UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ CARRIÓN

FACULTAD DE INGENIERÍA INDUSTRIAL, SISTEMAS E INFORMÁTICA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

PROYECTO DE TESIS

“IMPLEMENTACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON ISO 27001

PARA LA SEGURIDAD INFORMÁTICA EN LA OFICINA DE SERVICIOS

INFORMÁTICOS EN LA UNIVERSIDAD NACIONAL JOSÉ FAUSTINO SÁNCHEZ

CARRIÓN, HUACHO 2021”

AUTORES:

AGÜERO OCAÑA, LESLIE KATHERINE

HUACHO – PERÚ

2021
 2

INDICE

1. INDICE...............................................................................................................ii

2. CAPITULO I.......................................................................................................1

1. Planteamiento del problema............................................................................1

1.2. Formulación del problema.........................................................................4
1.3. Formulación de los objetivos.....................................................................5
1.4. Justificación de la investigación:...............................................................6
1.5. Delimitación de la investigación:...............................................................6
1.6. Viabilidad de la investigación:...................................................................6
3. CAPITULO II......................................................................................................8

2. MARCO TEÓRICO..........................................................................................8
2.1. Antecedentes de la investigación..............................................................8
A nivel Internacional:.............................................................................................8
2.2. Bases teóricas.........................................................................................17
2.3. Definiciones conceptuales de términos...................................................28
2.4. Formulación de las hipótesis...................................................................28
4. CAPITULO III...................................................................................................30

3. METODOLOGÍA............................................................................................30
3.2. Población y muestra................................................................................31
3.3. Operacionalización de variables.............................................................31
3.4. Técnicas e instrumentos de recolección de datos..................................31
5. CAPITULO IV..................................................................................................33

4. RECURSOS Y CRONOGRAMA DE LA INVESTIGACIÓN..........................33

4.1. Recursos (humanos, materiales)............................................................33
4.2. Presupuesto............................................................................................34
4.3. Cronograma de actividades....................................................................35
6. BIBLIOGRAFÍA................................................................................................39
 3

CAPITULO I

1. Planteamiento del problema

1.1. Descripción de la realidad problemática

A nivel Internacional

La información generalmente es procesada e intercambiada en redes de datos, equipos

informáticos y soportes de almacenamiento, y todo ello son partes de los sistemas

informáticos. Los sistemas informáticos están sometidos a potenciales amenazas de

seguridad de diversas índoles, originadas desde dentro de la organización, como desde

fuera, procedentes de diferentes fuentes. Entre ellos debemos mencionar los riesgos

físicos que son accesos no autorizados a la información, catástrofes naturales, incendios y

accidentes; y los riesgos lógicos que son programas dañados con códigos maliciosos y

ataques de denegación de servicios que se están volviendo cada vez más comunes,

ambiciosas y sofisticadas.

A nivel Nacional

Existe la tendencia equivoca de considerar los aspectos relativos a la seguridad

informática como una tarea exclusiva de un especialista determinado de las áreas de

informática o de protección cuando es responsabilidad de los principales dirigentes de la

organización y en la que debe participar todos lo que utilizan la tecnología.

La implementación de un sistema de gestión de seguridad informática en una entidad

ayuda a establecer a la organización la forma más adecuada de tratar los aspectos de

seguridad mediante los recursos humanos y técnicos, respaldado por medidas

administrativas, que garanticen que los controles sean efectivos para lograr el nivel de

seguridad necesario con los objetivos de la organización.

 4

A nivel Local

Mediante la elaboración de la implementación de la seguridad informática con ISO

27001 y seguridad de la información en la oficina de servicios informáticos en la

Universidad Nacional José Faustino Sánchez Carrión, Huacho 2021; nos permitirá conocer

las vulnerabilidades a las que está expuesta la información por la falta de controles de

seguridad.

La elaboración de la tesis surge de un caso que sucedió en diciembre del 2018, que fue

un ataque al servidor del data center de la Oficina de Servicios Informáticos de la

Universidad Nacional Faustino Sánchez Carrión, y como consecuencia hubo alteraciones a

las notas de los estudiantes, no hubo internet en varias oficinas de la universidad, hackeo

de información importante del servidor; y todo eso nos dio a conocer el nivel de impacto

que tendría la ocurrencia de las amenazas identificadas en cada activo de información que

puede afectar datos muy relevantes que son utilizados en las actividades diarias de la

organización.

Los resultados darán a conocer que para reducir los riesgos existentes dentro y fuera de

la organización, es necesario implementar los controles de seguridad según la Gestión del

Sistema de Información de la ISO 27001, lo cual ayudara a fortalecer la confiabilidad, la

ejecución y el control.

La universidad Nacional José Faustino Sánchez Carrión es una institución académica,

científica, tecnológica y cultural, dedicada a la enseñanza, investigación y la proyección

social al servicio del desarrollo de la región y del país. Tiene autonomía normativa,
 5

académica, económica y administrativa. Está integrada por docentes, estudiantes y

graduados y como apoyo a sus fines por los trabajadores.

La Oficina de Servicios Informáticos de la Universidad Nacional José Faustino Sánchez

Carrión tiene como función principal brindar servicios de calidad, administrar los recursos

informáticos, diseñar arquitecturas basadas en Tecnología de Información y

Comunicaciones e implementar proyectos de desarrollo de software que permitan la

eficiencia y la optimización de los procesos que dan soporte a la gestión académica y

administrativa dentro de la Institución.

La Oficina de Servicios Informáticos de la Institución no lleva una buena

administración de los recursos, ya que no cumplen con algunas de las normas establecidas

por el estado, puesto que el desarrollo de los procesos dentro de la oficina se llevan a cabo

de forma informal, es decir no se tienen políticas , tampoco documentos que describan la

manera de cómo ejercer algún procedimiento para los procesos que se desarrollan,

asimismo no se ha considerado un plan de contingencia para proteger los activos de la

oficina.

Área de soporte técnico en hardware y redes

Es la encargada de administrar los recursos informáticos, diseñar arquitecturas basadas

en Tecnología de Información y Comunicaciones, asesorar en la formulación de políticas

relacionadas con temas informáticos y garantizar la disponibilidad permanente de las redes

de comunicación, así como la optimización de los recursos informáticos. Responsable del

mantenimiento preventivo y correctivo al hardware, gestionar el inventario y uso eficiente

del software adquirido por la institución instalado en cada equipo de cómputo.

Administrar, diseñar e implementar las redes de comunicaciones.

