Facultad de Ingeniería

Ingeniera de Sistemas e Informática

Tesis

“Implementación de un Sistema de Gestión de Seguridad de la Información

para mejorar la Seguridad de la Información en una empresa MYPE - 2021”

Alex Richar Silva Guerrero

para optar el Título Profesional de

Ingeniero de Sistemas e Informática

Asesor: Yackeline Bautista Flores

Lima – Peru

Marzo del 2022

 DEDICATORIA

A Dios, por fortalecerme día a día,

iluminar mi mente y guiar mi camino.

A mis padres Jaime V. Silva Boza y

Rosaura Guerrero Velásquez, por regalarme

la dicha de ser una persona de bien y haber

sido los pilares fundamentales de mi educación.

Alex Richar Silva Guerrero

II
 AGRADECIMIENTOS

Agradezco a Dios, a mi familia, a mis profesores

y a todas las personas que me apoyaron en mi proceso

de aprendizaje.

Alex Richar Silva Guerrero

III
 ÍNDICE GENERAL
RESUMEN ..............................................................................................................................XI

ABSTRACT ........................................................................................................................... XII

INTRODUCCIÓN ..................................................................................................................... 1

CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA .......................................................... 3

1.1. DESCRIPCIÓN DE LA REALIDAD PROBLEMÁTICA .............................................. 3

1.1.2. Alcance ..................................................................................................................... 5

1.1.3. Limitaciones ............................................................................................................. 5

1.2. FORMULACIÓN DEL PROBLEMA ................................................................................ 5

1.2.1. Problema general ...................................................................................................... 5

1.2.2. Problemas específicos............................................................................................... 6

1.3. DETERMINACIÓN DE OBJETIVOS ............................................................................... 6

1.3.1. Objetivo General....................................................................................................... 6

1.3.2. Objetivos Específicos ............................................................................................... 6

1.4. HIPÓTESIS ............................................................................................................................ 6

1.4.1. Hipótesis General ..................................................................................................... 6

1.4.2. Hipótesis Específicos................................................................................................ 7

1.5. JUSTIFICACIÓN DE LA INVESTIGACIÓN .................................................................. 7

1.5.1. Teórica ...................................................................................................................... 7

1.5.2. Práctica ..................................................................................................................... 8

1.5.3. Metodológica ............................................................................................................ 8

1.6. DELIMITACIÓN DEL ESTUDIO ..................................................................................... 8

1.6.1. Espacial..................................................................................................................... 8

1.6.2. Temporal................................................................................................................... 8

1.6.3. Conceptual ................................................................................................................ 8

CAPÍTULO II: MARCO TEÓRICO ....................................................................................... 10

2.1. ESTADO DEL ARTE .......................................................................................................... 10

IV
 2.2. BASES TEÓRICAS ............................................................................................................. 14

2.2.1. Sistema de Gestión de Seguridad de la Información – SGSI ................................. 14

2.2.1.1. Elementos de Gestión de la seguridad de los sistemas de información............... 14

2.2.1.2. Etapas de madurez de un SGSI en una empresa .................................................. 18

2.2.2. Seguridad de la Información – SI ........................................................................... 20

2.2.3. La Norma ISO/IEC 27001:2013 ............................................................................. 25

2.2.3.1. Historia de la Norma............................................................................................ 26

2.2.3.2. Estructura de la Norma ........................................................................................ 27

2.2.3.3. Ciclo Deming PHVA Y SGSI ............................................................................. 28

2.2.4. Estándar ISO/IEC-27002 o ISO/IEC-17799........................................................... 29

2.2.5. Norma Técnica Peruana NTP-ISO/IEC 27001:2014 .............................................. 29

2.2.6. MAGERIT .............................................................................................................. 30

2.2.6.1. Activos de la SI.................................................................................................... 30

2.2.6.2. Análisis y Valoración de los Riesgos .................................................................. 31

2.2.6.3. Gestión y Tratamiento de los Riesgos. ................................................................ 31

2.2.6.4. Seguimiento y Revisión. ...................................................................................... 31

2.2.7. Metodología PHVA - Ciclo de mejora continua .................................................... 32

2.2.7.1. Fases del Ciclo de mejora continua – PHVA ...................................................... 32

2.2.8. Fundamentos para la Dirección de Proyecto PMBOOK 6ta edición. .................... 33

CAPÍTULO III: METODOLOGÍA DE INVESTIGACIÓN ................................................... 34

3.1. DISEÑO DE INVESTIGACIÓN ....................................................................................... 34

3.1.1. Diseño ..................................................................................................................... 34

3.1.2. Tipo......................................................................................................................... 34

3.1.3. Enfoque................................................................................................................... 35

3.1.4. Población ................................................................................................................ 36

3.1.5. Muestra ................................................................................................................... 37

3.1.6. Operacionalización de Variables ............................................................................ 38

V
 3.2. INSTRUMENTOS DE INVESTIGACIÓN / HERRAMIENTAS ................................. 44

3.2.1. Técnicas .................................................................................................................. 44

3.2.2. Instrumentos ........................................................................................................... 44

3.3. METODOLOGÍA DE LA IMPLEMENTACIÓN DE LA SOLUCIÓN ....................... 45

3.3.1. Selección de la metodología ................................................................................... 45

3.3.2. Desarrollo de la metodología .................................................................................. 47

3.4. CRONOGRAMA DE ACTIVIDADES ............................................................................. 55

3.5. PRESUPUESTO ................................................................................................................... 56

CAPÍTULO IV: DESARROLLO DE LA SOLUCIÓN .......................................................... 58

4.1. PROPUESTA DE SOLUCIÓN .......................................................................................... 58

4.2. ANÁLISIS Y RESULTADOS ............................................................................................ 82

CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES ........................................... 110

5.1. CONCLUSIONES .............................................................................................................. 110

5.2. RECOMENDACONES ..................................................................................................... 111

REFERENCIAS ..................................................................................................................... 113

ANEXOS ............................................................................................................................... 115

ANEXO 1: MATRIZ DE CONSISTENCIA .......................................................................... 115

ANEXO 2: ACTA DE CONSTITUCIÓN DEL PROYECTO ............................................. 117

ANEXO 3: ALCANCE DEL SGSI ......................................................................................... 121

ANEXO 4: FICHA PARA EL CONTROL DE DOCUMENTOS ....................................... 125

ANEXO 5: FICHA DE ENTREVISTA .................................................................................. 127

ANEXO 6: INFORME DE ANÁLISIS DEL ESTADO ACTUAL ..................................... 133

ANEXO 7: INFORME DE COSTO BENEFICIO ................................................................. 138

ANEXO 8: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ................................ 139

ANEXO 9: IDENTIFICAR ACTIVOS DE INFORMACIÓN ............................................. 143

ANEXO 10: INVENTARIO Y VALORACIÓN DE ACTIVOS DE INFORMACIÓN ... 144

VI
ANEXO 11: MANUAL DE GESTIÓN DE RIESGOS Y OPORTUNIDADES ............... 145

ANEXO 12: INFORME DE RIESGOS DE LOS ACTIVOS DE INFORMACIÓN ......... 149

ANEXO 13: TRATAMIENTO DE LOS RIESGOS Y ESTABLECIMIENTO DE

CONTROLES ............................................................................................................................. 159

ANEXO 14: RESULTADOS DE LA FICHA DE ENTREVISTA POST

IMPLEMENTACIÓN DEL SGSI. .......................................................................................... 170

ANEXO 15: FICHA DE OBSERVACIÓN ............................................................................ 175

VII
 ÍNDICE DE FIGURAS

Figura 1. Relación entre componentes de la gestión de la seguridad. .................................... 17

Figura 2. Modelo para la Gestión de la Seguridad de la Información .................................... 18

Figura 3. Niveles de madurez del SGSI en una organización ................................................. 19

Figura 4. Seguridad de la información según la norma ISO/IEC 17799. ............................... 20

Figura 5. Seguridad de la Información. .................................................................................. 21

Figura 6. Niveles de básico de la seguridad ............................................................................ 24

Figura 7. Uso de principales tecnologías de información y comunicación de las empresas,

2017.......................................................................................................................................... 24

Figura 8. Empresas, principales usos de internet, 2017 .......................................................... 25

Figura 9. Historia de la Norma ............................................................................................... 26

Figura 10. Estructura de la Norma de la cláusula 4 a la 10 .................................................... 27

Figura 11. Ciclo Deming PHVA Y SGSI ............................................................................... 28

Figura 12. Modelo genérico PDCA para la gestión de la seguridad ....................................... 29

Figura 13. Decisiones de tratamiento de los riesgos ............................................................... 31

Figura 14. Fases del ciclo PHVA aplicada para a todos los procesos del SGSI. .................... 32

Figura 15. Relación entre grupos de procesos y áreas de conocimientos ............................... 33

Figura 16. Diagrama de infraestructura red actual de la empresa ........................................... 59

Figura 17. Diagrama de infraestructura red para la implementación del SGSI. ..................... 69

VIII
 ÍNDICE DE TABLAS

Tabla 1. Operacionalización de Variable Independiente ......................................................... 38

Tabla 2. Operacionalización de Variable Dependiente ............................................................ 42

Tabla 3. Cronograma de actividades del trabajo de investigación ........................................... 55

Tabla 4. Recursos Servicios .................................................................................................... 56

Tabla 5. Recursos Hardware/Físicos........................................................................................ 56

Tabla 6. Recursos Software/Lógicos ....................................................................................... 56

Tabla 7. Recursos Materiales ................................................................................................... 57

Tabla 8. Cronograma del SGSI ................................................................................................ 62

Tabla 9. Cálculo del nivel del Riesgo ...................................................................................... 74

Tabla 10. Nivel de aceptación del Riesgo ................................................................................ 74

IX
 ÍNDICE DE ECUACIONES

Fórmula 1. Porcentaje de controles que preserven la confidencialidad ................................... 97

Fórmula 2. Porcentaje de incidentes de seguridad que afectan la confidencialidad de la

información. ............................................................................................................................. 98

Fórmula 3. Porcentaje de controles que preserven la integridad ........................................... 100

Fórmula 4. Porcentaje de incidentes de seguridad que afectan la integridad de la información.

................................................................................................................................................ 101

Fórmula 5. Porcentaje de controles que preserven la disponibilidad..................................... 104

Fórmula 6. Porcentaje de eventos afectan la disponibilidad de la información. .................... 105

X
 RESUMEN

De acuerdo con cifras de la Enaho, en 2020, las mypes representaron el 95% de las

empresas peruanas y emplearon a un 26.6% de la Población Económicamente Activa - PEA,

esto se debe a la actitud y capacidad emprendedora de los peruanos. A su vez la información

que manejan las empresas es un factor clave la ellas, desde hace varios años se considera a la

información como un activo debido a la importancia que esta tiene para las empresas, pero no

todas las empresas le dan la misma importancia, por lo que muchas empresas presentan algún

tipo de incidente o daño que afectan a los diversos activos de información que poseen,

generando diversos problemas dentro de las mismas. Es por ello, que el objetivo de la

presente investigación es implementar un Sistema de Gestión de Seguridad de la Información

o SGSI, de esta manera mejorar la Seguridad de la Información o SI en una empresa MYPE.

En el cual, se empleó la NTP-ISO/IEC 27001:2014, la cual establece una serie de

lineamientos para gestionar de manera adecuada el SGSI mediante el ciclo de mejora

continua y el enfoque a riesgos, en consecuencia, se logró mejorar la SI dentro de la empresa,

esto debido a la implementación del SGSI, mediante el compromiso de todas las personas

involucradas y el cumplimiento de los lineamientos establecidos en la documentación

requerida del presente trabajo de investigación. Así mismo se concluye que la norma

mencionada anteriormente brinda los lineamientos adecuados para preservar la

confidencialidad, integridad y disponibilidad de los activos de información, de esta garantizar

la SI dentro de la empresa.

Palabras Clave: Sistema de Gestión de Seguridad de la Información, Seguridad de la

Información, Activos, mejora continua, riesgos.

XI
 ABSTRACT

According to Enaho figures, in 2020, mypes represented 95% of Peruvian companies and

employed 26.6% of the Economically Active Population - PEA, this is due to the attitude and

entrepreneurial capacity of Peruvians. In turn, the information that companies handle is a key

factor for them, for several years information has been considered an asset, due to the

importance it has for companies, but not all companies give it the same importance. That is

why the objective of this research work is to implement an Information Security Management

System - ISMS, in this way enhance the Information Security SI in a MYPE company. In

which, the NTP-ISO/IEC 27001:2014 was used, which establishes a series of guidelines to

adequately manage the ISMS through the continuous improvement cycle and the risk

approach, consequently, it was possible to improve the IS within the company, this due to the

implementation of the ISMS, through the commitment of all the people involved and

compliance with the guidelines established in the required documentation of this research

work. Likewise, it is concluded that the aforementioned standard provides the appropriate

guidelines to preserve the confidentiality, integrity and availability of information assets, in

order to guarantee the IS within the company.

Keywords:

Information Security Management System, Information Security, Assets, continuous

improvement, risks.

XII
 INTRODUCCIÓN

En la actualidad, el uso de las herramientas tecnológicas es elemental para el desarrollo y

logro de los objetivos de las empresas, mediante el uso de estas herramientas tecnológicas se

gestionan más fácil sus procesos, actividades y tareas, lo que permite que puedan procesar,

trasmitir y almacenar información, de esta manera la información se convierte en un factor

clave para las empresas, se debe entender que la información y los medios que la contienen se

encuentran expuestos a diversos tipos de riesgos, que pueden ser internos o externos y se

deben gestionar de manera correcta respecto a las necesidades y recursos de la empresa.

Es importante asegurar la información que se tiene dentro de la empresa, es por ello, que

se va a implementar un Sistema de Gestión de Seguridad de la Información o SGSI en una

empresa MYPE, mediante la NTP-ISO/IEC 27001:2014, la cual va permitir gestionar los

activos y los riesgos a los cuales se encuentran expuestos de una manera adecuada, a través

de la implementación de controles, de esta manera poder preservar la Confidencialidad

Integridad y Disponibilidad de la información o también llamada CID por sus siglas.

Para conseguir lo mencionado, el presente trabajo está formado por los siguientes capítulos:

- Capítulo I. Planteamiento del problema, se establece la situación real de la empresa,

se realiza la formulación del problema, se determinan los objetivos e hipótesis,

también se determina el alcance, la justificación y la delimitación del estudio

abarcado.

- En el Capítulo II. Marco Teórico, En este capítulo se busca hallar algunos

antecedentes sobre la investigación y fundamentar de manera conceptual las variables

de investigación, también se describen las metodologías que posiblemente se van

aplicar en el desarrollo de la solución propuesta.

1
- Capítulo III. Metodología de Investigación, se describe el diseño y los instrumentos

utilizados en la investigación, también se describe la metodología seleccionada para

desarrollar los objetivos particulares que tratan sobre el objeto de estudio.

- Capítulo IV. Propuesta de Solución, se refleja la propuesta de solución en base a la

metodología que se seleccionó y los entregables que se generan en cada fase, así

mismo como contribuyen a alcanzar los resultados para la solución del problema.

- Capítulo V. Conclusiones y Recomendaciones, se menciona las conclusiones y

recomendaciones de acuerdo a los objetivos específicos, también del análisis de los

resultados finales que de realizo en el trabajo de investigación

Todo conforme a las referencias citadas y anexos vinculados a la investigación.

2
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA

1.1. DESCRIPCIÓN DE LA REALIDAD PROBLEMÁTICA

El desenvolvimiento de las actividades económicas en el Perú se sustenta en

gran parte a las micro y pequeñas empresas (mypes), las cuales han sido afectadas

por la emergencia sanitaria del COVID-19 así mismo, muchas empresas se han

visto obligadas a hacer un mayor uso de las diversas tecnológicas, permitiéndoles a

las empresas seguir trabajando de manera remota, de este modo seguir accediendo a

los distintos sistemas y servicios que brinda la empresa, es así que algunos de sus

procesos han sufrido transformaciones, el uso de las diversas tecnologías permite a

las empresas poder optimizar sus procesos, mejorar la productividad, reducir

costos, entre otros beneficios, pero al mismo tiempo también pueden representar un

gran peligro si no se implementan de manera correcta.

Las herramientas tecnológicas pueden procesar, transferir y almacenar

información la cual es de vital importancia para las empresas, del mismo modo que

la información que están en los diversos medios físicos, es por ello que las

empresas consideran que la información es un activo fundamental que debe ser

protegido, para ello se debe preservar su confidencialidad, integridad y

disponibilidad para garantizar la continuidad de su negocio, desde hace varios años

las empresas están poniendo más énfasis en la seguridad de la información de este

modo poder proteger sus activos de información de una manera adecuada.

La empresa mype ha crecido considerablemente en el último año, debido al

incrementado sus ventas y con ello los procesos y actividades que vienen

desarrollando, también se ha implementado diversos equipos tecnológicos para

mejorar sus procesos y actividades, además con el crecimiento de la empresa se ha

3
vuelto más complicado tener los sistemas de información debidamente

implementados, tener información organizada y confiable.

Debido al crecimiento abrupto de la empresa, la empresa ha tenido diversos

problemas respecto a la seguridad de la información como problemas de seguridad

respecto a sus sistemas de información, el cual ha sido afectado por virus

maliciosos (ransomware) lo cual generó la perdida de la información,

incumplimientos de contratos lo que generó sanciones económicas, también ha

tenido problemas con ciertos trabajadores debido a la manipulación y el mal uso de

la información al que estos tenían acceso, ya que estos trabajadores tenían acceso a

información sensible debido a que la información estaba expuesta y al cual no

debían tener acceso, actualmente se tienen muchas deficiencias en cuanto a la

seguridad de la información, ya que la empresa se ha visto afectada por muchos

hechos inusuales que perjudican a la empresa como la perdida de información,

perdida en la continuidad del servicio a los clientes, pérdidas económicas,

reducción de productividad, incumplimiento de carácter legal entre otros, todo ello

genera deficiencias en el crecimiento de la empresa, lo que hace que la continuidad

de sus servicios y operaciones se vean afectada. Si bien es cierto, las tecnologías

brindan un gran soporte para las empresas, pero también puede generar riesgos de

alto impacto sino se gestiona de manera adecuada, la información es considerada

como uno de los activos más importantes de las empresas ya que, tener información

confiable permite tomar decisiones de manera oportuna y el robo, divulgación,

eliminación, manipulación o modificación de la información puede ser devastadora

para la empresa, es por ello, que se busca mejorar la seguridad de la información

dentro de la empresa mype, para preservar la confidencialidad, integridad y

disponibilidad de los activos de información de la empresa.

4
 1.1.2. Alcance

El alcance de la presente investigación tiene como propósito mejorar la

Seguridad de la Información o SI en una empresa MYPE, pero debido al corto

tiempo para la implementación se está considerando el “Proceso de Tecnologías de

la Información - TI”, en el cual se implementará un Sistema de Gestión de

Seguridad de la Información o SGSI, el propósito es implementar un modelo de

trabajo basado en buenas prácticas y en estándares internacionales los cuales

servirán de guía.

 Se debe conocer e identificar cuáles son los activos de información más

importantes o principales para el proceso mencionado, así como su valoración

de los mismos.

 Se debe hacer un análisis de los riesgos que puedan afectar a los activos de

información, sean internos o externos.

 Se debe elaborar la Política y procedimientos de SI que corresponde al

“Proceso de Tecnologías de la Información”.

 Se debe elaborar la documentación requerida para el establecimiento del SGSI.

1.1.3. Limitaciones

 El presente trabajo a implementar será realizado por 3 personas y en un tiempo

de 5 meses, lo cual limita a involucrar otros procesos de la empresa, es por ello

que solo se realiza la implementación del SGSI al Proceso de Tecnologías de

la Información.

1.2. FORMULACIÓN DEL PROBLEMA

1.2.1. Problema general

 ¿De qué manera se puede mejorar la SI en una empresa MYPE - 2021?

5
 1.2.2. Problemas específicos

 ¿Determinar de qué manera la implementación del SGSI puede preservar la

confidencialidad de los activos de información, para mejorar la SI en una

empresa MYPE - 2021?

 ¿Determinar de qué manera la implementación del SGSI puede preservar la

integridad de los activos de información, para mejorar la SI en una empresa

MYPE - 2021?

 ¿Determinar de qué manera la implementación del SGSI puede preservar la

disponibilidad de los activos de información, para mejorar la SI en una

empresa MYPE - 2021?

1.3. DETERMINACIÓN DE OBJETIVOS

1.3.1. Objetivo General

 Implementar un SGSI para mejorar la SI en una empresa MYPE – 2021.

1.3.2. Objetivos Específicos

 Determinar cómo la implementación del SGSI preserva la confidencialidad

de los activos de información, para mejorar la SI en una empresa MYPE –

2021.

 Determinar cómo la implementación del SGSI preserva la integridad de los

activos de información, para mejorar la SI en una empresa MYPE – 2021.

 Determinar cómo la implementación del SGSI preserva la disponibilidad de

los activos de información, para mejorar la SI en una empresa MYPE –

2021.

1.4. HIPÓTESIS

1.4.1. Hipótesis General

1. La implementación del SGSI mejorará la SI en una empresa MYPE – 2021.

6
 1.4.2. Hipótesis Específicos

 La implementación del SGSI preservará la confidencialidad de los activos

de información, para mejorar la SI en una empresa MYPE – 2021.

 La implementación del SGSI preservará la integridad de los activos de

información, para mejorar la SI en una empresa MYPE – 2021.

 La implementación del SGSI preservará la disponibilidad de los activos de

información, para mejorar la SI en una empresa MYPE – 2021.

1.5. JUSTIFICACIÓN DE LA INVESTIGACIÓN

Actualmente, la información es una activo muy importante para las empresas, y

gestionar los riesgos a los cuales se encuentran expuestos dichos activos es

importante para las mismas, es por ello, que la empresa busca poder preservar la

confidencialidad, integridad y disponibilidad de los activos de información, para

garantizar la continuidad de los servicios y actividades que realiza la empresa.

Es de vital importancia para la empresa salvaguardar la información y los

medios que la contienen, en ese sentido, la presente investigación indica la

relevancia de la implementación de un SGSI, la cual brinda los lineamientos y

procedimientos necesarios para identificar las amenazas y vulnerabilidades a los

que están expuestos los activos de información, para posteriormente aplicar los

controles y así poder asegurar la información, de esta manera mejorar la SI en una

empresa MYPE.

1.5.1. Teórica

La presente investigación se realiza con la intención que se brinde una correcta

implementación del SGSI, en base al marco teórico y a las metodologías

seleccionadas, de esta manera minimizar los riesgos que pueden tener implicancias

de nivel estratégico, operacional, económico, reputacional y regulatorio. Además

7
 de esta manera demostrar que los lineamientos y procedimientos implementados

por el SGSI es parte de un proceso estratégico del negocio el cual ayuda que los

trabajadores, los procesos y la tecnología se alineen a los objetivos del negocio.

1.5.2. Práctica

Ante la importancia de la implementación del SGSI en las empresas, la presente

investigación se lleva a cabo porque se requiere mejorar la SI de manera eficiente,

la cual garantice a las empresas una adecuada gestión del riesgo.

1.5.3. Metodológica

La elaboración del presente trabajo de investigación y su aplicación, se realiza a

través del enfoque de la Norma Técnica Peruana NTP-ISO/IEC 27001:2014, la

cual tiene como referencia a la ISO/IEC 27001, la cual establece una serie de

cláusulas que brindan los lineamientos para el SGSI, además para Villaseca (2019)

la Norma ISO 27001:2013 trabaja con el ciclo de mejora continua PHVA, la cual

mediante fases permite preservar la SI.

1.6. DELIMITACIÓN DEL ESTUDIO

1.6.1. Espacial

La presente investigación se realizó en una empresa MYPE, para el proceso de

TI, la cual se encuentra ubicada en la región de Lima, en la provincia de Lima y en

el distrito de San Martin de Porres.

1.6.2. Temporal

El desarrollo de la investigación ha sido realizado entre los meses de junio y

diciembre del 2021.

1.6.3. Conceptual

Se tiene dos variables en el trabajo de investigación:

8
La variable independiente, Sistema de Gestión de Seguridad de la Información es

la solución al problema planteado y la variable dependiente, Seguridad de la

Información es el problema actual.

9
CAPÍTULO II: MARCO TEÓRICO

2.1. ESTADO DEL ARTE

Se describirá de forma general algunos artículos científicos y trabajos de investigación

académica, los cuales están relacionados con la implementación de un SGSI, con la

finalidad de brindar la mejor solución al trabajo de investigación.

