UNIVERSIDAD NACIONAL DE SAN CRISTÓBAL

DE HUAMANGA
FACULTAD DE INGENIERÍA DE MINAS, GEOLOGÍA Y CIVIL

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

TESIS:
Sistema de gestión de seguridad de la información según ISO/IEC
27001 para las pymes del Perú, 2024

Para optar el título profesional de:

INGENIERA DE SISTEMAS

PRESENTADO POR:

Bach. Lisset Karen LIMA LOAYZA

ASESOR:
Mg. Ing. Hubner JANAMPA PATILLA

AYACUCHO - PERÚ
2024
 DEDICATORIA

Quiero dedicar mi tesis a Dios por guiarnos y cuidarnos, a mis padres por siempre inculcarme
el deseo de superación brindándome su apoyo incondicional y a mis hermanos, por el amor
que me ofrecen en todo momento.

ii
 AGRADECIMIENTO

Expreso un especial agradecimiento a mi asesor el Mg. Ing. Hubner Janampa Patilla, por el
tiempo dedicado y su valiosa guía en la elaboración de este proyecto, a mis padres, que, con
su apoyo constante en mi vida, me siento capaz de poder cumplir mis metas actuales y
futuras. Además, quiero agradecer a la Universidad Nacional de San Cristóbal de Huamanga,
en especial a la plana de docentes de la Escuela de Ingeniería de Sistemas, quienes con su
enseñanza me guiaron a lo largo de mi formación profesional.

iii
 ÍNDICE

DEDICATORIA .................................................................................................................... ii
AGRADECIMIENTO .......................................................................................................... iii
ÍNDICE ................................................................................................................................. iv
RESUMEN ............................................................................................................................ 7
CAPÍTULO I ......................................................................................................................... 9
PLANTEAMIENTO DEL PROBLEMA .............................................................................. 9
1.1. IDENTIFICACIÓN Y ENUNCIADO DEL PROBLEMA..................................... 9
1.2. FORMULACIÓN DEL PROBLEMA .................................................................. 10
1.2.1 PROBLEMA GENERAL...................................................................................... 10
1.2.2 PROBLEMAS ESPECÍFICOS ............................................................................. 10
1.3. OBJETIVO ............................................................................................................ 10
1.3.1 OBJETIVO GENERAL ........................................................................................ 10
1.3.2 OBJETIVOS ESPECÍFICOS ................................................................................ 10
1.4 HIPÓTESIS ........................................................................................................... 11
CAPÍTULO II ...................................................................................................................... 12
MARCO TEÓRICO ............................................................................................................ 12
2.1. ANTECEDENTES DE LA INVESTIGACIÓN ................................................... 12
2.2. MARCO TEÓRICO .............................................................................................. 13
2.2.1. DEFINICIONES BÁSICAS.................................................................................. 13
2.2.2. LA SEGURIDAD DE LA INFORMACIÓN Y LA SEGURIDAD
INFORMÁTICA ................................................................................................................. 15
2.2.3. PYMES EN EL PERÚ .......................................................................................... 16
2.2.4. IMPORTANCIA DE LA TI EN UNA PYME ...................................................... 16
2.2.5. ATAQUES INFORMÁTICOS ............................................................................. 17
2.2.6. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ....... 18
2.2.7. ISO/IEC 27001 ...................................................................................................... 18
2.2.8. COMPARACIÓN DE LAS DIFERENTES EDICIONES DE LA NORMA
ISO/IEC. .............................................................................................................................. 19
2.2.9. SELECCIÓN DEL MODELO DE LA ISO 27001 ............................................... 20
2.2.10. DISPOSICIÓN DE LA NORMA ISO/IEC 27001:2013 ...................................... 20
2.2.11. ISO/IEC 27002 - TÉCNICAS DE SEGURIDAD ................................................. 21
2.2.12. CICLO DE DEMING (PDCA O PHVA).............................................................. 22
2.2.13. SELECCIÓN DE METODOLOGÍA DE GESTIÓN DE RIESGO ...................... 23

iv
2.2.14. METODOLOGÍA MAGERIT .............................................................................. 23
2.2.15. ACTIVOS .............................................................................................................. 25
2.2.16. AMENAZAS DE LA INFORMACIÓN ............................................................... 27
2.2.17. RIESGOS DE LA INFORMACIÓN .................................................................... 28
2.2.18. SGSI EN LAS PYMES ......................................................................................... 29
CAPÍTULO III .................................................................................................................... 30
MATERIALES Y MÉTODOS............................................................................................ 30
3.1 TIPO DE INVESTIGACIÓN ................................................................................ 30
3.2 NIVEL DE INVESTIGACIÓN............................................................................. 30
3.3 DISEÑO DE INVESTIGACIÓN .......................................................................... 31
3.4 POBLACIÓN Y MUESTRA ................................................................................ 31
3.4.1 POBLACIÓN ........................................................................................................ 31
3.4.2 MUESTRA ............................................................................................................ 31
3.5 VARIABLES Y DIMENSIONES......................................................................... 32
3.5.1 DEFINICIÓN CONCEPTUAL DE LAS VARIABLES ...................................... 32
3.5.2 DEFINICIÓN CONCEPTUAL DE LAS VARIABLES ...................................... 33
3.6 TÉCNICAS E INSTRUMENTOS ........................................................................ 33
CAPÍTULO IV .................................................................................................................... 34
IMPLEMENTACIÓN DEL SGSI SEGÚN ISO/IEC 27001 EN LA PYME
EKONOPHARMA.SAC ..................................................................................................... 34
4.1 Planificación del SGSI .......................................................................................... 34
4.1.1 CASO DE NEGOCIO ........................................................................................... 35
4.2 FASE 1: PLANEAR (PLAN) ............................................................................... 40
4.2.1 ANÁLISIS DE BRECHA INICIAL ..................................................................... 40
4.2.1.1 INFORME DE ANÁLISIS DE BRECHA DE REQUISITOS ............................. 40
4.2.1.2 INFORME DE ANÁLISIS DE BRECHA DE CONTROLES ............................. 42
4.2.2 COMPROMISO CON LA ALTA DIRECCIÓN .................................................. 44
4.2.3 PROPUESTA COMERCIAL DEL PROYECTO ................................................. 45
4.2.4 REVISIÓN DE LA ALTA DIRECCIÓN ............................................................. 46
4.2.5 CONTEXTO DE LA EMPRESA ......................................................................... 48
4.2.6 REQUERIMIENTOS Y ANTICIPACIONES DE LAS PARTES INTERESADAS
50
4.2.7 ALCANCE DEL SGSI .......................................................................................... 52
4.2.8 POLÌTICAS DE SEGURIDAD DE LA INFORMACIÓN .................................. 54
4.2.9 ROLES Y RESPONSABILIDADES .................................................................... 59
4.2.10 FICHA DE PUESTOS PARA ROLES DE LA SI ................................................ 60

v
4.2.11 PROCESO DE VERIFICACIÓN DE LA DOCUMENTACIÓN INFORMATIVA
61
4.2.12 GESTIÓN Y TRATAMIENTO DE INCIDENTES ............................................. 61
4.2.13 DOCUMENTACIÓN DEL PROCEDIMIENTO DE GESTIÓN DE
INCIDENCIAS .................................................................................................................... 63
4.2.14 PROCEDIMIENTO DE AUDITORÍA INTERNA .............................................. 63
4.2.15 GESTIÓN DE RIESGOS ...................................................................................... 64
4.2.16 INVENTARIO DE LOS ACTIVOS EKONOPHARMA ..................................... 68
4.2.17 IDENTIFICACIÓN DE AMENAZAS ................................................................. 71
4.2.18 EVALUACIÓN DE RIESGOS ............................................................................. 73
4.2.18.1 ESTIMACIÓN DEL RIESGO .............................................................................. 74
4.2.19 TRATAMIENTO DEL RIESGO .......................................................................... 78
4.2.20 CONTROLES PARA ASEGURAR LA INFORMACIÓN .................................. 81
4.2.21 PLAN DE TRATAMIENTO DE RIESGOS ........................................................ 81
4.2.22 DECLARACIÓN DE APLICABILIDAD ............................................................ 82
4.2.23 MATRIZ DE COMUNICACIÓN INTERNA Y EXTERNA ............................... 91
4.2.24 PLAN DE CONCIENTIZACIÓN Y CAPACITACIÓN ...................................... 92
CAPÍTULO V ..................................................................................................................... 95
CONCLUSIONES Y RECOMENDACIONES .................................................................. 95
5.1 CONCLUSIONES................................................................................................. 95
5.2 RECOMENDACIONES ....................................................................................... 96
BIBLIOGRAFÍA ................................................................................................................. 97
ANEXOS ............................................................................................................................. 99
PRESUPUESTO ............................................................................................................... 150

vi
 RESUMEN

En los últimos años ha aumentado la cantidad de Pymes en Perú. Según información del
INEI, el 99,6% de las corporaciones del país son clasificadas como pequeñas y medianas.
Este incremento es por el aumento de necesidades, particularmente durante la pandemia, la
cual ha generado múltiples limitaciones. Frente a esta situación, los peruanos optaron por
nuevas formas de generar ingresos, las cuales continúan aplicándose en la actualidad.
La tecnología desempeña un papel fundamental en las empresas al mejorar su cadena de
valor.

Además, la falta de conciencia sobre la importancia de la ciberseguridad en las PYMES

puede llevar a graves consecuencias, como el robo de información confidencial, el acceso
no autorizado a sistemas y la interrupción de operaciones comerciales. Es fundamental que
las PYMES en Perú tomen medidas para proteger sus activos de información y datos
sensibles, implementando políticas de seguridad, realizando auditorías de seguridad de
manera regular y capacitando a su personal en buenas prácticas de seguridad informática.

El propósito fundamental de este proyecto es establecer que el Sistema de Gestión de

Seguridad de la Información conforme a la norma ISO/IEC 27001 para ser implementado
como una política de seguridad de la información para las pequeñas y medianas empresas
en Perú para el año 2024. Esta iniciativa busca demostrar que el Sistema de Gestión de
Seguridad de la Información para PYMES sea esencial como política de seguridad de la
información, con la meta futura de obtener la certificación ISO 27001.

En este estudio se llevará a cabo un análisis de las normas ISO/IEC 27001, ISO/IEC 27002
y de los requisitos indispensables para la implantación del Sistema de Gestión de Seguridad
de la Información en los activos físicos, humanos e informáticos de las PYMES. El objetivo
es simplificar los obstáculos durante la implementación del SGSI debido a los recursos
limitados, como el presupuesto, el personal y el conocimiento.

Palabras clave: Seguridad Informática, Sistema de Gestión de Seguridad de la

Información (SGSI), ISO 27001, ISO 27002, Pymes, Riesgos, Activos físicos, Activos
humanos, Activos de Información, Amenazas.

7
 INTRODUCCIÓN

Actualmente, la mayoría de las pequeñas y medianas organizaciones no tienen un Sistema

de Gestión de la Seguridad de la Información (SGSI). Esto se debe a que no consideraban
esta medida como una política de seguridad de la información esencial, ya sea por falta de
recursos para su implementación o por desconocimiento de los beneficios que podría aportar.
Solo algunas empresas grandes disponen de los recursos económicos, humanos y
tecnológicos necesarios para contratar los servicios de una empresa consultora.

La ciberseguridad se ha vuelto un elemento clave para asegurar la estabilidad y continuidad

de las empresas, independientemente de su tamaño, ya que existe una conexión constante
entre los datos personales y empresariales en un entorno de información interconectado.

El propósito de este proyecto es informar sobre la importancia de implementar un Sistema

de Gestión de la Seguridad de la Información (SGSI) en las pequeñas y medianas empresas,
así como brindar apoyo y motivación a aquellas que no cuentan con este sistema. Además,
se busca asistir a las empresas que no poseen conocimientos sobre los estándares y políticas
de seguridad de la información, los cuales son esenciales para establecer, implementar y
supervisar un entorno seguro que garantice la confidencialidad, integridad y disponibilidad
de la información

Los objetivos específicos son: a) Implementar el Sistema de Gestión de Seguridad de la

Información para los activos de información según ISO/IEC 27001 como política de
seguridad de la información para las Pymes del Perú, 2024.b) Implementar el Sistema de
Gestión de Seguridad de la Información para los activos físicos según ISO/IEC 27001 como
política de seguridad de la información para las Pymes del Perú, 2024. c) Implementar el
Sistema de Gestión de Seguridad de la Información para los activos humanos según ISO/IEC
27001 como política de seguridad de la información para las Pymes del Perú, 2024.

8
 CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA

1.1. IDENTIFICACIÓN Y ENUNCIADO DEL PROBLEMA

Según la Encuesta Global de Seguridad de la Información (2022), Grupos de
ransomware afectaron a múltiples entidades gubernamentales y compañías privadas en
América Latina.

Según el ESET Security Report (2023), en América Latina, dos tercios de las empresas
expresaron que el mayor temor en cuanto a ciberseguridad es la pérdida o robo de
información, al mismo tiempo que la mayoría considera que el presupuesto destinado a este
ámbito no es adecuado.

De acuerdo con la investigación llevada a cabo por Camero y Carbajal (2020), en Perú, el
80% de las pequeñas empresas tienen una supervivencia promedio de 3 años debido a la falta
de atención a la seguridad de la información, lo cual pone en riesgo su supervivencia. Según
estudios, el 90% de las microempresas en el país no están preparadas para identificar
vulnerabilidades en seguridad de la información, y el 51% han sido afectadas por ello. Solo
un 10% de estas empresas cuentan con medidas de gestión de riesgos para protegerse.

Según la Encuesta Mundial de riesgos (2022), el 75% de los directivos de las empresas
desean aumentar el gasto en el análisis de datos, la automatización de procesos y en
tecnologías para apoyar la detección y el seguimiento de los riesgos.

El incremento de amenazas informáticas resalta el riesgo al que se exponen los datos de

cualquier empresa, ya que la pérdida o alteración de información crucial podría llevar a la
desaparición de la empresa en el futuro.

El propósito es identificar las necesidades para establecer medidas de seguridad que

resguarden los datos utilizando los recursos disponibles para la empresa, con el fin de
alcanzar sus metas establecidas.

9
1.2. FORMULACIÓN DEL PROBLEMA
1.2.1 PROBLEMA GENERAL
¿Cómo el Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001
es una política de seguridad de la información para las Pymes del Perú, 2024?

1.2.2 PROBLEMAS ESPECÍFICOS

a. ¿Cómo el Sistema de Gestión de Seguridad de la Información para los activos de
información según ISO/IEC 27001 es una política de seguridad de la información
para las Pymes del Perú, 2024?

b. ¿Cómo el Sistema de Gestión de Seguridad de la Información para los activos físicos

según ISO/IEC 27001 es una política de seguridad de la información para las Pymes
del Perú, 2024?

c. ¿Cómo el Sistema de Gestión de Seguridad de la Información para los activos

humanos según ISO/IEC 27001 es una política de seguridad de la información para
las Pymes del Perú, 2024?

1.3. OBJETIVO
1.3.1 OBJETIVO GENERAL
Determinar que el Sistema de Gestión de Seguridad de la Información según
ISO/IEC 27001 es una política de seguridad de la información para las Pymes
del Perú, 2024.

1.3.2 OBJETIVOS ESPECÍFICOS

a. Implementar el Sistema de Gestión de Seguridad de la Información para los
activos de información según ISO/IEC 27001 como política de seguridad de la
información para las Pymes del Perú, 2024.
b. Implementar el Sistema de Gestión de Seguridad de la Información para los
activos físicos según ISO/IEC 27001 como política de seguridad de la
información para las Pymes del Perú, 2024.
c. Implementar el Sistema de Gestión de Seguridad de la Información para los
activos humanos según ISO/IEC 27001 como política de seguridad de la
información para las Pymes del Perú, 2024.

10
1.4 HIPÓTESIS
“No en todas las investigaciones cuantitativas se planean hipótesis. El hecho de que
formulemos o no hipótesis depende de un factor esencial: el alcance inicial del
estudio. Las investigaciones cuantitativas que formulan hipótesis son aquellas cuyo
planteamiento define que su alcance será correlacional o explicativo, o en las que
tienen un alcance descriptivo, pero que intentan pronosticar una cifra o un hecho”
(Hernández, Baptista y Collado, 2014, p. 104).

11
 CAPÍTULO II
MARCO TEÓRICO

2.1. ANTECEDENTES DE LA INVESTIGACIÓN

Según César y Martín (2019) en su estudio sobre la elaboración de un sistema de
gestión de la seguridad de la información en una empresa pequeña basado en la norma
ISO/IEC 27001, sugieren que el modelo SMESEC podría ser una solución para abordar la
ausencia de un Sistema de Gestión de Seguridad de la Información en las pequeñas y
medianas empresas en Perú. Este enfoque podría facilitar la implementación de un sistema
de gestión en las PYME con el propósito de mantener un entorno protegido para preservar
la confidencialidad, integridad y disponibilidad de los datos.

El ciclo Deming es útil para vincular las actividades clave que una pequeña o mediana
empresa debe llevar a cabo si desea instaurar un sistema de gestión de seguridad de la
información basado en la norma ISO 27001.

Aunque hay diversas metodologías para implementar un SGSI en una pyme, todas persiguen
el mismo propósito: evaluar el riesgo vinculado a los activos de la empresa y establecer
medidas para mitigarlo.

En Perú, la ONGEI ha proporcionado orientación a través de su plataforma en línea y el

Diario el Peruano sobre la protección de la información. Su objetivo es ayudar a las entidades
a resguardar datos sensibles mediante un sistema de seguridad de la información.

Actualmente, resulta ventajoso para las empresas implantar un Sistema de Gestión de

Seguridad de la Información y obtener una certificación que garantice la excelencia de sus
servicios y mantenga seguro sus activos para un futuro.

12
2.2. MARCO TEÓRICO
2.2.1. DEFINICIONES BÁSICAS
Según Roa Buendía (2013), en su compendio “Seguridad de la información”,
establece las siguientes definiciones:

1. Activo: Son los recursos disponibles, como el hardware, software, etc.

2. Amenaza: Es un evento o acción que pueda causar algún tipo de perjuicio, ya sea
tangible o intangible, a los diferentes componentes de un sistema.
3. Identificación: La identificación es el proceso que asegura la veracidad de la
identidad de un individuo o equipo, previniendo el riesgo de ser suplantado por un
impostor.
4. Autorización: Es la característica que permite a un usuario o máquina acceder a
diferentes privilegios una vez que ha sido verificado.
5. Acción correctiva: Es tomar medidas para corregir la raíz de un problema y evitar su
repetición en el futuro
6. Alta dirección: Individuo o conjunto de individuos que lideran y supervisan una
entidad en el nivel más alto.
7. Auditoría: Proceso riguroso, imparcial y documentado para recolectar evidencia de
auditoría y evaluar si se cumplen los estándares de auditoría.
8. Botnet: Es un grupo de robots informáticos o bots. El responsable de la botnet
controlar a distancia todos los dispositivos infectados, para llevar diversas
actividades delictivas.
9. Cifrado: Se trata de la característica que asegura que solo quienes pasen la
verificación puedan acceder a la información y que esta no sea útil para otros.
10. Copias de Seguridad: Se refieren a todas las duplicaciones o respaldos de los datos
guardados en dispositivos de almacenamiento magnético.
11. Confidencialidad: La confidencialidad es la cualidad que asegura que la información
permanezca protegida y no sea divulgada de forma no autorizados.
12. Competencia: Habilidad para utilizar el saber y destreza en alcanzar los objetivos.
13. Conformidad: Satisfacción de una condición o necesidad.
14. Contingencia: Otra manera de llevar a cabo una tarea en caso de no poder hacerlo de
la manera convencional.
15. Control: Acción que altera un peligro

13
16. Control de acceso: Formas de garantizar que las personas autorizadas puedan acceder
a los activos, de acuerdo a sus necesidades y estándares de seguridad de la empresa.
17. Corrección: Proceso para erradicar una conformidad identificada.
18. Gestión del Riesgo: Gestión coordinada de actividades para supervisar y administrar
una entidad en cuanto a su exposición al riesgo.
19. Disponibilidad: La capacidad de que la información esté accesible y sea
aprovechable mediante la petición de una entidad autorizada.
20. Desastres: Un inconveniente inesperado o una situación imprevista que provoca la
interrupción de las operaciones comerciales durante un cierto periodo de tiempo.
21. Gusano Informático (Worm): Es un software malicioso capaz de difundirse de forma
autónoma entre diferentes computadoras, replicándose en el mismo equipo u otros.
22. Hacker: Individuo con dominio de la informática que se involucra en prácticas
ilegales.
23. Integridad: Mantener la integridad y precisión de los activos.
24. Impacto: Efecto analizado de una interrupción.
25. Malware: Se refiere al software dañino, malicioso o con intenciones
malintencionadas, que busca infiltrarse o causar daño sin autorización.
26. Mejora continua: Actividad periódica que contribuye a la mejora del rendimiento.
27. Nivel de riesgo: La medida de peligro o la acumulación de amenazas, representadas
en función de la combinación de resultados.
28. No conformidad: No cumplir con una exigencia.
29. No Repudio: En una relación entre dos partes, se impide que una de ellas pueda negar
su participación en dicha relación.
30. Objetivo de control: La declaración que explica los objetivos que se pretenden
alcanzar con la aplicación de controles.
31. Plan de continuidad del Negocio: Conjunto de pautas, reglas de conducta y recursos
de planificación para la restauración de las operaciones ante un imprevisto.
32. Phishing: La suplantación de identidad es un tipo de fraude informático.
33. Parte interesada: Individuo u entidad que puede ser influenciada, resultar afectada o
sentirse involucrada en una determinada decisión o acción.
34. Probabilidad: Probabilidad de que algún evento ocurra.
35. Responsable del Riesgo: Individuo o entidad con la autoridad y habilidad para
manejar una situación de riesgo
36. Riesgo Residual: Riesgo residual posterior a la gestión del riesgo.

