“AÑO DE LA LUCHA CONTRA LA CORRUPCIÓN Y LA IMPUNIDAD”

TEMA: “DISEÑO DE UN MODELO DE POLÍTICAS DE

SEGURIDAD DE LA INFORMACIÓN PARA LA PROTECCIÓN DE
LOS DATOS PARA LA EMPRESA SODEXO PERU”

2019
 ÍNDICE

1. OBJETIVO..............................................................................................................................3

1.1. Objetivo General..........................................................................................................3

1.2. Objetivo Específico.......................................................................................................3

2. MISION Y VISION..................................................................................................................3

2.1. Misión...........................................................................................................................3

2.2. Visión............................................................................................................................3

3. ALCANCE..............................................................................................................................4

4. MARCO LEGAL......................................................................................................................4

5. ESTRUCTURA ORGANIZATIVA...............................................................................................5

6. TERMINOLOGIA BÁSICA.......................................................................................................5

7. POLÍTICAS.............................................................................................................................6

7.1 Políticas Generales.......................................................................................................6

8 ADMINISTRADOR DE SEGURIDAD INFORMÁTICA.................................................................7

8.1 Respaldo y recuperación de la información..................................................................7

8.2 Política de uso de estaciones de trabajo......................................................................8

8.3 Política de seguridad Física y del Entorno.....................................................................9

8.4 Política de protección contra el Malware...................................................................10

8.5 Política de Gestión de Incidentes en la Seguridad de la Información.........................10

8.6 Política de Seguridad para la Gestión de la Red de Datos...........................................11

8.7 Política de Identificación y Control de Activos de la Empresa....................................12

9 CONCLUSIONES..................................................................................................................12

10 RECOMENDACIONES......................................................................................................12
1. OBJETIVO

1.1. Objetivo General

Diseñar un modelo de políticas de seguridad de la información para la protección

de los datos en la empresa SODEXO de Perú, asegurando que sea accesible a los

clientes, colaboradores y terceros con una legítima necesidad de saber

salvaguardando la integridad de la información para garantizar su exactitud y

totalidad.

1.2. Objetivo Específico

 Hacer un diagnóstico de análisis de riesgos para proporcionar un panorama

general de las vulnerabilidades en las diferentes áreas presentes en SODEXO

PERU.

 Analizar los resultados obtenidos para identificar factores y áreas vulnerables.

 Construir una matriz de vulnerabilidades para diseñar el modelo de políticas

para SODEXO PERU.

 Establecer políticas, normas y procedimientos que permitan el intercambio de

información entre las distintas áreas de manera segura sin dejar de lado la

confidencialidad.
  Establecer reglas concisas para cada actor dentro de la organización TI con el

fin de prevenir riesgos y vulnerabilidades que puedan afectar el prestigio y

confianza establecida en la empresa.

 Establecer estándares de trabajo mediante las políticas.

2. MISION Y VISION

2.1. Misión

Mejorar la seguridad de la información a través de las políticas, normas y

procedimientos para cada uno de los procesos en la empresa SODEXO PERU, con

el fin de prevenir riesgos y vulnerabilidades que puedan afectar a la empresa.

2.2. Visión

Liderar el mercado local de las tecnologías de información y comunicaciones,

brindando soluciones eficientes.

3. ALCANCE
Nuestro propósito es posicionarnos en el rubro de alimentación ofreciendo servicios

de concesionarias de alimentación, puntos retáis y hotelería a nivel nacional.

4. MARCO LEGAL

ISO 27001:

es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y

describe cómo gestionar la seguridad de la información en una empresa. La revisión más

reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC

27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma

británica BS 7799-2. 23 ISO 27001 puede ser implementada en cualquier tipo de organización,

con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores

especialistas del mundo en el tema y proporciona una metodología para implementar la

gestión de la seguridad de la información en una organización. También permite que una

empresa sea certificada; esto significa que una entidad de certificación independiente

confirma que la seguridad de la información ha sido implementada en esa organización en

cumplimiento con la norma ISO 27001. El eje central de ISO 27001 es proteger la

confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace

investigando cuáles son los potenciales problemas que podrían afectar la información (es

decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que

estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo). Por lo tanto, la

filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos: investigar dónde

están los riesgos y luego tratarlos sistemáticamente. La norma ISO/IEC 27001 ha sido

reconocida por 1870 organizaciones en 57 países donde es el único estándar aceptado

internacionalmente para la administración de la seguridad de la información y es aplicable a

todo tipo de organizaciones sin importar su tamaño o actividad.

