Lima Centro

Ingeniería de Sistemas e Informática

Proyecto de Trabajo de Investigación

Implementación de un Sistema de Gestión de Seguridad de la Información para el área de

sistemas en la empresa CODESA

Integrantes

Arostegui Torres, Cesar Augusto (0920465)

Peña Córdova, Helbert Flavio (1523531)

Docentes

Stagnaro Ruiz, Giancarlo Paulo (Docente Metodólogo)

Toledo Aller, Lourdes Hilda (Docente de Especialidad)

Lima, Perú

Ciclo

2022 - II
1. PROBLEMA DE INVESTIGACIÓN ……………………… 3

2. OBJETIVO GENERAL Y ESPECÍFICOS ……………………… 4

3. JUSTIFICACIÓN ……………………… 4

4. ESTADO DEL ARTE ……………………… 5

5. MARCO TEÓRICO ……………………… 10

6. HIPÓTESIS ……………………… 15

7. METODOLOGÍA ……………………… 16

8. CRONOGRAMA ……………………… 20

9. PRESUPUESTO ……………………… 21

10. BIBLIOGRAFÍA ……………………… 22

11. ANEXOS ……………………… 28

1. PROBLEMA DE INVESTIGACIÓN

Hoy en día las organizaciones y empresas no muestran un adecuado interés en mejorar la

seguridad de datos, lo que resulta en un déficit para el desarrollo de las tareas diarias de cada

área; cabe resaltar, que debido al incremento del uso de la tecnología e inclusive la

dependencia de la misma para el desarrollo del trabajo cotidiano, ha provocado que se

presentan diversos riesgos, todo ello debido a la falta de una implementación de un SGSI,

poniendo en riesgo la continuidad de los productos o servicios que brindan.

Por consiguiente, es importante mencionar que la empresa CODESA, ubicada en el

distrito de San Isidro, cuenta con un área de soporte técnico exclusivo para la reparación

electrónica y el mantenimiento de equipos que comercializa, tales como la venta y alquiler de

impresoras de la marca Kyocera; así como también la asistencia de soporte a sus propios

usuarios o consumidores finales.

Adicionalmente, la compañía no cuenta con un adecuado proceso que gestione la

información y los datos, siendo el jefe del área de soporte técnico quien asume este rol como

el responsable del área sistemas en la empresa y también asume tareas relacionadas a la

seguridad de la información. En consecuencia, esto ocasiona una gran vulnerabilidad a la

empresa, ya que no se cuenta con procesos y políticas propuestas por un personal dedicado al

área que van a gestionar la información y los datos con los que trabajará la empresa.

Ante ello, se propone introducir un SGSI en el área de sistemas para garantizar el

aseguramiento en la gestión de datos con los que trabajan los colaboradores de CODESA,

disminuyendo de esta manera los riesgos y vulnerabilidades que se están detectando en el

área de sistemas. Del mismo modo, al implementar un SGSI. Se logrará disminuir la

probabilidad que algún proceso o servicio con la que trabaje la empresa sea interrumpido por

algún incidente relacionado con la seguridad de información.

 2. OBJETIVO GENERAL Y ESPECÍFICOS (máximo 1 página)

2.1. Objetivo general

Implementar un SGSI en el área de sistemas para la mejora en la gestión de seguridad

de los datos de la empresa CODESA.

2.2. Objetivos específicos

● Identificar los riesgos y amenazas, referente a la información que se maneja en la

empresa CODESA.

● Implementar el SGSI, basándose en el conjunto de normas ISO 27001

● Implementar políticas de seguridad, para disminuir al nivel más bajo posible la

brecha en seguridad de la información que presenta la entidad.

● Aplicar controles de la familia de normas ISO 27002, que permitan administrar el

funcionamiento del SGSI.

3. JUSTIFICACIÓN (máximo 1 página)

La importancia del desarrollo del presente trabajo, está enfocado en la protección de

datos para las empresas, implementando en este caso el SGSI para la compañia CODESA, ya

que actualmente la empresa no realiza una adecuada gestión de la información con la que

trabajan sus colaboradores y la empresa en general, Asimismo, no cuenta con un estándar en

la seguridad de información, evidenciando de esta manera, que se pueda detectar algún

eventos inestable en la empresa que este por convertirse en riesgos que ponen bajo amenaza

la integridad de los datos con los que se trabaja de manera constante.