14
 37. Requisito: Una necesidad o expectativa de manera implícita u obligatoria.
38. Riesgo: Impacto de la falta de certeza en el logro de metas.
39. Sistema de Gestión de Seguridad de Información: Es un conjunto de medidas que
son implementadas para proteger sus activos, incluyendo políticas, procesos,
directrices, recursos y actividades.
40. Tratamiento del Riesgo: Proceso de identificación y aplicación de acciones para
cambiar la probabilidad de un riesgo.
41. Troyano: Un software conocido como "caballo de Troya" que se hace pasar por un
programa legítimo para obtener control remoto sobre el dispositivo infectándolo una
vez que se ejecuta.
42. Vulnerabilidad: Se refiere a las cualidades y características del sistema, así como la
habilidad de enfrentar amenazas que pueden resultar en daños.

2.2.2. LA SEGURIDAD DE LA INFORMACIÓN Y LA SEGURIDAD

INFORMÁTICA
De acuerdo con Jeimy y González (2011), la Seguridad de la Información nos brinda
información sobre los peligros, riesgos, evaluación de situaciones posibles, mejores prácticas
y marcos normativos, que requieren niveles de protección de procesos y tecnologías para
aumentar la confianza en todas las fases de la información, desde su creación hasta su
eliminación.

La seguridad de la información se enfoca en medidas preventivas para proteger los activos

de información y garantizar la confidencialidad, disponibilidad e integridad de los datos, a
diferencia de la seguridad informática que se concentra en proteger las infraestructuras
tecnológicas de la empresa. La norma ISO 27000 define la información como cualquier
conjunto de datos organizados que una entidad considera valioso, sin importar su forma de
almacenamiento o transmisión, origen o fecha de creación.

a. La confidencialidad asegura que la información no se comparta ni se divulgue con

personas, organizaciones o sistemas no autorizados.
b. La integridad se refiere a mantener la precisión y la integridad de la información y
los procesos de procesamiento.
c. La disponibilidad garantiza que organizaciones o procedimientos autorizados
tengan acceso y puedan utilizar la información y los sistemas de gestión.

15
Figura 1
Information security vs Cybersecurity

Nota: Adaptado de Implementing an Information Security Management System, por Chopra,

A., & Chaudhary M., 2020.

2.2.3. PYMES EN EL PERÚ

Las Pymes son empresas pequeñas y medianas que se caracterizan por su tamaño en
términos de recursos humanos, activos, ganancias y pérdidas, entre otros aspectos. Operan
de manera independiente y representan una parte significativa del mercado global.

La definición de Pymes puede variar de un país a otro. En Perú, las Pymes han
experimentado un aumento significativo en los últimos años" y constituyen el 99% de todas
las empresas en el mercado.

Según la SUNAT (2020), Las pequeñas y medianas empresas forman parte activa de la
economía nacional al llevar a cabo una variedad de actividades económicas diferentes. Las
áreas de Comercio y Servicios son las que cuentan con mayor presencia de Pymes, con un
49% y 33% respectivamente, mientras que la Manufactura representa el 11% del total de
empresas formales. En menor medida, el sector Agropecuario y la Construcción cuentan con
un 3% cada uno.

2.2.4. IMPORTANCIA DE LA TI EN UNA PYME

Las TIC han tenido un gran impacto en la sociedad, en especial en el uso de Internet.
Este fenómeno ha alcanzado al sector empresarial, donde las compañías más grandes han
venido invirtiendo en sistemas de gestión como los ERP desde hace años.

16
Como resultado, las empresas más pequeñas han seguido su ejemplo y también han
incorporado estas tecnologías para poder competir en el mercado.

ERRORES DE LAS PYMES

a No reconocer la relevancia de la información y la infraestructura.
b La seguridad se limita a hardware o software, o simplemente tener un antivirus.
c No se realizaron inversiones en tecnología.
d Excluir la cláusula de seguridad de los acuerdos con empleados, clientes y
proveedores.
e Depender exclusivamente de un antivirus y un Firewall.
f No existe un campo de la informática.
g Demasiada seguridad en los trabajadores y proveedores.

2.2.5. ATAQUES INFORMÁTICOS

Según Buendía (2013), Un ciberataque consiste en el intento de asumir el control,
desestabilizar o dañar un sistema informático utilizando otro sistema informático.

Los ataques informáticos más frecuentes son:

1. Denegación de servicio: Un ataque dos, abreviatura de denegación de servicio, es
una forma de ataque informático que tiene como objetivo hacer que un servicio o
recurso de un sistema o red esté inaccesible para los usuarios autorizados.
2. Mitm (man in the middle): Se trata de una situación en la que un hacker monitorea
una comunicación entre dos partes, generalmente utilizando un escáner de puertos, y
manipula los mensajes.
3. Ataques de replay ó arp: Una técnica de ataque cibernético en la cual la información
válida es repetida o retardada de forma maliciosa o fraudulenta.
4. Ataque de día cero: Un ataque informático que aprovecha vulnerabilidades o fallos
de seguridad en un programa para comprometer un ordenador.
5. Ataque por fuerza bruta: No siempre se requiere usar métodos informáticos para
llevar a cabo este procedimiento, aunque su implementación podría resultar en un
ahorro de tiempo, energía y esfuerzo.
6. Ingeniería social: La técnica de engaño y persuasión utilizada para obtener
información valiosa de una persona o entidad, ya sea a través de engañar a un usuario
para revelar datos personales o contraseñas al abrir un archivo adjunto.

17
 7. Las amenazas internas incluyen el robo de información que proviene de dentro de la
organización.
8. La nube: Las pequeñas y medianas empresas están optando por simplificar sus
sistemas de información, optando por administrarlos a través de la nube.
9. APT (amenazas Persistentes avanzadas): Es la aparición de ataques dirigidos hacia
sistemas de información, como afectar las estaciones de trabajo y los sistemas
informáticos.

2.2.6. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Un SGSI es un sistema creado con el propósito de controlar la seguridad de la
información. En términos en inglés, este sistema se conoce como ISMS, por sus siglas en
inglés Information Security Management System.

El Sistema de Gestión de la Seguridad de la Información (SGSI) se puede describir como

una herramienta de gestión que ayuda a comprender, manejar y reducir los riesgos que
pueden poner en peligro la seguridad de la información en las organizaciones.

Beneficios del SGSI

a. Reduzca los riesgos de pérdidas, robos, corrupción o uso inadecuado de información
en las empresas.
b. Demuestra a clientes y socios que la empresa se preocupa por la confidencialidad y
seguridad de la información, brindando seguridad.
c. Permite a la empresa llevar a cabo su producción de manera fluida.
d. Ayuda a reducir costos y aumentar la eficiencia en las operaciones.
e. Ofrece seguridad y directrices claras para el personal de la empresa.
f. Cumple con la legislación vigente en cuanto a protección de datos personales,
propiedad intelectual y otras normativas aplicables.
g. Permite la integración con otros sistemas administrativos.

2.2.7. ISO/IEC 27001

Según lo expresado por Francisco (2016), la norma ISO/IEC 27001 establece los
criterios necesarios para desarrollar, ejecutar, gestionar y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI) adaptado a las particularidades de cada entidad. Este
estándar fomenta un enfoque centrado en procesos y en el ciclo de Mejora Continua, que

18
abarca las fases de "Planificar-Hacer-Verificar-Actuar", con el objetivo de alcanzar la
excelencia en la protección de la información.

Figura 2
PDCA Model applied to ISMS processes - ISO 27001

Nota: Adaptado de Sistema de gestión de la seguridad de la información (SGSI), por

CONTEC, 2006, COMPENDIO (www.Icontec.org.com).

2.2.8. COMPARACIÓN DE LAS DIFERENTES EDICIONES DE LA NORMA

ISO/IEC.
ISO/IEC 27001:2005: Diversas naciones habían incorporado la norma británica BS7799-2,
a pesar de que era de origen británico. Para llevar a cabo su estandarización a nivel
internacional, se lanzó el borrador final como la BS7799-2:2005 (ISO/IEC 27001:2005) en
octubre de 2005 (Calder, 2013).

Esta norma fue adoptada en varios países y tardó 6 años en ser reconocida a nivel
internacional.

ISO/IEC 27001:2013: De acuerdo con Rodríguez (2020), la normativa ISO/IEC 27001

proporcionó indicaciones para que una empresa pueda poner en marcha un Sistema de
Gestión de Seguridad de la Información (SGSI), explicando detalladamente el procedimiento
para su establecimiento y la forma de supervisar las medidas de protección de la información
en la organización.

19
ISO/IEC 27001:2022: En la última versión publicada se realizaron modificaciones en las
cláusulas 4.4, 8.1, 5.3, 7.4, 9.3, 10.1 y 10.2. Se creó un nuevo anexo A con solo 4 cláusulas,
reduciendo las anteriores 14. Además, se añadieron 11 nuevos controles, sumando un total
de 93. Los objetivos de control del Anexo A fueron revisados, actualizados, complementados
y reorganizados con la inclusión de nuevos controles.

2.2.9. SELECCIÓN DEL MODELO DE LA ISO 27001

Basándose en las definiciones, se realizar una comparación con las normas
reconocidas para la organización.

Tabla 1
Comparación de las normas ICEC27001
Características ISO-IEC27001:2014 ISO-IEC27001:2013
El anexo ha sido Sí, pero poniendo especial atención en Sí, los 14 que forman
rellenado con éxito. los segmentos del 1 al 4. parte del anexo A.
Riesgos de No Si
impactos positivos
Alcances GSI destaca especialmente las secciones Gestión de seguridad de
que van desde el apartado 10 hasta el 4. la información
Nota: Se implementa un cuadro para el análisis de las normas.
(https://repository.unad.edu.co/bitstream/handle/10596/12028/52437232.pdf?sequence=1)

Por consiguiente, de acuerdo con los estándares mencionados, se decidió elegir la ISO-
IEC27001:2013, debido a que aborda de manera detallada los aspectos del Anexo A.

2.2.10. DISPOSICIÓN DE LA NORMA ISO/IEC 27001:2013

Abad (2015) sostiene que la ISO/IEC: 2013 sigue una estructura organizada en
cláusulas que se alinean con el Ciclo de Deming.

Figura 3

20
Structure of the ISO/IEC 27001:2013 Standard

Nota: Adaptado de Structure of the ISO/IEC 27001:2013 Standard, por AENOR, 2014.

2.2.11. ISO/IEC 27002 - TÉCNICAS DE SEGURIDAD

La norma ISO/IEC 27002 ofrece un conjunto de recomendaciones para asegurar la
protección de la información en las organizaciones, adaptándose a sus requerimientos
específicos.

En palabras de Miranda (2013), los objetivos de seguridad incluyen elementos

fundamentales que deben evaluarse para asegurar un sistema seguro en todas sus facetas. En
resumen, cada uno de estos objetivos tiene medidas de seguridad específicas detalladas en
la norma ISO/IEC 27002.

La herramienta proporciona instrucciones detalladas para establecer medidas de seguridad

de la información, que comprenden 14 áreas temáticas, 35 objetivos de control y 114 pasos
para mitigar riesgos. También incluye 11 cláusulas de seguridad que cubren 39 categorías.
Es responsabilidad de cada empresa determinar qué medidas son adecuadas para su
implementación. Una característica importante es que la norma es compatible con diferentes
tecnologías, lo que simplifica su adaptación a diferentes contextos.

Su estructura está conformada de la siguiente manera:

a. Descripción general de la seguridad de la información y el Sistema de Gestión
de Seguridad de la Información.
b. Alcance: se detalla el propósito de la norma.

21
 c. Definiciones: explicación breve de los términos más utilizados.
d. Estructura del estándar: explicación de la organización de la norma.
e. Evaluación y manejo del riesgo: pautas para evaluar y abordar los riesgos de
seguridad de la información.
f. Política de seguridad: documento que establece la política de seguridad y su
gestión.
g. Aspectos organizativos de la seguridad de la información: estructura interna y
relación con terceros.
h. Gestión de activos: responsabilidades sobre los activos y clasificación de la
información.
i. Seguridad relacionada con el personal: medidas antes, durante y después del
empleo o cambio de posición.
j. Seguridad física y del entorno: áreas seguras y seguridad de los equipos.
k. Control de acceso: regulación de ingreso con base en necesidades empresariales.
l. Adquisición, desarrollo y mantenimiento de sistemas de información.
m. Gestión de incidentes de seguridad de la información: detalles sobre eventos,
vulnerabilidades y medidas de mejora.
n. Gestión de la continuidad del negocio: elementos de protección de datos para
garantizar la seguridad de la información en las operaciones continuas.
o. Cumplimiento: respeto a leyes, políticas y normativas relacionadas con la
seguridad.

2.2.12. CICLO DE DEMING (PDCA O PHVA)

Esta estrategia se compone de cuatro fases PDCA: "Planificación", "Ejecución",
"Evaluación" y "Acción", también llamado PHVA en castellano.

Se trata de un ciclo continuo en el que se identifican las actividades a mejorar y los objetivos
a alcanzar en la primera fase. En la segunda fase se lleva a cabo lo que se ha planificado.
Posteriormente, se prueba lo implementado durante un período de tiempo para verificar su
correcto funcionamiento. En caso de no cumplir con lo esperado, se realizan ajustes
necesarios para alcanzar los objetivos establecidos. Por último, en la etapa de Actuar se
analizan los resultados obtenidos al finalizar el período de prueba y se comparan con la
situación inicial de las actividades.

22
2.2.13. SELECCIÓN DE METODOLOGÍA DE GESTIÓN DE RIESGO
En este estudio se optará por el enfoque de MAGERIT como metodología para
evaluar los riesgos, destacando su característica de no requerir automatización en la
ejecución.

Tabla 2
Comparación de metodologías a implementar
Metodología ISO 25000 OCTAVE MAGERIT
Alcances No se proporciona una No se especifican Explica con
descripción detallada detalladamente de precisión cada
de los activos de los activos de recurso de datos de
información. información. manera detallada.
Implementación Necesidad de obtener Se necesita la No es necesario
una licencia licencia certificada automatizar su uso.
certificada para su uso. para poder
utilizarlo.
Nota: En la tabla se detalla la comparación de metodologías a implementar.
(https://repository.unad.edu.co/bitstream/handle/10596/12028/52437232.pdf?sequence=1)

2.2.14. METODOLOGÍA MAGERIT

Es una metodología de acceso abierto que no necesita autorización previa para su
uso, destinada a simplificar el manejo de riesgos en un ambiente laboral, permitiendo a los
directivos tomar decisiones considerando los riesgos asociados con el uso de tecnologías de
la información.

Para realizar un proyecto de evaluación y control de riesgos siguiendo el método MAGERIT,

es necesario seguir tres etapas específicas:
a) Planificación del proyecto
b) Análisis de riesgos
c) Gestión de riesgos

23
Figura 4
Estructura para la administración de riesgos

Nota: Tomado de MAGERIT-V3.0 Metodología para el Análisis y Gestión de Riesgos en

Sistemas de Información (https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-
libro-i-metodo/file.html)

Esta forma de trabajo utiliza estrategias para gestionar riesgos con el objetivo de identificar
vulnerabilidades a través de tecnologías informáticas, su implementación y comunicación,
tomando medidas basadas en cada riesgo identificado.
Cuatro de sus objetivos incluyen:
a. Ayudar en el desarrollo de un proceso para realizar revisiones, certificaciones,
auditorías o validaciones en la empresa.
b. Advertencias intimidatorias.
c. Describe estrategias adecuadas para enfrentar los exámenes de riesgos.
d. Comprender cada riesgo y tener la capacidad de abordarlos.

Según la metodología MAGERIT V3:

Un activo se describe como parte o elemento de un sistema de información que puede ser
vulnerado de forma intencional o accidental, teniendo impacto en la organización. Esto
abarca información, datos, servicios, programas, dispositivos, comunicaciones, recursos
administrativos, físicos y humanos.

24
2.2.15. ACTIVOS
a) Activos de información
En la figura se muestra a manera de resumen los activos de información según la
Metodología MAGERIT, donde clasifica de la siguiente manera: activos esenciales
y activos auxiliares o de soporte.

Figura 5
Clasifican de activos de información

Nota: La imagen muestra la categorización de los recursos de información.

(https://repositorio.unprg.edu.pe/handle/20.500.12893/8244)

b) Activos físicos
Un activo físico se refiere a un bien tangible que está en posesión de una persona, ya
sea física o jurídica, como maquinaria, equipamiento, inmuebles, muebles, vehículos,
materiales primos, productos en proceso, herramientas, entre otros.
c) Activos Humanos
Se refiere al aporte de valor económico que los trabajadores proporcionan a una
empresa gracias a su pericia, destrezas y sabiduría. Este capital humano aumenta con
el tiempo, sobre todo si se invierte en su crecimiento y formación.

A. Tipos de activos:
De acuerdo con el enfoque de MAGERIT, los activos se dividen en diferentes categorías
como esenciales, información, servicios, programas informáticos, dispositivos, redes de
comunicación, soporte de datos, equipo adicional, infraestructura y personal.

25
Tabla 3
Tipos de activos
Tipo de Activo Explicación
[Esenciales] Activos Los activos críticos establecen las normas de seguridad que deben
Esenciales cumplir el resto de los elementos del sistema.
[D] Datos Los datos son esenciales para el correcto desempeño de la entidad.
[S] Servicios Estos son bienes que cumplen con las demandas de los usuarios, en
términos de servicios proporcionados por el sistema.
[SW] Aplicaciones Se les conoce como programas, aplicaciones, desarrollos, entre otros.
Informáticas Tienen la función de automatizar, administrar y analizar datos.
(Software)
[HW] Equipamiento Se refiere a los recursos tangibles utilizados para apoyar de manera
Informático directa o indirecta los servicios ofrecidos por la organización.
(Hardware)
[COM] Redes de Estas instalaciones son utilizadas para contratar servicios de
Comunicaciones comunicaciones a proveedores externos.
[Media] Soporte de Son aparatos tangibles que posibilitan la retención de datos de manera
Información duradera.
[AUX]Equipamiento Son aparatos que otorgan soporte a los sistemas de información, pero no
Auxiliar están directamente conectados a la información.
[I] Instalaciones Se refiere a lugares donde se ubican los equipos de tecnología y medios
de comunicación.
[P] Personal Las personas que tienen relación con los sistemas de información.
Nota: La figura representa la clasificación del tipo de activos. Tomado de MAGERIT-V3.0
Metodología para el Análisis y Gestión de Riesgos en Sistemas de Información
(https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html)

B. Valoración de activos
En su segundo libro del catálogo de elementos, la metodología MAGERIT propone una
escala unificada para la evaluación de riesgos, lo que facilita la comparación y la valoración
de análisis de manera consistente.

26
Figura 6
Valores de los riesgos de información

Nota: La figura representa los valores de los riesgos. Tomado de MAGERIT-V3.0

Metodología para el Análisis y Gestión de Riesgos en Sistemas de Información
(https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html)

2.2.16. AMENAZAS DE LA INFORMACIÓN

Una amenaza es la posibilidad de que ocurra un evento que pueda dañar un sistema
de información o una organización Se refiere a la capacidad de aprovechar una debilidad
para obtener, alterar o bloquear el acceso a un recurso o ponerlo en peligro. (Carpentier,
2016).

Tabla 4
Clasificación de amenazas
Tipo de Amenazas Descripción
[N] Naturales Estos eventos son acontecimientos que pueden tener lugar sin la
influencia de los seres humanos, tales como terremotos,
inundaciones, incendios, sismos, entre otros.
[IN] Origen Pueden ser eventos que suceden de manera fortuita o causados
Industrial por la actividad industrial humana, ya sea de forma accidental o
intencionada.
[E] Errores y fallos Errores involuntarios originados por individuos que pueden
no intencionados suceder de forma no intencionada.

27
 [A] Ataques Errores intencionales causados por individuos, que buscan dañar
intencionados o perjudicar a otros de manera deliberada.
Nota: La figura representa la clasificación de amenazas de los activos según la metodología
MAGERIT. Tomado de MAGERIT-V3.0 Metodología para el Análisis y Gestión de Riesgos
en Sistemas de Información (https://www.ccn-cert.cni.es/documentos-publicos/1789-
magerit-libro-i-metodo/file.html)

Según Carpentier (2016), Las amenazas pueden ser categorizadas de acuerdo a su origen,
tipo, motivación o acción.

Figura 7
División de las amenazas

Nota: Adaptado de La seguridad informática en la PYME, Carpentier (2016)

2.2.17. RIESGOS DE LA INFORMACIÓN

Un riesgo se refiere a la evaluación de la posibilidad de que una amenaza afecte a
uno o varios activos de la empresa, causando daños o pérdidas. Los riesgos pueden ser
categorizados de acuerdo a su origen, ya sea externo o interno. (Carpentier, 2016).

A Riesgos externos
Ataques enfocados pueden tomar la forma de infecciones de virus o ataques a gran escala a
la red, como la denegación de servicio. Incidentes no focalizados. Las amenazas que pueden
derivar en daños físicos (como robo o destrucción de equipos) o pérdidas de información
debido a intrusiones de terceros.

28
B Riesgos internos
Son más fáciles de entender porque forman parte de los activos internos de la empresa.

2.2.18. SGSI EN LAS PYMES

Las grandes empresas tienen recursos, mientras que las pequeñas empresas requieren
soluciones fáciles de usar y accesibles para afrontar los riesgos.

Por eso, la adopción de un SGSI puede ser una opción adecuada para que las PYMES
establezcan una metodología y medidas de seguridad de forma continua, aunque no se pueda
garantizar una seguridad al 100%.

