UNIVERSIDAD TECNOLÓGICA DEL PERÚ

Trabajo Aplicado
Implementación de un SGSI para la UTP – SEDE Lima Norte
APELLIDOS Y NOMBRES:
1. CASTRO DAMIÁN, Jerson Joel Cod. 1623146

2. CACHAY RODRIGUEZ Alex Julinho Cod.

U17201829

Profesor: ARBOLEDA HUAMAN, JULIO FERNANDO

SECCIÓN: 17341

LIMA, 23 DE ABRIL DE 2020

DEDICATORIA

—A ti mamá, por ser mi ejemplo a seguir, por darme fuerzas cuando

flaqueaba y por guiarme con tu luz siempre por el camino correcto.
Nunca estaré lo suficiente agradecido con Dios por haberme regalado
una madre como tú. Nada de esto hubiera sido posible sin tu apoyo
papá. Estuviste físicamente lejos pero gracias a tus consejos y aliento
soy la persona que soy ahora. Estos son los frutos de tu empuje y
valentía al emprender la aventura que iniciaste hace más de 10 años
atrás.

CACHAY RODRIGUES, Alex Julinho

«Dedicamos el presente trabajo de investigación. Primeramente, a

Dios quien nos ha dado la sabiduría e inteligencia. En segundo lugar,
dedicamos el trabajo a nuestros padres quienes nos han apoyado
económica y moralmente en nuestras vidas. También consideramos
especialmente al docente del curso de Seguridad informática quien nos
ha brindado conocimientos para seguir este amplio camino del
estudio».

CASTRO DAMIAN, Jerson Joel

 Agradecimientos

Agradecimientos A Dios por darme salud y permitirme terminar esta etapa de mi vida.
Así mismo, a mis padres y hermanos por su amor, confianza, paciencia, aliento y apoyo
incondicional en esta etapa de mi vida. A la vida porque cada día me demuestra lo
hermosa que es la vida y lo justa que puede llegar a ser.

Agradezco mucho por la ayuda de mis maestros, mis compañeros y a la universidad en

general por todos los conocimientos que me ha otorgado
 RESUMEN

El SGSI es la principal causa por la cual se conforma la norma ISO 27001 que es un
estándar internacional aprobado en octubre de 2005 por la International Organization
for Standardization y por la comisión International Electrotechnical Commission. El
SGSI o ISMS es la abreviatura en ingles de Information Security Management System.

Se entiende por SGSI que es un conjunto de políticas de administración de la

información. Podemos entender por información todo el conjunto de datos que se
organizan en una organización y otorgan valor añadido para ésta, de forma
independiente de la forma en la que se guarde o transmita, el origen que tenga o la
fecha de elaboración.

Según la ISO 27001 un SGSI consiste en preservar la confidencialidad, integridad y

disponibilidad, además de todos los sistemas implicados en el tratamiento dentro de la
organización. Así mismo, esta nos indica los requisitos necesarios para establecer,
implantar, mantener y mejorar un SGSI según el conocido “Ciclo de Deming”: PDCA –
acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), siendo éste un
enfoque de mejora continua

Palabras Claves: SGSI, ISO 27001, Ciclo de Deming, Sistemas.

 ABSTRACT

The ISMS is the main reason why the ISO 27001 standard is formed, which is an
international standard approved in October 2005 by the International Organization for
Standardization and by the International Electrotechnical Commission. The ISMS or
ISMS is the abbreviation for Information Security Management System.

ISMS is understood to be a set of information management policies. We can

understand by information the entire set of data that is organized in an organization
and provides added value for it, regardless of the way in which it is stored or
transmitted, its origin or the date of preparation.

According to ISO 27001, an ISMS consists of preserving confidentiality, integrity and

availability, in addition to all the systems involved in the treatment within the
organization. Likewise, it indicates the necessary requirements to establish,
implement, maintain and improve an ISMS according to the well-known “Deming
Cycle”: PDCA - acronym for Plan, Do, Check, Act (Plan, Do, Verify, Act), being This is a
continuous improvement approach
Key Words: ISMS, ISO 27001, Deming Cycle, Systems.
 INDICE
CAPITULO 1............................................................................................................................11
1.Planteamiento del problema...............................................................................................11
1.1. Diagnóstico del problema planteado para el Proyecto................................................11
1.2. Formulación del problema del Proyecto.....................................................................12
2. Objetivos del Proyecto.......................................................................................................13
2.1. Objetivo general..........................................................................................................13
2.2. Objetivos específicos...................................................................................................13
3. Justificación y delimitación del Proyecto........................................................................14
3.1. Importancia del tema..................................................................................................14
3.2. Justificación.................................................................................................................14
3.3. Delimitación................................................................................................................14
Capítulo II...............................................................................................................................15
2. Marco de referencia de la investigación.............................................................................15
2.1. Marco teórico..................................................................................................................15
2.1.1. Información..............................................................................................................15
2.1.2. Seguridad..................................................................................................................16
2.1.3. Seguridad de la información.....................................................................................16
2.1.4. Sistema de gestión de la seguridad de la información..............................................17
2.1.5. Oficial de seguridad de la información.....................................................................19
2.1.6. Política de seguridad................................................................................................19
2.1.7. Riesgo.......................................................................................................................20
2.2. Normas técnicas peruanas de seguridad de la información............................................21
2.3. Norma técnica peruana NTP-ISO/IEC 27001:2014...........................................................21
2.4. Norma técnica peruana NTP ISO/IEC 17799:2007...........................................................24
2.5. Ciclo de mejora continua.................................................................................................25
2.6. Metodologías de análisis y gestión de riesgos de la información:...................................26
Capítulo III..................................................................................................................................30
3.Preparación del SGSI:..........................................................................................................30
3.1. Contexto de la organización........................................................................................30
3.2. Contexto externo.........................................................................................................30
3.3. Contexto interno.........................................................................................................31
3.4. Matriz DAFO..............................................................................................................38
 3.5. Partes interesadas.......................................................................................................38
3.5.1 Partes interesadas externas......................................................................................39
3.5.1 Partes interesadas internas.......................................................................................39
4. Política de la seguridad de la información..........................................................................41
5. Alcance de SGSI..................................................................................................................42
5.1. Objetivos de seguridad de la información...................................................................42
5.2. Requisitos legales........................................................................................................43
5.2.1 Norma de Control Interno de las Entidades del Estado.............................................43
5.2.1. Ley 30096.- Ley de Delitos Informáticos...................................................................45
5.3. Comité de la seguridad de la información...................................................................45
Capítulo IV..................................................................................................................................46
6. Planificación del SGSI..........................................................................................................46
7. Evaluación de riesgos:........................................................................................................46
8. El inventario de activos:.....................................................................................................47
8.1 identificación de activos de información..........................................................................47
9. Valoración de activos.........................................................................................................53
El criterio que se siguió para valorar los activos de información se muestra en la siguiente
tabla.......................................................................................................................................55
10. Identificación y valoración de amenazas..........................................................................58
11. Cálculo del impacto..........................................................................................................60
12. Cálculo del riesgo.............................................................................................................61
12.1. Propietarios del riesgo...............................................................................................64
Capítulo V...................................................................................................................................64
13. Tratamiento de los riesgos...............................................................................................64
14. Determinar los controles y declaración de aplicabilidad..................................................65
Capítulo VI..................................................................................................................................70
15. Plan de Implementación...................................................................................................70
16. Diagrama de Gantt...........................................................................................................71
Capítulo VII.................................................................................................................................71
17. Conclusiones....................................................................................................................71
18. Recomendaciones............................................................................................................72
Bibliografía.................................................................................................................................73

TABLA DE CONTENIDO: ILUSTRACIONES

Ilustración 1 Gestión de riesgos en una organización Fuente: (Gomez, 2011, pág. 63)________16
Ilustración 2:Aspectos fundamentales del SGSI Fuente: (Gomez, 2011, pág. 63)____________17

Ilustración 3: Fases de la metodología de implementación de la NTP-ISO/IEC 27001: Fuente:

ONGEI______________________________________________________________________22

Ilustración 4Fases del método EBIOS______________________________________________27

Ilustración 5:Elementos del análisis de riesgos potenciales_____________________________28

Ilustración 6: Contexto externo de la UTP FUENTE: Elaboración propia___________________30

Ilustración 7: Mapa de procesos UTP Fuente: Elaboración Propia_______________________35

Ilustración 8: MATRIS DAFO FUENTE: ELABORACION PROPIA___________________________37

Ilustración 9. Política de seguridad________________________________________________41

Ilustración 10. Alcance del SGSI de la UTP__________________________________________41

Ilustración 11. Objetivos de seguridad de la información______________________________42

Ilustración 12: Enfoque de evaluación de riesgos según ISO 27005_______________________43

Ilustración 13: Enfoque de evaluación de riesgos según ISO 27005 Fuente: ISO 27005_______45

Ilustración 9 Organigrama UTP Fuente: Asociación de egresados UTP____________________69

Ilustración 10: Diagrama Gantt Fuente: Propia_______________________________________70

LISTA DE TABLAS

Tabla 1.REQUISITOS DE LA SEGURIDAD DE LA INFORMACION FUENTE: PROPIA...........39

Tabla 2. Categorías de activos de información...............................................................47

Tabla 3. Clasificación de activos de información.............................................................48

Tabla 4. Frecuencia de uso de activos de información...................................................49

Tabla 5. Inventario de activos de información................................................................52

Tabla 6. Escala de valor de activos..................................................................................53

Tabla 7. Esquema de valoración final de activos de información...................................54

Tabla 8. criterio para la valoración de activos.................................................................55

Tabla 9: Valoración de activos de información y nivel de criticidad Fuente: Elaboración

propia..............................................................................................................................56

Tabla 10 Probabilidad de que se materialice la amenaza...............................................57

Tabla 11 identificación de amenazas Fuente: Propia......................................................58

Tabla 12:Criterio para valorar la degradación del activo Fuente: Elaboración Propia...58

Tabla 13:Degradación de activos Elaboración: Propia....................................................59

Tabla 14: Valor del impacto Fuente: elaboración Propia................................................59

Tabla 15: Valor del impacto.............................................................................................60

Tabla 16: Matriz de evaluación de riesgos Fuente: Elaboración Propia.........................60

Tabla 17: Niveles de riesgos Fuente: Elaboración Propia...............................................61

Tabla 18: Impacto y riesgo de los activos Fuente: Elaboración Propia...........................62

Tabla 19: Controles para el tratamiento riesgos del sistema de información académico
Fuente: Elaboración Propia.............................................................................................68
 CAPITULO 1
1.Planteamiento del problema
1.1. Diagnóstico del problema planteado para el Proyecto

En la actualidad en el Perú existen muchas universidades ya sean nacionales o

particulares que brindan servicios de educación y son muchas las personas que
acceden a estas universidades, teniendo así una competencia entre estas por la
captación de alumnos, a su vez que aumentan los alumnos también aumentan las
amenazas a la que se exponen estas universidades. Para poder proteger estas
universidades de todas las amenazas posibles es necesario conocerlas de una forma
adecuada. Un claro ejemplo de esto tenemos a la Universidad Tecnológica del Perú.

Las universidades y sus sistemas de información se enfrentan cada vez más a riesgos
informáticos ya sea de un hacker o una persona interna dentro del establecimiento.
Estas amenazas van desde fraudes informáticos, espionaje, sabotaje hasta vandalismo
etc. Todo esto hoy en día se está volviendo más común, ambicioso y sofisticado. Para
ello es recomendable que las universidades tengan un control y seguridad total de
toda su información.

Para evitar todo esto es recomendable que cada institución u organización cuente con
su propio Sistema de Gestión de Seguridad de la Información -SGSI que vendría a ser
un conjunto de políticas y procedimientos cuyo objetivo es administrar la Seguridad de
la Información de una Organización.