 En ese sentido, al implementar un SGSI se le estará brindando a la empresa una

restructuración en los procesos del área de sistemas en donde se evaluarán los riesgos y se

propondrán los controles necesarios para poder mitigar las vulnerabilidades detectadas. De

esta manera, se podrá tener un estándar en seguridad de la información para la empresa donde

se podrán aplicar normas ISO 27001, las cuales nos brindaran un enfoque más preciso en el

aseguramiento, integridad y confiabilidad de datos, abriendo camino en este sentido para que

la empresa logre obtener una certificación que otorga un mejor posicionamiento frente a la

competencia.

Por lo tanto, la investigación se desarrollará a través de un diseño experimental el cual

tendrá las siguientes etapas.

Realizando la recolección de datos, esto se logrará con el desarrollo de encuestas

dirigidas para los colaboradores de la empresa y reuniones con los encargados del área de

sistemas, también con las visitas presenciales a planta para la evaluación de la infraestructura

y equipos informáticos.

Se realizará evaluación con los datos recolectados de los procesos actuales que con

los que trabaja la trabaja la empresa, analizando de esta forma la manera con la que gestiona

la información, identificando así las vulnerabilidades actuales y mejoras en el SGSI que se

implementará.

Se realizará una comparación y evaluación de resultados, para poder dar una mejora

continua del SGSI implementado ante futuros cambios que se puedan presentar en la empresa

CODESA.

4. ESTADO DEL ARTE

La presente investigación ofrece un panorama actual de cómo se está tomando en cuenta la

seguridad de los datos con la que trabajan a diario las empresas, a fin de poder implementar

un SGSI que esté basado en el conjunto de normas ISO/IEC 27000. Actualmente las

organizaciones han aumentado el uso de tecnología entre sus labores cotidianas, esto elevaría

la probabilidad de tener algún evento de fuga o pérdida de información, por lo cual están

expuestos a riesgos y ataques informáticos. Poniendo en evidencia que al no tener un SGSI

afecta a diferentes puntos críticos para la continuidad de los productos o servicios de la

compañía. Por consiguiente, se analizarán factores y puntos críticos del área de sistemas

detectando riesgos, amenazas y vulnerabilidades que afectan al desarrollo de funciones del

personal en la empresa.

Para la elaboración de la presente investigación se requirió evaluar las metodologías

de las diversas fuentes consultadas y de las cuales se hizo uso de distintos autores para la

recopilación de fuentes en el análisis de la problemática sobre el campo de estudio que están

desarrollando.

A continuación, se mencionarán las metodologías que han sido implementadas.

Además, se encontró el uso de la metodología Margerit en las fuentes consultadas. En dicha

investigación, menciona el desarrollo de un SGSI, obteniendo como resultados que

demuestran la necesidad de evaluar los impactos relacionados a la carencia de no tener

implementado un SGSI (Guerra, Neira et al., 2021; Cajusol, 2020).

Asimismo, plantea mecanismos que tienen como propósito evaluar los métodos y

tareas, así como proteger los procesos y la información con los que trabaja la empresa.

Enfocándose de esta manera en un estudio que tiene relación con el entorno de riesgos

Rodríguez, Cruzado y Mejía (2020), también empleó la metodología Margerit, concluyendo

que, debe revisar que se cumpla la norma ISO 27001, para obtener un buen resultado en su

objetivo final.

Posteriormente, por medio de dos artículos de investigaciones hacen mención sobre el

uso de la metodología analítica, ya que estos autores dividen la investigación en etapas donde

las descomponen en fases, este tipo de metodología se caracteriza por dividir el tema general

de la investigación en elementos básicos obteniendo resultados para cado uno de estos

elementos y así se pueda realizar un mejor análisis. Para Ugas (2002), la metodología

aplicada fue dividida en actividades, tareas y fases, ya que estos puntos seleccionados por el

autor son salidas y entradas para otros procesos y actividades, de esta manera se puede

obtener un mejor esquema de los datos para poder analizar y detectar de una manera rápida

las vulnerabilidades y riesgos en las tecnologías de información que se está considerando en

el estudio. De igual manera, Angarita, Tabares y Ríos (2015), aplican también una

metodología analítica, dividiendo sus investigaciones en etapas, este modelo ofrece a los

usuarios la posibilidad de una mejor interpretación y análisis en los procesos que tiene

actualmente.

Del mismo modo, se evidenciaron estudios que plantean una metodología analítica

con el fin de implementar un SGSI (Valencia-Duque, F. y Orozco-Alzate, M., 2017), que se

apoya en el conjunto de normas ISO/IEC 27000. Esta metodología contiene varias etapas que

abarca los pasos que se va a desarrollar, y a su vez realiza tareas requeridas de la ISO 27001,

se muestra controles de seguridad con la ISO 27002, también presenta un cuadro de riesgos

que pertenece a la ISO 27005 y procesos que se recomiendan en ISO/IEC 27003.