Según INTECO, se observa una serie de beneficios:

i. Reducción de riesgos: Desde la evaluación de posibles peligros o amenazas requerido
por la normativa, hasta la puesta en marcha de las medidas de control, todas las
acciones tomadas disminuirán los riesgos a un nivel aceptable para las pequeñas y
medianas empresas.
ii. Ahorro económico: Seguir la norma brinda la oportunidad de optimizar los recursos
y disminuir los costos. al basar las decisiones en datos numéricos, no solo
cualitativos, se facilita una gestión más eficiente del presupuesto en tecnología.
iii. La implementación del Sistema de Gestión de la Seguridad de la Información
convierte la seguridad en un proceso gestionado, reemplazando acciones técnicas por
un ciclo supervisado y sistematizado. Al involucrar a todos los miembros de la
organización, se destaca la importancia de la calidad en la seguridad.
iv. Cumplimiento legal: Es fundamental seguir las leyes actuales. Todos los aspectos
legales de la normativa deben cumplir con las leyes del país, y se verifica que se
cumplan adecuadamente. Por tanto, la certificación asegura este cumplimiento y
también establece una legislación que brindará protección a la empresa.
v. Competitividad en el mercado: La relevancia de esta norma es similar a la de ISO
9000 en la actualidad. Con el tiempo, las grandes empresas, clientes y socios
comenzarán a exigir esta certificación para colaborar con las PYME. Esto es
fundamental para asegurar un equilibrio en las medidas de seguridad entre todas las
partes involucradas, convirtiéndola en un aspecto crucial para destacar frente a la
competencia.

29
 CAPÍTULO III

MATERIALES Y MÉTODOS

3.1 TIPO DE INVESTIGACIÓN

De acuerdo a Hernández, Fernández y Baptista (2014), “la Investigación aplicada se
distingue por tener propósitos prácticos inmediatos definidos, es decir, se investiga para
actuar, transformar, modificar o producir cambios en un determinado sector de la realidad.
Para realizar investigaciones aplicadas es muy importante contar con el aporte de las teorías
científicas, que son producidas por la investigación básica y sustantiva". Por esta
consideración el tipo de investigación es aplicada.

3.2 NIVEL DE INVESTIGACIÓN

De acuerdo al autor Hernández Sampieri et. al (2014), las investigaciones
descriptivas vienen a ser "los estudios descriptivos buscan especificar las propiedades, las
características y los perfiles importantes de personas, grupos, comunidades o cualquier otro
fenómeno que se someta a análisis." Una de las funciones principales de la investigación
descriptiva es la capacidad para seleccionar las características fundamentales del objeto de
estudio y su descripción detallada de las partes, categorías o clases de dicho objeto”; y agrega
“La investigación descriptiva es uno de los tipos o procedimientos investigativos más
populares y utilizados por los principiantes en la actividad investigativa. Los trabajos de
grado, en los pregrados y en muchas maestrías, son estudios de carácter eminentemente
descriptivo. En tales estudios se muestran, narran, reseñan o identifican hechos, situaciones,
rasgos característicos de un objeto de estudio, o se diseñan productos, modelos, prototipos,
guías, etcétera.

De acuerdo al autor Carrasco (2019), señala que, la investigación descriptiva se soporta

principalmente en técnicas como la encuesta, la entrevista, la observación y revisión
documental. Este tipo de investigación estudia, analiza, describe y especifica situaciones y
propiedades de personas, grupos, comunidades o cualquier otro fenómeno u objeto que sea
sometido al análisis. Por esta consideración el nivel de investigación es descriptivo.

30
3.3 DISEÑO DE INVESTIGACIÓN
De acuerdo con el autor Hernández Sampieri et. al. (2014), se puede definir la
investigación no experimental, “como aquella investigación que se realiza sin manipular
deliberadamente las variables, se trata de estudios donde no hacemos variar en forma
intencional las variables independientes para ver su efecto sobre otras variables. Lo que
hacemos en la investigación no experimental es observar fenómenos tal como se dan en su
contexto natural, para posteriormente analizarlos” (p. 191).

Según Carrasco (2019), la investigación de diseño transversal descriptivo se utiliza para

examinar y comprender las características, cualidades internas y externas, propiedades y
rasgos esenciales de los hechos y fenómenos en un momento específico. Según Hernández
et al. (2014), una investigación de diseño transversal implica la recopilación de datos en un
solo momento o periodo de tiempo, con el fin de describir variables y analizar los hechos tal
como se presentan. Los instrumentos de recolección de datos son utilizados de manera única
durante el proceso.

En esta investigación se tiene que conocer procesos, características, estudiar rasgos y

entender funcionalidades para encontrar datos necesarios para la construcción modelo
operativo; por lo tanto, el diseño de investigación es no experimental de tipo transversal
descriptivo.

3.4 POBLACIÓN Y MUESTRA

3.4.1 POBLACIÓN
Todos los clientes que recurren a los servicios de la empresa Ekonopharma. En este
caso seria 20 clientes por día promedio, en cada establecimiento.

3.4.2 MUESTRA
Sistema de Seguridad de la Información ISO/IEC 27001 orientado a la muestra.

CALCULO DEL TAMAÑO DE MUESTRA EN EL MUESTREO SIMPLE

ALEATORIO.
𝑁 × 𝑆 2 × 𝑍(∝/2)2
𝑛=
𝑁 × 𝑑 2 + (𝑠 2 × 𝑍(∝/2)2 )

31
 20 × 152 × 1.962
𝑛=
20 × 2.52 + (152 × (1.96)2 )
𝑛 = 17
N=20, Z=1.96, s= 15 y d=15%.
Se tomo una muestra preliminar de 20 clientes con diferentes entradas diaria en ventas del
negocio, resultando el tamaño de la muestra seria 17 clientes, contando con una precisión
del 10%, y una varianza de 15.

3.5 VARIABLES Y DIMENSIONES

3.5.1 DEFINICIÓN CONCEPTUAL DE LAS VARIABLES
VARIABLE DE ESTUDIO 1
a. Sistemas de Gestión de la Seguridad de la Información: “Un sistema de gestión
de la seguridad de la Información, es un enfoque gerencial para la seguridad. Se
trata de un amplio proceso de gestión de riesgos sobre la seguridad. Como con todos
los sistemas de gestión, en un sistema de gestión de la seguridad se prevé la fijación
de objetivos, planificación y medición del desempeño. Un sistema de gestión de la
seguridad es parte de una organización. Se convierte en parte de la cultura, y de la
forma en que realizamos un trabajo”. (Karina Miranda-Vázquez, 2013, p.4).

DIMENSIONES
a. Activos de información: Los activos de información son elementos clave en una
política de seguridad, ya que permiten a la empresa identificar riesgos y tomar
medidas para protegerlos. Estos activos incluyen documentación relevante,
servidores, bases de datos y más.
b. Activos físicos: Son activos que poseen un valor intrínseco y están formados por
máquinas, equipos, edificios y otros bienes de inversión de la empresa.
c. Activos humanos: Está formado por aquellas personas que gestionan la
información. Las personas pueden generar acciones de control muy importantes
dentro de una organización como: privilegios de acceso de usuarios, necesidad de
aprobación de acciones por parte de determinados responsables, almacenamiento
de información. Todo dependerá del riesgo de información al que este sujeto el
activo persona.

32
VARIABLE DE ESTUDIO 2
i. Política de seguridad de la información: Se busca que este comité sea responsable
de liderar y respaldar la administración de la seguridad de la información. La Alta
Dirección debe establecer una política que refleje las directrices de la organización
en cuanto a seguridad, aprobarla y comunicarla adecuadamente a todos los
empleados. Este comité incluye controles tales como el documento de la Política de
Seguridad de la Información y la revisión de la misma.

DIMENSIONES
i.Pymes: Las Pymes se refieren a las empresas de pequeño y mediano tamaño que
operan de manera independiente, y constituyen una parte significativa del
mercado global. Según la información proporcionada por el portal del empresario
MYPE del ministerio de producción del Perú, se considera que una empresa es
pequeña si cuenta con entre 1 y 100 empleados.

3.5.2 DEFINICIÓN CONCEPTUAL DE LAS VARIABLES

VARIABLE DE ESTUDIO 1
i. Sistemas de Gestión de la Seguridad de la Información
DIMENSIONES
ii. Activos de información
iii. Activos físicos
iv. Activos humanos
VARIABLE DE ESTUDIO 2
i. Política de seguridad de la información
DIMENSIONES
i. Pymes

3.6 TÉCNICAS E INSTRUMENTOS

a. TÉCNICAS
Análisis documental
b. INSTRUMENTOS
Fichas de Análisis Documental

33
 CAPÍTULO IV
IMPLEMENTACIÓN DEL SGSI SEGÚN ISO/IEC 27001 EN LA PYME
EKONOPHARMA.SAC

4.1 Planificación del SGSI

Se analizaron los componentes necesarios para diseñar la planificación del Sistema
de Gestión de Seguridad de la Información, se creó un calendario en el Anexo A.

Según las últimas actualizaciones de la Norma ISO 27001, se centran en el enfoque de

mejora continua mediante el ciclo PDCA (Plan-Do-Check-Act), contiene etapas para evaluar
el nivel de progreso logrado por Ekonopharma. Se llegará a la fase1 Planear.

Tabla 5
Registro de documentos de ciclo de mejora continua PDCA. (fase planificar)
PLAN/ PLANEAR
1. Initial gap analysis report
2. High management commitment agreement
3. Organization context report
4. Stakeholder needs and expectations report
5. Information Security Management System (ISMS) scope statement
6. Information Security Policy
7. Job description for information security roles
8. ISMS objectives control dashboard
9. Procedure for controlling documented information
10. Risk assessment and treatment procedure
11. Internal audit procedure
12. Risk management report
13. Risk and opportunity treatment plan
14. Controls applicability statement
15. Internal and external communication matrix
16. Training and awareness plan
Nota: Se detalla en esta tabla la lista de entregables. Tomado de La mejora continua: el ciclo
pdca, Héctor Santiago, 2001.

34
Tabla 6
Conexión Familiar ISO 27000
Metodología ISO 27001(requisitos del ISO 27002(código de buenas
SGSI) – Sección prácticas) – Sección
Salida del proyecto 5.1 y 5.2.1
P 4.2.1
H 4.2.2 y 5.2.2 5 a 15
V 4.2.3.,6y7
A 4.2.3 y 8
Nota: Esta tabla que muestra la metodología y las normas que serán implementadas en la
Empresa EKONOPHARMA.SAC.

Tabla 7
Equipo que participará en el proyecto
Nombre Unidad Cargo E-mail
organizacional
Lisset L. Ekonopharma CISO [email protected]
Pool C. Ekonopharma Gerente y QF [email protected]
Rubén C. y Ekonopharma Coordinadores QF [email protected]
Linda H. [email protected]
Nota: La tabla representa la lista de participantes en el proyecto.

4.1.1 CASO DE NEGOCIO

EKONOPHARMA SAC es una empresa farmacéutica, que opera por ahora con dos boticas
en la actualidad, su sede principal está situada en Av. Ramón Castilla N °306, a cinco cuadras
de la Plaza de Armas, en Huamanga, Ayacucho. Se especializa en la venta de productos de
salud y busca proteger la información de sus clientes, proveedores, fórmulas magistrales y
datos financieros para garantizar su confidencialidad y evitar su pérdida o robo.
Actualmente, la empresa cuenta con siete empleados.

A. ESTRUCTURA ACTUAL DE LA EMPRESA EKONOPHARMA.SAC

La estructura de Ekonopharma está compuesta por 6 áreas fundamentales.

35
Figura 8
Organigrama EKONOPHARMA

ÁREA DE GESTIÓN
ADMINISTRATIVA

REGENTE QF

ÁREA DE ÁREA DE
ÁREA DE ÁREA DE ÁREA DE
ALMACENAMIENTO DISPENSACIÒN BAJA Y/O PREPARADOS
RECEPCCIÓN MAGISTRALES
RECHAZADOS

Nota: La figura detalla las diferentes áreas del organigrama. Tomada de Archivos
Ekonopharma.

La estructura de Ekonopharma se compone de la siguiente forma:

a) Área de gestión Administrativa: Responsable de manejar las cuestiones financieras
de Ekonopharma, incluyendo la administración y control de los ingresos y egresos.
b) Área de almacenamiento: Responsable de gestionar la compra y almacenamiento
de productos médicos, como materias primas y otros materiales, provenientes de
distintos proveedores. Esta sección contará con:
1. Buenas condiciones de luz y ventilación
2. Ventilación apropiada (natural y artificial)
3. Espacio suficiente para realizar la limpieza diaria
4. Un termo higrómetro calibrado
5. Un extintor con carga vigente
6. Un botiquín de primeros auxilios
7. Una parihuela

c) Área de dispensación: responsable de administrar la comercialización de los

medicamentos.
d) Área de Baja y/o Rechazados: En Ekonopharma, este departamento se encarga de
verificar y seleccionar las fechas de caducidad o autenticidad de los medicamentos
que deben ser descartados pronto.

36
 e) Área de preparados magistrales: En este lugar se ocupan de elaborar los
medicamentos personalizados mediante la formulación, envasado e impresión de
cada preparado magistral para el cliente.

En la actualidad, la Tecnología de la Información no se encuentra presente a pesar de su

importancia en el control técnico requerido para aplicar políticas informáticas. En la
empresa, no se brinda formación en seguridad de la información a los empleados. Ante estos
desafíos identificados, es necesario buscar soluciones en este escenario.

a) Las políticas de seguridad de la información no están establecidas en Ekonopharma,

lo cual es fundamental para proteger la información vital de la empresa y asegurar
su continuidad.
b) La ausencia de un comité de seguridad de la información implica que las políticas
se crean, revisan y modifican de manera reactiva, sin una planificación adecuada.
c) Los controles técnicos actuales no cumplen con su función de manera eficaz.
d) No se realiza un análisis completo de los riesgos para los activos de información
más importantes.

Figura 9
Organigrama funcional de la empresa Ekonopharma

GERENTE GENERAL

CONTADOR

QF REGENTE/
COORDINADORA DE COORDINADOR DE
RRHH Y LOGÍSTICA CALIDAD

TÉCNICOS EN
FARMACIA

Nota. La figura representa el Organigrama funcional de la empresa EKONOPHARMA.

Adaptada de Archivos Ekonopharma.

37
B. CARGOS Y FUNCIONES:

Tabla 8
Cargos y funciones de la empresa Ekonopharma
Gerente General: • Garantizar que la botica funcione de manera adecuada
• Proporcionar formación continua al personal de las Boticas junto con el Q.F.
Regente
• Contratar y dar de baja a los empleados
• Asegurarse de que se cumplan los requisitos establecidos por las instituciones
Coordinadores de salud.
QF Regente: • Comprobar y supervisar que las recetas se despachen de acuerdo con lo
/Coordinador establecido.
De Calidad • Garantizar que el almacenamiento de los productos farmacéuticos y similares
asegure su adecuada conservación, estabilidad y calidad.
• Formar, capacitar y supervisar de manera constante al personal asistente y
auxiliar para que realicen sus funciones correctamente.
• Mostrar de forma visible una credencial con su nombre, profesión, número de
colegiatura y cargo mientras realiza sus tareas.
Coordinadora de • Coordinar el reclutamiento y selección de personal.
RRHH y • Administrar y mantener actualizada la información de los trabajadores
Logística registrados.
• Supervisar el desarrollo profesional de los trabajadores.
• Gestionar los recursos humanos y logísticos para la empresa.
• Asegurar que se cumplan las políticas y los procedimientos.
Técnicos en • Supervisar y garantizar que las recetas se despachen de acuerdo a lo
Farmacia establecido.
• Brindar orientación e información a los clientes sobre el uso adecuado de
medicamentos y productos similares.
• Presentar al cliente diferentes opciones de medicamentos.
• Colaborar en el control de las fechas de caducidad al dispensar un producto
farmacéutico.
Nota. La tabla representa las funciones por cargo de la empresa Ekonopharma. Adaptada de
Archivos Ekonopharma.

38
C. PROCESOS DE EKONOPHARMA S.A.C.
PROCESO ESTRATÉGICO
a) Gestión Comercial: Durante este procedimiento se define la franquicia, se
pone énfasis en la satisfacción del cliente, se elabora una estrategia de precios y
marketing.

PROCESOS OPERATIVOS (Procesos Core de la empresa)

b) Recepción y almacenamiento de productos farmacéuticos, dispositivos
médicos y productos sanitarios: Crear normas, procesos apropiados para recibir,
revisar y almacenar, teniendo en cuenta las condiciones específicas de temperatura,
luz y humedad indicadas por el fabricante, de acuerdo con el protocolo operativo
establecido.
c) Dispensación y/o Expendio de productos farmacéuticos, dispositivos médicos y
productos sanitarios: La correcta dispensación asegura que el paciente reciba los
productos o dispositivos en la dosis y cantidad indicada, con instrucciones claras
sobre su uso, seguridad y conservación.
d) Elaboración de Preparados Magistrales: Se trata del procedimiento encargado de
crear y administrar fórmulas adaptadas a las necesidades individuales de cada
paciente, específicamente destinadas a tratar cada enfermedad. Se asignan los
recursos según la complejidad y extensión del tratamiento, y se lleva a cabo un
seguimiento detallado de cada fórmula magistral desde su inicio hasta su conclusión.
e) Retiro y destrucción de medicamentos vencidos, deteriorado: Durante esta etapa, el
responsable sigue las directrices proporcionadas por Digemid para la eliminación
adecuada de medicamentos.

Procesos de Apoyo
a) Control de Calidad: En este momento se asegura que los productos y servicios
cumplan con las normas de Digemid, garantizando su calidad, reduciendo posibles
errores y mejorando la eficiencia en los costos de producción.
b) Gestión de recursos humanos y logística: Implica la supervisión adecuada de los
empleados y los recursos logísticos de la empresa, garantizando que las actividades
se desarrollen de forma eficiente y se cumplan los objetivos establecidos por la
organización.

39
 c) Gestión de contabilidad y finanzas: La contabilidad se encarga de la gestión de las
finanzas y aspectos contables de la empresa. Se encarga de registrar los gastos y
pagos a través de un registro de caja, mientras que las responsabilidades tributarias y
laborales son manejadas por un contador externo.

4.2 FASE 1: PLANEAR (PLAN)

En el comienzo de esta fase, se busca implementar el Sistema de Gestión de
Seguridad de la Información con el objetivo de examinar la situación inicial de la empresa
en relación con los requisitos y controles establecidos en la norma ISO/IEC 27001:2013.
Para lograrlo, se lleva a cabo una evaluación del entorno y posibles carencias (identificación
de brechas en requisitos y controles). Estas evaluaciones tienen como finalidad definir y
aclarar la situación actual de la compañía "EKONOPHARMA".

El Plan de proyecto se aplica a todos los procesos Core y a las que se relacionan entre ellas,
y está dirigido a los miembros de la alta dirección y del equipo del proyecto. Para elaborar
el Plan del Proyecto, se comenzará realizando varios tipos de análisis, como cuestionarios a
los trabajadores y reuniones a los responsables de áreas, en el ANEXO B se detalla:

4.2.1 ANÁLISIS DE BRECHA INICIAL

Se recogieron las opiniones de los trabajadores de la compañía Ekonopharma
mediante encuestas, cuyos resultados se presentan en el ANEXO C. Posteriormente, se
realizaron dos análisis de discrepancias basados en los resultados de las encuestas y de la
reunión con los directivos. Uno de los análisis evaluó el grado de cumplimiento de los
requisitos iniciales, mientras que el otro examinó los controles establecidos.

4.2.1.1 INFORME DE ANÁLISIS DE BRECHA DE REQUISITOS

Para realizar esta evaluación de la discrepancia en el cumplimiento, se emplearon los
criterios de la norma ISO/IEC 27001:2013 y se examinaron teniendo en cuenta los niveles
de cumplimiento especificados en la tabla correspondiente.

40
 Tabla 9
Grados de cumplimiento de requisitos
Descripción Puntaje Puntuación Detalle
Completo 3 100% Se ha cumplido al 100% con el requisito y se ha
proporcionado la evidencia correspondiente.
Desarrollo 2 70% En proceso de avance, se ha logrado un
cumplimiento del requisito del 70%, mostrando
evidencia de ello, aunque aún no se ha alcanzado
el total del 100%.
Inicio 1 40% Inicio, alrededor del 40% de ocurrencia. Se pueden
observar señales de que se cumple con el requisito,
aunque no hay pruebas concretas de ello.
No existe 0 0% No existe, 0% de ocurrencia, no hay registros ni
pruebas del cumplimiento.
Nota: La tabla muestra los diferentes niveles de cumplimiento de requisitos utilizados para
evaluar la empresa Ekonopharma.

En el ANEXO C se detallan la evaluación detallada de cada control especifico, los resultados

obtenidos son:

Figura 10
Resultados estadísticos
REVISIÓN DE LOS CRITERIOS ESTABLECIDOS POR LA NORMA ISO/IEC
27001:2013
12%
10%
8%
6%
4%
2%
0%
Contexto Liderazgo Planificacion Soporte Operación Evaluacion Mejoras

Nota: El gráfico representa los logros de la compañía Ekonopharma.

41
Luego de examinar cada requisito, el nivel promedio de cumplimiento es 5%. En nivel
evaluado es muy bajo, sin embargo, el contexto y soporte son los más altos, siendo aún
insuficiente para el resultado esperado de Ekonopharma.

Figura 11
Resultados de la evaluación los requisitos establecidos en la norma ISO/IEC 27001:2013.

NIVEL DE CUMPLIMIENTO DE REQUISITOS

Cumple No cumple

5%

95%

Nota: El gráfico muestra los resultados en porcentaje de Ekonopharma.

4.2.1.2 INFORME DE ANÁLISIS DE BRECHA DE CONTROLES

Se llevó a cabo la evaluación de controles para obtener un panorama preciso de cuáles
controles estaban ausentes y cuáles estaban presentes, así como para determinar su
necesidad. Por lo tanto, se examinó y se detalla esta información en el ANEXO C.