 6

Área de sistemas de información

Es la encargada de administrar, diseñar, asesorar e implementar proyectos de desarrollo

de software que permitan la optimización de los procesos que dan soporte a la gestión

académica y administrativa. Tiene a su cargo el mantenimiento de las aplicaciones

software; realizar investigaciones en tecnologías de información, así como la planificación,

desarrollo e implementación de soluciones de Software; actualizar los procedimientos y dar

mantenimiento al software desarrollado por la institución o sobre cuyo código fuente se

tiene los derechos de propiedad.

Área de diseño y publicación web

Es la encargada de asesorar, diseñar e implementar las páginas webs que conforman el

Portal Web. Además, tiene a su cargo la administración de toda la información a ser

publicada en el Portal Web, siendo responsable de mantener actualizado la información de

nuestra institución en el portal web.

1.2. Formulación del problema

1.2.1. Problema general

¿De qué manera la implementación de la seguridad de la información con la ISO

27001 mejora la seguridad informática en la oficina de servicios informáticos en la

Universidad Nacional José Faustino Sánchez Carrión, Huacho?

1.2.2. Problemas específicos

¿De qué manera la confiabilidad en la implementación de la seguridad de las

informaciones la ISO 27001 asegurará la seguridad informática en la Oficina de Servicios

Informáticos en la Universidad Nacional José Faustino Sánchez Carrión, Huacho?

 7

¿De qué manera la ejecución en la implementación de la seguridad de la información de

la ISO 27001 mejora la seguridad informática en la Oficina de Servicios Informáticos en la

Universidad Nacional José Faustino Sánchez Carrión, Huacho?

¿De qué manera el control en la implementación de la seguridad de la información de la

ISO 27001 mejora la seguridad informática en la Oficina de Servicios Informáticos en la

Universidad Nacional José Faustino Sánchez Carrión, Huacho?

1.3. Formulación de los objetivos

1.3.1. Objetivo general

Implementar la seguridad de la información con la ISO 27001 mejora la seguridad

informática en la Oficina de Servicios Informáticos en la Universidad Nacional José

Faustino Sánchez Carrión, Huacho.

1.3.2. Objetivos específicos

Determinar la confiabilidad de la implementación de la seguridad de la información de

la ISO 27001 mejora la seguridad informática en la Oficina de Servicios Informáticos en

la Universidad Nacional José Faustino Sánchez Carrión, Huacho

Realizar la ejecución en la implementación de la seguridad de la información de la

ISO 27001 que mejora la seguridad informática en la Oficina de Servicios Informáticos

en la Universidad Nacional José Faustino Sánchez Carrión, Huacho

Realizar el control en la implementación de la seguridad de la información de la ISO

27001 que mejora la seguridad informática en la Oficina de Servicios Informáticos en la

Universidad Nacional José Faustino Sánchez Carrión, Huacho

 8

1.4. Justificación de la investigación:

Mediante la elaboración de la implementación de la seguridad informática con ISO 27001

y seguridad de la información en la Oficina De Servicios Informáticos en la Universidad

Nacional José Faustino Sánchez Carrión, Huacho 2021; nos permitirá conocer las

vulnerabilidades a las que está expuesta la información por la falta de controles de seguridad.

El desarrollo de la tesis nos permitirá conocer que para reducir los riesgos de seguridad

informática y seguridad de información existentes dentro y fuera de la organización, es

necesario implementar los controles de seguridad según la Gestión del Sistema de

Información de la ISO 27001, lo cual ayudara a fortalecer la confiabilidad, la ejecución y el

control.

1.5. Delimitación de la investigación:

1.5.1. Delimitación temporal

El desarrollo de esta tesis se basará en hechos que se observarán y actividades que se

realizarán en la Oficina de Servicios Informáticos de la Universidad Nacional Faustino

Sánchez Carrión entre los meses de mayo y julio del año 2021.

1.5.2. Delimitación geográfica

El desarrollo de la tesis, la implementación de la seguridad informática con ISO 27001

y seguridad de la información en la Oficina de Servicios Informáticos en la Universidad

Nacional José Faustino Sánchez Carrión, se desarrollará en el distrito de Huacho,

provincia de Huaura y departamento de Lima.

1.6. Viabilidad de la investigación:

Esta investigación si se puede llevar a cabo en la vida real, debemos tener en cuenta la

disponibilidad de los recursos financieros, tiempo y de información que nos ayuda a

 9

determinar los alcances de la investigación, tenemos que hacernos un cuestionamiento crítico

y realista con una respuesta concisa ya que si se tiene una duda al respecto puede detener

nuestros propósitos de la investigación.

 10

CAPITULO II

2. MARCO TEÓRICO

2.1. Antecedentes de la investigación

A nivel Internacional:

Antecedente 1:

Molano, R. (2017), Estrategia para implementar un sistema de gestión de la seguridad

de la información basada en la norma ISO 27001 en el área de TI para la empresa Market

Mix Bogotá – Colombia, para obtener el título de especialidad en Auditoria de Sistemas.

Cuyo objetivo es Identificar la mejor estrategia en el proceso de implementación de un

Sistema de Gestión de Seguridad de la Información basadas en la norma ISO 27001 en el

área de TI para la empresa Market Mix, para lo cual utilizo la metodología de carácter

mixto cualitativo, cuantitativo, con el tipo de estudio es de carácter descriptivo. Llegando

a la conclusión de identificar una estrategia para la implementación de un Sistema de

Gestión de Seguridad de la Información para el área de TI de la empresa Market Mix,

después de haber seleccionado las herramientas que permitieron la evaluación del estado

actual del área de TI, los datos arrojados se procesaron y permitieron que se identificara

la mejor estrategia que se debe desarrollar paso a paso con el fin de cumplir con los

objetivos de la misma; la aplicación de la estrategia y el monitoreo constante de las

labores y responsabilidades asignadas a cada uno de los integrantes, permitirán identificar

los riesgos a los que están expuestos dentro de la organización, así mismo atacarlos y

realizar las correcciones pertinentes con el fin de hacer mejoras continuas y proteger la

información para que no se vea afectada la empresa.

 11

Antecedente 2:

Buitrago Estrada Johanna, Bonilla Pineda Diego, Murillo Varón Carol (2012) en su

tesis: “Diseño de una metodología para la implementación del sistema de gestión de

seguridad de la información - SGSI, en el sector de laboratorios de análisis

microbiológicos (Colombia), basado en ISO 27001”.

Los autores de la tesis concluyen que el establecimiento de un SGSI en el sector de

laboratorios es de gran utilidad al proporcionar una metodología adecuada para garantizar

la confidencialidad, la integridad y la disponibilidad de los activos de su negocio que

tengan que ver con la información.