CONSTITUCIÓN POLÍTICA DEL PERÚ:

Que, el numeral 6 del artículo 2 de la Constitución Política del Perú reconoce el derecho que

toda persona tiene a que los servicios informáticos, computarizados o no, públicos o privados,

no suministren informaciones que afecten la intimidad personal y familiar.

LEY DE PROTECCIÓN DE DATOS PERSONALES, LEY N°29733:

Tiene por objeto garantizar el derecho fundamental de las personas a la protección de su

privacidad, para lo cual prescribe que el tratamiento de sus datos personales sea proporcional

y seguro.

5. ESTRUCTURA ORGANIZATIVA

Dirección General

Gerencia de Gerencia de Gerencia de Gerencia de

Gerencia de TI
Finanzas Marketing Compras RRHH

Gestión del
Jefatura TI Servicio al Cliente Contabilidad
Talento Humano

Relaciones
Soporte HelpDesk Facturación
Laborales

Capacitación y
Cobranzas
desarrollo
6. TERMINOLOGIA BÁSICA
A continuación, se definen algunos conceptos que deben estar claros para seguir

abordando el presente documento sin errores de interpretación.

 ADWARE:

Es un programa de internet que cuando se ejecuta, muestra publicidad de internet

y la descarga. El principal síntoma de infección de adware es la aparición de

ventanas emergentes en nuestra computadora.

 CONFIDENCIALIDAD:

Hablamos de confidencialidad cuando nos referimos a la característica que asegura

que los usuarios ya sean (personas, procesos, etc.), no tengan acceso a los datos a

menos que estén autorizados para ello.

 DISPONIBILIDAD:

Garantiza que los recursos de sistema y la información estén disponibles solo para

usuarios autorizados en el momento en que los soliciten.

 INTEGRIDAD:

Nos indica que toda modificación de la información solo es realizada por usuarios

autorizados, por medio de procesos también autorizados.

 SPYWARE:

Es un programa espía que se instala sin autorización del cliente, y su objetivo es

conocer los hábitos informáticos del usuario de la computadora. Esta información

es enviada vía e-mail por empresas publicitarias. Se transmiten a través de

adjuntos de correo electrónicos y programas descargados de sitios no confiables.

 ISO:

International Standards Organization. Una de las organizaciones de normalización

más importantes. El gobierno de cada país está representado individualmente.

 AMENAZA:

Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual

puede causar el daño a un sistema o la organización.

 ANÁLISIS DE RIESGOS:

uso sistemático de la información para identificar fuentes y estimar el riesgo.

 CABALLO DE TROYA:

es un malware que se presenta al usuario como un programa aparentemente

legítimo e inofensivo, pero que, al ejecutarlo le brinda a un atacante acceso

remoto al equipo infectado. Los troyanos pueden realizar diferentes tareas, pero,

en la mayoría de los casos, crean una puerta trasera que permite la administración

remota a un usuario no autorizado.

 CORREOS MALICIOSOS:

La intención de estos correos es aprovecharse de nuestro desconocimiento,

ingenuidad o buena voluntad para obtener información que si nos pidiesen

directamente no les daríamos. Información que puede ir desde conseguir las

cuentas de correo electrónico de nuestros contactos hasta nuestros datos

bancarios.

 EVALUACIÓN DE RIESGOS:

proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el

objeto de determinar la importancia del riesgo.

 GESTIÓN DE RIESGOS:

Proceso de identificación, control y minimización o eliminación, a un costo

aceptable, de los riesgos que afecten a la información de la organización. Incluye la

valoración de riesgos y el tratamiento de riesgos y actividades coordinadas para

dirigir y controlar una organización con respecto al riesgo.

 IMPACTO:

El costo para la organización de un incidente de la escala que sea, que puede o no

ser medido en términos estrictamente financieros, por ejemplo, pérdida de

reputación, implicaciones legales, entre otros.

  INFECCIÓN DE VIRUS:

es un software que tiene por objetivo de alterar el funcionamiento normal de

cualquier tipo de dispositivo informático, sin el permiso o el conocimiento del

usuario principalmente para lograr fines maliciosos sobre el dispositivo. Los virus,

habitualmente, reemplazan archivos ejecutables por otros infectados con el código

de este. Los virus pueden destruir, de manera intencionada, los datos

almacenados en una computadora, aunque también existen otros más inofensivos,

que solo producen molestias o imprevistos.