La norma estándar internacional ISO/IEC 27001 nos indica todos los requisitos
parámetros y procedimientos para poder implantar un Sistema de gestión de la
Seguridad de la Seguridad de la Información dentro de una institución u organización.
Así mismo esta nos informa la implementación de controles de seguridad basados en
una evaluación de riesgos informáticos y una medición de su eficacia.

Bajo todo este contexto, se presenta este trabajo de investigación que tiene como
finalidad dar una solución al problema identificado anteriormente, planteándonos
como objetivo implementar una SGSI para la universidad tecnológica del Perú
basándonos en la norma NTP ISO/IEC 27001:2014

1.2. Formulación del problema del Proyecto

En la actualidad nos encontramos en una sociedad en la cual los principales activos de
una empresa u organización es la información, sin importar el tamaño del negocio. Si
se viera algún incidente relacionado con la integridad, disponibilidad o
confidencialidad a la información de la Universidad Tecnológica del Perú, podrían
generarse desventajas competitivas importantes con respecto a otras universidades.
Entonces con ayuda del factor humano, la tecnología permite gestionar y manejar la
información de la Universidad. A medida que la tecnología vaya avanzando, de la
misma manera se debe alinear y sincronizar cada vez más los objetivos y procesos de la
universidad para su respectivo cumplimiento.

Como resultado del incremento de la dependencia de las organizaciones respecto a la

tecnología para el manejo de su información y del incremento de interconectividad en
el ambiente comercial, la información cada vez está más expuesta a una variedad más
amplia y sofisticada de amenazas y vulnerabilidades. Estas amenazas pueden ser
internas, externas, accidentales, provocadas, etc. En la mayoría de los casos
mencionados, generarían pérdidas dentro de la universidad, siendo las reputaciones
las más difíciles de contrarrestar. Por lo tanto, surge nuestra incógnita ¿Cómo influye
la implementación de un nuevo Sistema de Gestión de Seguridad de la Información
en el control de la seguridad de la información en la Universidad Tecnológica del
Perú?

Con la finalidad de clasificar nuestro proyecto, de la incógnita planteada

anteriormente, se han visto otras incógnitas que también necesitamos revisarlas para
el desarrollo correcto de nuestro trabajo. Con lo cual llegamos a las siguientes
preguntas:

 ¿Cómo afecta la implementación de un Sistema de Gestión de Seguridad de la

Información en el control de la seguridad informática y controles técnicos en la
Universidad Tecnológica del Perú?
 ¿Cómo impacta la implementación de un Sistema de Gestión de Seguridad de
la Información en el control de la cultura organizacional y concientización en
seguridad de la información de la Universidad Tecnológica del Perú?
 2. Objetivos del Proyecto
2.1. Objetivo general
El objetivo de este proyecto es diseñar un Sistema de Gestión de Seguridad de
Información (SGSI) basado en las normas internacionales ISO, para
implementarlo en la Universidad Tecnológica del Perú. Con lo cual, tendremos
un análisis de las limitaciones y problemas que viene enfrentando la
universidad. Por otro lado, veremos también como otras universidades privadas
han implementado un SGSI, sus beneficios al implementarlo y la importancia de
un SGSI en universidades privadas.
2.2. Objetivos específicos
1. Modelar los procesos de negocio que componen el alcance del SGSI establecido
por la Universidad Tecnológica del Perú.
2. Identificar y valorar los activos de información asociados a los procesos
establecidos como alcance del SGSI.
3. Identificar, analizar y evaluar los riesgos a los que están expuestos los activos
de mayor valor para la entidad.
4. Seleccionar los controles que permitan gestionar y tratar los riesgos
identificados.
5. Formalizar la declaración de la aplicabilidad del SGSI.
6. Elaborar la documentación exigida por la norma internacional adoptada para el
diseño del SGSI.

3. Justificación y delimitación del Proyecto

3.1. Importancia del tema

Con este proyecto de investigación la Universidad Tecnológica del Perú da un primer

paso en la implantación de un sistema de gestión de seguridad de la Información bajo
la NTP ISO/IEC 27001:2014.
3.2. Justificación
Como nos indica mejía la información también es un activo importante dentro de una
empresa u organización y es importante protegerla ante cualquier amenaza externa o
interna.
“La información es un activo esencial para las organizaciones y es decisiva para la
viabilidad de las mismas. La información adopta diferentes formas, impresa, escrita en
papel, digital, trasmitida por correo, mostrada en videos o hablada en conversaciones,
debido a que está disponible en ambientes cada vez más interconectados, está
expuesta a amenazas y vulnerabilidades, mantener su integridad, confidencialidad y
disponibilidad es esencial para alcanzar los objetivos de la organización”. 1
En ese sentido es por eso que se requiere implementar un sistema de gestión de la
seguridad informática dentro de la universidad tecnológica del Perú. También
podemos tomar como modelo la norma ISO/IEC 27001:2013 para poder establecer,
implementar, dar seguimiento y mejora al sistema de gestión que se quiere incluir en
esta universidad. Así mismo usar los controles sugeridos en la norma ISO/IEC 27002.

3.3. Delimitación
Este presente trabajo se realizó en la Universidad Tecnológica del Perú en el año 2020
en el área de sistemas de esta universidad, ya que esta se encarga del cuidado
mantenimiento a todo el software y hardware de la presente organización.

1
[ CITATION Tob18 \l 10250 ]
Capítulo II

2. Marco de referencia de la investigación

2.1. Marco teórico

Posteriormente, definiremos términos que son importantes para englobar y poder

relacionarnos con el tema del proyecto.

2.1.1. Información

La definición de Información puede ser fácil de interpretar y está presente a lo largo

del desarrollo del proyecto. Según Idalberto Chiavenato, el término información es:

Un conjunto de datos con un significado, o sea, que reduce la incertidumbre o que

aumenta el conocimiento de algo. En verdad, la información es un mensaje con
significado en un determinado contexto, disponible para uso inmediato y que
proporciona orientación a las acciones por el hecho de reducir el margen de
incertidumbre con respecto a nuestras decisiones (Chiavenato, 2006, p.392).

La información es el nombre por el que se conoce un conjunto organizado de datos

procesados que constituyen un mensaje que cambia el estado de conocimiento del
sujeto o sistema que recibe dicho mensaje.

2.1.2. Seguridad

Según la RAE seguridad se define como “Contexto de protección y estar exento de

situaciones riesgosas.” (RAE 2019)

Seguridad cotidianamente se puede referir a la ausencia de riesgo o a la confianza en

algo o en alguien. Sin embargo, el término puede tomar diversos sentidos según el
área o campo a la que haga referencia en la seguridad.
2.1.3. Seguridad de la información

La información hoy por hoy se ha convertido en un bien activo para las organizaciones,
tal es la importancia que se convierten en su principal activo. Según la definición en el
portal blog del ISO 27000 indica:

“En el contexto aquí tratado, se entiende por información todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración”. 2

En base a esto, se entiende que existe un conocimiento equivoco acerca de seguridad

de la Información ya que confunden seguridad “Informática” con seguridad de
“Información”. Debe de existir una aclaración sobre esto ya que en muchos portales
web muestran un equívoco concepto acerca de Seguridad de Información, brindando a
su vez un concepto distinto y más acercado a la seguridad Informática, ya que incluyen
como procedimientos y herramientas el uso de equipos especializados.

2.1.4. Sistema de gestión de la seguridad de la información

El manejo de la seguridad informática como proceso, requiere de conocimientos,

habilidades y capacidades en las áreas técnica, legal, humana, y organizacional. Un
sistema en el que se pueden integrar todos estos factores con todos los
requerimientos y consideraciones organizacionales recibe el nombre de SISTEMA DE
GESTION DE SEGURIDAD DE LA INFORMACION, conocido por sus siglas como SGSI.

2
[ CITATION ISO181 \l 10250 ]
 Ilustración 1 Gestión de riesgos en una organización
Fuente: [CITATION Alv111 \p 63 \l 10250 ]

Tal como lo muestra la figura 12, el Sistema de Gestión de Seguridad de la Información

tiene como una de sus actividades principales la evaluación y gestión del riesgo. Esta
actividad tiene como tareas la detección de 50 amenazas, análisis de las
vulnerabilidades y definición de los diferentes controles.
 Ilustración 2:Aspectos fundamentales del SGSI
Fuente: [CITATION Alv111 \p 63 \l 10250 ]

Para implantar un Sistema de Gestión de Seguridad de la Información, se deben tener

en cuenta los elementos mostrados por la figura 13, tales como las vinculaciones con
las personas, debido a las actividades que tendrán dentro del SGSI; la tecnología
presente, identificando controles necesarios para los sistemas de información; la
actual legislación, dado que debemos cumplir con las regulaciones y la organización,
puesto que se deben dictar políticas y lineamientos en seguridad de la información.
Además una organización debe considerar:

 Formalizar la gestión de la seguridad de la información

 Analizar y gestionar los riesgos
 Establecer los procesos de gestión de la seguridad en base a la metodología
 Certificar la gestión de la seguridad (opcional)

Un Sistema de Gestión de Seguridad de la Información, se encuentra basado en la

norma ISO 27001, el cual es un estándar desarrollado como 51 modelo para el
establecimiento, implementación, operación, monitorización, revisión, mantenimiento
y mejora de un SGSI para cualquier tipo de organización. El diseño e implantación de
un SGSI, se encuentra influenciado por las necesidades, objetivos, requisitos de
seguridad, los procesos, los empleados, el tamaño, los sistemas de soporte y la
estructura de la organización.

2.1.5. Oficial de seguridad de la información

El oficial de seguridad de la información o también llamado director de la seguridad de

la información, Las responsabilidades de cada oficial de seguridad de la información
varían dependiendo de la organización en la que se encuentren, debido a que la
protección de la información está limitada por la cultura organizacional. El CISO debe
entender que el programa básico de protección de la información se implementará en
toda la empresa. Sin embargo, cada unidad de negocios debe tener la libertad de hacer
modificaciones para satisfacer sus necesidades específicas.

Para cada actividad existe una persona responsable y, en el caso de la seguridad de la

información, el oficial de seguridad de la información es el encargado de gestionar la
seguridad de la información de la empresa.

2.1.6. Política de seguridad

Las empresas invierten en proteger sus activos importantes, sin embargo, pese a todos
sus esfuerzos por salvaguardar su información aún enfrentan el hecho de que sus
trabajadores sean quienes roben, dañen o borren su información es ahí donde radica
la importancia de implementar políticas de seguridad. Por lo anterior mencionado, se
puede definir que las políticas de seguridad son:

Según el Ing. Méndez Héctor, Las políticas de Seguridad permiten dirigir y determinar
acciones de apoyo, compromiso y dirección, a fin de lograr metas de seguridad de la
información, debiendo incluir:

“Documentación de la Política de Seguridad de la Información: Es un juego de

implementaciones independientes, con información conceptual que determina
las metas de seguridad de la organización. Este documento, junto con una
 jerarquía de normas, pautas, y procedimientos, ayuda en la implementación,
fortaleciendo los estatutos de la política” 3

La política de seguridad nos permite garantizar que los activos de una empresa son
salvaguardados con la finalidad de mantener la integridad y disponibilidad de estas.

