Facultad de Ingeniería

Trabajo de Investigación

“Diseño de una Arquitectura de ciberseguridad para

los servicios de plataformas IoT en el área de TI

dentro de la empresa Pacífico Seguros”

Autores:

CARI AREVALO, Marcelo - 1511611

LOMBARDI SÁNCHEZ, Julissa Antonella - 1610507

Asesor:

MAMANI TICONA, Wilfredo

Para obtener el Grado de Bachiller en:

Ingeniería de Sistemas e Informática

Lima, Julio del 2020

 DEDICATORIA

Dedicado a mi familia por ayudarme a mantenerme

perseverante en mis proyectos. A mi padre por enseñarme a no
quebrarme frente a las adversidades y situaciones desafortunadas.
A mi madre por brindarme todo su apoyo, amor y guiarme en el
camino de la vida. A mi hermana por brindarme su apoyo moral y
enseñarme el valor de la vida.
Marcelo Cari Arevalo

Dedicado a Dios por brindarme salud y seguir permitiéndome

lograr mis sueños y metas. A mi padre, por ser mi guía de perseverancia y
apoyo, por ayudarme en cada instancia de mi carrera y mostrarme el
esfuerzo y dedicación. A mi madre, por todo su amor y apoyo
incondicional quien me enseñó a seguir adelante y no rendirme. A mi
hermano, mi motor de vida quien siempre me llena de amor y alegría. A
mi abuela y tío, por acompañarme en cada meta junto con su amor,
perseverancia y apoyo incondicional.
Julissa Antonella Lombardi Sánchez

II
 AGRADECIMIENTOS

Agradezco a Dios por brindarme estas oportunidades en la

vida, a mi familia por enseñarme a aprovechar esas oportunidades.
A mi papá por enseñarme a saber tomar decisiones y a creer en mí.
A mi mamá por brindarme consejos y valentía en todo este tiempo.
A mi hermana por enseñarme la importancia de lo que es tener una
responsabilidad y su apoyo constante.
Marcelo Cari Arevalo

Agradezco a Dios por permitirme seguir logrando mis metas y

darme salud, a mis padres apoyarme incondicionalmente y su guía en todo
momento, a mi hermano por permitirme guiarlo en cada logro, a mi
abuela y tío por su amor, muestra de perseverancia y apoyo. A la vez
quiero agradecer a mis profesores que me inculcaron a seguir adelante y
a mis amistades por acompañarme en cada momento.
Julissa Antonella Lombardi Sánchez

III
 ÍNDICE
RESUMEN .............................................................................................................................................. XII
ABSTRACT .......................................................................................................................................... XIII
INTRODUCCIÓN ...................................................................................................................................... 1
CAPÍTULO I. PLANTEAMIENTO DEL PROBLEMA ............................................................................ 3
1.1. DESCRIPCIÓN DE LA REALIDAD PROBLEMÁTICA ......................................................... 3
1.1.1. Planteamiento del problema ................................................................................................ 3
1.2. FORMULACIÓN DE PREGUNTAS DE INVESTIGACIÓN ................................................... 4
1.2.1. Pregunta General ................................................................................................................. 4
1.2.2. Preguntas Específicas .......................................................................................................... 4
1.3. DETERMINACIÓN DE OBJETIVOS ....................................................................................... 5
1.3.1. Objetivo General ................................................................................................................. 5
1.3.2. Objetivos Específicos .......................................................................................................... 5
1.4. HIPÓTESIS DE LA INVESTIGACIÓN .................................................................................... 5
1.4.1. Hipótesis General ................................................................................................................ 5
1.4.2. Hipótesis Específicas........................................................................................................... 5
1.5. JUSTIFICACIÓN DE LA INVESTIGACIÓN ........................................................................... 6
1.5.1. Metodológica ...................................................................................................................... 6
1.5.2. Práctica ................................................................................................................................ 7
1.6. IDENTIFICACIÓN DE LAS VARIABLES ............................................................................... 7
1.6.1. Variable Dependiente .......................................................................................................... 7
1.6.2. Variable Independiente ....................................................................................................... 7
CAPÍTULO II. MARCO TEÓRICO .......................................................................................................... 7
2.1. ANTECEDENTES DE LA INVESTIGACIÓN.......................................................................... 7
2.2. ESTADO DEL ARTE ............................................................................................................... 22
2.2.1. Internet de las Cosas en las organizaciones ........................................................................... 23
[Link]. Implantación del Internet de las Cosas .......................................................................... 24
[Link]. Arquitectura del Internet de las Cosas ........................................................................... 25
2.2.2. Ciberseguridad en las organizaciones .................................................................................... 28
[Link]. Tendencias de ataques cibernéticos a empresas privadas .............................................. 28
[Link]. Tendencias de ataques cibernéticos de personas con accesos autorizados ..................... 29
2.2.3. Ciberseguridad de acuerdo la norma ISO/IEC 27032 ........................................................... 29
2.2.4. Implementación del marco de trabajo NIST para la ciberseguridad ...................................... 30
2.2.5. Evaluación de la ciberseguridad con el Modelo de Seguridad IoT ........................................ 33

IV
 2.3. BASES TEÓRICAS .................................................................................................................. 38
2.3.1. Arquitectura de Ciberseguridad ............................................................................................. 38
[Link]. Ciberseguridad .............................................................................................................. 38
[Link]. ISO/IEC 27032 .............................................................................................................. 40
2.3.2. Servicios de Plataformas IoT ................................................................................................ 41
[Link]. Internet de las Cosas (Internet of Things - IoT) ............................................................. 41
[Link]. Plataformas IoT ............................................................................................................. 43
2.3.3. Cybersecurity Framework NIST (CSF) ................................................................................. 44
[Link]. Framework Core (Núcleo del marco de referencia) ....................................................... 45
[Link]. Niveles de implementación del marco de referencia ..................................................... 48
[Link]. Perfiles del marco de referencia .................................................................................... 50
2.3.4. COBIT 5 ............................................................................................................................... 53
[Link]. Satisfacer las necesidades de los interesados ................................................................. 54
[Link]. Cubrir la empresa de extremo a extremo ....................................................................... 55
[Link]. Aplicar un marco de referencia único integrado ............................................................ 57
[Link]. Hacer posible un enfoque holístico................................................................................ 58
[Link]. Separar el gobierno de la gestión ................................................................................... 60
2.3.5. ISO/IEC 27001...................................................................................................................... 62
2.3.6. Modelo de Gestión de Riesgos .............................................................................................. 63
2.4. CONTEXTO DE LA INVESTIGACIÓN ................................................................................. 65
2.4.1. Arquitectura de Ciberseguridad ............................................................................................. 65
[Link]. Etapas de la ciberseguridad ........................................................................................... 65
2.4.2. Servicios de plataformas IoT ................................................................................................. 66
[Link]. Internet de las Cosas (IoT) ............................................................................................ 66
[Link]. Partes del IoT ................................................................................................................ 68
CAPÍTULO III. METODOLOGÍA DE INVESTIGACIÓN ..................................................................... 69
3.1. DISEÑO DE LA INVESTIGACIÓN ........................................................................................ 69
3.1.1. Diseño de investigación..................................................................................................... 69
3.1.2. Tipo de Investigación ........................................................................................................ 69
3.1.3. Universo ............................................................................................................................ 70
3.1.4. Población........................................................................................................................... 70
3.1.5. Muestra ............................................................................................................................. 71
3.1.6. Operacionalización de las variables................................................................................... 72
3.2. INSTRUMENTOS DE INVESTIGACIÓN / HERRAMIENTAS ............................................ 74
3.2.1. Técnicas ............................................................................................................................ 74

V
 3.2.2. Instrumentos ...................................................................................................................... 74
3.3. SELECCIÓN DE METODOLOGÍAS ...................................................................................... 75
3.3.1. Por Beneficio..................................................................................................................... 75
3.3.2. Por Alcance ....................................................................................................................... 76
3.3.3. Por Certificación ............................................................................................................... 77
3.3.4. Por objetivos claramente definidos.................................................................................... 79
3.3.5. Por cobertura de los controles ........................................................................................... 79
3.3.6. Resultado general de las metodologías .............................................................................. 80
3.4. METODOLOGÍA DE LA IMPLEMENTACIÓN DE LA SOLUCIÓN ................................... 81
3.4.1. Paso 1: Priorización y definición del alcance .................................................................... 82
3.4.2. Paso 2 y 3: Orientación y crear un perfil actual ................................................................. 84
3.4.3. Paso 4 y 5: Ejecutar un análisis de riesgos y crear un perfil objetivo ................................ 89
3.4.4. Paso 6: Determinar, analizar y priorizar brechas ............................................................... 91
3.4.5. Paso 7: Implementar el plan de acción .............................................................................. 92
3.4.6. Paso 8 y 9: Revisión del plan de acción y gestión del ciclo de vida .................................. 93
3.5. CRONOGRAMA DE ACTIVIDADES .................................................................................... 94
3.6. COSTOS DIRECTOS ............................................................................................................... 95
3.6.1. Costos de Personal ............................................................................................................ 95
3.6.2. Costos de Materiales ......................................................................................................... 95
3.7. COSTOS INDIRECTOS ........................................................................................................... 96
3.7.1. Capacitaciones al personal de TI ....................................................................................... 96
3.8. COSTOS FIJOS ........................................................................................................................ 97
3.8.1. Costos de asesoría ............................................................................................................. 97
3.9. COSTOS VARIABLES ............................................................................................................ 97
3.9.1. Costos de asesoría ............................................................................................................. 97
3.10. PRESUPUESTO ................................................................................................................... 97
CAPÍTULO IV. DESARROLLO DE LA SOLUCIÓN ............................................................................ 98
4.1. PROPUESTA DE SOLUCIÓN................................................................................................. 98
4.1.1. Fase 1: Priorización y definición del alcance .................................................................... 99
4.1.2. Fase 2: Orientación y crear un perfil actual ..................................................................... 105
4.1.3. Fase 3: Ejecutar un análisis de riesgos y crear un perfil objetivo .................................... 117
4.1.4. Fase 4: Determinar, analizar y priorizar brechas ............................................................. 124
4.1.5. Fase 5: Implementar el plan de acción ............................................................................ 127
4.1.6. Fase 6: Revisión del plan de acción y gestión del ciclo de vida ...................................... 131
4.2. ESTUDIO DE CAMPO .......................................................................................................... 132

VI
 4.2.1. Resultados del modelo de cuestionario ............................................................................ 136
4.2.2. Resultados del modelo de encuesta ................................................................................. 142
CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES ............................................................. 149
5.1. DISCUSIÓN Y CONCLUSIONES ........................................................................................ 149
5.2. RECOMENDACIONES ......................................................................................................... 150
REFERENCIAS ..................................................................................................................................... 151
ANEXOS ................................................................................................................................................ 155
ANEXO 1: MATRIZ DE CONSISTENCIA ...................................................................................... 155
ANEXO 2: CUESTIONARIO ............................................................................................................ 156
ANEXO 3: ENCUESTA ..................................................................................................................... 157
ANEXO 4: FICHA DE INVESTIGACIÓN ........................................................................................ 160
ANEXO 5: DECLARACIÓN DE AUTENTICIDAD Y NO PLAGIO .............................................. 164
ANEXO 6: FORMULARIO DE AUTORIZACIÓN DE PUBLICACIÓN ......................................... 166
ANEXO 7: INFORME DE ORIGINALIDAD POR TURNITIN ....................................................... 170

VII
ÍNDICE DE TABLAS
Tabla 1. Capas del sistema de Internet de las Cosas.................................................................................. 33
Tabla 2 . Descripción de las categorías de objetivos de seguridad ............................................................ 35
Tabla 3 . Categorías del STRIDE .............................................................................................................. 37
Tabla 4 . Categorías del DREAD .............................................................................................................. 37
Tabla 5. Fases de la ciberseguridad ........................................................................................................... 39
Tabla 6. Tipos de usos del IoT .................................................................................................................. 42
Tabla 7. Propiedades de una Plataforma IoT............................................................................................. 43
Tabla 8. Conceptos de la evaluación de riesgos ........................................................................................ 64
Tabla 9. Fases de la implementación ........................................................................................................ 64
Tabla 10. Operacionalización de la variable independiente ...................................................................... 72
Tabla 11. Operacionalización de la variable dependiente ......................................................................... 73
Tabla 12. Beneficios de las Metodologías ................................................................................................. 76
Tabla 13. Alcance de las Metodologías..................................................................................................... 77
Tabla 14. Certificaciones de las Metodologías .......................................................................................... 78
Tabla 15. Objetivos claramente definidos de las metodologías ................................................................. 79
Tabla 16. Coberturas de los controles de las metodologías ....................................................................... 80
Tabla 17. Resultado general de las metodologías...................................................................................... 80
Tabla 18. Actividades de la fase priorización y definición del alcance ..................................................... 83
Tabla 19. Actividades de la fase orientación y crear perfil actual ............................................................. 85
Tabla 20. Categorías de la función Identificar .......................................................................................... 88
Tabla 21. Categorías de la función Proteger ............................................................................................. 88
Tabla 22. Categorías de la función Detectar ............................................................................................. 89
Tabla 23. Actividades de la fase ejecutar un análisis de riesgos y crear un perfil objetivo........................ 90
Tabla 24. Actividades de la fase determinar, analizar y priorizar brechas ................................................. 91
Tabla 25. Actividades de la fase implementar el plan de acción ............................................................... 92
Tabla 26. Actividades de la fase revisión del plan de acción y gestión del ciclo de vida .......................... 93
Tabla 27. Costos de Personal .................................................................................................................... 95
Tabla 28. Costos de Materiales ................................................................................................................. 95
Tabla 29. Total de costos directos ............................................................................................................. 96
Tabla 30. Total de costos indirectos .......................................................................................................... 96
Tabla 31. Total de costos fijos .................................................................................................................. 97
Tabla 32. Total de costos variables ........................................................................................................... 97
Tabla 33. Presupuesto Total ...................................................................................................................... 97
Tabla 34. Descripción de activos y sistemas ........................................................................................... 111
Tabla 35. Análisis de la categoría Gestión de activos ............................................................................. 112
Tabla 36. Análisis de la categoría Evaluación de riesgos ........................................................................ 113
Tabla 37. Análisis de la categoría Estrategia de Gestión de riesgos ........................................................ 113
Tabla 38. Análisis de la categoría Gestión de identidad y control de acceso........................................... 114
Tabla 39. Análisis de la categoría conciencia y capacitación .................................................................. 114
Tabla 40. Análisis de la categoría Seguridad de datos ............................................................................ 114
Tabla 41. Análisis de la categoría Procesos y procedimientos de protección de la información ............. 115
Tabla 42. Análisis de la categoría Mantenimiento .................................................................................. 115
Tabla 43. Análisis de la categoría Anomalías y eventos ......................................................................... 116

VIII
Tabla 44. Análisis de la categoría Vigilancia de seguridad ..................................................................... 116
Tabla 45. Análisis de la categoría Procesos de detección ........................................................................ 117
Tabla 46. Objetivos de los activos y sistemas ......................................................................................... 117
Tabla 47. Vulnerabilidades de los activos y sistemas .............................................................................. 118
Tabla 48. Identificación de amenazas de ciberseguridad ........................................................................ 119
Tabla 49. Evaluación del riesgo .............................................................................................................. 120
Tabla 50. Descripción de los criterios de la probabilidad ........................................................................ 121
Tabla 51. Descripción de los criterios de impacto ................................................................................... 121
Tabla 52. Evaluación de la categoría Identificar ..................................................................................... 122
Tabla 53. Evaluación de la categoría Proteger ........................................................................................ 123
Tabla 54. Evaluación de la categoría Detectar ........................................................................................ 123
Tabla 55. Identificación de brechas......................................................................................................... 125
Tabla 56. Controles, características y valor............................................................................................. 132

IX
ÍNDICE DE FIGURAS
Figura 1. Modelo de auditoría de ciberseguridad ...................................................................................... 12
Figura 2. Fases de la implementación del SGSI ........................................................................................ 21
Figura 3. Arquitectura básica del IoT........................................................................................................ 26
Figura 4. Arquitectura del sistema de IoT ................................................................................................. 27
Figura 5. Arquitectura de plataformas IoT ................................................................................................ 27
Figura 6. Componentes del NIST CSF ...................................................................................................... 32
Figura 7. Propuesta del modelo simplificado de IoT ................................................................................. 35
Figura 8. Estructura del Framework Core ................................................................................................. 46
Figura 9. Niveles de implementación del NIST ........................................................................................ 48
Figura 10. Arquitectura del NIST ............................................................................................................. 51
Figura 11. Identificadores únicos de función y categoría .......................................................................... 52
Figura 12. Arquitectura del Cybersecurity Framework NIST ................................................................... 53
Figura 13. Cinco principios del marco COBIT ......................................................................................... 54
Figura 14. Creación de valor ..................................................................................................................... 55
Figura 15. Enfoque de Gobierno ............................................................................................................... 56
Figura 16. Roles, actividades y relaciones clave ....................................................................................... 56
Figura 17. Integración de COBIT ............................................................................................................. 58
Figura 18. Catalizadores corporativos del COBIT .................................................................................... 59
Figura 19. Organización del gobierno y gestión ....................................................................................... 60
Figura 20. Secciones de la ISO 27001 ...................................................................................................... 63
Figura 21. Esquema de las áreas de aplicación del IoT ............................................................................. 67
Figura 22. Capas del Internet de las Cosas ................................................................................................ 68
Figura 23. Pasos para la implementación del NIST CSF .......................................................................... 82
Figura 24. Funciones y categorías del NIST ............................................................................................. 87
Figura 25. Cronograma de actividades ...................................................................................................... 94
Figura 26. Desglose de fases del Cybersecurity Framework NIST ........................................................... 99
Figura 27. Mapa estratégico de la empresa Pacífico Seguros .................................................................. 101
Figura 28. Arquitectura tecnológica y de información ............................................................................ 102
Figura 29. Cantidad de políticas de ciberseguridad. ................................................................................ 106
Figura 30. Cantidad de ciberataques contemplados ................................................................................ 107
Figura 31. Nivel de conocimiento de ciberseguridad .............................................................................. 107
Figura 32. Conocimiento de políticas de ciberseguridad ......................................................................... 108
Figura 33. Conocimiento de ciberataques ............................................................................................... 108
Figura 34. Conformidad de ciberseguridad ............................................................................................. 109
Figura 35. Mapa de calor ........................................................................................................................ 121
Figura 36. Lineamiento de reportes 1...................................................................................................... 135
Figura 37. Lineamiento de reportes 2...................................................................................................... 135
Figura [Link] de reportes 3....................................................................................................... 136
Figura 39. Lineamiento de reportes 4...................................................................................................... 136
Figura 40. Conocimiento de las políticas de ciberseguridad ................................................................... 137
Figura 41. Conocimiento del cumplimiento de las políticas de ciberseguridad ....................................... 137
Figura 42. Conocimiento del cumplimiento de las directrices de la ciberseguridad ................................ 138

X
Figura 43. Conocimiento de los tipos de ciberataques ............................................................................ 138
Figura 44. Frecuencia de monitoreo ........................................................................................................ 139
Figura 45. Nivel de criticidad de vulnerabilidades .................................................................................. 139
Figura 46. Tiempo de respuesta frente a una vulnerabilidad ................................................................... 140
Figura 47. Conocimiento de tecnologías para la información ................................................................. 140
Figura 48. Conocimiento de equipos con antivirus ................................................................................. 141
Figura 49. Conocimiento acerca de la ciberseguridad ............................................................................. 141
Figura 50. Realización de talleres de ciberseguridad .............................................................................. 142
Figura 51. Políticas de ciberseguridad .................................................................................................... 143
Figura 52. Porcentaje de cumplimiento de políticas de ciberseguridad ................................................... 143
Figura 53. Porcentaje de cumplimiento de las directrices de ciberseguridad .......................................... 144
Figura 54. Cantidad de ciberataques ....................................................................................................... 144
Figura 55. Frecuencia de monitoreo ........................................................................................................ 145
Figura 56. Nivel de criticidad de vulnerabilidades .................................................................................. 145
Figura 57. Tiempo de respuesta frente a una vulnerabilidad ................................................................... 146
Figura 58. Cantidad de tecnologías para la protección de la información ............................................... 146
Figura 59. Cantidad de dispositivos con antivirus ................................................................................... 147
Figura 60. Nivel de conocimiento sobre ciberseguridad ......................................................................... 147
Figura 61. Talleres sobre la concientización de la ciberseguridad........................................................... 148

XI
RESUMEN

Con el pasar de los años han surgido nuevas necesidades y con ello se ha incorporado

nuevas tecnologías en las empresas como es el caso de Pacífico Seguros, la cual es una

aseguradora reconocida del Perú que brinda servicios a sus clientes, asimismo cuenta con un

gran volumen de información de sus clientes y de la empresa. Con la reciente implementación de

IoT, facilita la automatización de datos permitiendo el ingreso y obtención de información en sus

plataformas de manera sencilla convirtiéndolo así en un activo de la empresa. Como todo activo,

debe estar debidamente protegido para evitar la manipulación de la información de su plataforma

para fines ajenos a la empresa. Para ello, se ha realizado el diseño de una arquitectura de

ciberseguridad para los servicios de plataformas IoT el cual permita generar un impacto positivo

cubriendo las nuevas necesidades de la empresa Pacífico Seguros, garantizando salvaguardar la

información y permitiendo cubrir las expectativas solicitadas de la seguridad de la información

dentro de las plataformas correspondientes. Esta arquitectura se ha basado en el desarrollo del

framework NIST alineado a estándares que permite garantizar la ciberseguridad de las

plataformas IoT, para ello se ha logrado culminar cada brecha identificada en la evaluación del

perfil actual y perfil objetivo mediante un plan de acción, lo cual ha sido alineado a los controles

de los estándares ISO 27001 y la ISO 27032. Finalmente, al cubrir cada brecha se ha realizado

un plan de recuperación de las plataformas IoT en caso de que sucediera algún evento

cibernético que dañe la continuidad y operatividad de las plataformas.

Palabras Clave: Ciberseguridad, Internet de las Cosas (IoT), Cybersecurity Framework

NIST, ISO/IEC 27001, ISO 27032

XII
ABSTRACT

Over the years, new needs have emerged and with this new technologies have been

incorporated into companies, such as the case of Pacífico Seguros, which is a recognized insurer

in Peru that provides services to its clients, including a large volume of information from your

customers and the company. With the recent implementation of IoT, it facilitates the automation

of data that requires entering and obtaining information on its platforms in a simple way, thus

making it a company asset. Like all assets, it must be protected to avoid information from its

platform for fines outside the company. For this, the design of a Cybersecurity architecture for

the services of IoT platforms has been carried out, which allows generating a positive impact

covering the new needs of the company Pacífico Seguros, guaranteeing safeguarding the

information and allowing to meet the expectations requested of the security of the information

within the corresponding platforms. This architecture has been based on the development of the

NIST framework aligned to standards that guarantees the Cybersecurity of IoT platforms, for

this, each gap identified in the evaluation of the current profile and objective profile has been

achieved, which has been aligned to the controls of ISO 27001 and ISO 27032 standards. Finally,

to cover each gap, a recovery plan has been made for IoT platforms in the event of any cyber

event that damages the continuity and operation of the platforms.

Keywords: Cybersecurity, Internet of Things (IoT), Cybersecurity Framework NIST,

ISO / IEC 27001, ISO 27032

XIII
INTRODUCCIÓN

La industria evoluciona constantemente debido a las necesidades que se requieren y a la

tecnología que dispone. Este último varía constantemente debido a nuevos métodos con el fin de

optimizar y mejorar procesos, Esta evolución de industria pasó por varios procesos desde la

mecanización (Industria 1.0) hasta la digitalización (Industria 4.0) que es la actual. El objetivo de

cada evolución es proveer recursos para facilitar el manejo de la empresa.

Uno de los nuevos conceptos que trae la Industria 4.0 es el del Internet of Things (IoT),

esto facilita al usuario a un monitoreo y control fácil de algún área en específico mediante

pequeños dispositivos como sensores de poco consumo conectado a una red pueda mostrar

mediante una interfaz indicadores orientado a lo que estés interesado saber. Esta herramienta,

después de su correcta instalación, permite al usuario conocer información de un objeto sin la

necesidad de estar ahí ya que está en el ciberespacio, esto reduce principalmente tiempo al

usuario final y trabajar directamente con los datos recogidos desde ahí.

El ciberespacio es el entorno donde se guarda información relevante de la empresa la cual

es considerada como un activo relevante en la empresa, haciendo fácil su extracción dando la

posibilidad de que algún usuario ajeno a la empresa logre sustraer y manipular sin autorización

alguna. Este aspecto es crítico para las empresas porque necesitan que su información sea

confiable, no sea alterado y que esté disponible en cualquier momento que se requiera. Por ello,

la industria 4.0 también cuenta con un concepto para combatir estas preocupaciones llamado

ciberseguridad.

1
 Ante esto existen políticas, controles y estándares que cubren y garantizan salvaguardar

la información. Para su implantación se debería de planear el diseño de una arquitectura de

ciberseguridad que pueda velar los pilares claves de la seguridad de la información.

Este trabajo de investigación titulado “Diseño de una arquitectura de ciberseguridad para

los servicios de plataformas IoT en el área de TI dentro de la empresa Pacífico Seguros” está

compuesto por los siguientes capítulos que a continuación se mencionan:

Capítulo I. “Planteamiento del problema” en el cual se explica los problemas específicos,

el planteamiento de los objetivos que guiarán todo el proyecto, se describe las hipótesis y

variables, el tema de investigación, así como la justificación.

Capítulo II. “Marco Teórico” en el cual se formula los antecedentes de la investigación,

donde se analiza las bases académicas realizadas hasta ahora. Además, se enfatizan el

lineamiento base para el diseño de la arquitectura, las normas que definen la continuidad y

mejora de la gestión.

Capítulo III. “Metodología de investigación” en el cual se formula el tipo y el diseño que

se utilizará en la investigación, así como el universo, población y muestra que se demostrará con

los instrumentos, cronograma de actividades y costos del proyecto.

Capítulo IV. “Desarrollo de la solución” en el cual se desarrolla la arquitectura de la

ciberseguridad en base a los pasos definidos en el capítulo anterior.

Finalmente, en el capítulo V. “Conclusiones y Recomendaciones” se presenta las

conclusiones a las que llega la investigación luego de concluido el desarrollo del proyecto, a la

vez las recomendaciones establecidas para la empresa y el lector.

2
CAPÍTULO I. PLANTEAMIENTO DEL PROBLEMA

1.1. DESCRIPCIÓN DE LA REALIDAD PROBLEMÁTICA

1.1.1. Planteamiento del problema

Durante el transcurso del tiempo, el desarrollo de la revolución industrial creció a pasos

agigantados a tal punto de que la tecnología no tenga que depender de las empresas, sino todo lo

contrario y con el fin de tener una ventaja estratégica, y por consiguiente, un beneficio contra

otras empresas. El objetivo de usar tecnología en las empresas es automatizar procesos, obtener

información precisa lo más pronto posible y así poder hacer una toma de decisión.

El Internet de las cosas (IoT) cubre esos objetivos y necesidades de automatización de

procesos y obtención rápida de información que pide las empresas. Sin embargo, al ser una

tecnología relativamente nueva, en especial en nuestra región, requiere un gran presupuesto para

la implementación correcta de esto y mantenimiento volviéndose en un activo más que le da

valor a la empresa y como todo activo importante para la empresa debe ser protegido.