Además, se observa en una fuente obtenida, que la metodología sistémica tiene como

objetivo, organizar, mejorar y estudiar los problemas que estén relacionados con personas de

una determinada área o entorno, aplicando de esta manera métodos y reglas que permitan una
mejor relación para estos miembros de equipos u organización. Se plantea la reunión de

manera racional, de criterios considerables de SGSI que se encontraban en diferentes áreas de

la empresa (Serrate-Alfonso, Nogueira-Rivera et al., 2019). Además, se realizaron también

encuestas dando lugar a los análisis de datos obtenidos y al diagnóstico de las tecnologías que

se viene usando actualmente.

La pérdida de información y robos de datos ocurre con mayor frecuencia en empresas

que no cuentan con la implementación de un SGSI, esto provoca pérdidas económicas para la

empresa si la información que está siendo vulnerada es crítica Villa, Ladino y López (2011),

en consecuencia, poniendo como objeto de estudio a la protección de los datos en las

compañías para la permanencia del negocio ya que tiene como objetivo, el resguardo de un

activo importante para la entidad corporativa que este caso sería la información con la que

trabaja Rodríguez Parra (2010) .

De tal manera, se deduce que la organización que no tenga un nivel de confianza con la

información que está manejando, está expuesta a perder socios y clientes estratégicos, ya que

no brinda una seguridad con las bases de la seguridad de datos. Llanca Morales (2016).

Otro punto de gran importancia que se establece en un SGSI, son las fortalezas que

brinda la implementación de este sistema, ya que permite crear mecanismos y métodos que

mejoran los procesos y políticas ya existentes en una organización, para la optimización de la

recuperación de información. (Rodríguez Leyva, Delgado Mesa et al., 2018). Asimismo, un

SGSI puede implementar normas y políticas, que tienen como propósito no perder datos y

monitorear la seguridad de datos (Bustamante García, Valles Coral et al., 2021; Rodríguez

Leyva, Delgado Mesa et al., 2018). Apoyándose de esta manera con la ISO 27001, por medio

del uso en tecnologías de información que se adapten mejor a cada propuesta planteada. De

la misma forma, se hace mención al desarrollo de la protección de datos, que se origina con la
aplicación del ISO 27002, que toma consideración estados como activos, amenazas,

vulnerabilidades y controles. (Proaño Escalante, Saguay Chafla et al., 2017; Arévalo, Bayona

y Rico, 2015). Además, según los estudios, se realizó una implementación de métodos con el

fin de salvaguardar la información digital que se ubica en la base de datos (Morales Rocha,

Ruiz Hernández y Fernández Martínez, 2018; Azán-Basallo, Martínez Sánchez y Estrada

Senti, 2017).

Por otro lado, la implementación de estos SGSI, generan cambios de forma cotidiana

en la que el colaborador trabaja, ocasionando que al colaborar le cueste adaptarse y en el peor

de los casos, que no se adapte al SGSI implementado, viniendo a ser un aspecto no resuelto

Benites Cesar (2019).

La implementación de un SGSI no solo es importante para empresas o grandes

organizaciones, sino que también es fundamental para diversas entidades e instituciones

educativas, ya que la mayoría de ambientes educativos virtuales no son diseñados para ser

seguros, poniendo de esta manera a la seguridad de los datos en un nivel bajo de prioridad,

enfocándose hacia la misión del ambiente educativo (Chávez Salazar, 2016; Lagreca, 2017).

En conclusión, para el desarrollo de un SGSI, nos podemos apoyar de diferentes

métodos, normas y auditorías que nos van a ayudar a implementar herramientas con las que

se va a crear u optimizar procesos Altamirano Marlon (2019). Estos procesos brindaran

resultados positivos para una empresa, organización o entidad educativa en la que se esté

implementando, teniendo como resultado una reducción de riesgos, cortes en los procesos de

la organización y un incremento de la competitividad.

Finalmente, otro punto importante para la seguridad de la información de las

organizaciones, es llegar obtener una certificación ISO 27001 para la organización, ya que es

un estándar que garantiza la protección de datos que es considerado de manera mundial,

garantizando un mejor manejo de la Disponibilidad, Confidencialidad e Integridad de la

información en la organización. (Carvajal Portilla, Cardona Londoño et al., 2019). Pero a

pesar del gran aumento de uso de tecnología en las empresas no dan prioridad a una buena

gestión de la seguridad de los datos en las compañías. Por lo mencionado anteriormente,

surge la siguiente pregunta. ¿De qué manera la implementación de un SGSI mejora la

seguridad de la información en una empresa?