2.1.7. Riesgo

La gestión de riesgos en parte prioritaria en el SGSI, su buen desarrollo es necesario

para que la implementación este completa. La gestión de riesgos está presente, con
mayor o menor protagonismo, en distintos ámbitos de la empresa y su sociedad.
(INCIBE, 2017) Los responsables cuando toman conciencia de la existencia de
amenazas que deduce un peligro para la continuidad de las actividades y objetivos de
la Universidad tecnológica del Perú, estos dedican sus recursos para mantener los
riesgos por debajo de un límite aceptado por la Universidad Tecnológica del Perú. Para
esto hay que entender los conceptos utilizados:

• Activo: Todo recurso de la Fábrica de Radiadores Fortaleza que es calificado como

necesario para desempeñar las actividades diarias, su indisponibilidad, falla 28 o
deterioro predispone un agravio que involucra un costo a la Fábrica de Radiadores
Fortaleza. La naturaleza de estos activos estará valorada según la necesidad de la
Fábrica de Radiadores Fortaleza y su protección es el fin último de la gestión de
riesgos. Se puede determinar la “fuente del riesgo”.

• Amenaza: Evento circunstancial desfavorable que puede ocurrir, si esto sucede

tendrá consecuencias negativas sobre los activos provocando su indisponibilidad,
funcionamiento incorrecto o pérdida de valor. Se puede determinar el “suceso”, como
concepto para ser usado como bitácora.

• Vulnerabilidad: Conceptualmente se define en la debilidad técnica o humana de los

activos y facilita que las amenazas se materialicen.

3
[ CITATION Héc03 \l 10250 ]
• Impacto y consecuencia: Cuando una amenaza aprovecha una vulnerabilidad este
genera un daño generándose la materialización de la amenaza sobre un activo. Este
evento puede ser medido para calcular el nivel de perdida sobre un activo. Se
determina “el resultado de un suceso que afecta a los objetivos”

• Probabilidad: Es la posibilidad de ocurrencia de un hecho, suceso o acontecimiento.

Puede cuantificarse y es relacionado con la amenaza. Para el cálculo se requiere los
datos objetivos del histórico de la Fábrica de Radiadores Fortaleza.

2.2. Normas técnicas peruanas de seguridad de la información

En el Perú existen diversas normas y leyes relacionadas a la seguridad de la

información como la Ley 29733 de protección de datos personales o la Ley 30096 de
delitos informáticos. Sin embargo, para reforzar el desarrollo de la presente
investigación se van a definir dos normas esenciales, la NTP-ISO/IEC 27001:2014 y la
NTP-ISO/IEC 17799:2007.

2.3. Norma técnica peruana NTP-ISO/IEC 27001:2014

Según los que nos indica Tobón la NTP-ISO/IEC 27001:2014 nos proporciona todos los
requerimientos para poder implementar un SGSI dentro de una organización

“La Norma Técnica Peruana de Seguridad de la Información NTP-ISO/IEC 27001:2014

proporciona los requisitos necesarios para establecer, implementar mantener y mejorar
continuamente un sistema de gestión de seguridad de la información.” 4

Esta norma NTP-ISO/IEC 27001:2014 es una adaptación de la antigua norma

internacional ISO/IEC 27001:2013 donde nos indican varios cambios en el contenido y
la estructura de este.

“La Norma Técnica Peruana de Seguridad de la Información NTP-ISO/IEC 27001:2014 ha sido

elaborada utilizando como antecedente al estándar internacional ISO/IEC 27001:2013, en

4
[ CITATION Sec16 \l 10250 ]
donde no sólo se establecen cambios en el contenido sino también en la estructura respecto
de la versión anterior (NTP-ISO/IEC 27001:2008).” 5

-Estructura de la NTP-ISO/IEC 27001:2014:

La norma NTP-ISO/IEC 27001:2014 establece cambios en el contendido respecto a la

ISO anterior como ya lo mencionamos anteriormente, esto se ve reflejado en otros
documentos que forman parte de la comunidad de ISO27000. Esta justamente fue
desarrollada con base al anexo SL que vendría a ser una sección de la parte 1 de las
directivas ISO que nos indican como escribirse y redactarse todos los protocolos y
estándares del sistema de gestión ISO enfocado al sector empresarial, de esta forma si
alinearan todos los documentos bajo una misma estructura y así se evitan problemas
de integración con otras normas.

Estructura de esta norma:

-Introducción
-Objeto y campo de aplicación

-Referencias Normativas

-Términos y definiciones

-Contexto de la organización

-Liderazgo

-Planificación

-Soporte

-Operación

-Evaluación

-Mejora
5
[ CITATION Sec16 \l 10250 ]
Estas fases se ven reflejada en la siguiente imagen:

Ilustración 3: Fases de la metodología de implementación de la NTP-ISO/IEC 27001: Fuente: ONGEI

Según varios investigadores señalan que si una empresa u organización quiera cumplir
con esta NTP debe enfocarse y dar una correcta implementación desde contexto de la
organización hasta Mejora en la estructura. Así mismo daremos una breve explicación
acerca de cada una de estas:

Contexto de la organización: En este apartado de la NTP es de suma importancia

conocer a la empresa u organización y su contexto en el que se desarrollan cada una
de sus actividades tanto a nivel interno y externo. De igual forma también conocer las
necesidades y expectativas de esta, así como el alcance del SGSI.

Liderazgo: Este nos indica que todos los empleados de la empresa u organización
deben ser involucrados y contribuir al establecimiento de la norma. Para esto todas las
personas a cargo deben tener un alto liderazgo y compromiso deben conocer a toda la
organización y debe de asignar roles, responsabilidades y autoridades organizacionales
para así poder asegurar que el SGSI se esté implementando correctamente
Planificación: Nos indica toda la importancia de la determinación de riegos y
oportunidades a la hora de aplicar el SGSI. Así mismo, nos indica también como
establecer los objetivos y como alcanzarlos respectivamente

Soporte: En este punto la NTP que para que el SGSI tenga un rotundo éxito la
organización o empresa debe contar con la gestión de recursos, competencia,
concientización, comunicación e información documentada

Operación: Esta cláusula nos indica que es necesario planificar, implementar y

controlar todos los procesos de la organización. Así mismo hacer una valoración de los
riesgos del SGSI y tomar medidas para reducirlos o eliminarlos

Evaluación: Este nos indica que es necesario e imprescindible hacer un monitoreo,

medición, análisis, evaluación y revisión por parte de los encargados del SGSI para que
así se garantice la correcta implementación

Mejora: Nos indica las obligaciones que tiene la empresa u organización tras detectar
un fallo o una no conformidad en el SGSI, para que así se asegure una mejora continua.

2.4. Norma técnica peruana NTP ISO/IEC 17799:2007

Esta norma técnica peruana fue adaptación de la ISO 17799:2005. Así mismo, esta nos
indica ciertas recomendaciones para realizar el SGSI que pueden utilizar los
responsables de iniciar, implantar o mantener la seguridad de la empresa.

- Objeto y campo de aplicación: Esta norma tiene 14 clausulas en la que se describe

controles de seguridad que a su vez tiene 35 categorías con sus principales objetivos y
controles asociados a estos objetivos:
A continuación se coloca las 14 clausulas (acompañados del número de categorías
principales de seguridad incluidos dentro de cada capítulo):

1. Políticas de seguridad (1)

2. Organización de la seguridad de la información (2)

3. Seguridad relativa a los recursos humanos (3)

4. Gestión de activos (3)

5. Control de acceso (4)

6. Criptografía (1)

7. Seguridad física y del entorno (2)

8. Seguridad de las operaciones (7)

9. Seguridad de las comunicaciones (2)

10. Adquisición, desarrollo y mantenimiento de sistemas de información (3)

11. Relación con proveedores (2)

12. Gestión de incidentes de seguridad de la información (1)

13. Aspectos de seguridad de la información para la gestión de la continuidad de

negocio (2)

14. Cumplimiento (2)

2.5. Ciclo de mejora continua

La norma ISO 27001:2013 nos menciona que la empresa tiene que estar en una mejora
continuamente en los ámbitos de convivencia, adecuación y efectividad del SGSI. Es
decir, el ciclo PDCA(PlanDo-Check-Act) está en la propia estructura de la norma y es de
suma importancia conocerla.

Este modelo tiene un conjunto de normas y fases, que nos permiten instaurar un
modelo semejante a lo largo del tiempo, para que de esta forma se pueda medir el
grado alcanzando:
Plan: En esta fase se planifica todo lo relacionado al SGSI, se determina el contexto de
la organización, los objetivos y políticas, así como también la comunicación del equipo.

Do: En esta fase se implementa, ejecuta y se pone en funcionamiento el SGSI, se pone

en práctica todas las políticas establecidas anteriormente y controles para un correcto
funcionamiento

Check: En esta fase se analiza y revisa el SGSI. Así como también se controla los
procesos

Act: en esta fase se mejora el proceso, del SGSI

2.6. Metodologías de análisis y gestión de riesgos de la información

Existen muchas metodologías para analizar y gestionar riegos de la información a
continuación mencionaremos algunas:

-CRAMM (CCTA Risk Analysis and Management Method): Cramm es una metodología
de análisis de riegos avalado y desarrollado por la agencia central de comunicación y
telecomunicación del gobierno británico. Este método está constando de tres etapas

-El establecimiento de los objetivos: Esta primera etapa del método Cramm nos habla
de cómo identificar y valorar todos los activos dentro de la organización. Así como
también identificar su valor físico de cada una de estas.

-La evaluación de los riesgos: En esta segunda etapa nos indica evaluar cualquier tipo
y nivel de amenaza, el alcance de vulnerabilidades que puedan tener el sistema.

Identificación y selección de contramedidas: En esta etapa básicamente nos indica de

cómo se debe manejar todos estos riegos en las etapas anteriores

-EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité): Fue

fundada en el año de 1995 por la agencia nacional de seguridad de sistemas de
información (ANSSI). Este método tiene más de 20 años de experiencia en el campo de
la gestión de riesgos. Así mismo, este método ebios indica que se puede adaptar al
contexto de cada organismo y ajustare a ella ya sea en sus herramientas o costumbres
metodológicas formando así una herramienta efectiva para la gestión de riesgos SSI.

Ebios también nos ofrece a los líderes o administradores un enfoque amplio, objetivo y
de alto nivel. Para que así se pueda lograr una visión global para ayudar a la toma de
decisiones de cada organismo. Actualmente ebios es mantenido por la ANSSI que
vendría a hacer un departamento del primer ministro francés y cuenta con cinco
etapas que serían:

1. Estudio circunstancial - determinar el contexto

2. Requerimientos de seguridad

3. Estudio de riesgo

4. Identificación de los objetivos de seguridad

5. Determinación de los requisitos de seguridad (European Union Agency for Network

and Information Security, 2016b).

Ilustración 4Fases del método EBIOS

ISAMM: Es una metodología de apoyo a la gestión de riesgos SGSI, que se basa en tres
partes fundamentales que vendrían a hacer el alcance, evaluación sobre el
seguimiento de la gestión y finalmente el resultado para tener referencia y así poder
lograr una mejora continua. Así mismo, esta metodología de gestión de riesgos
también se puede decir que es de tipo cuantitativo, donde se expresan todos los riegos
analizados a través de su expectativa de pérdida anual:
Expectativa de pérdida anual (ALE) = [probabilidad] x [impacto promedio]

La eficacia de esta permite una realización de la evaluación de riegos con un tiempo y

esfuerzo mínimo.

