.

REPÚBLICA BOLIVARIANA DE VENEZUELA

UNIVERSIDAD NACIONAL EXPERIMENTAL MARÍTIMA DEL CARIBE
VICE RECTORADO ACADÉMICO
DIRECCIÓN DE ESCUELA DE INGENIERÍA

Informe de Pasantía presentado ante la Universidad Nacional

Experimental Marítima del Caribe, como requisito para optar
al Título de: Ingeniero en Informática. Mención: Seguridad
Informática

Autor: Anderson Guiza

C.I: V-26.613.511
Tutor Académico: Prof. Elíseo Narváez
Tutor Empresarial: Ing. Eduardo Castillo

Catia La Mar, Julio de 2022

1
 REPÚBLICA BOLIVARIANA DE VENEZUELA
UNIVERSIDAD NACIONAL EXPERIMENTAL MARÍTIMA DEL CARIBE
VICE RECTORADO ACADÉMICO
DIRECCIÓN DE ESCUELA DE INGENIERÍA

INFORME DE PASANTÍAS

Desde: 06-07-22 Hasta: 26-10-22 Carga horaria: 640 horas

Elaborado en la empresa:
Telecomunicaciones G-Network C.A

Autor: Anderson Guiza

Tutor Académico: Prof. Elíseo Narváez
Tutor Empresarial: Ing. Eduardo Castillo

Catia La Mar, Julio de 2022

2
 REPÚBLICA BOLIVARIANA DE VENEZUELA
UNIVERSIDAD NACIONAL EXPERIMENTAL MARÍTIMA DEL CARIBE
VICE RECTORADO ACADÉMICO
DIRECCIÓN DE ESCUELA DE INGENIERÍA

APROBACIÓN DEL JURADO

Informe de Pasantía presentado ante la Universidad Nacional

Experimental Marítima del Caribe, como requisitos para optar al Título de
Ingeniero en informática. Mención: Seguridad Informática.

Obtuvo la calificación de puntos.

Tutor Académico Jurado

Prof. Elíseo Narváez Nombre y apellido

Tutor Empresarial
Ing. Eduardo
Castillo

3
 REPÚBLICA BOLIVARIANA DE VENEZUELA
UNIVERSIDAD NACIONAL EXPERIMENTAL MARÍTIMA DEL CARIBE
VICE RECTORADO ACADÉMICO
DIRECCIÓN DE ESCUELA DE INGENIERÍA

PREPARACION PARA LA IMPLEMENTACIÓN DEL ESTÁNDAR DE

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO-
27001 EN LOS PROCESOS DEL DEPARTAMENTO DE DESARROLLO,
INFORMACIÓN Y TECNOLOGÍA PARA TELECOMUNICACIONES G-
NETWORK
Autor: Anderson Guiza
Tutor Académico: Prof. Elíseo Narváez
Fecha: 06-07-22

Resumen
En la empresa Telecomunicaciones G-Network C.A, a la cual va
dirigido el presente trabajo. Provee un servicio de fibra óptica. Su objetivo
principal es ofrecer un servicio confiable, seguro y con mucha estabilidad a
sus clientes. Dentro de los resultados que se esperan el más relevante será
la preparación de la empresa para la futura implementación del estándar de
sistemas de gestión de seguridad de la información ISO-27001 en los
procesos de las gerencias de seguridad, instrucción y tecnología e
información. Para ello está el establecer y fortalecer los métodos utilizados
en el sistema de gestión, asegurando así la integridad, disponibilidad y
confidencialidad de los mismos. Se ha realizado el análisis de la propuesta
para tener en cuenta los posibles resultados de su aplicación. En donde
finalmente se presentan las conclusiones a las que se llega con este trabajo.

4
 Agradecimientos

Agradezco a la Universidad Marítima del Caribe, mi casa de estudios.

Por abrirme las puertas al conocimiento y permitirme llegar a cumplir este
logro académico. De igual forma a la empresa de Telecomunicaciones G-
Network. Y a Eduardo Casti llo, por darme la oportunidad de realizar mis
pasantías con un proyecto que me permitió adquirir mucho conocimiento en
mi área de especialidad.

Agradezco especialmente al profesor Eliseo Narváez, por su constante

apoyo y confianza en mi trabajo y en mi persona como profesional, por
compartir conmigo todo su conocimiento, por todo el esfuerzo realizado de su
parte para convertirnos en profesionales de calidad y por haber sido una guía
y amigo para mí y para todos los de nuestra especialidad.

A la profesora Haydee Pérez quien fue de ayuda crucial en mi etapa

final en la universidad y quien me abrió las puertas a nuevos horizontes y
oportunidades para aprovechar al máximo y adquirir mucho conocimiento en
este proyecto final.

A los ingenieros Armando Villanueva, Gabriel Tovar, Rafael Gómez, Adrian

Fernandez, Danilo Silva, Jhoan Bello y Fredy Carrillo por ser guías claves en
todas las enseñanzas y conocimientos que me brindaron a lo largo de las
pasantías profesionales ya que, con su ayuda y experiencia he sido capaz de
potenciar y adquirir muchas de las habilidades necesarias para el campo de
la ingeniería informática.

5
 Índice General

CONTENIDO pág.