En los últimos años, el uso de las tecnologías han sido las herramientas

complementarias para las empresas y soporte de las mismas, ya que, les permite realizar

sus actividades y tareas de una manera más eficiente. En su artículo de investigación de

Zuña “et al.” (2019) indican que las pequeñas y medianas empresas dependen cada vez

más de las tecnologías, lo que a su vez se encuentran expuestas a ciberataques lo que en

muchos casos genera pérdidas económicas muy fuertes causadas por ataques como el

phishing o malware, debido a que no implantan un método de detección temprana ,ya

que no le dan la importancia que se requiere, indica que las empresas consideran que

invertir en ciberseguridad es un gasto innecesario, es por ello, que plantea que hacer un

análisis sobre el manejo y la protección de la información es muy importante en las

pequeñas y medianas. Del mismo modo para V. Gil (2017) y J. Gil (2017) consideran

que la seguridad en el uso de las herramientas tecnológicas permite a las empresas

proteger sus recursos económicos, reputacionales, la situación legal y otros bienes

tangibles como intangibles, es por ello que garantizar la SI es una tarea vital para las

empresas del sector público o privado, además indican que las empresas no se preocupan

por implementar medidas de seguridad informática, por ende no consideran o no tienen

en cuenta los riesgos a los que pueden estar expuestos, es por ello que buscan desarrollar

un modelo de simulación que pueda permitir evaluar la seguridad reduciendo riesgo y

obtener mayores beneficios empresariales. Por otro lado, para Espinoza “et al.” (2020)

indican que existen factores de crecimiento en las micro y pequeñas empresas en la

10
industria del calzado en la ciudad de Trujillo, en el cual consideran a la tecnología como

un factor externo de crecimiento, debido a la carencia de la tecnología en sus procesos.

Por lo mencionado anteriormente se considera que la tecnología es un componente

importante para el desarrollo y crecimientos de las micro y pequeñas empresas, pero al

hacer uso de las herramientas tecnológicas y se debe de considerar los riesgos a los

cuales se encuentran expuestos, de esta manera salvaguardar nuestra información y no

caer en pérdidas económicas, perdidas de información, problemas legales entre otros.

Así mismo, en los últimos años los ciberdelitos se han ido incrementado, esto debido a

que cada vez se hace más uso de las tecnologías y a la pandemia acelero el uso de las

tecnologías en las empresas públicas y privadas para que puedan mantenerse. Ballesteros

(2020) indica que la crisis del COVID-19 puso en evidencia las vulnerabilidades de los

sistemas informáticos debido al incremento del teletrabajo, las ventas online, el

intercambio de correos, indica que se debe ser consciente a los riesgos a los que se puede

estar expuesto, ya que los ciberdelincuentes buscan robar información mediante diversas

vulnerabilidades, los ciberdelitos más comunes son el Ransomware, Phishing e

ingeniería social y malware, además indica que la ciberseguridad tratar de minimizar los

riesgos, para ello se debe definir un mapa de riesgos para identificar las amenazas

potenciales, la probabilidad y el impacto que podría ocasionar, de ahí se debe hacer una

lista de los riesgos según la importancia. Además, indica que es importante hacer una

reflexión de la ciberseguridad en nuestra empresa, de ahí poder evaluar si se requiere

tiempo y esfuerzo para analizar los riesgos y reforzar la seguridad. Del mismo modo

León (2020) indica trabajar desde cualquier lugar fuera de la empresa, tiene como

principal medio el uso de las tecnologías (con ello el uso de los dispositivos

informáticos, redes, internet, trasmisión de datos, entre otros), el teletrabajo tiene como

principal reto garantizar la SI de una empresa, es decir, que las actividades se den de

11
forma segura, además, indica que el teletrabajo es una estrategia alternativa al trabajo

presencial, para mitigar los riesgos a la pandemia por el COVID-19, sin embargo, la SI

de las organizaciones no han estado preparadas para la implementación de estas

estrategia alternativa, también indica que es necesario la concientización de los

trabajadores, pues ellos son la principal brecha de entrada de los ciberdelincuentes,

indica también que es importante las buenas prácticas de SI en las organizaciones dando

una solución integral para administrar, preservar y proteger de manera eficiente los

recursos de la organización, es importante tener conexiones seguras que garanticen la

seguridad de la información. Para Sánchez “et al.” Indican que las vulnerabilidades

informáticas se han ido incrementando debido a la creciente interconexión global,

además los ataques informáticos comprometen la CID de la información, tanto las

pequeñas y medianas empresas pymes o grandes empresas enfrentan los mismos

problemas de ciberseguridad, sin embargo, las pymes no siempre tienen los recursos

necesarios para afrontar los riesgos y para los directivos de las pymes la ciberseguridad

no es prioridad, considerando que la seguridad informática es un problema de las grandes

empresas, indican que es importante identificar las vulnerabilidades y para ello diseñan

una herramienta que realiza la búsqueda automática de vulnerabilidades, también

mencionan que una mala gestión de riesgos en las organizaciones puede ocasionar

fuertes impactos económicos. Por otro lado, el Department for Digital, Culture, Media &

Sport (Departamento de Digital, Cultura, Medios y Deporte) en su Cyber Security

Breaches Survey 2020 ( Encuesta de brechas de seguridad cibernética 2020) indican que

las amenazas a la seguridad cibernética han evolucionado y se han vuelto más frecuentes,

además indican que el 46 % de las empresas informan haber sufrido violaciones o

ataques de seguridad cibernética en los últimos meses, entre el 46% de las empresas una

de cada cinco (19%) experimenta un resultado material, perdida de datos o dinero y dos

12
de cada cinco (39%) se vieron afectadas negativamente, los principales tipos de ataques

que se mantienen constantes desde el 2017 son el Phishing, Malware y Ransomware. Por

lo mencionado anteriormente, las empresas deben ser más conscientes de la relevancia de

los riesgos y que es importante asegurar la comunicación entre los diversos equipos

informáticos y concientizar a los trabajadores respecto a la SI.

Hoy en día la SI es un factor importante para las organizaciones ya sean del sector

público o privado, ya que como se ha visto anteriormente la información es un activo

fundamental y es por ello que muchas empresas optan por el uso de la ISO 27001 para

una implementación adecuada del SGSI, tanto así que el en Perú el Instituto Nacional de

Calidad – INACAL ha adoptado la ISO/IEC 27001:2013 aprobando el uso obligatorio de

la Norma Técnica Peruana “NTP ISO/IEC 27001:2014, para las entidades integrantes del

Sistema Nacional de Informática, para garantizar un correcto SGSI, el cual se publicó en

El Peruano, además en muchas organizaciones y empresas a nivel nacional e

internacional se ha visto un mejor control de los riesgos. Es por ello que para el presente

trabajo de investigación se utilizara la Norma Técnica mencionada como guía de buenas

prácticas, ya que brinda los lineamientos para una implementación eficiente del SGSI.

Además, en el Perú como en otros países existe la Ley de Protección de Datos Personales

- Nº 29733, la cual fue publicada también el Diario Oficial El Peruano, la presente Ley

tiene el objeto de garantizar el derecho fundamental a la protección de los datos

personales, a través de su adecuado tratamiento. Dentro del contexto de la ley indica que

habrá sanciones a las entidades que no cumplan con lo estipulado en la ley, es por ello

que en la actualidad muchas empresas públicas y privadas están implementando

controles necesarios para cumplir con dicha ley, y de esa manera evitar las sanciones de

carácter legal.

13
Por todo lo mencionado anteriormente, es muy importante implementar un SGSI en la

empresa MYPE, de esta manera poder preservar la CID de la información.

2.2. BASES TEÓRICAS

2.2.1. Sistema de Gestión de Seguridad de la Información – SGSI

Según Areitio (2008) considera que un SGSI garantiza la respuesta y la capacidad

de recuperación de los activos de información mediante la disuasión, protección y

detección de los activos de información de esta manera asegurar la CID de los

activos, también indica que para tener un buen SGSI debe ser un ciclo cerrado donde

se inicia con la prevención y reducción de las amenazas y vulnerabilidades, la

detección y contención de los incidentes, mediante controles o salvaguardas, si

existiera algún tipo de daño se debe corregir e implementar las medidas

correspondientes, luego se debe empezar el ciclo nuevamente donde se inicia con la

prevención.

2.2.1.1. Elementos de Gestión de la seguridad de los sistemas de información

Según Areitio (2008) indica que hay varios elementos involucrados como:

a. Identificación de todos los activos: Para Areitio (2008) los activos son el

personal, los equipos de hardware y software, suministros, entre otros, así

como también existen los activos intangibles como la imagen, la

credibilidad de la organización, además indica que los activos no

protegidos exigen una valoración del riesgo aceptable, así mismo su

valoración intrínseca cuantitativa y/o su valoración en función de la

pérdida de la CID.

b. Identificación de amenazas a los activos: Para Areitio (2008) una amenaza

puede causar un incidente no deseado, el cual puede provocar perdidas o

daños en la organización, indica que las amenazas puede estar relacionada

14
 con el contexto de la organización, pueden ser ambientales y culturales,

además, tienen ciertas características que puede ser de origen interno o

externo, las cuales pueden tener algún tipo de motivación como algún

beneficio económico, sabotaje de parte de algún empleado, robo de

contraseñas, entre otros, además tienen una frecuencia y una severidad.

c. Identificación de vulnerabilidades: Para Areitio (2008) una vulnerabilidad

es la posibilidad de ocurrencia de la materialización de una amenaza

sobre algún activo, además indica que una vulnerabilidad por sí misma no

causa ningún daño, las vulnerabilidades son debilidades que pueden

explotarse y generar una consecuencia no deseada.

d. Identificación de impactos: Para Areitio (2008) el impacto es la

consecuencia de la materialización de una amenaza sobre algún activo,

como la perdida de información, perdida de la confidencialidad y

disponibilidad, peligro en la integridad de los sistemas de información, a

su vez, estas consecuencias tienen impactos de manera indirecta, ya que

pueden generar pérdidas económicas, daño en la imagen de la empresa,

sanciones legales, entre otros. La estimación del impacto permite

establecer una proporcionalidad entre las consecuencias y el costo de los

controles.

e. Identificación del riesgo: Para Areitio (2008) indica que el riesgo se

caracteriza por dos factores: 1) la probabilidad de que ocurra el incidente

no deseado y 2) su impacto, así mismo indica que el entorno del riesgo es

cuando una amenaza o grupo de amenazas puedan explotar la

vulnerabilidad o vulnerabilidades de un activo o grupo de activos, de este

modo cause perdidas o daños en la empresa.

15
f. Aplicación de salvaguardas: Para Areitio (2008) también son conocidas

como controles o contramedidas, los cuales pueden ser procedimientos o

algún dispositivo físico o lógico que protege de cierta forma los activos

contra alguna amenaza, con el sentido de reducir las vulnerabilidades y

minimizar el impacto de algún incidente. El entorno en que la empresa

opera influye en la selección de los controles, es importante seleccionar

controles o salvaguardas que no sean ofensivas para la sociedad o cultura

en la que la empresa trabaja, así mismo es importante la concienciación

del personal, así puedan entender y la relevancia de las medidas de

seguridad que se han considerado.

g. Identificación de riesgos residuales: Para Areitio (2008) esto significa que

se debe conocer que riesgos se mantienen a pesar que se ha implementado

las salvaguardas o controles para la atenuación de dichos riesgos, se debe

entender que los riesgos solo son atenuados de forma parcial por los

controles, si existirán riesgos residuales se debe analizar si éstos son

aceptables para la empresa y que a mayor protección el costo que se

genera es más grande, si existiera la decisión de asumir el riesgo residual

debe ser asumida por el propietario del activo que es quien asume las

consecuencias.

h. Limitaciones: Para Areitio (2008) consiste en conocer cuáles son las

restricciones que existen en el entorno, que podrían afectar a las

amenazas, riesgos, controles y al sistema de seguridad, las limitaciones

deben ser reconocidas y establecidas por la dirección de la organización,

estas pueden ser organizativas, financieras, legales, ambientales, técnicas,

personal, de tiempo, entre otras, además indica que se deben considerar

16
 estos factores cuando se seleccionan e implementan los controles y que

periódicamente se debe revisar nuevas limitaciones y las que ya existen

para poder identificar posibles cambios, y que estas limitaciones pueden

cambiar con el tiempo, evolución social o con la cultura de la

organización.

Figura 1. Relación entre componentes de la gestión de la seguridad.

Nota. Fuente: Areitio Bertolin J. (2008). Seguridad de la información. Redes,

informática y sistemas de información. p.22

Para Gómez (2014) los aspectos que se deben considerar para implantar un

SGSI dentro de la organización son los siguientes:

 Se debe formalizar la gestión de la SI.

 Se debe gestionar los riesgos.

 Se debe establecer procesos de gestión de la seguridad siguiendo la

metodología PDCA.

 Certificación de la gestión de seguridad

17
 En estos procesos mencionados es indispensable considerar un ejemplo que

contenga los elementos organización, de tecnología, humanos y de marco legal.

Figura 2. Modelo para la Gestión de la Seguridad de la Información

Nota. Fuente: Gómez Vieites Á. (2014). Enciclopedia de la Seguridad

Informática. p.54

2.2.1.2. Etapas de madurez de un SGSI en una empresa

Para Gómez (2014) los niveles de madurez se conforman por 4 niveles:

• Nivel 1. Implantación de medidas básicas de seguridad por “sentido común”.

Estas están relacionadas con las medidas de accesibilidad a los recursos

informáticos, respaldos de seguridad entre otros, así mismo se debe entender

que muchas empresas están en este nivel, en donde aplican medidas mínimas

de seguridad y que pueden ser deficientes para respaldar una correcta gestión

del riesgo.

• Nivel 2. Adaptación a los requisitos del marco legal y de las exigencias de los

clientes.

En este nivel es necesario tomar conciencia con cumplir las exigencias de

las normas y legislaciones vigentes (proveedores, clientes e instituciones).

18
 • Nivel 3. Gestión integral de la SI.

Se debe gestionar con un diseño completo e integrado la SI, mediante la

definición de políticas, creación de planes y procedimientos, la gestión del

riesgo y un plan de acción ante incidentes para la continuidad del negocio.

• Nivel 4. Certificación de la seguridad de la información.

Se lleva como proceso final la certificación de la SI, para lograr el

reconocimiento de las buenas prácticas implementadas en la empresa, con el

fin de poder acreditarlo antes terceros (empresas e instituciones privadas y/o

públicas), para esto, se requiere la certificación ISO 27001.

Figura 3. Niveles de madurez del SGSI en una organización

Nota. Fuente: Gómez Vieites Á. (2014). Enciclopedia de la Seguridad

Informática. p.55

2.2.1.3. Sistema de Gestión

Para Villaseca (2019) en términos de SI, un sistema de gestión proporciona los

requisitos de seguridad tanto de las partes interesadas como de los clientes,

permite mejorar las actividades de la empresa, cumplir con el aspecto legal y con

los objetivos de la SI de la empresa, así mismo permite que los activos de

19
 información se gestionen de forma organizada, lo cual permite su mejora continua

y adaptación a futuros eventos o cambios en la empresa, para ello utiliza diversos

recursos que ayudan cumplir con las metas y objetivos de la empresa.

2.2.2. Seguridad de la Información – SI

Gómez (2014) define la SI como la preservación de su Confidencialidad, su

Integridad y su Disponibilidad - CID. Según la información que maneja las

organizaciones y de los procesos de las mismas, se puede dar una mayor

importancia a garantizar el CID de sus activos de información.

Figura 4. Seguridad de la información según la norma ISO/IEC 17799.

Nota. Fuente: Gómez Vieites Á. (2014). Enciclopedia de la Seguridad

Informática. p.39

Del mismo modo, para Villaseca (2019) la SI incluye tres dimensiones principales

que son el CID, de esta manera poder garantizar la sostenibilidad empresarial. La SI

se consigue con la implementación de controles, que son elegidos mediante el proceso

de gestión de riesgos, que se haya seleccionado por medio del SGSI.

20
Figura 5. Seguridad de la Información.

Fuente: Villaseca Hernández A. (2019) Certiprof Certified ISO 27001 Auditor /

Lead Auditor (I27001A/LA) p.14

Para una mejor compresión, se debe considerar diversos temas respecto a la

seguridad de la información, para ello se mencionan algunos temas referentes.

2.2.2.1. Gobierno de la seguridad de la información

La seguridad de la información ha evolucionado desde la norma ISO-17799,

para Reyes “et al.” Indican que la seguridad de la información se consigue

mediante un sistema de gestión y un gobierno efectivo, el cual debe estar

implementado y puesta en práctica, para ello, es importante considerar los

elementos y las acciones necesarias para el desarrollo de la estrategia de

seguridad de la información, además mencionan que es difícil considerar que una

empresa u organización no cuente con tecnologías de la información y que

cualquier daño a la confidencialidad o integridad de la información puede ser

devastador o el no contar con información oportuna, indican que el gobierno de la

21
seguridad de la información debe ser parte del gobierno global de las empresas u

organizaciones con el fin de mantener la continuidad de sus servicios y la

importancia del gobierno es la creciente dependencia y los sistemas que procesan

información, con ello los riesgos asociados, los beneficios y oportunidades que

dichos recursos representan, de este modo la seguridad de la información es parte

vital en todo ámbito de la empresa y minimiza los riesgos y perdidas de eventos

relacionados a la seguridad, además mencionan que es importante manejar ciertos

conceptos como confidencialidad, integridad y disponibilidad, al igual que

conceptos de identificación, autorización, gestión de riesgos, entre otros. También

indican que un buen gobierno de SI realiza evaluaciones anuales para evaluar la

seguridad que protege a los activos de información, se debe realizar el análisis de

riesgos y las políticas ser revisadas periódicamente y que para ello se pueden

alinear a la norma internacional ISO/IEC 27001 la cual brinda buenas prácticas

para la gestión de la seguridad de la información, así mismo mencionan que las

estrategias adoptadas consisten fundamentalmente en [1] alineación estratégica a

la organización, [2] eficaz administración de riesgos, [3] Entrega de valor, [4]

Administración de recursos. [5] Medición del desempeño y [6] Mejora continua.

2.2.2.2. Evaluación de riesgos, amenazas y vulnerabilidades

Para Romero “et al.” Indican que para mejorar la seguridad de una empresa se

debe considerar ciertos factores como los recursos que hacen referencia a los

bienes tangible como (los servidores de la empresa, equipos de red,

computadoras, entre otros) y bienes intangibles como (la información de la

empresa, investigaciones, patentes entre otros), con los cuales se desarrolla o

realizan las actividades de la empresa, el riesgo es la probabilidad de que algo

22
negativo pueda dañar los recursos tangibles o intangibles por lo cual se impide el

desarrollo del trabajo que se realiza, las amenazas son sucesos que pueden dañar

los procedimientos o recursos, vulnerabilidades son los fallos de los sistemas de

seguridad o pueden ser ocasionados por los usuarios que pueden permitir que una

amenaza se materialice causando algún daño en los recursos, además indican que

se debe considerar al riesgo como la probabilidad por el impacto de que una

amenaza se concrete aprovechándose de una vulnerabilidad.

2.2.2.3. Importancia de la seguridad

Areitio (2008) indica que los sistemas de información son cada vez más

dominantes debido a que son un elemento central en el desarrollo de la sociedad y

su aplicación está en casi todas las dimensiones como en los gobiernos,

cuestiones militares, transacciones financieras, comercios, entre otros, es por ello,

que se hace imprescindible la necesidad de la seguridad y su aplicación abarca

todo el ciclo de vida de los productos o unidades de negocio, menciona que la

seguridad es un proceso continuo y multidimensional y puede observarse en

diversos planos de la sociedad como en una comunidad, en una organización, en

un sistema, en un producto o servicio. El desarrollo e implantación de las

tecnologías de la información y las comunicaciones TIC, han transformado el

modo de actuar y las relaciones en todos los ámbitos, como la posibilidad de

procesar, trasmitir y almacenar información, indica que la adecuada gestión de

la seguridad de la información es de vital importancia para la supervivencia de la

organización siendo los objetivos principales de la seguridad la disponibilidad,

integridad, confidencialidad, responsabilidad y confiabilidad.

23
 Figura 6. Niveles de básico de la seguridad

Nota. Fuente: Areitio Bertolin J. (2008). Seguridad de la información. Redes,

informática y sistemas de información. p.5

2.2.2.4. Tecnologías

El Instituto Nacional de Estadística e Informática INEI indica que las grandes,

medianas y pequeñas empresas desarrollaron alguna actividad durante el 2017,

en dicho año se registraron 82 mil 249 empresas de las cuales el 94.2% de las

empresas hicieron uso de computadoras, el 92,6% uso de los servicios de

internet, el 93.3% de telefonía móvil y el 89,7 de telefonía fija, entre otros datos

Figura 7. Uso de principales tecnologías de información y comunicación de las

empresas, 2017.

Fuente: Instituto Nacional de Estadística e Informática – Encuesta económica

Anual 2018

24
 En cuanto al uso de la Red LAN que conecta a las computadoras en un área

predeterminada y pequeña es del 63.6% utilizaron dicho servicio de red, en

cuanto al personal contratado el 56.9% utilizo una computadora y el 56.5%

usaron internet en sus labores de trabajo, a continuación se muestra los

principales usos de internet en porcentajes.

Figura 8. Empresas, principales usos de internet, 2017

Fuente: Instituto Nacional de Estadística e Informática – Encuesta económica

Anual 2018

2.2.3. La Norma ISO/IEC 27001:2013

En la Norma ISO/IEC 27001:2013 ISO (Organización Internacional para la

Normalización) e IEC (Comisión Electrotécnica Internacional) indica que esta

norma se ha elaborado para brindar los requisitos para establecer, implementar

mantener y mejorar de forma continua el SGSI e indica que un SGSI es una

decisión estratégica.

El SGSI preserva la CID de la información mediante la gestión del riesgo,

otorgando a las partes interesadas la credibilidad necesaria sobre la correcta gestión

25
de los riesgos, lo cual ayudara a minimizar y mitigar los riesgos, aun mas cuando

hoy en día en las empresas se depende tanto de los datos de la información.

El SGSI debe estar incluido dentro de los procesos de la organización y su

implementación debe acomodarse a los recursos y necesidades de la organización.

En la Norma ISO/IEC 27001:2013 se describe cómo administrar la SI en las

organizaciones, esta norma puede llevarse a cabo en cualquier tipo de empresa ya,

pequeña o grande, del sector privado o estatal, además, fue escrita por

especialistas internacionales desatacados en temas de seguridad. La ISO/IEC

27001 tiene un enfoque orientado a los procesos de negocio y a la gestión del

riesgo.

2.2.3.1. Historia de la Norma

Figura 9. Historia de la Norma

Fuente: Villaseca Hernández A. (2019) Certiprof Certified ISO 27001 Auditor /

Lead Auditor (I27001A/LA) p.14

26
2.2.3.2. Estructura de la Norma

La norma ISO/IEC 27001:2013 contiene 10 cláusulas, de las cuales las cláusulas

1, 2 y 3 solo tienen los conceptos generales de la norma, pero las cláusulas

aplicables de esta norma son de la 4 a la 10.

 Estructura de la Norma de la cláusula 1 a la 3

1. Objeto y campo de aplicación

2. Normas para consulta

3. Términos y definiciones

 Estructura de la Norma de la cláusula aplicable de la 4 a la 10.

Figura 10. Estructura de la Norma de la cláusula 4 a la 10

27
Fuente: Villaseca Hernández A. (2019) Certiprof Certified ISO 27001 Auditor /
Lead Auditor (I27001A/LA) p.18

2.2.3.3. Ciclo Deming PHVA Y SGSI

Para Villaseca (2019) en su libro muestra un gráfico donde La Norma ISO/IEC

27001:2013 trabaja con el Ciclo de mejora continua PHVA.

Figura 11. Ciclo Deming PHVA Y SGSI

Fuente: Villaseca Hernández A. (2019) Certiprof Certified ISO 27001 Auditor /

Lead Auditor (I27001A/LA) p.18

28
2.2.4. Estándar ISO/IEC-27002 o ISO/IEC-17799

Para Areitio (2008) en su libro indica que el estándar británico BS7799 o también

conocido como la norma ISO/IEC-27002 o ISO/IEC-17799 para la Gestión de la

Seguridad fue publicada en dos partes. [1] BS7799-1 (1999) la cual brinda buenas

prácticas de la SI y describe los elementos claves para garantizar la

implementación de la seguridad. [2] BS7799-1 (1999) menciona los requisitos

los cuales permiten establecer, implementar y documentar un sistema de gestión

de la seguridad, formado la base para la valoración del SGSI. También indica que

dicha norma trabaja bajo el modelo PDCA para la gestión de seguridad.

Figura 12. Modelo genérico PDCA para la gestión de la seguridad

Nota. Fuente: Areitio Bertolin J. (2008). Seguridad de la información. Redes,

informática y sistemas de información. p.90

2.2.5. Norma Técnica Peruana NTP-ISO/IEC 27001:2014

La NTP-ISO/IEC 27001:2014 utiliza como antecedente a la norma ISO/IEC

27001:2013 y menciona que ha sido elaborada para brindar los requisitos de

establecer, implementar, mantener y mejorar continuamente un SGSI, el cual a su

vez indica que es una decisión estratégica para las organizaciones, además

menciona que el establecimiento e implementación de un SGSI debe estar

alineado a sus recursos, necesidades y al cumplimiento de los objetivos. También

indica tiene un enfoque a riesgos los cuales deben estar orientados a las

29
 necesidades de la organización y se aprecia la metodología de mejora continua

que permite gestionar el SGSI de manera eficiente.