Magerit: Es una metodología para analizar y gestionar riesgos elaborada el Consejo

Superior de Administración Electrónica de España, esta sigue la normativa ISO 31000
que vendría a responder el “Proceso de Gestión de los Riesgos”. En otras palabras,
magerit implementa un proceso de gestión de riesgos para que los distintos
organismos del gobierno tomen decisiones teniendo en cuenta todos los riesgos
existentes y así poder derivarlo al área de tecnologías de la información

Magerit divide la gestión de riesgos en dos subprocesos estos vendrían a ser:

-Análisis de Riesgos:
 Ilustración 5:Elementos del análisis de riesgos potenciales

En esta imagen presentada se

puede identificar lo que vendría a hacer todos los elementos para analizar los riesgos

-Tratamiento de riesgos: Este tratamiento de riegos es muy cuidadoso y prudente,

para que así de esta forma la organización pueda sobrellevar los incidentes que pueda
ocurrir a su seguridad y así poder seguir operando en las mejores condiciones

-Octave: es una metodología cuyo objetivo es ayudar a cualquier organización

mediante sus pasos y fases. Este identifica los activos que son importantes dentro de la
empresa para que así pueda ayudar con la misión de esta. En el transcurso del tiempo
octave sufrió varios cambios y versiones, la más actual es Octave Allegro cuyo
elemento más importante es identificar y evaluar todos los activos funcionales de
información dentro de una empresa. A su vez OCTAVE se divide en 4 fases:

-Criterios de medición de riesgo

-Perfiles para establecer los limites

-Identificación de amenazas

-identificación y análisis de riesgos

 Capítulo III

3.Preparación del SGSI:

Los objetivos planteados para esta fase de preparación son:

-Definir el alcance del SGSI

-Elaborar una política y objetivos de seguridad

-Identificar los requisitos legales

-Proponer un comité de seguridad de la información para la UTP

Todo esto se logrará mediante un estudio de la situación actual de la universidad

mencionada, Así mismo, después del estudio realizado se logro con todos estos
objetivos planteados tras estudiar el contexto interno y externo de la UTP. De esta
manera logramos entender las necesidades y expectativas de todas las partes
interesadas en implementar el SGSI

3.1. Contexto de la organización

La NTP ISO/IEC 27001:2014 nos menciona en el capítulo 4 la importancia que es

comprender a la organización y su contexto actual, para que así podamos comprender
sus inquietudes y necesidades, así como también sus aspectos internos y externos que
vendrían a ser fundamental para el establecimiento del SGSI.

3.2. Contexto externo

En este apartado se analizó todos los factores externos importantes que puedan
afectar a la UTP en el establecimiento e implementación del SGSI. Para poder analizar
todos estos factores externos se utilizó una herramienta de análisis muy conocida
llamada PEST (factores Políticos - Legales, Económicos, Socioculturales y Tecnológicos).
Los resultados del análisis fue el siguiente:
 POLITICO LEGAL ECONOMICO
•Interés de parte de la sunedu para la
seguridad de la información en todas las •Costo elevado de parte de los ingenieros y
universidades ya sean públicas o privadas consultores para poder establecer un SGSI
•Política de protección de datos y seguridad •Poco presupuesto de parte de la alta dirección
de parte de la universidad de la universidad
•Estandarización de procesos y sistemas de
Gestión  
•Política de seguridad por parte de la
universidad sobre el uso de redes ya sean
alámbricas o inalámbricas  
SOCIOCULTURAL TECNOLOGICO
•aparición de nuevas tecnologías de la
•Nuestra Sociedad estudiantil cada vez cuenta información que están siendo aceptados por
con más innovaciones tecnológicas distintas universidades
•Crear una cultura con valores y ética •Reemplazo de hardware antiguo, por uno más
profesional actual
•Sociedad cada día más preocupada por la •aparición de nuevo software para hacer
seguridad de su información ataques cibernéticos

Ilustración 6: Contexto externo de la UTP

FUENTE: Elaboración propia

Es importante que conozcamos y comprendamos el contexto externo de la universidad

ya que esto nos va a permitir entender bien las inquietudes de la esta.

3.3. Contexto interno

El SGSI que se va a implementar va de acorde con la cultura, procesos, estructura y

estrategia de la utp

Naturaleza de la entidad: La Universidad Tecnológica del Perú (UTP) es una institución

educativa privada. Esta universidad data desde el año de 1997 donde exactamente en
septiembre de ese año mediante una Resolución No. 278-97-CONAFU obtuvo el
funcionamiento provisional para más adelante convertirse en una sociedad anónima
cerrada (UTP SAC). Así mismo, también se rige bajo todas las leyes universitarias
existentes (Ley de educación superior, ley universitaria). Además, que también la
universidad tecnológica del Perú tiene sus propias normas internas y externas para sus
alumnos docentes o cualquier otro trabajador de esta institución.

Finalidad: La universidad tecnológica del Perú tiene como finalidad lo siguiente:

“A. Conservar, acrecentar y transmitir la cultura universal, con sentido crítico y

creativo, afirmando de manera preferente los valores nacionales;

B. Realizar investigación en las humanidades, las ciencias y las tecnologías, y fomentar

la creación e iniciativa intelectual, artística y tecnológica;

C. Formar integralmente humanistas, científicos, tecnólogos y profesionales de

excelente calidad académica, de acuerdo con las necesidades locales, regionales,
nacionales é internacionales; y, desarrollar en los miembros de su comunidad, los
valores deontológicos, éticos, morales y cívicos, las actitudes de responsabilidad y
solidaridad social, y el conocimiento de la realidad nacional e internacional, así como,
fomentar la integración universal;

D. Extender su acción y servicios a la comunidad, y promover su desarrollo integral;

E. Estimular su actividad editorial y bibliográfica” 6

Misión: “Es misión de la UTP dar a todos los peruanos acceso a una educación superior
de calidad que les permita alcanzar una vida mejor”.7

Visión: “La visión de la UTP consiste en ser la primera opción para estudiantes con afán
de superación que contribuyan a un Perú mejor.”8

“Valores: Son valores de la Universidad los siguientes:

Equipo: en la UTP construimos relaciones claras y honestas con buena comunicación.

Responsabilidad: en la UTP hacemos que las cosas sucedan, que sucedan bien y con
eficiencia.

6
[ CITATION UTP16 \l 10250 ]
7
[ CITATION UTP15 \l 10250 ]
8
[ CITATION UTP15 \l 10250 ]
Pasión: en la UTP damos el máximo esfuerzo para hacer realidad nuestro sueño.

Aprendizaje continuo: en la UTP estamos siempre en la búsqueda de oportunidades

para ser mejores.

Apertura al cambio: en la UTP nos atrevemos a hacer las cosas de manera distinta.

Integridad: en la UTP hacemos lo correcto con honestidad y transparencia.” 9

Competencias Generales: “En el cumplimiento de su misión, la Universidad promueve

el desarrollo de las siguientes competencias generales en sus estudiantes:

Comunicación efectiva: un estudiante de la UTP construye mensajes solventes, con

eficiencia y empatía teniendo en cuenta la audiencia y el contexto.

Cultura Digital: un estudiante de la UTP adopta las Tecnología de la Información y las

Comunicaciones (“TIC”) como medio para desenvolverse en los ámbitos académico y
profesional.

Espíritu de superación: un estudiante de la UTP se propone metas desafiantes acordes

con un sentido de propósito personal y se esfuerza por alcanzarlas hasta hacerlas
realidad.

Ética y ciudadanía: un estudiante de la UTP reflexiona sobre las implicancias que tienen
sus decisiones sobre sí mismo y sobre los demás y hace que esa reflexión oriente la
forma en que vive y convive.

Resolución de problemas: un estudiante de la UTP propone soluciones satisfactorias,

innovadoras y duraderas a problemas o necesidades de mejora detectadas.” 10

Mapa de procesos:

9
[ CITATION UTP15 \l 10250 ]
10
[ CITATION UTP15 \l 10250 ]
Luego de analizar la Universidad Tecnológica del Perú y sus diferentes áreas
funcionales se procedió a identificar los procesos de la entidad y elaborar el siguiente
mapa de procesos:

PROCESOS ESTRATEGICOS

INTERNASIO PLANEACION
NALIZACION INSTITUCIONAL
 ESTUDIANTES
ESTUDIANTESYYPA|RTES INTERESADAS
PARTES INTERESADAS

DIRECCION
INSTITUCIONAL

PROCESOS MISIONALES

DIRECCION
FORMACION
INSTITUCIONAL

PLANEACION
INSTITUCIONAL

PROCESOS DE APOYO

SAE BIBLIOTECA DACE

ADMISION GESTION INNOVACIO

ES DOCUMENTAL Y
TECNOLOGIA
Ilustración 7: Mapa de procesos UTP
Fuente: Elaboración Propia

Como se acaba de mostrar en la figura anterior, la universidad tecnológica del Perú

tiene su mapa de procesos donde se define todos los procesos que se realiza, en ese
sentido nos enfocaremos en un proceso en específico que nos ayudara a entender
mejor este proyecto:
INNOVACION Y TECNOLOGIA: Se puede decir que esta área es la más importante
entre todas para poder desarrollar este proyecto ya que esta área planea, dirige,
ejecuta y supervisa toda la innovación tecnológica que puede existir en esta
universidad, fomentando así buenas prácticas para el desarrollo de software y a la vez
implementado tics. Garantizando así todos los niveles de confidencialidad, integridad y
disponibilidad de todos los datos de esta universidad. Así mismo, esta área a su vez
tiene subáreas que veremos a continuación:

-Gestión de soporte técnico

-Gestión de la protección y seguridad de la información.

-Gestión de la página web y servicios online

-Gestión del ciclo de vida del desarrollo de software de la entidad

-Gestión de innovación de tics y buenas practicas

-Asesoramientos a estudiantes internos y externos

El proceso innovación y tecnología como lo antes dicho es considerada uno de los

procesos más importantes y de mayor resalte para garantizar la integridad,
confidencialidad, y disponibilidad de toda la información de esta universidad. Por todo
lo mencionado anteriormente es necesario que se implemente correctamente el SGSI
para que no ocurra ningún riesgo de tipo informático.

Servicios en línea de la UTP: Toda esta información que se colocara fue recaudada de
la página web de la UTP. Además de colocar información propia aquí de mi persona ya
que soy estudiante de esta universidad y se de primera instancia todos los servicios
que brinda esta universidad. Para todo esto se dividió en 2 clases diferentes todos los
servicios.

-Usuarios o estudiantes externos:

A) Admisión
B) Consultas en línea (Redes sociales, pagina de la universidad, correos electrónicos
etc.)

C) Información y requisitos para las distintas modalidades que ofrece la UTP

D) Información sobre las distintas carreras y mallas curriculares de cada una de ellas

-Usuarios internos

A) Sae

B) Correo institucional

C) Dace

D) Biblioteca

E) Empleabilidad

F) Portal del estudiante y de docente

G) Repositorio de la universidad

H) Canvas

i) Ugo
 3.4. Matriz DAFO

DEBILIDADES
AMENAZAS
-Inexistencia de un personal dedicado
a la seguridad de informacion -Costo alto para contratar consultores o
personal para que capaciten a los
-Rotacion de personal docentes de la universidad
-Inexistencia de un plan de -Aparicion de nuevas tecnologias
capacitacion hacia los docentes acerca
de seguridad de la informacion

FORTALEZAS OPORTUNIDADES
-Alumnos cada dia mas informados -Aparicion de nuevas TICS
acerca de seguridad informatica -Apoyo politicio y financiaron hacia la
-Buena disposicion de parte del universidad
personal para implentar el SGSI
-Buena situacion financiera

Ilustración 8: MATRIS DAFO

FUENTE: ELABORACION PROPIA

3.5. Partes interesadas

De acuerdo con el requerimiento 4.2 (Comprender las necesidades y expectativas de

las partes interesas) de la NTP ISO/IEC 27001:2014. En este apartado se identificaron
las partes interesadas externas e internas afectadas por el diseño y posterior
implementación del SGSI. Asimismo, se identificaron los requisitos de estas partes
interesadas relevantes a la seguridad de la información.

De acuerdo con el requerimiento 4.2 (Comprender las necesidades y expectativas de

las partes interesas) de la NTP ISO/IEC 27001:2014. En este apartado se identificaron
las partes interesadas externas e internas afectadas por el diseño y posterior
 implementación del SGSI. Asimismo, se identificaron los requisitos de estas partes
interesadas relevantes a la seguridad de la información.