5. MARCO TEÓRICO

Para el desarrollo del trabajo de investigación planteado se tiene la necesidad de

conocer la definición de los términos que utilizaremos a lo largo de la realización de la

investigación, con la finalidad de poder dar una mejor fluidez de entendimiento a los

objetivos y el procedimiento planteado para el desarrollo del presente estudio. Tales como, la

definición de un sistema de gestión que es necesario para la implementación del SGSI,

explicando de esta manera su uso, finalidad y el enfoque que se plantea. Asimismo, la

seguridad de la información está relacionada con el desarrollo actual de la tecnologías; ya

que, esta se viene usando en las empresas, así mismo especificando las medidas utilizadas

para respaldar la protección de la información en la organización.

5.1 Sistema de gestión de la información

Los sistemas de administración en las organizaciones van acumulando una alarmante

cantidad de información, la cual se requiere tratar de manera más detallada. Para Austen y

Choo (2000), comenta que un sistema de gestión recolecta, almacena, procesa y transmite

datos con los que se puede administrar dicha información de manera efectiva, donde la
información en la actualidad se ve como un cataloga con un recurso fundamental que abarca

mucha prioridad para el crecimiento de una empresa. Asimismo, La piedra Rafael (2021),

nos comenta que un sistema de gestión de la información ha evolucionado en de la mano con

las TI en la gestión de las empresas, haciendo cambio en los enfoques tradicionales, dado

paso a nuevas teorías que relacionan diferentes sistemas, como el SGSI que deja de ser solo

una herramienta de control. Por último, un SGSI son herramientas tecnológicas de hardware

y software que permiten suministrar información a diferentes áreas de la organización para

poder gestionar dicha información en la toma de decisiones, donde se estos sistemas se

componen en 3 procesos; recopilar datos, almacenar y procesar datos y presentar información

a los gestores, según Muñoz Cañabate (2003). Por ello, se decidió considerar como referencia

para abordar nuestro tema de investigación donde tomaremos en cuenta las funciones y

características que describiremos a continuación.

5.1.1 Los sistemas de información en la empresa

Las tecnologías de información en la actualidad, son parte de un sistema de

información y actualmente este sistema en mención, lleva por lo menos un mínimo proceso

de automatización para el buen funcionamiento del sistema. En un sistema de información

empresarial, también se tiene que tomar en cuenta diversos factores que pueden afectar al

sistema, en donde pueden existir amenazas que pueden considerarse críticas para la

continuidad de procesos en la organización. Muñoz Cañabate (2003).

5.1.2 Sistemas soporte a la decisión

 Este sistema ayuda a la empresa a recolectar información de diversos sectores de cada

área, de esta forma se basa en el concepto de las ciencias empresariales de la informática en

donde emplea la gestión de base de datos, con la finalidad que el usuario final utilice esta

herramienta de la manera más práctica y fácil para el análisis de decisiones. Cabe resaltar

que, este soporte se realiza a varias escalas para los equipos que se encargan de la gestión.

Muñoz Cañabate (2003).

5.1.3 Sistemas de gestión de información para directivos

Este sistema surge debido a que los altos ejecutivos se ven con la necesidad de

requerir información para poder analizarla y así de esta manera tomar una decisión. De esta

manera, ellos no pueden tomar el tiempo para realizar la búsqueda de dicha información; por

lo que, esté sistema les facilita los datos de manera inmediata y en tiempo real. Los cuales se

concentran en la gestión general de la empresa teniendo asimismo información histórica para

realizar predicciones. Muñoz Cañabate (2003).

5.2 Seguridad de la información

La seguridad de la información, hoy en día se posiciona como un elemento de suma

importancia para una empresa en esta era, ya que vivimos en una globalización donde la

mayor parte de las actividades es digital y está en constante peligro de pérdida o filtración de

información; es por ello que, sus datos deben estar protegidos para que siga en el mercado.

Por eso Areitio Bertolín (2008) menciona que, la protección de datos incluye varios procesos

que tengan relación con la administración y control de seguridad de los activos y servicios de

la compañía y poder conseguir los objetivos propuestos. Además, indica que gracias al
avance de la tecnología, podemos recolectar mucha información en un instante, pero esto

también implica que surgirán muchos incidentes o amenazas en la seguridad, ya que si la

información de los sistemas que usan los usuarios se expusiera, las consecuencias serían

fatales para la empresa Vega Briceño (2021). Finalmente, Pérez (2015) menciona que, la

mayoría de las empresas manejan datos personales para realizar sus actividades y que estos

datos deben estar protegidos por la LOPD; ya que, muchas personas no conocen estos

derechos y no saben el riesgo que causan al ingresar sus datos personales. Es por ello que,

hemos decidido tomar como referencia para plantear nuestro tema de investigación, donde

vamos a tomar en cuenta las funciones y características que se mostraran a continuación:

5.2.1. ISO 27001

Al implementar el SGSI según la norma ISO 27001, se debe tomar como punto

principal del sistema, la evaluación de riesgos. Esta norma ayudará a esclarecer las políticas y

medidas a implantar, teniendo una visión para precisar el alcance y ámbito, asimismo, se

debe emplear controles para poder mitigar o eliminar los riesgos. Pérez (2015).