Asimismo, destacan la importancia del diseño de un SGSI que sea dinámico y

fácilmente adaptable a los cambios y las mejoras a introducir en la compañía, la

aplicación del modelo PHVA (Planear, Hacer, Verificar, Actuar) basado en el concepto

de mejora continua.

Mediante la implementación del sistema de gestión de seguridad de la información

para empresas del sector de laboratorios de análisis microbiológicos Página 21 de 218 de

control de calidad, basado en la ISO 27001, se pudieron obtener los siguientes beneficios:

- Se cuenta con una guía práctica para el lector en la que se expliquen los

lineamientos de las normas que enmarcan la seguridad de la información, aclarando los

requisitos y contextualizándolos en el sector de laboratorios de análisis microbiológico.

- Se cuenta con una metodología para la implementación y mantenimiento de la

norma ISO27001 que involucre fase de planificación, implementación, revisión,

mantenimiento y mejora.
 12

A nivel nacional:

Antecedente 1:

Barrantes, C. & Hugo, J. (2012), Diseño e implementación de un Sistema de Gestión

de Seguridad de Información en procesos tecnológicos, para optar el título profesional de

ingeniero de computación y sistemas. Cuyo objetivo es reducir y mitigar los riesgos de

los activos de información de los procesos que se encuentren bajo la gerencia de

tecnologías de Card Perú S.A. que ponen en peligro los recurso, servicios y continuidad

de lSO procesos tecnológicos, para lo cual utilizo la metodología de análisis y gestión de

riesgos. Llegando a las siguientes conclusiones el implementar una política de seguridad

y que los colaboradores la conozcan e interiorizan, es de gran utilidad cuando se requiere

implementar cualquier sistema de gestión en una organización, ya que les da una visión

clara de como sus labores cotidianas aportan para el mantenimiento y mejora de un

sistema de gestión empresarial; aun después de implementar un buen sistema de gestión

de seguridad de información, en el futuro se presentan más activos de información, más

amenazas, vulnerabilidades y por lo tanto, mayores riesgos. Este escenario no se puede

evitar, es por ello que se concluye, que se debe estar preparado para actuar de manera

inmediata ante cualquier nueva vulnerabilidad que se identifique; diseñando e

implementando una buena metodología para gestionar los riesgos y ejecutando los planes

de tratamiento de riesgos planteados, se logra reducir a niveles aceptables gran porcentaje

de riesgos que afecten a los activos de información.

El factor humano es crítico para la implementación de cualquier sistema de gestión

organizacional es por ello que la formación y concientización de los mismos es

indispensable para lograr una implementación exitosa; muchas veces las empresas crecen
 13

de manera desordenada, crecen con paradigmas equivocados, algunos quieren

documentar todo lo que se pueda, otras creen que documentar los procesos es una pérdida

de tiempo. De lo anterior se concluye que la documentación de los procesos es una

herramienta poderosa para el mantenimiento y mejora de cualquier sistema de gestión

organizacional.

Antecedente 2:

Zeña V. (2015), Estándar Internacional ISO 27001 para la Gestión de Seguridad de la

Información en la Oficina Central de Informática de la UNPRG, para optar el titulo de

Ingeniero en Computación e Informática Lambayeque – Perú. Cuyo objetivo es aplicar el

estándar Internacional ISO 27001 para la Gestión de Seguridad Informática en el proceso

de Soporte de TI en la Oficina Central de Informática de la UNPRG, para lo cual utilizo

la metodología de tipo tecnológica – formal. Llegando a las siguientes conclusiones con

el Sistema de Gestión de Seguridad de la Información en el proceso de Soporte de TI de

la Oficina Central de informática - UNPRG, el nivel de riesgo se logra disminuir en

promedio de 6 a 4.4, lo que significa un 26.67%. El cual se logra después de haber

aplicado la metodología de análisis y evaluación de riesgos, finalizando con la

implementación de los controles de la ISO 27001, con lo cual se puede afirmar que el

nivel de riesgo ha disminuido; el riesgo disminuido se le considera riesgo residual, al cual

en un nuevo análisis se podrá implementar controles adicionales para su mitigación o

control total del riesgo; con la implementación del sistema de gestión de la seguridad de

la información se logra disminuir los controles aplicados inexistentes en 0.94% y en

consecuencia aumentar los controles aplicados existentes en 44.88 %. La cantidad de

controles aplicados inexistentes eran de 95 y con el estándar internacional ISO 27001 se

 14

logró reducir a 24. Así mismo, antes de aplicar el estándar internacional ISO 27001 se

contaban con 43 controles aplicados existentes, y con su implementación se logró

aumentar a 81 controles aplicados, en cuanto a los controles aplicados que se encontraban

parcialmente, éstos se redujeron a de 8 a 3. Entonces, los controles aplicados utilizando el

estándar internacional ISO 27001 han mejorado.

La identificación de los riesgos críticos como altos y muy altos son los riesgos que

ocasionaran pérdidas económicas en las empresas, a los cuales si no se implementa

controles de seguridad pueden ocasionar la caída total o parcial de la empresa; con la

implementación del sistema de gestión de la seguridad de la información se logra

disminuir el riesgo a pérdida económica en un 40%, permitiendo aumentar el riesgo

aceptable en un 46.67%, el riesgo aceptable son los considerados con un nivel de

criticidad media, baja o muy baja.

Antecedente 3:

Agurto, M. (2017), Diagnóstico de los activos de información de los procesos

implementados por el estándar ISO 9001 en el área QHSE de la empresa PISER S.A.C

Talara, basado en la norma ISO 27001, para obtener el título profesional de Ingeniero de

Sistemas. Cuyo objetivo es elaborar un diagnóstico de los activos de información de los

procesos implementados por el estándar ISO 9001 en el área QHSE basado en la norma

ISO 27001, para el cual utilizó la metodología de investigación no experimental, de tipo

descriptiva. Llegando a las conclusiones con la culminación de la presente investigación

se elaboró el diagnóstico de los activos de información de los procesos implementados,

revelando que existe la percepción de un alto número de incidentes de fuga y acceso

indebido a la información, y también existe una cantidad relativamente alta de equipos

 15

portátiles usándose en el área QHSE sin ningún control alguno por parte del personal

autorizado; dadas las reuniones con el responsable de la certificación del estándar ISO

9001, se puedo identificar los activos de información, actualizando y verificando a través

de las listas maestras de documentos internos y externos, listas maestras de registros del

SGC y finalmente se obtuvo un único formato de control de entrega de documentos, todo

eso por parte del estándar ISO 9001, constatando cada documento con firma y sello del

supervisor QHSE para su respectiva validez y aprovechamiento en el diagnóstico;

mediante la investigación se pudo determinar los indicadores de seguridad que presentan

inconvenientes en el área QHSE, enlazados con la

indisponibilidad de servidores y sistemas de información, por lo que es necesario

mejorar los mecanismos preventivos y correctivos de soporte, así

como los mecanismos de contingencia de seguridad de la información; por último el

diagnóstico de los activos de información es fundamental ya que nos hace dominar las

principales debilidades obtenidas en la investigación donde se mostró que existe un bajo

compromiso con la seguridad de la información, otra debilidad es que la documentación

del SGC podría ser usada por otras personas ajenas a el área QHSE y áreas estratégicas,

finalmente los controles de seguridad son a fin de superarlas y proponer una cultura de

seguridad de información que contribuya a proteger los activos de información del SGC.