7. POLÍTICAS

Definir las políticas de seguridad para una organización es importante ya que son el

fundamento para obtener un control efectivo sobre la información, su resguardo y las

actividades de los funcionarios y empleados de la organización que son realizadas a través

de operaciones de cómputo o del uso de equipos y recursos informáticos, proveyendo la

información necesaria que permita a todos los usuarios de una organización, crear una

“Cultura de Seguridad y Control de la Información”, y que tomen conciencia de la

necesidad imperativa de proteger la Información, el Hardware, el Software y las redes de

datos y comunicaciones.
7.1 Políticas Generales

7.1.1 La Política General de Seguridad de la Información define el cumplimiento de

SODEXO PERU para administrar efectiva y eficazmente la Seguridad de la

Información tomando en cuenta criterios de riesgo de seguridad de la

información y de ciberseguridad que afecten a SODEXO PERU.

7.1.2 Los negocios de SODEXO PERU se basan en la confianza, y dependen

estrechamente de la información, que emana directamente de la Organización.

7.1.3 La Seguridad de la Información conlleva la protección de la misma, lo cual

incluye, el apoyo a los recursos de los Sistemas de Información.

7.1.4 Las políticas, metodologías, manuales de procedimientos, manuales de

usuario, controles y capacitación relacionados con la Seguridad de la

Información son parte esencial del marco general de controles internos de la

empresa SODEXO PERU.

7.1.5 SODEXO PERU empleará los medios razonables para asegurar la

confidencialidad de la información bajo su custodia, garantizar la integridad y

asegurar la disponibilidad y continuidad de los sistemas de información y su

infraestructura tecnológica.
 7.1.6 La política, procedimientos y medidas determinadas estarán en forma

oportuna, a disposición de todos los colaboradores de SODEXO PERU, en virtud

de lo cual éstos deben conocer, comprender y seguir los procedimientos y

normas establecidas para el desarrollo eficiente de la Seguridad de la

Información en la empresa.

7.1.7 SODEXO PERU mantendrá actualizado un sistema para gestionar la Seguridad

de la Información basado en riesgos de seguridad

8 ADMINISTRADOR DE SEGURIDAD INFORMÁTICA

Se debe asignar siempre a una persona encargado de los asuntos de seguridad, el

homogenizara y centralizara todos los temas de seguridad que se presenten tanto al

interior como en el exterior de la organización, el homogenizara y centralizara todos los

temas de seguridad que se presenten, debe estar de la mano con decisiones de los más

altos cargos de organización para poder ejecutar y describir mejor las políticas de

seguridad que se van a implementar.

8.1 Respaldo y recuperación de la información:

 Los backups de los sistemas deben retenerse por un tiempo límite

definido: Es importante definir un tiempo límite de (6) seis meses de

retención para cada sistema, que se ajuste a las necesidades y

criticidad de este. El tiempo límite es definido por el líder de

proceso/proyecto, con el apoyo de la coordinación de plataforma.

Después de cumplido el tiempo de retención, los backups pueden

eliminarse.
 La destrucción o reutilización de los medios de almacenamiento debe

realizarse de manera segura: Se deben establecer procedimientos

formales para la destrucción o reutilización segura de los medios que

contengan información confidencial. Los procedimientos de

eliminación deben ser proporcionales a la sensibilidad de la

información, definidos por el Área Seguridad de la Información.

 El acceso a las instalaciones y medios de almacenamiento de los

backups debe ser restringido: Las instalaciones donde se almacenan

los backups son consideradas áreas seguras. Por ningún motivo debe

ingresar personal no autorizado. Los medios donde se almacenan los

backups no deben ser manipulados por personal sin la debida

autorización.

 Antes de realizar cambios sobre algún sistema de información, debe

realizarse un backup: Es necesario realizar un backup de cualquier

sistema de información antes de cualquier cambio. Esto debe estar

incluido en el proceso de gestión de cambios de la organización.

 Antes de realizarse cualquier renovación tecnológica sobre las

plataformas de backup, debe migrarse la información al nuevo

sistema: En caso de renovación tecnológica sobre plataformas que

realizan backups y/o almacenamiento o sobre los sistemas de

 información en sí, debe asegurarse que la información que se

encuentra en el sistema obsoleto sea trasferida al nuevo sistema. Esto

con el fin de evitar pérdidas de información en las transiciones

tecnológicas.