La automatización por parte de IoT hace que genere un tráfico de datos importantes para

la empresa, haciendo que si no se trata de manera correcta sea vulnerable de agentes externos

con fines perjudiciales para la empresa. Véase el caso de uno de los últimos ciberataques a escala

mundial conocidos como lo fue WannaCry que llegó a afectar a varias empresas internacionales

con el fin de secuestrar sus datos y pedir un rescate de $300 en bitcoins. Después de este

acontecimiento, la empresa proveedora del sistema operativo Microsoft actualiza de inmediato

con un parche para cubrir esa vulnerabilidad.

Bajo este caso de ciberataque de tipo ransomware, viendo a nuestro entorno, se puede

rescatar que muy pocas empresas en el Perú actual le dan importancia a estos temas, mucho

3
menos a su implantación, sabiendo que pueden sufrir de grandes pérdidas por sus

vulnerabilidades. Para ello, se presenta el caso de la empresa Pacífico Seguros siendo una

organización que pertenece a la línea de negocio aseguradora, si bien es cierto la empresa cuenta

con data sensible ya sea de sus colaboradores, clientes e incluso de su propia administración

privada.

Asimismo, la empresa cuenta con dispositivos IoT que son integrados en un software

conocido como plataforma IoT el cual conecta los dispositivos con los puntos de acceso y redes

de datos que generalmente son usados por los colaboradores de todas las áreas, este software es

utilizado por los colaboradores del área de TI permitiendo resguardar la data privada de la

empresa para evitar posibles ciberataques, para ello se llega a la siguiente pregunta: ¿ De qué

manera el diseño de una arquitectura de ciberseguridad para los servicios de plataformas IoT

permitirá asegurar la información en el área de TI dentro de la empresa Pacífico Seguros?

1.2. FORMULACIÓN DE PREGUNTAS DE INVESTIGACIÓN

1.2.1. Pregunta General

¿De qué manera el diseño de una arquitectura de ciberseguridad para los servicios de

plataformas IoT permitirá asegurar la información en el área de TI dentro de la empresa Pacífico

Seguros?

1.2.2. Preguntas Específicas

- ¿Cuáles son los principales riesgos de ciberseguridad en la empresa Pacífico Seguros?

- ¿Qué medidas se pueden aplicar a las plataformas IoT en la empresa Pacífico

Seguros?

- ¿Cómo evaluar la ciberseguridad para los servicios de plataformas IoT en el área de

TI de la empresa Pacífico Seguros?

4
 1.3. DETERMINACIÓN DE OBJETIVOS

1.3.1. Objetivo General

Diseñar una arquitectura de ciberseguridad para los servicios de plataformas IoT en el

área de TI dentro de la empresa Pacífico Seguros

1.3.2. Objetivos Específicos

- Diagnosticar la situación actual en ciberseguridad en el área de TI de la empresa Pacífico

Seguros.

- Analizar las vulnerabilidades, riesgos y amenazas de la empresa Pacífico Seguros para la

introducción de las tecnologías emergentes basadas en IoT utilizando el framework

NIST.

- Desarrollar una arquitectura de ciberseguridad para los servicios de plataformas IoT en el

área de TI de la empresa Pacífico Seguros aplicando controles de la ISO 27001 y la ISO

27032.

1.4. HIPÓTESIS DE LA INVESTIGACIÓN

1.4.1. Hipótesis General

El diseño de una arquitectura de ciberseguridad para los servicios de plataformas IoT

permitirá la integridad, disponibilidad y confidencialidad de su información en el área de TI

dentro de la empresa Pacífico Seguros.

1.4.2. Hipótesis Específicas

H1: La arquitectura de ciberseguridad permitirá evaluar las plataformas bajo el marco de

trabajo del NIST.

H1: Para evaluar las plataformas IoT se deben aplicar controles de seguridad.

5
 H1: El desarrollo de una arquitectura evalúa los activos de la empresa Pacífico Seguros

incluyendo activos tangibles e intangibles.

1.5. JUSTIFICACIÓN DE LA INVESTIGACIÓN

Ante la tendencia de las tecnologías emergentes basadas en IoT para uso empresarial y

casos registrados en los últimos años de ciberataques a empresas, en especial multinacionales,

existe la incógnita de saber cómo las empresas están preparadas para poder implementar IoT y

lograr proteger sus plataformas. Por esta razón, en la siguiente investigación se realizará el

diseño de una arquitectura de ciberseguridad para las plataformas IoT en la empresa Pacifico

Seguros.

Los beneficios del diseño de esta arquitectura para las plataformas IoT serían las

siguientes:

- Ventaja estratégica respecto a otras empresas

- Agregar valor a la empresa

- Seguridad y confidencialidad de la información

1.5.1. Metodológica

Con la siguiente investigación se permite fomentar la prevención y detección de riesgos o

problemas cibernéticos en la empresa privada Pacífico Seguros, para lo cual se dará a conocer

que existen ataques cibernéticos por no contar con una arquitectura establecida de ciberseguridad

la cual protege los activos de información en este caso dentro de las plataformas IoT, asimismo

se brindará analizará el uso del modelo de gestión de riesgos basado en la implementación del

Internet de las Cosas lo cual permitirá resguardar la seguridad y confidencialidad de la

información.

6
 1.5.2. Práctica

Este trabajo de investigación es relevante debido a que diferentes estudios realizados por

entidades especialistas en ciberseguridad indican que muchos ciberataques evolucionaron y que

existen malware cada vez más peligrosos que buscan vulnerabilidades en grandes sistemas con la

finalidad de sustraer información digital (ransomware). Para ello con la nueva arquitectura

establecida para las plataformas IoT permitirá el correcto seguimiento de la información

permaneciendo así su propia seguridad e integridad de los datos.

1.6. IDENTIFICACIÓN DE LAS VARIABLES

1.6.1. Variable Dependiente

Arquitectura de Ciberseguridad

1.6.2. Variable Independiente

Servicios de plataformas IoT

CAPÍTULO II. MARCO TEÓRICO

2.1. ANTECEDENTES DE LA INVESTIGACIÓN

Al investigar casos relacionados previos para el estado del arte, se encontraron trabajos de

investigación basados en el framework de la ciberseguridad y otros en la utilización del Internet

de las Cosas, pero todos con el mismo propósito que es la arquitectura de la ciberseguridad para

las plataformas IoT.

“Gestión de la ciberseguridad y prevención de los ataques cibernéticos en las Pymes del Perú,

2016” (Inoguhi, A. & Macha, E., 2017)

Resumen:

7
 En esta investigación se plantea evaluar las Pymes del Perú, enfocándose en sus

empleados, por medio de un cuestionario para saber si se tiene conocimiento de lo que es un

ciberataque, importancia y cómo actuar en el caso de que dicha Pyme sea víctima de ello. Al

finalizar con el análisis de datos se debería de proponer algunas recomendaciones para poder

garantizar la seguridad informática en las Pymes.

Objetivo:

El objetivo de esta investigación es prevenir los ataques cibernéticos en las PYMES del

Perú mediante la evaluación y desarrollo de la gestión de la ciberseguridad en el año 2016.

Metodología:

En base a los resultados de los cuestionarios de las Pymes investigadas, se desarrolla un

análisis estadístico mostrando el nivel de conocimiento que tienen sobre el tema de

ciberseguridad y que plantean sus empresas al ser atacado por ello. Asimismo, se utiliza 4 pasos

para el análisis de datos: compilación de datos, su clasificación, presentación de información en

tablas y gráficos y análisis descriptivo. Con ello se desarrollará un plan estratégico de

ciberseguridad y un plan en el cual se concientice temas basados en la seguridad de información

empresarial, lo cual permitirá generar diferentes aplicaciones las cuales se puedan utilizar para

asegurar la información y así minorizar los riesgos producidos por los ciberataques, con el fin de

tener resultados se realizan una serie de preguntas al área de sistemas.

Resultados:

Para ello, se presenta en la investigación los resultados del cuestionario desarrollado por

el personal de dichas empresas muestra como resultado que están conscientes de la importancia

8
de la ciberseguridad, pero que la empresa no cuenta con protocolos ni políticas que los lleve a

tomar acción de prevención y evitar posibles amenazas.

Conclusiones:

Finalmente, se esclarece que la mayoría de Pymes sufren de escasez de plan de respuesta

frente a ciberataques donde puedan mantener segura su información logrando así una

continuidad de negocios de manera fiable.

“Evaluación de la capacidad de detección y respuesta a riesgos de ciberseguridad, caso de la

empresa SISC” (Mendoza, L. & Vega, G., 2019)

Resumen:

El fin de este trabajo es que busca determinar el nivel de capacidad de gestión de

ciberseguridad, definir brechas para proponer controles y ofrecer un plan de ejecución con los ya

mencionados controles. Todo esto mediante el marco de referencia NIST alineado con COBIT 5

como referente de evaluación y con el e estándar ISO/IEC 33020 que ofrece métodos para la

cuantificación de procesos con el fin de estimar sus facultades. El objetivo es minorizar los

riesgos de ciberseguridad en la empresa SISC mediante la detección de ellos y así poder tener

una respuesta frente a los eventos imprevistos. Todo esto con la finalidad de identificar controles

adecuados al caso que permitan cubrir dichas brechas y proponer un plan de acción alienado a

los controles mencionados.

Metodología:

Asimismo, en cuanto a la metodología optaron por COBIT 5 for risk el cual permitirá

contemplar el ambiente externo e interno de la organización, esta metodología aplica los cinco

9
principios de COBIT, este se centra en los riesgos y brinda de manera más específica una guía de

buenas prácticas para minorizar los riesgos de cualquier tipo que pueda dañar al entorno

empresarial, lo cual esta guía puede ser enfocada para los profesionales en ciberseguridad.

COBIT 5 para riesgos proporciona dos tipos de criterio en cuanto a su aplicación de

detección de riesgos los cuales se definen a continuación.

La función de riesgos abarca puntos necesarios para diseñar y mantener la función de

riesgos dentro del ambiente empresarial.

La gestión de riesgos está alineada a los habilitadores que brinda el COBIT los cuales

deben ser analizados por la empresa y evaluar cuáles de ellos cumplen; asimismo, en este criterio

se define los procesos de gobierno y gestión de riesgos lo cual permite identificar, analizar,

responder frente a los riesgos identificados y poder saber cómo evaluarlos.

Resultados:

Finalmente, se esclarece que los incidentes y eventos de ciberseguridad que han sido

hallados en la empresa SISC vienen a ser el deficiente sistema de detección de archivos

maliciosos ocasionando así la vulnerabilidad de intrusión de malware a los activos operacionales

de la empresa, uso de medios de almacenamiento externo (USB) y la escasez de protocolos para

responder ante los incidentes de ciberseguridad. Por otro lado, los principales controles que se le

recomienda implementar a la empresa para fortificar su análisis y gestión de riesgos en

ciberseguridad son los de administrar un firewall de aplicaciones web lo cual permita dar

seguimiento al tráfico de datos y poseer un programa en el cual se difunda la concientización de

la ciberseguridad.

Conclusiones:

10
 A partir de esta investigación, el proceso donde evalúa las facultades en los procesos

determinados en el nivel 1 nominado como proceso ejecutado determina que cumplen la función

de manera incompleta. Esto lleva a la conclusión que se posicionan en el nivel 0 (procesos

incompleto).

“Auditorías en Ciberseguridad: Un modelo de aplicación general para empresas y naciones”

(Sabillon, R. & Cano, Y., 2019)

Resumen:

Este articulo muestra el producto de la investigación respecto a la implementación y

evaluación del Modelo de Auditoría de Ciberseguridad denominado como CSAM, el cual es una

metodología basada en muchos casos y desarrollado en una universidad de Canadá. Se plantea

que la metodología se use para agilizar procesos como auditorías respecto a ciberseguridad en

cualquier entidad pública o privada para medir el nivel de seguridad, madurez y el plan de

respuesta frente a un ataque cibernético. El propósito de este análisis es desarrollar y autentificar

que el Modelo de Auditoría de ciberseguridad cumple con las facultades de afrontar las

competencias solicitadas por las auditorías de ciberseguridad.

Metodología:

Asimismo, la metodología a usar es la de Yin, para ello se utilizó la compilación de datos,

una evaluación de ellos, contenido de casos y el manejo de escenario. El sistema de investigación

se distribuye en una secuencia de actividades de identificación del problema, definición de

objetivos, diseño y desarrollo, demostración, evaluación y comunicación. Luego, se procede al

diseño, implementación y validación de un estudio de casos para ello se implementó el Modelo

de Auditoría de Ciberseguridad el cual es marco de trabajo reinventado y diseñado de manera y

11
exhaustiva que abarca la evaluación de ciberseguridad para cualquier entidad empresarial y

puede validar normas precisas para los países que piensan en la implementación de este modelo

como una estrategia para poder resguardar su información que almacenan lo cual es un activo

muy importante para las empresas. Asimismo, este modelo cuenta con 18 dominios, 26

subdominios lo cual te permite evaluar mediante cuadros de mando, a la vez se cuenta con 169

controles los cuales son definidos mediante los dominios y un cuadro de evaluación tal y como

se muestra en la siguiente figura.

Figura 1. Modelo de auditoría de ciberseguridad

Fuente: Sabillon, R. & Cano, J. (2019). Auditorías en ciberseguridad: Un modelo de aplicación general para
empresas y naciones (p.37)

Resultados:

Con ello, se esclarece que las auditorías de ciberseguridad son métodos efectivos para

estimar el nivel de efectividad de los controles y capacidad de respuesta ante ciberataques, el

12
CSAM se utiliza para pensar en la planificación y evaluación mediante las auditorías de

ciberseguridad que se puede realizar en cualquier organización independientemente de su

tamaño. A la vez, el CSAM ha sido implementado y validado mediante tres entornos diferentes

en la universidad de Canadá.

Conclusiones:

A partir de esta investigación, el CSAM no pertenece únicamente para empresas, este

modelo es factible para cumplir con los objetivos de planificación, realización y verificación de

auditorías de ciberseguridad en distintas entidades. El CSAM fue desarrollado con la finalidad de

evaluar la ciberseguridad mediante las auditorías lo cual se puede realizar de manera parcial o

completa y se determine el sector, tamaño y nivel de madurez.

“Plan Informático 2018 – 2022, basado en la norma ISO/IEC 27032:2012 para mejorar la

ciberseguridad de los recursos tecnológicos de información y comunicación (TIC’s) en la

unidad educativa Alfredo Pareja Diezcanseco de la ciudad de Santo Domingo” (Tiban, B.,

2018)

Resumen:

Esta investigación se basa en el estándar ISO/IEC 27032:2012 un nuevo estándar el cual

resguarda información de riesgos existentes en el ciberespacio. Se ha optado para la creación de

políticas de seguridad y planes de contingencias capaces de ayudar en la tarea de proteger de

manera física y lógica los recursos informáticos de la Unidad Educativa.

Objetivo:

13
 El objetivo de esta investigación es un plan informático con vida útil para la empresa

entre los años 2018-2022 utilizando como base la normativa ISO/IEC 27032:2012 para enfatizar

en la mejor del nivel de ciberseguridad de las TI y comunicaciones en la escuela Alfredo Pareja

Diezcanseco.

Metodología:

Asimismo, en cuanto a los métodos de la investigación se ha orientado por el método

analítico – sistemático e inductivo - deductivo ya que permite conocer el origen del problema

partiendo de lo más general a lo específico para mejor compresión del tema y cada uno de sus

derivados. El método analítico – sistemático permite descomponer y estudiar minuciosamente el

problema, mientras que el inductivo – deductivo permite analizar de situaciones particulares a

hechos generales. Asimismo, para este plan los pasos a seguir fueron los siguientes: Estado

situación actual de la institución, funciones de los stakeholders en el ciberespacio, creación de

documentación regulatoria, hallazgo de riesgos y la evaluación de crear un plan de contingencia

y promediar el presupuesto evaluado.

En el estado de la situación actual de la institución se analiza la visión, misión,

organigrama institucional. En el caso de funciones de las partes interesadas se detalla el cargo de

cada personal junto con sus funciones, se esclarece los activos en el ciberespacio (físicos, lógicos

o talento humano), amenazas en el ciberespacio dando una lista de clasificación, vulnerabilidades

en el ciberespacio (teniendo en cuenta los activos) y realizar un análisis FODA para conocer la

situación externa e interna. Para la creación de documentación regulatoria se determina el

objetivo y alcance para conocer las normativas en cuanto a la seguridad y definir los protocolos

para el control de acceso. Es necesario conocer la seguridad lógica, seguridad en las

14
telecomunicaciones, seguridad de las aplicaciones, seguridad física, seguridad de la red y así

crear un manual de procedimientos para su uso posterior.

Con ello, es necesario conocer cada riesgo que se asimila a los diferentes tipos de

seguridad que se da en las organizaciones para establecer planes de contingencia en cuanto a la

dificultad e impacto de cada riesgo dado en la empresa, finalmente se esclarece un presupuesto

que asume una decisión por parte de las altas direcciones en poseer planes de contingencia y si es

posible contar con programas de outsourcing.

Resultados:

Finalmente, se determinó los posibles riesgos que se pueden suscitar en la infraestructura

tecnológica y proponer un plan preventivo detallado en el plan de contingencia. Con ello, se

diseña documentos regulatorios que brindan una normativa y se asigna responsabilidades,

garantizando un apersonamiento de los usuarios en sus diferentes actividades

Conclusiones:

A partir de esta investigación, se establecen políticas y normas de seguridad en los

recursos informáticos, para facilitar los procesos a seguir en caso de circunstancias. Por ello,

según el estudio del estado actual de la entidad educativa tienen deficiencia en ciertos apartados

para la seguridad de la información y otros carecen de los mismo, para ello se logró determinar

que no cumplen con lo establecido y por ende esto afecta los servicios tecnológicos de la misma.

“Estudio de la implantación de Internet de las Cosas en las redes logísticas de la cadena de

suministro” (Alandi, A., 2016)

Resumen:

15
 Esta investigación busca resolver mediante el desarrollo de esta tesina es resaltar los

beneficios que brindaría la IoT implantado en áreas logísticas, beneficios tales como la

optimización en costos y tiempo.

Objetivo:

El objetivo de este trabajo es establecer una metodología de implantación de IoT en la

cadena de suministro determinado en la logística.

Metodología:

Con ello, en la investigación se contextualiza el campo con sólidos conceptos y

definiciones para conocer qué es lo que se va a aplicar. Posterior a eso se conoce los aspectos

principales del área de estudio. Al conocer lo que pide se procede a diseño de una arquitectura,

decidiendo qué herramientas se van a aplicar y mencionando las ventajas competitivas que

ganaría en su implantación.

Recomendaciones:

Finalmente, se logra optimizar la integración entre las organizaciones con la finalidad de

compartir información que sea eficiente para la optimización en el proceso de logística operando

con mayor eficiencia. A la vez, la implantación del Internet de las Cosas es menos dificultosas

aplicando la nueva metodología propuesta.

Conclusiones:

A partir de esta investigación, se puede determinar que se están creando nuevos métodos,

para que a largo plazo la gestión de la cadena de suministro de manera óptima, fácil y precisa

para los usuarios.

16
“Propuesta de un modelo de aplicación de IoT y Telemetría en los procesos de servicios de

taller para empresas concesionarias automotrices” (Gaitan, F., Mayorga, W., Onofre, O.,

Reynoso, E., & Soto, J., 2018)

Resumen:

En la siguiente tesis se propone un sistema aplicando tecnologías IoT y Telemetría para

los procesos principales en las organizaciones de concesionarias automotrices con el fin de

brindar un servicio de atención al cliente de manera personalizada y así generar una ventaja

competitiva y punto de diferenciación con las otras empresas del rubro.

Metodología:

Las metodologías de investigación que se utilizan son la cualitativa exploratoria basada

en el método de entrevista y focus group, y la cuantitativa descriptiva en base a la técnica de

encuestas. En las cuales se utilizan seis fases tales como la recopilación de información,

situación actual del servicio de taller, diseño de la investigación, análisis de resultado, propuesta

del modelo de solución y análisis económico.

Recomendaciones:

Finalmente, se establece un diseño de hardware y software en la cual se gestione el

proyecto y se genere una estrategia de implementación, ejecución de instrumentos de

investigación como el focus group y la herramienta consultas a expertos de la empresa, lo cual

permitió corroborar el modelo y poder agregar algunas sugerencias. En cuanto a la industria

automotriz, las organizaciones concesionarias desean generar una nueva idea competitiva que

acceda a posicionarse como empresa líder en su rubro de mercado.

17
 Conclusiones:

A partir de esta investigación, la metodología para la aplicación de IoT y Telemetría

sugiere analizar y desarrollar una arquitectura de hardware y software, con el apoyo de la gestión

de proyectos y un plan de implementación.

“Propuesta de implantación del Cyber Security Framework (CSF) del NIST usando COBIT

en Honda del Perú” (Aguilar, C., Lau, E., Olivera, S., & Polanco, C., 2017)

Resumen:

En esta investigación se propone aplicar el cyber security framework a Honda del Perú

para lo cual utilizan los recursos y herramientas de COBIT 5 utilizando sus prácticas e

instrumentos de gobierno y gestión. A la vez se ha creado herramientas particulares de análisis

en la gestión de los riesgos, para que puedan adaptar la realidad y contexto actual dentro de la

metodología de trabajo de aplicación del CSF bajo COBIT 5. El objetivo es determinar el

resultado de la aplicación de la gestión de la ciberseguridad a la entidad peruana HONDA, en

este caso siendo la empresa Honda Perú tomando como referencia el CSF del NIST para la

implantación de un marco de ciberseguridad, a la vez usa COBIT 5 como modelo alienado al

marco principal.

Metodología:

Para ello, la metodología a usar es la del cyber security framework (CSF) ya que ofrece la

posibilidad de utilizar los controles propuestos por diferentes marcos de trabajo como COBIT 5,

ISO 27001, ISA 62443-2-1:2009, entre otros. Asimismo, se utilizan cinco fases descritas en siete

pasos tales como priorizar y definir el alcance, orientar, crear perfil actual, evaluación de riesgos,

crear un perfil como objetivo, determinar, analizar y priorizar gaps, para finalmente implementar

18
plan de acción. El marco de referencia que mejora los activos cibernéticos (NIST) es un marco

de trabajo que tiene la finalidad de evaluar aspectos puntuales de la empresa y evaluar procesos

de detección y respuesta para determinar qué tan seguro puede ser en caso de ser atacado. NIST

se compone de tres partes pero en el proyecto se prioriza el núcleo del marco de referencia, los

perfiles y niveles de implementación para establecer un mapa de ruta de mejoras a implementar.

Recomendaciones:

Al aplicar el CSF a Honda Perú involucró un desarrollo exhaustivo de los componentes

principales de cada fase, para ello se sugirió planes que afronten los tres mayores problemas

definidos al implementar un marco de ciberseguridad en Honda Perú y se creó herramientas

particulares de análisis en la gestión de los riesgos, para adaptar la realidad y contexto actual de

Honda Perú, dentro de la metodología de trabajo de aplicación del CSF bajo COBIT 5.

Conclusiones:

A partir de esta investigación, se concluye que los componentes principales en el proceso

de implantación de un framework de ciberseguridad son la cultura organizacional, los gastos en

TI y el personal de TI quienes adolecen los conocimientos técnicos y de gestión para conocer los

riesgos empresariales que implican las ciberamenazas.

“Implementación de un sistema de detección y prevención de intrusos (IDS/IPS), basado en la

norma ISO 27001, para el monitoreo perimetral de la seguridad informática, en la red de la

Universidad Peruana Unión – Filial Juliaca” (Coyla, Y., 2019)

Resumen:

19
 En esta investigación se propone utilizar un software de monitoreo de intrusos y tráfico

de red con la finalidad de impedir el acceso al sistema de usuarios no autorizados. Se piensa

utilizar un método para controlar la red con la norma ISO 27001 para conocer métodos de

evaluación. Con el fin de implementar una herramienta que permita resguardar la seguridad

perimetral de la red de la universidad mediante herramientas que permita detectar y prevenir los

riesgos esto es conocido como el IDS/IPS lo cual será alineado a la ISO 27001.

Metodología:

Asimismo, utilizan la metodología de la ISO 27001 siendo un estándar internacional que

ayuda a estudiar el riesgo y buscar solución. Este trabajo usando la ISO sigue los siguientes

pasos: planificar, implementar, medir y mejorar. Todo esto para ofrecer una mejora de calidad en

dicha implementación y sea alineado a generar un SGSI.

20
Figura 2. Fases de la implementación del SGSI
Fuente: Coyla, Y. (2019). Implementación de un sistema de detección y prevención de intrusos (IDS/IPS), basado en
la norma ISO 27001, para el monitoreo perimetral de la seguridad informática, en la red de la Universidad
Peruana Unión (p.44)

Para ello, se utiliza principalmente software libre de monitoreo de red. Cuando se

implementa Snort a la red se prioriza el concepto de IDS/IPS que proporciona ayuda al

administrador de red para detectar actividades poco usuales dentro de la red o actividades

maliciosas con la finalidad de que infiltrados en el sistema no manipulen la información de los

dos ordenadores.

21
 Resultados:

Finalmente, se muestra que la implementación de las herramientas es implementada de

manera satisfactoria en base a la información requerida, utilizando así software que permita

cubrir de manera satisfactoria las necesidades como Snort que sirve para la seguridad perimetral

y la herramienta ISO 27001 que mejora la calidad de implementación.

Conclusiones:

El Snort es un programa que detecta intrusos en la red de software libre (gratuito) que se

ajusta a las especificaciones y condiciones de la empresa configurando en base a sus necesidades

con el fin de monitorear el tráfico de red.

2.2. ESTADO DEL ARTE

A lo largo de los años, las tecnologías de información dentro de la industria han ido

evolucionando para cubrir las necesidades cambiantes de las empresas del país y el mundo. Por

ello, en la actualidad las industrias están aplicando diferentes métodos de producción y

operaciones con herramientas inteligentes promoviendo así la Industria 4.0, lo cual implica el

indicio de una nueva revolución el cual no solo será integrada en las organizaciones sino que

también en las personas y activos. Y ante esta proposición, según Joyanes (2018), la Industria 4.0

es la tendencia actual para la automatización de producción de la empresa, lo cual favorece en la

extracción de información en tiempo real y automatización entre máquinas y activos de la

empresa. Para ello, se utiliza herramientas como el Big Data, Internet of Things (IoT) y análisis

de datos (p.25).

Con lo ya expuesto, se logra entender que la Industria 4.0 implica importantes cambios en

las empresas lo cual genera un gran impacto y permita alcanzar a tener una nueva visión, esto es

22
alineado a que los sistemas y procesos se conviertan en fuentes digitalizadas y se genere la

interconexión mediante el Internet of Things.

Por ende, las organizaciones tienden a determinar las tecnologías que satisfacen mejor

sus objetivos de negocio y así poder invertir en ellas, si bien es cierto al incluir nuevas

tecnologías en el mercado trae consigo muchos beneficios pero a la vez muchas problemáticas,

ya que cada vez se está generando nuevas oportunidades de lucro para los criminales en robar

información dentro de una organización ya sea de manera física o virtual.

2.2.1. Internet de las Cosas en las organizaciones

Actualmente, en las empresas surge una necesidad de monitorizar y automatizar procesos

con el fin de adquirir una ventaja competitiva y generar un valor agregado. El uso que se le da al

Internet of Things (IoT) a una empresa varía de acuerdo con el área al cual se desea aplicar. En

las siguientes citas se mostrará casos reales de usos variados de IoT. Gaitan et al. (2018) en su

tesis tienen como objetivo la definición de una perspectiva tecnológica lo cual aplique el Internet

de las cosas y la Telemetría en la empresa automotriz peruana lo cual permita identificar los

componentes más importantes como son los procesos de reserva de citar, la venta de repuestos y

otros procesos identificados (p.23). Para ello, la propuesta del uso de IoT abarca el tema de

instalar y configurar varios tipos de dispositivos y faciliten la implementación de actividades

como la recepción de vehículos, reserva en citas, recomendación en compra y eventos de

campañas.