Antecedente 4:

Vilca, E. (2017), Diseño e implementación de un SGSI ISO 27001 para la Mejora de

la seguridad del área de recursos humanos de la Empresa GEOSURVEY de la ciudad de

Lima, para otra el título profesional de ingeniero de sistemas e informática. Cuyo

objetivo es determinar la mejora de implementar un sistema de gestión de seguridad de la

 16

información para la seguridad del área de recursos humanos de la empresa

GEOSURVEY S.A, para el cual utilizo la metodología de enfoque cuantitativo, es

secuencial y probatorio, es preexperimental de pre y post prueba en el grupo de

investigación. Llegando a las conclusiones de ooptimizar los procesos de capacitación y

de formación de la seguridad en cuanto al uso de la información de la empresa; optimizar

los procesos de capacitación y de formación de la seguridad en cuanto al uso de los

equipos de la empresa; se logró una optimización en los procesos de capacitación y

formación de seguridad en cuanto al uso de la información en la empresa GEOSURVEY

tras la intervención; se logró una optimización en los procesos de capacitación y

formación de seguridad en cuanto al uso de los equipos en la empresa GEOSURVEY tras

la intervención; la intervención en la empresa GEOSURVEY resultó en una mejora del

sistema de gestión de seguridad de la información en su área de Recursos Humanos.

Antecedente 5:

Salinas, M. & Valencia, J. (2017), Sistema de Gestión de Seguridad de la Información

y riesgos de información en seis sedes de una entidad bancaria del Perú – Trujillo, para

optar el grado de maestro en Ingeniería de Sistemas con mención en Gerencia de

Sistemas de la Información. Cuyo objetivo es determinar la manera cómo un Sistema de

Gestión de Seguridad de la Información cuantifica los riesgos de la seguridad de la

información en seis sedes de una entidad bancaria del Perú, para lo cual utilizo la

metodología de tipo de investigación es descriptiva, de diseño no experimental, es

longitudinal, de manera sistemática, de método de investigación es cuantitativo. Llegando

a alas siguientes conclusiones, se diseñó un Sistema de Gestión de Seguridad de la

Información en seis sedes de una entidad bancaria del Perú, demostrando con esta
 17

propuesta la cuantificación de los riesgos de información que resultó hacer el estudio en

las seis sedes de la entidad bancaria, encontrando a un 50% el nivel de riesgo alto, 28%

riesgo medio y 22% el riesgo bajo en los usuarios como en los equipamientos de los

equipos en las áreas; se evaluó el proceso de gestión de riesgos en las seis sedes de una

entidad bancaria del Perú con la identificación de los activos, amenazas y

vulnerabilidades que nos ayudaron a encontrar los niveles de riesgo existentes en la

organización a través de la Evaluación y Cálculo del riesgo, niveles altos de riesgos

frente a las amenazas como en el robo de información en la cartera de clientes, celulares,

chat, correo, como también los accesos no autorizados, virus, cableado de equipos y robo

en los equipos de comunicación de red, etc., el cual se describe en la tabla V.2.5

Evaluación del riesgo por activo de información, donde se detalla cuáles se van a mitigar,

transferir, aceptar y evitar puesto que los niveles de riesgo alto están en un 50% de

impacto en la organización; se identificó las brechas existentes de seguridad, el uso de la

herramienta sistema de gestión de seguridad de la información determinó que solo se

tiene un 30% de cumplimiento en la seguridad de la información de las sedes de la

entidad bancaria, siendo los usuarios de Banca por Teléfono los que menos cumplen con

los objetivos y políticas de seguridad por falta de concientización y capacitaciones que no

cuenta la organización en sus objetivos para preservar la seguridad; se seleccionaron los

controles y objetivos de control de la seguridad de la información en las seis sedes de una

entidad bancaria del Perú por el uso del Sistema de Gestión de Seguridad de la

Información, con la versión de la norma ISO 27001:2005 los objetivos y controles como

propuesta a implementarse corresponden a las cláusulas de Seguridad Organizacional,

Gestión de activos, Seguridad en los recursos humanos, Seguridad física, Gestión de

 18

comunicaciones, Control de accesos, etc., aplicados según la tabla V.2.9: Declaración de

aplicabilidad del SGSI, objetivos de control y controles por la que serán mantenidos,

ejecutados y auditados bajo la aprobación de la Alta dirección por la misma entidad o por

un tercero.

A nivel local:

Antecedentes 1:

Callirgos J. & Utani E. (2017), Propuesta de un plan de gestión de seguridad de la

Información para el Tribunal Constitucional basada en la Norma Técnica Peruana: NTP –

ISO / IEC 27001: 2008 EDI. Tecnología de la Información, para optar el título de

Ingeniero Informático en la UNJFSC Huacho – Perú. Cuyo objetivo es reducir los riesgos

y vulnerabilidades del tribunal constitucional por la falta de un plan de gestión de

seguridad de la Información para el Tribunal constitucional basada en la norma Técnica

peruana: NTP – ISO / IEC 27001: 2008 EDI. Tecnología de la Información, para el cual

utilizó la metodología de diseño no experimental, nivel de investigación cualitativa, de

tipo descriptiva y enfoque de investigación documental enlazada con el objetivo del

proyecto. Llegando a las siguientes conclusiones de efectuar el diagnóstico del estado

inicial de la organización en relación al nivel de cumplimiento de cada uno de los

controles contemplados en la NTP – ISO / IEC 27001: 2008; se identificaron las

amenazas y vulnerabilidades de los activos de información de la institución; se

establecieron los controles aplicables al tratamiento a cada uno de los riesgos

identificados en la NTP – ISO / IEC 27001: 2008; la propuesta del plan de gestión de

seguridad de la Información para el Tribunal constitucional basada en la norma Técnica

peruana: NTP – ISO / IEC 27001: 2008 EDI. Sentó las bases para implementar, operar y
 19

auditar el sistema de gestión de seguridad de la información cumpliendo con las

exigencias para las entidades que forman parte del sistema nacional de informática.
 20