Resumen IV

Agradecimientos V

Índice de figuras VIII

Índice de tablas IX

Introducción X
Parte 1 12

Reseña histórica de la empresa 12

Misión 12

Visión 12

Valores 13

Políticas 14

Organigrama general de la empresa 15

Descripción de la estructura 16
Parte 2 17

Antecedentes del problema 17

Contexto del problema 17

Relación del problema con otras áreas de la empresa 18

Definición del problema 19

Justificación del problema 19

Objetivo General 21
Objetivos específicos 21

6
Parte 3 22
Planificación de las pasantías 22

Cronograma de actividades: Diagrama de Gantt 24

Descripción técnica de las tareas más relevantes 24

Parte 4 28

Organigrama 28

Funciones 29

Relación con la especialidad Ingeniería Informática 30

Parte 5 31

Métodos y procedimientos 31

Recursos utilizados 31

Resultados obtenidos y análisis de los mismos 32

Descripción de la propuesta 34

Marco legal que sustenta la propuesta 34

Reflexiones finales 36

Recomendaciones 37

Para la empresa 37

Referencias bibliográficas 38

Anexos 39

7
 Índice de Figuras

CONTENIDO Pág.

Figura Nº 1. Organigrama de la empresa 15

Figura Nº 2. Organigrama de la Gerencia 27

8
 Índice de Tablas

CONTENIDO Pág.

Cuadro Nº 1. Planificación de pasantías 21

Cuadro Nº 2. Diagrama de Gantt 23

9
 Introducción

La seguridad informática juega un papel fundamental en el

funcionamiento óptimo de una empresa. Las organizaciones deben asegurar
la confidencialidad, integridad y disponibilidad de sus datos. Hoy día las
empresas se apoyan de sistemas informáticos para tratar su información
sensible y muchas veces para llevar el control total de sus operaciones. Las
consecuencias de comprometer información sensible pueden traer
consecuencias de operatividad, funcionalidad, económicos y legales.

Dicho esto, se ha identificado la necesidad de establecer y/o

estandari zar el uso adecuado de estas destrezas tecnológicas para
aprovechar estas ventajas, evitar su uso indebido y problemas en los bienes
y servicios de la empresa. De esta manera, estos lineamientos de seguridad
para los equipos y programas de informática, emergen como el instrumento
de apoyo para la empresa de Telecomunicaciones G-Network, acerca de la
importancia y sensibilidad de la información y servicios críticos y de la
superación de las posibles fallas.

Para realizar la estructura del informe se siguió la guía de la Universidad

Marítima del Caribe del año 2014. Esta estructura de informe de pasantías se
compone por cinco partes las cuales son:

Parte 1. Descripción de la empresa; todo lo relacionado con la

empresa donde se realizaron las pasantías profesionales. Esta parte
presenta la misión, visión, políticas, organigrama general, descripción de la
estructura y una breve reseña histórica de la empresa Telecomunicaciones
G-Network.

10
 Parte 2. Bosquejo del problema a abordar en la organización; se
coloca en contexto y se define la problemática en sí. Los objetivos
planteados en el proyecto, su justificación del por qué se debería realizar el
mismo y la relación que puede poseer la problemática con toda la empresa.

Parte 3. Desarrollo de las actividades de la pasantía; incluye el plan

de pasantías, el diagrama de Gantt y una descripción de las acti vidades más
importantes realizadas en la empresa por el pasante.

Parte 4. Descripción del departamento donde se realizó las pasantías;

en esta parte se muestra el organigrama de la división de informática y que
posee relación con la carrera de Ingeniería Informática.

Parte 5. Formulación de resolución a la situación problemática

planteada. En esta última parte se detalla todo lo necesario para plantear una
solución a la problemática, empezando por la fundamentación teórica que se
debe definir previamente para entender la descripción de la propuesta, el
marco legal que sustenta la propuesta, los métodos, procedimientos y
recursos utilizados hasta llegar a la descripción de la propuesta y los análisis
de los resultados obtenidos en este proyecto.

11
 Parte 1

Reseña histórica de la empresa

Creada en el año 2022 Telecomunicaciones G-Network es una

empresa privada orientada a prestar una conexión de servicio de internet de
alta velocidad a través de tecnología de fibra óptica FTTH sin fines de lucro.

Desde entonces, Telecomunicaciones G-Network se ha insertado en

el mercado de internet con tecnología de fibra óptica, logrando extenderse
por todo el estado La Guaira.

Misión

Brindar a sus clientes servicios de internet fibra óptica por todo el

estado de La Guaira.

Visión

Telecomunicaciones G-Network C.A.® es una empresa privada,

destinada a brindar conexión de servicio de internet de alta velocidad a
través de tecnología de fibra óptica FTTH (Fibra hasta tu Hogar), en la
actualidad se encuentra desarrollando el contexto de la organización

Dirección de la empresa

Edificio de Almacenadora Belenus dirección H2WF+JQR, Maiquetía

1161, La Guaira

12
Valores

Estos valores tienen como objetivo fundamental, orientar la conducta

ética en el desempeño de las funciones asignadas por la empresa
Telecomunicaciones G-Network C.A reconociendo la altísima responsabilidad
como trabajadores al servicio de los intereses generales, promoviendo y
respaldando una actuación comprometida con los fines de la sociedad y
opuesta a cualquier hecho que los contraríe. Los valores están basados en:

• Respeto: Reconocer los derechos del otro y no vulnerarlos, reconocer

y aceptar las distintas formas de pensar, opinar y actuar de los grupos
sociales y de la sociedad entera. Construimos una organización
confiable, manteniendo la profesionalidad y legalidad dentro de ella.