8.2 Política de uso de estaciones de trabajo:

 Uso de estaciones de trabajo: Las estaciones de trabajo entregadas a

los colaboradores deberán estar plenamente marquilladas, para ser

usadas única y exclusivamente para el desarrollo de las actividades

propias de su cargo; se prohíbe el almacenamiento de información

personal en los equipos. El colaborador es el propietario responsable

por la protección y cuidado de su equipo.

 Uso de dispositivos de almacenamiento externo : El uso de

dispositivos de almacenamiento externo estará restringido mediante la

aplicación de políticas en los equipos, y únicamente para los

colaboradores que lo requieran para desempeñar sus labores, se

entregarán permisos para su uso por un periodo máximo de seis

meses, que serán otorgados por el jefe del colaborador respectivo, con

el visto bueno del área de seguridad de la información. Una vez finalice

su uso, su contenido será borrado a bajo nivel para evitar fugas de

información.

 Salida de equipos de las instalaciones : La posibilidad de extraer

estaciones de trabajo (desktops, laptops) fuera de las instalaciones por

 parte de los colaboradores, deberá estar autorizada por escrito por el

jefe inmediato y con justificación de la necesidad.

 Acceso a las estaciones de trabajo : El acceso a estaciones de trabajo

deberá realizarse mediante el usuario y contraseña propia de cada

colaborador. El préstamo de usuarios y contraseñas está estrictamente

prohibido bajo cualquier circunstancia. Se debe hacer buen uso de

estas contraseñas, evitando su divulgación.

 Ejecutar la herramienta de detección de malware de La Organización :

Deberá ejecutar una versión actualizada del software corporativo de

protección contra el malware. Este software deberá ser capaz de

proteger al sistema operativo en tiempo real y de actualizarse de

forma automática.

 Ningún usuario deberá desinstalar, desactivar y/o manipular

software: Se debe proteger la configuración instalada del software en

cada estación de trabajo. Por lo tanto, se prohíbe realizar cambios en

estaciones de trabajo.

 Ningún usuario deberá manipular las piezas de hardware que

compongan una estación de trabajo: Se debe proteger la

configuración instalada del hardware en cada estación de trabajo. Por

 lo tanto, se prohíbe realizar cambios en estaciones de trabajo que

modifiquen su integridad a nivel de hardware.

 Prohibida la creación y/o difusión de software malicioso : En ninguna

circunstancia los usuarios podrán escribir, compilar, copiar, propagar o

ejecutar de forma intencionada en dispositivos tecnológicos.

 Buen uso del servicio de navegación a internet: La finalidad de

entregar el servicio de navegación en internet a los colaboradores y

visitantes desde estaciones de trabajo, es para apoyar la realización de

labores definidas en sus responsabilidades de cargo.

 Buen uso del servicio de correo electrónico : La finalidad de entregar el

servicio de correo electrónico es habilitar la comunicación interna y

externa de colaboradores de La Organización. Se restringe su uso para

propósitos personales, repartir cadenas de correos, o generar

actividades no autorizadas por La Organización.

 Requerimientos hacia las estaciones de trabajo : En caso de

presentarse inestabilidad, degradación o fallas en las estaciones de

trabajo, se deberá contactar al soporte técnico de La Organización a

través de la mesa de servicio.

  Traslado de estaciones de trabajo: En caso de haber un traslado de

equipo se debe diligenciar un formato en el cual se especifique el

punto de red donde se va a instalar el equipo.

8.3 Política de seguridad Física y del Entorno:

 Diseño y mantenimiento plan de seguridad física : La Organización

debe diseñar y gestionar un plan de seguridad física que sea revisado y

actualizado anualmente.

 Control de acceso utilizando carnets de identificación : El acceso de

colaboradores a las instalaciones debe ser controlado mediante la

exigencia del uso a toda hora de un carné visible. El personal de

seguridad debe monitorear la presencia de individuos sin carné y

solicitar la presentación de este.

 Identificar y limitar el acceso a áreas restringidas : Las áreas

restringidas deben estar plenamente identificadas en el plan de

seguridad física de las instalaciones de La Organización. Los usuarios

no autorizados no deben entrar a áreas restringidas.

 Eliminación de carné de identificación y contraseñas de acceso en la

desvinculación del personal: Cuando un colaborador finalice su

contrato de trabajo, todos los códigos de acceso físico conocidos por

esta persona deben ser desactivados. El carné de identificación debe

ser entregado a la entidad para ser destruido.

 Control de ingreso y salida de dispositivos de almacenamiento

extraíbles: Todo dispositivo de almacenamiento extraíble (memorias

USB, discos duros externos, entre otros) deberá ser registrado al

ingresar a las instalaciones de La Organización.