2.2.6. MAGERIT

2.2.6.1. Activos de la SI.

Según (MAGERIT, 2012) Los activos se pueden desglosar en diversos

grupos, esto depende de su naturaleza.

• En el 1er. grupo encuentran los servicios, son los procesos de negocio de la

organización.

• En el 2do grupo están los datos e información que maneja la organización.

• En el 3er grupo están las aplicaciones de software.

• En el 4to grupo están los equipos informáticos.

• En el 5to grupo está formado por el personal interno y externo a la

organización.

• En el 6to grupo se encuentran las redes de comunicaciones que dan soporte

para el movimiento de la información.

• En el 7mo grupo lo conforman los soportes de información, estos permiten

su almacenamiento.

• En el 8vo grupo está conformada por el equipo auxiliar que da soporte a los

sistemas de información.

• Y el último grupo se encuentran las instalaciones como oficinas, edificios o

vehículos.

También hay que considerar aquellos activos que son intangibles, es decir, no

se puede tocar ni ver por ejemplo la imagen y la reputación de la organización.

30
2.2.6.2. Análisis y Valoración de los Riesgos

Según (MAGERIT, 2012) Se considera valoración de riesgo a la apreciación

del valor de exposición de un activo, a que una determinada amenaza se pueda

materializar sobre ella, causando daños a la empresa mediante la explotación de

las vulnerabilidades del activo. El riesgo muestra lo que le puede suceder a los

activos si no se cuidan apropiadamente.

2.2.6.3. Gestión y Tratamiento de los Riesgos.

Según (MAGERIT, 2012) una vez que se conoce los riesgos y los impactos,

se debe seleccionar las medidas adecuadas para modificar el riesgo, de este modo

minimizar los daños asociados al riesgo.

La figura 13 muestra las posibles decisiones que se puede hacer después

estudiar los riesgos.

Figura 13. Decisiones de tratamiento de los riesgos

Nota. Fuente: (MAGERIT, 2012). Metodología de Análisis y Gestión de Riesgos

de los Sistemas de Información- Libro I - Método (p.48)

2.2.6.4. Seguimiento y Revisión.

Según (MAGERIT, 2012) Se debe revisar el SGSI debe ser revisar con

regularidad para velar que se cumplan los propósitos marcados por la empresa, es

importante establecer indicadores que muestren el estado del sistema.

31
2.2.7. Metodología PHVA - Ciclo de mejora continua

Deming (1989) indica que el ciclo PHVA por sus siglas en español (Planificar

- Hacer- Verificar -Actuar), es una estrategia basada en la mejora continua, lo

cual permite a las organizaciones mejorar su competitividad de sus servicios o

productos que brinden, reduciendo los costos y mejorando la calidad de forma

continua.

2.2.7.1. Fases del Ciclo de mejora continua – PHVA

Bonilla “et al.” (2010) menciona las etapas genéricas del ciclo PHVA, el cual

fue creado por Shewart y dado a conocer por Deming, las etapas son: [1] 1)

Planificar, [2] 2) Hacer, [3] 3) Verificar y [4] 4) Actuar.

Para López (2017) indica que el proceso de implantación de un SGSI, se

compila en la norma 27001 – 27002, en la cual se debe elaborar un plan

estratégico para dicha implementación. Así mismo la indica que la norma ISO

27001 tiene un enfoque basado en procesos, bajo el modelo de procesos PHVA,

el cual se aplica a todos los procesos del SGSI.

Figura 14. Fases del ciclo PHVA aplicada para a todos los procesos del SGSI.

Nota. Fuente: López R. (2017) Sistema de Gestión de la Seguridad Informática.

p.17

32
2.2.8. Fundamentos para la Dirección de Proyecto PMBOOK 6ta edición.

La Guía del PMBOK 6ta edición (2017) indica que dicha guía es un estándar

de buenas prácticas para la gestión de proyectos, además brinda información de

cómo aplicar ciertas herramientas y técnicas a los proyectos, dado que la

dirección de proyectos se debe adaptar y ajustarse a las necesidades del proyecto,

la siguiente figura muestra un esquema general de la guía.

Figura 15. Relación entre grupos de procesos y áreas de conocimientos

Nota. Fuente: https://todopmp.com/pmbok-6-resumen/

33
CAPÍTULO III: METODOLOGÍA DE INVESTIGACIÓN

3.1. DISEÑO DE INVESTIGACIÓN

3.1.1. Diseño

Hernández, Fernández y Baptista (2014), hacen referencia al termino diseño

como el conjunto de acciones elaboradas o estrategia para conseguir la

información requerida que permita dar respuesta al planteamiento del problema.

el diseño de investigación puede clasificarse en:

a. diseño experimental, se aplica cuando el investigador interviene o manipula

una posible causa para conocer el efecto de una determinada variable (variable

dependiente); los diseños experimentales se dividen en tres clases:

preexperimental, experimentos “puros” y cuasiexperimentos

b. diseño no experimental, se define así, aquella investigación donde no se

manipula deliberadamente variables, no se genera situaciones, por el contrario, se

observa y analiza situaciones ya existentes.

La elección del diseño de investigación del presente trabajo es de tipo

experimental, ya que se obtiene datos reales y se analiza los resultados obtenidos

de los test que se realizaron antes y después de la implementación del SGSI, y de

los datos que se obtienen de la ficha de observación, además se busca generar

estrategias que mejoren la seguridad de la información mediante la

implementación del SGSI.

3.1.2. Tipo

Según Arias (2006) existen diversos modelos y clasificaciones de tipos de

investigación, según el nivel, diseño y propósito. El tipo de investigación elegido

34
 para determinado proyecto, no es exclusivo, por lo que un estudio puede ubicarse

en más de una clase. Los tipos de investigación pueden ser:

 Según el nivel o alcance (exploratoria, descriptiva, correlacional y |

explicativa)

 Según el diseño (documental, de campo y experimental)

 Según el propósito (pura o básica y aplicada)

Aplicada, denominada también activa o dinámica, aplica sus descubrimientos

en la mejora de estrategias y actuaciones concretas, permite el desarrollo e

innovación de proceso o productos.

El presente trabajo de investigación, según el propósito de nuestro estudio, es

de tipo aplicada, ya que desea dar solución a los problemas generales y

específicos detallados en el presente documento, a su vez, establecer y mejorar

los procesos para preservar la seguridad de la información a través de la solución

mediante la implementación de del SGSI. Así mismo la investigación aplicada

garantiza los resultados de la investigación el cual cuenta con un marco teórico

que caracteriza la investigación aplicada.

3.1.3. Enfoque

Hernández, Fernández y Baptista (2014), los enfoques principales de la

investigación, que se dieron como producto de la “polarización” de diversas

corrientes de pensamiento, son el enfoque cuantitativo, cualitativo y mixto.

- Enfoque cuantitativo: es un grupo de procesos secuencial y probatorio,

emplea la recopilación de información para probar hipótesis mediante medición

numérica y estudio estadístico, con el objetivo de definir pautas de conducta y

demostrar teorías.

35
 - Enfoque cualitativo: se utiliza el análisis y recopilación de información para

mejorar o precisar las preguntas de investigación o generar nuevas preguntas en el

proceso.

- Enfoque mixto: cuando se produce la vinculación de datos cuantitativos y

cualitativos durante el proceso de recolección y análisis para dar responder al

planteamiento del problema.

El enfoque del presente trabajo de investigación es de enfoque mixto, ya que

se utiliza la vinculación de los datos cualitativos mediante los resultados de los

test antes y después de la implementación (las respuestas de los trabajadores es

algo subjetivo ya que, es la percepción de los trabajadores) y el análisis de riesgos

(también es subjetivo, ya que es el criterio del que se realiza la investigación) y

los datos cuantitativos que se obtienen de la ficha de observación (son datos

recopilados durante de la implementación, estos datos son objetivos ya que se

obtienen mediante hechos reales y obtenidos semanalmente y se muestran

diversos indicadores según los datos recopilados).

3.1.4. Población

Para Hernández, Fernández y Baptista (2014), indica que la población debe

situarse por sus características de contenido lugar y tiempo se refiere al universo

o conjunto elementos sobre los que se investiga, los elementos de una población

lo conforman cada uno de los individuos asociados, debido a que comparten

alguna característica en común. Además, para Hernández y Mendoza (2018),

indican que la población puede ser conformadas por las personas o las unidades

de estudio que se va investigar, es por ello que las características tomadas

muestran los datos y resultados de la investigación.

36
 En esta investigación, se ha considerado que la población es finita porque se

sabe cuál es la cantidad total de individuos, y que han sido las personas

relacionadas a las actividades del proceso de TI. Es por ello que en el presente

trabajo de investigación se trabajó con una población compuesta por los

trabajadores de la empresa MYPE – 2021.

3.1.5. Muestra

Para Hernández, Fernández y Baptista (2014), la muestra es la selección de

una porción de la población, donde los elementos tienen características similares,

para realizar un estudio sobre el comportamiento, propiedades o gustos del total

de una población específica, lo cual permite adquirir datos sobre algo especifico.

Para la presente investigación la muestra seleccionada es a través del muestreo

no probabilístico, debido a que se conoce la población, además se ha tomado el

planteamiento del investigador, para la selección de la muestra porque es muy

pequeña, es por ello que la muestra corresponde a las personas con cargos y

actividades importantes dentro de la empresa. Es por ello, que para la presente

investigación se ha elegido una muestra no probabilística y de tipo por

conveniencia.

37
 3.1.6. Operacionalización de Variables

Tabla 1. Operacionalización de Variable Independiente

VARIABLE DEFINICIÓN NOMINAL DIMENSIONES INDICADORES ÍTEMS

Para Areitio (2008) considera que un 1. ¿Considera usted que es

SGSI garantiza la respuesta y la capacidad importante conocer los activos de
de recuperación de los activos de información que está a su cargo?
información, en base a la disuasión
detección y protección de los activos de
información, también indica que para
tener un buen SGSI debe ser un ciclo 2. ¿Considera usted que ha
cerrado donde se inicia con la prevención identificado los activos críticos
y reducción de las amenazas y
Sistema de Activos de Cantidad de activos de información que está a su
vulnerabilidades, la detección y cargo?
Gestión de información de información
contención de los incidentes, mediante
Seguridad
salvaguardas o controles, si existiera algún
de la
tipo de daño se debe corregir e
Información
implementar las medidas de seguridad
(SGSI) 3. ¿Considera usted que los
correspondientes, luego se debe empezar
activos de información
el ciclo nuevamente donde se inicia con la
identificados tienen controles
prevención. Además, señala que es de
implementados que garantizan su
suma importancia lograr el adecuado
seguridad?
soporte apropiado por parte de la dirección
de la empresa, esta debe proveer la
jerarquía suficiente para definir y
establecer políticas y procedimientos de 4. ¿Conoce usted cuales son las
Cantidad de
seguridad, que contengan las principales amenazas a los que se encuentran
Amenazas Amenazas
directrices de seguridad de la empresa. expuestos sus activos de
detectadas
información?

38
 5. ¿Considera usted que las
amenazas detectadas en los
activos de información están bajo
control?

6. ¿Conoce usted cuales son las

vulnerabilidades que afectan a
sus activos de información?
Cantidad de
Vulnerabilidades vulnerabilidades
detectadas 7. ¿En las últimas semanas usted
ha identificado nuevas
vulnerabilidades que afectan a
sus activos de información?

8. ¿Conoce usted cual es la

frecuencia de incidencias sobre
sus activos de información?
Cantidad de
Incidentes Incidentes
ocurridos
9. ¿Usted ha identificado algún
incidente sobre los activos de
información?

39
 10. ¿Considera usted que los
controles implementados
aseguran los activos de
información?
Porcentaje de
Controles Controles
implementados
11. ¿Considera usted que es fácil
mantener los controles aplicados
a los activos de información?

12. ¿Considera usted que las

políticas documentadas y
difundidas son importantes para
Cantidad de el SGSI?
Políticas
Políticas
documentadas y
difundidas.
13. ¿Considera usted que las
políticas documentadas y
difundidas no interfiere con sus
actividades?

40
 14. ¿Considera usted que los
procedimientos documentados y
difundidos son importantes para
el SGSI?

Cantidad de
Procedimientos 15. ¿Considera usted que los
Procedimientos procedimientos documentados y
documentados y
difundido difundido no interfiere con sus
actividades?

16. ¿Considera usted que tener

procedimientos documentados
ayuda a sus actividades?

Fuente: Adaptado del (Areitio Bertolín, 2008). Seguridad de la información. Redes, informática y sistemas de información.

41
Tabla 2. Operacionalización de Variable Dependiente
DEFINICIÓN
VARIABLE DIMENSIONES INDICADORES FÓRMULAS ÍTEMS
NOMINAL

Porcentaje de 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝐶𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒

𝑐𝑜𝑛𝑓𝑖𝑑𝑒𝑛𝑐𝑖𝑎𝑙𝑖𝑑𝑎𝑑 17. ¿Considera usted que los
controles que
𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 controles implementados
Para Gómez preservan la
preservan la confidencialidad?
(2014) define confidencialidad
la SI como la
preservación Confidencialidad
de su CID.
Dependiendo Porcentaje de
18. ¿Considera usted que el
del tipo de incidentes de 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
porcentaje de incidentes que
información seguridad que 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠
Seguridad afectan la confidencialidad ha
de la manejada y de afectan la 𝑑𝑒 𝑐𝑜𝑛𝑓𝑖𝑑𝑒𝑛𝑐𝑖𝑎𝑙𝑖𝑑𝑎𝑑 disminuido?
información los procesos Confidencialidad
(SI) realizados por
una
organización, Porcentaje de
19. ¿Considera usted que los
esta podrá controles que 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝐶𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 controles implementados
conceder más preservan la 𝑖𝑛𝑡𝑒𝑔𝑟𝑖𝑑𝑎𝑑 preservan la integridad?
importancia a integridad 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠
garantizar la
CID de sus Integridad Porcentaje de
activos de
incidentes de 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 20. ¿Considera usted que el
información.
seguridad que 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 porcentaje de incidentes que
afectan la 𝑑𝑒 𝑖𝑛𝑡𝑒𝑔𝑟𝑖𝑑𝑎𝑑 afectan la integridad ha
integridad de la disminuido?
información

42
 Porcentaje de 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒
𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 21. ¿Considera usted que los
controles que
𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 controles implementados
preservan la
𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 preservan la disponibilidad?
Disponibilidad
Disponibilidad
Porcentaje de 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
eventos afectan 22. ¿Considera usted que el
𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠
la disponibilidad porcentaje de eventos que afectan
𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑
de la la disponibilidad ha disminuido?
información

Fuente: Adaptado de (Gómez Vieites, 2014) . Enciclopedia de la Seguridad Informática 2da edición.

43
3.2. INSTRUMENTOS DE INVESTIGACIÓN / HERRAMIENTAS

3.2.1. Técnicas

Para obtener datos e información precisa Hernández, Fernández y Baptista

(2014), indica que es importante la recogida de datos mediante el uso de diversas

técnicas, como el uso de observaciones, entrevistas las cuales deben ser

congruentes con el problema planteado y la hipótesis.

Es por ello, que el uso de las entrevistas será la técnica que se aplica en el

presente trabajo de investigación, de esta manera poder obtener datos relevantes

que ayuden a mejorar la seguridad de la información.

3.2.2. Instrumentos

Hernández, Fernández y Baptista (2014), indica que los cuestionarios es el

instrumento más utilizado para la recogida de datos, a su vez dicho cuestionario

debe estar alineado al planteamiento del problema y de la hipótesis. También

considera dos tipos de preguntas abiertas y cerradas.

Hernández, Fernández y Baptista (2014), indica que, las preguntas cerradas

delimitan las respuestas las cuales pueden ser dicotómicas (Sí - No) o con varias

opciones, además indica que el investigador define las respuestas que se muestra al

entrevistado y el entrevistado elige la opción que más se parece a su respuesta. Por

otro lado, indica que las preguntas abiertas brindan una información más amplia y

son muy útiles cuando no se tiene información sobre posibles respuestas, no son

delimitadas por respuestas, por lo que la cantidad de respuestas puede ser muy

elevado y puede variar según la población. Los cuestionarios pueden ser sólo de

preguntas abiertas o cerradas y en ciertos casos de ambos tipos de preguntas,

además recomienda que para construir un cuestionario se debe analizar variable por

44
 variable y evaluar qué tipo de preguntas son las más confiables para validar y

medir dicha variable.

Es por ello, que para el presente trabajo la elaboración de los cuestionarios se

considera ambos tipos de preguntas cerradas y abiertas, de este modo recabar

información confiable y así obtener una mejor información respecto a la seguridad

de la información en la empresa, para ello se realizará lo siguiente:

- Entrevistas y cuestionarios

- Fichas de observaciones.

3.3. METODOLOGÍA DE LA IMPLEMENTACIÓN DE LA SOLUCIÓN

3.3.1. Selección de la metodología

A partir del desarrollo de las bases conceptuales descritas en el capítulo II,

Marco teórico, en el cual se hace mención a las posibles metodologías a

emplear para el presente trabajo de investigación, se considera la Norma

Técnica Peruana NTP-ISO/IEC 27001:2014 como marco metodológico, para

el diseño e implementación del SGSI, ya que dicha Norma establece los

dominios y cláusulas que brindan los lineamientos adecuados para la

implementación del SGSI.

Es importante recalcar que la presente investigación busca mejorar la SI,

mas no la certificación o el cumplimiento estricto de la Norma, ya que la

implementación está en función al contexto de la empresa y a los recursos que

dispone actualmente para mejorar la SI, es por ello que la Norma mencionada

se utilizará como guía de buenas prácticas, para la implementación del SGSI,

al cual también se podrá llamar proyecto.

45
 La Norma Técnica mencionada anteriormente, brinda los lineamientos que

sirven de guía para establecer e implementar el SGSI mediante la política de

seguridad de la información, en la cual se definen los 14 dominios de

seguridad para proteger de manera adecuada los activos de información, de

esta manera implementar las mejores estrategias para gestionar los riesgos

asociados a los activos de información.

La Norma, tiene un enfoque basado a riesgos, pero no indica bajo que

metodología se debe gestionar dichos riesgos, para el presente trabajo se ha

considerado MAGERIT – versión 3.0 para gestionar los riesgos asociados a

los activos de información, y poder establecer e implementar el “Manual de

gestión de riesgos y oportunidades” en el cual se detalla cómo se van a

gestionar los riesgos identificados o asociados a los activos de información,

para prevenir y minimizar cualquier posible daño sobre dichos activos.

Además, se ha considerado las buenas prácticas de la gestión de proyectos

de la guía del PMBOK 6ta edición, para la gestión de la implementación del

SGSI, mediante los 5 grupos de procesos que brindan un marco de referencia

formal para el desarrollo de los proyectos, además, de las técnicas y

herramientas que brinda la guía, permitiendo gestionar de manera ordenada el

establecimiento e implementación del SGSI para el proceso de TI.

46
3.3.2. Desarrollo de la metodología

 3.3.2.1. Fase 1, Iniciación

En esta primera fase, se define y autoriza la implementación del presente

proyecto, de esta manera aprobar oficialmente la implementación, además de

entender cuáles serían los objetivos a un alto nivel y cuál sería el tiempo

estimado, es por ello que se busca elaborar el acta de constitución de la

implementación del SGSI, el cual consiste en que la ata dirección reconozca su

importancia y su participación durante el proceso de implementación, para

ello se realizaran reuniones entre el equipo o comité del SGSI y la alta

dirección el cual ayudará a definir objetivo y alcance del SGSI a fin de

conseguir su aprobación y respaldo en todo momento.

- Actividad No. 1: Identificar los principales problemas

En esta actividad se busca conocer los principales problemas que afectan a

la empresa MYPE respecto a la SI, así mismo poder establecer cuáles son las

actividades necesarias para mejorar la SI, durante varias reuniones y

entrevistas se identificó diversos problemas respecto a la SI en la empresa,

además se identificó que los principales problemas respecto a la SI se

encuentran en los Procesos de TI, dicho proceso brinda el soporte necesario

para las diversas áreas y operaciones de la empresa, es por ello, que los

problemas en cuanto a la falta de SI del Proceso de TI deben ser gestionados

de una manera adecuada para la empresa, para ello, se realizará la

implementación del SGSI en el proceso mencionado, además, se logró

comprometer a los responsables de dicho proceso para mejorar la SI.

Entregable: Descripción de los problemas

47
 - Actividad No. 2: Elaborar el acta de constitución del proyecto

Se elabora el acta de creación del proyecto, el cual ayudará a identificar,

definir y tener un objetivo de alto nivel y determinar el alcance del mismo.

Entregable: Acta de constitución del proyecto

 3.3.2.2. Fase 2, Planificación

En esta segunda fase se busca refinar los objetivos de alto nivel y el

alcance, además de la conocer los recursos, estimar los costos y tiempo del

proyecto, para ello es importante comprender el contexto de la empresa y

necesidades de los interesados, es por ello que es importante planificar las

acciones que se van a realizar y de esa manera cumplir con los objetivos y el

alcance del proyecto.

- Actividad No. 3: Definir el alcance del SGSI

Se detalla y se aprueba el alcance de la implementación del SGSI, por

medio del acta firmada se da el visto bueno de la alta dirección, de esta

manera tener un alcance definido, y tomar las decisiones respecto a la

implementación del SGSI.

Entregable: Alcance del SGSI

- Actividad No. 4: Estructurar el cronograma de actividades para la

implementación del SGSI

Se define las secuencias de las actividades, asignando un tiempo de

duración de las actividades y tareas, también se considera los recursos,

requisitos y restricciones del proyecto, para tener un tiempo estimado de la

implementación del SGSI.

Entregable: Cronograma del SGSI

48
 - Actividad No. 5: Establecer los roles y responsabilidades

Se busca definir y conocer quiénes serán los integrantes del comité de

Seguridad, es decir, quien serán las personas involucradas en el proceso de

implementación del SGSI, se da a conocer cuáles son los roles y

responsabilidades de cada integrante.

Entregable: Roles y responsabilidades del comité de Seguridad

- Actividad No. 6: Control de la documentación

Se buscar gestionar de manera adecuada la documentación referente al

SGSI, la cual debe estar siempre actualizada y disponible, para ello es

fundamental llevar un control de todos los documentos relacionados al SGSI,

de esta manera si hubiera algún cambio en algún documento se tendrán los

documentos actualizados y accesibles para todos, además, en dichos

documentos se podrá apreciar cual es la manera correcta de las aplicaciones o

procedimientos establecidos.

Entregable: Ficha para el control de documentos

 3.3.2.3. Fase 3, Ejecución del proyecto

En esta fase se desarrollará e implementar todas aquellas actividades y

tareas previstas en la planificación, sobre todo aquellas descritas en el

cronograma del SGSI.

- Actividad No. 7: Análisis del estado actual de la empresa respecto a la SI

Se debe evaluar la brecha entre el comportamiento actual y el

comportamiento esperado respecto a la SI, es por ello, que en esta parte se

define el comportamiento actual de la empresa referente a la SI, además se

49
 busca delinear el objetivo deseado respecto a mejorar la SI en la empresa, de

esta manera saber cuáles son las necesidades y controles que requiere la

empresa para mejorar la SI. El análisis de brechas que se realiza para el

presente proyecto es para tener una foto inicial antes de comenzar el proceso

de implementación, por lo que la descripción y el análisis del mismo no será

exhaustivo sino para tener referencia sobre la situación actual.

Entregable: - Ficha de entrevista

- Informe del análisis del estado actual

- Actividad No. 8: Elaborar el análisis de costo beneficio

Este proceso se realiza para establecer la relación entre los costos del

proyecto y los beneficios que brinda, el propósito es considerar si es rentable

la inversión que la empresa va a realizar.

Entregable: Informe de costos y beneficios

- Actividad No. 9: Elaborar la Política de Seguridad de la Información

Se debe establecer normas internas que ayuden a la implementación y

mantenimiento del SGSI, para ello el establecimiento de la política de

seguridad es un pilar fundamental dentro del SGSI, el objetivo de la política

de seguridad es comprometer a toda la empresa con la SI, comenzando por la

alta dirección hasta los trabajadores operativos de la empresa, además busca

cubrir aspectos sobre el uso de los recursos, el acceso a la información y

aspectos sobre los incidentes de seguridad, riesgos, política de seguridad

debe estar documentada y difundida para que puedan ser cumplidas por los

50
 trabajadores, de esta manera se produce un cambio cultural para mejorar la SI

dentro de la empresa.

Entregable: - Política de Seguridad de la Información

- Actividad No. 10: Activos de Información

Se tiene que elaborar el inventario de activos, de esta manera identificar a

los principales activos de la empresa y la valoración de los mismo, así

mismo se debe interrelacionar a los usuarios del área de TI con los procesos

actividades procedimientos y tareas relacionadas al SGSI

 Área de TI

Se encarga de diseñar, desarrollar, implementar y administrar los

sistemas de información dentro de la empresa para la trasmisión,

procesamiento y almacenamiento de los datos e información de toda la

empresa, se considera que los sistemas de información comprenden

aplicaciones o software y/o equipos o hardware. Se identifico que los

principales problemas de falta de SI están Proceso de TI, es por ello que

inicialmente se empieza por este proceso para luego seguir con las otras

áreas.