• Honestidad: Se traduce como la moralidad e integridad que conduce

a actuar apegado a la verdad, impidiendo así que la corrupción inunde
su desempeño personal y profesional.

• Trabajo en equipo: El trabajo en equipo necesariamente exige

solidaridad, vocación de servicio, equidad, autonomía, respeto,
responsabilidad, participación, diálogo, concentración y autodesarrollo.

• Empatía: Conectarse y responder adecuadamente a las necesidades

de los clientes.

• Vocación de Servicio: Virtud que comprende el compromiso, pasión

y espíritu de entrega hacia la acti vidad que se debe desarrollar.
Demostrando así, el sentido de pertenencia con la empresa.

13
 • Compromiso Social y Ciudadano: Da cuenta pública de las
actuaciones y permite su observación y control a través de los órganos
establecidos para el afecto. Adecúa las acciones a los principios y
valores éticos de la organización.

Políticas

Estas políticas tienen como objetivo fundamental, orientar la conducta

ética en el desempeño de las funciones asignadas por la empresa
Telecomunicaciones G-Network. Reconociendo la responsabilidad como
trabajadores al servicio de los intereses generales, promoviendo y
respaldando una actuación comprometida con los fines de la sociedad y
opuesta a cualquier hecho que los contraríe. Las políticas empresariales que
orientan la actuación como miembros la empresa Telecomunicaciones G-
Network están basados en:

• Compromiso: Cumplir el rol con eficacia y eficiencia, enfocados en

óptimos resultados, con capacidad de realizar trabajos en equipo y
plena vocación de servicio.

• Responsabilidad: Es hacerse cargo de las consecuencias de los

actos libres y voluntariamente realizados, no solo cuando sus
resultados son buenos y gratificantes, sino que también cuando no
son adversos o indeseables.

• Normas de Convivencia: Es cumplir con las normas internas

establecidas por la empresa para tener un ambiente con mucha
disciplina y convivencia con todo el personal de la misma.

14
Organigrama General de la empresa

La estructura organizativa de manera integral o generalizada de

Telecomunicaciones G-Network C.A a través de la implementación de un
organigrama, muestra jerárquicamente las diferentes secciones o
dependencias en las que se divide la empresa. Con el fin de proporcionar
información a los integrantes y/o personas vinculadas a ella y conocer sus
características, generalizar de forma sencilla y entendible la organización de

Las relaciones de autoridad a partir del nivel más al alto al nivel más bajo,
con descripciones previas y concisas de cada cargo ejercido en la misma. El
diseño de organización de Telecomunicaciones G-Network C.A contempla
que cada nivel organizativo participa en la creación de las condiciones
internas para obtener un funcionamiento coordinado, óptimo y eficiente. A
través de lo mencionado se refleja la responsabilidad, autoridad,
organización y funcionalidades.

Figura N. º 1. Organigrama de Telecomunicaciones G-Network C.A

15
Descripción de la estructura

Telecomunicaciones G-Network C.A. posee un organigrama

estructural, generalizado por su contenido de manera integral que representa
cada una de las unidades administrati vas de la empresa y su relación
jerárquica.

La estructura del organigrama de Telecomunicaciones G-Network C.A.

es de tipo vertical, siendo un organigrama integral que representa
gráficamente todas las unidades administrativas de la organización. En la
cúpula de la estructura se encuentra la máxima responsabilidad y autoridad,
y debajo aparecen las divisiones de mando medio dejando en lo último de la
estructura el resto de los departamentos funcionales.

16
 Parte 2

Antecedentes del Problema

Las empresas que se dedican a brindar servicios de banda ancha

como es el caso de Telecomunicaciones G-Network, manejan información de
cada uno de sus empleados y usuarios. Por lo tanto es de mucha
importancia tener protegida dicha información.

Dentro de la preparación para la implementación del estándar de

sistemas de gestión de seguridad de la información basado en el estándar
ISO-27001, se encuentra la mejora continua lo cual hace que sea muy
importante que la empresa se asegure de crear procedimientos para el
monitoreo y revisión del sistema, los mismos que deben cubrir estimación de
riesgos, auditorías internas y revisiones gerenciales. Estos elementos
aportan retroalimentación al sistema posibilitando conocer el estado del
mismo y aplicar acciones correcti vas, si fuera el caso, que permitan el
cumplimiento de los planes y objetivos.

Contexto del problema

La ISO-27001 Es una norma creada por la Organización internacional

de normalización. (ISO) Pertenece a la familia de normas ISO-27000 y habla
sobre la gestión de sistemas de seguridad de la información. Tiene como fin
garantizar la confidencialidad, integridad y disponibilidad de la información de
los sistemas de gestión de seguridad de la información en donde es aplicada
la norma.

Telecomunicaciones G-Network C.A., en búsqueda de cumplir su

objetivo principal de brindar a sus clientes servicios de banda ancha y

17
logística integral para las conexiones de fibra óptica. Está interesada como
empresa en la mejora constante de sus procesos y el debido cumplimiento
normativo. Esto le dará la posibilidad adquirir diferentes certificaciones que le
permita poder interactuar de una forma más fluida y en armonía con otras
entidades nacionales e internacionales.