3.5.1 Partes interesadas externas

 Proveedores: Organizaciones que ofertan servicios de consultoría, insumos de

diferente índole y servicios generales.
 Clientes: Socios y organizaciones que requieren del buen resguardo de su dinero con
una tasa de interés atractiva o créditos de acuerdo con sus necesidades.
 Competidores: Cajas de crédito, Bancos y otras Cooperativas de Crédito y Ahorro,
muchas de las cuales se encuentran en lima metropolitana.
 Reguladores: Entidades Gubernamentales que supervisan el funcionamiento y
cumplimiento de la normatividad vigente de las cooperativas de crédito y ahorro: SBS,
ANPDP.

3.5.1 Partes interesadas internas

 Dirección: Gerentes y socios.

 Gestor de Operaciones: Responsable de administrar todo tipo de operaciones
crediticias.
 Operadores: Personal de plataforma, recibidores/despachadores, responsables de
validación/verificación de los datos de los clientes.
 Personal de TIC: Encargados de administrar la infraestructura de TI en la universidad.
 Coordinador del SGSI: Responsable de diseñar, implementar y operar el SGSI

A continuación, se representa los requisitos de seguridad de la información de acuerdo con lo

requerido por el estándar, representando sus necesidades y expectativas.

REQUISITOS DE LA SEGURIDAD DE LA Justificación Partes Interesadas Tipo

INFORMACION
Contratos con el personal: Se debe Incumpliendo Internas: Gestor de Necesidad
garantizar el cumplimiento de los podría generar operaciones, Gerente de RRHH
requisitos de seguridad de la información, penalidades y Coordinador de SGSI.
acuerdos de confidencialidad,
cumplimiento de políticas y penalidades
establecidas en el contrato.
Contratos con clientes: Velar por el Incumplimiento Internas: Gestor de operaciones Necesidad
cumplimiento de los requisitos de podría generar Externas: Clientes
seguridad de la información establecidos penalidades
con los clientes en los contratos asociado a los
créditos.
Contratos con proveedores de servicios: Incumplimiento Internas: Gestor de Necesidad
Se debe asegurar el cumplimiento de los genera pérdidas operaciones, recibidor/pagador,
niveles de servicios acordados con los para le organización verificador. Externa:
proveedores. El aseguramiento del normal Proveedores
funcionamiento de estos fortalece la
seguridad en los procesos.
Entrega de producto a los clientes: Incumplimiento Internas: Gestor de Expectativa
Prevención de pérdidas económicas que podría estar operaciones. Externa: Clientes
afecten la rentabilidad de los clientes e asociado a
ingresos a la entidad. penalidades.
Ley de protección de Datos Personales: Incumplimiento Internas: Dirección, Necesidad
Cumplir con la legislación vigente y su podría suscitar Coordinador de seguridad de la
reglamento es aplicable a todos los datos sanciones información. Externas:
obtenidos de los clientes. económicas Reguladores(ANPDP)
Circular G-140-2009-SBS: Cumplir con las Incumplimiento Internas: Dirección, Coordinar Expectativa
normas dictadas por las entidades podría devenir en de seguridad de la información.
reguladoras vigentes. sanciones por parte Externas: SBS
de un nuevo ente
regulatorio.

Tabla 1:REQUISITOS DE LA SEGURIDAD DE LA INFORMACION

FUENTE: PROPIA

4. Política de la seguridad de la información

Se Definió la política de seguridad de la información para la biblioteca de la

Universidad Tecnológica del Perú (acorde al requisito 5.2 de la NTP ISO/IEC
27001:2014). La política de seguridad será aprobada por la institución y revisada
anualmente.

Una vez aprobada la política de seguridad, la Universidad Tecnológica del Perú (UTP)
comunicará esta política a todos los trabajadores de la biblioteca. Además estará
disponible para ser consultada por las partes interesadas. Dentro de esta política se
encuentra los siguientes objetivos:

La información esté protegida contra pérdidas de disponibilidad,

confidencialidad e integridad.
Se cumplan los requisitos legales y normas aplicables a la entidad respecto a
la seguridad de la Información.
Se cumplen con los requisitos del negocio respecto a la seguridad de la
información y los sistemas de información.
Se gestionen los riesgos de seguridad de la información a través de la
aplicación de una metodología, estándares y controles orientados a preservar los
activos información de la entidad.
Asegurar la confidencialidad de la información de los estudiantes
almacenados en los sistemas de información de la UTP
Difundir la Política de seguridad a través de cada uno de los responsables de
área.
Evaluar la efectividad del SGSI y llevar a cabo la mejora continua.  
Maximizar la disponibilidad y calidad de los servicios prestados a los
estudiantes.
Garantizar que nuestras operaciones y procesos actuales y futuros cumplan
con la legislación y normatividad vigente en materia de seguridad de la información.
Asegurar la confidencialidad, integridad y disponibilidad de la información
sensible de la UTP

Ilustración 9. Política de seguridad

 5. Alcance de SGSI

En el presente documento se analizará la situación actual de los estándares y procesos

relacionados con la seguridad de la información en la biblioteca de la Universidad
Tecnológica del Perú, para brindar un diseño de un sistema de gestión de seguridad de
la información (SGSI), de modo que la universidad pueda dar soluciones y generar
mejoras continuas sobre los procedimientos ligados a la información.

El diseño del SGSI se enfocará al área de Tecnologías y servicios, básicamente en las

aplicaciones o sistemas de información de la biblioteca de la Universidad Tecnológica del
Perú. Así mismo, el diseño del SGSI, los controles y el plan de implementación estarán
sujetos a las normas técnicas, bajo la norma ISO 27001:2013.

De esta manera se realizarán los siguientes entregables:

Informe de vulnerabilidades y riesgos

Informa de políticas de seguridad sobre los hallazgos encontrados
Modulo Web con el que se podrá obtener información sobre los actuales riesgos y
activos de la organización, permitiendo notificar si existe o se evidencia algún riesgo o
amenaza que no se contemplaron en el presente documento.

Ilustración 10. Alcance del SGSI de la UTP

5.1. Objetivos de seguridad de la información

Los objetivos del sistema de gestión de seguridad de la información se muestran en la

siguiente figura:

Desarrollar una cultura de seguridad de la información en la entidad para fomentar las buenas
prácticas en el manejo seguro de la información tanto en los colaboradores como en los clientes.
Prevenir el fraude electrónico que puede afectar la reputación de la Universidad
Capacitar a los colaboradores acerca del Sistema de Gestión de Seguridad de la Información y la Ley
de Protección de Datos Personales, a fin de preservar la información de la entidad
Revisar los análisis de riesgos y amenazas de acuerdo a la variación de los riesgos de mercado
existentes
Monitorear el cumplimiento de los requisitos de seguridad de la información.

Ilustración 11. Objetivos de seguridad de la información

5.2. Requisitos legales

Se debe cumplir con la legislación vigente en Perú es un punto requerido que se tiene
que satisfacer para implantar y certificar un sistema de gestión de seguridad de la
información. Su cumplimento protege a la entidad de amenazas externas e internas,
además permite respetar los derechos de los ciudadanos y proveedores y evitará
infracciones involuntarias con sus respectivos costes. A continuación, se hace mención
de algunas leyes y normas relacionadas con seguridad de la información que afectan a
la Universidad Tecnológica del Perú.

5.2.1 Norma de Control Interno de las Entidades del Estado

Es el conjunto de acciones, actividades, planes, políticas, normas, registros,

organización, procedimientos y métodos, incluyendo las actitudes de las autoridades y
el personal, organizadas e instituidas en cada entidad del Estado, que contribuyen al
cumplimiento de los objetivos institucionales y promueven una gestion eficaz,
eficiente, ética y transparente.

Aprobada con Resolución de Contraloría General N° 146-2019-CG, de fecha 15 de

mayo de 2019, en donde se consta que la entidad evalúa y comunica las deficiencias de
control interno de forma oportuna a las partes responsables de aplicar medidas de
remediación y medidas de control, incluyendo la Alta Dirección y el Órgano o unidad
orgánica responsable de la implementación del SCI, según corresponda.
 La Ley N° 28716, que aprueba la Ley de Control Interno de las Entidades del Estado,
establece siete componentes para el SCI; y bajo el enfoque establecido por el modelo
COSO, mediante Resolución de Contraloría N° 320-2006-CG, que aprueba las Normas
de Control Interno, se agruparon 3 componentes en uno solo, obteniendo como
resultado 5 componentes.

Ilustración 12: Enfoque de evaluación de riesgos según ISO 27005

Fuente: ISO 27005

OBJETIVOS DE LA IMPLEMENTACIÓN DEL SISTEMA DE CONTROL INTERNO

 Cuidar y resguardar los recursos y bienes del Estado, contra todo hecho irregular o
situación perjudicial que pudiera afectarlos.
 Garantizar la confiabilidad y oportunidad de la información.
 Promover que los funcionarios y servidores del Estado cumplan con rendir cuentas por
los fondos y bienes públicos que administra.
 Promover y optimizar, la eficiencia, eficacia, ética, transparencia y economía de las
operaciones de la entidad, y la calidad de los servicios públicos que presta.
 Cumplir la normatividad aplicable a la entidad y sus operaciones.
 Fomentar e impulsar la práctica de valores institucionales.
 5.2.1. Ley 30096.- Ley de Delitos Informáticos

La presente Ley tiene por objeto prevenir y sancionar las conductas ilícitas que afectan
los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal,
cometidas mediante la utilización de tecnologías de la información o de la
comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.

La ley de delitos informáticos se modificó el 10 de marzo de 2014, el estado peruano

hizo esto con el fin de poner en marcha acciones y medidas concretas destinadas a
combatir el fenómeno de los ataques masivos contra las infraestructuras informáticas
y establece los mecanismos de prevención necesarios, incluyendo respuestas
coordinadas e intercambio de información y buenas prácticas.

5.3. Comité de la seguridad de la información

De acuerdo al requisito 5.3 Roles, responsabilidades y autoridades organizacionales de

la NTP ISO/IEC 27001:2014 la alta dirección debe asegurar que las responsabilidades y
la autoridad para los roles relevantes a la seguridad de la información estén asignadas
y comunicadas. Asimismo, la RM Nº 004-2016-PCM en su artículo 5 establece la
creación del comité de gestión de seguridad de la información para dar cumplimiento
al requisito 5.3 de la NTP ISO/IEC 27001:2014.

Se encuentra representado por todos los representantes de las diversas divisiones de

la universidad, para llevar a cabo las diferentes funciones de nuestro SGSI la
universidad tecnológica del Perú deberá contar con el personal que se detallará a
continuación:

 Gerente General (representante de la dirección)

 Gerente de finanzas
 Gerente de operaciones (representante de los procesos)
 Gerente de TI (representante de soporte)

 Coordinador de seguridad de la información (operador del SGSI)

Capítulo IV

6. Planificación del SGSI

En esta sección nos ocuparemos de indicar los elementos que se tomaron en cuenta
para la planificación del SGSI de la Universidad Tecnológica del Perú.

7. Evaluación de riesgos:

El proceso de gestión de riesgos de seguridad de la información consiste en establecer

el contexto, evaluación de riesgos, el tratamiento de riesgos, aceptación de riesgos, la
comunicación de riesgos, control y revisión de riesgos.
 Ilustración 12: Enfoque de evaluación de riesgos según ISO 27005
Fuente: ISO 27005

Como muestra la ilustración 20, el proceso de gestión de riesgos de seguridad de la

información puede ser iterativo para la evaluación de riesgos y/o actividades de riesgo.
Si la evaluación de riesgos proporciona elementos suficientes para determinar
realmente las acciones necesarias para reducir el riesgo a un nivel aceptable, se va
directamente a la aplicación de las opciones de tratamiento de riesgos. Si no hay
suficiente información para determinar el nivel de riesgo o el nivel de riesgo después
que el tratamiento previsto es inaceptable, una nueva iteración de la evaluación de
riesgos se llevará a cabo en algunos o todos los elementos del dominio de aplicación.