 Pautas de seguridad en áreas seguras: uso equipos de cómputo y

monitoreo: Las estaciones de trabajo y equipos de computación en

áreas seguras deben estar ubicados y protegidos adecuadamente,

según la naturaleza de la confidencialidad del proceso y de la

información que se maneja.

 Administración de equipos de CCTV : Las grabaciones de video con uso

de CCTV deben ser monitoreadas y almacenadas con los mecanismos

de seguridad y disponibilidad adecuados para su revisión.

 Inspección de maletines: Los guardias de seguridad deben chequear

los maletines de los colaboradores y visitantes, tanto al ingreso como a

la salida de La Organización para identificar posibles situaciones de

fuga de activos de información.

 Creación de usuarios VPN: La configuración de los usuarios VPN solo a

los jefes de las organizaciones ya que ellos quizás lo requieran fuera de

La Organización.
8.4 Política de protección contra el Malware:

 Se debe diseñar, documentar, socializar e implementar

procedimientos de protección contra el Malware: Es necesario

suministrar instructivos que les oriente acerca de las acciones a tomar,

cuando se evidencia malware en los sistemas de información. Estos

instructivos deben definir claramente las fases de prevención,

contención y erradicación del malware.

 El administrador de la solución de protección contra el Malware

deberá diseñar y aplicar manuales y procedimientos de operación: Se

debe desarrollar y/o identificar documentación actualizada y práctica

en relación con la administración de la solución de protección contra el

Malware.

 Las estaciones con software antimalware: Al momento de alistar una

estación de trabajo se debe instalar, configurar y actualizar la solución

corporativa de protección contra el malware.

 Los servidores deben contar con las herramientas antimalware : Al

momento de alistar un servidor se debe considerar la instalación,

configuración y actualización de la solución corporativa de protección

contra el malware.
  La herramienta utilizada debe proteger S.O e información sensible :

Los sistemas de información de La Organización, deben estar bajo el

alcance de la solución corporativa de protección contra el malware;

por ningún motivo los usuarios modificaran los parámetros de

configuración de esta solución.

 Los usuarios serán garantes de la configuración que se les aplica :

Cuando se evidencie cualquier anomalía referente al tema aquí

descrito, deberá ser reportado de manera inmediata al área de

seguridad de la información por medio de los canales establecidos.

8.5 Política de Gestión de Incidentes en la Seguridad de la Información

 Compromiso de la alta dirección en la gestión de incidentes en

seguridad de la información: La alta dirección de La Organización

reconoce y respalda la importancia de gestionar los incidentes en

seguridad de la información y declara su compromiso en el

cumplimiento de los objetos contractuales, la normatividad y

legislación aplicable para la atención de estos incidentes.

 Detección de eventos en seguridad de la información : Los sistemas

informáticos de La Organización deben tener la capacidad de registrar

 y permitir la recolección de información pertinente para determinar las

causas de un posible incidente en seguridad de la información.

 Comunicación de incidentes y/o anomalías en seguridad de la

información: Los eventos relativos que conduzcan a una incidencia en

seguridad de la información serán comunicados a través de la Mesa de

Servicio de La Organización, describiendo la situación presentada y se

trataran con la mayor confidencialidad.

 Priorización de incidentes en seguridad de la información : Basados en

la valoración de impacto y urgencia en seguridad de la información, se

dará priorización a los incidentes presentados con la finalidad de

brindar la atención y respuesta apropiada.

 Recolección de evidencia legal aplicable ante incidentes en seguridad

de la información: Con la finalidad de identificar responsable(s) y un

resarcimiento del daño ocasionado para aplicar una acción jurídica, se

propenderá recolectar, mantener y presentar evidencia cumpliendo

con la normatividad legal aplicable.

8.6 Política de Seguridad para la Gestión de la Red de Datos

 Deshabilitar puertos de red en desuso garantizando los criterios

mínimos de seguridad: Para mitigar los riesgos de seguridad asociados

 a los dispositivos de red de La Organización, se deben deshabilitar

aquellos servicios, parámetros y puertos de red que por defecto traen

activos y que no se requieren para el funcionamiento del servicio, al

igual que las interfaces que no estén operativas.

 La instalación de dispositivos de red debe estar documentada : Los

administradores de la red de datos deben mantener un adecuado

registro documental que permita tener trazabilidad de la gestión de la

red de datos de la organización.