Relación del problema con otras áreas de la empresa

El problema se presenta cuando la ISO 27001 no abarca a toda la

empresa, quiere decir que el Sistema de Gestión de Seguridad de la
Información (SGSI) tiene que interactuar con el mundo “exterior”. En ese
contexto, el mundo exterior no son sólo los clientes, socios, proveedores,
etc., sino también los departamentos de la empresa que no están dentro del
alcance definido. Un departamento que no está incluido en el alcance debe
ser tratado de la misma forma que un proveedor externo.

Por ejemplo, si decide que sólo el departamento de Desarrollo esté

dentro del alcance, y este departamento utiliza los servicios del sector
Compras, el departamento de Desarrollo debe realizar la evaluación de
riesgos sobre el sector Compras para identificar si existe algún riesgo para la
información de la que es responsable el departamento. Además, ambas
áreas deben firmar acuerdos de términos y condiciones por los servicios
brindados.

18
Definición del problema

Telecomunicaciones G-Network C.A. Actualmente cuenta con una

estructura organizativa y mediciones de gestión de seguridad de la
información que no son óptimas para el proceso de implementación de la
norma ISO-27001 y que pueden suponer una dificultad considerable a la
hora de emprender la búsqueda de la certificación.

Al realizar un análisis sobre la problemática se llega a la conclusión de

que implementar una previa preparación puede solventar varios de los
problemas en la seguridad de la información de Telecomunicaciones G-
Network así como también que la misma tenga menos dificultad para su
certificación e implementación.

Justificación del problema

La norma ISO-27001, edición de la fecha 15/10/2013 versión UNIT-

ISO/IEC27001:2013 en el punto 4 “CONTEXTO DE LA ORGANIZACIÓN”
sub-punto 4.1 “Comprender la organización y su contexto” establece que “La
organización debe determinar los asuntos externos e internos que son
relevantes para su propósito y que afectan su capacidad de lograr el (los)
resultado (s) deseado (s) de su sistema de gestión de la seguridad de la
información.”

De igual forma la norma ISO-27001, edición de la fecha 15/10/2013

versión UNIT-ISO/IEC27001:2013 en el punto 4 “CONTEXTO DE LA
ORGANIZAC IÓN” sub-punto 4.3 “Determinar el alcance del sistema de
gestión de la seguridad de la información” establece que “La organización
debe determinar los límites y la aplicabilidad del sistema de gestión de la
seguridad de la información para establecer su alcance.”

19
 La empresa Telecomunicaciones G-Network, en su objetivo de brindar
a sus clientes servicios de banda ancha para conexiones de alta velocidad
en fibra óptica. Tiene como meta el mejorar continuamente sus procesos y el
debido cumplimiento normativo. Por ende tiene interés en adquirir diferentes
certificaciones que le permita poder interactuar de una forma más fluida y en
armonía con otras entidades nacionales e internacionales. Entre ellas, la de
la norma ISO-27001.

La norma ISO-27001 nos pide comprender la organización en un todo

para determinar los diferentes puntos a los que hace mención. El proceso
para iniciar una implementación de la norma ISO-27001 resulta mucho más
complejo. Lo que supone un proceso mucho más largo y con más costes
para la empresa, además del previo trabajo que se debe realizar para hacer
que sus diferentes modelos de negocio funcionen en armonía.

La empresa Telecomunicaciones G-Network C.A, en su afán de

cumplir con su objetivo previamente mencionado. Plantea el obtener esta
certificación únicamente para su SGSI. Siendo más específicos en las
gerencias de seguridad, instrucción y tecnología e información. Para ello se
debe determinar el alcance del sistema de gestión de la seguridad de la
información, como indica el punto 4 de la norma ISO-27001.

20
Objetivo general

● Preparación para la implementación del estándar de sistemas de

gestión de seguridad de la información ISO-27001 en los procesos de
las gerencias de seguridad, información y tecnología para
telecomunicaciones G-Network

Objetivos específicos

● Reforzar las políticas y procedimientos para el manejo seguro de la

información en la empresa.
● Ejecutar una modificación en los procesos de gerencia que le ofrezca
más independencia a los procesos realizados en la empresa
Telecomunicaciones G-Network la cual facilite el futuro proceso de
implementación de la norma ISO-27001.
● Mejorar políticas, formularios y procedimientos para mantener
registros de los activos de información más valiosos de la empresa.

21
 Parte 3

Cuadro Nº 1. Planificación de pasantías

Descripción de actividades
m de
Cronograma
Desde Hasta Actividades ejecución

06/07/22 03/08/22
Elaboración de la propuesta del Semana 1
proyecto de preparación para la Semana 2
implementación del estándar de Semana 3
sistemas de gestión de seguridad de la Semana 4
información iso-27001 en los procesos
del departamento de desarrollo,
información y tecnología para
Telecomunicaciones G-Network.

04/08/22 01/09/22
Documentación para la clasificación de Semana 5
activos de información. Semana 6
Semana 7
Semana 8

02/09/22 23/09/22
Ejecutar propuesta para la futura Semana 9 9
independencia de los procesos. Semana 10
Semana 11

22
24/09/22 22/10/22
Reforzar políticas y controles para la Semana 12
seguridad de la información. Semana 13
Semana 14
Semana 15

23/10/22 30/10/22
Planificación de concienciación del
personal en seguridad de la Semana 16
información.