Tabla 10
Niveles de cumplimiento de controles
Descripción Puntaje Puntuación Detalle

Completo 3 100% El control ha sido implementado, respaldado por la

dirección ejecutiva y comunicado (según sea necesario).
Desarrollo 2 70% Se está llevando a cabo la implementación del desarrollo de
control.
Inicio 1 40% Se ha comprendido la necesidad de implementar una
supervisión. La supervisión apenas ha empezado.
No existe 0 0% No existe supervisión, no se encuentra presente.
Nota: La tabla representa los niveles de cumplimiento de controles para evaluar la empresa
Ekonopharma.

Estos resultados obtenidos para cada control se detallan en el ANEXO C

42
Tabla 11
PORCENTAJES DE CUMPLIMIENTO POR CONTROL
N.º DOMINIOS EVALUADOS SEGÚN ISO 27002 ANÁLISIS DE BRECHA INICIAL
A.5 Políticas de seguridad de la información 5% Inicio
A.6 Organización de la seguridad de la información 0% No existe
A.7 Seguridad de los recursos humanos 5% Inicio
A.8 Gestión de activos 5% Inicio
A.9 Control de acceso 10% Inicio
A.10 Criptografía - No aplica
A.11 Seguridad física y ambiental 10% Inicio
A.12 Seguridad de las operaciones 10% Inicio
A.13 Seguridad de las comunicaciones 10% Inicio
A.14 Adquisición, desarrollo y mantenimiento de sistemas - No aplica
A.15 Relación con los proveedores 0% No existe
A.16 Gestión de Incidentes de seguridad de la información 0% No existe
A.17 Aspecto de seguridad de la información en la gestión de 5% Inicio
continuidad del negocio
A.18 Cumplimiento 5% Inicio
Nota. La tabla representa los resultados totales del cumplimiento por control de la ISO/IEC.

Figura 12
Gráfico de Resultados del Análisis Inicial de Brechas

NIVEL DE CUMPLIMIENTO EN LOS CONTROLES

9% Cumple

No cumple
91%

Nota. La tabla representa los resultados en porcentajes del nivel de cumplimiento de los
controles.

Tabla 12
Niveles de cumplimiento
NIVELES DE MADUREZ CUMPLIMIENTO

Completo 0%

43
 En proceso 0%
Inicio 70.21%
No existe 17.67%
No aplica 12.12%
Nota. La tabla representa los porcentajes de cumplimiento de controles en Ekonopharma.

Figura 13
Diagrama circular que muestra el nivel de aplicación y cumplimiento.
Completo
No aplica
No existe
Inicio
En proceso

Nota. La tabla muestra los resultados de la evaluación de qué tan cumplidos están los
controles de la ISO/IEC.

La comparación de estudios nos ha proporcionado datos importantes sobre la empresa,

permitiéndonos comprender su situación actual y estimar los recursos, tiempo y esfuerzo
necesarios para iniciar la implementación de la primera etapa del Sistema de Gestión de
Seguridad de la Información (SGSI).

4.2.2 COMPROMISO CON LA ALTA DIRECCIÓN

Se trató el tema de la protección de los datos en la compañía al exponer la "Propuesta
Comercial" al gerente general, que comprendió una evaluación de la situación actual y las
mejoras sugeridas, con actividades, recursos, plazos y alcance. Igualmente, se elaboró y
consiguió la firma del "Acta de Compromiso" en el ANEXO D, en la que se describen los
compromisos específicos para establecer, implementar, optimizar y conservar el Sistema de
Gestión de Seguridad de la Información.

Después de recibir la aprobación de la propuesta, se procedió a detallar el contenido del

compromiso en el acta a la cúpula directiva, la cual fue firmada por el Gerente General y el
Coordinador de Calidad.

44
La dirección de Ekonopharma reafirmó su compromiso total con las políticas de seguridad
vigentes, comprometiéndose a mantener las directrices establecidas en el documento y a
proporcionar los recursos necesarios para su cumplimiento. Además, se acordó publicar y
distribuir el documento a todos los empleados para que estén al tanto de los objetivos,
políticas, principios y normas adoptadas por la dirección y su importancia para la seguridad
de la organización.

4.2.3 PROPUESTA COMERCIAL DEL PROYECTO

Se propone la adopción del Sistema de Gestión de Seguridad de la información en la
compañía Ekonopharma como una medida para resguardar los activos de información, tanto
materiales como humanos, con el fin de garantizar su protección. Se pretende implementar
este sistema siguiendo los lineamientos de la normativa ISO/IEC 27001:2013 en
Ekonopharma.

A. PROPÓSITO DE LA PROPUESTA
El objetivo de la propuesta es establecer un protocolo de protección de datos en
Ekonopharma de acuerdo con las pautas establecidas en la normativa ISO/IEC 27001:2013.

B. ALCANCE DEL PROYECTO

Dentro del marco del Sistema de Gestión de Seguridad de la Información (SGSI) se incluyen
una variedad de procedimientos y enfoques establecidos.

Procesos Operativos (Core)

b) Recepción y Almacenamiento de productos farmacéuticos, dispositivos médicos y
productos sanitarios.
c) Dispensación y/o Expendio de productos farmacéuticos, dispositivos médicos y
productos sanitarios.
d) Elaboración de Preparados Magistrales
e) Retiro y destrucción de medicamentos vencidos o deteriorados.

Procesos de Apoyo
f) Control de Calidad
g) gestión de recursos humanos y Logística.

45
C. ALCANCE NO CONTEMPLADO
a) Gestión financiera (proceso externo)
b) Gestión Comercial (proceso externo)

No se abarcará el proceso de gestión financiera, ni comercial ya que se consideran procesos

externos y no está tan relacionado con los procesos Core de la empresa Ekonopharma.

D. PROPUESTA DE SOLUCIÓN
Se aconseja utilizar el enfoque de mejora continua PDCA, basado en el ciclo de Deming, y
seguir los lineamientos de la norma ISO 27001 para implementar un Sistema de Gestión de
la Seguridad de la Información.

Los beneficios que se obtienen al implementar este sistema en una empresa son los
siguientes:
a. Brindan a los clientes servicios y productos más seguros y confiables.
b. Se minimiza la posibilidad de que la información sea perdida o hurtada.
c. Se lleva a cabo una revisión constante de los riesgos y controles.
d. Se gana la confianza de clientes y socios estratégicos.
e. Puede ser utilizada en conjunto con otras metodologías de gestión como la ISO/IEC
9001, ISO/IEC 14001, entre otras.
f. Los colaboradores de la organización tendrán confianza y reglas bien definidas.
g. Aporta un beneficio adicional a la empresa, lo que contribuye a fortalecer su
reputación.

4.2.4 REVISIÓN DE LA ALTA DIRECCIÓN

A. CONSEGUIR RESPALDO POR PARTE DE LA DIRECCIÓN
La Es fundamental contar con el respaldo de la Alta Dirección en la selección del consultor
para la empresa Ekonopharma, por lo tanto, es importante evaluar las opciones disponibles:
1.-Implementar el estándar usando personal propio de la organización
2.-Implementar el estándar uno mismo (HUM).
3.-Seleccionar un consultor, este consultor debe tener:
a) Experiencia y habilidades
b) Reputación
c) Servicio personalizado

46
 d) Lenguaje.

En EKONOPHARMA, estableceremos un estándar basado en el enfoque HUM (Hacerlo

usted mismo), aprovechando el conocimiento externo. Vamos a colaborar con los empleados
para que también adquieran el conocimiento, la documentación y el respaldo necesario de
fuentes externas.

Cuando se emplea el estándar con un enfoque de "Hacerlo usted mismo" se logrará una
mayor capacitación para los empleados, la recopilación de documentos confidenciales de la
empresa sin tener que depender de personal externo, y se reducirán los costos de
implementación para la empresa.
Se logrará una posición competitiva diferenciada, los consumidores confiarán en la
seguridad de sus datos y en la calidad de los productos que compran, especialmente en cuanto
a su distribución:
a. Se percibirá una disminución en los gastos de los temas vinculados a la
ciberseguridad y confidencialidad que son de gran importancia los cuales suelen ser
vistos como un costo. No obstante, existen beneficios financieros en la reducción de
gastos ocasionados por incidentes, interrupciones en el servicio, filtraciones de datos
o conflictos con empleados actuales o pasados.
b. La empresa podría estar expuesta a riesgos como incendios, robos, entre otros. Se
concluye que estas amenazas pueden ser evitadas mediante la prevención, lo que
sugiere una inversión mínima en medidas preventivas y la obtención de altas
ganancias al eliminar estos riesgos que podrían representar un costo anual
considerable para Ekonopharma.
c. En Ekonopharma se ha identificado dificultades en la toma de decisiones, la gestión
de activos y el acceso a sistemas de información, lo que impacta en la eficacia de los
procesos empresariales. Por lo tanto, implementar la norma ISO 27001 se presenta
como la solución ideal, ya que clarifica funciones y responsabilidades, fortaleciendo
la estructura interna de la compañía.

B. Acta de compromiso
La gerencia dio su aprobación y consenso a un documento, anexo D.

47
4.2.5 CONTEXTO DE LA EMPRESA
El contexto de Ekonopharma es un documento que se toma como base, el alcance, el
análisis de brechas de controles y análisis de brechas de requisitos de la ISO-IEC27001 para
identifica la situación actual.

Se describirán los elementos necesarios para entender el entorno de Ekonopharma, se

examinaron la perspectiva y objetivos de la empresa, y se identificaron los factores que
influyen tanto interna como externamente en la organización, a través de un análisis FODA.

Tabla 13
Foda de Ekonopharma
FACTORES INTERNOS
FORTALEZAS DEBILIDADES
a. Amplio dominio en el campo de la salud y a. Restricciones en los horarios de servicio.
la farmacología. b. Falta de un plan estratégico Coordinador.
b. Diversidad de servicios de atención médica c. Escasa gestión de la información.
y una amplia gama de productos de salud d. Plan de formación y acreditación poco
disponibles. estructurado.
c. Situado estratégicamente en una zona de e. Escasa disponibilidad de herramientas de
alto tráfico. gestión de proyectos.
d. Personal comprometido y altamente d. Ausencia de protección de la información
capacitado para un servicio eficiente. para su continuidad en el mercado.
FACTORES EXTERNOS
OPORTUNIDADES AMENAZAS
a. Oportunidades de ampliar la oferta de a. Mayor número de competidores cada cierto
servicios a través de convenios con periodo.
empresas. b. Cambio en las políticas de salud que
b. Mantener la prestación de servicios a podrían afectar la venta de determinados
clientes existentes mediante la medicamentos.
consolidación de la relación de confianza. c. Robo de información secreta de la empresa.
Nota. La tabla representa los factores internos y externos de la empresa Ekonopharma.

A. ANÁLISIS DEL CONTEXTO DE EKONOPHARMA

"EKONOPHARMA SAC" es una empresa farmacéutica que comenzó sus operaciones en el
año 2021. Cuenta con dos locales en el Distrito de Huamanga, en la Provincia del Ayacucho,

48
ambos ubicados a poca distancia de la Plaza de Armas. Su principal local está ubicado en
Av. Ramón Castilla N °306 y el segundo en Jirón Callao N °324. Su proceso principal es la
dispensación y/o expendio de productos farmacéuticos, dispositivos médicos y productos
sanitarios al cliente, brindando atención personalizada de calidad.

Desde su establecimiento, las boticas de Ekonopharma son atendidas por personal del sector
salud como a en farmacia y químicos farmacéuticos, con apoyo de enfermeros calificados y
un médico general, para la atención a los clientes. La empresa se destaca por ofrecer servicios
de alto valor, a precios económicos, con medicamentos y preparados magistrales para
enfermedades de la piel, trabajando en colaboración con dermatólogos y un laboratorio
especializado. Los servicios incluyen atención profesional, variedad de medicamentos,
preparados personalizados, consultas gratuitas, atención eficiente y horarios extensos. A
partir de 2022, Ekonopharma también brinda sus servicios a través de redes sociales para
facilitar pedidos y consultas, en el año 2023 Ekonopharma optó por participar en licitaciones
con instituciones estales y privadas. La empresa pertenece al sector de retail y se compromete
a proteger la información de sus clientes, brindar promociones y emplear el SGSI con el
objetivo de mejorar la credibilidad ante los clientes, obtener contratos y disminuir riesgos.

Misión es: “Seguir normas de calidad internacionales para ofrecer un servicio rápido y
eficiente a nuestros clientes.”.

Visión es: “Ser la compañía líder en la industria farmacéutica en Ayacucho, ofreciendo los
servicios de salud de la más alta calidad y facilitar un rápido acceso a los productos que
precisen, primando los servicios profesionales y el máximo beneficio a sus medicamentos”.

B INFRAESTRUCTURA TECNÓLOGICA EXISTENTE

Tabla 14
Hardware de la empresa Ekonopharma
EQUIPOS Cantidad
Case – Procesador
Intel(R) Core (TM) i5-7400 CPU 3.00 GHz. 2
Monitores
LG 27GP950 3

49
 LG 32GP850 1
IMPRESORAS
HP LASEJET P1002W 2
TICKETERAS
BIXOLON SRP-270 2
CAMARAS DE SEGURIDAD
HIKVISION FULL HD 6
DISCO 2TB 2
Nota. La tabla representa la parte del hardware con la que cuenta la empresa Ekonopharma.

Tabla 15
Software de la empresa Ekonopharma
NOMBRE VERSION
MICROSOFT OFFICE 2019
MICROSOFT SQL SERVER 2008
TEAMVIEWER 12.0
SISTEMA DE VENTAS EKONOPHARMA 1.0
GOOGLE CHROME 60.0.3
ESET NOD 32 ANTIVIRUS 10.0
WINRAR 5.4
Nota. La tabla representa la parte del software con la que cuenta la empresa Ekonopharma.

4.2.6 REQUERIMIENTOS Y ANTICIPACIONES DE LAS PARTES

INTERESADAS
En Ekonopharma, se ha establecido una estructura jerárquica para garantizar la
correcta implementación de los procesos organizativos. Por tanto, es fundamental identificar
el nivel de influencia e interés de los diferentes involucrados en el diseño del SGSI en
Ekonopharma. Los datos importantes pueden ser vulnerables a manipulaciones por parte de
terceros no autorizados y existe una falta de seguridad en las operaciones.

Tabla 16
Lista de partes interesados del desarrollo SGSI
Interesados Categoría de interesados Nivel de interés
Gerente General Patrocinador Alto
Q.F Pool Rudy

50
 Coordinadores Trabajadores Medio
Técnicos en Farmacia Trabajadores Bajos
Clientes Clientes Alto
Lisset Miembro del proyecto Alto
Nota. la tabla representa la lista de partes interesadas del desarrollo SGSI en Ekonopharma.

En relación al cuadro de las partes interesadas, llega a exhibirse la tabla especificando la

toma de cada requerimiento relacionada a las partes interesadas

Tabla 17
Lista de partes interesados y requerimientos
Partes Interesadas Requerimientos
Personal Formación especializada, artículos de alta calidad y garantía en
los servicios ofrecidos. Salvaguarda de los datos personales.
Propietario del negocio Protección de la inversión y una rentabilidad satisfactoria
agencias/reguladores Las entidades gubernamentales exigen el acatamiento de las
gubernamentales leyes vigentes. Es necesario seguir las regulaciones
relacionadas con la privacidad de los datos y los delitos
informáticos.
clientes Cumplimiento de las directrices establecidas en el Acuerdo de
Seguridad de la información con el fin de asegurar la
confidencialidad de la información personal.
Recursos Humanos Cumplimiento de términos en el contrato del personal.
Comercial Evitar filtraciones o extravíos de datos personales de los
clientes
Nota. La tabla representa la lista de partes interesadas y requerimientos del desarrollo SGSI
en Ekonopharma.

A ASPECTOS TÉCNICOS
En la actualidad, la empresa Ekonopharma cuenta con dos computadoras equipadas
con un sistema antivirus que se actualiza automáticamente y están conectadas a Internet.

51
Tabla 18
Informe de necesidades y expectativa
Parte Interacción Requerimiento
Interesada contexto Proceso Necesidad Expectativa
Interno • Gestión de Contar con Recibir formación y
Todo el RRHH y información estímulos por
personal Logística disponible y cumplimiento de las
• Recepción y mantener la SI. políticas establecidas
Almacenamiento
de PF, DM y PS
Propietario del Externo Gestión Comercial Mantener la Obtener fidelización de
negocio empresa y subir sus clientes
ganancias
Agencias/ Externo Control de Calidad Seguir las Contar con
reguladoras regulaciones organizaciones que
Ministerio de establecidas en compartan la visión de
Justicia la normativa. la empresa.
Clientes en Interno • Dispensación • Calidad en Recibir atención
general y/o Expendio medicamentos. adecuada y resguardar
de PF, DM y PS su información.
• Elaboración de
Preparados
Magistrales
Recursos Interno Gestión de recursos Ejecución de las Individuo que tiene
Humanos humanos y condiciones conocimientos sobre la
Coordinadora de Logística acordadas en el protección de la
RR.HH. y contrato. información.
Logística
Comercial Interno • Gestión Comercial Prevenir fugas y Datos completos y
Coordinador • Retiro y destrucción pérdida de actualizados para la
de calidad de medicamentos información toma de decisiones.
vencidos o
deteriorados.
Nota. La tabla representa las demandas y perspectivas de las partes en Ekonopharma.

4.2.7 ALCANCE DEL SGSI

Ekonopharma determinó la amplitud del SGSI considerando sus objetivos
establecidos. Se acordó que el alcance del SGSI abarcará los procesos fundamentales de la

52
empresa, así como los procesos relacionados, siguiendo lo establecido por la normativa
correspondiente.

Los procesos Core son los siguientes:

a) Recepción y almacenamiento de productos farmacéuticos, dispositivos médicos y
productos sanitarios
b) Dispensación y/o Expendio de productos farmacéuticos, dispositivos médicos y
productos sanitarios
c) Elaboración de Preparados Magistrales.
d) Retiro y/o destrucción de medicamentos vencidos y deteriorado.

Procesos que se relacionan con los procesos Core de Ekonopharma

e) Control de calidad
f) Gestión de Recursos Humanos y Logística

Los procedimientos que no están contemplados en la cobertura son:

a) gestión Comercial
b) Gestión financiera

La organización debe establecer los alcances del Sistema de Gestión de Seguridad de la

Información (SGSI) para determinar qué datos desea proteger. La entidad comprende la
importancia de asegurar la seguridad de la información, independientemente de su
naturaleza, así como de cómo se maneja, procesa o transfiere, tanto interna como
externamente al sistema.

Figura 14
Alcance de la implementación de la seguridad de la información de Ekonopharma

53
Nota: Alcance de la Implementación del Sistema de Gestión de Seguridad de la Información
(SGSI) en Ekonopharma.

OBJETIVOS
a. Garantizar la confidencialidad de la información de los clientes en Ekonopharma.
b. Incrementar la disponibilidad y la calidad de los servicios brindados a los clientes.
c. Cumplir con la normativa vigente en materia de seguridad de la información en todas las
actividades y proyectos de la empresa.

4.2.8 POLÌTICAS DE SEGURIDAD DE LA INFORMACIÓN

Se definen normas concretas que se adapten a los objetivos de control de acceso
descritos en la Norma ISO 27001:2013 y que estén alineadas con la Política General de la
empresa. Estas normas especificarán la forma en que se debe gestionar la información y qué
medidas deben ser implementadas para cumplir con los objetivos de la política establecida.

A. POLÍTICAS DE SEGURIDAD PARA EKONOPHARMA S.A.C

Es esencial asegurar la protección de la información en EKONOPHARMA para garantizar
la correcta prestación de servicios y la toma de decisiones seguras, manteniendo la
confidencialidad, integridad y disponibilidad de los datos. Esto se logra a través del Sistema

54
de Gestión de Seguridad de la Información (SGSI), que guía a los empleados en la
importancia de la información y servicios, así como en la identificación y corrección de
posibles errores, fallos y vulnerabilidades.

a) OBJETIVO: La política de seguridad de Ekonopharma SAC tiene como meta mejorar

la calidad de la información y ofrecer apoyo continuo en la prevención de incidentes,
con el fin de lograr ciertos objetivos específicos.

b) ALCANCE: Esta política se aplica a todas las secciones más vulnerables de

Ekonopharma, abarcando sus recursos y los procesos Core de la organización.

c) COMITES: funciones y responsabilidades: Ekonopharma designa un Comité de

seguridad conformado por el Gerente, Coordinador de calidad, Coordinadora de
recursos humanos y logística, pudiendo ser ampliado con consultores según sea
necesario.

Funciones:
1. El equipo responsable de proteger la información trabaja en la creación de un plan
para asegurar la seguridad de la información, estableciendo los procedimientos
necesarios.
2. Cada miembro del Comité de Seguridad de la información debe designar a un
representante de su departamento para tomar decisiones.
3. El Comité debe planificar encuentros regulares en caso de que surjan nuevas
exigencias o cuestiones vinculadas con la protección de la información.
4. Después de cada encuentro, es necesario elaborar un documento que resuma lo
discutido y sea ratificado con la firma de los participantes.

Funciones inherentes al cargo:

1. Organizar y validar los protocolos de seguridad de la información.
2. Fomentar la formación en el ámbito de la seguridad de la información.
3. Solucionar discrepancias y problemas habituales en la gestión de la seguridad.
4. Presentar y examinar nuevas políticas, normas y estándares para mejorar del SI.
5. Crear los planes de modificación en SI en aplicaciones o sistemas.

55
d) Control de Acceso.
1. Todas las personas que trabajan en Ekonopharma, solo puedan acceder a la
información que necesaria para cumplir con sus responsabilidades laborales.
2. Aquellas personas ajenas a la organización que requieran acceso a información
específica, deben demostrar la necesidad justificada de dicho acceso.
3. Toda petición para acceder a los servicios e información de la empresa por parte de
empleados, socios o personas externas debe contar con la autorización del gerente.
4. El acceso a la información debe seguir las reglas y procedimientos establecidos.
5. El uso de los sistemas de información de la empresa debe limitarse al periodo en que
el individuo preste sus servicios a la organización.
6. Es necesario que todos los empleados accedan a los sistemas informáticos a través
de una identificación y contraseña exclusiva.
7. Ekonopharma necesita establecer un sistema de seguridad que incluya controles de
acceso y alarmas para proteger sus instalaciones.

e) Seguridad de recursos humanos.