5.2.2. Usuarios, Internet y Protección de datos

El internet en los últimos años ha ido expandiéndose, de esta forma pudiendo acceder

a mucha información de forma rápida y eficaz, pero al mismo tiempo debemos ser precavidos

al ingresar datos personales en alguna página de internet, para evitar ser víctimas de alguna

estafa o fraude. Asimismo, en internet hay códigos maliciosos que al ser ejecutados, dan

acceso a un usuario desconocido, posibilitando manipular nuestro equipo y robar

información. Pérez (2015).

5.2.3. LOPD
 La Ley Orgánica de Protección de Datos se refiere a los derechos de protección de

datos personales de las personas que trabajan para una compañía, así como los datos de las

personas jurídicas, datos de una empresa o información personal, estos datos tienen que

permitir identificar a la persona. Asimismo, se denomina tratamiento de datos a cualquier

proceso que no esté automatizado que permita realizar la recopilación de datos, grabación de

datos, conservación de los datos, elaboración, modificación y bloqueo de datos. El interesado

es la persona física titular de los datos tratados, ya sea un consumidor, un usuario de una

página web o un empleado. Pérez (2015).

Definiciones:

Ataques y amenazas de la seguridad de información: Es el principal problema a la

seguridad que amenaza potencialmente al hardware, software con hacerle algún tipo de daño,

generando un efecto negativo que puede ocurrir en cualquier momento, en la actualidad los

virus informáticos siguen siendo la fuente principal de estos ataques a la seguridad de la

información en una compañía, siendo estos los mayores causantes de pérdidas económicas en

las empresas. Aceituno (2004).

Gestión de riesgos: Es un medio que consiste en seguir una serie de fases para reducir la

incertidumbre y ayudar a la toma de decisiones, tales como: examinar, identificar y actuar.

Brindando un mejor enfoque a los incidentes que se presentan en la empresa que podrían

provenir de una amplia variedad de fuentes, como por ejemplo: accidentes y desastres

naturales (Gómez, R., Pérez, D., Donoso, Y. y Herrera, A., 2010).

Políticas de seguridad: Son protocolos, directrices que permiten asegurar la

confidencialidad de la información y a su vez, minimizar los riesgos que impactan a la

empresa. Asimismo, se puede decir que las políticas de seguridad tienen como finalidad,
proteger sus activos de tecnología de información, ayudando de esta manera a reducir los

riesgos que puedan presentarse. Areitio Bertolín (2008).

Sistema de gestión de seguridad de la información: Facilita un enfoque basado en un ciclo

de mejora (Planificar-Hacer-Verificar-Actuar). Evaluando de esta manera los riesgos que se

puedan observar en la compañía y estableciendo medidas para poder mitigarlos. Se basa en la

protección de activos de la organización, donde se realiza un análisis para garantizar la

protección según sea necesario. (Flores, 2016)

6. HIPÓTESIS (de ser el caso)

La implementación de un SGSI en la empresa CODESA, permitirá una mejora

significativa en la gestión de seguridad de información y logrará establecer un mayor

aseguramiento de los datos, mediante el conjunto de normas ISO 27001 que nos permitirá

proteger el aseguramiento y confiabilidad de la información.

Hipótesis específicas

➢ La identificación de los riesgos y amenazas que se presenten en la empresa

CODESA, permite prevenir impactos negativos que recaigan sobre la empresa.

➢ La implementación del SGSI, permite salvaguardar la información relevante de la

empresa, basándose en el conjunto de normas ISO 27001.

➢ Se plantean políticas de seguridad, para disminuir al nivel más bajo posible la

brecha en seguridad de la información que presenta la compañía.

➢ Aplicación de controles de la familia de normas ISO 27002, con el fin de mejorar

la gestión de seguridad de la información en la empresa.

 7. METODOLOGÍA

Enfoque

Para el presente trabajo, se decidió utilizar el enfoque metodológico cuantitativo, que

es el que más se adapta a las necesidades que dispone nuestro presente proyecto de

investigación, esto debido a que no manipularemos ninguna variable en nuestra

implementación del SGSI y solo usaremos los datos que de eventos históricos que tenga la

empresa y la data usada en base a los formularios realizados para la elaboración de encuestas.