Fuente: Autor

23
Cuadro Nº 2. Diagrama de Gantt

Fuente: Autor

Descripción técnica de las actividades

A continuación, se describen las actividades realizadas durante el

periodo de pasantías en Telecomunicaciones G-Network, C.A.

1- Elaboración de la propuesta del proyecto de preparación para la

implementación del estándar de sistemas de gestión de seguridad de la
información ISO-27001.

Creación de la primera fase del documento que describe el proyecto y

explica la planificación del proyecto. Además de describir el problema, la
intención del proyecto y las diferentes políticas que se planean aplicar para
llevarlo a cabo.

24
2- Documentación para la clasificación de activos de información.

Creación de documentación guía en donde se planifique el registro de

toda la información valiosa de la empresa, en específico el departamento de
desarrollo, como puede ser su contenido, ubicación, responsable directo,
entre otros.

Siguiendo uno de los lineamientos de la norma ISO 27001, es necesario que

la empresa realice un inventario y clasificación de los acti vos de información
como parte del cumplimiento del Modelo de Seguridad y Privacidad de la
Información, que estipula lo siguiente:

 Inventario de activos: se deben identificar todos los acti vos de la

compañía y a su vez, crear un inventario de estos para tener los datos
en un solo lugar y de manera organizada.

 Propiedad de activos: cada activo identificado debe contar con un

responsable o propietario.

 Clasificación de la información: se debe realizar la respecti va

clasificación dependiendo del requerimiento legal, valor, criticidad,
divulgación y modificación.

 Manipulación de información: se debe contar con procedimientos

que permitan etiquetar la información y que funcione con el sistema de
clasificación que definió la empresa.

25
3- Ejecución de propuesta para la futura independencia de los procesos
de Telecomunicaciones G-Network, C.A.

Ejecución de la propuesta de independencia de los procesos de

Telecomunicaciones G-Network, C.A., respecto a todas las otras
dependencias que responden a otros procesos ajenos a los anteriormente
mencionados.

En el ambiente corporati vo y educativo, este término es mejor conocido como

BYOD (Bring your own device) y se refiere a que el empleado puede usar
cualquier dispositivo y sistema operativo para acceder a los servicios, que en
la actualidad fundamentalmente están ubicados en la nube, siempre y
cuando se tenga un navegador de internet compatible.

BYOD es una estrategia que brinda a las empresas e instituciones

educati vas grandes beneficios de productividad, ahorro de costos y
satisfacción del empleado. Análisis muestran que el proceso de adopción de
un empleado de un sistema operativo a otro es un proceso largo y estresante
para el usuario que sólo en algunos casos termina siendo 100% satisfactorio.
Por lo que permitir que el empleado o el estudiante usen el dispositivo de su
elección y trabajen en el sistema operativo de preferencia no sólo minimiza el
estrés, sino incrementa la productividad y minimiza la curva de aprendizaje.

Por último, existe un beneficio del lado del prestador de servicios que es el
ahorro en hardware, aunque en muchos casos éste resulta un poco
imaginario, ya que simultáneamente se convierte en gasto extra en seguridad
informática, debido a la diversidad de dispositivos y brechas de riesgo que
éstos traen a la mezcla informática del prestador de servicios.

26
4- Reforzar políticas y controles para la seguridad de la información.

Reforzar las políticas que regulan los procesos y procedimientos a

seguir para la seguridad del sistema de gestión de la información en los
distintos procesos de Telecomunicaciones G-Network, C.A. en los que se
trate con información sensible o critica, dentro del alcance del proyecto.

5- Planificación de concienciación del personal en seguridad de la

información.

Creación de propuesta de capacitación para el personal que trabaja

con información crítica o sensible. Sobre la seguridad de la información
empresarial y personal. De manera que estos entiendan su importancia y
puedan incluso estar preparados ante diversos escenarios que puedan
vulnerar el sistema de gestión de seguridad de la información.

27
 Parte 4

Organigrama del departamento

Figura N. º 2. Organigrama de la gerencia de tecnología e información

de la empresa Telecomunicaciones G-Network C.A.

Fuente: Telecomunicaciones G-Network C.A

28
Funciones de la Gerencia de tecnología e información

● Dirige supervisa y propone la formulación y evaluación de proyectos

basados en la mejora continua de negocio en coordinación con las
demás dependencias organizativas.

● Propone la mejora de la estructura organizativa del área y funciones

acordes al desarrollo de la dependencia, estableciendo cambios
evolutivos definidos por la prestación de servicios.

● Presenta a la junta directiva, informes de resultados, establecidos a

través de indicadores de gestión basados en los procesos llevados en
la Gerencia de Tecnología e Información.

● Gestiona y dirige un equipo de personal basado en conocimientos TI

(tecnología informática), programadores, especialistas, técnicos y
analistas.

● Supervisa el desarrollo, mejora e implementa los sistemas

informáticos de la empresa.

● Prioriza según las necesidades de la empresa o por orden de la Junta

Directiva, el portafolio de proyectos.

● Dirige la administración de la base de datos corporativa, disponiendo

las medidas pertinentes para la estandari zación, seguridad, respaldo y
recuperación de las bases de datos de Telecomunicaciones G-
Network C.A y sus empresas filiales.