1. Todos los empleados de Ekonopharma deben conocer y seguir la Política de
Seguridad de la Información de la empresa.
2. Antes de poder acceder a información importante de la empresa, los empleados de
Ekonopharma deben comprometerse a mantener la confidencialidad firmando un
acuerdo.
3. Es imprescindible establecer un plan de formación continua para todos los empleados
de la empresa, centrándose especialmente en el personal nuevo.
4. En caso de violar la política de seguridad de la información, se aplicarán medidas
disciplinarias correspondientes.
5. finalizar el contrato laboral de un empleado de Ekonopharma, se debe realizar la
devolución de documentos, manuales, equipos y derechos de acceso.

f) Gestión de activos.
1. Es necesario identificar, clasificar y actualizar los activos de la empresa
Ekonopharma según su valor, importancia, responsabilidad y ubicación, con el fin de
protegerlos adecuadamente ante posibles riesgos.

56
 2. La gestión de los activos, incluyendo la calidad y la seguridad, es responsabilidad de
la gerencia. Asimismo, les corresponde proporcionar los recursos necesarios para
alcanzar los objetivos establecidos.
3. Todos los activos utilizados en Ekonopharma deben ser asignados a un personal
específico designado por el comité de seguridad. Esto garantiza que se clasifiquen
correctamente y se restrinja el acceso de acuerdo con las políticas establecidas.

g) Protección de la integridad física.

1. Es necesario limitar el acceso a las zonas privadas de la empresa, y las personas que
quieran entrar deben inscribirse con antelación y justificar el motivo de su visita.
2. Todos los empleados de la empresa deben llevar consigo su tarjeta de identificación
de forma visible en todo momento.
3. Todos los dispositivos electrónicos como laptops, módems y celulares deben ser
registrados al entrar y salir de la empresa.
4. Las computadoras, servidores y equipos de comunicaciones no deben ser movidos
de su ubicación original a menos que se cuente con la aprobación correspondiente.
5. Es importante que las zonas vulnerables en la empresa tengan medidas de prevención
y alerta ante incendios, inundaciones y otros riesgos.
6. Las redes de cableado se ven como áreas peligrosas y deben tener medidas de
seguridad para regular el acceso.
7. Los colaboradores y terceros deben comprometerse a no utilizar la energía eléctrica
para conectar dispositivos electrónicos que no pertenecen a Ekonopharma.

h) Acceso a Internet.
1. El uso indebido de recursos se produce cuando el personal accede a páginas como
que no están relacionadas con las necesidades de Ekonopharma, lo que afecta la
productividad debido al tiempo empleado en estas actividades en Internet.
2. Es importante que cualquier acceso a Internet sea utilizado exclusivamente con
fines comerciales o laborales.

i) Medios extraíbles.
1. El personal de Ekonopharma solo puede utilizar los dispositivos de almacenamiento
de la empresa, los cuales no deben conectarse ni utilizar en computadoras ajenas a
la propiedad de la empresa.

57
 2. Es necesario guardar la información confidencial en dispositivos de
almacenamiento extraíbles, únicamente cuando sea necesario para cumplir con sus
responsabilidades laborales o para compartir información con otras entidades. La
información confidencial almacenada en estos dispositivos debe estar cifrada.

j) Administración de hardware y software.

1. Previo a realizar cualquier cambio en el hardware o software que pueda impactar
en los recursos informáticos, es necesario contar con el consentimiento de los
usuarios encargados de la información y del proceso.
2. El encargado de controlar los accesos tiene la facultad de revisar y decidir si acepta
o rechaza la solicitud correspondiente.
3. No está permitido que el personal del área realice el reemplazo de hardware o
software.
4. La administración del reemplazo de hardware o software debe realizarse siguiendo
los procedimientos establecidos por la empresa Ekonopharma.
5. Todo cambio en los recursos tecnológicos debe ser documentado de manera formal
desde su solicitud hasta su implementación, con el objetivo de facilitar el
seguimiento y asegurar el cumplimiento de los procedimientos de calidad.

k) Software utilizado.
1. En Ekonopharma, es imprescindible que los programas empleados cumplan con las
leyes actuales y se ajusten a los procedimientos y normativas internas de la empresa.
2. En Ekonopharma, es necesario proporcionar formación tecnológica al personal para
garantizar que tengan habilidades en el uso de las computadoras de la empresa.

l) Email
1. Es fundamental que los correos electrónicos sean claros y estén alineados con las
políticas de Ekonopharma, así como con las normas éticas y legales vigentes.
2. La cuenta de correo de Ekonopharma debe ser utilizada principalmente con
propósitos relacionados con las operaciones de la empresa.
3. Los empleados no deben esperar que sus comunicaciones por correo electrónico sean
privadas en ningún momento.

58
m) Establecimiento, uso y protección de claves de acceso.
1. Es recomendable modificar las contraseñas de forma regular.
2. Se establece que las contraseñas deben tener entre 6 y 14 caracteres de longitud.
3. Es importante evitar repetir contraseñas para garantizar la seguridad.

n) Relaciones con los proveedores.

1. La conexión entre los sistemas internos de una empresa y los de proveedores o
terceros debe ser aprobada y certificada por el gerente.

4.2.9 ROLES Y RESPONSABILIDADES

De acuerdo con las directrices de estándares internacionales o prácticas
recomendadas, se aconseja crear un departamento dedicado exclusivamente a la
independencia en el funcionamiento de la seguridad de la información.

En el contexto de esta pequeña empresa Ekonopharma, se designará a cada individuo una

función particular, siendo factible otorgar diversas tareas a una misma persona.

Figura 15
Organigrama funcional

Gerente General

Regente Qf /
Coordinador de
Calidad

Coordinador de Coordinadora de Coordinador de

Administración RRHH y Logistica Seguridad de
Información

Químico Analista de
Contador Seguridad de la
Farmacéutico
Información

Técnico de
Administrador Usuarios
Farmacia

Enfermero
Auxiliar

Nota. la figura representa el organigrama de Ekonopharma, agregadas los cargos que son
necesarios para el SGSI.

59
Ya que todos los empleados de una empresa tienen la responsabilidad de proteger la
información, es crucial definir y comunicar de manera clara las responsabilidades de cada
persona en el Sistema de Gestión de Seguridad de la Información (SGSI) para garantizar su
adecuada implementación y eficacia.

En la empresa Ekonopharma, que cuenta con un personal reducido, es posible que una única
persona asuma múltiples roles si es necesario.

4.2.10 FICHA DE PUESTOS PARA ROLES DE LA SI

La descripción del cargo en la oficina de tecnología de la información está establecida
en la "Ficha de Puesto", la cual especifica las tareas y obligaciones que deben ser
comunicadas por la Coordinadora de Recursos Humanos y almacenadas en el repositorio de
Ekonopharma. Antes de ser difundida tiene que ser aprobada por el Gerente.

Tabla 19
Ficha de puesto
Cargo Funciones
Alta dirección/ • Dar el visto bueno al plan y la estrategia.
Gerente General • Involucrarse de forma activa en el programa de seguridad de la
información.
• Cumplir con la política establecida.
• Contribuir en la creación de la política de seguridad de la información, los
objetivos, el alcance y la estrategia.
Coordinador de • Colaborar en la elaboración de la política de seguridad de la información,
Calidad/ Coordinador definiendo metas, alcance y táctica.
de la SI • Revisar y aprobar la documentación elaborada por el Departamento de
Seguridad de la Información.
• Comprometer a todas las áreas de la empresa en la seguridad de la
información.
• Detectar posibles riesgos que puedan perjudicar los sistemas de bases de
datos y redes.
• Evaluar los riesgos relacionados con las bases de datos de la compañía.
Analista de seguridad • Garantizar que el personal sea consciente de la importancia de
de la información/ salvaguardar la información.
Coordinadora de • Proporcionar los equipos tecnológicos necesarios al equipo de Seguridad
RRHH y Logística. de la Información.

60
 • Informar sobre posibles fallos de seguridad y sucesos de tecnología de la
información, participar en la identificación y análisis de riesgos.
• Implementar medidas de protección como contraseñas robustas, firewalls
y controles de acceso físico en zonas críticas.
• Establecer y mantener registros y métricas relacionadas con la seguridad
de la información.
• Desarrollar, actualizar y poner a prueba planes de emergencia para
garantizar la disponibilidad de datos y la continuidad de las operaciones.
Usuarios del negocio/ • Cumplir con las reglas y seguir los procedimientos de seguridad actuales,
Técnicos en como la recomendación de mantener el área de trabajo organizada y usar
Farmacia. contraseñas seguras.
Nota. La tabla representa la ficha de puestos necesarios en Ekonopharma.

4.2.11 PROCESO DE VERIFICACIÓN DE LA DOCUMENTACIÓN

INFORMATIVA
Durante la etapa de ejecución, es necesario contar con documentación respaldada, por lo que
se establece el "Procedimiento de Control de Información" descrito en el ANEXO F.

El propósito de la gestión de documentos es detallar las actividades necesarias para crear,

registrar, supervisar y conservar la documentación del Sistema de Gestión de Seguridad de
la Información, cumpliendo con las directrices de la normativa ISO/IEC 27001. Esta labor
incluye todos los documentos vinculados a la seguridad de la información en la empresa, y
la responsabilidad es compartida por todo el personal.

4.2.12 GESTIÓN Y TRATAMIENTO DE INCIDENTES

El manejo de problemas o debilidades comenzará por identificar las causas posibles.
Se abordarán las incidencias y vulnerabilidades de forma correctiva y preventiva. La
solución correctiva resolverá la situación originada por la incidencia, mientras que la
preventiva establecerá medidas para evitar su repetición o reducir la vulnerabilidad.

Tabla 20
Registro de Incidencia
Identificador de la incidencia:
Fecha de notificación:
Tipo de incidencia/vulnerabilidad:

61
 Información afectada:
Descripción detallada de la incidencia/vulnerabilidad:
Nota. La tabla representa la forma de registro de una incidencia en Ekonopharma.

El objetivo de este procedimiento es garantizar una correcta gestión de los incidentes

comunicados, que implica identificarlos, evaluarlos y tomar medidas correctivas. Este
proceso es aplicable a todos los empleados que participan en las actividades del Sistema de
Gestión de Seguridad de la Información.

Tabla 21
Niveles de criticidad
Parámetro Descripción Variables
Impacto La magnitud del • Bajo: No afecta la operación del proceso
impacto causado principal, solo a los empleados involucrados
por el incidente directamente, y repercute en un máximo de dos
puede variar colaboradores.
dependiendo de • Medio: Perturba temporalmente los procesos
los vinculados con el proceso principal y afecta a
procedimientos entre tres y cinco colaboradores.
y usuarios • Alto: Interrumpe tanto el proceso principal como
involucrados. los procedimientos relacionados, impactando a
más de cinco colaboradores.
Urgencia El tiempo límite • Nivel mínimo de intensidad: 12 horas.
de espera • Nivel intermedio de intensidad: 10 horas.
permitido para • Nivel máximo de intensidad: 4 horas.
resolver el
incidente.
Nota. La tabla representa el nivel de criticidad de los incidentes en Ekonopharma.

62
4.2.13 DOCUMENTACIÓN DEL PROCEDIMIENTO DE GESTIÓN DE
INCIDENCIAS
En el registro de eventos se registrarán todas las anomalías que puedan comprometer
la seguridad de los datos. También se informará al responsable de seguridad de cualquier
vulnerabilidad o debilidad en el sistema que pueda poner en riesgo la información

Objetivo
Ekonopharma incorpora un sistema de gestión y alerta de incidentes de seguridad, con el
objetivo de identificar a tiempo posibles vulnerabilidades en los sistemas de información y
prevenir problemas de seguridad.

Alcance
Este proceso se aplica a todos los empleados internos y externos de Ekonopharma que
necesiten acceder a los sistemas de información debido a sus responsabilidades laborales.

Responsabilidades
El encargado de seguridad tendrá la responsabilidad de garantizar que el procedimiento se
cumpla de manera efectiva.

4.2.14 PROCEDIMIENTO DE AUDITORÍA INTERNA

Se ha establecido un procedimiento para realizar la inspección interna, que
especifica las medidas de los criterios de la reglamentación ISO/IEC 27001. La autorización
del gerente general, también fue requerida para este informe. Se describe el conjunto de
tareas necesarias para una auditoría efectiva en el ANEXO H.

Objetivo, alcance y usuarios

Actividades para realizar las auditorías internas, con el propósito de comprobar si el Sistema
de Gestión de Seguridad de la Información cumple con los requisitos de la norma ISO 27001
y si está operando de manera efectiva.

DEFINICIONES
a) Auditor: Persona competente que realiza auditorías.
b) Auditor líder: que dirige un equipo de auditores.

63
 c) Auditoría interna: Proceso de evaluación interna estructurada e imparcial para
verificar el cumplimiento de estándares de auditoría.
d) Equipo auditor: Grupo de auditores reunidos según el alcance y objetivos de la
auditoría.
e) No conformidad: Falta de cumplimiento con los requisitos establecidos.
g) Hallazgo: Conclusión obtenida durante una auditoría en comparación con los
criterios previamente establecidos.

Tabla 22
Requisitos para la calificación de auditores
Auditor Interno Auditor Externo
Requisitos: Requisitos:
• Observación activa en una auditoría interna. • • Se requiere haber completado satisfactoriamente
• Aprobación de curso de auditoría interna. un curso de auditor interno y contar con al menos
una experiencia en auditoría en una compañía.

Nota. La tabla representa los requisitos que deben cumplir los auditores.

Tabla 23
Requisitos para la calificación de auditores
Auditor Líder Interno Auditor Líder Externo
Requisitos: Requisitos:
• Certificación como auditor interno completada. • Se ha completado satisfactoriamente
Experiencia previa incluye haber participado en una un curso de auditoría interna.
auditoría interna. • Se requiere un mínimo de 2 auditorías
• Debe tener al menos un año de antigüedad en la realizadas en empresas externas como
compañía. experiencia.

Nota. La tabla representa los requisitos que deben cumplir los auditores.

4.2.15 GESTIÓN DE RIESGOS

La gestión de riesgos ha establecido un conjunto de protocolos con el fin de controlar
los peligros relacionados con la seguridad de la información y disminuirlos a niveles
aceptables. Se ha utilizado el enfoque Magerit, el cual incluye etapas para identificar
activos, detectar amenazas, evaluar los riesgos, implementar medidas de seguridad y
analizar el riesgo residual.

64
Se realizará una lista de los recursos de información utilizados en los procedimientos del
Sistema de Gestión de Seguridad de la Información y se les asignará una clasificación de
acuerdo a su impacto en la confidencialidad, integridad y disponibilidad.

a. Inventario de Activos
Se realiza un listado de los recursos de información empleados en las operaciones
del Sistema de Gestión de Seguridad de la Información, los cuales se clasificarán
según su impacto en la confidencialidad, integridad y disponibilidad.
Tabla 24
Inventario de activos de Ekonopharma
ÁMBITO CATEGORÍA ID ACTIVO DESCRIPCIÓN PROCESO UBICACIÓN
Datos D] Datos [D- Base de Datos Datos personales Gestión Recursos Ubicación Física
001] del personal humanos
Datos D] Datos [D- Base de Datos Datos acerca de las Elaboración de Ubicación Física
004] de Fórmulas fórmulas Preparados
magistrales personalizadas de Magistrales
los medicamentos
preparados.

Datos D] Datos [D- Datos de Información de los Control de Calidad Ubicación Física
005] Inventariado inventarios
de PF, DM Y semanales de los
PS PF, DM Y PS
Datos D] Datos [D- Control de Información de los Gestión Recursos Ubicación Física
006] salarios contratos del humanos
personal como la
lista de salario
Datos D] Datos [D- Formatos de Información acerca Gestión Recursos Ubicación Física
007] entrevista de los postulantes humanos
que quieren trabajar
en la empresa
Datos D] Datos [D- Listas de Información de las Gestión Recursos Ubicación Física
008] asistencia asistencias, humanos
permisos, y
descuentos, para el
control de
seguimiento.

Datos D] Datos [D- Listas de Información acerca Retiro y destrucción de Ubicación Física
009] medicamentos de los medicamentos
vencidos y medicamentos vencidos o
deteriorados vencidos y deteriorados
deteriorados
Datos D] Datos [D- Control de Información de Gestión Recursos Ubicación Física
010] políticas todas las políticas humanos
internas de la
empresa
Datos D] Datos [D- Control de Información de los Gestión Recursos Ubicación Física
011] procesos procesos humanos y Logística

Servicios [S] Servicios [S- Correo Correo con dominio Gestión Recursos Servidor
001] Electrónico institucional humanos

Servicios [S] Servicios [S- Pago a Información de Gestión de logística Servidor

002] servicios de proveedores
terceros

65
 Servicios [S] Servicios [S- Internet Servicio contratado Todos los procesos -
003] al proveedor
MOVISTAR
Servicios [S] Servicios [S- Boletas de Información acerca Dispensación y/o Servidor Nube /
004] ventas y de las facturas de Expendio de PF, DM Ubicación Física
compras nuestros clientes y Y PS. /Recepción y
emitidas proveedores Almacenamiento de
PF, DM Y PS
Software [SW] Software [SW- Sistema de Antivirus ESET Gestión Logística Servidor Nube /
001] ventas NOD32 3 unidades Ubicación Física
Ekonopharma
Software [SW] Software [SW- Antivirus Antivirus ESET Gestión Logística Servidor Nube /
002] NOD32 3 unidades Ubicación Física

Software [SW] Software [SW- Licencias Microsoft Office, Gestión Logística Plataforma de
003] Office 365 Excel, 3 unidades Office 365

Hardware [HW] Hardware [HW- Monitores 2 unidades Gestión Logística Ubicación Física
001]
Hardware [HW] Hardware [HW- Computadoras 2 unidades Gestión Logística Ubicación Física
002]
Equipamie [AUX] [AUX- Impresora Impresora EPSON Gestión Logística Ubicación Física
nto auxiliar Equipamiento 001] L375 2 unidad
auxiliar
Equipamie [AUX] [AUX- Equipamiento Sistema de cámaras, Gestión Logística Ubicación Física
nto auxiliar Equipamiento 002] de cámaras vigilancia, UPS.
auxiliar
Equipamie [AUX] [AUX- Discos Dispositivo para Todos los procesos Ubicación Física
nto auxiliar Equipamiento 003] externos guardar información
auxiliar
Redes de [COM] Redes [COM Sistema de Comunicaciones de Todos los procesos Oficinas
comunicaci de -001] Red Ekonopharma Ekonopharma
ón comunicaciones (cableado, switches,
router, etc.)

Redes de [COM] Redes [COM Red Wifi para las boticas Todos los procesos Ubicación Física
comunicaci de -002] Inalámbrica
ón comunicaciones
Instalación [I] Instalaciones [I-001] Oficinas Oficinas de Todos los procesos Ubicación Física
Botica atención,
Ekonopharma Laboratorio
Personal [P] Personal [P- Regente QF, Oficinas de Retiro y destrucción de Ubicación Física
001] Técnicos en atención, medicamentos
Farmacia Laboratorio vencidos o
Coordinadora deteriorados /
QF Dispensación y/o
Expendio de PF, DM Y
PS/ Recepción y
Almacenamiento de
PF, DM Y PS /
Elaboración de
Preparados Magistrales
/Elaboración de
preparados
magistrales.

Nota. La tabla muestra los activos de Ekonopharma.

b. Valoración de activos.
En la revisión de los recursos, se emplea la metodología MAGERIT para detectar los
recursos, riesgos y debilidades. Se realizará una evaluación de los recursos en una escala de
calificación que va desde 0 hasta 3 (puntuación máxima).

66
El valor de los activos se determina mediante la evaluación del promedio del impacto de la
pérdida de Confidencialidad, Integridad y Disponibilidad, de acuerdo con una fórmula
detallada. Una vez que se han identificado todos los activos, se calcula su valor total al
promediar los impactos de la pérdida de estos elementos.

𝑉𝑎𝑙o𝑟 𝑑e𝑙 𝑎𝑐𝑡𝑖𝑣o = (𝐶o𝑛f𝑖de𝑛𝑐𝑖𝑎𝑙𝑖𝑑𝑎𝑑 + 𝐼𝑛𝑡e𝑔𝑟𝑖𝑑𝑎𝑑 + 𝐷𝑖𝑠𝑝o𝑛𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑) /3

Se examinarán los activos teniendo en cuenta los distintos aspectos de seguridad que propone
la metodología MAGERIT, como son la disponibilidad, la integridad de los datos y la
confidencialidad de la información.

[D] Disponibilidad
[I] Integridad de datos
[C]Confidencialidad de la información

Esta escala se emplea para evaluar la repercusión de la pérdida de cada una de las tres
categorías de valoración del activo.

Tabla 25
Valorización de criterios de seguridad
Rango Valor Confidencialidad Integridad Disponibilidad
7-10 Alto Solamente el jefe tiene El activo no puede Es necesario que el
autorización para ver la soportar pérdidas del activo no esté accesible
información del activo, ya que 5% de sus durante al menos una
su divulgación podría resultar componentes, ya que hora, ya tendría un
en consecuencias graves. esto afectaría a la impacto negativo.
empresa.
4-6 Medio La información del activo es La información del Se estima que la falta de
reservada y solo un selecto activo solo puede ser disponibilidad del
grupo de empleados tienen consultada por el activo durante un día
permiso para acceder a ella, su gerente, ya que su como máximo podría
divulgación podría afectar a la revelación podría tener tener un gran impacto
empresa. consecuencias en la empresa
negativas.
1-3 Bajo La información relacionada Líderes responsables, Se estima que el activo
con el activo es confidencial y ya que la revelación de no puede estar sin
solo está disponible para esta información disponibilidad por más
ciertas áreas específicas, lo que tendría un impacto de un día, ya que su
implica que no es de acceso negativo en la ausencia tendría un
público y su divulgación compañía. impacto significativo.
tendría un impacto limitado.
Nota. La tabla representa la valorización de criterios de seguridad en Ekonopharma.