8. El inventario de activos:
Se deberá iniciar con la elaboración del inventario de activos de información de los
procesos considerados dentro del alcance del SGSl. Los activos de información
identificados serán valorados en base a los criterios de confidencialidad, integridad y
disponibilidad sobre los mismos. La decisión de utilizar una escala cuantitativa a una
cualitativa es netamente de preferencia organizacional, pues ambos tipos de
valoración podrían ser utilizados para el mismo activo

8.1 identificación de activos de información

Su objetivo es determinar y comprender qué podría suceder que cause una pérdida
potencial a la universidad. Para ello, se siguen los siguientes pasos:

 Tomar como punto de partida de este enfoque la identificación de los activos

de información que podrían ser afectados por lo que se refiere a su integridad,
confidencialidad y disponibilidad. Para ello tomamos como referencia los datos
obtenidos en la Declaración del alcance del SGSI.
 Identificar a los colaboradores que participan en los procesos y entrevistarlos a
fin de poder identificar los riesgos que puedan afectar la información.

 Registrar los riesgos identificados en la Matriz de riesgos, a efectos de luego

documentarla en el Informe de gestión de riesgos.
Para nuestro proceso, se ha preparado la lista de los activos de información con los
siguientes atributos:

 Código del activo

 Nombre único del activo
 Descripción del activo
 Categoría del activo: indica la naturaleza del activo
 Clasificación: grado de secreto del activo
 Frecuencia de uso: Asiduidad con la que se usa el activo durante el proceso

 Tipo de ubicación: Física, lógica.

Categoría de Activos de Información

Descripción

Datos - D Cualquier información que se genere, gestione, transmita, recoja y

destruya dentro de la institución.

Hardware - HW Todos los elementos físicos de soporte a los procesos.

Software - SW Todos los programas que contribuyen al procesamiento de

información.

Personal - P Esta categoría engloba tanto los empleados de la organización, como

los clientes, usuarios, y todos aquellos que tengan acceso a los activos
de información de la empresa

Sitios - L Lugares físicos donde se llevan a cabo las operaciones.

Servicios - S Servicios internos o externos que a la entidad le provean o suministre.

Redes - R Los equipos de telecomunicaciones utilizados para conectar

físicamente los elementos de un sistema de información y gestionarla.

Tabla 2. Categorías de activos de información

 Clasificación de Activos de Información

Descripción

Son todos aquellos activos que se presumen públicos, y que pueden

ser accedidos tanto por miembros de la organización como por
Público
personas externas a ella (público en general), sin estar sujetos a
ningún control.

Son todos aquellos activos que son accedidos exclusivamente por

personal interno de la institución y cuyo acceso excepcional por parte
Uso interno de personal externo (auditores, entidades reguladoras, consultores
externos) puede darse pero se encuentra regulado y sujeto a
condiciones específicas de acceso

Son todos aquellos activos que pertenecen a un proceso o unidad

orgánica y que por su naturaleza son reservados exclusivamente al
personal del área o proceso específico y cuyo acceso excepcional por
Confidencial
parte de personal externo (auditores, entidades reguladoras,
consultores externos) puede darse pero se encuentra regulado y
sujeto a condiciones específicas de acceso.

Es toda información cuyo contenido es restringido a un grupo

determinado de individuos, seleccionados a partir de un proyecto
Restringida
específico o que pertenecen a un grupo o nivel específico de poder
dentro de la organización.

Tabla 3. Clasificación de activos de información

 Frecuencia de uso de Activos de Información
Descripción
Diario Uso rutinario diario durante la semana.
Semanal Uso de al menos una vez durante la semana.
Quincenal Uso de al menos una vez cada quince días.
Mensual Uso de al menos una vez al mes.
Anual Uso de al menos una vez al año.
Eventual Uso en un rango de tiempo que supera el año.
Tabla 4. Frecuencia de uso de activos de información

A continuación, pondremos una relación de activos identificados en los procesos

desarrollados en el proyecto sobre la Universidad Tecnológica del Perú:

Frecuencia de
Nombre del
Descripción del activo Tipo de Activo ubicación generación de
activo
información
Documentos originados en cada uno de los
grupos asesores internos, creados para Comité
Actas Dato/Información Semanal
definir la toma de decisiones de acuerdo a institucional
la especificidad de cada uno
Documentos originados en cada uno de los
grupos asesores internos, creados para
Acuerdos Dato/Información Consejo Semanal
definir la toma de decisiones de acuerdo a
la especificidad de cada uno
Resultado que se obtiene de sumar el
balance económico y el resultado del uso
Balances Dato/Información Área Financiera Semanal
de recursos para financiar los sectores
privado y social
Son documentos para hacer divulgación de Oficina de
Boletines Dato/Información Mensual
producción intelectual de la UTP Comunicaciones
Acuerdo de voluntades que implica Vicerrectorías/Uni
Contratos derechos y obligaciones a las partes que lo Dato/Información dad de Mensual
suscriben Contratación
Convenios Acuerdo de voluntades que implica Documento Vicerrectorías/Uni Semestral
 derechos y obligaciones a las partes que lo dad de
físico/Manual
suscriben Contratación
a conocer la situación económica y
Estados Documento
financiera a una fecha o periodo Área Financiera Por demanda
financieros físico/Manual
determinado
Documentos originados en cada uno de los
Informes de grupos asesores internos, creados para Documento Rectoría/Planeaci
Por demanda
gestión definir la toma de decisiones de acuerdo a físico/Manual ón
la especifidad de cada uno
Documento que prepara el contador o el
Informes Revisor Fiscal al finalizar un periodo Documento
Área Financiera Semestral
presupuestales tomando como base los estados físico/Manual
financieros, para informar a los interesados
Registro documental de los bienes de la Documento
Inventarios Área Financiera Semestral
Institución físico/Manual
Documento que plasma las acciones
académicas, administrativas e
Documento Oficina de
Planes investigativas con el propósito de dar Anual
físico/Manual Planeación
cumplimiento a acciones misionales de la
UTP
Cada área
Enuncian las tareas, actividades y plazos Software/Aplicaci
Programas desarrolla sus Anual
para el desarrollo de los planes ones informática
programas
Documentos que contienen la información
Cada área
consolidada y planeada para la ejecución y Documento
Proyectos desarrolla sus Anual
satisfacción de la necesidad que busca físico/Manual
programas
solucionar la entidad

Rectoría,
Vicerrectorías,
Documentos originados y proyectados por Documento
Resoluciones Decanaturas, Anual
las diferentes unidades administrativas físico/Manual
División de
Personal

Centro de
HISTORIAS Registro de información académica de la Documento
Registro y Control Semestral
ACADEMICAS relación estudiante-UTP físico/Manual
Académico
HISTORIAS Registro de la información relacionada con Documento Sistema de Semestral
 los riesgos y las prevenciones laborales de seguridad en el
OCUPACIONALES físico/Manual
los funcionarios trabajo
HISTORIAS Registro de información laboral entre el Documento Oficina de Talento
Semestral
LABORALES funcionario y la UTP físico/Manual Humano
documentos donde se registra la Oficina de Control
PROCESOS Documento
investigación de las actuaciones de Interno Anual
DISCIPLINARIOS físico/Manual
disciplinarias de funcionarios Disciplinario
SISTEMA DE
Sistema de información integrado para el Canvas/Portal
INFORMACIÓN Digital Diario
manejo de la información académica de la UTP
ACADEMICO
SISTEMA DE Sistema de información para la
Canvas/Portal
GESTIÓN administración de las comunicaciones Digital Diario
de la UTP
DOCUMENTAL internas y externas de la Institución
Sistema de información para la
administración de todos los servicios
SISTEMA DE
(médicos, odontológicos, culturales, Canvas/Portal
BIENESTAR Digital Diario
trabajo social, deportivos, salud de la UTP
UNIVERSITARIO
ocupacional) brindados por Bienestar
Universitario.
Sistema de información para la
INVESTIGACIÓN administración de proyectos para la
Canvas/Portal
Y PROYECCIÓN Universidad (convocatorias, proyectos de Digital Diario
de la UTP
SOCIAL investigación, proyectos de proyección
social, grupos y semilleros de investigación)
SISTEMA DE Sistema de información para la
Canvas/Portal
INFORMACIÓN administración de información de Digital Diario
de la UTP
EGRESADOS egresados de la UTP
Aplicaciones desarrolladas para facilitar el
APLICACIONES Software/Aplicaci Canvas/Portal
acceso a los diferentes sistemas de Diario
MÓVILES ones informáticas de la UTP/UGO
información de la Universidad.
Administrador de contenidos creado como
PORTAL Software/Aplicaci Canvas/Portal
medio de comunicación entre la Diario
INSTITUCIONAL ones informática de la UTP
Universidad y la comunidad académica
Tabla 5. Inventario de activos de información
 9. Valoración de activos

Se estima el valor del activo del promedio de sumar los valores del nivel de relevancia
respecto a la confidencialidad, integridad y disponibilidad de acuerdo a la siguiente
formula:

Valor de activo = (Confidencialidad + Integridad + Disponibilidad) / 3

A efectos de poder determinar el nivel de relevancia de cada una de las tres aristas de
valoración del activo, se emplea la siguiente escala de valor, en donde se detalla el
valor y descripción correspondiente a cada factor.

Escala de valor de activos

Valor Confidencialidad Disponibilidad Integridad
La información asociada al Se considera que como máximo Activo debe estar completo y
activo solo es accedida por el activo nunca podrá estar correcto por el 100% del
personal de la dirección. Su indisponible, pues su carencia tiempo útil. De no cumplir con
5 (Muy alto)
divulgación afectaría afectaría irreversiblemente a la lo dicho afectaría
irreversiblemente a la universidad. irreversiblemente a la
universidad. universidad.
La información asociada al Se considera que como máximo Activo debe estar completo y
activo es restringida y sólo el activo puede estar correcto por lo menos el 75%
personal del área de créditos indisponible por una hora, pues del tiempo útil. De no cumplir
4 (Alto)
puede acceder a ella. Su su carencia afectaría con lo dicho afectaría
divulgación afectaría gravemente a la universidad. gravemente a la universidad.
gravemente a la universidad.
La información asociada al Se considera que como máximo Activo debe estar completo y
activo es confidencial y sólo el activo puede estar correcto por lo menos el 50%
personas del área interna indisponible por un día, pues su del tiempo útil. La
3 (Medio) pueden acceder a ella. Su carencia afectaría indisponibilidad de este
divulgación afectaría considerablemente a la afectaría considerablemente a
considerablemente a la universidad. la universidad.
universidad.
La información asociada al Se considera que como máximo Activo debe estar completo y
activo puede ser divulgada hacia el activo puede estar correcto por lo menos el 25%
2 (Bajo)
personal interno. Su divulgación indisponible por una semana, del tiempo útil. De no cumplir
 afectaría parcialmente a la pues su carencia afectaría con lo dicho afectaría
universidad. parcialmente a la universidad. parcialmente a la universidad.
La información asociada al Se considera que como máximo Activo debe estar completo y
activo es de uso y/o el activo puede estar correcto por lo menos el 1%
conocimiento público por ende, indisponible por tiempo del tiempo útil, pues la
1 (Muy Bajo) no existirá algún tipo de riesgo indefinido, pues su carencia no vulneración de su integridad
para la universidad. impacta a la universidad. no causa ningún riesgo para la
universidad.