2.2. Bases teóricas

2.2.1. Seguridad de la información:

Guzmán () encontró lo siguiente:

La Seguridad de la Información, de acuerdo a la norma ISO 27000:20146, se define

como la preservación de la confidencialidad, integridad y disponibilidad de la

información. De acuerdo a la Asociación Española para la Calidad, la Seguridad de la

Información tiene como propósito la protección de la información y de los sistemas de la

información contra las amenazas y eventos que atenten con el acceso, uso, divulgación,

interrupción y destrucción de forma no autorizada. La información representa uno de los

activos más valioso de las organizaciones, lo que implica que es indispensable asegurar

su protección contra amenazas y eventos que puedan llegar comprometer su

confidencialidad, integridad y disponibilidad. La información puede existir en diferentes

medios tanto físicos como electrónicos, pero independientemente del medio, es necesario

que las organizaciones garanticen y aseguren la debida protección de la información

durante su recolección, almacenamiento, tratamiento y uso. La seguridad de la

información busca preservar la confidencialidad, integridad y disponibilidad de la

información mediante el establecimiento de un conjunto coherente de procesos, normas y

herramientas para la gestión eficaz de acceso a la información, y la implementación de

mecanismos y medidas de seguridad tanto físicas como lógicas, orientadas a la

prevención y detección de amenazas internas y externas que puedan atentar contra la

seguridad de la organización y la continuidad del negocio. La seguridad de la

información en una organización, es un proceso de mejora continua que demanda la

 21

participación activa de toda la organización y busca preservar, entre otros, los siguientes

principios de la información:

La confidencialidad, asegurando que solo las personas debidamente autorizadas

tengan acceso a la información.

La disponibilidad, asegurando que la información esté totalmente disponible para las

personas debidamente autorizadas cuando ellos la requieran.

La integridad, asegurando que la información no sea modificada sin la debida

autorización.

La autenticidad, con el propósito de garantizar la identidad de la persona que genera la

información. La autenticidad de la información, es la capacidad de asegurar que el emisor

de la información es quien dice ser y no un tercero que esté intentando suplantarlo.

El no repudio, con el propósito de conocer exactamente quienes son los actores que

participan en una transacción o una comunicación y no puedan negarlo en ningún

momento. El no repudio evita que el emisor o el receptor nieguen la transmisión de un

mensaje.

La trazabilidad, con el objetivo de poder monitorear o rastrear cualquier operación que

se realiza sobre la información desde su mismo origen.

La seguridad de la información dentro de las organizaciones, depende del nivel de

protección y seguridad de sus activos de información, por lo tanto, es fundamental la

implementación de medidas y controles de seguridad adecuados, y el permanente

monitoreo, revisión y mejora de los mismos de manera proactiva con el objetivo de

garantizar su efectividad (p.30, 31).

 22

2.2.2. Sistema de Gestión de Seguridad de la Información:

De acuerdo a Mosquera (2017) constituye lo siguiente, se puede dar como una

perspectiva sistemática, cuyo propósito principal es el de instaurar mecanismos de

gestión, que conlleven a la confidencialidad, integridad y disponibilidad de la

información por medio de un grupo de estándares seguros, cuyo objetivo sería el de

identificar cada uno de los sujetos que tienen relación con los sistemas informáticos que

este involucrados en los procesos de gestión de riesgos afines a la entidad. De este modo

se podría comprobar los controles de seguridad de una manera correcta para cada

componente que integran los activos informáticos tanto intangibles como tangibles (p.

27).

2.2.3. Activos intangibles

Estos activos se consideran como recursos inmateriales, tales como: El

conocimiento del saber hacer (Know How), las relaciones con los clientes, los

procesos operativos, tecnología de la información y bases de datos, capacidades,

habilidades y motivaciones de los empleados (Mosquera, 2017, p. 27).

2.2.4. Activos tangibles

De acuerdo a Mosquera (2017) constituye lo siguiente, estos activos son considerados

como recursos de naturaleza material, los cuales pueden ser distinguidos por el sentido o

a la vista humana, pueden ser: Materias primas y Stocks, el mobiliario, las maquinarias,

los terrenos, equipos informáticos, teléfonos, cableado de red, entre otros (p. 27).

2.2.5. Política y objetivos de seguridad:

Documento de contenido genérico que establece el compromiso de la dirección y el

enfoque de la organización en la gestión de la seguridad de la información.

 23

2.2.6. Análisis de riesgos informáticos:

De acuerdo a Camargo (2017) constituye lo siguiente, se define como el proceso por el

cual se identifican los activos informáticos de la entidad, permitiendo buscar las posibles

vulnerabilidades y amenazas a las que se puede estar expuesta la entidad, permitiendo así

identificar la probabilidad de ocurrencia y el impacto de cada una, permitiendo efectuar

los controles y medidas preventivas necesarios, con el fin de aceptar, transferir, mitigar el

riesgo identificado, de igual manera se podrá realizar un petulancia del impacto por

medio de la matriz de riesgo, para así poder identificar el riesgo total con la fórmula:

RT(Riesgo Total)=Probabilidad * Impacto Promedio (p. 28).

Enfoque de evaluación de riesgos: Descripción de la metodología a emplear (cómo se

realiza la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos

en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo

de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.

Importancia de la gestión de riesgos de seguridad de la información para la entidad:

Reduce los riesgos, amenazas y vulnerabilidades que afectan a los activos de información de la

institución.

Garantiza la confidencialidad, integridad y disponibilidad de la información.

Busca lograr la confiabilidad en la información de la Oficina Central de Informática.

Previene riesgos y gestiona incidentes de seguridad de información.

Fomenta la cultura de seguridad de información en la Oficina Central de Informática.

Protege la información contra los riesgos de destrucción, pérdida, divulgación, malversación y

no disponibilidad.
 24

Estándar Internacional ISO 27001

ISO 27001, (2005), este Estándar Internacional ha sido preparado para proporcionar un

modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema

de Gestión de Seguridad de la Información (SGSI). La adopción de un Sistema de Gestión de

Seguridad de la Información debe ser una decisión estratégica para una organización. El diseño e

implementación del mismo en una organización es influenciado por las necesidades y objetivos,

requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización.