Hernández-Sampieri y Mendoza (2018), define que un enfoque cuantitativo se fundamenta en

la recopilación de datos para luego analizarlos y así poder validar las hipótesis definidas

previamente. Asimismo, se establece una medición numérica sobre las variables y datos

recolectados previamente para así poder estudiar sus propiedades, esto debido a que los datos

son obtenidos por mediciones. Apoyándose de esta manera de las siguientes técnicas de

análisis como: análisis descriptivo, análisis exploratorio, análisis multivariado, entre otros.

Buscando de esta manera poder predecir y explicar los valores investigados, encontrando

relaciones causales entre dichos fenómenos encontrados en el análisis.

Alcance

El alcance considerado para el desarrollo del presente proyecto es correlacional.

Hernández-Sampieri y Mendoza (2018), señala que el alcance correlacional determina la

relación o asociación de uno o más conceptos para determinar la relación negativa o positiva

en la que se encuentran vinculados. Por lo tanto, se ha identificado en el presente estudio de

investigación que, se busca encontrar una relación entre las buenas prácticas de la norma ISO
27001 y la mejora de seguridad de la información que actualmente tiene la empresa

CODESA.

Diseño Metodológico

Tipo de investigación

En la situación actual que se desarrolla nuestro proyecto de investigación, se plantea

que es un método no experimental, transversal, porque el objetivo será realizar el diseño y la

implementación de un SGSI para la empresa CODESA. Por lo tanto, de esta forma se puede

controlar y mitigar los riesgos y vulnerabilidades que pueda existir en la compañía, ya que

estas vendrían a ser nuestras variables. De acuerdo a ellos, se tomará como referencia las

normas ISO 27000, para poder satisfacer los objetivos y necesidades planteados en el previo

análisis de datos para la implementación de SGSI Hernández-Sampieri y Mendoza (2018).

Técnica de investigación

Se emplea la técnica de encuesta. En donde se podría recolectar información de una

población o muestra que se encuentren involucrados con el tema de investigación que se está

desarrollando. Por esta razón, se emplearán dos tipos de encuestas para la recopilación de

datos, las cuales son encuestas escritas y encuestas orales. Areitio Bertolín (2008)

Las encuestas escritas se podrán hacer de manera virtual o presencial de forma directa

con el colaborador de manera que puedan marcar y responder las preguntas y consultas

planteadas, mientras que en las encuestas orales se realizará una serie de preguntas de forma

corta y se podrán realizar de manera telefónica o presencial según sea la disponibilidad del

colaborador de la empresa CODESA.

Instrumentos de recolección de información

Para la realización del trabajo, se está tomando en cuenta el uso de encuestas escritas

y telefónicas, con el fin de recopilar información, también se hará uso de un análisis de

documentación que actualmente presenta la empresa con respeto a los reportes de incidentes

y riesgos que tienen registrados hasta la actualidad. Asimismo, se realizarán reuniones

presenciales para realizar un levantamiento de información por las áreas de la empresa.

Estos instrumentos de recolección de información son beneficiosos para la

recopilación de información, ya que de esta manera pueden brindar su disponibilidad de

manera que, crean más convenientes de manera individual y así no interrumpimos por mucho

tiempo las funciones que vienen desarrollando.

Identificación del objeto o población de estudio y muestra

Población

La población con la que se trabajará es de un total de 50 colaboradores,

teniendo en consideración a todas las áreas de la compañía, ya que todos están directa

o indirectamente relacionados con el SGSI que se está diseñando, en las que se

establecerá controles de seguridad, medidas y la ejecución de buenas prácticas por

parte de los colaboradores de la compañía. En la muestra de estudio se halla los

cargos de supervisor de soporte, jefe de soporte, técnicos y colaboradores

administrativos, ya que los estamos considerando para tener una visión general desde

las diferentes áreas de la empresa:

● 2 supervisores de soporte

● 6 técnicos

● 6 colaboradores administrativos
 ● 1 jefe de soporte

Muestra

La muestra que se emplea en el análisis de datos tendrá un mayor enfoque en

el personal que se encuentre directamente relacionado con el SGSI que se está diseñando, de

esta manera nos enfocamos en las áreas críticas de la empresa seleccionando al personal de

manera aleatoria. Por consiguiente, se podrá recolectar los datos de manera precisa para

poder evaluar los procedimientos y medidas que se implementarán en nuestro SGSI.

