 5 al 10 por ciento por año. Además, puede que quieras
establecer diferentes objetivos para diferentes departamentos
dentro de la organización.

3) Identifica la mejor manera de abordar la evaluación de

riesgos. Los riesgos para el ISO 27001 son eventos que
pueden comprometer la seguridad de la información de una
organización. Por ejemplo, tu compañía puede querer realizar
una auditoria o contabilización interna para evaluar riesgos
regularmente en conjunto con sus tareas normales. Estos
grupos tienden a trabajar objetivamente con toda la
organización y usualmente ayudan a establecer y monitorear
controles internos.

4) Identifica los mayores riesgos de seguridad en tu

organización. Luego de evaluar los riesgos, tendrás una lista
de eventos de seguridad. Prioriza estos riesgos para el equipo
de implementación.

5) Evalúa tu entorno de seguridad de la información actual y

mide la amenaza de cada riesgo de seguridad.
Cada riesgo de seguridad también debe estar conectado a un
objetivo específico para medir el desempeño a lo largo del
tiempo.

23
 6) Crea un plan para tratar y mejorar sobre estos riesgos.
Cada riesgo debe tener una lista de acciones y opciones que
pueda ser seguida por el equipo de evaluación de riesgos. Las
acciones deben proveer una forma clara de alcanzar los
objetivos, y también controles definidos para poder monitorear
los riesgos.

7) Obtén aprobación de la gerencia. La gerencia debe

formalmente ratificar el plan antes de implementarlo. Pide
hacer un anuncio general del plan a la organización. También
provee una línea de tiempo para que la implementación se
apruebe y disemine a lo largo de la organización.

8) Comienza la implementación. Realiza auditorías internas

con regularidad y reporta los resultados a la gerencia con la
misma regularidad. Actualiza tus objetivos y planes de
seguridad de manera apropiada.

3.3 DEFINICION DE TERMINOS BASICOS

Gobierno TI
Políticas de Seguridad
SGSI
Estrategias de Seguridad
Gestión de Recursos
Evaluación de Riesgos
Auditable
SIDPOL
Híbrica
Ingeniería de Seguridad

IV. OPERACIONALIZACION DE VARIABLES E HIPOTESIS

a) Variable Independiente.

Guía de Implementación de la seguridad de información, bajo la

Norma ISO.

b) Variable Dependiente.
Nivel de Seguridad

24
 INFLUENCIA DE UN PROGRAMA DE IMPLEMENTACIÓN DE SEGURIDAD BASADO EN LA
NORMA ISO, PARA APOYAR LA SEGURIDAD EN LOS
SISTEMAS INFORMÁTICOS DE LA COMISARIA DEL NORTE P.N.P
EN LA CIUDAD DE CHICLAYO EN EL 2018

VARIABLES DIMENSIONES INDICADORES TECNICAS INSTRUMENTOS

Reporte del sistema
sobre los índices de
Facilidad de acceso a los inseguridad
VARIABLE documentos. OBSERVACION
INDEPENDIENTE Entrevistas realizadas
PROGRAMA DE ESTRUCTURA Flujo de documentos intuitivo. EVALUACION la personal
IMPLEMENTACIÓN DE involucrado en temas
SEGURIDAD Confidencialidad absoluta de de seguridad
la documentación.

INGRESO POR
CLAVES
VARIABLE VULNABILIDAD DE OBSERVACION
Encuesta dirigida al
DEPENDIENTE INGRESO A LOS DENUNCIAS.
personal involucrado
SEGURIDAD EN LOS ARCHIVOS EVALUACION
en los sistemas de
SISTEMAS VULNABILIDAD DE
información
INFORMÁTICOS REQUISITORIAS

V. METODOLOGIA DE LA INVESTIGACION

5.1 TIPO DE INVESTIGACION

El tipo de investigación es Tecnológica Aplicada, en razón que se hará
el estudio bajo conocimientos de Gestión y Guías de Implementación
para seguridad de Sistemas de Información, transformando ese
conocimiento puro en un conocimiento útil, así mismo se generan
conocimientos o métodos dirigidos, ya sea con el fin de mejorarlos y
hacerlos más eficientes, o con el fin de obtener productos nuevos y
competitivos.

5.2 DISEÑO DE LA INVESTIGACION

El diseño de la investigación es el de una Investigación Cuasi-
Experimental, ya que en esta se analiza el efecto producido por la
acción o la manipulación de una o más variables independientes sobre
una o varias dependientes.

5.3 POBLACION Y MUESTRA

La población de la presente investigación lo constituirá los 30
trabajadores de la Comisaria del Norte de la PNP de la ciudad de
Chiclayo, que además son efectivos policiales. Según Hernández y
Fernández 1991: Debido a que la población es muy pequeña (n<=30) se
tomarán a los 30 trabajadores de la Entidad mencionada.