Este Estándar Internacional puede ser utilizado por entidades internas y externas para evaluar la

conformidad.

Calder, A. (2006), indica que este es el más reciente, más moderna y actualizada versión

internacional estándar para un sistema de gestión información. Independiente del proveedor y de

una especificación de seguridad de la tecnología. Está diseñado para su uso en organizaciones de

todos los tamaños (con intención de ser aplicable a todas las organizaciones, independientemente

de los tipos, tamaño y naturaleza) y en todos los sectores en cualquier parte del mundo.

FASES DE LA ISO 27001:

Según ISO 27001, (2005) indica que la ISO cumple con las siguientes fases:

P (Plan): A través del cual se establece el SGSI

D (Do): A través del cual se implementa y opera el SGSI

C (Check): A través del cual se monitorea y revisa el SGSI

A (Act): A través del cual se mantiene y mejora el SGSI

 25

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

(MAGERIT)

El análisis de riesgo es un elemento imprescindible en la implementación del Sistema de

Gestión de Seguridad de la Información para el Servicio de Soporte de TI, además de ser un

requerimiento de la ISO 27001, permitiendo identificar los riesgos que deben ser gestionados de

manera más inmediata. El modelo de administración de riesgos de seguridad de información

consta de un proceso continuo de 4 fases principales que permite medir y manejar los riesgos de

seguridad de información en un nivel aceptable. La presente metodología está basada en Magerit

v3.0, y en el estándar ISO 27001:2005.

La metodología de Gestión del Riesgo se ha dividido en 4 partes:

Inventario de Activos de Información

Análisis del Riesgo

Evaluación del Riesgo

Tratamiento del Riesgo

Seguridad informática

Existen diferentes definiciones de la seguridad informática como:

La seguridad puede entenderse como aquellas actividades y/o reglas técnicas, destinadas a

prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño,

ya sea de manera personal, grupal o empresarial. En este sentido, es la información el elemento

principal a proteger, resguardar y recuperar dentro de las redes empresariales.

Seguridad Informática es también un estado de equilibrio con el entorno (conjunto de

metodologías, documentos, programas y dispositivos físicos) que, para ser mantenido, requiere
 26

de la implantación de medidas auto - regulatorias continuas de protección, que respondan con

acciones correctivas a las amenazas.

De este modo se logrará que los recursos de cómputo disponibles en un ambiente dado, sean

accedidos única y exclusivamente por las personas autorizadas. Consiste en establecer en que

aspectos de la información requieren protección, para ello será necesario valorizar los datos de

los sistemas informáticos. La seguridad de la información se logra implementando un conjunto

adecuado de controles, que abarca: políticas, prácticas, procedimientos, estructuras

organizacionales y funciones del software. La seguridad informática es importante por la

existencia de personas ajenas a la información, también conocidas como piratas informáticos o

hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.

Ellos pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier

compañía; de acuerdo con expertos en el tema, alrededor del 70 por ciento de las violaciones e

intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste

conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es

decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la

organización.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que

cuentan la mayoría de las empresas, y porque no existe conocimiento relacionado con la

planeación de un esquema de seguridad eficiente, que proteja los recursos informáticos de las

actuales amenazas combinadas.

 27

Elementos de la Seguridad Informática

Confidencialidad. El sistema contiene información que requiere protección contra la

divulgación no autorizada. Por ejemplo, datos que se van a difundir en un momento determinado

(como, información parcial de informes), información correspondiente al Despacho del ministro

y de Alta Dirección.

Integridad. El sistema contiene información que debe protegerse de modificaciones no

autorizadas, imprevistas o accidentales. Por ejemplo, información contable y sistemas de

transacciones financieras, Resolución de Multas y Sanciones, Licencias de Conducir, Licencias

de uso del espectro radioeléctrico.

Disponibilidad. El sistema contiene información o proporciona servicios que deben estar

disponibles puntualmente para satisfacer requisitos o evitar pérdidas importantes. Por ejemplo,

sistemas esenciales de seguridad, Servicio de Correo electrónico por medio del cual se envía

información voluminosa, sistemas de trámite documentarlo o licencias de conducir.

Amenazas al Sistema

Se entiende por amenaza una condición del entorno del sistema de información, persona,

máquina, suceso o idea que, dada una oportunidad, podría dar lugar a que se produjese una

violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). La

política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de ser

contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y

mecanismos de seguridad necesarios.

Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un

flujo de información desde una fuente, como por ejemplo un fichero o una región de la memoria

principal, a un destino, como por ejemplo otro fichero o un usuario.

 28

Las amenazas afectan principalmente al Hardware, al Software y a los Datos.

Las cuatro categorías generales de amenazas o ataques son las siguientes:

Interrupción. - Un recurso del sistema es destruido o se vuelve no disponible. Este es un

ataque contra la disponibilidad, su detección es inmediata. Ejemplos de este ataque son la

destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o

deshabilitar el sistema de gestión de ficheros, borrado de programas y datos, fallos en el sistema

operativo.

Intercepción. - se entiende, como el acceso a la información por parte de personas no

autorizadas, uso de privilegios no adquiridos, es un ataque contra la confidencialidad, el atacante

no altera la comunicación, sino que únicamente la escucha o monitorea, para obtener

información que está siendo transmitida, son muy difíciles de detectar, ya que no provocan

ninguna alteración de los datos, no deja huellas.

Ejemplos de este ataque son: pinchar una línea para hacerse con datos que circulen por la red,

escucha en línea de datos y la copia ilícita de ficheros o programas (intercepción de datos), o

bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los

usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).

Modificación. - cuando una entidad no autorizada no sólo consigue acceder a un recurso, sino

que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son:

el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma

diferente y modificar el contenido de mensajes que están siendo transferidos por la red.

Fabricación. - cuando una entidad no autorizada inserta objetos falsificados en el sistema.

Este es un ataque contra la autenticidad, el delito es de falsificación. La detección es muy difícil.

 29

Ejemplos de este ataque son: añadir transacciones en la red, la inserción de mensajes espurios en

una red o añadir registros en base de datos.

Requerimientos de Seguridad

Es esencial identificar los requerimientos de seguridad, según la Norma ISO 17799, existen

tres recursos principales para lograrlo.

El primer recurso consiste en evaluar los riesgos que enfrenta la organización. Mediante la

evaluación de riesgos se identifican las amenazas · a los activos, se evalúan las vulnerabilidades

y probabilidades de ocurrencia, y se estima el impacto potencial.