8. CRONOGRAMA DE TRABAJO (máximo 3 páginas)

9. PRESUPUESTO
10. BIBLIOGRAFÍA

Aceituno Canal, V.. (2004). Seguridad de la información: expectativas, riesgos y

tecnicas de protección. Madrid: Creaciones Cppyright.

[Link]

riesgos-y-tecnicas-de-p-roteccion/9788493333676/961115.

Altamirano Di Luca, M. (2019). Modelo para la gestión de la seguridad de la

información y los riesgos asociados a su uso. 248-263.

Angarita, A.A, Tabares, C.A, y Ríos, J.I. (2015). Definición de un modelo de

medición de análisis de riesgos de la seguridad de la información aplicando

lógica difusa y sistemas basados en el conocimiento. Entre Ciencia e

Ingeniería. 71-80.

Areitio Bertolín, J. (2008). Seguridad de la informacion, redes, informática y sistemas

de información. Madrid. [Link]

id=_z2GcBD3deYC&printsec=frontcover&dq=libro+sobre+seguridad+de+la+

informacion&hl=es&sa=X&ved=2ahUKEwicxcudtO36AhUwppUCHQ8CBk4

Q6AF6BAgFEAI#v=onepage&q&f=false

Arévalo Ascanio, José Gregorio, Bayona Trillos, Ramón Armando, y Rico Bautista,

Dewar Willmer. (2015). Implantación de un sistema de gestión de seguridad

de información bajo la ISO 27001: análisis del riesgo de la información. 123-

134. [Link]
Austen, E., & Choo, C. (2000). Managing Information for the Competitive

[Link]

Azán-Basallo, Yasser, Martínez Sánchez, Natalia y Estrada Senti, Vivian. (2017). El

riesgo de seguridad de la información en los gestores de bases de datos

basados en números difusos trapezoidales. Revista Cubana de Ciencias

Informáticas, 11(4), 57-66. [Link]

script=sci_arttext&pid=S2227-18992017000400005&lng=es&tlng=en.

Barberán Arboleda, Rubén Patricio y Díaz Díaz, Frank Jesús (2019). La auditoría

interna de sistemas en la gestión empresarial. Cofin Habana.

[Link]

60612019000200012&lng=es&tlng=es.

Benites Durand, Cesar. (2019). “Implementación de un Sistema de Gestión de

Seguridad de la Información - Norma ISO 27001 para la Fábrica Radiadores

Fortaleza” Ingeniero de Seguridad y Auditoría Informática.

Bernhard, M., Benaloh, J., Halderman, J. A., Rivest, R. L., A. Ryan, P. Y., Stark, P.

B., Wallach, D. S. (2017). Public Evidence from Secret Ballots. 2nd Joint

International Conference on Electronic Voting E-VOTE-ID 2017, (p. 419).

Lochau/Bregenz

Bustamante García, Shonerly; Valles Coral, Miguel Ángel; Cuellar Rodríguez, Immer

Elías y Levano Rodríguez, Danny, 2021. Políticas Basadas En La ISO 27001:

2013 y su influencia en la gestión de seguridad de la información en

municipalidades de Perú. Enfoque UTE. 2021, vol.12, n.2, pp.69-79.

[Link] 05 de abril de 2021.

Cajusol, Liseth. (2020). Diseño de un Sistema de Gestión de Seguridad de

Información basado en la Norma ISO/IEC 27001:2013 para una empresa de

producción y comercialización de productos de consumo masivo. 111.

[Link]

Cajusol_Trabajo de Investigacion_Bachiller_2020.pdf?

sequence=1&isAllowed=y

Carvajal Portilla, Diana Lizeth, Cardona Londoño, Arturo, y Valencia Duque,

Francisco Javier (2019). Una propuesta de gestión de la seguridad de la

información aplicado a una entidad pública colombiana. Entre Ciencia e

Ingeniería, 13(25), 68-76. [Link]

Estrada-Esponda, Royer David; Unás-Gómez, José Luis y Flórez-Rincón, Oleskyenio

Enrique. (2021). Prácticas de seguridad de la información en tiempos de

pandemia. Caso Universidad del Valle, sede Tuluá. Revista Logos Ciencia y

Tecnología, 13(3), 98-110. [Link] 08 de

julio de 2021.

Gómez, R., Pérez, D. H., Donoso, Y., y Herrera, A.. (2010). Metodología y gobierno

de la gestión de riesgos de tecnologías de la información

Guerra Erick, Neira Harold, Díaz Jorge y Patiño Janns. (2021). Desarrollo de un

sistema de gestión para la seguridad de la información basado en metodología

de identificación y análisis de riesgo en bibliotecas universitarias. In

Información tecnológica (Vol. 32, Issue 5, pp. 145–156).