25
 5.4 INSTRUMENTOS DE RECOLECCION DE DATOS

MÉTODO/ ELEMENTOS
TÉCNICA INSTRUMENTO DE LA DESCRIPCIÓN
POBLACIÓN
Con el uso de esta ficha se
Ficha de Proceso de procede al llenado de la
Observación Observación denuncia del denuncia indicando, los
ciudadano. motivos, el denunciado, la hora
del hecho, etc.
Este cuestionario estuvo
dirigido al personal que labora
Cuestionario de en la comisaria, para recoger
preguntas información acerca de los
Encuestas (abiertas y Personal problemas que suceden en la
cerradas) efectivo comisaria, para así conocer y
Anexoencuesta policial determinar el nivel de
01 conocimiento en temas de
seguridad en el uso de sus
aplicaciones.
Esta entrevista con preguntas
abiertas estuvo dirigida al
encargado del dpto. De
denuncias policiales que a sus
Guía de Jefe del vez esta las orientadas al tipo
entrevistas departamento de denuncias familiares y
(formato de de abuso y maltrato infantil y a la
Entrevistas entrevistas) denuncias mujer y las denuncias típicas
Anexo – policiales por robo. Para así conocer que
entrevista 01 (violencia tanto pueden saber y conocer
familiar – temas orientados a políticas y
delitos mecanismos de seguridad en el
robos) uso de las aplicaciones, ya que
en este departamento se usa el
Sistema de Denuncia Policial
con SIDPOL.
Con el uso de esta técnica se
Guía de Jefe procede al conocimiento del
Reportes reportes encargado desempeño y uso del sistema
del uso del de denuncias policiales de la
sistema institución policial.
policial

26
 VI. ASPECTO ADMINISTRATIVO

6.1 CRONOGRAMA DE ACTIVIDADES

DEFINIR UNA POLÍTICA DE SEGURIDAD DE INFORMACIÓN

Los riesgos a los que se ve expuesta la institución policial Comisaria del
Norte – Chiclayo, llevan consigo la creación de directrices que orienten
hacia un uso responsable de los recursos y evitar su uso indebido, lo cual
puede ocasionar serios problemas a los activos de la mencionada
institución. Las políticas de seguridad son documentos que constituirán la
base del entorno de seguridad para la institución policial en donde se
definen así mismo las responsabilidades, los requisitos de seguridad, las
funciones, y las normas a seguir por los trabajadores - efectivos de la
institución policial.

DEFINIR EL ALCANCE DEL MODELO

En esta parte o fase de implementación de la norma definimos muy bien el

alcance del proyecto, en lo que respecta áreas implicadas, procesos,
procedencia de los documentos a incorporar en el modelo, formato de los
documentos, tipo de documento físicos o electrónico, tipo de información
que se considera documento, o selección de herramienta tecnológica
(metodologías a utilizar). En muchos casos son recomendables alcances
reducidos pero viables antes que proyectos demasiado complejos y que
nunca acaban de implantarse y que corren el riesgo de quedarse
incompletos.

EFECTUAR UN ANÁLISIS Y EVALUACIÓN DEL RIESGO

En esta fase de implementación de la norma efectuamos un análisis
minucioso de los riesgos a los que está sujeta la institución, así como las
amenazas y vulnerabilidades, los mismos que a su vez pueden ser
analizados a través de los distintos métodos de análisis, así mismo para la
evaluación de los riesgos se incluye características del puesto de trabajo y
del personal que lo realiza, el proceso a seguir en la evaluación de riesgos,
Cuenta con los siguientes pasos, en primero lugar con la identificación del
peligro, la estimación del riesgo, y la deducción de la tolerancia del riesgo.

27
DEFINIR OPCIONES DEL TRATAMIENTO DEL RIESGO
En esta fase de implementación de la norma definimos las opciones y
medidas para el tratamiento del riesgo para sí poder reducirlo, es así que
existen seis medidas que han sido tomadas en cuenta para el tratamiento
del o los riesgos, así mismo las 3 primeras orientadas al control del riesgo,
y las otras 3 orientadas a la financiación del riesgo. Así mismo en las tres
primeras se puede evitar, prevenir y proteger, mientras que en la segunda
se puede aceptar, retener y transferir el riesgo. El diseño de las medidas de
tratamiento puede reflejar la cultura organizacional de la institución. La
historia de la institución, la forma en que está organizada y su operación, y
el medio en el cual se desempeña.

En el desarrollo del presente trabajo de Tesis de Pre grado, se ha podido

avanzar hasta la etapa que respecta el Definir opciones del tratamiento de
los riesgos, la cual hace referencia a la 4ta etapa de implementación de la
Norma ISO 27001.

28
LINKOGRAFIA

[Link]
documentos-iso/
[Link]
documentos-iso/
[Link]
[Link]
[Link]
%[Link]?sequence=1&isAllowed=y
[Link]
LORES_LUIS_ISO_9001_2008.pdf

29
ANEXO

CATEGORIAS, DIMENSIONES E
PROBLEMA OBJETIVOS HIPOTESIS METODOLOGIA
INDICADORES
OBJETIVO GENERAL CATEGORIA INDEPENDIENTE
Contribuir a mejorar el
nivel de seguridad de la ESTRUCTURA:
Información, apoyado en
la norma ISO, en la - Facilidad de acceso a los documentos.
institución Policial
Comisaria del Norte – HIPOTESIS GENERAL -Flujo de documentos intuitivo.
Chiclayo. Con una Guía de
tipo de
PROBLEMA Implementación de la -Confidencialidad absoluta de la
investigación
GENERAL Seguridad de la documentación.
Tecnológica
¿Cómo ayudar en Información basada en
Aplicada
la mejora de la OBJETIVO ESPECIFICO la CATEGORIA DEPENDIENTE
Seguridad de los Incrementar el nivel de Norma ISO/IEC 27001, se
Sistemas seguridad en las apoyará en la mejora de INGRESO A LOS ARCHIVOS: El diseño de la
Informáticos de la aplicaciones de la la Seguridad en las
Comisaria del Aplicaciones
investigación.
institución policial. -VULNABILIDAD DE DENUNCIAS. es el de una
Norte en la Ciudad Informáticas de la
de Chiclayo? comisaria del Norte Investigación Cuasi-
Mejorar el proceso para -VULNABILIDAD DE REQUISITORIAS Experimental.
la detección de –Chiclayo.
anomalías en la
seguridad de la
información.

30