El segundo recurso está constituido por los requisitos legales, normativos, reglamentarios y

contractuales que deben cumplir la organización, sus socios comerciales, los contratistas y los

prestadores de servicios.

El tercer recurso es el conjunto específico de principios, objetivos y requisitos para el

procesamiento de la información, que ha desarrollado la organización para respaldar sus

operaciones.

Tipos de Riesgo

Un riesgo es la probabilidad de que se materialice una amenaza, se clasifican en diferentes

tipos:

Errores Humanos. - motivados por el desconocimiento o por un simple descuido, son una de

las principales causas de pérdida de información.

Fallos de los equipos. - afectan básicamente a la disponibilidad del sistema pudiendo

provocar también una pérdida de información.

Robo de la información contenida en el sistema o durante la transmisión. Puesto que el robo,

normalmente, no supone la destrucción de la información original, el sistema no se verá afectada.

 30

Sus consecuencias serán de otro tipo: económicas, tácticas o quizás una amenaza contra la

intimidad de las personas.

Virus. - las consecuencias de que un virus entre en el sistema, con la posible destrucción de

información y el invertir un tiempo para eliminarlo.

Sabotaje. - a un sistema informático, puede estar dirigido contra la información en forma de

destrucción o manipulación, o también tener como objetivo la destrucción de los equipos, por lo

que puede afectar, tanto a la disponibilidad del sistema como a la integridad de la información

contenida.

Fraude. - manipular la información con el fin de obtener un beneficio es lo que se conoce

como fraude informático. Este tipo de fraude, frecuente hace unos años en entidades 9

financieras, es en la actualidad poco común por las avanzadas medidas de seguridad que se

emplean. Sin embargo, en otros entornos donde no es factible establecer medidas tan

sofisticadas, es un riesgo que debe tenerse en cuenta.

Desastres Naturales. - los desastres naturales como inundaciones, incendio, terremotos, etc.

suelen tener consecuencias nefastas para los sistemas: daños en los equipos, pérdida de

información y falta de disponibilidad. La ubicación y la geografía, son los factores que

determinan el riesgo que se corre frente a cada desastre.

Políticas de Seguridad Informática.

Tiene por objetivo definir las expectativas del MTC respecto al uso adecuado de los equipos

de cómputo y de la red, así como definir los procedimientos para prevenir y responder a los

incidentes de seguridad.

Debe ajustarse a las políticas, normas, regulaciones y leyes existentes.

Comprende la evaluación de las amenazas potenciales y los riesgos.

 31

Comprende la prevención y detección de virus y programas maliciosos.

Debe crearse un procedimiento de Auditoria que revise el uso de la red y servidores de forma

periódica.

Definición de responsabilidades generales y específicas en materia de gestión de la seguridad

de la información.

Auditoria

Capacidad de determinar qué acciones o procesos se han llevado a cabo en el sistema, quien y

cuando las han llevado a cabo. Se logra manteniendo un registro de las actividades del sistema y

que esté protegido contra modificación. Para determinar si ha existido violación a la política de

seguridad se analizan los eventos (logs), que vienen incluidos con el sistema operativo, ficheros

de registro entre otros.

2.3. Definiciones conceptuales de términos

Activos de información

Según la ISO 27001 los activos son los recursos del Sistema de Seguridad de la Información

ISO 27001, necesarios para que la empresa funciones y consiga los objetivos que se ha propuesto

la alta dirección.

El los activos se encuentran relacionados, directa o indirectamente, con las demás entidades.

Vulnerabilidades

La vulnerabilidad de un activo de seguridad es la potencialidad o la posibilidad de que se

materialice una amenaza sobre el activo de información.

 32

2.4. Formulación de las hipótesis

2.4.1. Hipótesis general

La implementación de la seguridad de la información con la ISO 27001 mejorará la

seguridad informática en la Oficina de Servicios Informáticos en la Universidad Nacional

José Faustino Sánchez Carrión, Huacho.

2.4.2. Hipótesis especificas

La confiabilidad en la implementación de la seguridad de la información de la ISO

27001 mejora la seguridad informática en la Oficina de Servicios Informáticos en la

Universidad Nacional José Faustino Sánchez Carrión, Huacho.

La ejecución en la implementación de la seguridad de las informaciones la ISO 27001

mejora la seguridad informática en la Oficina de Servicios Informáticos en la Universidad

Nacional José Faustino Sánchez Carrión, Huacho.

El control en la implementación de la seguridad de la información la ISO 27001

mejora la seguridad informática en la Oficina de Servicios Informáticos en la Universidad

Nacional José Faustino Sánchez Carrión, Huacho

 33

CAPITULO III

3. METODOLOGÍA

3.1. Diseño metodológico

El diseño de la investigación hace explícitos los aspectos operativos de la misma es

decir el cómo se abordar a metodológicamente la investigación.

Es el tipo de investigación se define con base en el objetivo del diseño de la

investigación se define con base del procedimiento el diseño alude al proceso de

recolección de datos que permita el invento un investigador lograr la validez interna de la

investigación es decir generar un alto grado de confianza en las conclusiones generadas

conclusiones que van en consonancia con los objetivos establecidos en ese sentido del

diseño constituye el área de con el contexto del entorno la dimensión del espacio temporal

que se convierte en fuente de información para el investigador la investigación Good

corresponde en un diseño una investigación no experimental.

3.1.1. Tipo

El estudio corresponde a una investigación de tipo descriptiva pues las características

del objeto de estudio no están modificables lo que no implica la manía de manipulación

de liberada de variables y el investigador no tiene control sobre esta y tiene la capacidad

de influir sobre ellas sólo observar los fenómenos en su ambiente natural para después

analizarlos.

Nivel

Entendiendo el concepto del nivel de investigación de una naturaleza de la

información que se recoge para responder al problema de investigación en alcance de los

partidos en investigación cualitativa.

 34

3.1.2. Enfoque

La indagación está apoyada y una investigación documental en la zaga directamente con el

objetivo del proyecto.

3.2. Población y muestra

Población

La entidad en estudio de la población vendrá a ser la universidad Nacional José

Faustino Sánchez Carrión.

Muestra

Dado que la investigación estará circunscrita a la oficina de tecnología de información

de la universidad nacional José Faustino Sánchez Carrión la misma que administra la

información existente en las bases de datos de la institución la muestra la constituirá en

los activos de información de la institución que gestiones de oficina.

Actualmente existen en promedio … empleados entre alumnos, docentes y

administrativos; los cuales 25 pertenecen al área de informática, distribuidos entre grupos

de desarrolladores, infraestructura, base de datos, soporte, los cuales estarán en el proceso

del desarrollo de la investigación propuesta.