[Link]
Hernández-Sampieri, R. y Mendoza, C. (2018). Metodología de la investigación. Las

rutas cuantitativa, cualitativa y mixta, Ciudad de México, México: Editorial

Mc Graw Hill Education, Año de edición: 2018, ISBN: 978-1-4562-6096-5,

714 p.

Lagreca, Nicolás (2017). Modelo de auditoría para servicios telemáticos de la

universidad Simón Bolívar. Télématique, 16(2),79-95.[fecha de Consulta 23

de Septiembre de 2022]. ISSN: 1856-4194. Disponible en:

[Link]

Lapiedra Alcamí, Rafael. (2021). Introducción a la gestión de sistemas de información

en las empresas.

[Link]

pdf?sequence=1

Chávez Salazar, Víctor Hugo. (2016). Desarrollo de seguridad de la información en

ambientes educativos virtuales. Educación Superior, 1(1), 15-30.

[Link]

24522020000100099, setiembre de 2016.

Llanca Morales, Huber Zósimo. (2016). Integración de accesos en servicios de

directorio de una entidad bancaria, usando ingeniería de roles y perfiles. [Tesis

de titulación]UNMSM

Morales Rocha, Víctor. (2018). Mecanismo de auditoría para la detección de

manipulación de votos en sistemas de votación electrónica. PAAKAT: revista

de tecnología y sociedad, 8 (14), 00001. Epub 01 de agosto de 2018.

[Link]
 Muñoz Cañavate Antonio. (2003). Sistemas de información en las empresas.

[Link]

Pérez, Julio. (2015). Usuarios, Internet y Protección de datos. Protección de datos y

seguridad de la información. Cuarta edición actualizada.

[Link]

id=To6fDwAAQBAJ&printsec=frontcover&dq=libro+sobre+seguridad+de+la

+informacion&hl=es&sa=X&ved=2ahUKEwicxcudtO36AhUwppUCHQ8CB

k4Q6AF6BAgJEAI#v=onepage&q&f=false

Proaño Escalante, Rodrigo Arturo, Saguay Chafla, Ciro Napoleón, Jácome Canchig,

Segundo Bolívar y Sandoval Zambrano, Fanny. (2017). Sistemas basados en

conocimiento como herramienta de ayuda en la auditoría de sistemas de

información. 148-159. [Link]

Rodríguez Baca Liset, Cruzado Puente de la Vega Carlos y Mejía Corredor Carolina.

(2020) Aplicación de ISO 27001 y su influencia en la seguridad de la

información de una empresa privada peruana. (Vol. 8, n.2, pp. 786)

Rodríguez Leyva, Paúl, Delgado Mesa, Yennifer, Viltres Sala, Hubert, Estrada Sentí,

Vivian y Febles, Juan Pedro. (2018). Modelo computacional para el desarrollo

de sistemas de recuperación de información. Revista Cubana de Ciencias

Informáticas, 12(1), 173-188. Recuperado en 24 de septiembre de 2022, de

[Link]

18992018000100013&lng=es&tlng=es.
Rodríguez Parra, César Felipe (2010). Seguridad de la información: estrategia para

fortalecer el gobierno corporativo. Revista, (43), 3-24. ISSN: Disponible en:

[Link]

Serrate-Alfonso, Annia,y Nogueira-Rivera, Dianelys, y Tundidor-Montes de Oca,

Lázaro, y Medina-León, Alberto (2019). Evaluación del sistema de seguridad

de la información para empresas de proyectos. Ciencias Holguín, 25(3), 1-15.

ISSN: Disponible en: [Link]

Ugas, Luis J. (2002). Seguridad en organizaciones con tecnologías de información.

Télématique, 1(1), 1-9. [Fecha de Consulta 16 de Septiembre de 2022]. ISSN:

1856-4194. Disponible en: [Link]

Valencia-Duque, F.. y Orozco-Alzate, M.. (2017). Metodología para la

implementación de un SGSI basado en la familia de normas ISO/IEC 27000.

RISTI - Revista Ibérica de Sistemas y TI, (22), 73-88.

[Link] Junio de 2017.

Vega Briceño, Edgar. (2021). Seguridad de la información.

[Link]

SEGURIDAD-INFORMACIO%CC%[Link]

Villa, Paula Andrea, y Ladino, Martha Isabel, y López, Ana (2011). Fundamentos del

ISO 27001 y su aplicación en las empresas. Ciencia Et technica, XVII (47),

334-339. ISSN: 0122-1701. Disponible en:

[Link]
11. ANEXOS (opcional)