Entregable: - Identificar activos de información

- Inventario y valoración de activos de información

- Actividad No. 11: Gestión de riesgo y oportunidades

Se debe determinar de qué manera se va a realizar la gestión de riesgos, de

esta manera mejorar la SI, para ello se elaborará un manual de gestión de

riesgos y oportunidades, en donde se determina cual es la forma de gestionar

51
 los riesgos no solo para el proceso al cual se va implementar el SGSI, sino

también para gestionar los riesgos de los futuros procesos a implementar el

SGSI.

Entregable: - Manual de gestión de riesgos y oportunidades

- Actividad No. 12: Análisis y valoración de los riesgos

En esta actividad se debe analizar y evaluar los riesgos a los que se

encuentran expuestos los activos, para ello se realiza la gestión de riesgos en

función al Manual de gestión de riesgos y oportunidades que se realizó en la

Actividad No. 11.

La gestión de riesgos es un factor clave dentro del SGSI, ya que permite

analizar y valorar los riesgos respecto a los activos, identificando las

amenazas y las vulnerabilidades, además de considerar el impacto y la

probabilidad de ocurrencia que estos pueden tener.

Entregable: - Matriz de análisis y valoración de riesgos

- Informe de Riesgos de los activos de información

- Actividad No. 13: Tratamiento de los riesgos y selección de los controles

En esta actividad se selecciona y aplica las medidas más idóneas, con el

fin de minimizar el riesgo llevándolo a un nivel aceptable, se harán los

tratamientos a los riesgos para mitigarlos o reducirlos, transferirlos o

asumirlos en una línea de tiempo establecida mediante los controles que

contribuyan a reducir los riesgos significativos hasta niveles aceptables o

tolerables que la empresa ha decidido asumir.

Entregable: - Tratamiento de los riesgos y Establecimiento de controles

52
 - Actividad No. 14: Elaborar programa de capacitación y concientización

En este parte se elabora el cronograma para capacitar y concientizar a los

a los trabajadores, para ello se elaborará el material correspondiente, del

mismo modo se debe coordinar con los responsables de las demás áreas para

las fechas de las capacitaciones, así mismo se hará una lista de preguntas para

evaluar el conocimiento de los trabajadores respecto al SGSI, los resultados

serán entregados a la alta dirección.

Entregable: - Elaborar fechas y material de capacitación

- Evaluaciones y resultados de la capacitación y

concienciación

 3.3.2.4. Fase 4, Seguimiento y control

En esta fase se mide y supervisa los avances de la implementación, y

evaluar cualquier variación respecto a la planificación, además se busca

evaluar los resultados que se obtuvieron después de poner en funcionamiento

el presente proyecto.

- Actividad No. 15: Resultado y análisis de indicadores

Una vez implementado el SGSI, se tendrá que revisar periódicamente los

resultados de los indicadores, para ello se considera ver los resultados de los

indicadores de incidencias.

El reporte de indicadores se debe entregar a gerencia para ver la

efectividad del SGSI. Se debe presentar los resultados finales a la alta

dirección

Entregable: - Resultados de la Ficha de Entrevista post implementación

del SGSI.

- Ficha de Observación.

53
 - Actividad No. 16: Auditoría interna

Se debe supervisar el cumplimiento de las políticas y procedimientos del

SGSI, informar de los resultados y hacer las recomendaciones respectivas.

La alta dirección elabora un informe sobre los resultados y/o

recomendaciones de la auditoría interna, en cual se especifica las medidas

que se van a tomar ya sean preventivas y/o correctivas, además de otras

consideraciones que considere relevante para la mejora continua del SGSI.

Entregable: - Informe de auditoría interna

 3.3.2.5. Fase 5, Cierre

En esta fase final, se busca formalmente el termino y la aceptación de la

implementación efectiva del SGSI.

- Actividad No. 17: Elaborar el acta de cierre del proyecto

Se debe dar por terminado la implementación del SGSI en la empresa, en el

cual se tendrá que tener los objetivos alcanzados.

Entregable: - Acta de cierre del proyecto

54
 3.4. CRONOGRAMA DE ACTIVIDADES

Tabla 3. Cronograma de actividades del trabajo de investigación

CRONOGRAMA DEL PROYECTO DE INVESTIGACIÓN

Semanas del 18 de junio al 10 de diciembre del 2021
ACTIVIDADES: JUNIO JULIO AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

INICIO
Elegir el tema de
investigación
Redactar el título y
revisar referencias
bibliográficas
Elaborar el Plan de
investigación
Identificar la Realidad
Problemática y
plantear el problema
Plantear los objetivos
Justificación y
delimitación
Entregar el avance del
trabajo de
investigación
DESARROLLO
Marco teórico
Recolección de datos
Realizar el
planteamiento de la
hipótesis
Metodología
Recolección de datos
Preparación de los
datos
Análisis de los datos
Desarrollo de la
solución
Presentar los
resultados
Conclusiones y
recomendaciones
CIERRE
Presentación final del
trabajo de
investigación
Entrega final del
trabajo de
investigación
Fuente: Elaboración propia

55
3.5. PRESUPUESTO

Tabla 4. Recursos Servicios

Nro. Descripción Costo

Especialista en configuración de
1 S/3,000.00
Firewall
2 Curso de capacitación de firewall S/800.00
3 Otros servicios de configuraciones S/2,500.00
4 Técnico electricista S/500.00
Total S/6,800.00
Fuente: Elaboración propia

Tabla 5. Recursos Hardware/Físicos

Nro. Descripción Costo

5 Switch S/1,600.00
6 Firewall S/1,000.00
7 Racks para servidores S/800.00

8 Servidor S/4,800.00

9 Sistema de Control de Accesos S/400.00

10 2 routers S/600.00
11 Alarmas de seguridad de movimiento S/1,200.00
12 Control de temperatura S/300.00
13 Detector de Aniego S/470.00
14 Detector de fuego S/450.00
Total S/11,620.00
Fuente: Elaboración propia

Tabla 6. Recursos Software/Lógicos

Nro. Descripción Costo

15 Servicio en la nube S/720.00
16 Antivirus Server y PC S/600.00
17 Windows Server 2019 S/3,200.00
18 Microsoft Office S/2,400.00
Total S/6,920.00
Fuente: Elaboración propia

56
 Tabla 7. Recursos Materiales

Nro. Descripción Costo

Material de difusión para capacitación
19 S/200.00
y sensibilización
20 Otros materiales S/400.00
Total S/600.00
Fuente: Elaboración propia

EL monto total de la inversión es de S/. 25,940.00, hubo un incremento en el presupuesto

inicial, el cual era de S/. 22,340.00, esto debido a algunas modificaciones en los

requerimientos iniciales, pero la gerencia general acepto las modificaciones de dichos

requerimientos.

57
CAPÍTULO IV: DESARROLLO DE LA SOLUCIÓN

4.1. PROPUESTA DE SOLUCIÓN

La metodología para la implementación de un SGSI que se va a realizar en el presente

trabajo de investigación es la que fue seleccionada en el capítulo III, numeral 3.2

Desarrollo de la metodología, en la que se detallan las 5 fases para el desarrollo para

implementación del SGSI, y en la cual se tienen diversas actividades y entregables que

pueden ser tangibles o intangibles, de esta manera garantizar la implementación del

proyecto.

 4.1.1. Fase 1, Iniciación

4.1.1.1. Actividad No. 1: Identificar los principales problemas

Como punto de partida al presente desarrollo del proyecto, se mencionan

los principales problemas respecto a la SI que se han identificado, la

identificación de los problemas se realizó mediante un análisis con los

responsables del proceso de TI de la empresa MYPE.

a) Entregable 1: Descripción de los Problemas

El presente entregable es el resultado de varias reuniones con los

responsables de cada área de la empresa, en la cual mediante un análisis se

determinó que el proceso de TI es el que más problemas presenta respecto

a la falta de SI, es por ello, que se determinó que en dicho proceso se

empezaría a implementar el SGSI para evaluar los posteriores resultados,

en función a los principales problemas que presenta dicho proceso, a

continuación, se detalla los principales problemas del Proceso de TI.

 Mal diseño e implementación de la infraestructura TI.

 Información desactualizada.

 Mal uso o manipulación inadecuada de la información.

58
  Sistemas informáticos infectados con malwares.

 Pérdidas económicas y posibles sanciones legales.

 Falta de organización de los documentos.

 Desconocimientos de diversos procedimientos.

 Falta de información confiable.

 Falta de seguridad en los sistemas de información.

 Pérdida o robo de información.

Por los puntos mencionados anteriormente, es muy importante hacer una

gestión adecuada de la información, de esta manera preservar la CID de

los activos que están a cargo del jefe del área de TI.

Figura 16. Diagrama de infraestructura red actual de la empresa

Nota. Fuente: Elaboración propia. Diseñado por el jefe de TI

59
 4.1.1.2. Actividad No. 2: Elaborar el acta de constitución del proyecto

Mediante el presente documento, se busca dar inicio al presente proyecto,

es esencial tener la aprobación de la alta dirección de la empresa, la cual está

representada por el gerente general, del mismo modo identificar, definir y

tener un objetivo de alto nivel para determinar el alcance.

a) Entregable 1: Acta de constitución del proyecto

La elaboración de este documento es importante, ya que es el gerente

general quien aprueba dicho documento, dando su respaldo y la

importancia al proyecto, de esta manera los trabajadores de la empresa

también le den la importancia del caso. Ver Anexo 2.

 4.2.1. Fase 2, Planificación

En esta fase se busca planificar las principales tareas y actividades para la

correcta implementación del SGSI, para ello se definen una serie de

actividades y tareas que posteriormente se desarrollaran, además se busca tener

de manera más clara cuál es el objetivo y el alcance del proyecto, de esta

manera poder delimitar la implementación del presente proyecto, para ello se

estableció las siguientes actividades y entregables.

4.2.1.1. Actividad No. 3: Definir el alcance del SGSI

Luego de haber identificado los principales problemas, busca refinar los

objetivos y el alcance para el proyecto, para ello se debe definir el alcance del

SGSI, de esta manera poder estimar los recursos, tiempo y costo de la

implementación, además tener en consideración el ámbito de la empresa, las

expectativas y necesidades de las partes interesadas.

60
 a) Entregable: Alcance del SGSI

Después de varias reuniones y conversación con el personal de la

empresa y sobre todo con la alta dirección, se determinó que la

implementación del presente proyecto solo abarca para el “Proceso de

Tecnologías de la Información”, proceso el cual si es gestionado de

manera adecuada se lograría minimizar los principales problemas en

cuanto a SI que afronta hoy en día la empresa, del mismo modo se ha

comprometido a los responsables de dicho proceso a formar parte del

comité de Seguridad facilitando el trabajo de la implementación y

reduciendo costos, así mismo la definición del alcance permitirá delimitar

el alcance del proyecto, de esta manera evitar caer en incongruencias o

desviaciones en el proyecto. Ver Anexo 3.

4.2.1.2. Actividad No. 4: Estructurar el cronograma de actividades para la

implementación del SGSI

Una vez que se define el alcance del SGSI, se estructura el cronograma de

actividades el cual detalla una serie de actividades y tareas necesarias para el

presente proyecto en función al alcance establecido, a su vez se debe

considerar las el tiempo de duración de todas las actividades, tareas, requisitos

y recursos para la implementación del SGSI.

a) Entregable: Cronograma del SGSI

El cronograma es una herramienta muy importante para el presente

proyecto, ya que muestra las actividades y tareas que se van a realizar, a

su vez ayuda a establecer el tiempo de duración del proyecto desde el

inicio hasta el fin, así estar mar organizados y poder implementar el

presente proyecto en el tiempo estimado.

61
Tabla 8. Cronograma del SGSI

Implementación de un Sistema de Gestión de Seguridad de la

EDT Información para mejorar la Seguridad de la Información en una
empresa MYPE - 2021”

Gestión del Proyecto

1. Fase 1. Iniciación
1.1. Identificar los principales problemas
1.1.1 Descripción de los problemas
1.2 Elaborar el acta de constitución del proyecto
1.2.1 Acta de constitución del proyecto
2. Fase 2 Planificación
2.1 Definir el alcance del SGSI
2.1.1 Alcance del SGSI
Estructurar el cronograma de actividades para la
2.2.
implementación del SGSI
2.2.1 Cronograma del SGSI
2.3 Establecer los roles y responsabilidades
2.3.1 Roles y responsabilidades del comité de Seguridad
2.4 Control de la documentación
2.4.1 Ficha para el control de documentos
3. Ejecución del proyecto
Análisis del estado actual de la empresa respecto a la seguridad
3.1
de la información
3.1.1 Ficha de entrevista y resultados
3.1.2 Informe del análisis del estado actual
3.2 Elaborar el análisis de costo beneficio
3.2.1 Informe de costos y beneficios
3.3 Elaborar la Política de Seguridad de la Información
3.3.1 Política de Seguridad de la Información
3.4 Activos de Información
3.4.1 Identificar activos de información
3.4.2 Inventario y valoración de activos de información
3.5 Gestión de riesgo y oportunidades
3.5.1 Manual de gestión de riesgos y oportunidades
3.6 Análisis y valoración de los riesgos
3.6.1 Informe de Riesgos de los activos de información
3.7 Tratamiento de los riesgos y selección de los controles
3.7.1 Tratamiento de los riesgos y establecimiento de controles
3.8 Elaborar programa de capacitación y concientización
3.8.1 Elaborar fechas y material de capacitación
3.8.2 Evaluaciones y resultados de la capacitación y concienciación
4. Seguimiento y control
4.1 Resultado y análisis de indicadores

62
 Resultados de la Ficha de Entrevista post implementación del
4.1.1 SGSI.

4.1.2 Ficha de Observación

4.2 Auditoría interna
4.2.1 Informe de auditoría interna
4.3 Declaración de aplicabilidad
5. Cierre
5.1 Elaborar el acta de cierre del proyecto
5.1.1 Acta de cierre del proyecto
Fuente: Elaboración propia

4.2.1.3. Actividad No. 5: Establecer los roles y responsabilidades

Se debe establecer los roles y responsabilidades para el implementación y

mantenimiento del SGSI, se debe tener en cuenta con que recursos humanos

cuenta la empresa y si están en la capacidad de poder sobre llevar el SGSI, es

muy importante asignar bien estos roles y responsabilidades, ya que el éxito o

fracaso del SGSI depende de ello, Si bien es cierto, existen recomendaciones

de buenas prácticas en donde indican que es necesario crear un departamento

de SI, el cual debe ser separado del área de TI, de esta manera se tendría una

mayor objetividad. Sin embargo, en las empresas pequeñas no es posible

contar con dicho departamento, ya que implica el uso de varios recursos el

cual dificultaría el proceso de implementación del SGSI, es por ello que para

el presente proyecto no es posible crear un nuevo departamento para la SI y se

recomendó que el jefe de TI será el responsable del SGSI, para ello, se tuvo

que realizar la separación de funciones como jefe de TI y como responsable

del SGSI o Jefe de SI, asumiendo el compromiso que este requiere. El Comité

de Seguridad, el cual está conformado por el responsable del SGSI, asistente

de TI, por jefe de ventas, jefe de compras y por un integrante de la alta

63
 dirección el gerente general, de esta manera respaldar las decisiones que se

puedan tomar.

a) Entregable: Roles y responsabilidades del comité de Seguridad

 Gerente General: Es quien valida y aprueba las conformidades del

proyecto, así mismo es quien realiza las auditorías internas cada

año y determinas y aprueba las nuevas mejoras se va a realizar.

 Jefe de SI: Es el responsable del proyecto o implementación del

SGSI en la parte estratégica y operativa, además es quien toma las

decisiones respecto al SGSI.

 Asistente TI: Es quien realiza la parte operativa de la

implementación del SGSI

 Jefe de ventas: Apoyan en el planeamiento estratégico del SGSI y

ayudan a ser más objetivos.

 Jefe de compras: Apoyan en el planeamiento estratégico del SGSI

y ayudan a ser más objetivos.

 Consultor SGSI: Es el que brinda las pautas para la correcta

implementación del SGSI en la empresa, dichas pautas deben estar

alineadas a la Norma Técnica mencionada anteriormente, además

apoya en el planeamiento estratégico y operativos del proyecto.

En el documento de la Política de Seguridad de la Información, se detalla a un

nivel más profundo los roles y responsabilidades del Comité de Seguridad.

4.2.1.4. Actividad No. 6: Control de la documentación

Se debe tener en cuenta que los documentos para la implementación del

SGSI es de vital importancia, ya que mediante estos documentos se puede

observar cual es el procedimiento correcto para dicha implementación, el

64
 mantenimiento del mismo y los acuerdo que se han establecido, es importante

llevar un control de los documentos de esta manera no caer en contradicciones

o ambigüedades.

La documentación realizada para la implementación del SGSI, debe estar

impresa y firmada por el gerente general y por los responsables directos, dando

el visto bueno de su aprobación, dichos documentos deben ser archivados y

guardados en un espacio específicos, de igual forma deben ser guardados

digitalmente y debe ser compartido con las personas involucradas.

La actualización o modificación de alguno de los documentos también debe

estar firmada por el gerente general y los responsables de la modificación, se

debe guardar el documento físico y a su vez se debe actualizar la información

digital. En la elaboración de la documentación se debe seguir una rubrica al

inicio de todos los documentos para poder identificarlos, de esta manera saber

cuál es el documento vigente, lo cual permite que el presente proyecto sea

claro y ordenado.

a) Entregable: Ficha para el control de documentos

Mediante la ficha de control de documentos se mantiene los documentos

del SGSI actualizados, ya que en dicha ficha se solicitan datos para saber

cuál es la última actualización del documento. Ver Anexo 4.

 4.3.1. Fase 3, Ejecución del proyecto

Como se mencionó anteriormente en esta fase se realiza e implementa todas

las actividades y tareas previstas en la planificación y en el cronograma del

SGSI, como la implementación de las políticas, gestión de riesgos, controles,

procedimientos entre otros.

65
4.3.1.1. Actividad No. 7: Análisis del estado actual de la empresa respecto a

la SI

Se realizo una entrevista con los responsables involucrados del Proceso de

TI, el gerente general y otras áreas, afín de evaluar el nivel de la SI dentro de

la empresa, para ello se realizó una serie de preguntas respecto ello.

a) Entregable: Ficha de entrevista

La ficha de entrevista, ayuda a reunir información sobre la situación actual

de la empresa respecto a la SI, para ello es importante concertar reuniones y

recabar información mediante preguntas claves, la ficha ha sido respondida

por los responsables de cada área y personal con experiencia, además

mediante estas reuniones se ha logrado apreciar un escenario más claro sobre

la falta de SI dentro de la empresa y la importancia de la misma. Ver Anexo5.

b) Informe de análisis del estado actual

El presente informe se ha elaborado con la información recabada de

las fichas de entrevista, además se recabado la información necesaria para

implementar el SGSI, se realizó un informe detallado de las principales

faltas de SI que existen dentro de la empresa y entender a los riesgos a los

cuales se encuentran expuestos. Cabe resaltar después de responder a las

preguntas de la entrevista, se conversó con los entrevistados para tener

una mayor información sobre la falta de seguridad y detectar que proceso

es el que tiene una mayor falta de seguridad, es allí donde se detectó que

el “Procesos de TI” es el que cuenta con mayor cantidad de falencias en

cuanto a la falta de seguridad, ya que dicho proceso es el que brinda

soporte a las diversas áreas, es por ello que se decidió realizar la

implementación del presente proyecto en dicho proceso y posteriormente

66
 seguir con los otros procesos a fin de ir mejorando continuamente la SI.

Ver Anexo 6

4.3.1.2. Actividad No. 8: Elaborar el análisis de costo beneficio

En esta actividad se busca demostrar de manera sencilla la relación directa

entre el costo de la implementación del SGSI y el beneficio que traería dicha

implementación, de esta manera determinar si es necesario realizar dicha

implementación o no, para ello se ha tomado en consideración varios sucesos

reales que se han presentado dentro de la empresa y estimaciones técnica que

se ha evaluado con los responsables del Proceso de TI, ya que anteriormente la

empresa ha sido víctima de ataques informáticos lo que genero pérdidas

económicas.

a) Entregable: Informe de costos y beneficios

Mediante el presente informe se buscas determinar si es adecuado

implementar el SGSI para el proceso de TI, de esta manera tener una

estimación aproximada en cuanto a los costos y beneficios de la

implementación. Ver Anexo 7.

4.3.1.3. Actividad No. 9: Elaborar la Política de Seguridad de la

Información

La elaboración de la política de seguridad debe estar alineada a las

estrategias y objetivos de la empresa, de esta manera contribuir con las

estrategias y objetivos de la empresa, debe cubrir el uso de los recursos para

que sean mejor gestionados, permite que los trabajadores de la empresa

puedan tener un mejor entendimiento, compromiso y conciencia sobre la SI, es

67
muy importante que la alta dirección de su respaldo y compromiso para que se

garantice el su cumplimiento.

a) Entregable: Política de Seguridad de la Información

El objetivo de la política es dar soporte al SGSI, en función a los

requisitos de la empresa y legislación vigente, a partir de este documento se

desarrollan actividades necesarias para implementar el presente proyecto. La

política de seguridad debe ser aprobada por la alta dirección de esta manera

brinda el respaldo necesario para su cumplimiento.

En el presente documento se ha contemplado los 14 dominios de control del

Anexo A de la NTP-ISO/IEC 27001:2014, dentro de la “Política de

Seguridad de la Información”, de este modo garantizar la SI de los activos de

la empresa. Ver Anexo 8

4.3.1.4. Actividad No. 10: Activos de Información

Se nombra activo de información a todo aquello que contiene o manipula

información y tiene valor para la empresa, por ende, se debe proteger, para ello

se debe tener identificados a los principales activos de la empresa, mediante la

elaboración del inventario de activos se puede gestionar su seguridad, para

luego hacer la valoración respectiva de cada activo de información y de esta

manera poder garantizar la seguridad de los activos del área de TI, en función

a la importancia de cada activo.

 Área de TI

Se realiza la identificación y valoración de los activos del área de TI,

mientras se realizar el inventario y valoración de los activos se diseñó el

68
 nuevo “Diagrama de infraestructura red” para el área de TI, de este

modo mejorar la infraestructura de red y mejorar la SI.

Figura 17. Diagrama de infraestructura red para la implementación del SGSI.

Nota. Fuente: Elaboración propia. Diseñado por el jefe de TI.

a) Entregable: Identificar activos de información

Como se mencionó anteriormente se llama activo a todo lo que tiene

algún tipo de valor para la empresa, como son la documentación física o

digital, aplicaciones, equipos informáticos, equipos de comunicaciones,

servicios y/o productos que brinda la empresa, los trabajadores, entre

otros, los cuales se pueden se categorizar en activos primario (Procesos,

subprocesos, actividades que realiza la empresa y cualquier medio físico

o digital que contenga información relevante para la empresa) y activos

de soporte (Trabajadores de la empresa, oficinas, aplicaciones,

servidores, reportes, informes, redes, base de datos, etc.) , una vez

69
 categorizado los activos se debe considerar quien es el responsable que se

hará cargo de mantener la seguridad del activo, el responsable es quien

determina quien accede y quien no a la información que contiene dicho

activo, además indica si es necesario aplicar alguna medida de seguridad

o si existe algún riesgo. Además, se debe considerar el tipo de activo al

que pertenece que puede ser “Tecnológico” o “No Tecnológico”.

Se consideran los siguientes campos para generar la lista de activos. Ver

Anexo 9

b) Entregable: Inventario y valoración de activos de información

Para hacer mejorar la SI es importante tener identificados a los activos

de información más importantes y evitar la duplicidad y ambigüedad de

los mismos. Para ello se tomará en cuenta algunos criterios como mínimo

para la identificación y registro de los activos como:

entre otros campos. Como se mencionó anteriormente, en el inventario

de activos solo se registrarán los activos más importantes del Proceso de

TI, para que la gestión de los mismos sea más eficiente.

Después de tener el inventario de los principales activos se debe calcular

y/o estimar el valor los activos, para ello es importante considerar las

consecuencias que genera daño o la pérdida en cuanto a su CID del activo

dentro de la empresa, para su correcta la valoración se realizará de

acuerdo a una escala cualitativa, tal como se muestra a continuación:

 del 1 al 3 su valor será “Valor Bajo”, será de color verde

 del 4 al 6 su valor será “Valor Medio”, será de color amarillo

 del 7 a más será “Valor Alto”, será de color rojo.

70
 La valoración de los activos está en función a su CID, los cuales serán

valorados por los responsables de los activos y de la manera más

objetiva posible, para ello pueden participar personal de otras áreas de la

empresa, así no formen parte del presente proyecto. Ver Anexo 10.