Además, en la revista Enfoque UTE publican un artículo lo cual está enfocado a proponer

un sistema que permita recolectar datos meteorológicos en tiempo real usando un RSI, este

permite tener una red que almacene los sensores inalámbricos (p.1). Este sistema utiliza

herramientas tanto de hardware como de software para minimizar los costos e integración con las

23
plataformas IoT para la extracción y manipulación de datos, además de ofrecer un estándar

flexible para la adición de nuevas actividades y con fuente de energía eco amigable.

Respecto a lo que dice Gaitan y otros autores, enfocan el concepto de IoT junto a otros

conceptos de industria 4.0 en su caso para diseñar un ecosistema a una concesionaria automotriz

para automatizar procesos de reservas de citas y vehículos y otros procesos identificados lo cual

permita mejorar la producción de la empresa junto con el abastecimiento del local y mejorar la

atención a los clientes. Mientras que en el artículo de UTE enfoca IoT en un tema más pequeño,

al monitoreo de cambios ambientales mediante sensores a zonas rurales, esto facilita el conocer

cambios ambientales de dichas zonas sin la necesidad de tener que revisar de manera presencial

pudiendo estar en cualquier lugar.

[Link]. Implantación del Internet de las Cosas

La utilización del Internet de las Cosas ha abierto enormes ventajas en los diferentes

ámbitos, para eso Alandi (2016) enfoca como objetivo en su tesis que se pueda analizar los

beneficios de la implementación del Internet of Things en su cadena de suministro (p.10). Esto

da como consecuencia un aumento de posibilidades en el rubro de cadena de suministros bien

sea para gestionar de la mejor manera posible maximizando la utilidad de los recursos a

disposición a las labores operativas y de manera segura. Asimismo, Rodríguez (2017) señala que

es factible diseñar un modelo el cual integre el IoT y otros dispositivos (p.15). Esto permitirá el

diseño de aplicaciones que faciliten la integración de distintos dispositivos sentando las bases

para el desarrollo de la generación de un Metamodelo que integre distintos elementos (sensores,

cloud y web 2.0) para el desarrollo de las IoT.

En estos dos últimos casos, se puede apreciar el distinto uso que se le da a IoT, siendo

usado en un caso que se viene fácil a la mente como lo explica Alandi queriendo aplicarlo para el

24
monitoreo en logística, una de las primeras aplicaciones que se vendría a la mente si se habla de

este tema. En cuanto a Rodríguez aplica IoT, para ser más específico IIoT (internet industrial de

las cosas) en un caso de aplicación más abstracto para una red social, tema que es complejo si no

se tiene bien claro el concepto y los componentes que conviene acoplar con IoT junto a otros

temas de la industria 4.0 como Cloud, una de las tecnologías que suena para las empresas.

[Link]. Arquitectura del Internet de las Cosas

La finalidad del Internet de las Cosas es integrar distintos dispositivos ayudando a crear

una conexión entre las personas y las máquinas, para así mejorar la comunicación entre personas

o conectar todo lo físico con lo virtual para así automatizar y mejorar todos los procesos dados

en una empresa o en la vida diaria, todo esto facilitado por la única condición de que dichos

dispositivos deben estar conectados a una red. Para ello, el diseño utilizado para el Internet de las

cosas se parte en tres niveles, la primera parte está conformado por los diferentes sensores siendo

una fuente de información cada uno de ellos, estos sensores recopilan distintos tipos de datos.

Por otro lado, Rodríguez (2017) señala que existen dos niveles que permita analizar y

recopilar la data mediante los sensores interconectados con el internet por la red, lo cual en el

nivel intermedio existen redes alámbricas e inalámbricas que conectan los sensores y se recopila

la información en tiempo real y en el nivel superior se determina una arquitectura en base a tres

capas las cuales son la capada de tecnología, capa de aplicación y capa de middleware (p.28).

Esta arquitectura es general, ya que se han propuesto diferentes arquitecturas para el IoT las

cuales tienen como modelo básico la capa de aplicación, de red y lo cual se presenta en la

siguiente figura.

25
Figura 3. Arquitectura básica del IoT
Fuente: Rodríguez, J. (2017). Metamodelo para la integración del Internet de las Cosas y redes sociales (p.28)

Por otro lado, se plantea el diseño del sistema de IoT usando dos variantes de redes de

sensores inalámbricos RSI. La primera variante está alineada a DigiMesh lo cual permite la

interconexión. A la vez la red comprende de un nodo central y otros como sensores lo cual se

conecta a una puerta de enlace, usando Wi-Fi para devolver información a plataformas de IoT.

La segunda variante utiliza nodos Wi-Fi los cuales permiten la interconexión. Estas

componen las funciones de la composición de variables de meteorología, proceso y transmisión

de datos destinado a las plataformas IoT. En este apartado se elimina el uso del nodo central.

26
 Figura 4. Arquitectura del sistema de IoT
Fuente: Quiñones, M., Gonzales, V., Torres, R., & Jumbo, M. (2017). Sistema de monitoreo de variables
medioambientales usando una red de sensores inalámbricos y plataformas de Internet de las Cosas (p.331)

Asimismo, se establece una arquitectura para las plataformas IoT las cuales proveen una

vista como acceso a los datos por medio de protocolos de internet el cual permite realizar

procesamiento de datos, para ello se toma como ejemplo a Ubidots, Phant y ThingSpeak.

Figura 5. Arquitectura de plataformas IoT

Fuente: Quiñones et al. (2017). Sistema de monitoreo de variables medioambientales usando una red de
sensores inalámbricos y plataformas de Internet de las Cosas (p.335)

27
  La arquitectura de Ubidots se comprende en la transferencia de la información en

un ambiente almacenado en la nube para el diseño de aplicaciones que recopilan

información todo el tiempo.

 Phant viene a ser una herramienta de registro modular para la recolección de datos

de IoT, cabe resaltar que esta herramienta es de código abierto.

 ThingSpeak brinda como servicio plataformas de procesamientos basados en IoT

la cual permite la recopilación de datos de dispositivos a la nube y procesarlas.

2.2.2. Ciberseguridad en las organizaciones

Debido a los constantes cambios durante los años se han desarrollado nuevas

herramientas tecnológicas, lo cual ha permitido que se desarrolle el internet de las cosas y otras

tecnologías influyendo así la gran cantidad de inconvenientes sobre ciberseguridad y privacidad

de la data de los usuarios. Sabillon y Cano (2019) afirman que muchas empresas han sido

atacadas o se han detectado riesgos o eventos de ciberseguridad lo cual ha efectuado en la

operatividad del negocio, para ello las empresas tratan de proteger sus activos y poder

implementar protocolos y un programa de ciberseguridad (p.34). Debido a ello, se resalta que los

eventos de ciberataques en las empresas son altos, aunque la gran mayoría se pueden recuperar

de los incidentes cibernéticos en menos de 24 horas, mientras que otras empresas pueden tardar

días para recuperarse ante un incidente de riesgo cibernético.

[Link]. Tendencias de ataques cibernéticos a empresas privadas

Uudhila (2016) sostiene que las organizaciones deben de poseer un plan de acción en el

cual se adopte medidas de ciberseguridad para poder conocer sobre los posibles ataques

cibernéticos y puedan gestionarlo (p.26). Sin embargo, muchas instituciones prefieren priorizar

grandes presupuestos de seguridad cibernética, pero estos gastos financieros no son la solución

28
para evitar ataques cibernéticos sino el planteamiento de otras medidas y estrategias, como la

integración de los directivos, la concientización a una cultura basada en seguridad de la

información, monitoreo constante y documentación. Pese a ello, muchas empresas privadas

sufren ataques cibernéticos, según Inoguhi y Macha (2017) las entidades gubernamentales

invierten para crear y mejorar su infraestructura para enfrentar posibles eventos de ciberataques,

los actores que fomentan estos ataques maliciosos premedita sus actos buscando vulnerabilidades

en los sistemas (p.20).

[Link]. Tendencias de ataques cibernéticos de personas con accesos

autorizados

Por otro lado, cabe mencionar que estos ataques son también llamados como insiders

preocupando principalmente por ser una de las amenazas principales para la ciberseguridad en

entidades tanto privadas como públicas. Asimismo, Inoguhi y Macha (2017) definen que los

actores con fines de lucro de robar información de las empresas suelen ser actores infiltrados que

colaboren con la empresa o un grupo de personas que no están conformes con la cultura y clima

organizacional de la empresa, lo cual al ser actores que trabajan en la empresa pueden ingresar

fácilmente a sus sistemas y hurtar información de su red privada (p.22).

Esto fomenta riesgos para la organización como una divulgación prohibida de la

información almacenada en su ciberespacio de una empresa. Para ello, se deben establecer

diferentes medidas de seguridad en su entorno como proponer controles de acceso a sus

plataformas.

2.2.3. Ciberseguridad de acuerdo la norma ISO/IEC 27032

Con lo ya mencionado, las organizaciones deben establecer protocolos, controles y

recursos para minimizar la posibilidad de que ocurran dichos riesgos, en base a ello se sugiere el

29
estándar ISO 27032 la cual muestra un marco de buenas prácticas basado en casos ya

solucionados de empresas especializadas para optimizar el proceso de ciberseguridad en las

empresas, para ello se debe tener en cuenta los aspectos a los cuales se enfrentan al publicar o

trasladar información sensible al ciberespacio.

Asimismo, Guzmán (2019) enfatiza que muchas empresas no se encuentran preparadas

para enfrentar posibles riesgos de ciberseguridad, ya que no se cuenta con áreas que se encarguen

de la seguridad de la información lo cual no permite que se monitoree la red e infraestructura

tecnológica mediante protocolos de ciberseguridad y puedan responder o generar un plan de

acción ante los ataques cibernéticos (p.24).

Ante esto, se debería identificar las actividades más importantes y/o críticas, las personas

interesadas, los papeles que cumplen en el ciberespacio para establecer patrones y controles

específicos que puedan garantizar la seguridad en la entidad empresarial. Por otro lado, Tibán

(2019) señala que la norma ISO 27032 cuenta con numerales y una guía en donde se establece

los pasos para identificar los riesgos, analizarlos y evaluarlos en cuanto a controles y métodos

establecidos, lo cual permite que las empresas puedan mitigar los riesgos cibernéticos y sigan

manteniendo la operatividad y continuidad (p.43).

2.2.4. Implementación del marco de trabajo NIST para la ciberseguridad

Las entidades empresariales necesitan una perspectiva práctica y fácil de comprender

para poder implementar medidas y controles de seguridad que se alineen a sus estrategias y

decidir en fondos monetarios como inversión, esto conlleva a que la implementación

ciberseguridad se convierta en un reto. Mendoza y Vega (2019) señalan que es necesario

gestionar un modelo que mida el nivel de capacidad en sus procesos de detectar y responder

frente a los riesgos y eventos cibernéticos todo esto se encuentra descrito en el marco de

30
ciberseguridad NIST (p.11). Esto permitirá medir y estimar en qué nivel se encuentra la

efectividad en sus procesos, políticas, protocolos y controles de la ciberseguridad para así

determinar los puntos a mejorar en el proceso ya analizado.

Asimismo, facilita a las entidades a cubrir y estimar temas sobre la ciberseguridad se

establece implementar el NIST CSF para proporcionar orientación a la empresa dentro del sector

de infraestructura crítica para minimizar probabilidades ante eventos de ciberataques. Para ello,

Castaño (2018) afirma que es necesario determinar que el marco de ciberseguridad no es

exhaustivo, y que puede ser adaptable para cada organización independiente de su tamaño y

nivel de madurez, ya que este marco permite analizar las sus necesidades clave y organizar las

actividades a realizar lo cual permite que cada organización cumpla con sus objetivos clave esto

esclarece que el marco se personaliza en base a cada organización teniendo en cuenta su

lineamiento clave (p.4).

Este marco de trabajo se encuentra conformado por tres componentes los cuales son el

marco básico (Framework Core), niveles de implementación (Framework Implementation Tiers)

y los perfiles desarrollados en el marco (Framework Profiles) lo cual se presentará en la siguiente

figura.

31
 Figura 6. Componentes del NIST CSF
Fuente: Castaño, Y. (2018). Implementación del marco de trabajo para la ciberseguridad NIST CSF desde
la perspectiva de COBIT 5 (p.12)

El Core está conformado por cinco funciones que permiten determinar el ciclo de vida

para la gestión de los riesgos de ciberseguridad, estas funciones son identificar, proteger,

detectar, responder y recuperar lo cual cada una de ellos se encuentra estructurado de categorías,

actividades, resultados y controles.

El segundo componente denominado Tiers, asiste en conducir la evaluación y

planeamiento de las actividades de la ciberseguridad, y contiene los atributos a considerar para la

creación de los perfiles actual y objetivo.

El tercer componente o Profiles son dos: actual y objetivo, los que representan los

resultados basados en los objetivos del negocio, que identifican las oportunidades de

optimización en la postura de la ciberseguridad de una organización. Asimismo, Aguilar et al.

(2017) sostienen que “el CSF ofrece la posibilidad, además, de utilizar los controles propuestos

32
por diferentes estándares de trabajo para gestionar las TI y la seguridad de la información como

COBIT 5, ISO 27001, ISA 62443-2-1:2009, entre otros” (p.40).

2.2.5. Evaluación de la ciberseguridad con el Modelo de Seguridad IoT

A medida que la tecnología avanza ha surgido el Internet de las Cosas y se está

posicionando en las organizaciones para que todo esté conectado y todo sea inteligente, lo cual se

enfatiza en los diversos beneficios que trae consigo, pero a la vez van surgiendo de la mano

importantes retos de seguridad con la ejecución de un sistema basado en IoT, especialmente en el

desarrollo de la privacidad y la seguridad. Kóvacs (2018) afirma:

En un sistema de Internet of Things, a cada dispositivo se le asigna un identificador único

universal -Universally Unique Identifier (UUID), que permite que se identifique

inequívocamente para que se pueda reconocer fácilmente y se pueda enviar o recuperar

cualquier información relevante en el sistema (p.47).

Esto infiere que cada uno de los dispositivos en el sistema debe estar conectado a la

misma red para que así sea capaz de incorporar automáticamente todos los dispositivos

necesarios. Por otro lado, en un sistema de Internet of Things surgen diversas amenazas de

seguridad en sus 03 capas ya sean sensores, red, plataformas y aplicaciones, estas capas son

componentes esenciales que forman parte del IoT. A continuación, se detalla las capas del

sistema de Internet of Things.

Tabla 1. Capas del sistema de Internet de las Cosas

Capas del sistema de Internet de las Cosas
Capas Descripción

33
 Sensores Objetos inteligentes que se conectan a la red para ser
identificados de forma unívoca en la misma.

Red Permite interactuar con los dispositivos IoT para que se

realice algún tipo de acción.

Plataformas y Componentes para la monitorización, gestión y control de

aplicaciones los dispositivos IoT.

Principales capas que forman parte de un sistema de Internet of Things. Nota. Fuente:
Elaboración Propia adaptado de Seclén, J. & Aspilcueta, A. (2019). Publicado en Grupo de
investigación de Internet de las Cosas (p.14)

Debido a la diversidad de los dispositivos y la multitud de protocolos de comunicación en

los sistemas IoT; además de las diversas interfaces y servicios ofrecidos no es adecuado

implementar la seguridad de IoT basada en las soluciones de red de TI tradicionales, ya que no

pueden ser suficientes.

Para ello, al evaluar la ciberseguridad en el Internet of Things surge un Modelo de

Seguridad IoT conocido como el Modelo de Gestión de Riesgos, este utiliza una combinación de

las capas funcionales del Modelo Simplificado IoT superpuesto con el Modelo TCP/IP. Por lo

tanto, la implementación de la seguridad del Internet de las cosas debe abarcar la arquitectura de

seguridad en todas las capas de IoT.

34
 Figura 7. Propuesta del modelo simplificado de IoT
Fuente: Seclén, J. & Aspilcueta, A. (2019). Publicado en Grupo de investigación de Internet de las Cosas.
Caso: Seguridad en Internet de las Cosas, Gestión de riesgos, amenazas y vulnerabilidades (p.12)

Este modelo de Gestión de Riesgos está centrado en modelar las amenazas para poder

evaluar las vulnerabilidades de los activos de información, para ello se evalúan 05 fases para su

adecuada implementación.

En la primera fase, se logra identificar los objetivos de seguridad según su propósito y

operación comprendiendo los tipos de datos que maneja el sistema y las consecuencias del robo

o destrucción de los datos. Por ello, se presenta las categorías de objetivos de seguridad:

Tabla 2 . Descripción de las categorías de objetivos de seguridad

Descripción de las categorías de objetivos de seguridad
Categorías Descripción

Identidad Autentica usuarios y dispositivos.

Financiero Identifica activos que incluyen riesgos financieros.

Reputación Considera impactos sobre la reputación de la

organización si el sistema IoT es atacado.

35
 Privacidad y Documentar el impacto de la privacidad y otros
Regulación requerimientos de cumplimiento.

Garantías de Identifica los requerimientos de disponibilidad del

disponibilidad sistema IoT.

Seguridad (safety) Determina impactos a las personas, equipos e

instalaciones.

Categorías de objetivos de seguridad. Nota. Fuente: Elaboración Propia adaptado de Seclén,

J. & Aspilcueta, A. (2019). Publicado en Grupo de investigación de Internet de las Cosas
(p.14)

En la segunda fase, se documenta la arquitectura del sistema IoT, con esto se procede a

diagramar las funciones de la arquitectura del sistema utilizando diagramas de flujo de datos

(DFD) los cuales son útiles para visualizar un sistema IoT. Los DFD representan las rutas que

tomarán los datos entre los diferentes componentes funcionales del sistema, para ello es

imprescindible conocer los componentes (en las capas de aplicación, comunicación y de

dispositivo), flujo de datos (entre componentes y capas) y las tecnologías, protocolos o

estándares usados en el sistema IoT.

En la tercera fase, se descompone el sistema IoT para optimizar los procedimientos de

seguridad recomendados, permitiendo dividir las arquitecturas de IoT en varios componentes.

En la cuarta fase, se identifica y califica las amenazas surgiendo así los conceptos de

STRIDE y DREAD. El término STRIDE permite identificar las amenazas para así crear un

inventario de amenazas potenciales que puedan existir dentro de diferentes elementos de un

sistema de Internet of Things. Para ello, se organiza las amenazas en 06 categorías las cuales se

presentan.

36
 Tabla 3 . Categorías del STRIDE
Categorías del STRIDE
Amenazas Descripción Objetivo de
STRIDE Seguridad

Spoofing Falsificación o suplantación de Autenticación

identidad.

Tampering Manipulación de información. Integridad

Repudiation Negar autoría de una acción. No repudio

Information Divulgación de información. Confidencialidad

disclosure

Denial of Denegación de servicio (DoS). Disponibilidad

service

Elevation of Obtención de privilegio fraudulento. Autorización

privilege

Categorías de amenazas en el desarrollo de identificar amenazas. Nota. Fuente:

Elaboración Propia adaptado de Seclén, J. & Aspilcueta, A. (2019). Publicado en Grupo
de investigación de Internet de las Cosas (p.14)

Por otro lado, el término DREAD permite calificar las amenazas en la cual cada amenaza

identificada por STRIDE debe ser evaluada por su grado de riesgo para la organización. Para

ello, se organiza la evaluación en 05 categorías.

Tabla 4 . Categorías del DREAD

Categorías del DREAD
Categorías DREAD Objetivo

Damage Potential Si la amenaza es explotada, ¿cuál es el impacto del

(Daño potencial) daño al sistema?

37
 Reproducibility ¿Cuál es la probabilidad de que más de un atacante
(Reproducibilidad) pueda explotar la vulnerabilidad?

Exploitability ¿Cuán fácil es explotar la vulnerabilidad?

(Explotabilidad)

Affected Users ¿Qué porcentaje de usuarios son potencialmente

(Usuarios afectados) afectados por la explotación de una vulnerabilidad?

Discoverability ¿Cuán fácil es encontrar la vulnerabilidad?

(Descubribilidad)
¿Qué tan conocido es?

Categorías de amenazas en el desarrollo de calificar amenazas. Nota. Fuente: Elaboración

Propia adaptado de Seclén, J. & Aspilcueta, A. (2019). Publicado en Grupo de investigación
de Internet de las Cosas (p.14)

Finalmente, la quinta fase consiste en realizar una mitigación recomendada la cual

evaluará la amenaza y el posible riesgo al que la organización se pueda enfrentar para así evaluar

un control e implementar diferentes medidas de seguridad.

2.3. BASES TEÓRICAS

2.3.1. Arquitectura de Ciberseguridad

[Link]. Ciberseguridad

Las empresas modernas han comenzado a digitalizar sus procesos y utilizar nuevas

tecnologías para así ser líderes, pero esto trae consigo múltiples beneficios como así también

innumerables problemáticas, ya que las organizaciones tratan de asegurar su información en el

mundo virtual siendo este su activo más importante. Desde un punto de vista general, ISACA

(2017) citado en Mendoza y Vega (2019) señalan que la ciberseguridad es uno de los frentes de

la seguridad de la información, el cual se enfoca en proteger los activos de información que se

38
encuentran en el entorno cibernético a la vez permite que no se genere amenazas de los activos y

sean vulnerables a eventos cibernéticos (p.24).

Esto implica que las empresas deben priorizar su seguridad de la información en el

ciberespacio para así minimizar su exposición ante los eventos de riesgo. Por ello, la

ciberseguridad implica proteger equipos, redes, hardware y software aplicando medidas de

seguridad para evitar ataques y pérdida de datos, y así minimizar sus riesgos y en caso de ser

vulnerados poder contar con la capacidad de proteger la continuidad de su negocio. Por otro

lado, Tiban (2018) establece como concepto en cuanto a la ciberseguridad lo cual es determinado

como un conjunto de políticas, directrices, protocolos y establecer una metodología de gestión de

riesgos para salvaguardar la operatividad de los activos y continuidad del negocio (p.17).

Es decir que, el concepto de ciberseguridad se basa en la implantación de medidas y

programas de seguridad para así proteger los activos de información cibernéticos y evitar

posibles ataques; sin embargo, es irremediable que existan eventos de vulneraciones o

infiltraciones en el sistemas y se presente ciberataques.

Asimismo, la ciberseguridad es considerada como un estándar en las organizaciones

aplicando medidas y políticas para mejorar la protección digital y así evitar ataques maliciosos.

Por consiguiente, se presentan las etapas de la ciberseguridad:

Tabla 5. Fases de la ciberseguridad

Fases de la ciberseguridad
Etapa Descripción

Prevención Permite determinar vulnerabilidades que se conviertan en

amenazas y así proponer las medidas de prevención y
recuperación si fuese afectado.

39
 Detección e Localizar el origen del problema, gestionar la solución de
identificación la vulnerabilidad y realizar monitoreos constantes.

Acción y reacción Dar una respuesta técnica y activación de un protocolo.

Nota. Fuente: Elaboración propia adaptado de OBS Business School (2018). Publicado en
Tendencias & Innovación

Ante esto, se logra establecer a la ciberseguridad como un desarrollo de estudio y gestión

de los riesgos asociados al ciberespacio para salvaguardar la información y las infraestructuras.

Asociado a esto, las organizaciones deben realizar un análisis previo para prevenir,

proteger y detectar posibles ataques, si sucediera se tendría que dar respuesta para que así la

recuperación sea lo más pronto posible.

Por ende, exige la ejecución de una evaluación de riesgos sobre los activos más

importantes para dar a conocer las vulnerabilidades que se conviertan en amenazas a los que se

encuentran comprometidos e implementar con ello controles de seguridad necesarios para

disminuir, evitar, transferir o eliminar los riesgos, según sea la postura de gestión de riesgos

adoptada por la organización.

[Link]. ISO/IEC 27032

El estándar ISO 27032 es un estándar que garantiza directrices en cuanto a la seguridad

de la información cibernética, este proporciona tener mayor acercamiento de los stakeholders

para minimizar eventos riesgosos en el ciberespacio. Asimismo, la ISO/IEC 27032 provee un

marco general para la recopilación de información, manejo de eventos y la integración de

personal para asegurar los procesos.

Por otro lado, Vilcarromero y Vilchez (2018) afirman que el estándar ISO 27032

proporciona distintos tipos de protocolos y controles que son recomendables para cubrir distintos

40
aspectos de la ciberseguridad todo esto mediante numerales lo cual permite detallar aspectos

específicos como los controles de seguridad, alcances entre otros (p.16). Estos dominios son los

siguientes:

 Seguridad de la información

 Protección de redes

 Resguardo del internet

 Defensa en los apartados primordiales de la información

Este método favorece la seguridad y protección del resguardo de la información

ayudando a preparar y generar un plan de acción para la ciberseguridad, lo que se espera es que

se permita limitar los ataques de phishing, spyware, malware y diferentes ataques de software no

deseados. La ISO/IEC 27032 brinda un ambiente de seguridad a las cinco entidades del

ciberespacio, es decir ofrecer seguridad a la intersección de:

 Personas

 Internet

 Conexión de dispositivos

 Conexión de redes

 Software (sistemas operativos, aplicaciones, firmware, etc.)

2.3.2. Servicios de Plataformas IoT

[Link]. Internet de las Cosas (Internet of Things - IoT)

La tendencia de las organizaciones modernas está empezando a aplicar el Internet de las

Cosas para poder tener un escenario digital el cual se centre en la gestión de grandes volúmenes

de datos procesados. Según Zito (2018) citado en Gaitan et al. (2018) enfatiza que el Internet de

41
las cosas viene a ser la interconexión entre objetos que se conectan con una red para facilitar la

visualización de información a sus usuarios (p.34). Esta tecnología ha empezado a surgir en los

últimos años tomando como reto su implementación, ya que no existe un marco de referencia

estándar para su aplicación.

IoT se basa en componentes que necesitan conectividad y una plataforma donde pueda

circular los datos que transmiten. Ante esto, se logra entender que el Internet of Things es un

conjunto de dispositivos que conecta los sensores, software y la conectividad para mejorar el

rendimiento mediante el intercambio de información con otros dispositivos conectados. A la vez

IoT amplía la conectividad de Internet más allá de los dispositivos tradicionales, como

computadoras y portátiles, e incluye una amplia gama de dispositivos cotidianos y todo tipo de

máquinas.

Existe una amplia variedad de objetos cotidianos que están disponibles para su uso en

aplicaciones de IoT, entre ellos se destaca los siguientes:

Tabla 6. Tipos de usos del IoT

Tipos de usos del IoT
Aplicaciones Descripción

Smart Home Casas inteligentes en la cual los usuarios controlan

dispositivos domésticos y solicitan información mediante
el uso de un asistente.

Wearables Objetos que las personas se colocan en las muñecas y las

utilizan para realizar muchas tareas e incluyen un reloj
junto con otras funciones.

42
 Automóviles Vehículos equipados con acceso a Internet que se puede
conectados compartir mediante una red wifi con todos los pasajeros
del vehículo.

Smart Cities Ciudades inteligentes que pueden transformar ciudades

enteras y resolver problemas comunes de los ciudadanos.

Principales aplicaciones del Internet of Things. Nota. Fuente: Kóvacs, P. (2018). Publicado
en proyecto Fin de Grado en Ingeniería de Organización Industrial (p.11)

Originado con el Internet de las Cosas, la implementación de la seguridad de IoT debe

abarcar la arquitectura de seguridad en todas las capas de IoT, por lo cual el modelo de gestión

de riesgos es un punto clave para gestionar los incidentes riesgosos que afecten a la operatividad

del negocio y su continuidad.