67
Determinar la magnitud del impacto del activo se consigue al situar el valor del activo dentro
de uno de los rangos de la tabla de valores suministrada.

Tabla 20
Matriz de Impacto
ID RANGO VALOR CRITERIO ID
3 Alto 4a6 A Valor alto
2 Bajo 1a3 M Valor medio
1 Medio 4a6 B Valor bajo
Nota. La tabla representa el matriz de impacto en Ekonopharma.

Siguiendo los estándares de evaluación de impacto de activos, únicamente se consideran los

riesgos de los activos de información que tengan un nivel de impacto clasificado como
"ALTO" (Valoración de Activos).

4.2.16 INVENTARIO DE LOS ACTIVOS EKONOPHARMA

Se realizó una evaluación de los diversos sistemas de información y se clasificaron
según su nivel de disponibilidad, confidencialidad e integridad. Después de establecer la
metodología de riesgos, se llevó a cabo un recuento de los activos de información.
Inicialmente, la empresa no tenía esta lista, por lo que se realizó una encuesta a todo el
personal para identificar los activos y agregarlos a la lista.

Luego, se analizaron todos los activos, centrándose especialmente en los que tenían un gran
impacto, así como en dos activos con un impacto medio.

Tabla 26
Valoración de Activos de información
IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS CRITERIOS
EKONOPHARMA S.A.C
Ámbito Categoría ID Activo C I D Total Impacto
[D] Datos [D- Base de Datos del personal 7 7 7 7 A
001]
[D] Datos [D- Base de Datos de los 10 10 10 10 A
002] medicamentos y productos
sanitarios
[D] Datos [D- Datos de los clientes 7 8 8 8 A
003] concurrentes
Datos [D] Datos [D- Base de datos de fórmulas 9 9 9 9 A
004] magistrales

68
 [D] Datos [D- Datos de Inventariado de PF, 9 9 9 9 A
005] DM Y PS
[D] Datos [D- Control de salarios 5 8 8 7 A
006]
[D] Datos [D- Formatos de entrevista 3 4 3 3 B
007]
[D] Datos [D- Listas de asistencia 3 4 3 3 B
008]
[D] Datos [D- Listas de medicamentos 9 8 8 8 A
009] vencidos y deteriorados
[D] Datos [D- Control de políticas 3 8 9 7 A
010]
[D] Datos [D- Control de procedimiento 5 6 7 6 M
011]
Servicios [S] [S- Correo Electrónico 7 6 5 6 M
Servicios 001]
[S] [S- Pago a servicios de terceros 6 7 7 7 A
Servicios 002]
[S] [S- Internet 7 7 7 7 A
Servicios 003]
[S] [S- Boletas de ventas y compras 5 7 9 7 A
Servicios 004] emitidas
Software [SW] [SW Sistema de Ventas 7 9 9 8 A
Software - Ekonopharma
001]
[SW] [SW Antivirus 3 4 3 3 B
Software -
002]
[SW] [SW Licencias Office 365 3 4 3 3 B
Software -
003]
Hardware [HW] [HW Monitores 6 6 5 6 M
Hardware -
001]
[HW] [HW computadoras 6 7 7 7 A
Hardware -
002]
[AUX] [AU Impresora 6 8 8 7 A
Equipamie X-
nto 001]
auxiliar
Equipamiento [AUX] [AU Equipamiento de cámaras 8 9 8 8 A
auxiliar Equipamie X-
nto 002]
auxiliar
[AUX] [AU Discos externos 4 6 4 5 M
Equipamie X-
nto 003]
auxiliar
Redes de [COM] [CO Sistema de Red 5 5 3 4 M
Comunicación Redes de M-
comunicac 001]
iones
[COM] [CO Red Inalámbrica 4 5 4 4 A
Redes de M-
comunicac 002]
iones

69
 Instalación [I] [I- Oficinas Botica Ekonopharma 8 6 9 8 A
Instalacion 001]
es
Personal [I] [P- Gerente, Técnicos en 8 9 9 9 A
Personal 001] Farmacia, Regente QF,
Coordinadora QF
Nota: Esta tabla detalla los inventarios de activos de Ekonopharma.

Los activos presentes en la tabla son de gran importancia y están asociados al proceso
principal de la empresa. Solo cinco activos son de importancia intermedia, ya que no tienen
un gran impacto, pero igualmente están relacionados con los procesos principales. Por lo
tanto, estos activos serán tomados en cuenta en la evaluación de riesgos.

En cada fase del alcance, es necesario hacer una lista de los recursos de información
relacionados. Luego, se analizaron todos los recursos, eligiendo aquellos con impacto
significativo y también con impacto moderado, los cuales se identifican como Activos de
Información de Importancia.

Tabla 27
Valoración de Activos de información de alto impacto
ACTIVOS DE ALTO IMPACTO EKONOPHARMA SAC Criterios
ÁMBITO CATEGORÍA ID ACTIVO C I D Total Impacto
Datos [D] Datos [D-001] Base de Datos del personal 7 7 7 7 A
[D] Datos [D-002] Base de Datos de los 1 1 1 10 A
medicamentos y productos 0 0 0
sanitarios
[D] Datos [D-003] Datos de los clientes 7 8 8 8 A
concurrentes
[D] Datos [D-004] Base de datos de fórmulas 9 9 9 9 A
magistrales
[D] Datos [D-005] Datos de Inventariado de PF, 9 9 9 9 A
DM Y PS
[D] Datos [D-006] Control de salarios 5 8 8 7 A
[D] Datos [D-009] Listas de medicamentos 9 8 8 8 A
vencidos y deteriorados
[D] Datos [D-010] Control de políticas 3 8 9 7 A
[D] Datos [D-011] Control de procedimiento 5 6 7 6 M
Servicios [S] Servicios [S-001] Correo Electrónico 7 6 5 6 M
[S] Servicios [S-002] Pago a servicios de terceros 6 7 7 7 A
[S] Servicios [S-003] Internet 7 7 7 7 A
[S] Servicios [S-004] Boletas de ventas y compras 5 7 9 7 A
emitidas
Software [SW] Software [SW-001] Sistema de Ventas 7 9 9 8 A
Ekonopharma
Hardware [HW] Hardware [HW-001] Monitores 6 6 5 6 M
[HW] Hardware [HW-002] computadoras 6 7 7 7 A

70
 Equipamiento [AUX] [AUX- Impresora 6 8 8 7 A
auxiliar Equipamiento 001]
auxiliar
[AUX] [AUX- Equipamiento de cámaras 8 9 8 8 A
Equipamiento 002]
auxiliar
[AUX] [AUX- Discos externos 4 6 4 5 M
Equipamiento 003]
auxiliar
Redes de [COM] Redes de [COM- Sistema de Red 5 5 5 5 M
Comunicación comunicaciones 001]
[COM] Redes de [COM- Red Inalámbrica 4 5 4 4 M
comunicaciones 002]
Instalación [I] Instalaciones [I-001] Oficinas Botica 8 6 9 8 A
Ekonopharma
Personal [I] Personal [P-001] Gerente, Técnicos, Regente 8 9 9 9 A
QF, Coordinadora QF
Nota: Esta tabla detalla los inventarios de activos de alto impacto en Ekonopharma.

Se analiza el gráfico anterior para determinar la cantidad y disposición de los activos en

términos de confidencialidad, integridad y disponibilidad. Se identificarán los activos clave
para poder evaluar los riesgos de seguridad de la información y gestionarlos de forma
eficaz.
4.2.17 IDENTIFICACIÓN DE AMENAZAS
En este apartado se realizará una evaluación de los riesgos que podrían afectar los
bienes de la compañía Ekonopharma. Los obstáculos que pueden dificultar el
funcionamiento normal de una empresa pueden surgir de diversas fuentes. A continuación,
se presenta un cuadro que detalla las amenazas de acuerdo con la clasificación de riesgos de
MAGERIT.

Tabla 28
Posibles riesgos para los activos de información de gran importancia.
AMENAZAS DE LOS ACTIVOS DE ALTO IMPACTO EKONOPHARMA SAC
Tipo de activo activos Id Amenazas
Datos Base de Datos del R1 Alteración intensional de datos
personal R2 Acceso no autorizado
R3 Fuga de información
Base de Datos de los R4 Eliminación de datos
medicamentos y R2 Acceso no autorizado
productos sanitarios R3 Fuga de información
R6 Registros incompletos
R7 Alteración accidental de datos
R8 Introducción de datos errores
Datos de los clientes R9 Alteración de datos
concurrentes R2 Acceso no autorizado
R5 Eliminación accidental de datos
Base de datos de R4 Eliminación de datos
fórmulas magistrales R2 Acceso no autorizado

71
 R3 Fuga de información
R6 Registros incompletos
R1 Alteración intensional de datos
R7 Alteración accidental de datos
Datos de Inventariado de R5 Eliminación accidental de datos
PF, DM Y PS R2 Acceso no autorizado
R3 Fuga de información
R6 Registros incompletos
R1 Alteración intensional de datos
R7 Alteración accidental de datos
R8 Introducción de datos erróneos
Control de salarios R4 Eliminación de datos
R2 Acceso no autorizado
R3 Fuga de información
R6 Registros incompletos
R8 Introducción de datos errores
Lista de medicamentos R10 Error en el desarrollo de las listas
vencidos y deteriorados R4 Eliminación de datos
R7 Alteración accidental de datos
R3 Fuga de información
control de políticas R11 Equivocación al momento de crear documentos
R3 Fuga de información
R12 Manipulación de los datos de los documentos
R4 Eliminación de datos
control de procedimiento R9 Alteración de datos
R11 Equivocación al momento de crear documentos
R3 Fuga de información
R12 Manipulación de los datos de los documentos
R7 Alteración accidental de datos
R4 Eliminación de datos
Servicios Correo electrónico R13 Negación de haber recibió un mensaje
R14 Uso incorrecto
R15 Expansión de virus
Pago a servicios de R4 Eliminación de datos
terceros R3 Fugas de información
R12 Manipulación de los datos de los documentos
R9 Alteración de datos
Internet R11 Caída de los servicios de internet
R2 Acceso no autorizado
R16 Abuso de beneficios de acceso
Boletas de ventas y R3 Fugas de información
compras emitidas R12 Manipulación de los datos de los documentos
R4 Eliminación de datos
Hardware Monitores R17 posibilidad de que el fuego acabe
R18 Desgaste debido a su uso
R19 Avería del hardware
R20 Corte de suministro eléctrico
Computadoras R17 posibilidad de que el fuego dañe
R18 Desgaste debido a su uso
R19 Avería del hardware
R21 Uso ilícito
R22 Desconexión del equipo
R23 Errores en el mantenimiento actualización del
equipo
R24 Contaminación mecánica polvo
R20 Corte de suministro eléctrico
Impresoras R18 Desgaste debido a su uso

72
 Equipamiento R19 Avería del hardware
auxiliar R22 Desconexión del equipo
R23 Errores en el mantenimiento actualización del
equipo
R20 Corte de suministro eléctrico
R17 Posibilidad de ocurrir un incendio y dañar
Equipamiento de R17 Posibilidad de ocurrir un incendio y dañar
cámaras R24 Contaminación mecánica polvo
R23 Errores en el mantenimiento actualización del
equipo
R22 Desconexión del equipo
Discos externos R23 Errores en el mantenimiento actualización del
equipo
R24 Contaminación mecánica polvo
R25 Robo de Disco
R26 Destrucción deliberada del disco
R27 Degradación por consecuencia del tiempo

Redes de Sistema de red R28 Posibilidad de equivocaciones en la instalación

Comunicación R22 Desconexión del equipo
R17 Posibilidad de ocurrir un incendio y dañar
R29 Posibilidad de que las fugas de agua inunden y
dañen
Red inalámbrica R31 Interceptación de red
R32 Monitorización del trafico
R2 Acceso no autorizado
Software Sistema de ventas R2 Acceso no autorizado
Ekonopharma R3 Fuga de información
R8 Introducción de datos errores
Instalación Oficinas Botica R2 Acceso no autorizado
Ekonopharma R30 Posibilidad de ocurrir sismo o terremoto
R29 Posibilidad de que las fugas de agua inunden y
dañen
R17 Posibilidad de ocurrir un incendio y dañar
Personal Trabajadores R33 Indisponibilidad por ausencia o despido inmediato
R34 Extorsión por obligar a obrar en mal sentido
R35 Ingeniería social aprovechamiento de buena fe
Nota: Esta tabla detalla las amenazas a la que estarían expuestas los activos de alto impacto
en Ekonopharma.

4.2.18 EVALUACIÓN DE RIESGOS

Después de completar la revisión de los activos de información, se lleva a cabo la
valoración de riesgos, la cual consiste en determinar el efecto de las posibles amenazas y la
probabilidad de que estas ocurran, con el fin de calcular el nivel de riesgo al combinar ambos
factores. Asimismo, se identifica la zona de riesgos, que señala qué activos están en una
situación de riesgo elevado. Esta evaluación nos permite determinar qué acciones de control
deberíamos implementar y considerar para gestionar, prevenir, disminuir o transferir dicho
riesgo.

73
4.2.18.1 ESTIMACIÓN DEL RIESGO
Se emplearán escalas numéricas para medir el grado de riesgo, considerando tanto la
importancia del impacto como la probabilidad de que cada activo sea impactado por distintas
amenazas
.
El impacto se refiere al daño que sufriría el activo luego de que se materialice una amenaza.
En la tabla se detalla la estimación del impacto, la probabilidad y el riesgo asociado al activo
La estimación del riesgo se calcula: Riesgo = Probabilidad*Impacto.

Tabla 29
Estimación de probabilidad e impacto
ESCALAS
IMPACTO PROBABILIDAD
Valor Tasación Valor Tasación
5 MA: Muy alto 5 MA: Muy alto
4 A: Alto 4 A: Alto
3 M: Medio 3 M: Medio
2 B: Bajo 2 B: Bajo
1 MB: Muy bajo 1 MB: Muy bajo

Nota: Esta tabla detalla la estimación de probabilidad e impacto. Elaboración propia.

Tabla 30
Niveles del riesgo
Riesgo
Escala Tasación
15-25 MA: Muy alto
9-14 A: Alto
5-8 M: Medio
3-4 B: Bajo
1-2 MB: Despreciable

Nota: Esta tabla detalla las escalas del riesgo.

Tabla 31
Estimación de Riesgo
RIESGO Probabilidad
Riesgo = Probabilidad*Impacto Bajo Medio Alto
1 2 3 4 5

74
 Impacto 5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5

Nota. La tabla representa estimación de riesgo para Ekonopharma.

La tabla siguiente presenta la valoración del riesgo para cada peligro y recurso de
información de la compañía Ekonopharma. Es importante identificar rápidamente los activos
que sean calificados como críticos en la escala de riesgo.

LEYENDA:
Impacto [Im]: Se refiere a las posibles consecuencias negativas que podrían surgir de un
evento, y se relaciona con el daño potencial que podría resultar para la empresa.
Probabilidad [Prob]: Hace referencia a la posibilidad de que ocurra un evento.
Riesgo [R]: Se habla de la posibilidad de que un riesgo detectado se materialice y genere
perjuicios en una organización.

Tabla 32
Estimación del Riesgo
ESTIMACIÓN DEL RIESGO DE LOS ACTIVOS DE ALTO IMPACTO EKONOPHARMA SAC

Tipo de activo Activos Amenazas [Im] [P] [R]

Datos Base de Datos del Alteración intensional de datos 4 2 8

personal
Acceso no autorizado 3 2 6

Fuga de información 4 3 12

Base de Datos de los Eliminación de datos 5 5 25

medicamentos y
productos sanitarios Acceso no autorizado 4 3 12

Fuga de información 3 2 6

Registros incompletos 5 3 15

Alteración accidental de datos 4 2 8

Introducción de datos erróneos 4 3 12

Datos de los clientes Alteración de datos 2 1 2

concurrentes
Acceso no autorizado 2 1 2
Eliminación accidental de datos 3 3 9
Base de datos de Eliminación de datos 5 4 20
fórmulas magistrales Acceso no autorizado 5 3 15
Fuga de información 5 4 20

Registros incompletos 5 3 15

75
 Alteración intensional de datos 4 2 8
Alteración accidental de datos 4 2 8

Datos de Inventariado Eliminación accidental de datos 5 3 15

de PF, DM Y PS Acceso no autorizado 3 3 9
Fuga de información 3 2 6
Registros incompletos 5 3 15
Alteración intensional de datos 3 2 6
Alteración accidental de datos 3 2 6
Introducción de datos erróneos 5 3 15
Control de salarios Eliminación de datos 4 3 12
Acceso no autorizado 3 2 6
Fuga de información 3 2 6
Registros incompletos 3 3 9
Introducción de datos erróneos 3 3 9

Lista de medicamentos Error en el desarrollo de las listas 5 4 20

vencidos y deteriorados Eliminación de datos 5 4 20
Alteración accidental de datos 4 4 16

Fuga de información 4 4 16
control de políticas Equivocación al momento de crear documentos 3 3 9

Fuga de información 3 3 9

Manipulación de los datos de los documentos 3 3 9

Eliminación de datos 3 3 9
control de Alteración de datos 3 2 6
procedimiento
Equivocación al momento de crear documentos 3 2 6

Fuga de información 3 2 6
Manipulación de los datos de los documentos 3 1 3
Alteración accidental de datos 3 2 6
Eliminación de datos 3 2 6

Servicios Correo electrónico Negación de haber recibió un mensaje 4 3 12

Uso incorrecto 3 3 9
Expansión de virus 4 3 12

Pago a servicios de Eliminación de datos 4 3 12

terceros
Fugas de información 3 3 9

Manipulación de los datos de los documentos 3 2 6

Alteración de datos 3 3 9
Internet Caída de los servicios de internet 3 2 6

Acceso no autorizado 3 2 6
Abuso de beneficios de acceso 3 3 9

Boletas de ventas y Fugas de información 3 2 6

compras emitidas
Manipulación de los datos de los documentos 3 2 6
Eliminación de datos 3 2 6
Hardware Monitores posibilidad de que el fuego acabe 5 3 15
Desgaste debido a su uso 4 3 12
Avería del hardware 4 3 12
Corte de suministro eléctrico 4 3 12

76
 Computadoras posibilidad de que el fuego dañe 5 3 15

Desgaste debido a su uso 4 3 12

Avería del hardware 4 3 12

Uso ilícito 4 3 12
Desconexión del equipo 4 3 12
Errores en el mantenimiento actualización del equipo 4 3 12
Contaminación mecánica polvo 5 3 15
Corte de suministro eléctrico 4 3 12
Equipamiento Impresoras Desgaste debido a su uso 4 3 12
auxiliar
Avería del hardware 4 3 12
Desconexión del equipo 4 3 12
Errores en el mantenimiento actualización del equipo 4 3 12
Corte de suministro eléctrico 4 2 8
Posibilidad de ocurrir un incendio y dañar 5 3 15
Equipamiento de Posibilidad de ocurrir un incendio y dañar 5 3 15
cámaras
Contaminación mecánica polvo 5 3 15

Errores en el mantenimiento actualización del equipo 4 3 12

Desconexión del equipo 4 3 12
Discos externos Avería del hardware 4 3 12

Contaminación mecánica por polvo suciedad 4 3 12

Robo de Disco 4 3 12
Destrucción deliberada del disco 4 3 12
Degradación por consecuencia del tiempo 4 3 12
Redes de Sistema de red Posibilidad de equivocaciones en la instalación 4 3 12
Comunicación
Desconexión del equipo 4 3 12

Posibilidad de ocurrir un incendio y dañar 5 3 15

Posibilidad de que las fugas de agua inunden y dañen 4 3 12
Red inalámbrica Interceptación de red 4 3 12
Monitorización del trafico 4 3 12

Acceso no autorizado 4 3 12
Software Sistema de Ventas Acceso no autorizado 5 4 20
Ekonopharma
Fuga de información 4 3 12
Introducción de datos erróneos 5 3 15
Instalación Oficinas Botica Acceso no autorizado 5 4 20
Ekonopharma
Posibilidad de ocurrir sismo o terremoto 5 2 10
Posibilidad de que las fugas de agua inunden y dañen 5 4 20
Posibilidad de ocurrir un incendio y dañar 5 4 20

Personal Trabajadores Indisponibilidad por ausencia o despido inmediato 5 4 20

Extorsión por obligar a obrar en mal sentido 5 3 15

Ingeniería social aprovechamiento de buena fe 5 3 15

Nota. La tabla representa Estimación del Riesgo en Ekonopharma.

77
4.2.19 TRATAMIENTO DEL RIESGO
Después de evaluar los peligros, se tomará una decisión sobre qué acciones tomar o
qué medidas implementar para proteger los activos de los riesgos identificados. Para lograr
esto, se seguirán las estrategias detalladas en la siguiente tabla.

Tabla 33
Medidas frente al riesgos
FORMAS DE EXPLICACIÓN
MITIGAR
ASUMIR/ ACEPTAR Aceptar la posibilidad de que el riesgo pueda materializarse sin implementar
acciones concretas.
REDUCIR Disminuir la posibilidad de que ocurra un evento tomando precauciones
adecuadas.
ELIMINAR Eliminar la causa de la amenaza para reducir el riesgo, especialmente cuando la
actividad que la genera no es crucial para el negocio y puede ser eliminada sin
afectar negativamente a la entidad.
COMPARTIR/ Desplazar la responsabilidad del riesgo hacia entidades externas, como
TRANSFERIR compañías de seguros o proveedores de servicios, se emplea en situaciones
donde no es posible disminuir la posibilidad de que ocurra un riesgo, pero su
efecto es inevitable.
Nota. La tabla representa medidas frente al riesgo para Ekonopharma.