4.3.1.5. Actividad No. 11: Gestión de riesgo y oportunidades

Para una mejor comprensión del riesgo, se ha realizado un Manual de

gestión de riesgos y oportunidades, de esta manera se puede gestionar los

riesgos de una manera más ordenada y alineada a la empresa, dentro de dicho

manual se mencionan y definen varios conceptos que ayudan a la comprensión

del riesgo.

a) Entregable: Manual de gestión de riesgos y oportunidades

La gestión del riesgo es de vital importancia, ya que mediante ella se

puede identificar cuáles son los riesgos externos e internos a los que la

empresa se encuentra expuesta, mediante el presente documento se

describe la metodología de evaluación de riesgos adoptada y alineada a la

empresa. Ver anexo 11.

4.3.1.6. Actividad No. 12: Análisis y valoración de los riesgos

La gestión de riesgo incluye el análisis y la valoración del riesgo, lo que

permite gestionar el riesgo y llevarlo a un nivel aceptable para que no tenga

efectos negativos dentro de la empresa. El riesgo muestra que es lo que puede

pasar sino se protege adecuadamente los activos, es por ello, que es importante

conocer los riesgos, ya sean mediante factores internos o externos y para ello

se hace un análisis de riesgo. El análisis de riesgo permite identificar los

71
peligros a los que se encuentra expuesto los activos y estimar el grado de

exposición de un activo ante la materialización de una o más amenazas que

podrían causar daños en la empresa, es importante considerar el contexto de la

empresa y los recursos y necesidades de la misma, de esta manera cubrir con

sus necesidades y expectativas, cumpliendo con un nivel de seguridad

adecuado para la empresa y no hacer un uso excesivo e innecesario de los

recursos.

Para hacer el análisis de riesgos se parte del inventario de activos, donde para

cada activo se debe valorar las posibles amenazas y vulnerabilidades que

pueden afectarle, la probabilidad de ocurrencia y el impacto que este causaría

de materializarse la amenaza.

Las amenazas son eventos o incidentes que pueden ser provocados de forma

natural, artificial o humana y que aprovecha o explota una o más

vulnerabilidades de un activo poniendo así en peligro la CID del activo. Las

amenazas pueden ser de origen interno (son causadas por alguien que

pertenece a la empresa y pueden ser sabotaje por un trabajador, error de

configuración, etc.), las amenazas también pueden ser externo (son causadas

por alguien o algo que no pertenece a la empresa como los desastres naturales,

hackers, etc.). Las amenazas también pueden ser accidentales (cuando no

existe intención de hacer daños o perjudicar) e intencionales (cuando si existe

la intención de perjudicar o hacer daño).

Las vulnerabilidades son las debilidades que tienen los activos de información

y que pueden permitir la materialización de una amenaza sobre algún activo,

una vulnerabilidad por sí sola no causa ningún daño al activo, ya que se

requiere de una amenaza que explote dicha vulnerabilidad.

72
Para la valoración del riesgo el comité de seguridad debe determinar cuáles

son las amenazas y vulnerabilidades que afecten a los activos para determinar

la probabilidad y el impacto que ocasionaría la materialización de alguna

amenaza, para ello se basan en la experiencia, conocimiento y el contexto

dentro de la empresa. Así mismo, se aplicaron categorías para la calificación

de la probabilidad de ocurrencias de eventos adversos y de la medición del

impacto, tal como se muestra en el Manual de gestión de riesgos como se

muestra a continuación:

La probabilidad de ocurrencia es tal como se muestra a continuación:

 1 casi nunca, puede ocurrir una vez cada 2 años.

 2 poco probable, puede ocurrir cada año.

 3 probable, puede ocurrir cada 6 meses.

 4 muy probable, puede ocurrir cada al mes.

 5 frecuente, puede ocurrir cada a la semana.

La medición del impacto es tal como se muestra a continuación:

 2 insignificante, Impacta ligeramente en el funcionamiento del

proceso.

 4 menor, Impacta en el funcionamiento del proceso.

 6 moderado, Impacta considerablemente en el funcionamiento del

proceso.

 8 mayor, Impacta fuertemente en el funcionamiento del proceso.

 10 desastroso, Impacta críticamente en el funcionamiento del

proceso.

73
Tabla 9. Cálculo del nivel del Riesgo

Riesgo = Probabilidad * Impacto

Probabilidad 5 10 20 30 40 50

4 8 16 24 32 40

3 6 12 18 24 30

2 4 8 12 16 20

1 2 4 6 8 10

2 4 6 8 10
Impacto
Fuente: Elaboración propia

Donde:

Tabla 10. Nivel de aceptación del Riesgo

1 Aceptable Se acepta y se asume el riesgo y se retiene de 2 a 4

Se asume el riesgo y/o se busca reducirlo. No

2 Tolerable se requiere una atención inmediata y/o de 6 a 12
monitoreo de manera permanente.
Se debe reducir, eliminar y/o transferir el
3 Intolerable riesgo. Se requiere atención inmediata y de 16 a 24
monitoreo permanente.

Es in riesgo intolerable, pero se debe tratar a

4 Extremo de 30 a 50
nivel de la alta dirección

Fuente: Elaboración propia

a) Entregable: Informe de Riesgos de los activos de información

Para determinar los riesgos asociados a los activos, se genera una matriz

donde se analiza y valora los riesgos asociados a dichos activos, de esta

manera se calcula el Nivel del riesgo inherente del activo. Ver Anexo 12.

74
4.3.1.7. Actividad No. 13: Tratamiento de los riesgos y selección de los

controles

El resultado del “Informe de riesgos de los activos de información”

muestra el análisis de riesgos, en cual su ha definido cuales son los

criterios para determinar cuáles son los niveles de riesgos aceptables e

inaceptables para la empresa, de este modo se identifica los riesgos que

son inaceptables para ser tratados y gestionados adecuadamente, el

propósito de la gestión de riesgos es que la empresa pueda gestionar los

riesgos llevándolos a un nivel aceptable, de esta forma ser asumidos por

la empresa, para llevar los riesgos identificados a ese nivel aceptable se

ha determinado 4 estrategias de tratamientos en los cuales se realizan

diversas acciones que a continuación se muestran:

 Asumir el riesgo: Se conoce el riesgo y se acepta asumirlo, ya que

se encuentra en un nivel aceptable, se debe hacer un seguimiento a

dichos riesgos para mantenerlos bajo control y ser revisados con

regularidad, de esa manera impedir que se vuelvan riesgos

mayores.

 Reducir el riesgo: Se debe disminuir el riesgo mediante la

implantación de controles, tratando de llevarlos a un nivel

aceptable y evitando que se materialice o reduciendo el impacto.

Los controles implementados buscan minimizar la posibilidad de

que los riesgos identificados ocasionen algún daño o perjuicio

sobre los activos y, por ende, en la empresa

75
  Transferir el riesgo: Se debe considerar elegir esta opción cuando

se piensa en pasar el riesgo a alguien más o compartirlo. Para

transferir el riesgo se debe evaluar el valor del activo y al costo del

control que este genera, puede resultar contraproducente tratarlo

dentro de la empresa, ya que el nivel de gestionar dicho riesgo no

sea adecuado dentro de la empresa y sea más recomendable

transferirlo a un tercero.

 Eliminar el riesgo: Se intenta establecer acciones para que las

condiciones del riesgo puedan desaparecer, esta estrategia en

ocasiones puede resultar muy costosa, o tal vez se requiera

eliminar el activo, o eliminar la fuente del riesgo, por lo que no

siempre es la estrategia más recomendable.

Una vez que se determina que estrategias seguir, se debe realizar un

segundo análisis de riesgos, pero esta vez teniendo en cuenta los

controles y estrategias implementadas que buscan reducir el riesgo, el

resultado de este segundo análisis es conocer cuál es el riesgo residual,

si bien es cierto la empresa nunca podrá eliminar los riesgos de una

manera total, ya que siempre queda un residuo o el riesgo puede

cambiar, es por ello, que es esencial que los riesgos residuales sean

aceptados y monitoreados continuamente y evitar cualquier incidente.

a) Entregable: Tratamiento de los riesgos y Establecimiento de

controles

Para poder controlar los riesgos asociados a los activos, se implementarán los

controles, para disminuir o eliminar la posibilidad del riesgo que se detectó

76
 en el análisis de riesgos no dañe o afecte a los activos de información, los

controles deben ser los más apropiados para hacer frente a los riesgos, de ese

modo el riesgo será llevado a un nivel aceptable o tolerable para la empresa.

Es importante considerar controles que eviten que los trabajadores comentan

errores accidentales o intencionalmente, para ello se implementará una

categoría del control Operativos (configuraciones, instalaciones, etc.) o

Administrativo (políticas, procedimientos, normas, etc.), a su vez, estos

controles pueden ser de tipo preventivos, detectivos y correctivos, además se

tiene que considerar que la implantación de un control requiere el uso de

recursos y su mantenimiento, por lo que se tiene que considerar en todo

momento si existen los recursos necesarios para su implementación y gestión

o no, ya que una vez puesto en marcha los controles, se debe evaluar el

funcionamientos de dichos controles para evaluar si funcionan como se

esperaba, caso contrario se deben tomar acciones para corregirlo. Se debe

medir y evaluar el rendimiento de los controles que se han implantado,

además se debe registrar las incidencias que se reporten, a fin de recabar

información y determinar si se requiere algún nuevo control para mejorar SI

en la empresa. Ver Anexo 13

4.3.1.8. Actividad No. 14: Elaborar programa de capacitación y

concientización

Se elaboró el cronograma para dar la capacitación y concienciación a los

trabajadores de la empresa, para ello es importante coordinar con las otras

áreas de la empresa, así mismo se debe realizar las evaluaciones a los

trabajadores sobre el conocimiento respecto al SGSI.

77
 a) Entregable: Elaborar fechas y material de capacitación

El comité de seguridad estableció un cronograma, en el cual se indican las

fechas de capacitación a los trabajadores respecto al SGSI, además se ha

elaborado trípticos en el cual se detalla de una manera sencilla la importancia

del SGSI dentro de la empresa. A este nivel se tienen La Política de

Seguridad de la Información y el Manual de Gestión de Riesgos y

Oportunidades compartidos con toda la empresa, en las capacitaciones

también se explican dichos documentos y su importancia.

b) Entregable: Evaluaciones y resultados de la capacitación y

concienciación

Después de haber realizado las capacitaciones respectivas a los trabajadores

de todas las áreas, es importante recopilar los saberes previos de cada uno de

ellos, de esta manera poder saber cuál es el grado de conocimientos de los

trabajadores sobre el SGSI, para ello, el comité de seguridad se realiza las

evaluaciones mediante una serie de preguntas que los trabajadores deben

responder con el fin de medir sus conocimientos, posteriormente dichos

resultados serán entregados a la Alta dirección como una prueba del grado de

conocimientos de los trabajadores respecto al SGSI, se debe entender que la

empresa ya está aplicando una política de seguridad de la información, lo

cual es fundamental para la cultura organizacional de la empresa.

 4.4.1. Fase 4, Seguimiento y control

Se debe establecer un conjunto de medidas y acciones que permitan evaluar y

comprobar la realización de las actividades del proyecto que se estableció en la

78
planificación y sobre todo dar las respuestas a los objetivos formulados en la

presente investigación.

4.4.1.1. Actividad No. 15: Resultado y análisis de indicadores

Para poder medir los resultados de una manera correcta se va a comprar los

resultados de las Ficha de Entrevistas antes y después de la implementación

del SGSI, para ello, se ha volvió a realizar la Ficha de Entrevista ANEXO 5,

pero se agregó tres peguntas más a fin de evaluar los objetivos formulados en

la presente investigación, luego de conocer los resultados.

a) Entregable: Resultados de la Ficha de Entrevista post

implementación del SGSI.

Se volvió a relazar las entrevistas y cuestionarios a los mismos

trabajadores que participaron inicialmente, para evaluar los resultados y

ver si se ha mejorado en cuanto a la seguridad de la información, cabe

recordar que las preguntas de la Ficha de Entrevista están en función a las

variables, dimensiones e indicadores planteadas en el presente trabajo de

investigación. Ver Anexo 14

b) Entregable: Ficha de Observación

Mediante la ficha de observación se recolecto datos de manera semanal,

en la ficha se registra datos sobre los diversos indicadores respecto a la

implementación del SGSI, en este caso ya no es mediante respuestas de

los trabajadores, sino es mediante la recolección de datos de eventos o

sucesos ocurridos después de la implementación del proyecto, la

recolección de datos se hizo durante las seis últimas semanas y no existe

un antes y después, ya que y los datos recolectados son durante y

79
 después de la implementación del proyecto. Ver datos recolectados ver

Anexo 15

4.4.1.2. Actividad No. 16: Auditoría interna

Se debe corroborar el cumplimiento de las políticas y procedimientos

establecidos en la implementación del SGSI, para ello es importante que se

realice acciones que permitan evaluar el cumplimiento del SGSI, la alta

dirección junto al comité de seguridad es quienes se encargan de elaborar un

informe sobre sobre los resultados y recomendaciones para mejorar el SGSI.

a) Entregable: Informe de auditoría interna

La alta dirección y el comité de seguridad son los responsables de

gestionar de manera que se pueda evidenciar si las políticas y

procedimientos del SGSI se están cumpliendo o no, también se debe

contemplar la posibilidad de mejorar los controles o la implementación de

nuevos controles, la auditoria busca que se cumpla y sigan lo lineamientos

establecidos en la implementación del SGSI, lo se busca mejorar la SI,

mas no la certificación, es importante considerar las auditorias se realicen

de manera anual y poder evaluar el ciclo del SGSI durante cada año y

poder evaluar y considerar nuevas mejoras que se pueden implementar.

 4.4.2. Declaración de Aplicabilidad

Como se mencionó anteriormente la empresa no busca la certificación de la

NTP-ISO/IEC 27001:2014, pero de igual forma se está considerando la

declaración de aplicabilidad para el presente trabajo de investigación, por

motivos confidencialidad no se muestra la declaración de aplicabilidad.

80
 4.5.1. Fase 5, Cierre

Esta es la fase final, donde se elabora un informe del estado del proyecto, en

donde se da por terminado la implementación del SGSI.

4.5.1.1. Actividad No. 17: Elaborar el acta de cierre del proyecto

Luego de haber terminado la implementación del proyecto, mediante una

reunión con las partes interesadas se debe elaborar el acta de cierre del

proyecto, comunicando su finalización a las partes interesadas y terminar por

aclarar cualquier duda o consulta si tuvieran.

a) Entregable: Acta de cierre del proyecto.

Mediante el presente documento se busca dar por culminado el proyecto

de implementación del SGSI, en donde las partes interesadas dan su

aprobación y visto bueno de dicha implementación.

81
4.2. ANÁLISIS Y RESULTADOS

A continuación, se presentan el análisis y los resultados de los datos obtenidos

mediante las entrevistas, cuestionarios y la ficha de observación para determinar si las

hipótesis planteadas se pueden afirmar o rechazar y saber si la implementación del SGSI

ha mejorado la SI en la empresa.

4.2.1. Análisis por Dimensiones e Indicadores

A continuación, se muestra los indicadores de las dimensiones

definidas en la matriz de consistencia, para determinar si la

implementación del SGSI ha mejorado o no la SI dentro de la empresa.

Cabe resaltar que los datos mostrados están en función a las respuestas de

las entrevistas que se realizó a los trabajadores y que las preguntas están

alineadas a los indicadores y dimensiones del trabajo de investigación, el

análisis es una comparación del antes y después de la implementación del

SGSI respecto a la SI, se ha calculado la media o promedio de las

respuestas para analizar cada dimensión y determinar si ha mejorado o

disminuido la SI.

La empresa tiene una población de 17 trabajadores, los datos

recopilados son de una muestra de 10 trabajadores a quienes se realizó las

entrevistas y cuestionarios, de esta manera, la muestra puede representar

al total de trabajadores o población, entonces a partir de los datos

recolectados de la muestra se puede inferir conclusiones sobre la

población y evaluar los indicadores. Además, es importante recordar que

la implementación del SGSI se realizó solo al Proceso de TI de la

empresa.

82
 Los resultados obtenidos de las entrevistas y cuestionarios son una

valoración subjetiva de las respuestas de los trabajadores respecto a la SI.

Así mismo, los resultados obtenidos mediante la ficha de observación son

resultados objetivos, ya que los datos se han recolectados mediante

hechos reales de los diversos sucesos semanales respecto a la SI. A

continuación, se muestra el análisis y resultados de las dimensiones e

indicadores de las variables independiente y dependiente.

Dimensiones de la variable independiente: Sistema de Gestión de

Seguridad de la Información

 Dimensión Activos de información

Para el SGSI, es importante conocer los activos de la empresa, como

se mencionó anteriormente la preservación de los activos es

fundamental para la continuidad de los procesos y actividades de la

empresa, conocer los activos brinda una mejor oportunidad de

gestionar dichos activos.

 Preguntas de la entrevista respecto a los activos de

información

Pregunta del Indicador Meta Antes Después

1. ¿Considera usted que es
importante conocer los
100% 100% 100%
activos de información que
está a su cargo?
2. ¿Considera usted que ha
identificado los activos
100% 50% 80%
críticos de información que
está a su cargo?
3. ¿Considera usted que los
activos de información 100% 20% 90%
identificados tienen

83
controles implementados
que garantizan su
seguridad?
Media 100% 57% 90%

Nota. Fuente de elaboración propia.

Interpretación:

Del cuadro anterior, se puede inferir que antes de la

implementación del presente proyecto, un 57% de los trabajadores

conocían la importancia de sobre los activos, pero después de la

implementación del SGSI se muestra que el 90 % de los

trabajadores ya tienen conocimientos de la importancia de saber

identificar los activos, es decir, se ha aumentado en un 33% la de

trabajadores que conocen la importancia y saben identificar activos

para mejorar la SI.

 Indicador. Cantidad de activos de información:

Mediante la Ficha de Observación se muestra que durante la

implementación del SGSI se ha identificado 52 activos de

información principales para el Proceso de TI, esto permite tener

una mejor gestión de ellos.

Gráfico:

Cantidad de activos de información

60 52
50 42
40 36
29
30 23
20 14
10
0
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia.

84
 Dimensión Amenazas

Es importante conocer saber cuáles son las amenazas a las que se

encuentran expuestos nuestros activos, para poder gestionar las

amenazas de una manera más eficiente y evitar que afecten a los

activos de información.

 Preguntas de la entrevista respecto a las amenazas

Preguntas del Indicador Meta Antes Después

4. ¿Conoce usted cuales
son las amenazas a los que
100% 30% 70%
se encuentran expuestos
sus activos de información?
5. ¿Considera usted que las
amenazas detectadas en
100% 10% 90%
los activos de información
están bajo control?
Media 100% 20% 80%

Nota. Fuente de elaboración propia.

Interpretación:

Del cuadro anterior, se puede inferir que antes de la

implementación del presente proyecto que solo el 20% de los

trabajadores tenían conocimientos sobre las amenazas que pueden

afectar a sus activos, pero después de la implementación del SGSI

el porcentaje de los trabajadores que tienen conocimientos sobre

las amenazas que pueden afectar a sus activos es de un 80%, eso

indica que se tiene una mayor conciencia y conocimiento sobre las

amenazas que pueden afectar los activos de información.

 Indicador. Cantidad de Amenazas detectadas:

Mediante la Ficha de Observación se muestra que durante la

implementación del SGSI se ha identificado en total son 57

85
 amenazas, las cuales se dividen en 4 tipos de amenazas (desastres

naturales, de origen industrial, errores y fallos no intencionados y

ataques intencionados) y pueden afectar a los diversos activos del

Proceso de TI, tener identificado las amenazas permite tener un

mejor control de las mismas.

Gráfico:

Cantidad de Amenazas detectadas

57
60
46
50 39
40 33
26
30
17
20
10
0
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia.

 Dimensión Vulnerabilidades

Las vulnerabilidades son las debilidades que tienen los activos de

información, por ende, es muy importante conocer dichas debilidades

para darle una protección adecuada, las vulnerabilidades pueden ser

explotadas por los diversos tipos de amenazas lo que puede ocasionar

algún daño o perjuicio en los procesos o actividades de la empresa.

 Preguntas de la entrevista respecto a las vulnerabilidades

Preguntas del Indicador Meta Antes Después

6. ¿Conoce usted cuales
son las vulnerabilidades
100% 40% 70%
que afectan a sus activos
de información?
7. ¿En los últimos meses
usted ha identificado
nuevas vulnerabilidades 100% 30% 50%
que afectan a sus activos
de información?

86
 100% 35% 60%
Nota. Fuente de elaboración propia.

Interpretación:

Al inicio de la implementación del presente proyecto se obtuvo

que solo un 35% de los trabajadores tenían conocimientos sobre

las vulnerabilidades de sus activos, pero después de la

implementación el porcentaje de los trabajadores que tienen

conocimientos sobre las vulnerabilidades es un 60%, se puede

observar que hay un incremento de trabajadores que tienen un

mayor conocimiento sobre las vulnerabilidades que pueden afectar

a sus activos.

 Indicador. Cantidad de vulnerabilidades detectadas:

Durante el proyecto se ha identificado 74 vulnerabilidades en los

diversos activos, dichas vulnerabilidades han sido gestionadas de

manera adecuada para evitar que sean explotadas por alguna

amenaza, además tener identificadas las vulnerabilidades permite

tener un mejor control de las mismas.

Gráfico:

Cantidad de vulnerabilidades detectadas

74
80
58
60 46
38
40 31
23
20
0
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia.

87
 Dimensión Incidentes

Los incidentes son eventos inesperados que pueden ser deseado o no,

por lo general los incidentes son eventos no deseados, ya que pueden

afectar a la CID de los activos, generando una serie de consecuencias

en la empresa.

 Preguntas de la entrevista respecto a los incidentes

Preguntas del Indicador Meta Antes Después

8. ¿Conoce usted cual es la
frecuencia de incidencias
0% 70% 50%
sobre sus activos de
información?
9. ¿Usted ha identificado
algún incidente sobre los 0% 80% 40%
activos de información?
0% 75% 45%
Nota. Fuente de elaboración propia.

Interpretación:

Es importante reducir la cantidad de incidentes no deseados dentro

de la empresa, de esta manera evitar cualquier evento que

perjudique a la empresa, se puede apreciar que antes de la

implementación se tenía un 75% de incidentes lo cual es muy alto,

pero después de la implementación se ha logrado reducir la

cantidad de incidentes a un 45%, si bien es cierto, sigue siendo

alto, pero algunos de los incidentes ocurrieron durante la

implementación del proyecto debido a ciertos inconvenientes los

cuales ya fueron corregidos, se considera que en los siguientes

meses irá disminuyendo dicho porcentaje de incidencias.

88
  Indicador. Cantidad de Incidentes ocurridos:

Mediante la Ficha de Observación se muestra la cantidad de

incidentes ocurridos durante cada semana, se muestra que ha ido

disminuyendo los incidentes, esto indica que se está gestionando

mejor los activos y sus vulnerabilidades.

Gráfico:

Cantidad de Incidentes ocurridos

28
30
25 21
18
20
13
15
10 6 7
5
0
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

 Dimensión Controles

Los controles son una parte fundamental dentro de la

implementación del SGSI, ya que mediante ellos se logra controlar

el riesgo asociado a los activos de información, además los controles

permiten proteger los activos de información, dichos controles por

lo general buscan proteger las debilidad o vulnerabilidades de los

activos frente a determinadas amenazas

 Preguntas de la entrevista respecto a los controles

Preguntas del Indicador Meta Antes Después

10. ¿Considera usted que
los controles
100% 10% 80%
implementados aseguran
los activos de información?

89
 11. ¿Considera usted que
es fácil mantener los
100% 40% 70%
controles aplicados a los
activos de información?
100% 25% 75%
Nota. Fuente de elaboración propia.

Interpretación:

Del cuadro anterior, se puede inferir que antes de la

implementación del presente proyecto se consideraba que los

controles implementados y su mantenimiento aseguraban un 25%

los activos, pero después de la implementación se considera que

los controles implementados y su mantenimiento aseguran en un

75% los activos, se ha incrementado en un 50%, es decir, el 75%

de los trabajadores consideran que los controles implementados y

su mantenimiento aumenta la seguridad de los activos actualmente.

 Indicador. Porcentaje de Controles implementados:

Durante la implementación del SGSI se ha implementado 89

controles para mejorar la seguridad de los activos, mediante la

Ficha de Observación se muestra el avance del porcentaje de

controles implementados por cada semana

Gráfico:

Porcentaje de Controles implementados

150%
91% 100%
100% 79%
64%
39%
50% 27%

0%
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

90
 Dimensión Políticas

Es importante establecer políticas, ya que brindan lineamientos que

se debe seguir para una correcta implementación del SGSI,

 Preguntas de la entrevista respecto a las políticas

Preguntas del Indicador Meta Antes Después

12. ¿Considera usted que
las políticas documentadas
100% 70% 100%
y difundidas son
importantes?
13. ¿Considera usted que
las políticas documentadas
100% 20% 100%
y difundidas no interfiere
con sus actividades?
100% 45% 100%
Nota. Fuente de elaboración propia.