[Link]. Plataformas IoT

Las plataformas IoT son los centros de recepción de datos de los dispositivos

interconectados para la manipulación y gestión del usuario encargado. Esta plataforma

incorporada al Internet de las Cosas se vincula con los dispositivos y sensores a través de sus

redes de datos para brindar una interfaz para el entendimiento del cliente. Por ello, la revista

Enfoque UTE (2017) indica que las plataformas IoT es un software que permite la recopilación y

visualización de los datos en tiempo real de los dispositivos interconectados por el internet de las

cosas lo cual será procesado y se volverá una información clave para las entidades (p.6). Esto

facilita el control de dichos aparatos para su correcta gestión dependiendo el uso que se le dé.

Para ello, se menciona las propiedades de una plataforma IoT.

Tabla 7. Propiedades de una Plataforma IoT

Propiedades de una Plataforma IoT
Propiedades Descripción

43
 Conectividad y Garantiza el flujo de datos y la interacción entre
normalización los dispositivos.

Gestión de dispositivos Mantener y resguardar el correcto

funcionamiento de los dispositivos conectados.

Base de datos Repositorio de almacenamiento de datos ya sea

virtualizado o físico.

Procesamiento y gestión Permitir la ejecución de acciones inteligentes

de la acción mediante la acción de eventos disparadores.

Visualización Generar centros de mando en los cuales se

visualice la información a tiempo real y pueda ser
extraída.

Interfaces externas Integra puertas de enlace para la interacción con

las aplicaciones.

Principales propiedades de una Plataforma IoT. Nota. Fuente: Elaboración Propia adaptado
de Quiñones et al. (2017). Sistema de monitoreo de variables medioambientales usando una
red de sensores inalámbricos y plataformas de Internet de las Cosas (p.10)

2.3.3. Cybersecurity Framework NIST (CSF)

El Cybersecurity Framework NIST es repositorio referido a las buenas prácticas de

ciberseguridad muy importante para la investigación, ya que comprende los intereses a ser

evaluados y permite gestionar la reducción de riesgos o eventos cibernéticos para así proteger los

activos importantes de la empresa. Este marco ha sido desarrollado por el Instituto Nacional de

Normas y Tecnología nominado como NIST, el cual pertenece a los Estados Unidos permitiendo

así que muchas organizaciones puedan implementar este marco con la finalidad de promover

temas que abarquen la innovación y permita mejorar la competitividad en su país.

44
 Este marco proporciona un conjunto de mejores prácticas las cuales son basadas en la

ciberseguridad siendo un lineamiento base para la creación de una arquitectura y así aplicarla en

cualquier organización independientemente de su línea de negocio. Asimismo, Mendoza y Vega

(2019) aluden que el NIST es un repositorio que busca mitigar riesgos cibernéticos, este marco

comprende tres componentes los cuales son el framework core, framework Implementation tiers

y framework Profiles (p.9). Este framework alinea guías de buenas prácticas las cuales apoyan a

impulsar la línea de negocio de cada organización; asimismo, se centra en definir protocolos para

establecer la ciberseguridad de los activos de la empresa e identificar eventos cibernéticos que

promuevan eventos cibernéticos y dificulten la continuidad del negocio, lo cual se podrá

identificar en los procesos de gestión de riesgos de la organización.

[Link]. Framework Core (Núcleo del marco de referencia)

El framework core contiene cinco funciones continuas, además brinda un listado de

actividades para obtener datos específicos de ciberseguridad, todo esto referenciado de ejemplos

para lograr dichos resultados. El Instituto Nacional de Normas y Tecnología (2018) enfatiza que

el framework core proporciona los efectos de ciberseguridad que han sido analizados en las

organizaciones para poder mitigar los riesgos cibernéticos; asimismo, el núcleo comprende los

elementos de funciones, categorías, subcategorías y referencias normativas (p.6).

Asimismo, es una recopilación de diferentes actividades de ciberseguridad lo cual permite

una comunicación e integración de actividades y sus resultados a nivel organizacional abarcando

niveles como ejecutivo hasta de implementación. De esta manera, el marco emplea cinco

funciones principales las cuales se deben realizar concurrentemente y de manera continua para

crear una cultura operativa que aporte la dinámica de riesgo de ciberseguridad, estas funciones se

definen a continuación:

45
Figura 8. Estructura del Framework Core
Fuente: Instituto Nacional de Normas y Tecnología (2018). Framework for Improving Critical Infrastructure
Cybersecurity. (p.6)

 Identificar (Identify): Desarrolla un entendimiento a la organización para mitigar

el riesgo cibernético de los activos, sistemas de información, personal de trabajo y

objetivos organizacionales que afecten directamente a la empresa y no apoye a

seguir con su continuidad de negocio.

 Proteger (Protect): Esta función desarrolla e implementa un conjunto de

actividades que permitan cumplir con la función de salvaguardar el

funcionamiento de los servicios y minimizar el área de impacto de un posible

incidente de riesgo a nivel cibernético.

 Detectar (Detect): Desarrolla e implementa una serie de actividades adecuadas

que permitan identificar algún evento o incidente cibernético de potencial riesgo

lo cual se puede evitar mediante la supervisión y monitoreo continuo.

46
  Responder (Respond): Desarrolla e implementa el despliegue de las diferentes

actividades las cuales son adecuadas para responder y esclarecer medidas de

seguridad ante un evento cibernético el cual impacte en el negocio, para ello se

debe establecer el proceso de mitigación del evento.

 Recuperar (Recover): Desarrolla e implementa un conjunto de actividades que

apoye a gestionar la recuperación y continuidad de activos, lo cual permitirá

continuar con la operatividad en la empresa frente a un evento cibernético que

cause un gran impacto.

Los elementos del Framework core se fusionan de la siguiente manera:

 Funciones: Permiten organizar las actividades de ciberseguridad para lograr un

nivel objetivo, estas funciones son identificar, proteger, detectar, responder y

recuperar.

 Categorías: Forman parte de las funciones las cuales son vinculadas a las

actividades y necesidades de cada uno de las cinco funciones.

 Subcategorías: Son la división de una categoría lo cual permite tener resultados

específicos de actividades sobre la gestión proporcionando resultados que apoyan

el logro de cada categoría.

 Referencias normativas: Son apartados particulares de normas, patrones y

prácticas frecuentes de los niveles de infraestructura que muestran la forma de

obtener resultados por cada categoría.

47
 [Link]. Niveles de implementación del marco de referencia

Estos niveles son conocidos como tiers los cuales proveen un entorno en el que se analiza

la cultura de ciberseguridad en la empresa frente a riesgos e incidentes previstos y conocer cómo

actúan ante una situación de riesgo informático. Cada escala explica y describe la escala de

madurez a nivel de empresa en cuanto a la ciberseguridad mediantes tres aspectos.

Estos niveles describen las prácticas de una empresa en un rango en específico, desde

conocimientos básicos y generales sobre la ciberseguridad hasta la práctica de mejora continua

en base a lecciones aprendidas. Para la identificación y clasificación de un nivel direccionado a

la empresa, se debe evaluar y considerar sus protocolos, entorno, objetivos de negocio, marcos

legales, y amenazas en la organización. Estos niveles se definen a continuación:

Figura 9. Niveles de implementación del NIST

Fuente: Castaño, Y. (2018). Implementación del marco de trabajo para la ciberseguridad NIST CSF desde
la perspectiva de COBIT 5 (p.6)

48
TIER 1: PARCIAL

 Proceso de Gestión de riesgos: No presenta documentación ni formalización de

las prácticas a nivel organizacional sobre gestión de riesgos y se resuelve los

riesgos de manera reactiva.

 Programa de Gestión integrada de riesgos: No hay mucho entendimiento sobre los

riesgos de ciberseguridad a nivel organizativo y no se establece el enfoque de

gestión de riesgo de ciberseguridad.

 Participación externa: No se establece procesos en los cuales exista la

participación, coordinación y colaboración con otras áreas de la empresa.

TIER 2: RIESGO INFORMADO

 Proceso de Gestión de riesgos: Se establece controles para gestionar los riesgos lo

cual debe ser adoptada por el departamento de administración, pese a ello esto no

es gestionado ni documentado como prácticas establecidas.

 Programa de Gestión integrada de riesgos: Se conoce el nivel de riesgo sobre la

ciberseguridad en todo nivel de la empresa, pero no se adecua a la perspectiva

actual.

 Participación externa: Cada área de la organización conoce su rol y gestionan sus

labores, pero no se ha adecuado dentro de sus roles para que puedan interactuar y

compartir información con otras áreas interesadas.

TIER 3: REPETIBLE

 Proceso de Gestión de riesgos: Se determina que las prácticas sobre la gestión de

riesgos son formalmente aprobadas y establecidas como políticas.

49
  Programa de Gestión integrada de riesgos: Precisa a nivel de toda la empresa la

gestión de riesgos y ciberseguridad.

 Participación externa: La empresa comprende sus limitantes y recibe información

que permita colaboración externa que apoye en la decisión de la gestión de

riesgos.

TIER 4: ADAPTATIVO

 Proceso de Gestión de riesgos: La entidad adopta las prácticas de ciberseguridad

en base a los indicadores predictivos propuestos y puede ser adecuado en base a

cada lineamiento de la organización.

 Programa de Gestión integrada de riesgos: Existe un enfoque global que se apoya

de procesos, políticas y procedimientos.

 Participación externa: La organización puede realizar la gestión del riesgo y puede

compartir su información con otros socios.

[Link]. Perfiles del marco de referencia

Los perfiles del marco permiten que se alineen las funciones, categorías, subcategorías

junto a las condiciones comerciales, predisposición del conocimiento sobre los riesgos

emergentes y recursos de toda la organización. Esto permite que una entidad obtenga un

conjunto de pasos a seguir mediante una hoja de ruta para poder minimizar los riesgos

cibernéticos alineados a los objetivos organizacionales de la empresa y así priorizar la gestión de

riesgos, para ello se debe considerar los marcos regulatorios y la guía de protocolos que

administra la organización.

50
 Por consiguiente, dado el entendimiento de los pasos anteriores se determina la

arquitectura del marco de trabajo NIST en la siguiente figura.

Figura 10. Arquitectura del NIST

Fuente: Castaño, Y. (2018). Implementación del marco de trabajo para la ciberseguridad NIST CSF desde
la perspectiva de COBIT 5 (p.7)

Por otro lado, se presenta el marco básico el cual contiene las cinco funciones

identificado cada categoría a evaluar junto con identificador único lo cual permite describir las

actividades más frecuentes sobre la evaluación de la ciberseguridad en los diferentes sectores. El

formato del Framework Core no recomienda un orden sobre la implementación ni prioriza una

serie de categorías.

51
 Este marco puede acoplarse de diferentes estándares por lo que no viene a ser exhaustivo

a la hora de la implementación en las organizaciones, por lo que permite a las entidades de

cualquier sector que aborden subcategorías y referencias normativas las cuales sean las más

eficientes y les permita gestionar el riesgo de ciberseguridad.

Figura 11. Identificadores únicos de función y categoría

Fuente: Instituto Nacional de Normas y Tecnología (2018). Framework for Improving Critical
Infrastructure Cybersecurity. (p.23)

52
 De acuerdo con las descripciones anteriores, el Cybersecurity framework NIST se enfoca

en lo siguiente.

Figura 12. Arquitectura del Cybersecurity Framework NIST

Fuente: Vilcarromero, L. & Vilchez, E. (2018). Propuesta de implementación de un modelo de gestión de
ciberseguridad para el centro de operaciones de seguridad (SOC) de una empresa de telecomunicaciones.
(p.22)

2.3.4. COBIT 5

COBIT viene a ser el conjunto de buenas prácticas que permite la integración y gestión

de las TI a nivel organizacional facilitando funciones como la evaluación del estado actual de la

infraestructura TI en la que se encuentra la empresa, esto permitirá contemplar el estado de nivel

de madurez actual de la empresa. A la vez este marco brinda un conjunto de herramientas

empleadas por los gerentes para minimizar la brecha de los requerimientos de control para una

gestión de riesgo del negocio.

53
 Este marco de trabajo establece cinco principios los cuales son tomados como una guía de

adopción de la gestión de TI para cualquier organización, para ello se describirán los principios.

Figura 13. Cinco principios del marco COBIT

Fuente: ISACA (2012). COBIT 5 for Information Security. (p.13)

[Link]. Satisfacer las necesidades de los interesados

Las entidades brindan valores de interés para sus interesados sosteniendo un equilibrio

entre concebir beneficios, perfeccionamiento en tratamiento de riesgos y el uso de recursos; sin

embargo, cualquier entidad alinea sus principales objetivos al rubro organizacional, para ello el

COBIT 5 brinda una cascada de metas las cuales se adaptan y ayudan a poseer metas estratégicas

siendo mapeadas con procesos y prácticas específicas. En consecuencia, el objetivo de gobierno

54
consiste en la toma de decisiones que permitan beneficios a la entidad, realizar una evaluación de

riesgos para determinar los posibles eventos maliciosos y optimización de recursos.

Figura 14. Creación de valor

Fuente: ISACA (2012). COBIT 5 for Information Security. (p.13)

[Link]. Cubrir la empresa de extremo a extremo

En este principio se determina a toda la empresa como gobierno de TI el cual realiza

todas las funciones y procedimientos en la empresa. Para ello, el enfoque de gobierno de toda la

organización abarca desde la creación de valor junto con los catalizadores, determinación del

alcance, roles, actividades y relaciones con los stakeholders.

55
 Figura 15. Enfoque de Gobierno
Fuente: ISACA (2012). COBIT 5 for Information Security. (p.23)

Asimismo, en base a los roles, actividades y relaciones se debe analizar los actores

involucrados para la gestión del gobierno, para así entender sus roles.

Figura 16. Roles, actividades y relaciones clave

Fuente: ISACA (2012). COBIT 5 for Information Security. (p.24)

Para comprender mejor esta etapa se puede responder a las siguientes preguntas tales

como:

- ¿Cómo se involucran los interesados?

- ¿Qué realizan y que hacen los interesados?

56
 A la vez se debe delimitar el alcance para realizar el sistema de gobierno y sea gestionado

de la mejor forma en la organización.

[Link]. Aplicar un marco de referencia único integrado

Este marco facilita y adecúa con apoyo de diferentes estándares los cuales son más

usados en las empresas, ellos son COSO, ITIL, TOGAF entre otros, por ello esto facilita que la

organización adapte y use COBIT 5 como un estándar integrado de gobierno y administración de

TI para mejorar la gestión en todas las áreas. En la siguiente figura se describe la alineación de

COBIT con diferentes estándares.

57
 Figura 17. Integración de COBIT
Fuente: ISACA (2012). COBIT 5 for Information Security. (p.25)

[Link]. Hacer posible un enfoque holístico

Para poder habilitar un enfoque holístico se tienen que aplicar los catalizadores, estos

pueden aplicarse individual y colectivamente para que influencie en la gestión de gobierno y la

administración de TI en toda la organización. A continuación, se mencionan los catalizadores de

COBIT 5 identificados en siete categorías.

58
 Figura 18. Catalizadores corporativos del COBIT
Fuente: ISACA (2012). COBIT 5 for Information Security. (p.25)

 Políticas, principios y marcos de referencia, los cuales permiten conocer la conducta en

cuanto a las guías que permiten gestionar las TI.

 Procesos, los cuales representan las actividades que faciliten cumplir los objetivos

mediante la cascada de metas de TI.

 Estructuras organizativas, las cuales se encargan de la toma de decisiones claves de una

entidad.

 Comportamiento, cultura y ética de la empresa e individuos los cuales generan el éxito en

la gestión de las TI.

 Información el cual es un activo importante que permite que la empresa siga

funcionando.

 Servicios, infraestructuras y aplicaciones esto incluye la tecnología que permite el

procesamiento de la información.

59
  Competencias, habilidades y personas los cuales son relacionados a los actores de la

organización para así completar todas las actividades y toma de decisiones.

[Link]. Separar el gobierno de la gestión

Este principio define y diferencia los términos usados entre gobierno y gestión, ya que

ambos incluyen distintos tipos de actividades requiriendo diferentes estructuras organizativas y

apoyando para diferentes propósitos.

 El gobierno asegura la evaluación de las necesidades y condiciones de los interesados

para que se logren las metas, esto viene a ser la responsabilidad de los directivos.

 La gestión permite el control de las actividades alineadas a las metas empresariales, lo

cual es responsabilidad de la alta administración junto con el liderazgo del CEO.

Figura 19. Organización del gobierno y gestión

Fuente: ISACA (2012). COBIT 5 for Information Security. (p.32)

60
 Según ISACA (2012) citado en Alfaro (2017) sustenta que los procesos de una

metodología se reparte en cinco subprocesos a nivel de gobierno y para gestionar las TI

fragmenta en dos clases (p.37). Para ello, la estructuración del desarrollo de gobierno y gestión

se realiza de la siguiente forma.

 Gobierno:

o El gobierno constituye los procesos de evaluación, orientación y supervisión lo

cual lo denominan como EDM.

 Gestión:

La gestión constituye los procesos de planificación, construir, ejecución y supervisión, lo

cual cada uno de ellos constituye actividades.

o Planificar: Este proceso tiene las actividades de alinear, planificar y organizar y lo

denominan con las siglas APO.

o Construir: Abarca las actividades de construir, adquirir e implementar

denominados con las siglas BAI.

o Ejecutar: Las acciones que se conforman de este procedimiento son las de

presentar dominios, asistirlos y brindar soporte, estos procedimientos son

denominados con su abreviatura DSS.

o Supervisar: Abarca las actividades de supervisar, evaluar y valorar, permitiendo

lograr los objetivos y nominadas con las siglas MEA.

61
 2.3.5. ISO/IEC 27001

El estándar ISO/IEC 27001 es una de las más conocidas a la que refiere seguridad de

información ya que engloba de manera general controles y políticas aplicables a cualquier

empresa que busque mantener segura su información.

Para lograr esto Arlenys (2017) resalta que el estándar preserva su información de una

organización mediante la disponibilidad, confidencialidad e integridad lo cual permite

salvaguardar los datos procesados (p.11). Estas características imprescindibles son denominadas

como pilares de la seguridad de la información, puesto que son necesarios para preservar y

salvaguardar la información de la organización y mantenerla segura, si en una aplicación se

cumple estos tres factores se le puede catalogar al sistema aplicado un sistema seguro.

Asimismo, Torres (2018) sostiene que esta norma incluye un repositorio de buenas prácticas

mencionadas en objetivos, controles, alineamientos y protocolos para distintos aspectos de

resguardo de información en un ciclo de vida denominado como Ciclo de Deming (p.50).

Adicionalmente, El estándar ISO/IEC 27001 contiene su anexo A el cual es un código de

buenas prácticas la cual establece una estructura de dominios, controles y objetivos de control los

cuales son propiamente para la gestión de las salvaguardas asociadas a los activos de

información previamente valorizados. Este anexo cuenta con 35 objetivos y 114 controles que

tienen como función cubrir de manera significativa los riesgos de la empresa implementando

políticas y protocolos para resguardar la información. Cabe resaltar de que el Anexo A es un

compilado de controles para empresas de todo tipo y no es necesario que la empresa implemente

todos los controles, solo lo que la empresa necesite.

62
 Figura 20. Secciones de la ISO 27001
Fuente: Hurtado, A. & Robayo, O. (2018). Diseño del sistema de gestión de seguridad de la información –
SGSI- para los procesos críticos de la cooperativa Febor basado en la norma ISO 27001:2013. (p.26)

2.3.6. Modelo de Gestión de Riesgos

Este modelo concede el aseguramiento de un ambiente controlado, reduciendo riesgos a

niveles aceptables que puedan ser controlados. Esto se realizará mediante el accionar de

diferentes protocolos de seguridad, que brindará un entorno de integridad de los datos

controlando los riesgos a los que estén expuestos mediante medidas de seguridad. A la vez, el

modelo de gestión de riegos es el resultado del debido análisis y el tratamiento que se le ha

asignado. La fase del análisis de riesgo permite evaluar los activos, para así conocer sus posibles

vulnerabilidades y amenazas a las cuales se podrían enfrentar, tal y como se explica en la

siguiente tabla:

63
 Tabla 8. Conceptos de la evaluación de riesgos
Conceptos de la evaluación de riesgos
Fases Descripción

Activo Se define como un elemento que forma parte de una

organización y apoya la misión que se establece.

Amenazas Se define como un evento no favorable que cause

perjuicio a la organización, estos se establecen por cada
activo identificado.

Vulnerabilidades Debilidad del activo la cual es aprovechada por un actor

tercero que dificulte la operatividad en la organización.

Principales fases del análisis de riesgos. Nota. Fuente: Elaboración Propia adaptado de
Seclén, J. & Aspilcueta, A. (2019). Publicado en Grupo de investigación de Internet de las
Cosas (p.14)

Con estos elementos se estima el impacto y el riesgo, para ello se propone diferentes

enfoques ya sea en el ataque, defensa y en los activos. Este modelo consta de cinco fases para

realizar la implementación, para ello se explicará en la tabla 4.

Tabla 9. Fases de la implementación

Fases de la implementación
Fases Descripción

Identificar objetivos de Permite identificar la usabilidad de los activos

seguridad según su propósito y operación.

Documentar la Diagramar las funciones de la Arquitectura del

arquitectura del sistema Sistema.
IoT

64
 Descomponer el Permite optimizar los procedimientos de seguridad
sistema IoT recomendados para así dividir las arquitecturas de
IoT en varios componentes.

Identificar y calificar Modelo de amenazas para la identificación del

amenazas riesgo.

Mitigación Asignación de diferentes mecanismos para mitigar

recomendada los riesgos.

Principales fases del modelo de gestión de riesgos. Nota. Fuente: Elaboración Propia
adaptado de Seclén, J. & Aspilcueta, A. (2019). Publicado en Grupo de investigación de
Internet de las Cosas (p.15)

2.4. CONTEXTO DE LA INVESTIGACIÓN

2.4.1. Arquitectura de Ciberseguridad

[Link]. Etapas de la ciberseguridad

Para una realización adecuada de ciberseguridad a una empresa que quiera minimizar

riesgos debe cumplir tres fases.

 Prevención: Esta fase se reducirá en gran medida los riesgos ya que primero se

conoce cada actividad que ocurre en el sistema para conocer sus puntos

vulnerables y se determina medidas para cubrir dichas vulnerabilidades también

llamados exploit.

 Localización: La prevención no garantiza la eliminación de riesgos, existen casos

de agentes externos a la empresa puedan dañar la funcionalidad de un sistema y

localizarlos de manera rápida es fundamental para minimizar el daño que causen.

Una herramienta muy común para cubrir esta fase son los antivirus que monitorea

y detecta los ataques a tiempo real mandando al administrador una alerta para

posteriormente tomar una decisión frente a dicha situación.

65
  Reacción: Luego de localizar dicha amenaza, la decisión que se tome será vital

para enfrentar y detener la amenaza. En caso de detener dicha amenaza se debe

evaluar a profundidad la vulnerabilidad que aprovecharon para no volver a pasar

por el mismo caso.

2.4.2. Servicios de plataformas IoT

[Link]. Internet de las Cosas (IoT)

El Internet of Things conocido como IoT surge como nueva tecnología que trae la nueva

revolución industrial, las cuales son herramientas y/o dispositivos que cumplen la finalidad de

recoger información y mostrarlo a tiempo real para automatizar procesos específicos. Por

consiguiente, el Internet de las Cosas cuenta con tres características específicas.

 El IoT brinda dispositivos con capacidad a conectarse a una red con la finalidad

de intercambiar información obteniendo así un control mediante el monitoreo

constante para el correcto funcionamiento de la gestión de red.

 La rapidez en la entrega de datos procesados mediante la integración por la

interconexión en redes.

 El análisis inteligente de un gran volumen de datos que son proporcionados por

los dispositivos.

A partir de ello, se puede entender que todo cualquier tipo de objeto que contenga

tecnología posee de aplicaciones definidas, al tener una gran variedad de aplicaciones se divide

en diferentes áreas.

66
 Figura 21. Esquema de las áreas de aplicación del IoT
Fuente: Alandí, A. (2016). Estudio de la implantación de Internet de las Cosas en las redes logísticas de la
cadena de suministro (p.27)

Con lo ya mencionado, es necesario aclarar las siguientes áreas clave en la aplicación del

Internet de las Cosas.

 La seguridad, control de acceso, privacidad y gestión de entidades: Esta área

cuenta con importantes desafíos debido a que se debe conocer las credenciales de

cada usuario u objeto.

 La interoperabilidad y normalización: Permite garantizar que no exista ningún

problema con la conexión al desarrollar la aplicación.

67
  El gran flujo de datos: Se debe tener un gran conjunto de equipos que permita la

integración de toda la cantidad de datos asegurando su propia seguridad y

confidencialidad.

[Link]. Partes del IoT

El Internet of Things (IoT) se compone principalmente de tres capas.

Figura 22. Capas del Internet de las Cosas

Fuente: Seclén, J. & Aspilcueta, A. (2018). Seguridad en internet de las cosas (IoT). (p.5)

 Sensores: Son componentes que se encargan de recoger información como cambio

de temperatura o humedad y transformarlo en datos que se registran en la

memoria para su posterior uso.

 Red: Todo dispositivo necesita una red para transferir los datos para diferentes

propósitos. Estos cumplen la función de transferir datos de un punto a otro

mediante señales por cable o de manera inalámbrica.

68
  Plataformas: Son las aplicaciones y páginas donde se puede visualizar dicha

información recogida por los sensores, adecuado y regulado para el entendimiento

del usuario.

CAPÍTULO III. METODOLOGÍA DE INVESTIGACIÓN

3.1. DISEÑO DE LA INVESTIGACIÓN

3.1.1. Diseño de investigación

El diseño de la investigación es Experimental de tipo Cuasiexperimental, este tipo es

bastante usado en las investigaciones. Según Hernández (2014) señala lo siguiente que estos

diseños son utilizados para una o más variables independientes y aplicados sobre grupos (p.151).

De esta manera, los grupos de investigación se forman antes del experimento, estos son

grupos intactos, por lo cual la población objetivo es independiente es decir sin asignación

aleatoria.

3.1.2. Tipo de Investigación

El patrón de investigación que se va a utilizar es Aplicativa, esta hace realidad los

estudios teóricos pudiendo resolver de manera práctica problemas reales. Según Hernández

(2014) la investigación aplicada deriva de la investigación científica y cumple el propósito de

resolver problemas de los cuales ya se tiene conocimiento teórico, logrando una evolución

constante en la humanidad junto con una retroalimentación de mejora constante. De esta manera

se puede comprobar si las teorías en los distintos campos pueden ser aplicadas con las

tecnologías actuales, crear nuevas tecnologías y dar solución a problemas presentes en la

sociedad.

69
 La investigación a desarrollar es de tipo aplicada, la cual se trata de un tipo de

investigación cuantitativa la cual permite descubrir y establecer las causas que originan un

problema en específico. En el caso de nuestro tema de investigación el diseño de una arquitectura

de ciberseguridad para los servicios de plataformas IoT permite determinar el diseño de la

arquitectura, para que se pueda implementar posteriormente y conocer si es necesario en la

organización.

3.1.3. Universo

El universo se entiende como un conjunto absoluto de elementos y/o propiedades que

conforman el análisis de un estudio o investigación. Así mismo, para Hernández (2009) afirma

que el universo se denomina como un conglomerado de elementos de cantidad finita e infinita

pertenecientes a un lugar (p.3).

Por ende, el universo viene a ser el conjunto de elementos de cantidad infinita o finita los

cuales son definidos por una o más características; es decir, los elementos componen estas

características. Lo cual dentro del universo que se va a trabajar en la empresa Pacífico Seguros.