3.3. Operacionalización de variables

3.4. Técnicas e instrumentos de recolección de datos

3.4.1. Técnicas a emplear

Se recurrirá a información obtenida mediante análisis documental de la normativa en

materia de seguridad de gestión de información de entrevistas reuniones de

asesoramiento técnico especializado en el Tema en estudio.

 35

3.4.2. Descripción de los instrumentos

Documentación: que documentado los diferentes aspectos respecto a las que tiene

seguridad de la información en Universidad Nacional paso de los años corrió la oficina de

servicios informáticos que tiene su cargo la administrar la información existente en las

bases de datos establecer mi aplicando mecanismo de seguridad para su custodia

interinidad recuperación y acceso autorizado de acuerdo a las normas técnicas y legales

vigentes ha facilitado documentación pertinente.

Entrevistas: se han efectuado entrevistas con las diferentes áreas de usuarios y en

particular al personal de la oficina de servicios informáticos de la universidad de ciudad

José Faustino Sánchez Carrión como el principal responsable de los temas de seguridad

informática y seguridad de la información de la universidad para establecer la apreciación

sobre las debilidades respecto a la gestión de la seguridad de la información vigente en

institución.

Encuestas: a fin de conocer las inquietudes de las deficiencias en la organización en

lo referente al sistema de gestión de seguridad de la información super expectativas sobre

innovar y mejorarlos están y controles de riesgo.

 36

CAPITULO IV

4. RECURSOS Y CRONOGRAMA DE LA INVESTIGACIÓN

4.1. Recursos (humanos, materiales)

4.1.1. Humanos: Están considerados los integrantes de esta tesis, el docente del curso (teórico y

práctico) y el asesor, durante todo el desarrollo de la tesis.

Autor, encuestador y digitador:

Agüero Ocaña, Leslie Katherine

4.1.2. Económicos:

Como recursos económicos tenemos a un grupo de apoyo y los integrantes del grupo

de trabajo en el desarrollo de la tesis. Los gastos que demande el desarrollo de la presente

tesis serán financiados en su totalidad por los tesistas.

4.1.3. Materiales / Equipos:

Laptop

Internet

Impresora

USB

Papel Bond

Útiles de escritorio

Fotocopias

Movilidad

Viáticos

Transporte
 37

4.2. Presupuesto

COSTO COSTO TOTAL

DESCRIPCIÓN UNIDAD CANTIDAD
UNITARIO S/ S/
1. MATERIALES

  Libros de Especialidad - 4 120.00 480.00

  Lapiceros - 6 5.00 30.00

  Corrector - 2 5.00 10.00

  Hojas Bond 500 hojas 2 15.00 30.00

  Cuaderno - 2 30.00 60.00

  Tinta para impresión Cartucho 4 80.00 320.00

  Dispositivos de Almacenamiento USB 1 50.00 50.00

Total de Materiales S/ 980.00
2. SERVICIOS

  Impresión del Proyecto hoja 200 0.50 100.00

  Copias del Proyecto hoja 400 0.10 40.00

  Espiralados libro 2 3.00 6.00

  Impresión de Borradores hoja 250 0.50 125.00

  Copias de Borradores hoja 1000 0.10 100.00

  Espiralados libro 5 3.00 15.00

  Impresión de Tesis hoja 400 0.50 200.00

  Empastado de Tesis libro 2 25.00 50.00

  Internet - 12 70.00 840.00

  Telefonía - 12 50.00 600.00

  Viaticos - - - 4,000.00
Total de Servicios S/ 6,076.00
3. SERVICIO ESPECIALIZADOS
 38

  Costos de Matricula - - - 500.00

1,500.0
2
  Ciclo de Estudios - 0 3,000.00
Total de Servicios Especializados S/ 3,500.00
SUB - TOTAL S/ 10,556.00
4. IMPREVISTOS: 10% (Sub-Total) S/ 1,055.60
PRESUPUESTO TOTAL S/ 11,611.60
 4.3. Cronograma de actividades

CRONOGRAMA DE ACTIVIDADES
MESES
2021 2022
N° ACTIVIDADES
OCT NOV DIC ENE FEB MAR ABR MAY JUN JUL AGO SET OCT
1° 2° 3° 4° 5° 6° 7° 8° 9° 10° 11° 12° 13°
1 Elaboración del Proyecto de Tesis                          
2 Presentación del Proyecto de Tesis                          
3 Aprobación del Proyecto de Tesis                          
4 Elaboración de los Instrumentos                          
5 Aplicación de los Instrumentos                          
6 Procesamiento y Análisis de Datos                          
7 Redacción del Informe Fianl                          
8 Revisión y Reajuste del Informe Final                          
9 Presentación del Informe Final                          
10 Aprobación del Informe Final                          
 BIBLIOGRAFÍA

Zeña, V. (2015), Estándar Internacional ISO 27001 para la Gestión de seguridad de la

información en la Oficina central de informática de la UNPRG.

Recuperado de:

http://repositorio.unprg.edu.pe/bitstream/handle/UNPRG/166/BC-TES-3899.pdf?

sequence=1&isAllowed=y

Vilca, E. (2017), Diseño e implementación de un SGSI ISO 27001 para la mejora de la

seguridad del área de recursos humanos de la empresa GEOSURVEY de la ciudad de

Lima.

Recuperado de:

http://repositorio.udh.edu.pe/bitstream/handle/123456789/809/T_047_43087253_T.pdf?

sequence=1&isAllowed=y

Agurto, M. (2017), Diagnóstico de los activos de información de los procesos

implementados por el estándar ISO 9001 en el área QHSE de la empresa PISER S.A.C

Talara, basado en la norma ISO 27001.

Recuperado de:

http://repositorio.ucv.edu.pe/bitstream/handle/UCV/11917/agurto_cm.pdf?

sequence=1&isAllowed=y

Camargo, J. (2017), Diseño de un sistema de gestión de la seguridad de la Información

(SGSI) en el área tecnológica de la comisión Nacional del Servicio Civil - CNSC basado en

la norma ISO 27000 e ISO 27001.

Recuperado de:

https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/

10596/11992/1/75104100.pdf
 41

Guzmán, C. (2017), Diseño de un Sistema de Gestión de Seguridad de la Información

para una Entidad Financiera de Segundo Piso.

Recuperado de:

http://repository.poligran.edu.co/bitstream/handle/10823/654/Proyecto%20de%20Grado

%20SGSI%20-%20IGM-%20CarlosGuzman%20%28FINAL%29.pdf?

sequence=1&isAllowed=y