Interpretación:

Al inicio de la implementación del presente proyecto se obtuvo

que solo un 45% de los trabajadores consideraban importante las

políticas y que no interferían en sus actividades, pero después de la

implementación todos consideran que las políticas son importantes

y entienden que no interfieren en sus actividades, ya que las

políticas son de carácter general y es aplicada por toda la empresa.

 Indicador. Cantidad de Políticas documentadas y difundidas.

Durante la implementación del SGSI se ha implementado 02

políticas (la política de la seguridad de la información y el manual

de gestión de riesgos y oportunidades) las cuales han sido

debidamente documentadas y difundidas a todo el personal de la

empresa, dichas políticas permiten conocer y entender el SGSI.

91
 Gráfico:

Cantidad de Políticas documentadas y

difundidas.
2.5
2 2 2 2 2 2
2

1.5

0.5

0
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

 Dimensión Procedimientos

Es importante establecer procedimientos que permitan conocer cuáles

son las acciones que se requieren para realizar una determinada tarea

o actividad, los procedimientos establecidos son de las principales

tareas y/o actividades que se realizan.

 Preguntas de la entrevista respecto a los procedimientos

Preguntas del Indicador Meta Antes Después

14. ¿Considera usted que
los procedimientos
documentados y 100% 100% 100%
difundidos son
importantes?
15. ¿Considera usted que
los procedimientos
documentados y difundido 100% 80% 80%
no interfiere con sus
actividades?
16. ¿Considera usted que
tener procedimientos
100% 70% 90%
documentados ayuda a sus
actividades?
100% 83% 90%

Nota. Fuente de elaboración propia.

92
Interpretación:

Al inicio de la implementación del presente proyecto los

trabajadores consideraban que los procedimientos son importantes

en un 83%, pero después de la implementación es un 90 % de los

trabajadores que consideran que los procedimientos son

importantes, se puede apreciar un leve incremento en que los

trabajadores consideran la importancia de los procedimientos.

 Indicador. Cantidad de Procedimientos documentados y

difundido

Durante la implementación del SGSI se ha implementado 04

procedimientos debidamente documentados y difundidos, los

cuales permiten conocer cómo se realiza determinadas tareas y/o

actividades.

Gráfico:

Cantidad de Procedimientos documentados y

difundido
4.5 4
4
3.5
3
2.5 2
2
1.5 1 1 1 1
1
0.5
0
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

93
Análisis general de las dimensiones de la variable independiente SGSI

Gráfico: Resultados de la Entrevista y Cuestionario - Antes y Después

Resultados de la Entrevista y Cuestionario - Antes y

Después
120% 100%
100% 90% 83%90%
80% 75% 75%
80% 57% 60%
60% 45% 45%
35%
40% 20% 25%
20%
0%

Antes Después

Nota. Fuente: Elaboración propia

Interpretación:

De los datos mostrados anteriormente de las dimensiones e indicadores de

los activos, amenazas, vulnerabilidades, incidentes, controles, políticas y

procedimientos, han sido obtenidos del cuestionario y la entrevista que se

realizó antes y después de la implementación del SGSI, las respuestas

obtenidas son de los trabajadores de la empresa los cuales son dueños de los

activos de información a los que el proceso de TI brinda el soporte

necesario para que cumplan con sus actividades, los trabajadores indican

que se ha mejorado la SI mediante la implementación del SGSI, ya que

mediante la gestión adecuada diversas dimensiones del SGSI se logró

mejorar la SI preservando la confidencialidad, integridad y disponibilidad

de los activos de información, es por ello que se acepta la hipótesis general

planteada en la presente investigación “La implementación del SGSI

mejorará la SI en una empresa MYPE – 2021.”

94
Gráfico: Resultados de la Ficha de Observación

Resultados de la Ficha de Observación

80 74
70 57 58
60 52
42 46 46
50 39 38
36 33
40 29 31 28
23 26 23
30
14 17 1821 91%
20 13
67 39%79%
10 27% 64% 100% 2 2 2 2 2 2 111124
0
Cantidad de
Porcentaje de Cantidad de
Cantidad de Cantidad de Cantidad de Cantidad de Procedimient
Controles Políticas
activos de Amenazas vulnerabilidad Incidentes os
implementad documentada
información detectadas es detectadas ocurridos documentado
os s y difundidas.
s y difundido
Resultados
14 17 23 28 27% 2 1
Semana 1
Resultados
23 26 31 18 39% 2 1
Semana 2
Resultados
29 33 38 21 64% 2 1
Semana 3
Resultados
36 39 46 13 79% 2 1
Semana 4
Resultados
42 46 58 6 91% 2 2
Semana 5
Resultados
52 57 74 7 100% 2 4
Semana 6

Nota. Fuente: Elaboración propia

Interpretación:

Mediante la ficha de observación se logró obtener datos de hechos reales de manera

objetiva respecto a las diversas dimensiones e indicadores, mediante los datos

obtenidos se logra identificar que se ha mejorado la SI mediante la implementación del

SGSI, ya que se ha logrado identificar los principales activos, identificar las amenazas y

vulnerabilidades, disminuir la cantidad de incidentes ocurridos mediante la aplicación

de controles y la elaboración e implementación de las políticas y procedimientos, de

esta manera se logró preservar la confidencialidad, integridad y disponibilidad de los

activos de información, es por ello que mediante los datos y resultados obtenidos se

acepta la hipótesis general planteada en la presente investigación. “La implementación

del SGSI mejorará la SI en una empresa MYPE – 2021”

95
Dimensiones de la variable dependiente: Seguridad de la Información

 Dimensión Confidencialidad

Es importante preservar la confidencialidad de los activos, dado que

la información que puede contener dichos activos puede ser de vital

importancia para la empresa y si son expuestos a personas no

autorizadas pueden traer serias consecuencias, a continuación, se

realizaron algunas preguntas respecto a la confidencialidad y los

resultados fueron los siguientes.

 Preguntas de la entrevista respecto a la confidencialidad

Preguntas del
Meta Antes
Indicador Después
17. ¿Considera usted
que los controles
implementados 100% 10% 80%
preservan la
confidencialidad?
18. ¿Considera usted
que el porcentaje de Esta pregunta se
incidentes que agregó después de
100% 100%
afectan la la implementación
confidencialidad ha del SGSI
disminuido?
100% 10% 90%

Nota. Fuente de elaboración propia.

Interpretación:

Los resultados obtenidos muestran que inicialmente los

trabajadores consideran que solo un 10% de los controles que

estaban implementados preservan la confidencialidad y después de

la implementación del SGSI consideran que los controles que se

han implementado preservan la confidencialidad en un 80%,

96
mejorado la confidencialidad de los activos, por ende, los

incidentes que afectan a la confidencialidad han disminuido.

 Indicador. Porcentaje de controles que preserven la

confidencialidad:

Mediante la ficha de observación se ha identificado un total de 89

controles a implementados, de los cuales solo 82 controles

preservan la confidencialidad de los activos, siendo un 92% la

cantidad de controles que preservan la confidencialidad de los

activos, a continuación, se muestra la fórmula establecida y el

gráfico con los datos que se recabo durante el proceso de

implementación.

Fórmula 1. Porcentaje de controles que preserven la

confidencialidad

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝑐𝑜𝑛𝑓𝑖𝑑𝑒𝑛𝑐𝑖𝑎𝑙𝑖𝑑𝑎𝑑

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠

Gráfico:

Porcentaje de controles que preservan la

confidencialidad
100% 92%
85%
75%
80%
64%
60% 52%
38%
40%
20%
0%
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

97
 Indicador. Porcentaje de incidentes de seguridad que afectan la

confidencialidad.

Mediante la ficha de observación se ha logrado identificar y

registrar las diversas incidencias ocurridas en las diversas semanas,

como se mencionó anteriormente son 82 controles preservan la

confidencialidad de los activos de información, para calcular el

porcentaje de incidentes que afectan la confidencialidad, se divide

la cantidad de incidentes ocurridos durante una semana entre 82

que es la cantidad total de controles preservan la confidencialidad

de los activos de información.

Fórmula 2. Porcentaje de incidentes de seguridad que afectan la

confidencialidad de la información.

𝐶𝑎𝑛𝑡. 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝑐𝑜𝑛𝑓𝑖𝑑𝑒𝑛𝑐𝑖𝑎𝑙𝑖𝑑𝑎𝑑

Gráfico:

Porcentaje de incidentes de seguridad que

afectan la Confidencialidad
40%
34%
35%
30% 26%
25% 22%
20% 16%
15%
7% 9%
10%
5%
0%
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

98
 Interpretación:

Del gráfico anterior se puede observar que el porcentaje de

incidentes de seguridad ocurridos que afectan la confidencialidad

está disminuyendo conforme se va implementando los controles,

inicialmente se tenía un 34% de incidentes que afectan la

confidencialidad y conforme se van implementando los controles

que preservan la confidencialidad se va reduciendo la cantidad de

incidentes que afectan la confidencialidad, esto indica que los

controles que se han implementado para mejorar la

confidencialidad si funcionan, por ende, podemos afirmar que la

implementación del SGSI si preserva la confidencialidad de los

activos de información, mejorando la SI en una empresa MYPE –

2021.

 Dimensión Integridad

Es importante preservar la integridad de los activos, dado que si la

información de dichos activos es dañado, modificado o eliminado

pueden traer serias consecuencias para la empresa, a continuación, se

realizaron algunas preguntas respecto a la integridad y los resultados

fueron los siguientes.

 Preguntas de la entrevista respecto a la integridad

Preguntas del
Meta Antes
Indicador Después
19. ¿Considera usted
que los controles
implementados 100% 10% 90%
preservan la
integridad?

99
 20. ¿Considera usted
Esta pregunta se
que el porcentaje de
agregó después de
incidentes que 100% 90%
la implementación
afectan la integridad del SGSI
ha disminuido?
100% 10% 90%

Nota. Fuente de elaboración propia.

Interpretación:

Los resultados obtenidos muestran que inicialmente los

trabajadores consideran que solo un 10% de los controles que

estaban implementados preservan la integridad y después de la

implementación del SGSI consideran que los controles que se han

implementado preservan la integridad en 90%, mejorado la

integridad de los activos, por ende, los incidentes que afectan a la

integridad han disminuido.

 Indicador. Porcentaje de controles que preserven la integridad

Mediante la ficha de observación se ha identificado un total de 89

controles a implementados, de los cuales solo 81 controles

preservan la integridad de los activos de información, siendo un

91% la cantidad de controles que preservan la integridad de los

activos, a continuación, se muestra la fórmula establecida y el

gráfico con los datos que se recabo durante el proceso de

implementación.

Fórmula 3. Porcentaje de controles que preserven la integridad

𝐶𝑎𝑛𝑡. 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝑖𝑛𝑡𝑒𝑔𝑟𝑖𝑑𝑎𝑑

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠

100
Gráfico:

Porcentaje de controles que preservan la

integridad
100% 91%
85%
75%
80%
64%
60% 52%
38%
40%

20%

0%
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

 Indicador. Porcentaje de incidentes de seguridad que afectan la

integridad de la información.

Mediante la ficha de observación se ha logrado identificar y

registrar las diversas incidencias ocurridas en las diversas semanas,

como se mencionó anteriormente son 81 controles preservan la

integridad de los activos de información, para calcular el

porcentaje de incidentes que afectan la integridad, se divide la

cantidad de incidentes ocurridos durante una semana entre 81, que

es la cantidad total de controles preservan la integridad de los

activos de información.

Fórmula 4. Porcentaje de incidentes de seguridad que afectan la

integridad de la información.

𝐶𝑎𝑛𝑡. 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝑖𝑛𝑡𝑒𝑔𝑟𝑖𝑑𝑎𝑑

101
 Gráfico:

Porcentaje de incidentes de seguridad que

afectan la integridad de la informacion
40%
35%
35%
30% 26%
25% 22%
20% 16%
15%
7% 9%
10%
5%
0%
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

Interpretación:

Del gráfico anterior se puede observar que el porcentaje de

incidentes de seguridad ocurridos que afectan la integridad está

disminuyendo conforme se va implementando los controles,

inicialmente se tenía un 35% de incidentes que afectan la

integridad y conforme se van implementando los controles que

preservan la integridad se va reduciendo la cantidad de incidentes

que afectan la integridad, esto indica que los controles que se han

implementado para mejorar la integridad si funcionan, por ende,

podemos afirmar que la implementación del SGSI si preserva la

integridad de los activos de información, mejorando la SI en una

empresa MYPE – 2021.

 Dimensión Disponibilidad

Es importante preservar la disponibilidad de los activos, dado que si

la información no está disponible en el momento que se les requiere o

necesita pueden traer consecuencias para la empresa, a continuación,

102
se realizaron algunas preguntas respecto a la disponibilidad y los

resultados fueron los siguientes.

 Preguntas de la entrevista respecto a la disponibilidad

Preguntas del
Meta Antes
Indicador Después
21. ¿Considera usted
que los controles
implementados 100% 0% 60%
preservan la
disponibilidad?
22. ¿Considera usted
Esta pregunta se
que el porcentaje de
agregó después de
eventos que afectan 100% 70%
la implementación
la disponibilidad ha del SGSI
disminuido?
100% 0% 65%
Nota. Fuente de elaboración propia.

Interpretación:

Los resultados obtenidos muestran que inicialmente los

trabajadores consideran que no hay controles preserven la

disponibilidad, esto debido a que en los procesos y actividades en

los que el proceso de TI brinda soporte han tenido problemas

respecto a la disponibilidad de sus activos, pero después de la

implementación del SGSI consideran que los controles que se han

implementado preservan la disponibilidad en 70%, mejorado la

disponibilidad de los activos, por ende, los incidentes que afectan a

la integridad han disminuido.

 Indicador. Porcentaje de controles que preserven la

disponibilidad

103
Mediante la ficha de observación se ha identificado un total de 89

controles a implementados, de los cuales solo 89 controles

preservan la disponibilidad de los activos de información, siendo

un 100% la cantidad de controles que preservan la disponibilidad

de los activos, a continuación, se muestra la fórmula establecida y

el gráfico con los datos que se recabo durante el proceso de

implementación.

Fórmula 5. Porcentaje de controles que preserven la

disponibilidad.

𝐶𝑎𝑛𝑡. 𝐶𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠

Gráfico:

Porcentaje de controles que preservan la

Disponibilidad
120%
100%
100% 91%
79%
80%
64%
60% 52%
38%
40%

20%

0%
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

 Indicador. Porcentaje de eventos afectan la disponibilidad de

la información

Mediante la ficha de observación se ha logrado identificar y

registrar las diversas incidencias ocurridas en las diversas semanas,

104
como se mencionó anteriormente son 89 controles preservan la

disponibilidad de los activos, para calcular el porcentaje de

incidentes que afectan la disponibilidad, se divide la cantidad de

incidentes ocurridos durante una semana entre 89 que es la

cantidad total de controles preservan la disponibilidad de los

activos de información.

Fórmula 6. Porcentaje de eventos afectan la disponibilidad de la

información.

𝐶𝑎𝑛𝑡. 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠

𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑

Gráfico:

Porcentaje de eventos afectan la disponibilidad

de la informacion
35% 31%
30%
24%
25% 20%
20% 15%
15%
10% 7% 8%
5%
0%
Resultados Resultados Resultados Resultados Resultados Resultados
Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente de elaboración propia

Interpretación:

Del gráfico anterior se puede observar que el porcentaje de

incidentes de seguridad ocurridos que afectan la disponibilidad

está disminuyendo conforme se va implementando los controles,

inicialmente se tenía un 35% de incidentes que afectan la

disponibilidad y conforme se van implementando los controles que

105
preservan la disponibilidad se va reduciendo la cantidad de

incidentes que afectan la disponibilidad, esto indica que los

controles que se han implementado para mejorar la disponibilidad

si funcionan, por ende, podemos afirmar que la implementación

del SGSI si preserva la disponibilidad de los activos de

información, mejorando la SI en una empresa MYPE – 2021.

106
Análisis general de las dimensiones de la variable dependiente SI

Gráfico: Resultados de la Entrevista y Cuestionario - Antes y Después

Resultados de la Entrevista y Cuestionario - Antes y Después

100% 90% 90%

80%
65%
60%

40%

20% 10% 10%

0%
0%
CONFIDENCIALIDAD INTEGRIDAD DISPONINILIDAD

Antes Después

Nota. Fuente: Elaboración propia

Interpretación:

De los datos mostrados anteriormente de las dimensiones e indicadores de la

confidencialidad, integridad y disponibilidad de la variable independiente SI, han

sido obtenidos del cuestionario y la entrevista que se realizó antes y después de la

implementación del SGSI, las respuestas obtenidas son de los trabajadores de la

empresa los cuales son dueños de los activos de información a los que el proceso

de TI brinda el soporte necesario para que cumplan con sus actividades, estas

dimensiones son el problema principal de la falta de la SI, mediante la

implementación del SGSI se demuestra cómo se logra gestionar de manera

adecuada las diversas dimensiones e indicadores, lo que permite mejorar la

Seguridad de la Información preservando la preservación de la confidencialidad,

integridad y disponibilidad de los activos de información, es por ello que se

acepta las hipótesis especificas planteada en el presente trabajo de investigación

“La implementación del SGSI preservará la confidencialidad, integridad y

disponibilidad de los activos de información, para mejorar la SI en una empresa

MYPE – 2021.”
107
 Gráfico: Resultados de la Ficha de Observación

Resultados de la Ficha de Observación

120%

100%
100% 92% 91% 91%
85% 85%
79%
80% 75% 75%

64% 64% 64%

60%
52% 52% 52%

38% 38% 38%

40% 34% 35%
31%
26% 26% 24%
22% 22% 20%
20% 16% 16% 15%
7%9% 7%9% 7%8%

0%
Porcentaje de
Porcentaje de
Porcentaje de Porcentaje de incidentes de Porcentaje de Porcentaje de
incidentes de
controles que controles que seguridad que controles que eventos afectan
seguridad que
preservan la preservan la afectan la preservan la la disponibilidad
afectan la
confidencialidad integridad integridad de la Disponibilidad de la informacion
Confidencialidad
informacion
Resultados
38% 34% 38% 35% 38% 31%
Semana 1
Resultados
52% 22% 52% 22% 52% 20%
Semana 2
Resultados
64% 26% 64% 26% 64% 24%
Semana 3
Resultados
75% 16% 75% 16% 79% 15%
Semana 4
Resultados
85% 7% 85% 7% 91% 7%
Semana 5
Resultados
92% 9% 91% 9% 100% 8%
Semana 6

Resultados Resultados Resultados Resultados Resultados Resultados

Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6

Nota. Fuente: Elaboración propia

Interpretación:

Mediante la recolección de datos de la ficha de observación se logró obtener datos de

manera objetiva respecto a las diversas dimensiones e indicadores de la variable

dependiente, del análisis de los datos obtenidos se demuestra que se ha mejorado la SI

mediante la implementación del SGSI mediante los controles implementados a los

108
activos de información, de esta manera se disminuye el porcentaje de las incidencias

que afectan a los mismo, preservando la confidencialidad, integridad y disponibilidad

de los activos de información. Es por ello que aceptamos las hipótesis especificas

planteada en presente trabajo de investigación debido a que los resultados obtenidos

mediante la implementación del SGSI logran preservar la confidencialidad, integridad y

disponibilidad de los activos de información, mejorando la SI en una empresa MYPE –

2021.”

109
CAPÍTULO V: CONCLUSIONES Y RECOMENDACIONES

5.1. CONCLUSIONES

Como resultado del presente trabajo de investigación se concluye con algunas

afirmaciones respecto al logro de los objetivos e hipótesis del proyecto.

 Se concluye que, los datos obtenidos del análisis y resultados del presente trabajo

de investigación, se aceptan las hipótesis planteadas en el presente trabajo de

investigación, ya que la implementación del SGSI si mejoró la SI mediante la

preservación de la confidencialidad, integridad y disponibilidad de los activos de

información, asegurando la continuidad de sus servicios y actividades que realiza

la empresa, mejorando la productividad de los trabajadores debido a la reducción

de incidentes que se producía respecto a la falta de seguridad de la información.

 Se concluye que, se logró mejorar la SI preservando la confidencialidad,

integridad y disponibilidad de los activos de información, dando solución al

problema planteado y logrando el cumplimiento de los objetivos propuestos

debido a la implementación del SGSI, el cual permite tener una gestión adecuada

de los activos, amenazas, vulnerabilidades, incidencias, controles, políticas y

procedimientos mediante el mantenimiento y la mejorara continuamente el SGSI,

de esta manera se permite salvaguardar los principales activos de información

mediante la aplicación de controles e identificado a los principales riesgos a los

que se encuentran expuestos.

 Se logró establecer una estructura organizacional del sistema de gestión de

seguridad de la información teniendo como guía a la NTP-ISO/IEC 27001:2014,

ya que brinda los lineamientos para una adecuada implementación del SGSI. Las

micro y pequeñas empresas por lo general no cuentan con un SGSI, ya que

110
 consideran que su implementación puede ser muy costosa, pero se ha visto que la

implementación del SGSI está en función a los recursos y necesidades de la

empresa, por ende, no es necesario invertir mucho dinero, solo lo necesario para

salvaguardar los principales activos de información, así evitar consecuencias

negativas para dichas empresas y que el cumplimiento estricto de las cláusulas y

dominios de dicha norma permite la certificación, pero para las micro y pequeñas

empresas tal vez no siempre sea necesario la certificación, pero si considerar los

lineamientos adecuados de la norma para mejorar su SI.

 El compromiso de la alta dirección es muy importante para el éxito de la

implementación del SGSI, por medio de ellos se logra involucrar y concientizar a

los jefes de áreas y a todo el personal involucrado, además permite tener un

respaldo de las políticas y procedimientos implementados y debidamente

difundidas y documentadas, permitiendo a los trabajadores conocer y entender el

SGSI y sus tareas y actividades que realizan, es importante realizar la

documentación porque nos permite estar organizados y tener lineamientos

definidos.

5.2. RECOMENDACONES

Las recomendaciones del presente trabajo de investigación son las siguientes.

 Se recomienda, a partir de presente trabajo se debe implementar el SGSI a otros

procesos de la empresa, ya que mediante dicha implementación se logrará

mejorar la seguridad de la información permitiendo salvaguardar los activos de

información y gestionar los riesgos asociados dichos procesos mejorando la

productividad de dichos procesos y garantizando la continuidad de sus servicios y

actividades que realicen.

111
 Se recomienda, revisar y actualizar la política de seguridad y los procedimientos

de manera periódica o cada vez que se requiera y que siempre este debidamente

documentada y difundida, de igual forma se debe considerar que con el pasar del

tiempo existirán nuevos activos de información, por ende, nuevas amenazas y

vulnerabilidad que puedan afectar a dichos activos, además, se debe hacer una

revisión periódica de los activos de información y evaluar si su valor no ha

cambiado con el tiempo, ya que existe la posibilidad que algunos activos dejen de

ser activos principales con el tiempo. Del mismo modo se debe hacer una revisión

periódica de los riesgos y tratamientos de riesgos, ya que estos pueden cambiar

con el tiempo, así como su importancia.

 Se deben hacer reuniones mensuales del comité de seguridad para evaluar o

mejorar el SGSI, además es importante que el comité de seguridad realice las

auditorías internas anualmente o eventual para verificar el cumplimiento de las

políticas y procedimientos establecidos. El mantenimiento del SGSI es muy

importante para ello se le debe dar la importancia que se merece, además de la

asignación anual de un presupuesto de esta manera garantizar una adecuada

gestión y de mejora en cuanto a la seguridad de la información.

112
 REFERENCIAS

Areitio Bertolín, J. (2008). Seguridad de la información. Redes, informática y sistemas de

información. Madrid: Ediciones paraninfo.
Arias, F. G. (2006). El Proyecto de Investigación Introcucción a la metodología Científica.
Caracas: Episteme.
Ballestero, F. (30 de abril de 2020). https://dialnet.unirioja.es/. Obtenido de
https://dialnet.unirioja.es/servlet/articulo?codigo=7358555:
http://www.revistasice.com/index.php/BICE/article/view/6993/6993
COMEXPERU. (2020). Las micro y pequeñas empresas en el Perú Resultados en 2020.
Obtenido de https://www.comexperu.org.pe/upload/articles/reportes/reporte-mypes-
2020.pdf
Department for Digital, C. M. (26 de marzo de 2020). Cyber Security Breaches Survey 2020.
Obtenido de https://www.gov.uk/government/statistics/cyber-security-breaches-
survey-2020/cyber-security-breaches-survey-2020:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachme
nt_data/file/893399/Cyber_Security_Breaches_Survey_2020_Statistical_Release_180
620.pdf
El peruano. (08 de enero de 2016). Aprueban el uso obligatorio de la Norma Técnica
Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de
Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2a.
Edición”. Obtenido de https://busquedas.elperuano.pe/normaslegales/aprueban-el-
uso-obligatorio-de-la-norma-tecnica-peruana-ntp-resolucion-ministerial-no-004-2016-
pcm-1333015-1/
El Peruano. (07 de enero de 2017). Ley de Protección de Datos Personales. Obtenido de
https://diariooficial.elperuano.pe/pdf/0036/ley-proteccion-datos-personales.pdf
Espinoza Espinoza, A. F., Venturo Orbegoso, C. O., & Bravo Chávez, O. J. (11 de febrero de
2020). Factores que inciden en el crecimiento de las mypes de calzado. Obtenido de
https://revistas.uide.edu.ec/index.php/innova/index
Gil Vera, V. D., & Gil Vera, J. C. (2017). Sistema de Información Científica Redalyc Red de
Revistas Científicas. Obtenido de
http://www.redalyc.org/articulo.oa?id=84953103011
Gómez Vieites, Á. (2014). Enciclopedia de la Seguridad Informática 2da edición. Santa Cruz
Acatlán: Alfaomega.
Hernandez Sampieri, R., & Mendoza Torres, C. (2018). Metodología de la investigación.
México: Mc Graw Hill Education.
Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, M. (2014). Metodología
de la investigación Sexta edición. México D.F.: Interameriacana Editores.
INTECO, I. N. (2010). Curso de Sistemas de Gestión de la Seguridad de la Información
según la Norma UNE-ISO/IEC 27000.