29
Relación con la especialidad Ingeniería Informática

El Título de Ingeniero Informático de la Universidad Nacional

Experimental Marítima del Caribe (UMC) se concibe con la finalidad de
formar profesionales capaces de prevenir y resolver problemas tecnológicos
asociados a los procesos de producción de bienes y servicios en las
diferentes acti vidades económicas. Estos profesionales contribuirán así al
éxito de las metas de desarrollo suste ntable planteadas en el país y a nivel
internacional.

La Ingeniería Informática mención Seguridad Informática actúa y está

involucrada con todo el organigrama del departamento de desarrollo,
tecnología e información debido a los múltiples procesos e información
delicada que se maneja dentro de la empresa Telecomunicaciones G-
Network, ya que esta debe ser clasificada y asegurada para evitar posibles
brechas y filtrado de información en un futuro. Con esto se puede evidenciar
el hecho de que durante la formación académica se adquirieron diversos
conocimientos que compete a toda el departamento de desarrollo, tecnología
e información.

30
 Parte 5

Métodos y procedimientos

Durante el desarrollo de este proyecto se usó como referencia el

método científico. Se obtuvieron los conocimientos necesarios sobre la
empresa a través de la observación y la medición. Así como también de
diversas entrevistas. A partir de ese conocimiento se realizaron análisis y se
elaboraron hipótesis que ayudaron a crear planteamientos de soluciones
efectivas a la problemática.

Arias (2006, p. 69), define que la observación es una técnica que

consiste en visualizar o captar mediante la vista, en forma sistemática,
cualquier hecho, fenómeno o situación que se produzca en la naturaleza o en
la sociedad, en función de unos objetivos de investigación preestablecidos.

Recursos Utilizados

Para realizar este proyecto se ha hecho uso de recursos de

información. Entre los recursos utilizados podemos destacar el acceso a las
diferentes fuentes de información de Telecomunicaciones G-Network C.A.
que permitieron entender el funcionamiento de los diferentes procesos de la
empresa.

Otro recurso indispensable ha sido la norma para la gestión de

sistemas de seguridad de la información ISO-27001 edición de la fecha
15/10/2013 versión UNIT-ISO/IEC27001:2013, la cual es tomada como
referencia para el desarrollo de este proyecto.

31
Resultados obtenidos y análisis de los mismos

Al realizar el proyecto de preparación para la implementación del

estándar de sistemas de gestión de seguridad de la información ISO -27001
en los procesos de las gerencias de seguridad, instrucción y tecnología e
información de Telecomunicaciones G-Network C.A. Se encontraros algunos
fallos en el SGSI que ponen en riesgo la integridad, confidencialidad y
disponibilidad de la información.

A continuación, se describen los resultados obtenidos en las diferentes

actividades realizadas:

Documentación para la clasificación de activos de información.

Al realizar la documentación guía para el inventario y clasificación de

los activos de información, se detectó un registro óptimo en cuando al
registro de los activos de información en el inventario y la gestión del mismo,
pero que aún presentaba fallas y falta de registro de cierta información. Esto
puede deberse a que la empresa se encuentra en un crecimiento
exponencial y debido a la velocidad con la que esta crece no han podido
tomar medidas estrictas para proteger sus activos de información.
Los siguientes parámetros fueron tomados en cuenta por la empresa
al hacer entrega de la documentación guía para la realización de la
clasificación de activos de información:

CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

La clasificación de activos de información tiene como objetivo

asegurar que la información recibe los niveles de protección adecuados, ya
que con base en su valor y de acuerdo a otras características particulares
requiere un tipo de manejo especial.
32
 El sistema de clasificación de la información que podría definirse en la
empresa se basa en las características particulares de la información,
contempla la cultura y el funcionamiento interno y busca dar cumplimiento a
los requerimientos estipulados en el ítem relacionado con la Gestión de
Activos del estándar ISO 27001:2013.

CLASIFICACIÓN DE ACUERDO CON LA CONFIDENCIALIDAD

La confidencialidad se refiere a que la información no esté disponible

ni sea revelada a individuos, entidades o procesos no autorizados, Esta se
debe definir de acuerdo con las características de los activos que se manejan
en cada empresa, en esta documentación se definieron tres (3) niveles
alineados con los tipos de información que posee la empresa:

Información disponible sólo para un proceso de la entidad y que

INFORMACION
en caso de ser conocida por terceros sin autorización puede
PUBLICA
conllevar un impacto negativo de índole legal, operativa, de
RESERVADA
pérdida de imagen o económica.

Información disponible para todos los procesos de la entidad y

que en caso de ser conocida por terceros sin autorización puede
INFORMACION conllevar un impacto negativo para los procesos de la misma.
PUBLICA
Esta información es propia de la empresa o de terceros y puede
CLASIFICADA
ser utilizada por todos los funcionarios de la empresa para
realizar labores propias de los procesos, pero no puede ser
conocida por terceros sin autorización del propietario.

Información que puede ser entregada o publicada sin

INFORMACION restricciones a cualquier persona dentro y fuera de la entidad, sin
PÚBLICA que esto implique daños a terceros ni a las actividades y
procesos de la entidad.

Activos de Información que deben ser incluidos en el inventario

NO
CLASIFICADA y que aún no han sido clasificados, deben ser tratados como
activos de INFORMACIÓN PUBLICA RESERVADA.