Tabla 6. Escala de valor de activos

En base al promedio obtenido (valor del activo en términos de confidencialidad, integridad y

disponibilidad) para la selección de aquellos que serán considerados para continuar con la
gestión de riesgos 143 de seguridad de la información, se identifican a los activos de valor más
significativo

Valor Descripción
Muy Alto, el activo contiene información que solo puede ser accedida por la
5
dirección, deberá estar disponible al 100% y debe estar totalmente integro.
Alto, el activo contiene información confidencial, deberá estar disponible al
4
75% en la mayoría de casos y debe estar completo y correcto
Medio, pueda que contenga información confidencial, deberá tener una
3
disponibilidad media y debe estar integro según las necesidades.
Bajo, no contiene información sensible, pero debe cumplir con los criterios de
2
disponibilidad e integridad.
Muy Bajo, activos de carácter público. La falta de disponibilidad e integridad
1
generará daños y/o pérdidas a la institución.
Tabla 7. Esquema de valoración final de activos de información

Los activos que se han seleccionado son aquellos que tienen un valor crítico (Medio,
Alto y Muy Alto) para pasar a la siguiente etapa, Análisis de Riesgos.
El criterio que se siguió para valorar los activos de información se muestra en la
siguiente tabla
Aspecto Descripción Criterio de calificación Valoración

Económico Perdidas Perdidas económicas demasiado 5

(E) económicas para la elevadas
Universidad Causas de pérdidas económicas altas 4
Tecnológica del Perú Causantes de grandes pérdidas 3
económicas
Causas para que los ingresos disminuyan 2
Suposición de pérdidas de ingresos 1
Legal Incumplimiento de Posiblemente cause un incumplimiento 5
(L) leyes y normas altamente grave de una ley o regulación

Posiblemente cause un incumplimiento 4

grave de una ley o regulación
Posiblemente sea motivo de 3
incumplimiento de una ley o regulación
Posiblemente sea causa de 2
incumplimiento leve de una ley o
regulación
Podría causar el incumplimiento leve de 1
una ley o regulación
Imagen Afecta a la imagen Posiblemente causaría una difusión 5
(I) de la Universidad de rechazo generalizada por afligir de
Tecnológica del Perú manera excepcionalmente difícil a las
relaciones contra otras universidades
Posiblemente provocaría una mala 4
publicidad global para afectar con
gravedad a las relaciones con otras
universidades
Probablemente sea causa una cierta 3
publicidad negativa por afectar
negativamente a las relaciones con otras
organizaciones
Posiblemente afecte negativamente a las 2
relaciones internas de la universidad
Pudiera causar una pérdida menor de la 1
confianza dentro de la universidad
Tabla 8. criterio para la valoración de activos
 Confidencialidad Integridad Disponibilidad VFC VFI VFD
N° Nombre del activo
E L I E L I E L I
1 Actas 4 5 3 5 4 4 4 5 3 4 5 3
2 Acuerdos 5 3 4 5 3 4 4 2 4 4 3 4
3 Balances 4 5 3 4 2 4 1 5 2 3 4 3
4 Boletines 5 5 4 5 4 4 5 5 5 5 5 4
5 Contratos 5 4 3 5 4 3 5 5 4 5 5 4
6 Convenios 5 4 3 4 5 3 4 2 4 4 3 3
7 Estados financieros 5 2 1 5 3 2 5 4 3 5 3 2
8 Informes de gestión 2 4 3 2 3 4 3 3 1 2 3 3
9 Informes presupuestales 5 2 2 5 3 3 4 3 3 5 3 3
10 Inventarios 2 3 3 5 2 5 2 4 3 3 3 4
11 Planes 5 3 2 3 2 4 3 4 2 4 3 3
12 Programas 3 3 3 4 5 3 3 5 3 3 4 3
13 Proyectos 4 4 2 4 3 3 2 3 3 3 3 3
14 Resoluciones 3 4 3 3 4 4 5 2 4 4 3 4
15 Historias académicas 1 3 3 2 2 1 4 3 4 2 3 3
16 Historias ocupacionales 1 3 5 3 3 5 2 4 3 2 3 4
17 Historias Laborales 1 3 2 3 2 5 2 2 5 2 3 4
18 Procesos Disciplinarios 2 3 3 4 2 4 1 3 4 2 3 4
19 Sistema de información académico 2 2 5 3 3 4 5 3 2 3 3 4
20 Sistema de gestión documental 2 4 2 4 3 3 2 3 3 3 3 3
21 Sistema de bienestar académico 2 4 1 3 5 2 4 5 3 3 5 4
22 Investigación y proyección social 2 3 4 4 3 5 3 3 4 3 3 4
23 Sistema de información egresados 2 2 4 3 1 4 3 2 2 3 2 3
24 Aplicaciones Móviles 4 2 3 4 4 3 4 3 4 4 3 3
Portal institucional
25 3 1 5 3 2 5 3 2 5 3 2 5
Tabla 9: Valoración de activos de información y nivel de criticidad
Fuente: Elaboración propia
Seguridad Informática

10. Identificación y valoración de amenazas

En esta etapa identificaremos las amenazas que puedan afectar a los activos de
información dentro de la organización. Para ellos se elaboro una lista de posibles
amenazas

Luego junto con el personal de sistemas y tecnología de la UTP, se inició a identificar

las amenazas que afectan los activos y a su vez se determino la probabilidad de
ocurrencia de estas amenazas

PROBABILIDAD DE QUE SE MATERIALIZE LA AMENAZA

CRITERIO VALOR PUNTUACION
MAS DE 2 AÑOS PRACTICAMENTE IMPOSIBLE 1
ANUAL POCO PROBABLE 2
TRIMESTAL POSIBLE 3
MENSUAL PROBABLE 4
A DIARIO MUY PROBABLE 5

Tabla 10 Probabilidad de que se materialice la amenaza

A continuación, presentaremos una tabla de la relación de amenazas identificadas la

dimensión de seguridad en que se ve afectado el activo y la probabilidad de que se
materialice la amenaza

58
Seguridad Informática

CODIG PROBABILIDAD DE
O AMENAZA CONCURRENCIA
1 Fuego 1
2 Error de Usuario 4
3 Errores de configuración 2
4 Robo de Equipos 2
instalación de software no
5 autorizado 4
6 Perdida de datos 3
7 polvo 4
8 Falla de sistema 2
9 Acceso no autorizado 2
10 Fallas en mantenimiento 2
11 tormenta eléctrica y rayos 1

12 vulnerabilidad de los programas 3

inestabilidad por la línea de
13 internet 4
14 fugas de información 4
destrucción deliberada de
15 información 1

Tabla 11 identificación de amenazas

Fuente: Propia

Como se pudo observar no todas las amenazas afectan a todos los activos, es por ello
que se realizo una segunda tabla con referencia a la tabla anterior para clasificar las
amenazas por activo de información:

CRITERIO VALOR
Sin degradación 1
degradación Baja 2
degradación Media 3
Degradación Alta 4

Tabla 12:Criterio para valorar la degradación del activo

Fuente: Elaboración Propia

59
 Seguridad Informática

DEGRADACION DEGRADACIO
PROBABILIDA CONFIDENCIALIDA N DEGRADACION
AMENAZAS D D INTEGRIDAD DISPONIBILIDAD
Fuego 1 1 1 4
Error de Usuario 4 3 2 2
Errores de configuración 2 1 3 4
Robo de Equipos 2 1 2 4
instalación de software no
autorizado 4 3 1 1
Perdida de datos 3 2 1 2
polvo 4 3 2 1
Falla de sistema 2 1 1 3
Acceso no autorizado 2 1 2 3
Fallas en mantenimiento 2 1 3 1
tormenta eléctrica y rayos 1 1 3 2
vulnerabilidad de los
programas 3 2 2 1
inestabilidad por la línea
de internet 4 3 1 3
fugas de información 4 3 1 3
destrucción deliberada de
información 1 1 2 1

Tabla 13: Degradación de activos

Elaboración: Propia

11. Cálculo del impacto

En este apartado, se calculó lo que vendría a hacer el cálculo del impacto tomando en
cuenta los valores activos de la organización, la degradación de la amenaza y se calificó
del 1 al 5 según sea el valor del activo:

VALOR DEL ACTIVO

DEGRADACION DE LA AMENAZA 1 2 3 4
1 (Sin degradación) 2 2 1 3
2 (degradación Baja) 1 3 2 1
3 (degradación Media) 1 1 2 1
4 (degradación Alta) 3 4 3 2

Tabla 14: Valor del impacto

Fuente: elaboración Propia

60
Seguridad Informática

VALOR DESCRIPCION
1 Insignificante
2 Menor
3 Medio
4 Critico
5 catastrófico

Tabla 15: Valor del impacto

Esta evaluación de cálculo se hizo sin considerar las posibles medidas de seguridad
informática que actualmente se estén llevando en la UTP. Este cuadro solo trata de
calcular el máximo riesgo para cada uno de los activos

12. Cálculo del riesgo

El siguiente cálculo de riesgo que se presentará estará en base al impacto que se

producirá sobre el activo en caso de materializarse y de la probabilidad de
materialización.

Cabe resaltar que el riesgo crece con el impacto al igual que la probabilidad. En ese
sentido se presentará una matriz de evaluación de riesgos.

IMPACTO MATRIZ DE EVALUACION DE RIESGOS

CATRASTROFICO 5 14 18 21 23 24
CRITICO 4 9 13 17 20 22

MEDIO 3 5 8 12 16 19
MENOR 2 4 6 9 13 17
INSIGNIFICANTE 1 2 3 5 8 12
1 2 3 4 5
Practicamente poco Muy
imposible probable posible probable probable
PROBABILIDAD (DE LA AMENAZA) = FUTURO

Tabla 16: Matriz de evaluación de riesgos

Fuente: Elaboración Propia

En la matriz anterior se puede visualizar que existen 3 niveles de rango que vendrían a
ser: Alto, medio, bajo. Estos niveles se pusieron allí de acuerdo con el siguiente
criterio:

61
Seguridad Informática

CRITERIO NIVEL
17<Nivel de riesgo<=25 ALTO
8<Nivel de riesgo<=17 MEDIO

0<Nivel de riesgo<=8 BAJO

Tabla 17: Niveles de riesgos

Fuente: Elaboración Propia

Usando la matriz de evaluación de riesgos y los niveles de riegos se realizó la siguiente

tabla de los activos antes mencionados:

62
Seguridad Informática

63
 Seguridad Informática

DEGRADACION   IMPACTO   ESTIMACION DE RIESGO

confide
PROBAB ncialida DISPONIB DISPONIBILI confidencialid DISPONIBILID
AMENAZAS ILIDAD d INTEGRIDAD ILIDAD confidencialidad INTEGRIDAD DAD ad INTEGRIDAD AD
Fuego 1 1 1 4 insignificante insignificante catastrófico bajo medio alto
Error de Usuario 4 3 2 2 medio medio insignificante medio bajo bajo
Errores de configuración 2 1 3 4 medio medio insignificante medio bajo media
Robo de Equipos 2 1 2 4 critico critico medio alto medio bajo
instalación de software no autorizado 4 3 1 1 menor menor medio medio bajo alto

Perdida de datos 3 2 1 2 critico critico critico alto bajo media

polvo 4 3 2 1 medio medio medio bajo bajo bajo
Falla de sistema 2 1 1 3 medio medio medio medio bajo media
Acceso no autorizado 2 1 2 3 medio critico critico bajo medio media
Fallas en mantenimiento 2 1 3 1 critico critico critico medio medio alto
tormenta eléctrica y rayos 1 1 3 2 medio menor medio bajo medio media
vulnerabilidad de los programas 3 2 2 1 medio menor critico medio bajo media
inestabilidad por la línea de internet 4 3 1 3 medio menor critico medio bajo media
fugas de información 4 3 1 3 critico menor critico medio bajo media
destrucción deliberada de información 1 1 2 1 menor medio menor alto medio alto