113
León Gómez De, J. E. (15 de 12 de 2020). Tecnológico de Antioquia Institución
Universitaria. Obtenido de https://dspace.tdea.edu.co/handle/tdea/1396:
https://dspace.tdea.edu.co/bitstream/handle/tdea/1396/Informe%20Mejores%20pr%c3
%a1cticas.pdf?sequence=1&isAllowed=y
PMI. (2017). La guía de los fundamentos para la dirección de proyectos (Guía del PMBOK).
Pennsylvania: Project Management Institute, Inc.
Reyes, A., Maderni, G., & Silva, G. (2010). EL GOBIERNO DE LA SEGURIDAD DE LA
INFORMACIÓN COMO INSTRUMENTO DE GESTIÓN.
Romero Castro, M. I., Figueroa Moràn, G. L., Vera Navarrete, D. S., Álava Cruzatty, J. E.,
Parrales Anzúles, G. R., Álava Mero, C. J., . . . Castillo Merino, M. A. (2018).
INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA Y EL ANÁLISIS DE
VULNERABILIDADES. ALICANTE: Área de Innovación y Desarrollo,S.L. .
Sánchez Sánchez, P. A., García González, J. R., Triana, A., & Perez Coronell, L. (03 de 05 de
2021). https://scielo.conicyt.cl/. Obtenido de Medida del nivel de seguridad
informática de las pequeñas y medianas empresas (PYMEs) en Colombia:
https://scielo.conicyt.cl/scielo.php?pid=S0718-
07642021000500121&script=sci_arttext
Villaseca Hernández, A. (2019). Certiproft Certified ISO 27001 Auditor / Lead Auditor
(I27001A/LA).
Zuña Macancela, E. R., Arce Ramírez, Á. A., Romero Berrones, W. J., & Soledispa Baque,
C. J. (2019). ANÁLISIS DE LA SEGURIDAD DE LA INFORMACIÓN EN LAS
PYMES DE LA CIUDAD. Guayaquil.

114
ANEXOS

ANEXO 1: MATRIZ DE CONSISTENCIA

Problema Objetivo Hipótesis

Variables Dimensiones Indicadores
General General General

Cantidad de
Activos de
activos de
información
información

Cantidad de
Amenazas Amenazas
detectadas

Variable Cantidad de
¿De qué La
Implementar Independie Vulnerabilida Vulnerabilidades
manera se implementación des
un Sistema de nte: detectadas
puede del Sistema de
Gestión de
mejorar la Gestión de
Seguridad de Sistema de
seguridad de Seguridad de la Cantidad de
la Información Gestión de
la Información Incidentes Incidentes
para mejorar la Seguridad
información mejorará la ocurridos
seguridad en la de la
en una seguridad de la
información en Informació
empresa información en
una empresa n (SGSI) Porcentaje de
MYPE - una empresa
MYPE - 2021 Controles Controles
2021? MYPE - 2021
implementados

Cantidad de
Políticas
Políticas
documentadas y
difundidas.
Cantidad de
Procedimient Procedimientos
os documentados y
difundido

Problemas Objetivos Hipótesis

Especifico Especifico Especifico

¿Determinar Porcentaje de
Determinar
de qué La controles que
como la
manera la implementación preserven la
implementación
implementaci del Sistema de confidencialidad
del Sistema de
ón del Gestión de de los activos de
Gestión de
Sistema de Seguridad de Variable información
Seguridad de
Gestión de la Información Dependient
la Información
Seguridad de preservará la e:
preserva la
la confidencialid Confidenciali
confidencialid
Información ad de los Seguridad dad
ad de los Porcentaje de
puede activos de de la
activos de incidentes de
preservar la información, informació
información, seguridad que
confidenciali para mejorar la n (SI)
para mejorar la afectan la
dad de los seguridad de la
seguridad de la Confidencialidad
activos de información en
información en
información, una empresa
una empresa
para mejorar MYPE - 2021
MYPE - 2021
la seguridad

115
 de la
información
en una
empresa
MYPE -
2021?
¿Determinar Porcentaje de
de qué controles que
manera la preserven la
implementaci integridad de los
Determinar
ón del La activos de
como la
Sistema de implementación información
implementación
Gestión de del Sistema de
del Sistema de
Seguridad de Gestión de
Gestión de
la Seguridad de
Seguridad de
Información la Información
la Información
puede preservará la
preserva la
preservar la integridad de Integridad
integridad de Porcentaje de
integridad de los activos de
los activos de incidentes de
los activos de información,
información, seguridad que
información, para mejorar la
para mejorar la afectan la
para mejorar seguridad de la
seguridad de la integridad de la
la seguridad información en
información en información
de la una empresa
una empresa
información MYPE - 2021
MYPE - 2021
en una
empresa
MYPE -
2021?
¿Determinar Porcentaje de
de qué controles que
manera la preserven la
implementaci Disponibilidad de
ón del Determinar los activos de
La
Sistema de como la información
implementación
Gestión de implementación
del Sistema de
Seguridad de del Sistema de
Gestión de
la Gestión de
Seguridad de
Información Seguridad de
la Información
puede la Información
preservará la
preservar la preserva la Disponibilida
disponibilidad
disponibilida disponibilidad d
de los activos
d de los de los activos Porcentaje de
de información,
activos de de información, eventos afectan
para mejorar la
información, para mejorar la la disponibilidad
seguridad de la
para mejorar seguridad de la de la información
información en
la seguridad información en
una empresa
de la una empresa
MYPE - 2021
información MYPE - 2021
en una
empresa
MYPE -
2021?

116
ANEXO 2: ACTA DE CONSTITUCIÓN DEL PROYECTO

117
118
119
120
ANEXO 3: ALCANCE DEL SGSI

121
122
123
124
ANEXO 4: FICHA PARA EL CONTROL DE DOCUMENTOS

125
126
 ANEXO 5: FICHA DE ENTREVISTA

La presente entrevista se realizará con el fin de conocer el estado actual de la empresa (AS-IS),
respecto a la seguridad de la información, de este modo conocer cuáles son sus necesidades y
requerimientos que la empresa requiere. para ello se debe responder las siguientes preguntas de
manera clara y concisa.

Al inicio de cada pregunta debe responder con un Si o No, luego puede argumentar su respuesta si
desea argumentar su respuesta.

Sobre los Activos de información

1. ¿Considera usted que es importante conocer los activos de información que está a su cargo?

SI NO

2. ¿Considera usted que ha identificado los activos críticos de información que está a su cargo?

SI NO

3. ¿Considera usted que los activos de información identificados tienen controles implementados
que garantizan su seguridad?

SI NO

127
Sobre las Amenazas

4. ¿Conoce usted cuales son las amenazas a los que se encuentran expuestos sus activos de
información?

SI NO

5. ¿Considera usted que las amenazas detectadas en los activos de información están bajo control?

SI NO

Sobre las Vulnerabilidades

6. ¿Conoce usted cuales son las vulnerabilidades que afectan a sus activos de información?

SI NO

128
7. ¿En los últimos meses usted ha identificado nuevas vulnerabilidades que afectan a sus activos de
información?

SI NO

Sobre los Incidentes

8. ¿Conoce usted cual es la frecuencia de incidencias sobre sus activos de información?

SI NO

9. ¿Usted ha identificado algún incidente sobre los activos de información?

SI NO

Sobre los Controles

10. ¿Considera usted que los controles implementados aseguran los activos de información?

SI NO

129
11. ¿Considera usted que es fácil mantener los controles aplicados a los activos de información?

SI NO

Sobre las Políticas

12. ¿Considera usted que las políticas documentadas y difundidas son importantes?

SI NO

13. ¿Considera usted que las políticas documentadas y difundidas no interfiere con sus actividades?

SI NO

130
Sobre los Procedimientos

14. ¿Considera usted que los procedimientos documentados y difundidos son importantes?

SI NO

15. ¿Considera usted que los procedimientos documentados y difundido no interfiere con sus
actividades?

SI NO

16. ¿Considera usted que tener procedimientos documentados ayuda a sus actividades?

SI NO

Sobre la Confidencialidad

17. ¿Considera usted que los controles implementados preservan la confidencialidad?

SI NO

131
Sobre la Integridad

18. ¿Considera usted que los controles implementados preservan la integridad?

SI NO

Sobre la Disponibilidad

19. ¿Considera usted que los controles implementados preservan la disponibilidad?

SI NO

132
 ANEXO 6: INFORME DE ANÁLISIS DEL ESTADO ACTUAL

Después de haberse realizado la entrevista a los 10 usuarios que participaron voluntariamente

entre ellos los jefes de cada área y personal con gran experiencia en sus cargos y funciones
que desempeñan, se muestra el resultado de las respuestas de la entrevista, cabe resaltar que
las respuestas fueron únicamente con opciones dicotómicas.
RESPUESTAS ENTREVISTA
No de PREGUNTAS (Dicotómicas: SÍ - NO)
Entrevistados
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
(E)
E.1 SI SI NO SI SI SI SI SI SI NO SI SI NO SI NO SI NO NO NO

E.2 SI NO NO NO NO NO NO NO SI SI NO SI NO SI NO NO NO NO NO

E.3 SI SI SI SI NO NO SI SI SI NO NO SI NO SI NO SI NO NO NO

E.4 SI NO NO NO NO NO NO SI SI NO SI SI NO SI NO SI NO NO NO

E.5 SI SI NO NO NO NO SI SI SI NO SI SI NO SI NO SI SI SI NO

E.6 SI NO SI NO NO SI NO SI SI NO NO SI NO SI NO SI NO NO NO

E.7 SI SI NO SI NO SI NO NO SI NO NO NO SI SI SI NO NO NO NO

E.8 SI NO NO NO NO NO NO SI NO NO NO NO SI SI SI SI NO NO NO

E.9 SI SI NO NO NO SI NO SI SI NO SI SI NO SI NO SI NO NO NO

E.10 SI NO NO NO NO NO NO NO NO NO NO NO NO SI NO NO NO NO NO

Se utilizó el programa SPSS de IBM para mostrar los resultados obtenidos.

A continuación, se muestra los resultados de la tabla anterior mediante gráficos estadísticos,

sobre las respuestas de los entrevistados, para comprender cual es la situación actual de la
empresa respecto a la seguridad de la información

133
Sobre los Activos de información

1. ¿Considera usted que es importante 2. ¿Considera usted que ha identificado los

conocer los activos de información que está a activos críticos de información que está a su
su cargo? cargo?

0%

50% 50%

100%

SI NO SI NO

3. ¿Considera usted que los activos de

información identificados tienen controles
implementados que garantizan su seguridad?

20%

80%

SI NO

Sobre las Amenazas

4. ¿Conoce usted cuales son las amenazas a 5. ¿Considera usted que las amenazas
los que se encuentran expuestos sus activos detectadas en los activos de información
de información? están bajo control?

10%
30%

70%
90%

SI NO SI NO

134
Sobre las Vulnerabilidades

6. ¿Conoce usted cuales son las 7. ¿En los últimos meses usted ha identificado
vulnerabilidades que afectan a sus activos de nuevas vulnerabilidades que afectan a sus
información? activos de información?

30%
40%

60%
70%

SI NO SI NO

Sobre los Incidentes

8. ¿Conoce usted cual es la frecuencia de 9. ¿Usted ha identificado algún incidente

incidencias sobre sus activos de información? sobre los activos de información?

20%
30%

70%
80%

SI NO SI NO

Sobre los Controles

10. ¿Considera usted que los controles 11. ¿Considera usted que es fácil mantener
implementados aseguran los activos de los controles aplicados a los activos de
información? información?

10%

40%

60%
90%

SI NO SI NO

135
Sobre las Políticas

12. ¿Considera usted que las políticas 13. ¿Considera usted que las políticas
documentadas y difundidas son importantes? documentadas y difundidas no interfiere con
sus actividades?

30% 20%

70%
80%

SI NO SI NO

Sobre los Procedimientos

14. ¿Considera usted que los procedimientos 15. ¿Considera usted que los procedimientos
documentados y difundidos son importantes? documentados y difundido no interfiere con
sus actividades?
0%

20%

80%
100%

SI NO SI NO

16. ¿Considera usted que tener

procedimientos documentados ayuda a sus
actividades?

30%

70%

SI NO

136
Sobre la Confidencialidad

17. ¿Considera usted que los controles

implementados preservan la
confidencialidad?

10%

90%

SI NO

Sobre la Integridad

18. ¿Considera usted que los controles

implementados preservan la integridad?

10%

90%

SI NO

Sobre la Disponibilidad

19. ¿Considera usted que los controles

implementados preservan la disponibilidad?

SI NO

137
 ANEXO 7: INFORME DE COSTO BENEFICIO

La empresa ha sufrido ciertos problemas de falta de seguridad, por lo cual se ha estimado las
pérdidas de dichos problemas, además se estimará ciertos costos que pueden influir de
manera negativa para la empresa debido a la falta de seguridad de la información.

Beneficio de ahorro de la implementación del SGSI

Costo de penalidades por incumplimiento legal o

Costo
diversos riesgos asociados
Perdida en la continuidad del servicio (ya se dio el
S/ 30,000.00
caso, la estimación es de)
Incumplimiento de los planes y/o procedimientos S/ 5,000.00
Incumplimiento de la ley de protección de datos
S/ 22,000.00
personales, la sanción es hasta 10 UIT
Incumplimiento contractual con los clientes S/ 6,000.00
Por perdida equipos informáticos S/ 4,600.00
Penalidad por el uso de licencias pagadas de manera
pirata para operaciones de la empresa, la sanción es S/ 20,000.00
hasta 180 UIT

Perdida o modificación de los activos de información S/ 10,000.00

Incidentes en los procesos u operaciones de la

S/ 20,000.00
empresa
TOTAL, del Costo de penalidades por incumplimiento
S/ 117,600.00
legal o diversos riesgos asociados

Costo de la implementación del SGSI

Recursos Precio
Recursos servicios S/6,800.00
Recursos hardware/físicos S/11,620.00
Recursos software S/6,920.00
Recursos materiales S/600.00
Total S/25,940.00

Costo S/25,940.00
Beneficio S/117,600.00
Beneficio/Costo 4.533538936

El beneficio que se genera es mayor al costo, es por ello, que si es rentable la

implementación del SGSI para el Proceso de TI.

138
ANEXO 8: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

139
140
141
142
 ANEXO 9: IDENTIFICAR ACTIVOS DE INFORMACIÓN

Nombre Proceso al
ID Descripción del Propietario
Subcategoría del que Tipo Ubicación
Activo Categoría activo del activo
Activo pertenece
1 2 3 4 5 6 7 8

1. ID Activo: Es un identificador único, el cual es asignado a un activo de la

información de esa manera evitar duplicidad en los activos.

2. Categoría: Indica si el activo pertenece a la categoría Primario o de Soporte.

3. Subcategoría: Indica la subcategoría del activo que puede ser de Local, Información,

Servicios, Documento, Hardware, Software, Red, Auxiliares y Personal, se escoge la

subcategoría dependiendo del activo.

4. Nombre del Activo: Se le asigna el nombre correspondiente al activo para poder

identificarlo.

5. Descripción del activo: Se explica la importancia del activo de información.

6. Proceso al que pertenece: Indica a que proceso pertenece el activo.

7. Tipo: Puede ser de tipo Tecnológicos si hace referencia a cualquier medio digital o

magnético y de tipo No Tecnológicos si hace referencia a cualquier activo que este en

un medio impreso o físico.

8. Ubicación: Indica en el lugar donde se encuentra el activo de información.

9. Propietario del activo: Es la persona o entidad que ejerce posesión y control sobre el

activo.

143
 ANEXO 10: INVENTARIO Y VALORACIÓN DE ACTIVOS DE INFORMACIÓN

Datos del Activo Afecta

Nombre Valorización
N° ID Propietario/
del C I D Total del activo
Activo Responsable
Activo
1 2 3 4 5 6 7 8 9 10 11 12

1. N°: Indica el número de la lista del inventario y valoración del activo de información

2. ID Activo: Es un identificador único, el cual es asignado a un activo de la información

de esa manera evitar duplicidad en los activos.

3. Nombre del Activo: Se le asigna el nombre correspondiente al activo para poder

identificarlo.

4. Propietario/ Responsable: Es la persona o entidad que ejerce posesión y control sobre

el activo.

5. Confidencialidad (C): Se debe indicar cual es la clasificación de la confidencialidad

según el activo, estos pueden ser de cuatro valores (0 No afecta, 1 Uso público, 2 Uso

Interno y 7 Confidencial).

6. Se asignan los valores según se ha clasificado la confidencialidad

7. Integridad (I): Se debe indicar cual es la clasificación de la integridad según el activo,

estos pueden ser de cuatro valores (0 No afecta, 1 Baja, 2 Normal y 7 Sensible).

8. Se asignan los valores según se ha clasificado la integridad

9. Disponibilidad (D): Se debe indicar cual es la clasificación de la disponibilidad según

el activo, estos pueden ser de cuatro valores (0 No afecta, 1 Baja, 2 Media y 7 Alta).

10. Se asignan los valores según se ha clasificado la disponibilidad

11. Total: Es la suma de los campos 6, 8 y 10

12. Valorización del activo: Es en nivel de valoración del activo para la empresa y puede

ser (Del 1 al 3 será “Valor Bajo” de color verde, del 4 al 6 será “Valor Medio” de color

naranja y del 7 a más será “Valor Alto” de color rojo).

144
ANEXO 11: MANUAL DE GESTIÓN DE RIESGOS Y OPORTUNIDADES

145
146
147
148
 ANEXO 12: INFORME DE RIESGOS DE LOS ACTIVOS DE INFORMACIÓN

Análisis y valoración de los riesgos

Afecta Riesgo Inherente

Vulnerabilidad
Valorización

ID Riesgo
del activo

Amenaza

Probabilida

Cálculo del
Riesgo

Impacto
ID Nivel de

Riesgo
N° Activo
Activo C I D Riesgo

d
Inherente

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

1. N°: Indica el número de la lista del análisis y valoración de los riesgos de información

2. ID Activo: Es un identificador único, el cual es asignado a un activo de la información.

3. Activo: Se le asigna el nombre correspondiente al activo para poder identificarlo.

4. Valorización del activo: Es en nivel de valoración del activo para la empresa y puede

ser (Del 1 al 3 será “Valor Bajo” de color verde, del 4 al 6 será “Valor Medio” de color

naranja y del 7 a más será “Valor Alto” de color rojo), de esta manera apreciar de

manera más clara cuál es la valoración del activo e identificar a que riesgos está

expuesto.

5. ID Riesgo: Es un identificador único, el cual es asignado a un determinado riesgo.

6. Riesgo: Describe de manera breve los riesgos asociados a los activos de información.

7. Amenaza: Se debe determinar cuáles son las amenazas a las que se encuentran

expuestos los activos de información

8. Vulnerabilidad: Se debe identificar cuáles son las debilidades de los activos de

información que podrían ser explotadas por una o más amenazas

9. CID: Se debe identificar si el riesgo está asociado a la perdida de la confidencialidad,

integridad y/o disponibilidad

10. Probabilidad: Es un evento o suceso que puede ocurrir, se debe seleccionar uno de los

valores de ocurrencia (“Casi nunca” Puede ocurrir una vez cada 2 años, “Poco

149
 probable” Puede ocurrir cada año, “Probable” Puede ocurrir cada 6 meses, “Muy

probable” Puede ocurrir cada al mes y “Frecuente” Puede ocurrir cada semana).

11. Según se ha seleccionado el valor de la probabilidad se debe asignar el un valor “Casi

nunca = 1”, “Poco probable = 2”, “Probable = 3”, “Muy probable= 4” y “Frecuente =

5”).

12. Impacto: Se considera a la materialización de la amenaza sin controles, a continuación,

se muestra el valor del impacto (“Insignificante” Impacta levemente en la operatividad

del proceso, “Menor” Impacta en la operatividad del proceso, “Moderado” Impacta en

la operatividad del macro proceso; “Mayor” Impacta fuertemente en la operatividad de

los procesos y “Desastroso” Impacta críticamente en la operatividad de los procesos)

13. Según se ha seleccionado el valor del impacto se debe asignar un valor (“Insignificante

= 2”, “Menor = 4”, “Moderado = 6”; “Mayor = 8” y “Desastroso = 10”).

14. Cálculo del Riesgo: Es la multiplicación de la probabilidad x el impacto, de esta

manera determinar el nivel del Riesgo Inherente

Riesgo = Probabilidad * Impacto

5 10 20 30 40 50
Probabilidad

4 8 16 24 32 40

3 6 12 18 24 30

2 4 8 12 16 20

1 2 4 6 8 10

2 4 6 8 10
Impacto

15. Nivel de Riesgo Inherente: Es el riesgo que está presente en la actividades y tareas que

se realiza en el proceso, no se considera la eficacia de los controles, para calcularlo es

la multiplicación de la probabilidad x el impacto. Se considera los siguientes valores

para la determinar el nivel del Riesgo:

150
 - Si el cálculo es de 2 a 4 “Aceptable” se acepta y se asume el riesgo y se retiene.

- Si el cálculo es de 6 a 12 “Tolerable” Se asume el riesgo y/o se busca reducirlo,

se requiere una atención inmediata y/o monitoreo de manera permanente.

- Si el cálculo es de 16 a 24 “Intolerable” Se debe reducir, eliminar o transferirlo

el riesgo, se requiere atención inmediata y monitoreo permanente.

- Si el cálculo es de 30 a 50 “Extremo” Es un riesgo intolerable, pero se debe

tratar a nivel de la alta dirección.

A continuación, se muestra los el análisis y valoración de los riesgos, por temas de seguridad

de la información solo se muestran ciertos campos, se obtuvo la conformidad del gerente

general para mostrar los siguientes campos.