3.1.4. Población

Este se determina en base a una cierta cantidad de características definidas. Por ello, el

grupo finito o infinito de los diferentes elementos se designa como población o universo. Así

mismo Tamayo (1997) define como población a un conjunto absoluto de eventos que son objeto

de estudio la cual cuentan con elementos y/o individuos que poseen una serie de cualidades en

común y se extrae datos para su posterior indagación (p.114).

Para ello, la población objetivo del presente trabajo de investigación, se tomará en cuenta

a los trabajadores del área de TI de la empresa Pacífico Seguros, debido a que todos los

70
colaboradores son parte del desarrollo del área al momento de la implementación de una

arquitectura de ciberseguridad que se desarrollará como parte de la estrategia de crecimiento

corporativo, ya que permitirá la seguridad y confidencialidad de su información el entorno

virtual.

3.1.5. Muestra

La muestra conforma parte de un grupo de la población, lo cual viene a ser un

subconjunto de diferentes elementos los cuales son pertenecientes al fragmento de la población.

Las muestras se especifican bajo dos formas una de ellas son las muestras probabilísticas y otras

son las muestras no probabilísticas. Respecto a las muestras probabilísticas, estas se definen

como elementos de la población los cuales son escogidos aleatoriamente y estos tienen

similitudes de características con los de la población.

Por otro lado, las muestras no probabilísticas definen que los elementos deben ser

escogidos por el investigador, ya que debe realizar un análisis con las causas y objetivos

relacionados a la investigación con el fin de reconocer las características de cada elemento y sea

alineado.

Para ello, en la presente investigación se ha determinado que la muestra es de tipo de no

probabilística debido a que se ha relacionado con el objetivo de la investigación y no se ha

procedido a evaluar un proceso de selección aleatoria.

71
 3.1.6. Operacionalización de las variables

Tabla 10. Operacionalización de la variable independiente

VARIABLE DEFINICIÓN DIMENSIONES INDICADORES ITEMS
NOMINAL
Según la revista Conectividad y Cantidad de ¿Conoce la cantidad de
UTE (2017) una normalización protocolos protocolos usados?
verdadera
plataforma IoT Gestión de Cantidad de ¿Conoce la cantidad de
consta de los dispositivos dispositivos dispositivos que están
siguientes conectados a la conectados a la
puntos: plataforma plataforma?

Conectividad
y normalización Estado de los ¿Considera adecuado el
La gestión de dispositivos estado actual de los
dispositivos dispositivos usados por
Base de datos la empresa?
Procesamient
o y gestión de la
Servicios de acción
Plataformas Visualización Mantenimiento de ¿Usted conoce con qué
IoT dispositivos frecuencia se le da
mantenimiento a los
dispositivos de la
empresa?

Base de datos Tipo de base de ¿Se conoce el tipo de

datos almacenamiento
utilizado en la empresa?

Procesamiento y Procesamiento de ¿Se conoce los

gestión de la datos procedimientos que
acción utilizan la plataforma?

Visualización Cantidad de ¿Conoce si la cantidad

interfaces usadas de interfaces usadas para
para la plataforma la plataforma?

Nota. Fuente: Elaboración Propia

72
Tabla 11. Operacionalización de la variable dependiente
VARIABLE DEFINICIÓN DIMENSIONES INDICADORES ITEMS
NOMINAL
Guzmán (2019) Políticas de Cantidad de ¿Usted tiene conocimiento
evalúa el nivel de ciberseguridad políticas de acerca de las políticas de
ciberseguridad a ciberseguridad ciberseguridad?
aplicando diferentes Porcentaje de ¿Tiene conocimiento del
medidas de cumplimiento de porcentaje de cumplimiento
seguridad políticas de de las políticas de
(tecnológicas ciberseguridad ciberseguridad
principalmente, establecidas?
pero también Porcentaje de ¿Conoce el porcentaje de
organizativas, cumplimiento de cumplimiento de las
Arquitectura de contractuales, las directrices de directrices de
Ciberseguridad operativas o ciberseguridad ciberseguridad impuestas?
normativas) para Implementación Tipos de ataques ¿Tiene en cuenta los tipos
proteger los activos cibernéticos de ciberataques?
de una organización
Monitoreo ¿Usted conoce la frecuencia
de las amenazas
de monitoreo que realiza la
provenientes del
empresa?
ciberespacio, estas
medidas son las Frecuencia de Cantidad de ¿Sabe cuál es el nivel de
siguientes: monitoreo vulnerabilidades criticidad de
Políticas de críticas detectadas vulnerabilidades en la
ciberseguridad organización?
Frecuencia de Promedio de ¿Considera adecuado el
monitoreo tiempo de tiempo de respuesta tras la
Protección de mitigación de las identificación de una
puertos vulnerabilidades vulnerabilidad?
Concientización Protección de Cantidad de ¿Conoce las tecnologías
de ciberseguridad puertos tecnologías aplicadas para la protección
protectoras de información usadas en la
empresa?
Cantidad de ¿Conoce los equipos que
equipos con tienen antivirus en la
antivirus empresa?
actualizados
Concientización Nivel de ¿Considera adecuado el
de conocimiento conocimiento que tiene la
ciberseguridad sobre empresa acerca de la
ciberseguridad ciberseguridad?
Talleres de ¿Se realiza frecuentemente
concientización talleres y/o conferencias
de ciberseguridad sobre la concientización de
la ciberseguridad en la
empresa?
Nota. Fuente: Elaboración Propia

73
 3.2. INSTRUMENTOS DE INVESTIGACIÓN / HERRAMIENTAS

3.2.1. Técnicas

Una de las técnicas más utilizada es la encuesta debido a que permite obtener

información con exactitud de los actores primarios de una entidad u organización. Para ello,

diferentes autores comprenden que las encuestas son métodos prioritarios dentro de una

investigación en lo cual se realiza un banco de preguntas y analiza las preguntas más importantes

para la indagación y se precisa la población a la cual se le realizará las preguntas. Esto permitirá

obtener las respuestas de los encuestados y realizar un análisis de los datos obtenidos.

Por otro lado, la encuesta viene a ser una técnica necesaria para realizar una investigación

la cual puede será apoyada de un instrumento como es el caso de los cuestionarios, ya que esto

no permite alinear la información, esto puede ser realizado antes de las encuestas.

3.2.2. Instrumentos

Uno de los instrumentos más utilizado es el cuestionario lo cual es parte de una

investigación, para ello al realizar un cuestionario es imprescindible plantear el problema

específico y conocer los objetivos a determinar. Según Tomás García (2005) en su revista sobre,

el cuestionario como instrumento de investigación lo define como una secuencia de

interrogaciones estructurados y presentados bajo un documento dirigido a un grupo objetivo

importante (p.14).

Asimismo, en el cuestionario se debe plantear un banco de preguntas lo cual permita

abordar información sobre el tema de interés a la vez se debe determinar un conjunto de personas

dentro de la población.

74
 Para la presente investigación, se realizarán preguntas cerradas del tipo dicotómico, ya

que se podrían dar casos en los cuales algunos colaboradores no conozcan acerca del tema de la

ciberseguridad y como se está implementando en la empresa.

3.3. SELECCIÓN DE METODOLOGÍAS

Una vez revisadas las diferentes metodologías, se han aplicado en algunos casos

específicos siendo referente para el diseño de una arquitectura de ciberseguridad dentro del cual

se necesita aplicar un marco de trabajo específico apoyado por controles y procedimientos. Por

consiguiente, se procede a realizar un análisis comparativo entre las tres metodologías en base a

cinco criterios.

3.3.1. Por Beneficio

Este criterio explica los principales beneficios y enfoques de cada metodología tras una

investigación en artículos y libros.

 NIST

Palmer (2018) señala que NIST “proporciona un nivel de detalle para las organizaciones

que no desean realizar muchas personalizaciones” (p.1). Por ello, uno de los conceptos y

enfoques principales de NIST es que te brinda un marco de trabajo enfocado a la ciberseguridad.

 COBIT 5

Palmer (2018) señala que “COBIT permite un alcance mucho más amplio y tiene en

cuenta todos los procesos de gestión de TI” (p.1). El enfoque principal que brinda COBIT es que

no solo cubrirá un área en específico, se expandirá más que solo el área de TI.

 ISO 27001

75
 Palmer (2018) señala que la ISO 27001 “permite a los administradores del sistema

identificar y mitigar brechas y superposiciones en la cobertura” (p.1). Es decir, ISO brinda un

control y administración general en el área a implementar, todo esto bajo sus procesos de

implementación y sus fases a seguir.

Bajo los conceptos ya mencionados, se elabora una tabla para comparar sus beneficios de

cada una de las metodologías.

Tabla 12. Beneficios de las Metodologías

Beneficios de las Metodologías
Metodología Beneficio
Cybersecurity Framework Proporciona un nivel de detalle para las organizaciones
NIST que no desean realizar muchas personalizaciones.
COBIT 5 COBIT permite un alcance mucho más amplio y tiene en
cuenta todos los procesos de gestión de TI.
ISO/IEC 27001 Permite a los administradores del sistema identificar y
mitigar brechas y superposiciones en la cobertura.
Beneficios de las metodologías. Nota. Fuente: Elaboración Propia adaptado de Palmer, G. (2018). Primary
Advantages of COBIT, ISO 27000, and NIST (p.1)

3.3.2. Por Alcance

Este criterio explica el alcance que ofrece cada una de las metodologías precisando que

áreas abarcan principalmente.

 NIST

Según Palmer (2018) señala que “NIST tiene un alcance limitado para la seguridad de

información” (p.1). Este marco de trabajo se enfoca principalmente en lo que es un área donde

presenta problema para tratar y solucionar.

 COBIT 5

76
 Según Palmer (2018) señala que COBIT “permite que el alcance se extienda más allá de

TI y en la gestión de la organización” (p.1). Esta metodología es el que tiene mayor rango de

alcance de los tres, no solo se limita en el área a tratar, busca expandir y englobar a toda la

empresa.

 ISO 27001

Según Palmer (2018) señala que la ISO 27001 “es un estándar enfocado en el

departamento de TI” (p.1). Similar al NIST, busca solucionar mediante el SGSI para un área en

específico.

Bajo los conceptos ya mencionados, se elabora una tabla para comparar sus alcances de

las metodologías.

Tabla 13. Alcance de las Metodologías

Alcance de las Metodologías
Metodología Alcance
Cybersecurity Framework NIST El NIST tiene un alcance limitado en cuanto a la
seguridad en el entorno cibernético.

COBIT 5 Permite que el alcance se extienda más allá de TI y en

la gestión de la organización.
ISO/IEC 27001 Es una norma enfocada al departamento de TI.
Alcance de las metodologías. Nota. Fuente: Elaboración Propia adaptado de Palmer, G. (2018). Primary
Advantages of COBIT, ISO 27000, and NIST (p.1)

3.3.3. Por Certificación

En este criterio se compara las tres metodologías explicando los tipos de certificados.

 NIST

77
 Según el artículo (2013) señala que para NIST “los organismos federales no obtienen una

certificación NIST, sino que se certifican mediante la obtención y el mantenimiento de pruebas

de cumplimiento de una serie de otras regulaciones federales relacionadas con FISMA” (p.1).

Este marco de trabajo no tiene una certificación empresarial o personal, una manera de certificar

según el artículo es mediante unas pruebas específicas, pero dicha organización reguladora están

en Estados Unidos.

 COBIT 5

Según el artículo (2013) señala que “ISACA, el autor de COBIT, ofrece 4 niveles de

certificación para individuos” (p.1). Esta certificación, a comparación de las otras, brinda una

certificación al personal para estar en la capacidad de desarrollar la metodología de COBIT.

 ISO 27001

Según el artículo (2013) señala que la ISO 27001 “(...) Se puede aplicar a todos los

tamaños de organizaciones (...)” (p.1). Todas las certificaciones de ISO en general son

empresariales, brindando una ventaja estratégica para las empresas que la implementen.

Bajo los conceptos ya mencionados, se elabora una tabla para comparar sus certificados

de las metodologías.

Tabla 14. Certificaciones de las Metodologías

Certificaciones de las Metodologías
Metodología Certificación

NIST Mediante la obtención y mantenimiento de pruebas de cumplimiento

de una serie de regulaciones.

78
 COBIT 5 Ofrece 4 niveles de certificados individuales.

ISO 27001 Certificado a nivel empresarial

Certificaciones de las metodologías. Nota. Fuente: Elaboración Propia adaptado de artículo A Comparison of
COBIT, ITIL, ISO 27002 and NIST (p.1)

3.3.4. Por objetivos claramente definidos

Según Lara y Corella (2018) enfocan que “bajo el estudio previo de varios libros y

artículos de investigación se llega a concluir las categorías y parámetros para elegir una

metodología adecuada al problema a tratar” (p.26).

Tabla 15. Objetivos claramente definidos de las metodologías

Objetivos claramente definidos de las metodologías
Metodología Objetivos claramente definidos
NIST Definido en base a la recopilación de datos.
COBIT 5 SI.
ISO 27001 Definido en base a la recopilación de datos.
Objetivos claramente definidos de las metodologías. Nota. Fuente: Lara, E. & Corella, F. (2018). Comparación
de modelos tradicionales de seguridad de la información para centros de educación (p.26)

Con este cuadro se llega a concluir que tanto NIST como la ISO 27001 requieren una

recopilación de datos para delimitar y definir el objetivo a cubrir, mientras que COBIT tiene

como objetivo fijo ampliar sus controles a más allá del área de TI.

3.3.5. Por cobertura de los controles

Este criterio esta referenciado bajo los mismos autores de la comparación anterior, Lara

y Corella (2018) también “resalta la cobertura de controles que propone y presenta cada uno de

ellos” (p.26).

79
Tabla 16. Coberturas de los controles de las metodologías
Coberturas de los controles de las metodologías
Metodología Cobertura de los controles
NIST Se enfoca en los activos que comprometen a la ciberseguridad.
COBIT 5 Integra objetivos de control mediante un gobierno.
ISO 27001 Posee protocolos para cumplir objetivos específicos.
Coberturas de los controles de las metodologías. Nota. Fuente: Lara, E. & Corella, F. (2018). Comparación de
modelos tradicionales de seguridad de la información para centros de educación (p.26)

Con el cuadro elaborado se puede observar que NIST cumple con cubrir los dispositivos

involucrados para un correcto marco de ciberseguridad. Por otro lado se observa que COBIT

aplica controles y políticas para todo lo que abarca tecnología de información mientras que ISO

27001 soluciona el problema con controles para el área a tratar.

3.3.6. Resultado general de las metodologías

En base a los criterios y características mencionados anteriormente, en la siguiente tabla

se recoge dichas características para convertirlas en parámetros de comparación de cada tipo de

metodología.

Tabla 17. Resultado general de las metodologías

Resultado general de las metodologías
NIST COBIT ISO 27001
Beneficio Proporciona un nivel COBIT permite un Permite a los
de detalle para las alcance mucho más administradores del
organizaciones que amplio y tiene en sistema identificar y
no desean realizar cuenta todos los mitigar brechas y
muchas procesos de gestión superposiciones en la
personalizaciones de TI cobertura
Alcance El NIST tiene un Permite que el Es un estándar
alcance limitado para alcance se extienda enfocado en el
la seguridad de la más allá de TI y en la departamento de TI
información

80
 gestión de la
organización
Certificación Mediante la Ofrece 4 niveles de A nivel empresarial
obtención y certificados
mantenimiento de individuales
pruebas de
cumplimiento de una
serie de regulaciones
Objetivos claramente Definido en base a la Si Definido en base a la
definidos recopilación de datos. recopilación de datos.
Cobertura de los Se enfoca en los Integra objetivos de Posee protocolos para
controles activos que control mediante un cumplir objetivos
compromete a la gobierno. específicos.
ciberseguridad.
Nota. Fuente: Elaboración Propia

Con la elaboración de la tabla se llega a concluir que se elegirá el marco de trabajo NIST

por enfocarse en un área específica, los dispositivos involucrados y con ello se buscará una

solución bajo la recolección de datos que se tiene para el caso.

3.4. METODOLOGÍA DE LA IMPLEMENTACIÓN DE LA SOLUCIÓN

El Cybersecurity Framework NIST es un conjunto de buenas prácticas que facilita la

complementación o creación de un nuevo programa de ciberseguridad en base a las mejoras de

este programa para así comprender los riesgos existentes de ciberseguridad, administrarlos y

poder reducir el impacto generado de estos riesgos. Asimismo, la organización puede determinar

el cumplimiento de este programa de ciberseguridad al implementarlo y así fomentar la gestión

del riesgo cibernético, para ello es necesario que se genere un plan de acción en donde se

establezca las mejoras priorizando los recursos, activos y costos vitales.

La implementación de la metodología NIST apoya a las organizaciones en cuanto a la

seguridad de sus datos, por ello esta metodología se aplica a cualquier organización

81
independiente de su tamaño o nivel de madurez; además, ofrece la posibilidad de apoyarse de

controles propuestos en diferentes marcos de trabajo para gestionar la tecnología y proteger la

información (seguridad de la información), esta metodología consta de nueve pasos iterativos.

Figura 23. Pasos para la implementación del NIST CSF

Fuente: Castaño, Y. (2018). Implementación del marco de trabajo para la ciberseguridad NIST CSF desde
la perspectiva del COBIT 5. (p.7)

3.4.1. Paso 1: Priorización y definición del alcance

En el siguiente paso se conoce el enfoque global de la empresa para así identificar su

línea de negocio, misión, visión y pilares clave de la organización. La empresa debe identificar

sus objetivos y prioridades, con esto se toman decisiones organizacionales respecto a los riesgos

82
cibernéticos estableciendo la meta de los sistemas y activos involucrados en la implementación

del marco.

La empresa al identificar sus prioridades necesita contextualizar la situación actual en

base a la ciberseguridad y así identificar las partes interesadas clave, roles y responsabilidades.

Para ello, este paso se ha divido en las siguientes actividades cabe esclarecer que las primeras

dos actividades permiten conocer la empresa y a partir de la tercera actividad se define la

prioridad o alcance.

Tabla 18. Actividades de la fase priorización y definición del alcance

Actividades de la fase priorización y definición del alcance
Nº Actividad Descripción Tareas

1 Conocer el enfoque En esta actividad se debe conocer la -Situación actual de la

actual de la empresa línea de negocio de la empresa, empresa
en base a sus situación actual, prioridades de alto
objetivos de nivel, mapa estratégico y los -Mapa estratégico
negocio procesos que se desarrollan.

2 Conocer la misión, Al identificar el enfoque actual de la -Misión

visión, pilares clave empresa se debe conocer la misión,
-Visión
y objetivos del visión y pilares clave de la
negocio organización para así poder alinearlo -Pilares clave
a los objetivos que cumple la
empresa. -Objetivos del negocio

3 Identificar la En esta esta actividad se identifica al -Políticas de TI

situación actual del área de TI, la cual se tomará como
-Principios de TI
área de TI referencia para realizar el diseño de
la arquitectura de la ciberseguridad,
para ello se debe conocer las
políticas y principios que se
establecen en el área.

83
 4 Analizar la Se debe identificar la situación -Situación actual del área
ciberseguridad en el actual de la ciberseguridad en el área de TI
área de TI de TI.

5 Analizar la Se debe analizar la ciberseguridad en -Situación actual de la

ciberseguridad de cuanto a su planificación y ejecución ciberseguridad de las
las plataformas IoT de las plataformas IoT en el área de plataformas IoT
TI.

6 Identificar las partes Al haber identificado el área se debe -Roles y responsabilidades

interesadas clave, reconocer los actores clave para el de los interesados clave
roles y desarrollo de la arquitectura, roles y
responsabilidades responsabilidades que cumplen en la
empresa.

Nota. Fuente: Elaboración propia

3.4.2. Paso 2 y 3: Orientación y crear un perfil actual

Bajo estos dos pasos se busca definir la situación actual de la ciberseguridad del área de

TI. Para ello, en el caso de la orientación se ha optado por realizar encuestas y cuestionarios a los

colaboradores del área para conocer el nivel de conocimiento acerca de la ciberseguridad.

Asimismo, para crear un perfil actual es necesario precisar los activos y sistemas más

importantes para así evaluar y planificar las actividades de la ciberseguridad.

La empresa debe generar un perfil actual del estado de la gestión del riesgo cibernético

actual, el cual se estipula como un indicador base para determinar el cumplimiento que se desea

obtener con el marco de ciberseguridad. Esto permitirá comprender y describir el perfil actual

(estado actual) y posteriormente crear el perfil objetivo (estado destino) describiendo la

progresión de la implementación.

84
Tabla 19. Actividades de la fase orientación y crear perfil actual
Actividades de la fase orientación y crear perfil actual
Nº Actividad Descripción Tareas

7 Realizar En esta actividad se debe realizar las -Modelo de encuestas

encuestas y encuestas y cuestionarios a los
cuestionarios al colaboradores del área de TI para -Modelo de cuestionario
personal del área identificar sus conocimientos acerca
de TI de la ciberseguridad que presenta la
empresa, respecto a la cantidad de
políticas impuestas, cumplimiento de
políticas y directrices, monitoreo,
tiempo de respuesta frente a ataques
cibernéticos o identificación de
vulnerabilidades, tecnologías que
aplican y realización de talleres de
ciberseguridad, esto permitirá tener
una mejor orientación de los
colaboradores en cuanto a sus
conocimientos.

8 Procesamiento Al tener respuestas de las encuestas y -Gráficas pastel de

de información cuestionarios se debe realizar un respuestas
recolectada de levantamiento de información el cual
las encuestas y será mostrado mediante gráficas
cuestionarios (gráfica pastel) para así conocer el
conocimiento en base a cada pregunta
que ha sido realizada a los
colaboradores del área de TI.

9 Conocer el nivel Se identifica el estado actual de la -Estado actual de la

de ciberseguridad de las plataformas IoT ciberseguridad de las
ciberseguridad en el área de TI conociendo las plataformas IoT
de las políticas que son impuestas por la
plataformas IoT empresa, directrices y el nivel de -Políticas y directrices de la
cumplimiento de cada una de ellas. ciberseguridad
Asimismo, se pretende conocer el -Nivel de madurez actual
estado de madurez en base al NIST.

85
 10 Identificar los Se debe identificar los sistemas y -Identificación de los activos
activos y activos vinculados al uso de las y sistemas
sistemas plataformas IoT, descripción y los
utilizados por requisitos de cada uno. Para esta
las plataformas actividad, se puede elaborar una tabla
IoT en la cual se mencionen todos los
equipos, programas de software,
incluyendo computadoras portátiles
(laptop), tablets y dispositivos que son
utilizados.

11 Analizar el Se analiza el riesgo de los sistemas y -Descripción de las

enfoque de activos, para ello es necesario realizar categorías de las funciones
riesgo general una evaluación y así priorizar criterios Identificar, Protección y
de las para el desarrollo de la arquitectura de Detección del marco NIST
plataformas IoT ciberseguridad. Es esencial que esta
evaluación incluya personas (cantidad
de personal y roles), procesos
(estrategia, políticas, procedimientos y
manuales) y tecnología
(configuraciones, vulnerabilidades,
operaciones y controles de soporte).

Nota. Fuente: Elaboración propia

Con respecto a la Actividad 11 se establece que para analizar el enfoque de riesgo general

de las plataformas IoT es necesario identificar las tres primeras funciones (identificar, proteger y

detectar) junto a sus categorías dadas por el NIST, en este caso se establecerá delimitar las

categorías de cada función a analizar.

86
 Figura 24. Funciones y categorías del NIST
Fuente: Instituto Nacional de Normas y Tecnología (2018). Framework for Improving Critical
Infrastructure Cybersecurity. (p.23)

En la función Identificar se ha establecido tres categorías las cuales permiten tener una

mejor compresión del caso, para ello se debería elaborar un listado de los equipos utilizados,

políticas de ciberseguridad en la cual se cubra las funciones y responsabilidades de los

colaboradores del área de TI y los pasos a seguir para la protección frente a un ataque para poder

limitar el daño si se produjera el ataque.

87
Tabla 20. Categorías de la función Identificar
Categorías de la función Identificar
Identificador único Función Identificador único de Categoría
de función categoría

ID Identificar [Link] Gestión de activos

[Link] Evaluación de riesgos

[Link] Estrategia de gestión de riesgos

Categorías de la función Identificar. Nota. Fuente: Elaboración propia adaptado de Instituto Nacional de Normas
y Tecnología (2018). Framework for Improving Critical Infraestructure Cybersecurity (p.23).

En la función Protección se ha establecido cinco categorías en las cuales se debe tener en

cuenta los procedimientos a la conectividad, computadoras y otros dispositivos usados en el área,

programas de resguardo para proteger la documentación confidencial, codificación de

información ya sea que esté almacenado o se encuentre en la red, backups con regularidad,

actualización de los programas de seguridad, automatización de las actualizaciones de los

programas, implementación de políticas para el desecho de activos desfasados y poco relevantes,

y capacitaciones sobre ciberseguridad a todas los colaboradores del área.

Tabla 21. Categorías de la función Proteger

Categorías de la función Proteger

Identificador único Función Identificador único de Categoría

de función categoría

PR Proteger [Link] Gestión de identidad y control de

acceso

[Link] Conciencia y capacitación

[Link] Seguridad de datos

[Link] Procesos y procedimientos de

protección de la información

88
 [Link] Mantenimiento

Categorías de la función Proteger. Nota. Fuente: Elaboración propia adaptado de Instituto Nacional de Normas y
Tecnología (2018). Framework for Improving Critical Infraestructure Cybersecurity (p.23).

En la función Detección se ha identificado tres categorías en las cuales se establece que

se debe realizar un monitoreo de las computadoras de los colaboradores para controlar la

detección de un acceso de personal no autorizado a computadoras, dispositivos (soportes de

almacenamiento de tipo USB) y software, revisión de red para controlar el acceso de usuarios o

conexiones no autorizados e investigar cualquier actividad inusual en la red o por parte del

personal.

Tabla 22. Categorías de la función Detectar

Categorías de la función Detectar
Identificador único de Función Identificador único de Categoría
función categoría

DE Detectar [Link] Anomalías y eventos

[Link] Vigilancia continua

de seguridad

[Link] Procesos de detección

Categorías de la función Detectar. Nota. Fuente: Elaboración propia adaptado de Instituto Nacional de Normas y
Tecnología (2018). Framework for Improving Critical Infraestructure Cybersecurity (p.23)

3.4.3. Paso 4 y 5: Ejecutar un análisis de riesgos y crear un perfil objetivo

El objetivo de estos dos pasos es conocer las amenazas de la ciberseguridad para ello es

necesario ejecutar un análisis de riesgos; asimismo, se pretende crear un perfil objetivo en el cual

se describa el nivel de madurez de implementación de la ciberseguridad para las plataformas IoT,

este nivel debe ser objetivo y bien especificado.

89
 El análisis de riesgos consiste en identificar las vulnerabilidades de los sistemas y activos

ya precisados en los pasos anteriores, y así determinar la probabilidad e impacto de la

ciberseguridad mediante una herramienta de análisis de riesgos en esta oportunidad un mapa de

calor. Para ello, se emplea el Modelo de Gestión de Riesgos en base a la implementación del IoT,

el cual permitirá reconocer los objetivos de seguridad de las plataformas.

Tabla 23. Actividades de la fase ejecutar un análisis de riesgos y crear un perfil objetivo

Actividades de la fase ejecutar un análisis de riesgos y crear un perfil objetivo

Nº Actividad Descripción Tareas

12 Identificar objetivos En base al activo identificado, -Usabilidad de los activos y

de seguridad determinar la finalidad de su uso. sistemas

13 Identificar Se debe reconocer las -Vulnerabilidades de los

vulnerabilidades de vulnerabilidades (errores de activos y sistemas
los activos y sistemas, exploit, bug) de los
sistemas activos y sistemas identificados
anteriormente.