Tabla:18: Impacto y riesgo de los activos

Fuente: Elaboración Propia

64
Seguridad Informática

12.1. Propietarios del riesgo

En este punto, se logro identificar al propietario del riesgo, quien es responsable de aprobar
los riesgos residuales y los planes respectivos para reducir estos a un nivel aceptable

Para este proyecto de investigación, se identifico al propietario de riesgo al área de sistemas e

innovación de la universidad tecnológica del Perú

Capítulo V

13. Tratamiento de los riesgos

En este presente trabajo de investigación, dado los valores y niveles de riesgo

obtenidos, se concluyo que como riesgo máximo asumible serian los riesgos de bajo
nivel, para los riegos de nivel medio y alto, se les aplicara ciertos controles de
seguridad para reducir su impacto en la organización y así poder obtener un nivel de
riesgo aceptable.
Se priorizará el tratamiento de riesgos de alto nivel, para ello es necesario aplicarles
medidas de seguridad, para evitar que estos sigan creciendo y no tengan ningún
impacto significativo dentro la empresa

65
 Seguridad Informática

14. Determinar los controles y declaración de aplicabilidad

ANALISIS Y EVALUACION DEL

ACTIVO Y VALORACION AMENAZAS VULNERABILIDAD Y RIESGO TRATAMIENTO DEL RIESGO
RIESGO
CONFIDENCIALIDAD

DISPONIBILIDAD
INTEGRIDAD

JERARQUIA
NOMBRE DE Control alineado a la NTP
AMENAZA VULNERABILIDAD ESTIMACION DEL RIESGO DE Control Específico RESPONSABLE
ACTIVO ISO/IEC 27001:2013
CONTROL

Establecer un marco de
referencia de gestión
SISTEMA DE INORMACION

Oficial de seguridad/
Falta de capacitaciones y A.6.1 Organización interna para iniciar y controlar la
Administrador de
3 4 3 Error del administrador manuales para una bajo medio alto Mitigar A.6.1.2 separación de implementación y la
ACADEMICO

Servidores de Base de
adecuada acción deberes operación de la seguridad
datos
de la información dentro
de la organización.

66
Seguridad Informática

La dirección debería
exigir a todos los
empleados y contratistas
la aplicación de la Oficial de seguridad/
insuficientes medidas de A.7.2.1 Responsabilidades seguridad de la Administrador de
Malware medio bajo bajo Mitigar
prevención contra malware de la dirección información de acuerdo Servidores de Base de
con las políticas y datos
procedimientos
establecidos por la
organización.

Las áreas seguras se

deberían proteger
A.11.1.2 Controles físicos Oficial de seguridad/
descuido por parte del mediante controles de
de entrada Administrador de
Red de equipos zombie. personal de trabajo de la medio bajo media Mitigar entrada apropiados para
A.12 seguridad de las Servidores de Base de
universidad asegurar que solamente
operaciones datos
se permite el acceso a
personal autorizado

Para asegurar el
desempeño requerido del
A.12.1.3 gestión de sistema se debería hacer
Inexistencia de normas de Oficial de seguridad/
capacidad A.12.1 seguimiento al uso de los
Ataque distribuido de seguridad, mala Administrador de
alto medio bajo Mitigar Procedimientos recursos, hacer los
denegación de servicio configuración de roles y Servidores de Base de
operaciones y ajustes, y hacer
permisos. datos
responsabilidades proyecciones de los
requisitos sobre la
capacidad futura.

Establecer un marco de
referencia de gestión
Oficial de seguridad/
descuido por parte de los A.6.1 Organización interna para iniciar y controlar la
Administrador de
Error de Usuario usuarios al momento de medio bajo alto Mitigar A.6.1.2 separación de implementación y la
Servidores de Base de
entrar con su usuario deberes operación de la seguridad
datos
de la información dentro
de la organización.

67
Seguridad Informática

Se deberían definir y
Oficial de seguridad/
A.6.1.1 Roles y asignar todas las
Inexistencia de planes de Administrador de
Errores de configuración alto bajo media Mitigar responsabilidades para la responsabilidades de la
manejo y contingencia Servidores de Base de
seguridad de información seguridad de la
datos
información.

Se deberían mantener los Oficial de seguridad/

ineficiencia del personal de A.6.1.3 Contacto con las contactos apropiados con Administrador de
Robo de Equipos bajo bajo bajo Mitigar
seguridad autoridades las autoridades Servidores de Base de
pertinentes. datos

Se deberían implementar
A.12.5 Control de software Oficial de seguridad/
procedimientos para
instalación de software no A.12.5.1 Instalación de Administrador de
medio bajo media Mitigar controlar la instalación
autorizado software en sistemas Servidores de Base de
de software en sistemas
gestión Incorrecta de la red operativos datos
operativos.
y de los datos operacional

Se deberían hacer copias

de respaldo de la
información, del software
Inadecuada administración Oficial de seguridad/
e imágenes de los
de seguridad, contraseñas A.12.3.1 Respaldo de Administrador de
Perdida de datos bajo medio media Mitigar sistemas, y ponerlas a
no seguras, inexistencia de información Servidores de Base de
prueba regularmente de
los de eventos de seguridad datos
acuerdo con una política
de copias de respaldo
aceptada.

68
Seguridad Informática

Se debería obtener
oportunamente
información acerca de las
A.12.6.1 Gestión de las
vulnerabilidades técnicas
A.14.2.3 Revisión técnica
de los sistemas de Oficial de seguridad/
de las aplicaciones después
mantenimiento inadecuado información que se usen; Administrador de
Falla de sistema medio medio alto Mitigar de cambios en la
de los equipos evaluar la exposición de Servidores de Base de
plataforma de
la organización a estas datos
operaciones.
vulnerabilidades, y tomar
vulnerabilidades técnicas
las medidas apropiadas
para tratar el riesgo
asociado.

Establecer un marco de
referencia de gestión
Oficial de seguridad/
A.6.1 Organización interna para iniciar y controlar la
falta de políticas de acceso y Administrador de
Acceso no autorizado bajo medio media Mitigar A.6.1.2 separación de implementación y la
auditorías internas Servidores de Base de
deberes operación de la seguridad
datos
de la información dentro
de la organización.

A.12.2.4 Mantenimiento
Los equipos se deberían
de los equipos A.14.2.3
mantener correctamente Oficial de seguridad/
falta de manuales para el Revisión técnica de las
para Administrador de
Fallas en mantenimiento mantenimiento de los medio bajo media Mitigar aplicaciones después de
asegurar su Servidores de Base de
equipos cambios en la plataforma
disponibilidad e datos
de operaciones.
integridad continuas.
vulnerabilidades técnicas

69
Seguridad Informática

La información
involucrada en los
A.12.6.2 Restricciones servicios de aplicaciones
sobre la que pasan sobre redes
Oficial de seguridad/
falta de licencia, inexistencia instalación de software públicas se debería
vulnerabilidad de los Administrador de
de monitorización de alto bajo media Mitigar A.14.1.2 Seguridad de proteger de actividades
programas Servidores de Base de
software servicios de las fraudulentas, disputas
datos
aplicaciones en redes contractuales y
publicas divulgación y
modificación no
autorizadas

Asegurar la protección de
Oficial de seguridad/
Gestión inadecuada de la A.13.1.1 Control de redes la información en las
inestabilidad por la línea de Administrador de
red, un solo proveedor de bajo bajo bajo Mitigar A.13.1.2 Seguridad de los redes, y sus instalaciones
internet Servidores de Base de
servicios de comunicación servicios de red de procesamiento de
datos
información de soporte.

Se deberían hacer copias

de respaldo de la
información, del software
Inadecuada administración Oficial de seguridad/
A.12.3.1 Respaldo de e imágenes de los
de seguridad, contraseñas Administrador de
fugas de información medio bajo media Mitigar información A.11.2.5 sistemas, y ponerlas a
no seguras, inexistencia de Servidores de Base de
Retiro de activos prueba regularmente de
los de eventos de seguridad datos
acuerdo con una política
de copias de respaldo
aceptada.

Inexistencia de un sistema Oficial de seguridad/

A.12.3 Copias de respaldo
destrucción deliberada de de continuidad del negocio, Proteger contra la Administrador de
bajo medio media Mitigar A.8.1.1 Inventario de
información falta de seguridad en los perdida de datos. Servidores de Base de
activos
soportes de red. datos
Administradores de
plataformas descontentos.
Tabla 19: Controles para el tratamiento riesgos del sistema de
información académico Fuente: Elaboración Propia

70
Seguridad Informática

Capítulo VI
15. Plan de Implementación

Ilustración 14 Organigrama UTP

Fuente: Asociación de egresados UTP11

11
[ CITATION egr \l 10250 ]

71
Seguridad Informática

16. Diagrama de Gantt

Ilustración 15: Diagrama Gantt

Fuente: Propia

Capítulo VII
17. Conclusiones

-La identificación de los activos de la universidad UTP, permiten determinar el nivel de

valoración en la empresa y los riesgos a los que se expone. Así mismo ver el impacto en
caso de presentarse una ausencia o daño de este, teniendo en cuenta la disponibilidad,
integridad y confidencialidad.

-Los controles y políticas que se presentaron en este documento, fueron el resultado

del análisis de la información en la etapa de identificación de activos, y de esta forma
se pudo desarrollar acciones para mitigar, prevenir o tratar un riesgo, garantizando así
óptimas condiciones del funcionamiento del servicio mejorando así notoriamente el
manejo de la información de la universidad

-Se determinó como características esenciales y principal del diseño del SGSI para la
universidad tecnológica del Perú, el compromiso y apoyo de la alta dirección, el
conocimiento de la organización, la adecuada identificación del alcance del SGSI, la
evaluación de riesgos y la mejora continua.

72
Seguridad Informática

18. Recomendaciones

-Se recomienda apoyarse en las certificaciones internacionales como ISO como

mecanismo para asegurar el correcto funcionamiento del SGSI de la universidad
tecnológica del Perú

-Los procedimientos utilizados en esta investigación pueden ser usados para diseñar
los SGSI de otras universidades o instituciones educativas

-Es necesario que la universidad tecnológica del Perú asigne personal y presupuesto
para una implementación del SGSI, ya que por todo lo expuesto en este documento
corre un gran riesgo

-Se recomienda generar conciencia a los estudiantes de esta universidad, acerca de

buenas practicas de seguridad de la información, mediante charlas informativas,
capacitaciones etc.

73
Seguridad Informática

Bibliografía

- Gomez, A. (2011). Enciclopedia de la seguridad informática.

Hector, M. O. (2003). Seguridad de la informacion.

ISO 27000. (2018). Obtenido de http://www.iso27000.es/sgsi.html

Quincho, B. M. (2017). "DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN BAJO LA NTP ISO/IEC 27001:2014 PARA LA MUNICIPALIDAD
PROVINCIAL DE HUAMANGA, 2016. AYACUCHO.

Seclén Arana, J. (2016). Factores que afectan la implementación del sistema de. Lima.

Tobón Mejía, A. (2018). DISEÑO DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN. Antioquia,Colombia.

UTP. (25 de junio de 2015). REGLAMENTO GENERAL. Obtenido de

https://www.utp.edu.pe/sites/default/files/reglamento_general.pdf

UTP. (31 de marzo de 2016). Estatuto. Obtenido de

https://www.utp.edu.pe/sites/default/files/estatuto.pdf

UTP, e. (s.f.). Asociación de Egresados UTP. Obtenido de

https://www.utp.edu.co/asociacion-de-egresados/mision.html

74