Análisis y valoración de los riesgos

Afecta Riesgo Inherente

Valorizaci Nivel de
ID
Activo ón del C I D Probabilidad Impacto Riesgo
Activo
activo Inherente

1 2 3 6 7 8 9 10 11 15

LOC- Casi Desastros

Oficina TI Valor Alto X X X 1 Tolerable
01 nunca o

LOC- Centro de Casi Desastros

Valor Alto X X X 1 Tolerable
02 datos nunca o

151
 Datos de
INF- Poco
Configuracion Valor Alto X X X 2 Mayor Intolerable
01 probable
es

INF- Credenciales Muy

Valor Alto X X X 4 Mayor Extremo
02 de acceso probable

INF- Datos de la Valor

X X X Probable 3 Mayor Intolerable
03 Planilla Medio

INF- Datos de los

Valor Alto X X X Probable 3 Mayor Intolerable
04 clientes

INF- Datos de los Valor

X X X Probable 3 Moderado Intolerable
05 proveedores Medio

SER- Servicio de
Valor Alto X X X frecuente 5 Menor Intolerable
01 aplicaciones

152
SER- Servicio
Valor Alto X X X Probable 3 Moderado Intolerable
02 Proxy

SER- Muy
Servicio DNS Valor Alto X X X 4 Moderado Intolerable
03 probable

Servicio
SER-
Active Valor Alto X X X Probable 3 Moderado Intolerable
04
Directory

Servicio de
acceso a las
SER- Valor
diversas X X X frecuente 5 Moderado Extremo
05 Medio
carpetas
compartidas

SER- Servicio de Valor Muy

X X X 4 Moderado Intolerable
06 Firewall Medio probable

SER- Copias de Muy

Valor Alto X X X 4 Moderado Intolerable
07 Seguridad probable

SER- Correos Valor Poco

X X 2 Moderado Tolerable
08 electrónicos Medio probable

153
 Servicio de
SER-
acceso remoto Valor Alto X X X Probable 3 Menor Tolerable
09
VPN

Reportes,
DOC- Contratos, Muy
Valor Alto X X X 4 Mayor Extremo
01 Cotizaciones, probable
etc. de ventas

Reportes,
Contratos,
DOC- Muy
Cotizaciones, Valor Alto X X X 4 Mayor Extremo
02 probable
etc. de
compras
Reportes,
Contratos,
DOC- Muy
Cotizaciones, Valor Alto X X X 4 Mayor Extremo
03 probable
etc. de
contabilidad

DOC- Valor
Procedimiento X X X Probable 3 Moderado Intolerable
04 Medio
s

DOC- Valor
Políticas X X X Probable 3 Moderado Intolerable
05 Medio

154
HW- Servidor de
Valor Alto X X X Probable 3 Moderado Intolerable
01 aplicaciones

HW- Servidor Base

Valor Alto X X X Probable 3 Moderado Intolerable
02 de Datos

HW- Servidor Poco

Valor Alto X X X 2 Mayor Intolerable
03 Proxy probable

HW- Poco
Servidor DNS Valor Alto X X X 2 Mayor Intolerable
04 probable

HW- Servidor de Poco

Valor Alto X X X 2 Mayor Intolerable
05 archivos probable

Servidor de
HW- Valor Poco
Copias de X X X 2 Mayor Intolerable
06 Medio probable
Seguridad

HW- Poco
Firewall Valor Alto X X X 2 Mayor Intolerable
07 probable

155
HW- Puntos de Valor Muy
X X X 4 Menor Intolerable
08 acceso WIFI Medio probable

HW- Valor
PC (12) X X X frecuente 5 Moderado Extremo
09 Medio

HW- Valor
Laptops (9) X X X frecuente 5 Moderado Extremo
10 Medio

HW- Insignific
Impresoras Valor Bajo X frecuente 5 Tolerable
11 ante

HW- Poco Insignific

Teléfonos Valor Bajo X X 2 Aceptable
12 probable ante

HW-
Switch Valor Alto X X X Probable 3 Moderado Intolerable
13

HW-
Router Valor Alto X X X Probable 3 Moderado Intolerable
14

156
HW- Proyector Poco
Valor Bajo X 2 Menor Tolerable
15 EPSON probable

HW- Racks para Poco

Valor Bajo X 2 Menor Tolerable
16 servidores probable

Sistemas
SW-01 Valor Alto X X X Probable 3 Moderado Intolerable
operativos

Microsoft
SW-02 Valor Alto X X X Probable 3 Moderado Intolerable
Office

Valor
SW-03 Antivirus X X X Probable 3 Moderado Intolerable
Medio

Valor Poco
SW-04 Aplicaciones X X X 2 Moderado Tolerable
Medio probable

Servicios en la Valor Poco

SW-05 X X X 2 Moderado Tolerable
nube Medio probable

SER- Configurar el
Valor Alto X X X Probable 3 Moderado Intolerable
10 Router

157
RED- Poco
Red Cableada Valor Bajo X 2 Moderado Tolerable
01 probable

RED- Red Valor Poco

X X X 2 Moderado Tolerable
02 Inalámbrica Medio probable

RED- Valor
Internet X X X Probable 3 Moderado Intolerable
03 Medio

RED- Telefonía Valor Poco Insignific

X X X 2 Aceptable
04 móvil Medio probable ante

RED- Valor Poco Insignific

Telefonía fija X X X 2 Aceptable
05 Medio probable ante

RED- Acceso Valor Poco

X X 2 Moderado Tolerable
06 Remoto VPN Medio probable

PER- Valor Poco

Jefe de TI (1) X 2 Moderado Tolerable
02 Medio probable

158
 ANEXO 13: TRATAMIENTO DE LOS RIESGOS Y ESTABLECIMIENTO DE

CONTROLES

Tratamiento de los riesgos y selección de los controles

Riesgo Residual
Nivel de Riesgo

Estrategia del Controles

Categoría del
tratamiento

Probabilidad
vigentes
Inherente
ID Activo

Tipos de
Control

Control
Nivel de Eficaci
Activo

Impacto
N (Preventivo

Riesgo
Riesgo a del
° ,
Residua control
Detectivo o
l
Correctivo)
1
1 2 3 4 5 6 7 8 9 11 12 13 14 15
0

1. N°: Indica el número de la lista del tratamiento de los riesgos y elección de los

controles.

2. ID Activo: Es un identificador único, el cual es asignado a un activo de la información.

3. Activo: Se le asigna el nombre correspondiente al activo para poder identificarlo.

4. Nivel de Riesgo Inherente: Es el riesgo que está presente en las actividades y tareas

que se realiza en el proceso, no se considera la eficacia de los controles, el nivel del

riesgo se calculó en el “Informe de riesgos de los activos de información”.

5. Estrategia del tratamiento: Se determina cuál o cuáles son las medidas se van a tomar

en función al riesgo inherente, para modificar dicho riesgo de tal manera que sea

aceptable o tolerable para la empresa, las estrategias que se toman como respuesta al

riesgo son:

- Asumir: Se conoce el riesgo y se asume.

- Reducir: Se debe reducir el riesgo mediante la aplicación de controles.

- Transferir: Se debe considerar elegir esta opción cuando se piensa en pasar el

riesgo a alguien más o compartirlo.

159
 - Eliminar: Se intenta establecer acciones para que las condiciones del riesgo

puedan desaparecer, esta estrategia en ocasiones puede resultar muy costosa, ya

que se intenta eliminar el activo.

6. Categoría del Control: Los controles implementados pueden ser Operativos o

Administrativos

7. Tipos de Control: Los controles pueden ser de tres tipos (Preventivo, Detectivo o

Correctivo)

8. Controles: Son las medidas de seguridad que se implementa para reducir el nivel del

riesgo inherente sobre los activos de información, para hacerlos aceptables o tolerables.

Los controles pueden ser:

- Preventivo: Busca prevenir la ocurrencia de un evento adverso para la

empresa y reducen la Probabilidad.

- Detectivo: Se aplica durante la ejecución de algún proceso o actividad para

detectar eventos adversos y reducen la Probabilidad e Impacto

- Correctivo: Se aplica después que se ha producido algún evento adverso,

reducen el Impacto.

En caso de no implementarse ningún control, ya sea por diversos factores, se debe

indicar “Pendiente” esto indica que se está a la espera de la implementación de uno o

varios controles, de este modo se tiene identificados los controles que faltan.

9. Probabilidad: Es un evento o suceso que puede ocurrir, se debe seleccionar uno de

los valores de ocurrencia (“Casi nunca” Puede ocurrir una vez cada 2 años, “Poco

probable” Puede ocurrir cada año, “Probable” Puede ocurrir cada 6 meses, “Muy

probable” Puede ocurrir cada al mes y “Frecuente” Puede ocurrir cada semana).

160
10. Según se ha seleccionado el valor de la probabilidad se debe asignar el un valor “Casi

nunca = 1”, “Poco probable = 2”, “Probable = 3”, “Muy probable= 4” y “Frecuente =

5”).

11. Impacto: Se considera a la materialización de la amenaza sin controles, a

continuación, se muestra el valor del impacto (“Insignificante” Impacta levemente en

la operatividad del proceso, “Menor” Impacta en la operatividad del proceso,

“Moderado” Impacta en la operatividad del macro proceso; “Mayor” Impacta

fuertemente en la operatividad de los procesos y “Desastroso” Impacta críticamente

en la operatividad de los procesos)

12. Según se ha seleccionado el valor del impacto se debe asignar un valor

(“Insignificante = 2”, “Menor = 4”, “Moderado = 6”; “Mayor = 8” y “Desastroso =

10”).

13. Cálculo del Riesgo: Es la multiplicación de la probabilidad x el impacto, de esta

manera determinar el nivel del Riesgo Residual.

14. Nivel de Riesgo Residual: Es la valoración del riesgo después que se han aplicado los

controles para tratar el riesgo inherente.

15. Eficacia del control: La eficacia del control es la evaluación del control implementado

y determinar qué tan eficaz es dicho control sobre el riesgo.

A continuación, se muestra el tratamiento de los riesgos y selección de los controles, por

temas de seguridad de la información solo se muestran ciertos campos, además en los

controles se ha generalizado de esta manera se obtuvo la conformidad del gerente general

para mostrar los siguientes campos.

161
 Tratamiento de los riesgos y selección de los controles

Estrategia
ID Nivel de Controles (Preventivo, Nivel de Eficacia
del
Activ Activo Riesgo Detectivo o Riesgo del
tratamient
o Inherente Correctivo) Residual control
o

Extintores, detector de
LOC- Oficina
Tolerable Reducir fuego, detector de aniego, Aceptable 60%
01 TI
sistema antiincendios

Extintores, detector de
LOC- Centro
Tolerable Reducir fuego, control de Aceptable 60%
02 de datos
temperatura, UPS

Cifrar los archivos de

Datos configuración, la
INF- de Intolerabl ubicación de los
Reducir Tolerable 50%
01 Configu e documentos solo debe ser
raciones conocidos por el gerente
general y el jefe de TI

Control de
Acceso mediante
Credenc
INF- credenciales de usuario y
iales de Extremo Reducir Tolerable 75%
02 contraseña, cambiar clave
acceso
mensualmente para los
encargados de área

Cifrar los archivos,

acceso mediante
credenciales de acceso, la
Datos
INF- Intolerabl ubicación de los
de la Reducir Tolerable 67%
03 e documentos solo debe ser
Planilla
conocidos por el gerente
general y el jefe de
Contabilidad

162
 Cifrar los archivos,
acceso mediante
credenciales de acceso, la
Datos
INF- Intolerabl ubicación de los
de los Reducir Tolerable 67%
04 e documentos solo debe ser
clientes
conocidos por el gerente
general y el jefe de
Ventas

Cifrar los archivos,

acceso mediante
Datos credenciales de acceso, la
INF- de los Intolerabl ubicación de los
Reducir Tolerable 56%
05 proveed e documentos solo debe ser
ores conocidos por el gerente
general y el jefe de
Compras
Configuración
Servicio especializada y
SER- Intolerabl
de Reducir documentada, el acceso al Tolerable 40%
01 e
aplicaci servicio será según sus
ones credenciales de acceso

Configuración
especializada y
SER- Intolerabl
Servicio Reducir documentada, el acceso al Tolerable 56%
02 e
Proxy servicio será según sus
credenciales de acceso

Configuración
especializada y
SER- Intolerabl
Servicio Reducir documentada, el acceso al Tolerable 50%
03 e
DNS servicio será según sus
credenciales de acceso

Configuración
Servicio especializada y
SER- Intolerabl
Active Reducir documentada, el acceso al Tolerable 56%
04 e
Director servicio será según sus
y credenciales de acceso

Configuración
Servicio
especializada y
SER- de
Extremo Reducir documentada, el acceso al Tolerable 73%
05 acceso a
servicio será según sus
las
credenciales de acceso
diversas

163
 carpetas
compart
idas

Contratar un especialista
para la configuración de
la VPN y que se
SER- Servicio Intolerabl
Reducir documente dicho proceso, Tolerable 67%
06 de e
el acceso al servicio será
Firewall
según sus credenciales de
acceso

Copias
Hacer copias de seguridad
SER- de Intolerabl
Reducir en la nube y documentar Tolerable 67%
07 Segurid e
el proceso (pendiente)
ad

Correos
SER- El servicio de correos
electrón Tolerable Transferir Aceptable 67%
08 electrónicos se terceriza
icos

Contratar un especialista
para la configuración de
Servicio
la VPN y que se
SER- de
Tolerable Reducir documente dicho proceso, Aceptable 67%
09 acceso
el acceso al servicio será
remoto
según sus credenciales de
VPN
acceso

Reporte
s,
Control de
Contrat
DOC Acceso mediante
os, Extremo Reducir Tolerable 75%
-01 credenciales de usuario y
Cotizaci
contraseña
ones,
etc. de
ventas

Reporte
Control de
s,
DOC Acceso mediante
Contrat Extremo Reducir Tolerable 75%
-02 credenciales de usuario y
os,
contraseña
Cotizaci
ones,

164
 etc. de
compras

Reporte
s,
Contrat Control de
DOC os, Acceso mediante
Extremo Reducir Tolerable 75%
-03 Cotizaci credenciales de usuario y
ones, contraseña
etc. de
contabil
idad
Se debe documentar y
difundir los
procedimientos
establecidos según
corresponda, se tendrá
que hacer evaluaciones
DOC Intolerabl
Procedi Reducir para verificar el Tolerable 56%
-04 e
mientos procedimiento del mismo,
para ello el responsable
de cada área determina
quienes son los que tienen
acceso a dicha
información
Se debe documentar y
difundir los
procedimientos
DOC Intolerabl establecidos según
Reducir Tolerable 56%
-05 Políticas e corresponda, se tendrá
que hacer evaluaciones
para verificar el
procedimiento del mismo

Ubicar en un ambiente
Servidor adecuado con aire
HW- Intolerabl
de Reducir acondicionado, acceso Tolerable 56%
01 e
aplicaci solo a personas
ones autorizadas

Ubicar en un ambiente
adecuado con aire
HW- Servidor Intolerabl
Reducir acondicionado, acceso Tolerable 56%
02 Base de e
solo a personas
Datos
autorizadas

165
 Ubicar en un ambiente
adecuado con aire
HW- Intolerabl
Servidor Reducir acondicionado, acceso Tolerable 25%
03 e
Proxy solo a personas
autorizadas

Ubicar en un ambiente
adecuado con aire
HW- Intolerabl
Servidor Reducir acondicionado, acceso Tolerable 50%
04 e
DNS solo a personas
autorizadas

Ubicar en un ambiente
adecuado con aire
HW- Servidor Intolerabl
Reducir acondicionado, acceso Tolerable 25%
05 de e
solo a personas
archivos
autorizadas

Servidor Ubicar en un ambiente

de adecuado con aire
HW- Intolerabl
Copias Reducir acondicionado, acceso Tolerable 50%
06 e
de solo a personas
Segurid autorizadas
ad
Ubicar en un ambiente
adecuado con aire
HW- Intolerabl
Reducir acondicionado, acceso Tolerable 50%
07 Firewall e
solo a personas
autorizadas
Puntos
Ubicar en un ambiente
HW- de Intolerabl
Reducir adecuado para una mejor Tolerable 50%
08 acceso e
cobertura
WIFI

Mantenimiento físico y
lógico cada 6 meses
aprox. mediante imágenes
HW-
PC (12) Extremo Reducir fácil de reinstalar, todos Tolerable 60%
09
los equipos deben estar
asociados a las redes
pertinentes de su área

166
 Mantenimiento físico y
lógico cada 6 meses
aprox. mediante imágenes
HW- Laptops
Extremo Reducir fácil de reinstalar, todos Tolerable 60%
10 (9)
los equipos deben estar
asociados a las redes
pertinentes de su área

Mantenimiento cada 2 o 3
meses aprox., todos los
HW-
Impreso Tolerable Reducir equipos deben estar Tolerable 20%
11
ras asociados a las redes
pertinentes de su área

HW-
Teléfon Aceptable Asumir
12
os

Ubicar en un ambiente
adecuado con aire
HW- Intolerabl
Switch Reducir acondicionado, acceso Tolerable 33%
13 e
solo a personas
autorizadas

Ubicar en un ambiente
adecuado con aire
HW- Intolerabl
Router Reducir acondicionado, acceso Tolerable 33%
14 e
solo a personas
autorizadas

Ubicar en un ambiente
HW- Proyect
Tolerable Reducir adecuado y acceso solo a Aceptable 50%
15 or
personas autorizadas
EPSON

Ubicar en un ambiente
Racks
adecuado con aire
HW- para
Tolerable Reducir acondicionado, acceso Aceptable 50%
16 servidor
solo a personas
es
autorizadas

167
 Comprar licencias
Sistema
SW- Intolerabl originales y estar
s Reducir Tolerable 56%
01 e pendiente de las
operativ
actualizaciones
os
Comprar licencias
SW- Intolerabl originales y estar
Microso Reducir Aceptable 78%
02 e pendiente de las
ft Office
actualizaciones
Configuración
especializada y
SW- Intolerabl
Antiviru Reducir documentada, Tolerable 56%
03 e
s Mantenimiento de la
licencia
Comprar licencias
SW- originales y estar
Aplicaci Tolerable Reducir Aceptable 67%
04 pendiente de las
ones
actualizaciones

Servicio
SW- Mantenimiento del Plan
s en la Tolerable Reducir Aceptable 67%
05 anual de la licencia
nube

Configuración
Configu especializada y
SER- Intolerabl
rar el Reducir documentada, el acceso al Tolerable 56%
10 e
Router servicio será según sus
credenciales de acceso

Los cables se encuentran

Red ordenados e identificados,
RED-
Cablead Tolerable Reducir si se requiere los cables Aceptable 67%
01
a deben estar protegidos
(canaletas)

Control de
Red Acceso mediante
RED-
Inalámb Tolerable Reducir credenciales de usuario y Aceptable 67%
02
rica contraseña según sus
credenciales de acceso

168
 Comprar paquetes de
RED- Intolerabl
Internet Reducir datos para cubrir los Aceptable 78%
03 e
principales servicios

RED-
Telefoní Aceptable Asumir
04
a móvil

RED-
Telefoní Aceptable Asumir
05
a fija

Acceso Configurar los equipos de

RED-
Remoto Tolerable Reducir los trabajadores que se Aceptable 67%
06
VPN van a conectar a la VPN

Documentación de las
PER- Jefe de
Tolerable Reducir actividades más Aceptable 67%
02 TI (1)
relevantes del Proceso TI

169
 ANEXO 14: RESULTADOS DE LA FICHA DE ENTREVISTA POST

IMPLEMENTACIÓN DEL SGSI.

Se realizo nuevamente la misma entrevista a los trabajadores de la empresa que participaron

voluntariamente en la primera entrevista, solo se agregaron tres preguntas las cuales ayudaran
a responder los indicadores planteados en la matriz de consistencia, se utilizó el programa
SPSS de IBM para mostrar los resultados obtenidos.

RESPUESTAS ENTREVISTA N° 2
N° de PREGUNTAS N° (Dicotómicas: SÍ - NO)
Entrevistados
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
(E)
E.1 SI SI SI SI SI SI SI SI SI SI SI SI NO SI NO SI SI SI SI SI SI SI
E.2 SI NO SI NO SI NO NO NO NO SI NO SI NO SI NO SI NO SI SI SI NO SI
E.3 SI SI SI SI SI SI SI SI SI SI SI SI NO SI NO SI SI SI SI SI SI SI
E.4 SI SI SI SI SI SI SI SI SI SI SI SI NO SI NO SI SI SI SI SI SI SI
E.5 SI SI NO NO NO NO NO NO NO NO SI SI NO SI NO SI NO SI NO NO NO SI
E.6 SI SI SI SI SI SI SI SI SI SI SI SI NO SI NO SI SI SI SI SI SI NO

E.7 SI SI SI SI SI SI NO NO NO SI NO SI NO SI SI SI SI SI SI SI NO NO
E.8 SI SI SI SI SI SI NO NO NO SI NO SI NO SI SI SI SI SI SI SI NO NO

E.9 SI SI SI SI SI SI SI SI NO SI SI SI NO SI NO SI SI SI SI SI SI SI

E.10 SI NO SI NO SI NO NO NO NO NO SI SI NO SI NO NO SI SI SI SI SI SI

A continuación, se muestra los resultados de la tabla anterior mediante gráficos estadísticos,

sobre las respuestas de los entrevistados, para comprender cual es la situación actual de la
empresa respecto a la seguridad de la información

170
Sobre los Activos de información

1. ¿Considera usted que es importante conocer los 2. ¿Considera usted que ha identificado los activos
activos de información que está a su cargo? críticos de información que está a su cargo?

0%

20%

80%
100%

SI NO SI NO

3. ¿Considera usted que los activos de información

identificados tienen controles implementados que
garantizan su seguridad?

10%

90%

SI NO

Sobre las Amenazas

4. ¿Conoce usted cuales son las amenazas a 5. ¿Considera usted que las amenazas
los que se encuentran expuestos sus activos detectadas en los activos de información
de información? están bajo control?

10%
30%

70%
90%

SI NO SI NO

171
Sobre las Vulnerabilidades

6. ¿Conoce usted cuales son las 7. ¿En las últimas semanas usted ha
vulnerabilidades que afectan a sus activos de identificado nuevas vulnerabilidades que
información? afectan a sus activos de información?

30%

50% 50%

70%

SI NO SI NO

Sobre los Incidentes

8. ¿Conoce usted cual es la frecuencia de 9. ¿Usted ha identificado algún incidente

incidencias sobre sus activos de información? sobre los activos de información?

40%
50% 50%
60%

SI NO SI NO

Sobre los Controles

10. ¿Considera usted que los controles 11. ¿Considera usted que es fácil mantener
implementados aseguran los activos de los controles aplicados a los activos de
información? información?

20%
30%

70%
80%

SI NO SI NO

172
Sobre las Políticas

12. ¿Considera usted que las políticas 13. ¿Considera usted que las políticas
documentadas y difundidas son importantes? documentadas y difundidas no interfiere con
sus actividades?
0%
0%

100% 100%

SI NO SI NO

Sobre los Procedimientos

14. ¿Considera usted que los procedimientos 15. ¿Considera usted que los procedimientos
documentados y difundidos son importantes? documentados y difundido no interfiere con
sus actividades?
0%

20%

80%
100%

SI NO SI NO

16. ¿Considera usted que tener

procedimientos documentados ayuda a sus
actividades?

10%

90%

SI NO

173
Sobre la Confidencialidad

17. ¿Considera usted que los controles 18. ¿Considera usted que el porcentaje de
implementados preservan la incidentes que afectan la confidencialidad ha
confidencialidad? disminuido?

0%

20%

80%
100%

SI NO SI NO

Sobre la Integridad

19. ¿Considera usted que los controles 20. ¿Considera usted que el porcentaje de
implementados preservan la integridad? incidentes que afectan la integridad ha
disminuido?

10%
10%

90% 90%

SI NO SI NO

Sobre la Disponibilidad

21. ¿Considera usted que los controles 22. ¿Considera usted que el porcentaje de
implementados preservan la disponibilidad? eventos que afectan la disponibilidad ha
disminuido?

40% 30%

60%
70%

SI NO SI NO

174
 ANEXO 15: FICHA DE OBSERVACIÓN

Investigación Implementación de un Sistema de Gestión de Seguridad de la Información para mejorar la Seguridad de la Información en una empresa MYPE - 2021

Sistema de Gestión de Seguridad de la Información (SGSI) Segruidad de la información (SI)

Variables
(Variable Independiente) (Variable Depeniente)
Activos de Vulnerabili
Dimensiones Amenazas Incidentes Controles Políticas Procedimientos Confidencialidad Integridad Disponibilidad
información dades

Cantidad Cantidad
Porcentaje de Cantidad de Cantidad de Porcentaje de Porcentaje de Porcentaje de incidentes de
Cantidad de de de Cantidad de Porcentaje de incidentes Porcentaje de controles Porcentaje de eventos
Controles Políticas Procedimientos controles que controles que seguridad que afectan la
Indicador activos de Amenazas vulnerabili Incidentes de seguridad que afectan que preservan la afectan la disponibilidad de
implementado documentadas y documentados y preservan la preservan la integridad de la
información detectada dades ocurridos la Confidencialidad Disponibilidad la informacion
s difundidas. difundido confidencialidad integridad informacion
s detectadas

𝐶𝑎𝑛𝑡. 𝐶𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝐶𝑎𝑛𝑡. 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝐶𝑎𝑛𝑡. 𝐶𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝐶𝑎𝑛𝑡. 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝐶𝑎𝑛𝑡. 𝐶𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝐶𝑎𝑛𝑡. 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
Fórmulas 𝑐𝑜𝑛𝑓𝑖𝑑𝑒𝑛𝑐𝑖𝑎𝑙𝑖𝑑𝑎𝑑 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝑖𝑛𝑡𝑒𝑔𝑟𝑖𝑑𝑎𝑑 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑒
𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑐𝑜𝑛𝑓𝑖𝑑𝑒𝑛𝑐𝑖𝑎𝑙𝑖𝑑𝑎𝑑 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑖𝑛𝑡𝑒𝑔𝑟𝑖𝑑𝑎𝑑 𝐶𝑎𝑛𝑡𝑖𝑑𝑎𝑑 𝑑𝑒 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑒𝑠 𝑑𝑖𝑠𝑝𝑜𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑

Unidad de
Unidad Unidad Unidad Unidad Porcentaje Unidad Unidad Porcentaje Porcentaje Porcentaje Porcentaje Porcentaje Porcentaje
Medida

Resultados
14 17 23 28 27% 2 1 38% 34% 38% 35% 38% 31%
Semana 1
Resultados
23 26 31 18 39% 2 1 52% 22% 52% 22% 52% 20%
Semana 2
Resultados
29 33 38 21 64% 2 1 64% 26% 64% 26% 64% 24%
Semana 3
Resultados
36 39 46 13 79% 2 1 75% 16% 75% 16% 79% 15%
Semana 4
Resultados
42 46 58 6 91% 2 2 85% 7% 85% 7% 91% 7%
Semana 5
Resultados
52 57 74 7 100% 2 4 92% 9% 91% 9% 100% 8%
Semana 6

175
176