Se elegirán las medidas o acciones a implementar para detener los riesgos, se identificarán
los riesgos de alto nivel que requieran una intervención inmediata debido a ser los activos
con mayor nivel de riesgo. En la siguiente tabla se detallan las medidas que se llevarán a
cabo para reducir los riesgos seleccionados.

Tabla 34
Medidas frente al riesgos
MEDIDAS FRENTE AL RIESGO DE LOS ACTIVOS DE ALTO IMPACTO EKONOPHARMA SAC

Tipo de activo Activos Amenazas [Im] [P] [R] Formas de

mitigar
Datos Base de Datos del Alteración intensional de datos 4 2 8 Reducir
personal
Acceso no autorizado 3 2 6 Reducir

Fuga de información 4 3 12 Eliminar

Base de Datos de los Eliminación de datos 5 5 25 Eliminar

medicamentos y
productos sanitarios Acceso no autorizado 4 3 12 Eliminar

Fuga de información 3 2 6 Reducir

78
 Registros incompletos 5 3 15 Eliminar

Alteración accidental de datos 4 2 8 Reducir

Introducción de datos erróneos 4 3 12 Reducir

Datos de los clientes Alteración de datos 2 1 2 Reducir

concurrentes
Acceso no autorizado 2 1 2 Reducir

Eliminación accidental de datos 3 3 9 Eliminar

Base de datos de las Eliminación de datos 5 4 20 Eliminar

fórmulas magistrales
Acceso no autorizado 5 3 15 Eliminar

Fuga de información 5 4 20 Eliminar

Registros incompletos 5 3 15 Eliminar

Alteración intensional de datos 4 2 8 Reducir

Alteración accidental de datos 4 2 8 Reducir

Datos de Inventariado Eliminación accidental de datos 5 3 15 Eliminar

de PF, DM Y PS
Acceso no autorizado 3 3 9 Eliminar
Fuga de información 3 2 6 Eliminar
Registros incompletos 5 3 15 Reducir

Alteración intensional de datos 3 2 6 Reducir

Alteración accidental de datos 3 2 6 Reducir

Introducción de datos erróneos 5 3 15 Eliminar

Control de salarios Eliminación de datos 4 3 12 Eliminar

Acceso no autorizado 3 2 6 Reducir

Fuga de información 3 2 6 Reducir

Registros incompletos 3 3 9 Reducir

Introducción de datos erróneos 3 3 9 Eliminar

Lista de Error en el desarrollo de las listas 5 4 20 Eliminar

medicamentos
vencidos y Eliminación de datos 5 4 20 Eliminar
deteriorados
Alteración accidental de datos 4 4 16 Eliminar

Fuga de información 4 4 16 Eliminar

control de políticas Equivocación al momento de crear documentos 3 3 9 Eliminar

Fuga de información 3 3 9 Reducir

Manipulación de los datos de los documentos 3 3 9 Reducir

Eliminación de datos 3 3 9 Eliminar

control de Alteración de datos 3 2 6 Eliminar

procedimiento
Equivocación al momento de crear documentos 3 2 6 Reducir

Fuga de información 3 2 6 Reducir

Manipulación de los datos de los documentos 3 1 3 Eliminar

Alteración accidental de datos 3 2 6 Reducir

Eliminación de datos 3 2 6 Eliminar

Servicios Correo electrónico Negación de haber recibió un mensaje 4 3 12 Reducir

Uso incorrecto 3 3 9 Reducir

Expansión de virus 4 3 12 Reducir

Pago a servicios de Eliminación de datos 4 3 12 Eliminar

terceros
Fugas de información 3 3 9 Reducir

79
 Manipulación de los datos de los documentos 3 2 6 Eliminar

Alteración de datos 3 3 9 Reducir

Internet Caída de los servicios de internet 3 2 6 Transferir

Acceso no autorizado 3 2 6 Reducir

Abuso de beneficios de acceso 3 3 9 Reducir

Boletas de ventas y Fugas de información 3 2 6 Reducir

compras emitidas
Manipulación de los datos de los documentos 3 2 6 Reducir

Eliminación de datos 3 2 6 Reducir

Hardware Monitores posibilidad de que el fuego acabe 5 3 15 Reducir

Desgaste debido a su uso 4 3 12 Reducir

Avería del hardware 4 3 12 Transferir

Corte de suministro eléctrico 4 3 12 Transferir

Computadoras posibilidad de que el fuego dañe 5 3 15 Reducir

Desgaste debido a su uso 4 3 12 Reducir

Avería del hardware 4 3 12 Transferir

Uso ilícito 4 3 12 Reducir

Desconexión del equipo 4 3 12 Reducir

Errores en el mantenimiento actualización del equipo 4 3 12 Transferir

Contaminación mecánica polvo 5 3 15 Reducir

Corte de suministro eléctrico 4 3 12 Transferir

Equipamiento auxiliar Impresoras Desgaste debido a su uso 4 3 12 Reducir

Avería del hardware 4 3 12 Transferir

Desconexión del equipo 4 3 12 Reducir

Errores en el mantenimiento actualización del equipo 4 3 12 Transferir

Corte de suministro eléctrico 4 2 8 Reducir

Posibilidad de ocurrir un incendio y dañar 5 3 15 Reducir

Equipamiento de Posibilidad de ocurrir un incendio y dañar 5 3 15 Reducir

cámaras
Contaminación mecánica polvo 5 3 15 Reducir

Errores en el mantenimiento actualización del equipo 4 3 12 Transferir

Desconexión del equipo 4 3 12 Reducir

Discos externos Avería del hardware 4 3 12 Transferir

Contaminación mecánica por polvo suciedad 4 3 12 Reducir

Robo de Disco 4 3 12 Aceptar

Destrucción deliberada del disco 4 3 12 Aceptar

Degradación por consecuencia del tiempo 4 3 12 Aceptar

Redes de Sistema de red Posibilidad de equivocaciones en la instalación 4 3 12 Reducir

Comunicación
Desconexión del equipo 4 3 12 Reducir

Posibilidad de ocurrir un incendio y dañar 5 3 15 Reducir

Posibilidad de que las fugas de agua inunden y 4 3 12 Aceptar

dañen
Red inalámbrica Interceptación de red 4 3 12 Reducir

Monitorización del trafico 4 3 12 Reducir

Acceso no autorizado 4 3 12 Reducir

80
 Software Sistema de Ventas Acceso no autorizado 5 4 20 Eliminar
Ekonopharma
Fuga de información 4 3 12 Reducir

Introducción de datos erróneos 5 3 15 Reducir

Instalación Oficinas Botica Acceso no autorizado 5 4 20 Reducir

Ekonopharma
Posibilidad de ocurrir sismo o terremoto 5 2 10 Aceptar

Posibilidad de que las fugas de agua inunden y 5 4 20 Aceptar

dañen
Posibilidad de ocurrir un incendio y dañar 5 4 20 Reducir

Personal Trabajadores Indisponibilidad por ausencia o despido inmediato 5 4 20 Aceptar

Extorsión por obligar a obrar en mal sentido 5 3 15 Reducir

Ingeniería social aprovechamiento de buena fe 5 3 15 Reducir

Nota. La tabla representa Medidas frente al riesgo para Ekonopharma.

4.2.20 CONTROLES PARA ASEGURAR LA INFORMACIÓN

En este informe se describen las medidas de seguridad que se implementarán para
reducir los riesgos que afectan la seguridad de la información de la empresa Ekonopharma,
así como las vulnerabilidades y amenazas que pueden comprometer la integridad de los
activos de información. Cada riesgo ha sido vinculado a controles de seguridad que cumplen
con los requisitos de la norma ISO 27001, con el objetivo de evitar posibles incidentes. Se
ha llevado a cabo un análisis exhaustivo de los controles de seguridad de la información en
relación con las amenazas y activos de Ekonopharma, el cual se detalla en el Anexo I.

4.2.21 PLAN DE TRATAMIENTO DE RIESGOS

Una vez que se definen los estándares de riesgo aceptables, es fundamental crear el
"Plan de Tratamiento de Riesgos". En este plan se asigna responsabilidades para la
implementación de medidas de control, se establecen los plazos para su ejecución y se
desarrolla un plan de acción para garantizar su cumplimiento. Es esencial contar con la
aprobación de la alta dirección, ya que la implementación puede requerir mucho tiempo y
esfuerzo, especialmente si los controles son complejos, y sin su apoyo los recursos
necesarios podrían no estar disponibles. Es imprescindible tener en cuenta todos los aspectos
abordados anteriormente para identificar, clasificar, analizar y evaluar las posibles amenazas
a los activos, así como para determinar la probabilidad y el impacto de su ocurrencia. Estos
procesos deben estar respaldados por un plan de gestión de riesgos que dirija las acciones,
tareas, responsabilidades y recursos necesarios para mitigar los riesgos identificados. El Plan
de Tratamiento de Riesgos detallado se encuentra en el Anexo J.

81
4.2.22 DECLARACIÓN DE APLICABILIDAD
Se describen los objetivos de control alineados con los controles mencionados en el
Anexo 1 de la norma ISO/IEC 27002, con el fin de identificar los controles relevantes para
la empresa y justificar su elección. El propósito de este documento es establecer los controles
necesarios, definir sus metas y su implementación, así como evaluar los riesgos restantes y
la efectividad de los controles implementados. Todos los controles especificados en el Anexo
A de la norma ISO 27001 son considerados y se aplican en todo el Sistema de gestión de
seguridad de la información de EKONOPHARMA S.A.C. Los empleados que forman parte
del SGSI son los usuarios principales de este documento.

Tabla 35
Cuadro de declaración de aplicabilidad
A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN

A.5.1 DIRECCIÓN DE LA GERENCIA PARA LA SEGURIDAD DE LA INFORMACIÓN

Objetivo: Proporcionar guía y respaldo de la gerencia en relación con la protección de datos conforme a las normativas internas y legales
correspondientes.
ID Controles según la Aplicabilidad Razón para seleccionar/ no seleccionar.
norma ISO 27001 (SÍ/NO)
A.5.1.1 Políticas para La norma UNE-EN ISO/IEC 27001 exige la creación de protocolos de
seguridad de la SI seguridad como elemento esencial en la puesta en marcha del Sistema de
información Gestión de Seguridad de la Información (SGSI). Es crucial que estas
directrices sean difundidas y conocidas por todos los empleados de
Ekonopharma.
Revisión de políticas SI La norma UNE-EN ISO/IEC 27001 estipula que las políticas de seguridad
A.5.1.2 para seguridad de la de la información necesitan ser revisadas y aprobadas por la Alta
información Dirección para asegurar que se ajusten adecuadamente a las necesidades
de la empresa.
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
6.1 ORGANIZACIÓN INTERNA

Objetivo: Definir pautas de gestión para dar inicio y supervisar la ejecución y funcionamiento de las medidas de protección de datos en
la empresa.
A.6.1.1 Roles y La empresa debe implementar roles de seguridad de la información según
responsabilidades lo requiere la normativa UNE-EN ISO/IEC 27001 con el fin de evitar
sobre seguridad de la SI cambios no autorizados.
información

A.6.1.2 Separación de Es importante dividir las responsabilidades entre los diferentes roles de la
deberes si empresa para evitar las cargas por demasiadas labores.

A.6.1.3 Contacto con No se cree que la implementación de este nivel de control contribuya a
autoridades no disminuir la probabilidad de pérdida de los activos.

82
A.6.1.4 Contacto con grupos Es fundamental establecer relaciones con grupos específicos, entidades u
de interés especial si organizaciones que promuevan acciones relacionadas con la protección
de la información en línea.
A.6.1.5 Seguridad de la no Aún no realizan proyectos en la empresa
información en
gestión de proyectos
6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO
Objetivo: Velar por la protección en la realización de labores a distancia y la utilización de aparatos portátiles.

A.6.2.1 Política sobre SI Los dispositivos móviles pueden o no manejarse para guarda datos.
dispositivos móviles
A.6.2.2 Teletrabajo NO No se trabaja de forma remota.
A.7 SEGURIDAD RELATIVA A LOS RECURSOS HUMANOS
7.1 ANTES DEL EMPLEO
Objetivo: Garantizar que los empleados y colaboradores entiendan sus deberes y sean adecuados para las funciones que desempeñan.

Durante el proceso de selección y contratación, es fundamental examinar

A.7.1.1 Investigación de los registros criminales y policiales de los candidatos, especialmente si se
antecedentes SI trata de una posición de liderazgo.
Términos y Se documentan en los contratos
A.7.1.2 condiciones de SI
empleo
7.2 DURANTE EL EMPLEO
Objetivo: Asegurar que tanto los empleados como los contratistas estén al tanto de sus responsabilidades respecto a la protección de la
información y las cumplan de manera correcta.
A.7.2.1 Gestión de Es importante tener un registro y hacer saber las tareas que deben llevar a
A.7.2.1 responsabilidades SI cabo antes de entrenar al personal.
Toma de Según la evaluación de riesgos, una situación común que representa un
A.7.2.2 concienciación, peligro es la carencia de capacitación en seguridad.
educación y SI
capacitación en
seguridad de la
información
Es necesario implementar consecuencias para los trabajadores que no
A.7.2.3 Proceso disciplinario SI cumplan con las regulaciones de seguridad de la información establecidas
o que incurran en alguna vulneración de la seguridad.

7.3 FINALIZACIÓN DEL EMPLEO O CAMBIO EN EL PUESTO DE TRABAJO

Objetivo: Proteger los intereses de la empresa durante el proceso de cambio o terminación de un contrato de trabajo.
Terminación o Después de que el contrato de un empleado finalice, es importante que las
A.7.3.1 cambio de obligaciones y acciones de protección de la información continúen
condiciones del SI vigentes incluso luego de que haya finalizado o cambiado de trabajo.
empleo

A.8 GESTIÓN DE ACTIVOS

A.8.1 RESPONSABILIDAD DE LOS ACTIVOS
Objetivo: Reconocer los bienes de la organización y establecer las responsabilidades necesarias para su cuidado.

Es imprescindible elaborar un inventario de los recursos de información

A.8.1.1 Inventario de activos SI de la empresa para poder administrarlos y controlarlos de manera efectiva.
Propiedad de los SI La información del activo es reservada y solo un selecto grupo de
A.8.1.2 activos empleados tienen permiso para acceder a ella, su divulgación podría

83
 afectar a la empresa.

Uso aceptable de los Se establecerán directrices para el uso de los recursos.

A.8.1.3 activos SI
A.8.1.4 Devolución de Es fundamental implementar un procedimiento para la devolución de
activos SI activos, en el cual los trabajadores deben entregar todos los recursos de la
empresa que hayan estado a cargo de ellos al concluir su contrato laboral.
8.2 CLASIFICACIÓN DE LA INFORMACIÓN
Objetivo: Asegurarse de que la información reciba la protección necesaria en función de su relevancia para la empresa.

A.8.2.1 Clasificación de la Será importante reconocer la información más importante para

información SI implementar las medidas apropiadas.

Se requiere establecer y seguir un proceso adecuado para etiquetar la

Etiquetado de la información, asignando etiquetas específicas y manteniendo un registro
A.8.2.2 información SI centralizado que señale qué recursos de información están disponibles en
cada área.

Para determinar la clasificación y establecer las medidas de seguridad

A.8.2.3 Manejo de activos SI correspondientes.

8.3 MANIPULACIÓN DE LOS SOPORTES

Objetivo: Evitar que la información almacenada en dispositivos sea difundida, modificada, borrada o accedida sin autorización..
A.8.3.1 Gestión de medios Es indispensable implementar procedimientos para gestionar los
removibles SI dispositivos de almacenamiento que se pueden desconectar.

A.8.3.2 Eliminación de Es imprescindible crear procedimientos para gestionar los dispositivos de

medios SI almacenamiento portátiles, de acuerdo con la jerarquía de clasificación
establecida en la empresa.
A.8.3.3 Transferencia de NO No se podrían obtener documentos significativos fuera de las
medios físicos instalaciones.
A.9 CONTROL DE ACCESO
9.1 REQUISITOS DE LA EMPRESA PARA EL CONTROL DE ACCESO
Es necesario crear, registrar y actualizar constantemente una política de
A.9.1.1 Política de control de SI control de acceso que se ajuste a los requerimientos de la compañía y
acceso asegure la protección de los datos.
A.9.1.2 Acceso a redes y a La gestión del acceso a los servicios de red se basa en las necesidades
servicios de red SI individuales de cada usuario.
A.9.2 GESTIÓN DE ACCESO DE USUARIO
Objetivo: Asegurar que solo las personas autorizadas puedan acceder a sistemas y servicios para prevenir el ingreso de personas no
autorizadas.
A.9.2.1 Registración y baja El control se vuelve esencial debido a los cambios constantes de usuarios
de usuarios SI en los sistemas, que entran y salen de manera continua.
A.9.2.2 Concesión de acceso Los permisos son asignados o revocados de acuerdo a los requerimientos
de usuarios SI de acceso de los usuarios.
Gestión de derechos Los permisos se otorgan en el nivel del sistema operativo.
A.9.2.3 de acceso SI
privilegiado
Gestión de Dado lo que se encontró en el análisis de riesgos, sería aconsejable llevar
A.9.2.4 información secreta SI a cabo esta acción de control.
de autenticación de
usuarios

84
A.9.2.5 Revisión de los SI Se lleva a cabo a solicitud del encargado directo del usuario.
derechos de acceso
del usuario
A.9.2.6 Eliminación o ajuste Cuando se produce una disminución de empleados o cambios en sus
de derechos de SI responsabilidades, se procede a desactivar las cuentas o ajustar los
acceso permisos correspondientes.

9.3 RESPONSABILIDADES DEL USUARIO

Objetivo: Responsabilizar a los usuarios de proteger su información de acceso de forma segura.

A.9.3.1 Uso de información SI Los usuarios deben acatar las normas de la empresa respecto al
secreta de tratamiento de datos confidenciales para la autenticación.
autenticación
9.4 CONTROL DE ACCESO A SISTEMA Y APLICACIÓN
Objetivo: Prevenir el ingreso no autorizado a sistemas y programas.
A.9.4.1 Restricción al acceso No No es válido porque carecen de un departamento de desarrollo, por lo
a la información tanto, no disponen de sistemas ni aplicaciones.

A.9.4.2 Procedimiento de No No se aplica ya que no cuentan con un área de desarrollo, por lo tanto, no
registro en el cuentan con sistemas ni aplicaciones.
terminal
A.9.4.3 Sistema de gestión de No No aplica ya que no cuentan con un área de desarrollo, por lo tanto, no
claves cuentan con sistemas ni aplicaciones
A.9.4.4 Uso de programas de No No aplica ya que no cuentan con un área de desarrollo, por lo tanto, no
utilidad privilegiada cuentan con sistemas ni aplicaciones

Control de acceso al
A.9.4.5 código fuente del No No es necesario ya que no tienen una sección de crecimiento.
programa
A.10 CRIPTOGRAFÍA
10.1. CONTROLES CRIPTOGRÁFICOS
Objetivo: Asegurar que la criptografía se aplique de manera correcta y eficiente para proteger la confidencialidad, autenticidad y/o
integridad de la información.
A.10.1.1 Política del uso de No se utilizan técnicas criptográficas en Ekonopharma.
controles NO
criptográficos
A.10.1.2 Gestión clave NO Las claves criptográficas no se están manejando.
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO
11.1 ÁREAS SEGURAS
Finalidad: Impedir que individuos no autorizados puedan ingresar de forma física a la información y a las instalaciones de procesamiento
de datos de la entidad, y prevenir posibles perjuicios e interrupciones.
A.11.1.1 Perímetro de Es necesario implementar y seguir protocolos de seguridad en el
seguridad física SI perímetro de áreas que contengan información confidencial, como
centros de datos.
Controles físicos de Es fundamental garantizar que solamente las personas autorizadas
A.11.1.2 ingreso SI puedan acceder a las áreas seguras a través de sistemas de control de
acceso adecuados.
Seguridad de Es necesario planificar y llevar a cabo medidas para asegurar la
A.11.1.3 oficinas, SI protección física en oficinas, recintos e instalaciones.
habitaciones e
instalaciones

85
 Protección contra Este control tiene un efecto positivo en la disminución de los riesgos
A.11.1.4 amenazas externas y Si identificados.
ambientales
A.11.1.5 Trabajo en áreas NO No es necesario aun este control
seguras
A.11.1.6 Áreas de entrega y NO En la recepción se destina un área específica para llevar a cabo la carga y
carga descarga.
A.11.2 SEGURIDAD DE LOS EQUIPOS
Propósito: Evitar que los activos de la organización sufran pérdidas, daños, robos o compromisos, así como evitar la interrupción de sus
operaciones.
A.11.2.1 Emplazamiento y Es necesario situar los equipos en zonas seguras, resguardados de
protección de los SI posibles riesgos y amenazas externas.
equipos
A.11.2.2 Servicios de SI Es de vital importancia garantizar la seguridad de los dispositivos ante
suministro posibles fallos eléctricos y cortes de energía causados por problemas en
los servicios.
A.11.2.3 Seguridad en el SI La colocación de los cables se realiza de forma segura.
cableado
A.11.2.4 Mantenimiento de SI Es necesario mantener los equipos adecuadamente para garantizar que
equipo estén disponibles y en buen estado de funcionamiento de forma constante.