 Todo dispositivo de networking deberá ser revisado, registrado y

aprobado por la administración del área de plataforma antes de

conectarse a la red de datos de la organización: Para el correcto

registro y permisos de conectividad necesarios de los dispositivos que

necesiten conectarse a la red de datos de La Organización, se debe

notificar la necesidad al Área de Plataforma para su autorización.

 El acceso a la red debe ser restringido depende su necesidad : Los

permisos de acceso a la red de datos y los recursos respaldados por la

solución perimetral de La Organización, se concederán en base a los

criterios definidos en la arquitectura de seguridad definida y la

necesidad.

 La transmisión de datos corporativa a través de redes públicas se

debe desarrollar por medio de mecanismos de cifrado a fin de

garantizar la confidencialidad e integridad de la información: La

 información confidencial y sobre la cual debe garantizarse su

integridad, (basados en su criticidad y sensibilidad) se debe cifrar por

medio de mecanismos seguros (Ej. SSL/TLS, IPSEC) durante su

transmisión a través de las redes donde el acceso es abierto y/o sin

restricción.

 Conexiones remotas: Para la adecuada gestión de las conexiones

remotas (Ej. VPN, RDP) estas deberán ser suministradas a través de las

soluciones adquiridas formalmente por La Organización para su

estricto control.

 El uso de analizadores de red (sniffers), es permitido única y

exclusivamente para el Área de Seguridad de la Información y los

administradores de la red de datos de La Organización: Para

monitorear la funcionalidad de las redes que están bajo la gestión

administrativa, el uso de software que permite analizar tráfico de red

(sniffers), debe ser utilizado única y exclusivamente por el personal de

seguridad de la información y los administradores de redes que la

organización designe para dicho roll, enfocados a la consolidación del

modelo de seguridad de la organización y la resolución de incidencias.

8.7 Política de Identificación y Control de Activos de la Empresa

 Definición de lineamientos para la identificación de activos de

información: El área de seguridad de la información debe definir y

 comunicar los lineamientos para la identificación y control de los

activos de información de la empresa.

 Realización de inventario de activos información, asignación de

propietarios y responsables: Cada Jefe de área con el

acompañamiento del área de seguridad de la información anualmente

deberá tipificar, inventariar y clasificar los activos de información que

son utilizados por la empresa.

 Clasificación y Etiquetamiento de Activos de Información : Cada activo

de información deberá ser clasificado y etiquetado según su valor,

criticidad y sensibilidad.

 Entrega de activos de información: La entrega de activos de

información a los usuarios deberá realizarse únicamente bajo

autorización del jefe inmediato y previa evaluación de la necesidad. Se

deberá realizar un acta para registrar la entrega y la responsabilidad de

custodia y protección por parte del usuario.

9 CONCLUSIONES

Teniendo en cuenta el ataque que sufrieron los servidores de la empresa SODEXO PERU
que ocasiono saturación de la red interna y externa (VPN), se realizó esta investigación y
llegamos a la conclusión que:

 Al no tener un marco de políticas definidas y aunque el área de tecnología tiene

algunos controles internos es fundamental que se sigan lineamientos para la

 seguridad de la información y no estar expuestos a ataques de robo de

información.

 De acuerdo con el diagnóstico realizado la seguridad de la información se identifica

como áreas vulnerables.

o área de centro de documentación e información.

o Centro de cómputo por acceso de no autorizado.

 Dadas las políticas de seguridad informática en la entidad permiten el

mejoramiento continuo de los diferentes elementos que lo componen por tanto es

indispensable concienciar al personal de dichas políticas para contribuir al

cumplimento de las mismas.

10 RECOMENDACIONES
Como recomendaciones adicionales a las ya planteadas anteriormente se sugiere lo

siguiente:

 Se recomienda mantener una constante revisión de las políticas establecidas y

verificar el cumplimiento de estas por parte de los empleados de la organización.

 Se recomienda hacer revisión periódica de las amenazas y riesgos acordes con los

cambios tecnológicos y deben ser controlados para evitar problemas a futuro.

 Se recomienda formar y capacitar de manera periódica al personal en temas de

seguridad de la información y así lograr que todos los involucrados o relacionados

con los activos de información tengan los alcances de la implementación claros.

 Se recomienda establecer los mecanismos que permitan la identificación de

nuevos activos de información, y también la cultura organizacional para tomar

acciones correctivas frente a nuevas vulnerabilidades, amenazas o riesgos

detectados; y con base en esa información tomar acciones preventivas.