14 Detección de Se analiza el entorno operativo para -Riesgos de ciberseguridad

riesgos de detectar los posibles riesgos de las plataformas IoT
ciberseguridad (eventos o incidentes) de
ciberseguridad para discernir el
impacto generado de cada uno de
ellos.

15 Reconocer posibles En base a las vulnerabilidades, se -Amenazas de

amenazas de debe identificar las amenazas de ciberseguridad
ciberseguridad y ciberseguridad y cuantificarlas
calificarlas mediante el mapa de calor -Evaluación de riesgos
(probabilidad e impacto).

16 Evaluar categorías Se debe evaluar las categorías de -Evaluación de las

en base a las cada función del marco las cuales categorías de las funciones
funciones del marco describan el resultado deseado en identificar, protección y
base a la ciberseguridad de las detección del NIST.
plataformas del área de TI.

90
 17 Determinar el nivel En base a la evaluación anterior, se -Nivel de madurez objetivo
de madurez objetivo determina el nivel de madurez más
asequible.

Nota. Fuente: Elaboración propia

Para la actividad 16 se logra adecuar mediante el siguiente modelo de tabla para realizar
la evaluación de las categorías de cada función. En la columna evaluación se evaluará en una
escala del 1 al 5.

Identificador Función Identificador único de Categoría Evaluación

único de función categoría

3.4.4. Paso 6: Determinar, analizar y priorizar brechas

El propósito de este paso es realizar una comparación entre el estado actual (perfil actual)

y el estado destino (perfil objetivo) y así identificar las brechas, las cuales serán documentadas y

comprender las acciones necesarias para cerrar las brechas. Para ello, es necesario determinar los

recursos necesarios (fondos, fuerza laboral) que permitirán que cada brecha sea culminada.

Tabla 24. Actividades de la fase determinar, analizar y priorizar brechas

Actividades de la fase determinar, analizar y priorizar brechas
Nº Actividad Descripción Tareas

18 Comparar el Se debe comparar el perfil actual y -Identificación de brechas entre

perfil actual y perfil objetivo para identificar las el perfil actual y perfil objetivo
perfil objetivo brechas. Con ello, se puede crear un
plan de acción el cual priorice las
acciones necesarias para cerrar las
brechas (costos y beneficios), esto
permitirá lograr los resultados del
perfil objetivo.

19 Determinar Al identificar las brechas se debe -Recursos necesarios para

recursos para determinar los recursos necesarios apoyar las brechas
para culminar cada brecha, esto

91
 abordar puede incluir fondos monetarios y
brechas fuerza laborar.

Nota. Fuente: Elaboración propia

3.4.5. Paso 7: Implementar el plan de acción

El propósito de este paso es identificar las brechas y modalidades de como culminar cada

una de ellas, esto permitirá ejecutar el plan de acción el cual aborda acciones que permite

perfeccionar los métodos de seguridad y cumplir con las necesidades de las partes interesadas

para así conocer su alineación a su nivel de implementación (parcial, riesgo informado, repetible

o adaptativo), este plan puede alinearse a estándares como la ISO 27001 e ISO 27032.

Tabla 25. Actividades de la fase implementar el plan de acción

Actividades de la fase implementar el plan de acción
Nº Actividad Descripción Tareas

20 Determinar Se debe determinar las acciones que -Pasos para la culminación

acciones para permitan culminar las brechas ya de brechas
cerrar brechas identificadas en el paso anterior.

21 Ajustar prácticas Se debe ajustar modelos actuales de -Prácticas o modelos

actuales de ciberseguridad para así lograr el perfil alineados a la ciberseguridad
ciberseguridad objetivo y permite conocer su
alineación a su nivel de
implementación (parcial, riesgo
informado, repetible o adaptativo).

22 Precisar plan de En base a los riesgos, se debe -Fase inicial del plan de
acción planificar iniciativas de respuestas con acción
la finalidad de mitigarlos, para ello se
-Desarrollo de propuesta de
sustentará en base a la función
Responder del marco. plan de acción

23 Alinear a El plan de acción puede alinearse a -Alineación del plan de

estándares otros estándares como ISO 27001 e acción con la ISO 27001 y la
ISO 27032, ya que estos estándares ISO 27032
ayudan a mejorar la ciberseguridad y

92
 contemplan una arquitectura más
completa. En el caso de la ISO 27001
se alinea a los controles y dominios,
entre ellos la gestión de activos,
control de accesos y gestión de
incidentes. Asimismo, la ISO 27032
brinda un ambiente de seguridad a las
personas (colaboradores), conexión de
dispositivos y software.

24 Diseñar plan de Se debe diseñar un plan de acción -Plan de acción de

acción de para la recuperación de las recuperación de las
recuperación del plataformas IoT en base a los riesgos plataformas IoT
sistema emergentes de ciberseguridad
evaluando el tiempo y costo, para ello
se sustentará en base a la función
Recuperar del marco.

Nota. Fuente: Elaboración propia

3.4.6. Paso 8 y 9: Revisión del plan de acción y gestión del ciclo de vida

La finalidad de estos dos pasos es realizar la inspección del plan de acción ya

implementado para conocer si aportó de manera efectiva a la arquitectura de ciberseguridad ya

establecida, si es el caso se debe realizar un monitoreo continuo.

Tabla 26. Actividades de la fase revisión del plan de acción y gestión del ciclo de vida
Actividades de la fase revisión del plan de acción y gestión del ciclo de vida
Nº Actividad Descripción Tareas

25 Revisar el plan En esta actividad se debe revisar el -Revisión del plan de acción
de acción plan de acción ya implementado, el
cual permitirá conocer si ayudó a
mejorar la situación y esperar
beneficios. Asimismo, se debe evaluar
cada actividad realizada para
garantizar que existe una mejora en los
objetivos de la gestión de riesgos, para

93
 así documentarlo y realizar el
monitoreo continuo.

26 Evaluación y En esta actividad se debe realizar una -Monitoreo

monitoreo evaluación y monitoreo continuo, esto
continuo permitirá identificar cualquier otro
requisito no contemplado (anomalía o
evento) y respaldarlo de forma rápida.

Nota. Fuente: Elaboración propia

3.5. CRONOGRAMA DE ACTIVIDADES

Figura 25. Cronograma de actividades

Fuente: Elaboración Propia

94
 3.6. COSTOS DIRECTOS

3.6.1. Costos de Personal

Tabla 27. Costos de Personal

Costos de Personal
Cargo Cantidad Costo/mes Costo/día Nº horas Meses Costo/4 meses
Director de TI 1 S/.15.000,00 S/. 750,00 8 4 S/. 60.000,00
Jefe de
Proyecto 1 S/.10.000,00 S/. 500,00 8 4 S/. 40.000,00
Analista TI
Senior 1 S/.7.000,00 S/. 350,00 8 4 S/. 28.000,00
Auditor de
ciberseguridad 1 S/.10.000,00 S/. 500,00 8 4 S/. 40.000,00
Especialista de
IoT 1 S/.80.000,00 S/. 4.000,00 8 4 S/. 320.000,00
Costo total del personal S/.122.000,00 S/. 6.100,00 S/. 488.000,00
Nota. Fuente: Elaboración propia

3.6.2. Costos de Materiales

Tabla 28. Costos de Materiales

Costos de Materiales
Unidad de Precio
Materiales para el proyecto Cantidad medida unitario Total
Tinta HP 12 Unidad S/. 150,00 S/. 1.800,00
Toner 10 Unidad S/. 550,00 S/. 5.500,00
Insumos Papel Bond 5 Millar S/. 20,80 S/. 104,00
Laptop ThinkPad
core i5 5 Unidad S/. 4.500,00 S/. 22.500,00
Equipos Impresora WIFI 1 Unidad S/. 1.500,00 S/. 1.500,00
Ecran 1 Unidad S/. 359,00 S/. 359,00
Libreta de notas 10 Unidad S/. 5,00 S/. 50,00
Folder 10 Unidad S/. 2,00 S/. 20,00
Material de Lapiceros 1 Decena S/. 25,00 S/. 25,00
Oficina Post -it 12 Unidad S/. 4,00 S/. 48,00
Pizarra acrílica 1 Unidad S/. 150,00 S/. 150,00

95
 Plumones para
pizarra 10 Unidad S/. 3,00 S/. 30,00
Costo total de materiales para el proyecto S/. 32.086,00
Nota. Fuente: Elaboración propia

Finalmente, se realiza la sumatoria de los costos de personal y costos de materiales para

que se obtenga los costos directos.

Tabla 29. Total de costos directos

Total de costos directos
Costos Costo Total

Costos de Personal S/. 488.000,00

Costos de Materiales S/. 32.086,00

Costos Directos S/. 520.086,00

Nota. Fuente: Elaboración propia

3.7. COSTOS INDIRECTOS

3.7.1. Capacitaciones al personal de TI

Tabla 30. Total de costos indirectos

Total de costos indirectos
Tipos Cantidad Periodo Costo Costo Total

Capacitación para el
alineamiento de ciberseguridad 3 Mensual S/. 5.000,00 S/. 15.000,00

Capacitación para la mejora

continua de la implementación 3 Mensual S/. 10.000,00 S/. 30.000,00
Costo total de capacitaciones S/. 45.000,00
Nota. Fuente: Elaboración propia

96
 3.8. COSTOS FIJOS

3.8.1. Costos de asesoría

Tabla 31. Total de costos fijos

Total de costos fijos
Servicios Costo/mes Meses Costo total
Servicio de Luz S/. 1,000.00 4 S/. 4,000.00
Servicio de Agua S/. 500.00 4 S/. 2,000.00
Impuestos Tributarios S/. 2,000.00 4 S/. 8,000.00
Costo total de servicios S/. 14,000.00
Nota. Fuente: Elaboración propia

3.9. COSTOS VARIABLES

3.9.1. Costos de asesoría

Tabla 32. Total de costos variables

Total de costos variables
Servicios Costo/mes Meses Costo total
Mantenimiento de Equipos S/. 1,500.00 4 S/. 6,000.00
Servicio de Internet S/. 750.00 4 S/. 3,000.00
Licencias de software S/. 7,000.00 4 S/. 28,000.00
Costo total de servicios S/. 37,000.00
Nota. Fuente: Elaboración propia

3.10. PRESUPUESTO

Tabla 33. Presupuesto Total

Presupuesto Total
Unidad de Precio
Descripción Cantidad medida unitario Costo total
Equipos
Laptop (Lenovo
z50) 1 S/. 2,000.00 S/. 2,000.00
All in one HP 1 S/. 3,000.00 S/. 3,000.00

97
Impresora 1 S/. 680.00 S/. 680.00
Internet móvil 1 S/. 30.00 S/. 120.00
OLO portátil 1 S/. 220.00 S/. 220.00
Transporte
Pasajes 80 S/. 10.00 S/. 800.00
Comida 20 S/. 12.00 S/. 240.00
Materiales
Hojas bond 100 Unidad S/. 5.00 S/. 5.00
Lapiceros 1 Docena S/. 25.00 S/. 25.00
Agenda de notas 2 Unidad S/. 12.00 S/. 24.00
Servicios Externos
Capacitación de
ciberseguridad 1 S/. 300.00 S/. 300.00
Asesoría 1 S/. 100.00 S/. 100.00
Presupuesto total S/. 7,514.00
Nota. Fuente: Elaboración propia

CAPÍTULO IV. DESARROLLO DE LA SOLUCIÓN

[Link] DE SOLUCIÓN

Para la presente investigación, se aplicará el Cybersecurity Framework NIST conocido

como el CSF NIST a la empresa Pacífico Seguros lo cual involucró un desarrollo exhaustivo de

los componentes principales de cada fase, para lo cual se hizo uso de los recursos y controles de

la ISO 27001. A la vez fue necesario aplicar un modelo de gestión de riesgos en cuanto a la

implementación del Internet de las Cosas (IoT), para adaptar la realidad y contexto actual sobre

las plataformas IoT, dentro de la metodología de trabajo de aplicación del CSF NIST bajo ISO

27001.

Esta metodología del CSF NIST que se utiliza en la presente tesis está compuesta por

nueve pasos, los cuales se han dividido en seis fases.

98
Figura 26. Desglose de fases del Cybersecurity Framework NIST
Fuente: Elaboración propia

4.1.1. Fase 1: Priorización y definición del alcance

Situación Actual

La empresa Pacífico Seguros pertenece al grupo Credicorp, su línea de negocio es el

mercado asegurador y su objetivo principal es ayudar a sus clientes para que superen los

imprevistos (accidentes de hogar o autos). La empresa cuenta con los negocios de Seguros

Generales y Seguros de Vida. La empresa basa su estrategia en pilares clave los cuales soportan

los lineamientos estratégicos que orientan sus planes y nuevas iniciativas.

Misión

Su misión es ayudar a sus clientes a proteger su estabilidad económica, ofreciéndoles

soluciones que protejan aquello que valoran y aseguren el cumplimiento de sus objetivos.

99
Visión

La visión es ser una empresa de seguro centrado en brindar una experiencia única a sus

clientes y en poseer una gran capacidad de distribución, siendo líder en innovación, agilidad y

eficiencia.

Pilares Clave

Los pilares clave de la empresa Pacífico Seguros son los siguientes:

 Experiencia del cliente

 Crecimiento

 Eficiencia

 Riesgos

El pilar central del desarrollo de Pacífico Seguros es la experiencia del cliente, asimismo,

la eficiencia es otro pilar fundamental que permite la sostenibilidad en el largo plazo.

Objetivos del Negocio

 Ser la empresa líder en el mercado asegurador

 Maximizar rentabilidad

 Excelencia en experiencia del cliente

 Optimizar capacidad de distribución

 Desarrollo de segmentos objetivos

Mapa Estratégico

100
Figura 27. Mapa estratégico de la empresa Pacífico Seguros
Fuente: Pacífico Seguros (2020) Planeamiento estratégico (p.15)

Situación Actual del Área de TI

El lineamiento del área de TI abarca lo siguiente:

 Transformación agile TI el cual implementa proyectos con métodos y herramientas

agiles.

 Arquitectura y soluciones para digital e innovación el cual ha requerido definir una

arquitectura que incluye componentes capaces de manejar nuevo niveles de escalabilidad.

 Roadmap de soluciones tecnológicas el cual ha permitido priorizar proyectos según las

necesidades de todas las áreas.

 Evolución de la ciberseguridad el cual ha desarrollado un marco integral de evaluación y

priorización de riesgos de ciberseguridad.

101
 Para ello, se va a definir la arquitectura tecnológica y de información en la siguiente

figura.

Figura 28. Arquitectura tecnológica y de información

Fuente: Pacífico Seguros (2020) Landscape y arquitectura TI (p.22)

Políticas de Tecnología De Información

 Los datos son un activo empresarial y como tal preservarlos e incrementar su valor es una

responsabilidad de toda la organización.

 La Gerencia de Gobierno de Información recibe la responsabilidad de dirigir el gobierno

y la calidad de los datos para análisis, explotación de información y toma de decisiones a

nivel PGA, y como tal, de emitir las políticas, los lineamientos y los mecanismos de control,

de dirigir y de coordinar el cumplimiento de los mismos.

102
  Se crea el Comité de Gobierno de Información para monitorear el avance en el desarrollo

del programa de gobierno y así apoyar en la resolución de los problemas complejos con

impacto en varios dominios.

Principios de Tecnología De Información

 Los datos son un activo empresarial

 El negocio es dueño y responsable de los datos

 Gobierno de información dirige la gestión de la información

 Datos confiables en fuentes de información confiables

Situación Actual de la Ciberseguridad de las Plataformas IoT

Fase Inicial

Los dispositivos utilizados para las plataformas IoT en la empresa Pacífico Seguros son

de reciente adquisición, por lo tanto tienen poco tiempo de operatividad en la empresa y su

software es manipulado únicamente por personal autorizado.

Roles y responsabilidades de los interesados clave

Dueño de Información o Data Owner (DO)

 Responsable directo del dominio de datos y de la calidad de los mismos.

 Establece la estrategia y objetivos de los datos en el dominio.

 Aprueba la relación de elementos de datos críticos (EDC), las reglas de validación de

negocios y las fuentes oficiales de datos, los indicadores de control y el tiempo de

almacenamiento de la información.

103
 Es responsable de gestionar, priorizar e impulsar las acciones para resolver los incidentes

de calidad de datos.

 Convoca otros dueños o Data Owners (DO) para atender incidentes que afecten otros

dominios y participa en los Comités de Data Owners.

Custodio de Información o Data Steward (DS)

 Da cumplimiento a las políticas de gobierno de información.

 Crea y mantiene el diccionario de datos y las reglas de validación del negocio.

 Propone los indicadores de control.

 Propone el tiempo para el almacenamiento de información histórica (datos, documentos

físicos y documentos digitalizados) sustentado en la frecuencia de uso, cumplimiento

regulatorio y atención de requerimiento de análisis.

 Hace seguimiento a los estándares de calidad, indicadores y a los planes de corrección.

 Pone en conocimiento los incidentes, preocupaciones y problemas relacionados con los

datos del dominio, y apoya al DO en la gestión de resolución de incidentes.

 Coordina con los custodios de otros dominios.

Custodio de TI

 Mantener la integridad y eficiencia operacional de la tecnología que contiene al sistema o

plataforma.

 Asegurar la integridad de los datos a lo largo del tiempo en las plataformas técnicas.

 Implementar los criterios definidos con los que se brindarán permisos a los elementos de

datos de su dominio.

104
  Atender los requerimientos e incidentes de calidad de datos asociados a problemas

técnicos que reporten y prioricen los dueños y custodios de información de los dominios.

 Atender a los custodios de información y al equipo de gobierno de información en la

resolución de consultas y pedidos de información para completar los diccionarios de

negocio.

 Elaborar la documentación y carga la metadata técnica, así como proporcionar la

información necesaria para actualizar los diccionarios técnicos y la trazabilidad de los

dominios.

 Mantener actualizada la metadata técnica una vez desplegado el dominio.

4.1.2. Fase 2: Orientación y crear un perfil actual

Encuestas y Cuestionarios

El modelo de la encuesta y cuestionario que se ha presentado a los colaboradores del área

de TI se encuentran en el Anexo 2 y Anexo 3; sin embargo, se mostrarán algunas de las

preguntas seleccionadas de la encuesta y cuestionario.

ENCUESTA

 ¿Cuántas políticas de ciberseguridad son impuestas en la empresa?

 ¿Cuántos tipos de ciberataques se han contemplado en la empresa?

 ¿Qué nivel de conocimiento tiene la empresa acerca de la ciberseguridad?

CUESTIONARIO

 ¿Usted tiene conocimiento acerca de las políticas de ciberseguridad?

 ¿Tiene en cuenta los tipos de ciberataques?

105
  ¿Considera adecuado el conocimiento que tiene la empresa acerca de la

ciberseguridad?

Procesamiento de información

El resultado de las encuestas y cuestionarios presentado a los colaboradores del área de TI

será mostrado mediante gráficas, en este caso se ha optado por las gráficas de pastel ya que

permite tener un mejor enfoque acerca de las respuestas dadas por cada pregunta realizada.

ENCUESTA

 ¿Cuántas políticas de ciberseguridad son impuestas en la empresa?

RESPUESTA

5; 17%

Ninguno
15; 50% 1
Más de 1
10; 33%

Figura 29. Cantidad de políticas de ciberseguridad.

Fuente: Elaboración Propia

 ¿Cuántos tipos de ciberataques se han contemplado en la empresa?

106
 RESPUESTA

2; 6%

Ninguno
8; 27%
1
Más de 1
20; 67%

Figura 30. Cantidad de ciberataques contemplados

Fuente: Elaboración Propia

 ¿Qué nivel de conocimiento tiene la empresa acerca de la ciberseguridad?

RESPUESTA

0; 0%

Poco
15; 47% Regular
17; 53%
Mucho

Figura 31. Nivel de conocimiento de ciberseguridad

Fuente: Elaboración Propia

CUESTIONARIO

107
  ¿Usted tiene conocimiento acerca de las políticas de ciberseguridad?

RESPUESTA

13; 43% SI
17; 57% NO

Figura 32. Conocimiento de políticas de ciberseguridad

Fuente: Elaboración Propia

 ¿Tiene en cuenta los tipos de ciberataques?

RESPUESTA

12; 40% SI
NO
18; 60%

Figura 33. Conocimiento de ciberataques

Fuente: Elaboración Propia

108
  ¿Considera adecuado el conocimiento que tiene la empresa acerca de la

ciberseguridad?

RESPUESTA

8; 27%
SI
NO

22; 73%

Figura 34. Conformidad de ciberseguridad

Fuente: Elaboración Propia

El resultado de todas las preguntas evaluadas en la encuesta y cuestionario realizado a los

colaboradores del área de TI se encuentra detallado en las figuras del apartado Estudio de campo.

Perfil Actual

Estado Actual de la Ciberseguridad de las Plataformas IoT

La empresa necesita desarrollar un marco integral de evaluación y priorización de riesgos

de ciberseguridad para las plataformas IoT monitorizadas en el área de TI para mejorar los

controles y visibilidad de los riesgos relacionados. Para ello, los pasos a realizar son los

siguientes.

 Definición del marco de referencia

109
  Evaluación inicial interna

 Plan de ciberseguridad

 Alineamiento con Riesgos y Auditoría

 Creación de Comité de Seguridad PGA

 Definir y dar visibilidad a principales riesgos actuales

Políticas y directrices de la ciberseguridad

La empresa Pacífico Seguros cuenta con políticas y directrices basadas en la ISO 27002,

de las cuales se han rescatado y adaptado algunas en el área de TI para el uso de las plataformas

IoT.

 Generar una cultura de uso seguro de la información

 Desarrollar capacidades de prevención, detección, respuesta y recuperación

 Responsabilidad sobre los activos

 Clasificación de la información

 Seguridad de los equipos

 Control del software en explotación

Nivel de madurez

En base a los niveles de madurez basados en el Framework NIST, el área de TI de la

empresa Pacífico Seguros se encuentra en el Tier 2 denominado como Riesgo Informado debido

a los siguientes motivos:

110
  El personal practica la gestión de riesgos de manera adecuada con previo aviso de

los superiores, de los cuales existen algunos protocolos que no son establecidos

por la empresa.

 El gerente del área de TI conoce sobre los riesgos que afectan al entorno

operacional; sin embargo, no tienen un plan de acción definido para poder

mitigarlos.

 Los jefes de área comparten su información a nivel interno, pero no cuentan con

una comunicación constante de reportes de incidentes.

Identificación de los Activos y Sistemas

Un paso clave para determinar el nivel de madurez de la empresa es la identificación de

activos y sistemas con los que la plataforma IoT va a interactuar. Esto sería importante para

especificar el alcance de manera completa y cubrir las vulnerabilidades de ellas. A continuación,

se detallará en la siguiente tabla los activos y sistemas identificados.

Tabla 34. Descripción de activos y sistemas

Descripción de activos y sistemas
Activos y Sistemas Descripción
Computadores de escritorio Computadores designados para los usuarios de la empresa.
Laptop Computadores designados a los usuarios que desean facilidad de
movilización de sus archivos y programas.
Network Medios de transferencia de datos entre sensores y aplicaciones
utilizadas, entre ellas se clasifican redes inalámbricas (modem) y
redes alámbricas (cable utp).
Sensores Dispositivos de recepción de datos para la automatización de
procesos específicos los cuales son sensores de huella, sensores
de fotocheck, cámaras entre otros.

111
 Software Sistema de recepción, procesamiento y visualización de datos
para el personal autorizado entre ellas destaca los aplicativos que
brindan los sensores utilizados por defecto.
Información Conjunto de datos recepcionados por los sensores, procesados
por el software y presentados a los usuarios.
Nota. Fuente: Elaboración propia

Riesgo general de las Plataformas IoT

Para analizar los riesgos que presentan las plataformas IoT se debe identificar cada

categoría de las funciones del NIST, las cuales reflejarán los tipos de métodos actuales que

manejan la empresa para enfrentar los ciberataques.

Criterio 1: Función Identificar

La categoría gestión de activos describe que métodos utilizan para controlar la cantidad y

tipos de activos con los que cuenta el área de TI.

Tabla 35. Análisis de la categoría Gestión de activos

Análisis de la categoría Gestión de activos
Función Identificador único Categoría Descripción
de categoría

Identificar [Link] Gestión de activos -Realizan un inventario

periódico de los activos de
manera semestral.
-Documentación e ingreso al
sistema del dispositivo recién
adquirido a la empresa.
Nota. Fuente: Elaboración propia

112
 La categoría evaluación de riesgos describe los métodos con los que cuenta para enfrentar

un ciberataque.

Tabla 36. Análisis de la categoría Evaluación de riesgos

Análisis de la categoría Evaluación de riesgos
Función Identificador único Categoría Descripción
de categoría

Identificar [Link] Evaluación de riesgos -En base al riesgo se evalúa y

clasifica para su posterior
tratamiento.
Nota. Fuente: Elaboración propia

La categoría estrategia de gestión de riesgos describe el proceso de los pasos a realizar la

identificación de algún evento que comprometa la funcionalidad de la plataforma.

Tabla 37. Análisis de la categoría Estrategia de Gestión de riesgos

Análisis de la categoría Estrategia de Gestión de riesgos

Función Identificador único Categoría Descripción

de categoría

Identificar [Link] Estrategia de gestión de -Al identificar un evento que

riesgos comprometa la integridad de la
información se procede a
salvaguardar la información
actual y a tratar de mitigar el
riesgo.
Nota. Fuente: Elaboración propia

Criterio 2: Función Protección

La categoría gestión de identidad y control de acceso define los métodos que tienen para

la inspección del acceso de sus usuarios al sistema.

113
Tabla 38. Análisis de la categoría Gestión de identidad y control de acceso
Análisis de la categoría Gestión de identidad y control de acceso
Función Identificador único Categoría Descripción
de categoría

Proteger [Link] Gestión de identidad y -Se establecen protocolos de

control de acceso identidad y acceso para el área y
las plataformas mediante el
registro y mantenimiento de
cuentas de usuario.
Nota. Fuente: Elaboración propia

La categoría conciencia y capacitación describe los métodos y estrategias que tiene la

empresa con la finalidad de concientizar a sus colaboradores sobre el valor de la ciberseguridad.

Tabla 39. Análisis de la categoría conciencia y capacitación

Análisis de la categoría conciencia y capacitación
Función Identificador único Categoría Descripción
de categoría

Proteger [Link] Conciencia y -Avisos a los correos

capacitación empresariales sobre su uso
adecuado.
Nota. Fuente: Elaboración propia

La categoría seguridad de datos describe y menciona los métodos para salvaguardar la

integridad de la información almacenada en su sistema.

Tabla 40. Análisis de la categoría Seguridad de datos

Análisis de la categoría Seguridad de datos
Función Identificador único Categoría Descripción
de categoría

114
 Proteger [Link] Seguridad de datos -Lenguaje de programación
complejo para el repositorio y
gestión de datos (Oracle).
-Manipulación de datos por el
personal autorizado.
Nota. Fuente: Elaboración propia

La categoría procesos y procedimientos de protección de la información permite describir

protocolos para mantener la integridad de su información.

Tabla 41. Análisis de la categoría Procesos y procedimientos de protección de la información

Análisis de la categoría Procesos y procedimientos de protección de la información

Función Identificador único Categoría Descripción

de categoría

Proteger [Link] Procesos y -Ante un evento se procede a

procedimientos de realizar un backup de las últimas
protección de la actualizaciones de datos
información mediante el software ArcServe
16.0 SP1.
Nota. Fuente: Elaboración propia

La categoría mantenimiento permite identificar los tipos de mantenimiento que se ejecuta

y la frecuencia.