33
 CLASIFICACIÓN DE ACUERDO CON LA INTEGRIDAD

La integridad se refiere a la exactitud y completitud de la información

(ISO 27000) esta propiedad es la que permite que la información sea precisa,
coherente y completa desde su creación hasta su destrucción. En esta
documentación se recomienda el siguiente esquema de clasificación de tres
(3) niveles:

Información cuya pérdida de exactitud y completitud puede

A
conllevar un impacto negativo de índole legal o económica,
(ALTA) retrasar sus funciones, o generar pérdidas de imagen
severas de la empresa.

Información cuya pérdida de exactitud y completitud puede

M
conllevar un impacto negativo de índole legal o económica,
(MEDIA) retrasar sus funciones, o generar pérdida de imagen
moderado a funcionarios de la empresa.

B Información cuya pérdida de exactitud y completitud

conlleva un impacto no significativo para la empresa o
(BAJA) entes externos.

Activos de Información que deben ser incluidos en el

NO
inventario y que aún no han sido clasificados, deben ser
CLASIFICADA
tratados como activos de información de integridad ALTA.

CLASIFICACIÓN DE ACUERDO CON LA DISPONIBILIDAD

La disponibilidad es la propiedad de la información que se refiere a

que ésta debe ser accesible y utilizable por solicitud de una persona entidad
o proceso autorizada cuando así lo requiera está, en el momento y en la
forma que se requiere ahora y en el futuro, al igual que los recursos
necesarios para su uso.
En esta documentación se recomienda el siguiente esquema de
clasificación de tres (3) niveles:
La no disponibilidad de la información puede conllevar un
1
impacto negativo de índole legal o económica, retrasar sus
(ALTA) funciones, o generar pérdidas de imagen severas a entes
externos.

34
 2 La no disponibilidad de la información puede conllevar un
impacto negativo de índole legal o económica, retrasar sus
(MEDIA) funciones, o generar pérdida de imagen moderado de la entidad.

3 La no disponibilidad de la información puede afectar la operación

normal de la entidad o entes externos, pero no conlleva
(BAJA) implicaciones legales, económicas o de pérdida de imagen de la
empresa.
Activos de Información que deben ser incluidos en el inventario
NO
y que aún no han sido clasificados, deben ser tratados como
CLASIFICADA
activos de información de disponibilidad ALTA.

ETIQUETADO DE ACTIVOS DE INFORMACIÓN

Para realizar el etiquetado de los Activos de Información en esta

documentación se proponen una seria de ítems que podrían ser tomados en
cuenta para la realización de este proceso y se deberían tener en cuenta las
siguientes pautas generales:

 Se etiquetaran todos los Activos de Información que estén

clasificados según el esquema clasificación en
Confidencialidad, Integridad y disponibilidad.

 Se etiquetará el nivel de clasificación en relación a

Confidencialidad, Integridad y Disponibilidad.

 Si un Activo de Información en formato impreso no se

encuentra etiquetado debe ser tratado en todos sus niveles
(Confidencialidad, Integridad y Disponibilidad) como NO
CLASIFICADA.

 Cada Activo de Información debe ser etiquetado teniendo en

cuenta el esquema de clasificación, y en el campo
correspondiente diligenciar la clasificación de la siguiente
forma: {[Link]} - {
35
 [Link]} - { [Link]}

 Para los activos clasificados en confidencialidad como

INFORMACION PUBLICA RESERVADA se podría utilizar la
etiqueta IPR, INFORMACION PUBLICA CLASIFICADA IPC
así como también INFORMACION PUBLICA, IPB.

 Para los activos clasificados en integridad como ALTA se

utilizara la etiqueta A, MEDIA, M y BAJA, B.

 Para los activos clasificados en disponibilidad como ALTA se

utilizara la etiqueta 1, MEDIA, 2 y BAJA, 3.

De esta manera se realizarían las combinaciones de acuerdo a los criterios

de clasificación de la información.

Ejecución de la propuesta para la futura independencia de los procesos.

Telecomunicaciones G-Network C.A. no cuenta con un documento en el que

se plasmen las políticas y controles para su SGSI. Las diferentes políticas y
controles que se aplican en la empresa provienen en su mayoría de las
distintas normativas de regulación aérea que deben cumplir para sus
diferentes actividades. Esto nos indica nuevamente que el veloz crecimiento
de la empresa ha hecho que esta no haya podido tomar medidas estrictas
para proteger sus activos de información.

36
Para esto se recomienda tomar como guía de implementación de las buenas
prácticas en la implementación de un SGSI, a la norma UNE-
ISO/IEC27002:2015.

Planificación de concienciación del personal en seguridad de la

información.

El personal de Telecomunicaciones G-Network C.A. Cuenta con una

instrucción optima acerca del manejo y cuidado de la información, por lo cual
se realizó un refuerzo de conocimientos acerca de las políticas. Esto se debe
a que en la empresa está en una etapa temprana de crecimiento exponencial
en la cual el personal autorizado sigue en proceso de adaptación y
capacitación para afrontar y guiar al resto del personal en una instrucción
profesional acerca del manejo y cuidado de la información. Lo que crea una
de las vulnerabilidades más grandes en el SGSI. Atendiendo a la necesidad
de mitigar el riesgo que esta situación genera, se recomiendan un plan de
concientización que cubra todos los aspectos básicos de la seguridad de la
información. De manera que el personal que trata con información
confidencial puede hacer un mejor resguardo de la misma mientras se
consigan profesionales que cubran la necesidad.