Tabla 42. Análisis de la categoría Mantenimiento

Análisis de la categoría Mantenimiento
Función Identificador único Categoría Descripción
de categoría

Proteger [Link] Mantenimiento -Se realiza el mantenimiento de

manera periódica y guardan los
cambios en un servidor virtual.
Nota. Fuente: Elaboración propia

115
 Criterio 3: Función Detección

La categoría anomalías y eventos permite identificar como mitiga la empresa los

incidentes previstos.

Tabla 43. Análisis de la categoría Anomalías y eventos

Análisis de la categoría Anomalías y eventos

Función Identificador único Categoría Descripción

de categoría

Detectar [Link] Anomalías y eventos -Se gestiona los eventos y

errores del sistema mediante
Help Desk.
Nota. Fuente: Elaboración propia

La categoría vigilancia continua de seguridad identifica los métodos que tiene la empresa

para el monitoreo de sus ambientes.

Tabla 44. Análisis de la categoría Vigilancia de seguridad

Análisis de la categoría Vigilancia de seguridad

Función Identificador único Categoría Descripción

de categoría

Detectar [Link] Vigilancia continua de -Se cubre este apartado mediante

seguridad la implementación de cámaras
de seguridad instaladas en
ambientes estratégicos de la
empresa.
Nota. Fuente: Elaboración propia

La categoría procesos de detección describe y menciona los tipos de monitoreo de

transito de red con los que cuenta la empresa.

116
Tabla 45. Análisis de la categoría Procesos de detección

Análisis de la categoría Procesos de detección

Función Identificador único Categoría Descripción

de categoría

Detectar [Link] Procesos de detección -Se detectan archivos maliciosos

mediante la utilización de
software avanzado (antivirus).
-Se detectan páginas con
dominio malicioso mediante el
LOG y se previenen con la
utilización del ACL.
Nota. Fuente: Elaboración propia

4.1.3. Fase 3: Ejecutar un análisis de riesgos y crear un perfil objetivo

Identificación de Objetivos de Seguridad

La identificación de objetivos de seguridad permite describir la usabilidad e interacción

de los activos y sistemas identificados.

Tabla 46. Objetivos de los activos y sistemas

Objetivos de los activos y sistemas
Activos y Sistemas Usabilidad
Computadores de escritorio Interacción con las plataformas.
Laptop Interacción y extracción inmediata de la información de las
plataformas.
Network Transporte de datos de los sensores a las plataformas.
Sensores Dispositivos de recepción de datos para las plataformas.
Software Programas de recepción, procesamiento y visualización de la
información para el usuario.
Información Datos recogidos por los sensores y procesados por el software.
Nota. Fuente: Elaboración propia

117
Identificación de Vulnerabilidades

Al conocer la usabilidad de los activos y sistemas, es necesario conocer sus

vulnerabilidades de cada uno de ellos para poder identificar los posibles eventos de riesgo al que

se somete la topología de las plataformas IoT.

Tabla 47. Vulnerabilidades de los activos y sistemas

Vulnerabilidades de los activos y sistemas
Activos y Sistemas Vulnerabilidades
Computadores de escritorio -Exploit de sistemas operativos
Laptop -Errores en las actualizaciones repentinas del sistema operativo.
Network -Ubicación y aseguramiento de los componentes utilizados.
Sensores -Facilidad de manipulación del código fuente.
Software -Programas maliciosos.
-Ataques de ingeniería social.
Información -Resguardo e integridad de información por versiones (fechas).
Nota. Fuente: Elaboración propia

Riesgos de Ciberseguridad

En las Plataformas IoT se pueden presentar diferentes riesgos de ciberseguridad entre los

cuales se destacan los siguientes:

 Visualización de información de las plataformas

 Manipulación de la información por personal no autorizado

 Extracción de datos de las plataformas por personal no autorizado para fines no lucro

 Utilización no autorizada de dispositivos con fines u objetivos ajenos a la empresa

Amenazas de Ciberseguridad

118
 Para priorizar medidas en la ciberseguridad se procede a una evaluación de los activos

identificados previamente, el cual se dividirá en la identificación de amenazas y la evaluación del

riesgo. En la tabla de identificación de amenazas de ciberseguridad se debe precisar en cada

activo su amenaza con la finalidad de identificar el impacto negativo que puede sufrir ante un

ataque.

Tabla 48. Identificación de amenazas de ciberseguridad

Identificación de amenazas de ciberseguridad

Nº Activo Amenaza Vulnerabilidad Impacto

R01 Computadores Falla en la Exploit de sistemas Deficiencias en el uso

de escritorio operatividad de sus operativos de los sistemas
sistemas operativos.
operativos.
R02 Laptop Falla en la Errores en las Deficiencias en el uso
operatividad de sus actualizaciones de los sistemas
sistemas repentinas del sistema operativos.
operativos. operativo.
R03 Network Falla en el Ubicación y Poca disponibilidad de
transporte de datos. aseguramiento de los datos.
componentes utilizados.
R04 Sensores Ejecución de Facilidad de Utilidad de los
funcionalidades no manipulación del sensores con fines
autorizadas. código fuente. ajenos a la empresa.
R05 Software Intrusión de Programas maliciosos. Secuestro y/o
software que afecte Ataques de ingeniería manipulación de
la funcionalidad de social. información.
la plataforma.

119
 R06 Información Ataques que Resguardo e integridad Pérdida de
afecten la de información por información.
continuidad de la versiones (fechas).
plataforma.
Nota. Fuente: Elaboración propia

Por otro lado, una vez identificado las amenazas de los activos ya mencionados se debe

realizar una evaluación con cinco valores como criterio en probabilidad e impacto para priorizar

los eventos de impacto negativo en las plataformas IoT del área de TI.

Tabla 49. Evaluación del riesgo

Evaluación del riesgo
Nº Calificación Evaluación del Riesgo
Probabilidad Impacto
R01 Muy baja Media Moderado
R02 Muy baja Media Moderado
R03 Baja Alta Relevante
R04 Muy baja Baja Bajo
R05 Media Alta Alto
R06 Baja Alta Relevante
Nota. Fuente: Elaboración propia

Para producir los resultados de la clasificación de cada activo se evaluará los resultados

en base al mapa de calor.

120
 Figura 35. Mapa de calor
Fuente: Aliaga. L. (2013). Diseño de un sistema de gestión de seguridad de información para un instituto
educativo. (p.47)

Asimismo, se describirá los cinco criterios de evaluación en cuanto a la probabilidad e

impacto.

Tabla 50. Descripción de los criterios de la probabilidad

Descripción de los criterios de la probabilidad
Probabilidad Descripción
Muy Alto La amenaza muy probablemente afecte la vulnerabilidad.
Alto La amenaza probablemente afecte la vulnerabilidad.
Medio La amenaza posiblemente afecte la vulnerabilidad.
Bajo La amenaza probablemente no afecte la vulnerabilidad.
Muy Bajo La amenaza muy probablemente no afectaría la vulnerabilidad.
Nota. Fuente: Elaboración propia

Para el Impacto se describirá los cinco criterios.

Tabla 51. Descripción de los criterios de impacto

Descripción de los criterios de impacto
Impacto Descripción
Muy Alto El impacto muy probablemente afecte la continuidad de la plataforma.
Alto El impacto probablemente afecte la continuidad de la plataforma.
Medio El impacto posiblemente afecte la continuidad de la plataforma.

121
 Bajo El impacto probablemente no afecte la continuidad de la plataforma.
Muy Bajo El impacto muy probablemente no afecte la continuidad de la plataforma.
Nota. Fuente: Elaboración propia

Perfil Objetivo

Para analizar el perfil objetivo se debe realizar una previa evaluación de las categorías del

marco para poder conocer cuál es su nivel de aceptación en su estado actual las cuales han sido

descritas en la fase anterior, para ello se ha realizado una escalabilidad del 1 al 5. Cabe resaltar

que para lograr el perfil objetivo toda categoría debería ser evaluada con el parámetro 5 el cual

indicaría que satisface los objetivos de cada función identificada.

Evaluación de las categorías del marco NIST

Las categorías de la función Identificar permiten establecer el proceso de la gestión de

activos, gestión de riesgos y la estrategia que utilizan frente a un evento imprevisto, por ende esta

categoría es señalada con una evaluación acorde a cumplir con las expectativas.

Tabla 52. Evaluación de la categoría Identificar

Evaluación de la categoría Identificar
Identificador Función Identificador único de Categoría Evaluación
único de función categoría

ID Identificar [Link] Gestión de 4

activos

[Link] Evaluación de 3
riesgos

[Link] Estrategia de 4
gestión de
riesgos

Nota. Fuente: Elaboración propia

122
 Las categorías de la función Proteger permite señalar sobre los controles de acceso

conociendo que se tiene un pequeño déficit al momento de controlar los accesos de usuarios a las

plataformas IoT.

Tabla 53. Evaluación de la categoría Proteger

Evaluación de la categoría Proteger
Identificador Función Identificador único de Categoría Evaluación
único de función categoría

PR Proteger [Link] Gestión de 3

identidad y
control de
acceso

[Link] Conciencia y 2
capacitación

[Link] Seguridad de 4
datos

[Link] Procesos y 3
procedimientos
de protección de
la información

[Link] Mantenimiento 3

Nota. Fuente: Elaboración propia

Las categorías de la función Detectar permite tener un alcance del proceso de detección y

vigilancia frente a los diferentes eventos de ciberseguridad que se puedan detectar en las

plataformas IoT controladas en el área de TI.

Tabla 54. Evaluación de la categoría Detectar

Evaluación de la categoría Detectar

123
 Identificador Función Identificador único de Categoría Evaluación
único de función categoría

DE Detectar [Link] Anomalías y 2

eventos

[Link] Vigilancia 3
continua de
seguridad

[Link] Procesos de 4
detección

Nota. Fuente: Elaboración propia

Nivel de madurez objetivo

El nivel de madurez objetivo al que se quiere llegar es el Tier 4 denominado como

Adaptativo.

 El área de TI mantendrá una cultura organizacional basada en la ciberseguridad en la que

se cumplan las políticas y protocolos establecidos.

 El personal cumple y ejerce con procedimientos previamente documentados en el plan de

acción generado por el personal directivo del área de TI.

 La comunicación entre áreas se cumple de manera óptima y eficiente, a la vez se notifica

incidentes previstos entre las áreas.

4.1.4. Fase 4: Determinar, analizar y priorizar brechas

Comparación del Perfil Actual y Perfil Objetivo

Al realizar la comparación entre el perfil actual y perfil objetivo permite identificar las

brechas existentes, las cuales deben cubrir los intereses y objetivos alineados a las mejoras de la

administración y gestión de las plataformas IoT, ya sea al cubrir protocolos para la gestión de

124
acceso de usuarios o para generar un plan de recuperación frente a posibles eventos de

ciberseguridad.

Tabla 55. Identificación de brechas

Identificación de brechas
Perfil Actual Brechas Perfil Objetivo
El personal practica la gestión El área de TI sufre de escasez El área de TI mantendrá una
de riesgos de manera de documentación respecto al cultura organizacional basada
adecuada con previo aviso de desarrollo de las buenas en la ciberseguridad en la que
los superiores, de los cuales prácticas sobre la se cumpla las políticas y
existen algunos protocolos ciberseguridad. protocolos establecidos.
que no son establecidos por la
empresa.
El gerente del área de TI Poco interés por parte del El personal cumple y ejerce
conoce sobre los riesgos que personal directivo frente al con procedimientos
afectan al entorno desarrollo del plan de acción previamente documentados
operacional; sin embargo, no de riesgos. en el plan de acción generado
tienen un plan de acción por el personal directivo del
definido para poder área de TI.
mitigarlos.
Los jefes de área comparten Insuficiencia en la gestión de La comunicación entre áreas
su información a nivel comunicación entre áreas se cumple de manera óptima
interno, pero no cuentan con frente a los reportes de y eficiente, a la vez se
una comunicación constante incidentes. notifica incidentes previstos
de reportes de incidentes. entre las áreas.
Nota. Fuente: Elaboración propia

125
 Recursos para abordar las brechas identificadas

Asimismo, al identificar las brechas entre el perfil actual y perfil objetivo es necesario

conocer los recursos necesarios mediante objetivos, los cuales permitan alinear y abordar las

brechas.

Brecha 1:

El área de TI sufre de escasez de documentación respecto al desarrollo de las buenas

prácticas sobre la ciberseguridad.

Recursos para la brecha 1:

 Personal calificado para realizar el análisis de sistemas.

 Personal calificado para realizar auditorías internas.

 Colaboración del personal directivo.

 Aprobación de las nuevas propuestas de políticas.

 Personal calificado para la evaluación y certificación de la ISO 27032.

 Prestación de fondos para la certificación de las normas.

Brecha 2:

Poco interés por parte del personal directivo frente al desarrollo del plan de acción de

riesgos.

Recursos para la brecha 2:

 Personal calificado para el análisis y gestión de riesgos.

 Colaboración del personal directivo para el desarrollo del plan de acción.

 Aprobación de la Gerencia de TI.

126
  Personal calificado para la evaluación y certificación de la ISO 27001.

 Evaluación del modelo de gestión de riesgos por el personal de Auditoría.

Brecha 3:

Insuficiencia en la gestión de comunicación entre áreas frente a los reportes de incidentes.

Recursos para la brecha 3:

 Colaboración entre las gerencias de área para el desarrollo de la gestión de comunicación.

 Capacitación de mesa de ayuda para la gestión de reclamos de incidentes.

 Personal calificado para el desarrollo de la gestión de comunicaciones.

4.1.5. Fase 5: Implementar el plan de acción

Acciones y ajuste de prácticas para culminar las brechas

Brecha 1:

El área de TI sufre de escasez de documentación respecto al desarrollo de las buenas

prácticas sobre la ciberseguridad.

Acciones para la brecha 1:

 Evaluación de los sistemas mediante una auditoria interna en el área de TI.

 Identificación de deficiencias en las plataformas del área,

 Elaboración de un nuevo diseño para la propuesta de las nuevas políticas administradas

en el área.

 Observaciones y aprobación por parte de la directiva del área de TI.

 Evaluación por parte de la directiva para la capacitación y certificación de la ISO 27032.

127
Brecha 2:

Poco interés por parte del personal directivo frente al desarrollo del plan de acción de

riesgos.

Acciones para la brecha 2:

 Evaluación de la situación actual para conocer el estado del plan de acción de riesgos.

 Diseño del plan de acción.

 Observación de la evaluación del plan de acción de riesgos para la mitigación de

amenazas de ciberseguridad.

 Evaluación por parte de la IEEE para la certificación de la ISO 27001.

Brecha 3:

Insuficiencia en la gestión de comunicación entre áreas frente a los reportes de incidentes.

Acciones para la brecha 3:

 Evaluación de carencias en la comunicación entre áreas.

 Desarrollar de manera eficiente una serie de procesos que permita integrar la gestión de

comunicaciones.

 Optimización del módulo de reportes de incidentes que permita notificar de manera

inmediata algún error o incidente previsto.

Plan de acción

Fase inicial del plan de acción

128
 Para comenzar la fase inicial del plan de acción es necesario realizar una evaluación la

cual permita analizar el ambiente en donde se realice la nueva propuesta del desarrollo de una

arquitectura de ciberseguridad mediante auditorías internas.

Desarrollo de la propuesta

El desarrollo de la arquitectura permite cubrir las brechas identificadas entre el perfil

actual y perfil objetivo, estas brechas deben ser alineadas a los objetivos de la organización para

su posterior evaluación y aceptación. La arquitectura de ciberseguridad para las plataformas IoT

cubrirá realizar un análisis previo de estos e implementar el Framework NIST junto a otros dos

estándares conocidos para poder mitigar cualquier riesgo existente que intente hurtar

información confidencial de la organización mediante el modelo de gestión de riesgos enfocado

en la implementación de dispositivos IoT. Para ello, este plan de acción va a cubrir las siguientes

brechas.

 Brecha 1: El área de TI sufre de escasez de documentación respecto al desarrollo de las

buenas prácticas sobre la ciberseguridad.

 Brecha 2: Poco interés por parte del personal directivo frente al desarrollo del plan de

acción de riesgos.

 Brecha 3: Insuficiencia en la gestión de comunicación entre áreas frente a los reportes de

incidentes.

Alineación de estándares

Las siguientes alineaciones de estándares serán utilizadas a la necesidad de cada brecha

identificada. La Brecha 1 será alineada mediante el estándar de la ISO 27032, ya que facilita la

ejecución de las buenas prácticas sobre la ciberseguridad. Para ello, se hará un énfasis en el

129
Numeral 12 denominado como Controles de Ciberseguridad que destacando los siguientes

puntos.

 Capacitación y concientización de manera periódica o regular a los usuarios sobre temas

de ciberseguridad.

 Monitoreo de tránsito de redes, flujo de datos de los dispositivos que comprometan a las

plataformas IoT.

 Monitorear los accesos al software de las plataformas.

 Actualizaciones de seguridad de datos como la realización de backup virtualizado.

 Regulación de controles de protección de datos de acuerdo a la criticidad de cada

proceso.

 Establecer mecanismos de autenticación para el acceso al sistema.

 Diseñar mecanismos de monitoreo del sistema de las plataformas para la identificación de

vulnerabilidades así como las actualizaciones constantes de los sistemas operativos que

dejan ciertas fallas dejando vulnerable el sistema frente a un ataque.

La Brecha 2 será alineada mediante el estándar de la ISO 27001 teniendo varios controles

y dominios, dentro de los cuales se utilizarán la gestión de activos, control de accesos, gestión de

incidentes y seguridad en la operativa.

 Identificación, clasificación y mantenimiento del inventario de activos.

 Establecer políticas de control de acceso para gestionar a los usuarios que disponen del

sistema de las plataformas.

 Adquisición de software de gestión de malware, monitoreo de tránsito de red y

restricciones en la navegación de páginas ajenas a la productividad del área.

130
  Optimización del módulo de Help Desk facilitando los procesos notificación y

tratamiento de incidentes.

La Brecha 3 será alineada con los controles de la ISO 27001, adecuando los siguientes

controles como las relaciones con suministradores y cumplimiento.

 Desarrollo de una política que contenga una serie de procedimientos que permita

gestionar de manera adecuada la prestación de servicios por suministradores.

 Regulación de privacidad de envío de datos priorizando la protección y privacidad de

informes de área.

Diseño del plan de recuperación de las plataformas IoT

Frente a eventos que comprometan la continuidad de funciones del área se presenta la

siguiente propuesta para minimizar las pérdidas en el área.

 Identificación de eventos potenciales que afecten de manera crítica la continuidad del

área.

 Tratamiento y ejecución del plan de acción frente a los eventos identificados.

 Mejora en el sistema de resguardo de datos.

 Evaluación y aprobación de la alta gerencia frente a las propuestas presentadas.

 Divulgación y capacitación del plan de acción al personal.

4.1.6. Fase 6: Revisión del plan de acción y gestión del ciclo de vida

Esta fase se realiza cuando se determina la implementación de la arquitectura de

ciberseguridad en el área de la empresa Pacífico Seguros, para así poder evaluar el plan de

acción conociendo si existen mejoras y cambios frente a los riesgos y problemas existentes. Con

131
el fin de determinar la evaluación del plan de acción se genera una gestión del ciclo de vida para

que se vaya actualizando el plan de acción en base a los riesgos emergentes de la ciberseguridad.

[Link] DE CAMPO

Para el estudio de campo se establece mostrar la línea base de las estaciones de trabajo de

la empresa Pacífico Seguros, junto con ello se delimita que ciertos controles tienden a no tener el

valor requerido en este caso Activado o Desactivado y no se restringe los accesos autorizados,

para ello se presenta la siguiente tabla.

Tabla 56. Controles, características y valor

Controles, características y valor
Característica Descripción Valor
Cliente Telnet Conectarse a equipos remotos mediante Activado
protocolo Telnet
Cliente TFTP Transferir archivos mediante el protocolo Desactivado
trivial de transferencia de archivos.
Windows Agiliza el proceso de programación y Desactivado
Communication diseño de programas alineados a la
Foundation HTTP arquitectura orientada a servicios con un
Activation protocolo HTTP.
Servicios XPS Permite imprimir en documentos XPS. Desactivado
Internet Explorer 8 Navegador web. Activado
Internet Information Proporciona compatibilidad con servidores Desactivado
Services web y FTP entre otros.
Núcleo de web hospedable Los componentes principales del motor Desactivado
de Internet Information web de IIS pueden hospedarse o usarse en
Services otras aplicaciones.
Servicios World Wide Proporciona compatibilidad con sitios web Desactivado
web HTML y [Link] o versiones anteriores.
Servidor FTP Servidor para transferir archivos por Activado
protocolo FTP.
Kit de administración de Crear perfiles para conectarse con Activado
Connection Manager servidores remotos y redes de equipos que
(CMAK) ejecutan versiones 32 bits de Windows 7.

132
 Característica Descripción Valor
Microsoft .NET framework Framework .NET requerido para ejecutar Activado
3.5.1 aplicaciones.
Compresión diferencial Optimiza la copia de archivos de un equipo Activado
remota a otro por la red copiando solo los cambios
(requiere chequeo constante, consume
recursos).
Visor de XPS Permite leer, copiar, imprimir, firmar y Desactivado
establecer permisos en documentos XPS.
Microsoft Message Queue Gestión de colas. Desactivado
(MSMQ) Server
Herramientas de Permite administrar servidores web. Desactivado
administración web
Administración de Administra escáneres distribuidos, procesos Desactivado
digitalizaciones de digitalización y servidores de
digitalización.
Servicios de Index Server Activa el servicio de indización que estaba Desactivado
disponible en versiones anteriores de
Windows.
Windows TIFF iFilter Habilita indización y búsqueda de archivos Desactivado
TIFF mediante el reconocimiento óptico de
caracteres.
Servicios de impresión y Conjunto de tareas de impresión, fax y
documentos digitalización.
Plataforma de gadgets de Permite mostrar gadgets en el escritorio Activado
Windows
Cliente de impresión en Permite conectarse a impresoras en Desactivado
internet servidores de impresión web mediante
HTTP.
Fax y escáner de Habilita tareas de digitalización y fax. Activado
Windows
Monitor de puerto de Habilita la impresión en impresoras Desactivado
LPR conectadas a equipos Unix.
Servicio de impresión Permite que el equipo funciones como un Desactivado
de LPD protocolo Line Printer Deamon (LPD) y un
cliente Remote Line Printer.
Protocolo simple de Agente para supervisar la actividad en los Desactivado
administración de redes dispositivos de red y notificar a la consola
(SNMP) de red.
Servicios de TCPIP simple Instala servicios de TCPIP simple. Desactivado

133
 Característica Descripción Valor
Subsistema para Permite compilar script desarrollados en Desactivado
aplicaciones UNIX Unix en plataforma Windows.
Escucha de RIP Listener de protocolo de información de Desactivado
enrutamiento versión 1.
Servidor Telnet Permite que otros equipos se conecten al Desactivado
que active esta característica mediante
protocolo Telnet.
Servicios para NFS Permite tener acceso a archivos mediante Activado
protocolo NFS.
Windows Agiliza el proceso de programación y Desactivado
Communication diseño de programas alineados a la
Foundation Non-HTTP arquitectura orientada a servicios sin
Activation protocolo HTTP.
Windows Search Proporciona indización de contenido y Activado
búsquedas.
Servicio WAS (Windows Agiliza el desarrollo del Internet Desactivado
Process Activation Information Services (IIS) eliminando el
Service) protocolo HTTP.
Windows Virtual PC Permite ejecutar máquinas virtuales en un Desactivado
mismo equipo.
Nota. Fuente: Pacífico Seguros (2020) Línea base de estaciones de trabajo (p.8)

Asimismo, se presenta los lineamientos de los reportes e incidentes dados en la empresa,

cae resaltar que estos reportes son solicitudes enumeradas en el Service Desk teniendo en claro el

dominio al que pertenecen, tipo de tecnología, producto, el estado de cada incidente, tipo (si es

usable), ambiente donde se relaciona, el lineamiento junto con su descripción y la fecha de inicio

de vigencia.

134
Figura 36. Lineamiento de reportes 1
Fuente: Pacífico Seguros (2020) Lineamientos de reportes (p.20)

Figura 37. Lineamiento de reportes 2

Fuente: Pacífico Seguros (2020) Lineamientos de reportes (p.20)

135
Figura [Link] de reportes 3
Fuente: Pacífico Seguros (2020) Lineamientos de reportes (p.20)

Figura 39. Lineamiento de reportes 4

Fuente: Pacífico Seguros (2020) Lineamientos de reportes (p.20)

4.2.1. Resultados del modelo de cuestionario

Por otro lado, se ha realizado el cuestionario y la entrevista al área de TI para tener en

cuenta el conocimiento de cada colaborador esto sirve para tener en claro la justificación a la

investigación, para ello se ha escogido a 30 colaboradores del área. A continuación, se presenta

los resultados del cuestionario dirigido a los colaboradores en base a las respuestas Si o No.

1. ¿Usted tiene conocimiento acerca de las políticas de ciberseguridad?

136
 RESPUESTA

13; 43% SI

17; 57% NO

Figura 40. Conocimiento de las políticas de ciberseguridad

Fuente: Elaboración Propia

2. ¿Tiene conocimiento del porcentaje de cumplimiento de las políticas de ciberseguridad

establecidas?

RESPUESTA

SI
15; 50% 15; 50%
NO

Figura 41. Conocimiento del cumplimiento de las políticas de ciberseguridad

Fuente: Elaboración Propia

137
3. ¿Conoce el porcentaje de cumplimiento de las directrices de ciberseguridad impuestas?

RESPUESTA

12; 40% SI
NO
18; 60%

Figura 42. Conocimiento del cumplimiento de las directrices de la ciberseguridad

Fuente: Elaboración Propia

4. ¿Tiene en cuenta los tipos de ciberataques?

RESPUESTA

12; 40% SI
NO
18; 60%

Figura 43. Conocimiento de los tipos de ciberataques

Fuente: Elaboración Propia

138
5. ¿Usted conoce la frecuencia de monitoreo que realiza la empresa?

RESPUESTA

SI
15; 50% 15; 50%
NO

Figura 44. Frecuencia de monitoreo

Fuente: Elaboración Propia

6. ¿Sabe cuál es el nivel de criticidad de vulnerabilidades en la organización?

RESPUESTA

10; 33%
SI
NO
20; 67%

Figura 45. Nivel de criticidad de vulnerabilidades

Fuente: Elaboración Propia

139
7. ¿Considera adecuado el tiempo de respuesta tras la identificación de una vulnerabilidad?

RESPUESTA

12; 40% SI
NO
18; 60%

Figura 46. Tiempo de respuesta frente a una vulnerabilidad

Fuente: Elaboración Propia

8. ¿Conoce las tecnologías aplicadas para la protección de información usadas en la

empresa?

RESPUESTA

5; 17%

SI
NO

25; 83%

Figura 47. Conocimiento de tecnologías para la información

Fuente: Elaboración Propia

140
9. ¿Conoce los equipos que tienen antivirus en la empresa?

RESPUESTA

12; 40% SI
NO
18; 60%

Figura 48. Conocimiento de equipos con antivirus

Fuente: Elaboración Propia

10. ¿Considera adecuado el conocimiento que tiene la empresa acerca de la ciberseguridad?

RESPUESTA

8; 27%
SI
NO

22; 73%

Figura 49. Conocimiento acerca de la ciberseguridad

Fuente: Elaboración Propia

141
 11. ¿Se realiza frecuentemente talleres y/o conferencias sobre la concientización de la

ciberseguridad en la empresa?

RESPUESTA

7; 23%

SI
NO

23; 77%

Figura 50. Realización de talleres de ciberseguridad

Fuente: Elaboración Propia

4.2.2. Resultados del modelo de encuesta

Asimismo, se exhibe los resultados de la encuesta dirigido a los 30 colaboradores

del área de TI en base al conocimiento de la ciberseguridad dentro de la empresa.

1. ¿Cuántas políticas de ciberseguridad son impuestas en la empresa?

142
 RESPUESTA

5; 17%
Ninguno
15; 50% 1
Más de 1
10; 33%

Figura 51. Políticas de ciberseguridad

Fuente: Elaboración Propia

2. ¿Cuál es el porcentaje de cumplimiento de las políticas de ciberseguridad

establecidas?

RESPUESTA

5; 17%
10; 33%
20% a 50%
50% a 70%
70% a 100%

15; 50%

Figura 52. Porcentaje de cumplimiento de políticas de ciberseguridad

Fuente: Elaboración Propia

143
3. ¿Cuál es el porcentaje de cumplimiento de las directrices de ciberseguridad

impuestas?

RESPUESTA

5; 17%
10; 33% 20% a 50%
50% a 70%
70% a 100%
15; 50%

Figura 53. Porcentaje de cumplimiento de las directrices de ciberseguridad

Fuente: Elaboración Propia

4. ¿Cuántos tipos de ciberataques se han contemplado en la empresa?

RESPUESTA

2; 6%

Ninguno
8; 27%
1

20; 67% Más de 1

Figura 54. Cantidad de ciberataques

Fuente: Elaboración Propia

144
5. ¿Con qué frecuencia se realiza monitoreo en la empresa?

RESPUESTA

5; 17% 5; 16%
Semanal
Mensual
Anual

20; 67%

Figura 55. Frecuencia de monitoreo

Fuente: Elaboración Propia

6. ¿Cuál es el nivel de criticidad de vulnerabilidades en la organización?

RESPUESTA

1; 3%

2; 7% Insignificativo
10; 34% Menor
7; 23%
Moderado
Mayor
Crítico
10; 33%

Figura 56. Nivel de criticidad de vulnerabilidades

Fuente: Elaboración Propia

145
7. ¿Cuál es el tiempo de respuesta tras la identificación de una vulnerabilidad?

RESPUESTA

5; 17%

Menos de 1 hora
15; 50% De 1 a 5 horas
En 24 horas
10; 33%

Figura 57. Tiempo de respuesta frente a una vulnerabilidad

Fuente: Elaboración Propia

8. ¿Cuántas tecnologías aplican para la protección de información en la empresa?

RESPUESTA

0; 0%
6; 20%
Ninguno
1
Más de 1

24; 80%

Figura 58. Cantidad de tecnologías para la protección de la información

Fuente: Elaboración Propia

146
9. ¿Qué cantidad de dispositivos tienen antivirus en la empresa?

RESPUESTA

3; 10%
2; 7%
Solo áreas administrativas
Todas menos las áreas operativas
Todas las áreas

25; 83%

Figura 59. Cantidad de dispositivos con antivirus

Fuente: Elaboración Propia

10. ¿Qué nivel de conocimiento tiene la empresa acerca de la ciberseguridad?

RESPUESTA

0; 0%

Poco
13; 43%
Regular
17; 57%
Mucho

Figura 60. Nivel de conocimiento sobre ciberseguridad

Fuente: Elaboración Propia

147
11. ¿Qué tan frecuentemente se realiza talleres y/o conferencias sobre la

concientización de la ciberseguridad en la empresa?

RESPUESTA

5; 17%
10; 33% Semanal
Semestral
Anual

15; 50%

Figura 61. Talleres sobre la concientización de la ciberseguridad

Fuente: Elaboración Propia

148
CAPÍTULO V. CONCLUSIONES Y RECOMENDACIONES

[Link]ÓN Y CONCLUSIONES

El análisis de riesgos ha permitido conocer las amenazas y vulnerabilidades de los activos

y sistemas identificados en el uso de las plataformas IoT para así conocer el posible impacto que

puede generar cada uno de ellos en caso sucediera un evento de ciberseguridad imprevisto, para

ello se ha utilizado una herramienta de análisis de riesgos conocida como el mapa de calor junto

con el modelo de gestión de riesgos basado en la implementación del IoT.

Mediante el análisis de brechas se ha podido observar la poca gestión de comunicación

que se tienen entre áreas y a manera reactiva que tienen de afrontar los incidentes previstos

derivado al Help Desk.

Los colaboradores del área carecen de una cultura organizacional basada en la

ciberseguridad, ya que la empresa no enfatiza mediante la documentación de políticas basadas en

la seguridad de la información.

El desarrollo de la arquitectura ha permitido contemplar generar un plan de acción en el

cual se establece el lineamiento de otros estándares con el fin de salvaguardar la información

confidencial almacenada en las plataformas IoT y a la vez poder generar un plan de recuperación

frente a posibles ataques cibernéticos.

La arquitectura de ciberseguridad para los servicios de plataformas IoT tendrá el

lineamiento base del marco de ciberseguridad NIST apoyándose de los controles de la ISO/IEC

27001:2013 y la ISO/IEC 27032.

149
 [Link]

Frente al caso de que muchos de los trabajadores no tienen conocimiento suficiente sobre

lo que es ciberseguridad, se plantea recomendar capacitaciones o conferencias que abarque los

temas de ciberseguridad dando como resultado un mayor conocimiento para los trabajadores y

sembrar una conciencia a profundidad de la importancia de cuidar y proteger la información.

El tema del libre acceso a los sistemas de los trabajadores es una gran preocupación en lo

que es seguridad de la información, ya que solo personal autorizado tendrá el acceso a manipular

dicha información por motivos de trabajo. Se recomienda reestructurar la lista de accesos

recopilando información necesaria de los usuarios y jerarquizar en base a sus necesidades y

puestos para que solo tengan acceso a la información que necesiten para laborar en la empresa y

no se utilice con fines personales.

Ante el caso de ataques cibernéticos externos como hackers o malwares y frente al gran

tráfico de datos expuestas que se genera alrededor de la empresa, se recomienda realizar backup

virtualizado, la ejecución del plan de acción premeditado en base al tipo de evento sufrido y para

el monitoreo constante se recomienda instalar software de seguridad perimetral por lo menos en

sus sistemas principales como antivirus, un firewall o una lista de control de acceso (ACL), todo

esto con el fin de minimizar los riesgos de ciberataques.

Ante la excesiva burocracia del sistema de ayuda para la trata de los incidentes reportados

se recomienda un análisis y mejora en la gestión de comunicación entre las áreas lo cual será

alineado a la ISO 27001.

150
 REFERENCIAS

Aguilar, C., Lau, E., Olivera, S., & Polanco, C. (2017). Propuesta de implantación del Cyber

Security Framework (CSF) del NIST usando COBIT en Honda del Perú. Lima: Esan.

Alandí, A. (2016). Estudio de la implantación de Internet de las Cosas en las redes logísticas de

la cadena de suministro. España: Universidad Politécnica de Valencia.

Alfaro, J. (2017). Metodología para la gestión de riesgos de TI basada en COBIT 5. Cartago:

Instituto Tecnológico de Costa Rica.

Aliaga, L. (2013). Diseño de un sistema de gestión de seguridad de información para un instituto

educativo. Lima: Pontificia Universidad Católica del Perú.

Arlenys, C. (2017). Diseño de un Sistema de Gestión de la Seguridad de la Información (SGSI)

basados en la norma ISO/IEC 27001:2013. Colombia: Institución universitaria

politécnico grancolombiano.

Castaño, Y. (2018). Implementación del marco de trabajo para la ciberseguridad NIST CSF

desde la persepectiva de COBIT 5. La Habana: Grupo de Administración Empresarial.

Coyla, Y. (2019). Implementación de un sistema de detección y prevención de intrusos (IDS/IPS)

basado en la norma ISO 27001, para el monitoreo perimetral de la seguridad

informática en la red de la Universidad Peruana Unión. Lima: Universidad Peruana

Unión.

Gaitan, F., Mayorga, W., Onofre, O., Reynoso, E., & Soto, J. (2018). Propuesta de un modelo de

aplicación de IoT y Telemetría en los procesos de servicios de taller para empresas

concesionarias automotrices. Lima: Esan.

151
Guzmán, S. (2019). Guía para la implementación de la norma ISO 27032. Bogotá: Universidad

Católica de Colombia.

Hernández, R. (2014). Metodología de la Investigación. México: Interameriacana Editores.

Hurtado, A., & Robayo, O. (2019). Diseño del sistema de gestión de seguridad de la informacion

-SGSI- para los procesos críticos de la cooperativa Febor basado en la norma ISO

27001:2013. Bogotá: Universidad Piloto de Colombia.

Inoguhi, A., & Macha, E. (2017). Gestión de la ciberseguridad y prevención de los ataques

cibernéticos en las Pymes del Perú, 2016. Perú: Universidad San Ignacio de Loyola.

ISACA. (2012). COBIT 5 for Information Security. Madrid: ISACA.

Joyanes, L. (2017). Ciberseguridad: la colaboración público-privada en la era de la cuarta

revolución industrial (Industria 4.0). Madrid: Universidad Pontifica de Salamanca.

Kóvacs, P. (2018). IoT: Internet de las Cosas en el modelo de la Industria 4.0. Sevilla:

Universidad de Sevilla.

Lara, E., & Corella, F. (2018). Comparación de modelos tradicionales de seguridad de la

información para centros de educación. Tierra Infinita Nº4, 20-28.

Mendoza, L., & Vega, G. (2019). Evaluación de la capacidad de detección y respuesta a riesgos

de ciberseguridad, caso de la empresa SISC. Lima: Universidad del Pacífico.

Palmer, G. (22 de Enero de 2018). Zymitry. Obtenido de Primary Advantages of COBIT, ISO

27000, and NIST: [Link]

152
Quiñones, M., Gonzales, V., Torres, R., & Jumbo, M. (2017). Sistema de monitoreo de variables

medioambientales usando una red de sensores inalámbricos y plataformas de Internet de

las Cosas. Enfoque UTE, 329-343.

Rodríguez, J. (2017). Metamodelo para la integración del Internet de las Cosas y Redes sociales.

Oviedo: Universidad de Oviedo.

Sabillon, R., & Cano, J. (2019). Auditorías en Ciberseguridad: Un modelo de aplicación general

para empresas y naciones. Revista Ibérica de Sistemas y Tecnologías de Información, 33-

48.

School, O. B. (2018). Ciberseguridad y sus fases. Tendencias & Innovación, 2-5.

Seclén, J., & Aspilcueta, A. (2019). Caso: Seguridad en Internet de las Cosas, Gestión de

riesgos, amenazas y vulnerabilidades. Perú: Universidad Nacional Mayor de San Marcos.

Tamayo, M. (2003). El proceso de la investigación científica. México: Noriega Editorial.

Technology, N. I. (2018). Framework for Improving Critical Infrastructure Cybersecurity.

Estados Unidos.

Tiban, B. (2018). Plan informático 2018-2022, basado en la norma ISO/IEC 27032:2012 para

mejorar la ciberseguridad de los recursos tecnológicos de información y comunicación

(TIC`S) en la unidad educativa Alfredo Pareja Diezcanseco de la ciudad de Santo

Domingo. Santo Domingo - Ecuador: Universidad Regional Autónoma de los Andes.

Torres, M. (2018). Diseño de un Sistema de Gestión de la Seguridad de la Información (SGSI),

basado en la norma ISO/IEC 27001:2013, para el proceso de servicio post-venta de un

153
 integrador de soluciones en Telecomunicaciones. Lima: Universidad Peruana de Ciencias

Aplicadas.

Unknown. (9 de Diciembre de 2013). A Comparison of COBIT, ITIL, ISO 27002 and NIST.

Obtenido de [Link]

[Link]

Uudhila, J. (2016). Cybersecurity risk management and threat control model: A study carried out

to enhance the protection of information in the Namibian public service. Windhoek: The

University of Namibia.

Vilcarromero, L., & Vilchez, E. (2018). Propuesta de implementación de un modelo de gestión

de ciberseguridad para el centro de operaciones de seguridad (SOC) de una empresa de

telecomunicaciones. Lima: Universidad Peruana de Ciencias Aplicadas.

154
 ANEXOS

ANEXO 1: MATRIZ DE CONSISTENCIA

Problema General Objetivo General Hipótesis General Variables de Instrumentos

estudio
¿De qué manera el Diseñar una arquitectura de El diseño de una Variable Técnica:
diseño de una ciberseguridad para los arquitectura de dependiente:
Encuesta
arquitectura de servicios de plataformas IoT en ciberseguridad para los
Arquitectura de
ciberseguridad para el área de TI dentro de la servicios de plataformas
Ciberseguridad
los servicios de empresa Pacífico Seguros IoT permitirá la
plataformas IoT confidencialidad,
permitirá asegurar integridad y
la información en el disponibilidad de su
área de TI dentro de información en el área de
la empresa Pacífico TI dentro de la empresa
Seguros? Pacífico Seguros.

Problemas Objetivos Específicos Hipótesis Variables de Instrumentos

Específicos estudio

¿Cuáles son los Diagnosticar la situación actual H1: La arquitectura de Variable Instrumento:
principales riesgos en ciberseguridad en el área de ciberseguridad permitirá independiente:
Cuestionario
de ciberseguridad TI de la empresa Pacífico evaluar las plataformas
Servicios de
en la empresa Seguros. bajo el marco de trabajo
plataformas IoT
Pacífico Seguros? del NIST.
Analizar las vulnerabilidades,
¿Qué medidas se riesgos y amenazas de la H1: Para evaluar las
pueden aplicar a las empresa Pacífico Seguros para plataformas IoT se deben
plataformas IoT en la introducción de las aplicar controles de
la empresa Pacífico tecnologías emergentes seguridad.
Seguros? basadas en IoT utilizando el
H1: El desarrollo de una
framework NIST.
¿Cómo evaluar la arquitectura evalúa los
ciberseguridad para Desarrollar una arquitectura de activos de la empresa
los servicios de ciberseguridad para los Pacífico Seguros
plataformas IoT en servicios de plataformas IoT en incluyendo activos
el área de TI de la el área de TI de la empresa tangibles e intangibles.
empresa Pacífico Pacífico Seguros aplicando
Seguros? controles de la ISO 27001 y la
ISO 27032.

155
 ANEXO 2: CUESTIONARIO

Cuestionario N°1

Dirigido a: Área de TI

Preguntas Sí No

1. ¿Usted tiene conocimiento acerca de las políticas de

ciberseguridad?
2. ¿Tiene conocimiento del porcentaje de cumplimiento de las
políticas de ciberseguridad establecidas?
3. ¿Conoce el porcentaje de cumplimiento de las directrices de
ciberseguridad impuestas?
4. ¿Tiene en cuenta los tipos de ciberataques?

5. ¿Usted conoce la frecuencia de monitoreo que realiza la

empresa?
6. ¿Sabe cuál es el nivel de criticidad de vulnerabilidades en la
organización?
7. ¿Considera adecuado el tiempo de respuesta tras la
identificación de una vulnerabilidad?
8. ¿Conoce las tecnologías aplicadas para la protección de
información usadas en la empresa?
9. ¿Conoce los equipos que tienen antivirus en la empresa?

10. ¿Considera adecuado el conocimiento que tiene la empresa

acerca de la ciberseguridad?
11. ¿Se realiza frecuentemente talleres y/o conferencias sobre la
concientización de la ciberseguridad en la empresa?

156
 ANEXO 3: ENCUESTA

Encuesta N°1

Dirigido a: Área de TI

PREGUNTAS:

1. ¿Cuántas políticas de ciberseguridad son impuestas en la empresa?

 Ninguno

 1

 Más de 1

2. ¿Cuál es el porcentaje de cumplimiento de las políticas de ciberseguridad

establecidas?

 20% a 50%

 50% a 70%

 70% a 100%

3. ¿Cuál es el porcentaje de cumplimiento de las directrices de ciberseguridad

impuestas?

 20% a 50%

 50% a 70%

 70% a 100%

4. ¿Cuántos tipos de ciberataques se han contemplado en la empresa?

 Ninguno

157
 1

 Más de 1

5. ¿Con qué frecuencia se realiza monitoreo en la empresa?

 Semanal

 Mensual

 Anual

6. ¿Cuál es el nivel de criticidad de vulnerabilidades en la organización?

 Insignificativo

 Menor

 Moderado

 Mayor

 Crítico

7. ¿Cuál es el tiempo de respuesta tras la identificación de una vulnerabilidad?

 Menos de una hora

 De 1 a 5 horas

 En 24 horas

8. ¿Cuántas tecnologías aplican para la protección de información en la empresa?

 Ninguno

 1

 Más de 1

158
9. ¿Qué cantidad de dispositivos tienen antivirus en la empresa?

 Sólo áreas administrativas

 Todas menos las áreas operativas

 Todas las áreas

10. ¿Qué nivel de conocimiento tiene la empresa acerca de la ciberseguridad?

 Poco

 Regular

 Mucho

11. ¿Qué tan frecuentemente se realiza talleres y/o conferencias sobre la

concientización de la ciberseguridad en la empresa?

 Mensual

 Semestral

 Anual

159
 ANEXO 4: FICHA DE INVESTIGACIÓN

FICHA DEL TRABAJO DE INVESTIGACIÓN

FACULTAD: INGENIERÍA
CARRERAS: INGENIERÍA DE SISTEMAS E INFORMÁTICA

1. Título del Trabajo de Investigación propuesto

EVALUACIÓN DE CIBERSEGURIDAD EN LA INTRODUCCIÓN DE TECNOLOGÍAS

EMERGENTES BASADAS EN INTERNET OF THINGS (IoT) DENTRO DE UNA
EMPRESA DE LA INDUSTRIA TEXTIL

2. Indica la o las competencias del modelo del egresado que serán desarrolladas
fundamentalmente con este Trabajo de Investigación:

SISTEMAS DE INFORMACIÓN

SEGURIDAD INFORMÁTICA

3. Número de alumnos a participar en este trabajo

Número de alumnos: 1. (máximo 2)

4. Indica si el trabajo tiene perspectivas de continuidad, después de obtenerse el Grado

Académico de Bachiller, para seguirlo desarrollando para la titulación por la modalidad de
Tesis o no.

Sí tiene continuidad para las acreditaciones posteriores.

5. Enuncia 4 o 5 palabras claves que le permitan realizar la búsqueda de información

para el Trabajo en Revistas Indizadas en WOS, SCOPUS, EBSCO, SciELO, etc., desde el
comienzo del curso y obtener así información de otras fuentes especializadas. Ejemplo:

Palabras Claves REPOSITORIO 1 REPOSITORIO 2 REPOSITORIO 3

160
 1.- Tecnologías SCOPUS WOS SCIENCE DIRECT

Emergentes

2.- Ciberseguridad SCOPUS SCIENCE DIRECT

3.- IoT SCOPUS WOS SCIENCE DIRECT

4.- Industria Marítima SCOPUS WOS SCIENCE DIRECT

6. Como futuro asesor de investigación para titulación colocar:

(Indique sus datos personales)

a. Nombre: Yannick Patrick Carrasco Merma

b. Código docente: C15195

c. Correo institucional: c15195@[Link]

d. Teléfono: 993849881

7. Específica si el Trabajo de Investigación:

(Marca con un círculo la que corresponde, puede ser más de una)

a. Contribuye a un trabajo de investigación de una Maestría o un doctorado de algún

profesor de la UTP.

b. Está dirigido a resolver algún problema o necesidad propia de la organización.

c. Forma parte de un contrato de servicio a terceros.

d. Corresponde a otro tipo de necesidad o causa (explicar el detalle)

8. Explica de forma clara y comprensible los objetivos o propósitos del trabajo de

investigación

Las tecnologías emergentes vienen cobrando vigencia en los últimos años dado su impacto en la
productividad, competitividad e innovación en las organizaciones. Dentro de un contexto de la

161
industria marítima y para el caso del Internet of Things (IoT), se busca evaluar el grado de
ciberseguridad en la introducción de estas soluciones tecnológicas.

9. Brinde una primera estructuración de las acciones específicas que debe realizar el
alumno para que le permita iniciar organizadamente su trabajo

1. Definir el marco teórico aplicado a los contenidos claves de la tesis.

2. Revisar la literatura a partir de investigaciones aplicadas sobre Internet of Things (IoT)

3. Identificar una metodología de evaluación de Ciberseguridad.

4. Realizar la evaluación de ciberseguridad del IoT dentro de una empresa de la industria

marítima.

5. Establecer Conclusiones, Recomendaciones y Propuestas de Investigaciones

Complementarias

10. Incorpora todas las observaciones y recomendaciones que consideres de utilidad para el
alumno y a los profesores del curso con el fin de que desarrollen con éxito todas las
actividades

La consulta de artículos, papers y tesis deben tener una vigencia de publicación de hasta diez
años atrás.

Estar atentos a los concursos de pasantías, movilizaciones y proyectos colaborativos de

investigación de CONCYTEC, IAMU o de la Dirección de Investigación de UTP; en el área de
conocimiento de Tecnologías de Información y Comunicación.

11. Fecha y docente que propone la tarea de investigación

Fecha de elaboración de ficha (día/mes/año): 19/03/2018

Docente que propone la tarea de investigación: YANNICK PATRICK CARRASCO MERMA

162
12. Esta Ficha de Tarea de Investigación ha sido aprobada como Tarea de Investigación para el
Grado de Bachiller en esta carrera por:

(Sólo para ser llenada por la Facultad)

Nombre:
______________________________________________________________________________

Código:
______________________________________________________________________________
_

Cargo:
______________________________________________________________________________
__

Fecha de aprobación de ficha (día/mes/año): ________/ __________/ _________

163
 ANEXO 5: DECLARACIÓN DE AUTENTICIDAD Y NO PLAGIO

Declaración de Autenticidad y No Plagio

(Grado Académico de Bachiller)
Por el presente documento, yo Julissa Antonella Lombardi Sánchez, identificado/a con DNI
N° 75065350 egresado de la carrera de Ingeniería de Sistemas e Informática informo que he
elaborado el Trabajo de Investigación denominado “Desarrollo de una Arquitectura de
ciberseguridad para los servicios de plataformas IoT en el área de TI dentro de la empresa
Pacífico Seguros”, para optar por el Grado Académico de Bachiller en la carrera de Ingeniería
de Sistemas e Informática, declaro que este trabajo ha sido desarrollado íntegramente por el/los
autor/es que lo suscribe/n y afirmo que no existe plagio de ninguna naturaleza. Así mismo, dejo
constancia de que las citas de otros autores han sido debidamente identificadas en el trabajo, por lo
que no se ha asumido como propias las ideas vertidas por terceros, ya sea de fuentes encontradas en
medios escritos como en Internet.

Así mismo, afirmo que soy responsable solidario de todo su contenido y asumo, como autor,
las consecuencias ante cualquier falta, error u omisión de referencias en el documento. Sé que este
compromiso de autenticidad y no plagio puede tener connotaciones éticas y legales. Por ello, en caso
de incumplimiento de esta declaración, me someto a lo dispuesto en las normas académicas que
dictamine la Universidad Tecnológica del Perú y a lo estipulado en el Reglamento de SUNEDU.

Lima – Perú , 27 de Julio del 2020.

(Firma)

164
 Declaración de Autenticidad y No Plagio
(Grado Académico de Bachiller)
Por el presente documento, yo Marcelo Cari Arévalo, identificado/a con DNI N° 74829919
egresado de la carrera de Ingeniería de Sistemas e Informática informo que he elaborado el
Trabajo de Investigación denominado “Desarrollo de una Arquitectura de ciberseguridad para
los servicios de plataformas IoT en el área de TI dentro de la empresa Pacífico Seguros”, para
optar por el Grado Académico de Bachiller en la carrera de Ingeniería de Sistemas e Informática,
declaro que este trabajo ha sido desarrollado íntegramente por el/los autor/es que lo suscribe/n y afirmo
que no existe plagio de ninguna naturaleza. Así mismo, dejo constancia de que las citas de otros autores
han sido debidamente identificadas en el trabajo, por lo que no se ha asumido como propias las ideas
vertidas por terceros, ya sea de fuentes encontradas en medios escritos como en Internet.

Así mismo, afirmo que soy responsable solidario de todo su contenido y asumo, como autor,
las consecuencias ante cualquier falta, error u omisión de referencias en el documento. Sé que este
compromiso de autenticidad y no plagio puede tener connotaciones éticas y legales. Por ello, en caso
de incumplimiento de esta declaración, me someto a lo dispuesto en las normas académicas que
dictamine la Universidad Tecnológica del Perú y a lo estipulado en el Reglamento de SUNEDU.

Lima – Perú , 27 de Julio del 2020.

(Firma)

165
 ANEXO 6: FORMULARIO DE AUTORIZACIÓN DE PUBLICACIÓN

Formulario de Autorización de Publicación en el

Repositorio Académico de la UTP

En calidad de autor(es) del trabajo titulado: “Desarrollo de una Arquitectura de ciberseguridad

para los servicios de plataformas IoT en el área de TI dentro de la empresa Pacífico Seguros”

Para obtener:

[ x ] Grado Académico de Bachiller [ ] Título profesional

Carrera:

Ingeniería de Sistemas e Informática

Manifiesto que nuestra obra es original y que en su producción no hemos usurpado derechos de autor
o de terceros, siendo el material de nuestra exclusiva autoría. Por lo tanto, el/los autor(es) de este
trabajo que a continuación nos presentamos:

Datos personales

Nombres y apellidos: Julissa Antonella Lombardi Sánchez

Código: 1610507

Correo: [Link]@[Link] Teléfono/ celular: 959196926

Decidimos:
[ x ] Autorizar la publicación en forma inmediata.

[ ] No autorizar la publicación (especificar motivo)

_________________________________________________________________________________
________________________________ a la Universidad Tecnológica del Perú para colocarlo en su
Repositorio Institucional y sea así de libre acceso/consulta.

166
En el caso de No autorizar su publicación, existe un periodo de embargo a los 2 años de manera
automática.

Es por eso que, mediante la presente dejamos constancia de que lo que estamos entregando a la
Universidad es la versión final y aprobada por el jurado.

Fecha: 27 / Julio / 2020

Julissa Antonella Lombardi Sánchez

Nombres y Apellidos Firma

Nota: deben firmar todos los autores de la obra, agregar los campos que sean necesarios para
completar los datos de todos los autores.

167
 Formulario de Autorización de Publicación en el
Repositorio Académico de la UTP

En calidad de autor(es) del trabajo titulado: “Desarrollo de una Arquitectura de ciberseguridad

para los servicios de plataformas IoT en el área de TI dentro de la empresa Pacífico Seguros”

Para obtener:

[ x ] Grado Académico de Bachiller [ ] Título profesional

Carrera:

Ingeniería de Sistemas e Informática

Manifiesto que nuestra obra es original y que en su producción no hemos usurpado derechos de autor
o de terceros, siendo el material de nuestra exclusiva autoría. Por lo tanto, el/los autor(es) de este
trabajo que a continuación nos presentamos:

Datos personales

Nombres y apellidos: Marcelo Cari Arevalo

Código: 1511616

Correo: marcelolcari@[Link] Teléfono/ celular: 934100509

Decidimos:
[ x ] Autorizar la publicación en forma inmediata.

[ ] No autorizar la publicación (especificar motivo)

_________________________________________________________________________________
________________________________ a la Universidad Tecnológica del Perú para colocarlo en su
Repositorio Institucional y sea así de libre acceso/consulta.

168
En el caso de No autorizar su publicación, existe un periodo de embargo a los 2 años de manera
automática.

Es por eso que, mediante la presente dejamos constancia de que lo que estamos entregando a la
Universidad es la versión final y aprobada por el jurado.

Fecha: 27 / Julio / 2020

Marcelo Cari Arevalo

Nombres y Apellidos Firma

Nota: deben firmar todos los autores de la obra, agregar los campos que sean necesarios para
completar los datos de todos los autores.

169
ANEXO 7: INFORME DE ORIGINALIDAD POR TURNITIN

170