37
Descripción de la propuesta

El proyecto de preparación para implementación de la norma ISO -

27001 que pertenece a las normativas ISO. Tiene por objetivo el preparar a
la empresa Telecomunicaciones G-Network C.A. para un futuro proceso de
certificación en la norma ISO-27001. Atacando y mitigando diferentes riegos
en el sistema de gestión de seguridad de la información mediante el
planteamiento de diferentes adversidades que se puedan presentar el
proceso de certificación, la implementación de políticas y normativas para la
seguridad del sistema de gestión de seguridad de la información y la
concientización del personal en temas referentes a la seguridad de la
información.

Marco legal que sustenta la propuesta

Ley especial contra delitos informáticos

Título I: Disposiciones generales.

Artículo 1. Objeto de la Ley. La presente Ley tiene por objeto la

protección integral de los sistemas que utilicen tecnologías de información,
así como la prevención y sanción de los delitos cometidos contra tales
sistemas o cualesquiera de sus componentes, o de los delitos cometidos
mediante el uso de dichas tecnologías, en los términos previstos en esta Ley.

Artículo 5. Responsabilidad de las personas jurídicas. Cuando los

delitos previstos en esta Ley fuesen cometidos por los gerentes,
administradores, directores o dependientes de una persona jurídica,
actuando en su nombre o representación, éstos responderán de acuerdo con
su participación culpable. La persona jurídica será sancionada en los

38
términos previstos en esta Ley, en los casos en que el hecho punible haya
sido cometido por decisión de sus órganos, en el ámbito de su acti vidad, con
sus recursos sociales o en su interés exclusivo o preferente.

Constitución de la República Bolivariana de Venezuela

Capítulo VI: De los derechos culturales y educativos.

Artículo 110. El Estado reconocerá el interés público de la ciencia, la

tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios
de información necesarios por ser instrumentos fundamentales para el
desarrollo económico, social y político del país, así como para la seguridad y
soberanía nacional. Para el fomento y desarrollo de esas actividades, el
Estado destinará recursos suficientes y creará el sistema nacional de ciencia
y tecnología de acuerdo con la ley. El sector privado deberá aportar recursos
para los mismos. El Estado garantizará el cumplimiento de los principios
éticos y legales que deben regir las acti vidades de investigación científica,
humanística y tecnológica. La ley determinará los modos y medios para dar
cumplimiento a esta garantía.

39
 Reflexiones finales

La realización de estás pasantías profesionales ha sido una

experiencia que involucro mucha retroalimentación y aprendizaje que
necesitaba. Me permitió adquirir mucha experiencia y conocimientos
aplicando y optimizando el conocimiento que ya poseía. Me ha permitido
observar escenarios reales en los que debo desenvolverme y me ha
supuesto nuevos retos que me han permitido desarrollarme como ingeniero
informático.

Debo hacer un énfasis sobre el agradecimiento que tengo de esta

experiencia y todos los conocimientos que adquirí al realizar este proyecto de
pasantía. Y estoy muy agradecido con Telecomunicaciones G-Network C.A.
por permitirme vivir una experiencia tan profesional y completa.

La oportunidad de realizar estás pasantías profesionales en una empresa

con mucho potencial y con un gran crecimiento exponencial como lo es
Telecomunicaciones G-Network C.A. me ha dado una experiencia muy
completa y me ha permitido ver situaciones de la vida real a las que debo
enfrentarme como profesional.

● Se lograron realizar cada una de las acti vidades planificadas para el

desarrollo de las pasantías cumpliendo los objetivos planteados en la
planificación.

● La ejecución de este proyecto logra el objetivo que se propone y

resulta en una mejora al correcto funcionamiento de la empresa para
su futura implementación de certificaciones como lo es el ISO-27001.

40
 Recomendaciones

Para la empresa

Se recomienda seguir desarrollando y aplicar esta propuesta ya que

es proyecto vital para una empresa bien constituida y a su vez porque va en
pro de los intereses Telecomunicaciones G-Network C.A.

Es crucial la capacitación del personal que manipula información

crítica dentro de la empresa en temas de la seguridad de la información.

Se recomienda la creación de un departamento que se encargue de la

seguridad de la información de la empresa. Así como de la gestión del
sistema de gestión de seguridad de la información de la misma.

41
 Referencias Bibliográficas

Norma para la gestión de sistemas de seguridad de la información ISO-

27001 edición de la fecha 15/10/2013 versión UNIT-ISO/IEC27001:2013

Tecnología de información / Técnicas de seguridad / Código de prácticas

para los controles de seguridad de la información. UNE-ISO/IEC27002:2015

Fernando, M. ISO-27003 (SGSI) Ayuda y guía para implementar un SGSI.

Maria, C. (2020) Clasificación y gestión de activos de información. Pirani.

[Link]
informacion

42
 Anexos

Anexo Nº 1. Pruebas del sistema interno

Anexo Nº 2. Área del departamento de Desarrollo

43
 Anexo Nº 3. Personal del departamento de Desarrollo

Anexo Nº 4. Piso 2 del departamento de Desarrollo en conjunto con

Ventas y Recursos Humanos.

44
45