Retirada de No se revelará información confidencial de la organización en los

A.11.2.5 materiales propiedad NO materiales divulgados.
de la empresa
Seguridad de equipos Los equipos permanecen dentro de las instalaciones de la compañía.
A.11.2.6 y activos fuera de las NO
instalaciones
A.11.2.7 Disposición o Cuando se vuelven a utilizar, los equipos que han sido descartados son
reutilización de SI formateados e instalados de nuevo.
equipos

A.11.2.8 Equipo de usuario SI Sería recomendable tomar medidas para prevenir accesos no autorizados.
desatendido
Política de escritorio Para prevenir de esta manera fugas de información no deseadas.
A.11.2.9 limpio y pantalla SI
limpia
A.12 SEGURIDAD DE LAS OPERACIONES
A.12.1 PROCEDIMIENTOS Y RESPONSABILIDADES OPERACIONALES
Objetivo: Asegurar que los centros de procesamiento de datos operen de manera eficiente y segura.
Procedimientos Se cree que la inversión necesaria para instalar este sistema de control
A.12.1.1 documentados de NO sería mayor que los beneficios que generaría.
operación
A.12.1.2 Gestión de cambios Se cree que la inversión necesaria para instalar este sistema de control
NO sería mayor que los beneficios que generaría.

Se cree que la inversión necesaria para instalar este sistema de control

A.12.1.3 Gestión de capacidad NO sería mayor que los beneficios que generaría.
Separación de La entidad no desarrolla Software
A.12.1.4 ambientes de NO
desarrollo, prueba y
operacionales

86
A.12.2 PROTECCIÓN CONTRA EL SOFTWARE MALICIOSO (MALWARE)
Objetivo: Garantizar que los datos y sistemas de información estén seguros ante la amenaza de malware.

Controles contra Deberían establecerse medidas de seguridad para el uso de correo

A.12.2.1 software malicioso SI electrónico y la visita de sitios web con contenido sospechoso.

A.12.3 COPIAS DE SEGURIDAD DE LA INFORMACIÓN

Objetivo: Garantizar la seguridad de la información para evitar su pérdida.
A.12.3.1 Copia de seguridad SI Los equipos cuentan con software de protección contra virus.
de la información
A.12.4 REGISTRO DE EVENTOS
Objetivo: Documentar sucesos y crear pruebas.
A.12.4.1 Registro de eventos NO No se puede aplicar ya que los costos para implementar este control serían
A.12.4.2 Protección de la NO mayores que los beneficios que se podrían obtener.
información del
registro
A.12.4.3 Registros del NO
administrador y
operador
A.12.4.4 Sincronización de NO
relojes
A.12.5 CONTROL DEL SOFTWARE OPERACIONAL
Propósito: Garantizar la seguridad y fiabilidad de los sistemas operativos.
A.12.5.1 Instalación de NO No se puede aplicar ya que los costos para implementar este control serían
software en sistemas mayores que los beneficios que se podrían obtener.
operativos
A.12.6 GESTIÓN DE VULNERABILIDAD TÉCNICA
Propósito: Evitar la explotación de las debilidades técnicas.
A.12.6.1 Gestión de No se puede aplicar ya que los costos para implementar este control serían
vulnerabilidades mayores que los beneficios que se podrían obtener.
técnicas No
Restricciones sobre
A.12.6.2 instalación de No
software
A.12.7 CONSIDERACIONES PARA LA AUDITORIA DE LOS SISTEMAS DE INFORMACIÓN
Objetivo: Reducir el efecto de las actividades de auditoría en los sistemas operativos.
Controles de No se puede aplicar ya que los costos para implementar este control serían
A.12.7.1 auditoría sobre los NO mayores que los beneficios que se podrían obtener.
sistemas de
información
A.13.1 GESTIÓN DE LA SEGURIDAD DE LA RED

Objetivo: Asegurar la protección de la información en los sistemas informáticos y en las estructuras de almacenamiento y tratamiento de
datos.
A.13.1.1 Controles de red NO No se puede aplicar ya que los costos para implementar este control serían
mayores que los beneficios que se podrían obtener.
A.13.1.2 Seguridad de los NO
servicios de red
A.13.1.3 Segregación en redes NO
A.13.2 TRANSFERENCIA DE INFORMACIÓN
Objetivo: Garantizar la protección de los datos compartidos tanto dentro de una empresa como con otras entidades.

87
 Procedimientos y No se puede aplicar ya que los costos para implementar este control serían
A.13.2.1 políticas sobre NO mayores que los beneficios que se podrían obtener.
transferencia de
información
Acuerdos sobre Es necesario llegar a consensos para intercambiar información
A.13.2.2 transferencia de NO empresarial con los empleados internos y con socios externos.
información
A.13.2.3 Mensajes SI Es imprescindible definir procedimientos acerca de la manera en que se
electrónicos comparte la información.
Acuerdos de Estamos desarrollando medidas internas para asegurar la privacidad de la
A.13.2.4 confidencialidad o no SI información de nuestros clientes en nuestra organización.
divulgación
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
Propósito: Asegurar que la seguridad de la información sea una prioridad en cada fase de creación de sistemas de información, incluso en
aquellos que brindan servicios a través de Internet.
Análisis y
A.14.1.1 especificación de los NO
requerimientos de
seguridad de la
información
Seguridad de
En este momento, no se está contemplando incluir este control en el
A.14.1.2 servicios de NO
alcance del SGSI, ya que resultaría en mayores costos.
aplicación en redes
públicas
Protección de
A.14.1.3 transacciones de NO
servicios de
aplicaciones
A.14.2 Seguridad en los procesos de desarrollo y soporte
Propósito: Garantizar que la protección de la información se incorpore de manera planificada y ejecutada en todas las etapas del desarrollo
de los sistemas de información.

A.14.2.1 Política de desarrollo NO

seguro
Procedimientos para
A.14.2.2 control en cambio de NO
sistema
Revisión técnica de
A.14.2.3 las aplicaciones NO
La falta de implementación de esta medida se debe a que en la actualidad
después de cambios
no se toma en cuenta esta consideración, y también a la ausencia de
en la plataforma
sistemas de información en la empresa.
operativa
Restricciones sobre
A.14.2.4 los cambios en los NO
paquetes de software

A.14.2.5 Principios de NO
ingeniería para
sistema seguro

88
A.14.2.6 Ambiente de NO
desarrollo seguro
A.14.2.7 Desarrollo NO
externalizado
Prueba de seguridad No
A.14.2.8 del sistema
A.14.2.9 Prueba de aceptación NO
del sistema
14.3 DATOS DE PRUEBA
Objetivo: Garantizar la seguridad de la información utilizada en ensayos.
A.14.3.1 Protección de datos NO En la actualidad, este control no se está tomando en cuenta para la puesta
de prueba en marcha del Sistema de Gestión de Seguridad de la Información
(SGSI).
A.15 RELACIONES CON LOS PROVEEDORES
15.1 SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS PROVEEDORES
Objetivo: Garantizar la seguridad de los bienes de la empresa que estén al alcance de los proveedores.
Política de seguridad NO No se ve factible llevar a cabo esta medida de control ya que se cree que
A.15.1.1 de la información los gastos serían mayores que las ventajas que se obtendrían.
para relaciones con
proveedores
Tratamiento de la Es fundamental poner en marcha políticas con los proveedores para
A.15.1.2 seguridad en SI acordar el correcto uso de la información que se almacena.
contratos con
proveedores
Cadena de suministro SI Los acuerdos con los proveedores deben contener especificaciones que
A.15.1.3 de tecnología de impidan posibles peligros relacionados con la seguridad de la
información y información.
comunicación
15.2 GESTIÓN DE ENTREGA DE SERVICIOS DEL PROVEEDOR
Meta: Asegurar que se respete el nivel de seguridad de la información y la prestación del servicio conforme a los convenios establecidos
con los proveedores.
Monitoreo y revisión En este momento, no se está considerando incluir este control en el
A.15.2.1 de los servicios de NO ámbito del Sistema de Gestión de Seguridad de la Información.
proveedores
Gestión de cambios Actualmente no se está considerando incluir este control en el ámbito del
A.15.2.2 en los servicios de NO Sistema de Gestión de Seguridad de la Información.
proveedores
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
A. 16.1 Gestión de incidentes de seguridad de la información y mejoras
Propósito: Asegurar la implementación de un método coherente y efectivo para abordar incidentes de seguridad de la información y para
comunicar de forma adecuada eventos de seguridad y vulnerabilidades.
Responsabilidades y Es fundamental contar con la participación del equipo en la
A.16.1.1 procedimientos SI administración de contratiempos.
Reporte de eventos Es imprescindible documentar cada ocasión en la que se presente un
A.16.1.2 en la seguridad de la SI incidente de seguridad con el fin de establecer un historial de
información acontecimientos que será de utilidad para aprender de ellos en el futuro.
Asimismo, resulta crucial mantener al día los procedimientos en este
ámbito.

89
 Reporte de Es necesario comunicar los incidentes detectados con el fin de determinar
A.16.1.3 debilidades en la SI si constituyen un problema o no.
seguridad de la
información
Evaluación y Se requiere la creación de protocolos específicos basados en las
A.16.1.4 decisión sobre SI decisiones tomadas respecto a la seguridad de la información, con el
eventos de seguridad objetivo de tener un documento exhaustivo que señale las directrices a
de la información seguir en todo momento.
Respuesta ante Identificar de manera prioritaria a la persona adecuada que será
A.16.1.5 incidentes de SI responsable de recibir las alertas sobre situaciones de seguridad en la
seguridad de la información y colaborar de acuerdo con el encargado de contacto
información designado.
Aprendizaje a partir Es esencial supervisar y examinar minuciosamente la cantidad, el tamaño
A.16.1.6 de los incidentes en SI y los gastos de los incidentes de seguridad de la información con el fin de
la seguridad de la poder analizarlos de manera adecuada y aprender de ellos.
información
A.16.1.7 Recolección de SI La entidad necesita establecer y seguir procesos para detectar, recolectar,
evidencia obtener y conservar datos que puedan ser utilizados como prueba.

A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO

A.17.1 Continuidad de seguridad de la información
Meta: La incorporación de medidas de seguridad de la información en los procesos de gestión de la continuidad del negocio es
imprescindible en la empresa.
Planificación de la Es esencial identificar posibles vulnerabilidades en el funcionamiento
A.17.1.1 continuidad de la SI continuo de las operaciones.
seguridad de la
información
Implementación de la Es esencial asegurar que los servicios sigan funcionando de manera
continuidad de la ininterrumpida.
A.17.1.2 seguridad de la SI
información
Verificación, Es imprescindible comprobar si los planes son apropiados.
A.17.1.3 revisión y evaluación SI
de la continuidad de
la seguridad de la
información
17.2 Redundancias
Objetivo: Garantizar que las instalaciones de procesamiento de datos estén siempre disponibles.
Disponibilidad de Se estima que los gastos de implementar estas acciones serían mayores
A.17.2.1 instalaciones de NO que los beneficios obtenidos.
procesamiento de
información
A.18 CUMPLIMIENTO
A.18.1 CUMPLIMIENTO CON REQUISITOS LEGALES Y CONTRACTUALES
Propósito: Evitar el incumplimiento de las obligaciones legales, estatutarias, regulatorias o contractuales relacionadas con la seguridad de
la información y cualquier requisito de seguridad.

90
 Identificación de Es esencial identificar y documentar los mandatos legales, normas y
A.18.1.1 legislación y SI acuerdos contractuales relevantes, así como la estrategia empresarial para
requerimientos su cumplimiento, asegurándose de mantenerlos actualizados
contractuales constantemente.
aplicables
Es imprescindible llevar a cabo medidas concretas para garantizar el
A.18.1.2 Derechos de SI acatamiento de las leyes, acuerdos contractuales y derechos de propiedad
propiedad intelectual intelectual en relación con obras y programas de software protegidos.
A.18.1.3 Protección de SI Es imprescindible contar con un sistema de control documentado que
registros permita mantener un registro detallado de toda la información, evitando
posibles problemas como pérdida, manipulación o falsificación de datos.
Privacidad y Es necesario implementar un acuerdo de confidencialidad que resguarde
A.18.1.4 protección de SI la privacidad de los individuos y la integridad de la información de la
información compañía.
personalmente
identificable
Regulación de NO En la empresa no se utilizan métodos de encriptación para resguardar la
A.18.1.5 controles información.
criptográficos

18.2 REVISIONES DE SEGURIDAD DE LA INFORMACIÓN

Propósito: Asegurar que las políticas y procedimientos organizacionales para la seguridad de la información sean cumplidos y ejecutados
adecuadamente.

Revisión Es indispensable llevar a cabo una evaluación regular de la protección de

A.18.2.1 independiente de la SI los datos.
seguridad de la
información
Cumplimiento con Durante las revisiones se verificará si se han cumplido los
A.18.2.2 las políticas y SI procedimientos, políticas y normativas adecuadas.
estándares de
seguridad
A.18.2.3 Revisión de SI Se estima que los beneficios obtenidos no superarían el coste de
cumplimiento implementar estas medidas.
técnico

Nota. La tabla representa cuadro de declaración de aplicabilidad en Ekonopharma.

Elaboración propia.

4.2.23 Matriz de Comunicación Interna y Externa

En este texto se detallan las directrices para la comunicación interna y externa en
relación con el SGSI. Se especifica el contenido de la información a comunicar, los
momentos requeridos para hacerlo, los destinatarios pertinentes, la persona encargada de la
comunicación y los canales a utilizar. Estos aspectos se encuentran descritos de forma
detallada en la tabla del Anexo K.

91
4.2.24 Plan de Concientización y Capacitación
Es fundamental y necesario mantener al personal informado y concienciado, por lo
que se deben llevar a cabo diferentes actividades como charlas y campañas de seguridad
cibernética. Asimismo, se ha creado un documento llamado "Plan de sensibilización y
capacitación" para este propósito.

El propósito de este programa es instruir y sensibilizar al personal de Ekonopharma con el

fin de que adquieran las destrezas requeridas para fortalecer la seguridad de la información.
Para alcanzar este objetivo, se describen las tareas a realizar, los plazos a cumplir y los
recursos financieros necesarios. La responsabilidad empieza en la cúpula directiva y se
extiende a todos los colaboradores implicados en el núcleo del procedimiento y en los
procesos conexos.

Beneficios:
a) Mejora en la protección de la información con mayor eficacia.
b) Establecimiento de documentos, modelos y archivos específicos para implementar el
Sistema de Gestión de Seguridad de la Información.
c) Normas y directrices establecidas para asegurar la seguridad de la información y
aumentar su rendimiento en este aspecto.

Se realizará una charla en persona acerca de la relevancia de mantener la seguridad de los

datos.

Tabla 36
Plan de charla y capacitación de SI
CAPACITACIONES DE LA EMPRESA EKONOPHARMA S.A.C

1.- CHARLA DE CONCIENTIZACION EN SEGURIDAD DE LA INFORMACIÓN: Se realizarán

evaluaciones cortas sobre la seguridad de la información antes y después de la charla de concientización,
con el objetivo de medir el impacto que haya tenido en los empleados.
Tiempo: 1 hora

Audiencia: Todo el personal de Ekonopharma

Asistentes 7

92
TEMARIO:
• ¿Cómo se puede describir la seguridad de la información?
• ¿Cuál es la diferencia entre la seguridad de la información y la seguridad informática?
• Ejemplos específicos de riesgos para la información
• Factores fundamentales en la protección de la información
• Métodos para garantizar la seguridad de la información
• Maneras de crear conciencia sobre la relevancia de la seguridad de la información
• Reflexiones finales

CAPACITACIÓN SOBRE CÓMO MANTENER LA SEGURIDAD DE LA INFORMACIÓN.

Se realizarán talleres presenciales que abordarán distintos temas relacionados con la protección de la
información, como se especifica a continuación:
Tiempo 5 horas
Asistentes 3 personas
Audiencia Responsables de cada proceso.
TEMARIO:
• ¿Qué implica el Sistema de Gestión de Seguridad de la Información?
• Ventajas del SGSI
• Proceso de supervisión de la información registrada
• Manejo de riesgos
• Medidas de seguridad de datos
• Manejo de situaciones imprevistas
• Revisión interna
• Resultados finales y sugerencias
CAMPAÑA SOBRE LA IMPORTANCIA DE PROTEGER LA INFORMACIÓN
El propósito es fomentar en el personal de Ekonopharma una conciencia de seguridad de la
información a través de diferentes iniciativas, como la introducción de salvapantallas, boletines
electrónicos, folletos, trípticos, posters y afiches que aborden esta temática. Estas acciones buscan
que los empleados comprendan la relevancia de proteger la información de la empresa.
Tiempo 1 hora
Audiencia Todo el personal
Asistentes 7 personas

93
 TEMARIO:
La campaña durará una semana de manera continua y después se llevará a cabo cada dos meses de
forma regular. El desarrollo de la campaña se dividirá en tres fases.
Diseño de la campaña
En esta fase se llevarán a cabo la fabricación y organización de los recursos requeridos para
ejecutar la campaña de concienciación acerca de la protección de los datos. Se realizarán las
actividades previstas para este intervalo de tiempo:
• Desarrollo de un logo y lema para impulsar la seguridad de datos.
• Elaboración de tres diseños de salvapantallas relacionados con la protección de información.
• Diseño de tres carteles que promuevan la importancia de mantener segura la información.
• Creación de trípticos y folletos dirigidos al personal para concientizar sobre la seguridad de la
información.

Promoción de la campaña
Promoveremos la campaña de concienciación sobre seguridad de la información enviando carteles
y/o afiches por correo electrónico:
• Se llevará a cabo la difusión del logo y lema de seguridad de la información.
• Se implementará la instalación de salvapantallas en todos los equipos de trabajo de los empleados
de Ekonopharma.
• Se pondrán carteles de seguridad de la información en las instalaciones de la oficina de
Ekonopharma y se distribuirán trípticos o folletos físicos al personal externo.

Nota. La tabla muestra el plan de charlas y capacitación sobre seguridad de la información

en Ekonopharma.

Tabla 37
Presupuesto para charla y capacitación por día
Recursos Empresa Descripción Cantidad Monto total s/.
Local principal de sándwich (1) 10 personas s/ 100.00
break Ekonopharma bebida (1)
impresión: 10 folletos
Impresiones y calidad: full color
folletos gráfica tamaño: a4 10 hojas s/ 2.00
costo total s/ 102.00

Fuente: La tabla representa el presupuesto de charla y capacitación por día.

94
 CAPÍTULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
Según los resultados obtenidos en el estudio realizado, se concluye que
EKONOPHARMA enfrenta dificultades en la organización y almacenamiento de la
información, debido a la falta de procedimientos implementados actualmente. La falta de un
sistema adecuado dificulta la realización de las tareas de la empresa, lo que conlleva a una
gestión administrativa ineficiente con problemas como la pérdida de datos, duplicación de
información, falta de centralización y descontento del personal. Por lo tanto, es esencial
asegurar la implementación adecuada de un Sistema de Gestión de Seguridad de la
Información (SGSI), ya que la falta de manejo correcto de la información puede resultar en
consecuencias negativas y daños económicos para la organización.

Es crucial fijar objetivos y políticas claras, reducir riesgos y contar con la implicación activa
de los directivos. La mejora continua y el monitoreo constante del sistema son clave para
evaluar su desempeño y realizar ajustes necesarios. La implementación de un SGSI en
EKONOPHARMA SAC es crucial para garantizar la seguridad de los activos y cumplir con
los objetivos del negocio, mediante controles efectivos y acciones concretas.

Es fundamental no solo tener medidas de seguridad en lugar, sino también establecer

políticas y procedimientos que refuercen la seguridad en el ámbito informático y garanticen
una defensa eficaz.

Se puede ajustar los procedimientos y políticas a distintas empresas, adaptándolos a sus

necesidades específicas con el fin de disminuir el riesgo que enfrentan sus activos
identificados y alcanzar un menor nivel residual de riesgo.

No basta con tener medidas de seguridad implementadas, es necesario contar con políticas y
procedimientos que fortalezcan la seguridad informática y brinden una defensa efectiva.

95
5.2 RECOMENDACIONES
Se aconseja seguir con el plan de trabajo para finalizar la instalación de los controles
pendientes. Para lograrlo, es fundamental que la dirección superior garantice la
disponibilidad de los recursos requeridos para alcanzar este objetivo clave.

Se aconseja a los altos cargos de la empresa EKONOPHARMA SAC que cada área realice
un análisis de los posibles riesgos asociados a sus activos en funcionamiento, los cuales
deben ser monitoreados mediante una matriz de riesgos corporativa.

Se sugiere que, cada dos años, la alta dirección implemente programas de concienciación en
todos los sectores de la empresa, con el fin de reforzar la relevancia de la seguridad de la
información y su impacto en la protección de los datos. Es esencial que todos los empleados
comprendan las posibles consecuencias de no cumplir con las normas de seguridad vigentes.

Es esencial para las empresas de tamaño pequeño y mediano tener en cuenta la importancia
de emplear software legítimo, instalar un antivirus de calidad, actualizar programas con
regularidad y detectar posibles riesgos de seguridad al abordar por primera vez la protección
de la información.

Es fundamental instruir a los trabajadores sobre los conceptos de la seguridad cibernética,

fomentar la creación de contraseñas robustas, restringir la navegación en internet durante el
horario laboral, implementar reglas para el uso seguro de teléfonos móviles y realizar
respaldos periódicos de la información corporativa como medidas de protección.

Es aconsejable continuar empleando la técnica de gestión de riesgos, ya que ayudará a

detectar de forma eficiente los riesgos relacionados con la empresa y tomar medidas
adecuadas para mitigarlos.

Se recomienda que investigaciones futuras investiguen y pongan a prueba nuevas

herramientas tecnológicas para situaciones específicas, ya que la información sobre el uso
de tecnologías para reducir riesgos es escasa a nivel nacional.

96
BIBLIOGRAFÍA

Abad M. (2015). Cómo gestionar la seguridad de la información (según ISO 27001: 2013
en una PYME del sector de las tecnologías de la información y la comunicación.
Tesis de pregrado, Universidad de VALLADOLID,, Valladolid, España.

AENOR. (2014). Structure of the ISO/IEC 27001:2013 Standard.

Amutio, M., Candau, J., & Mañas, J. (2012). MAGERIT – versión 3.0.Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información (Vol. III). (J. González,
Ed.). Madrid, Madrid, España: Ministerio de Hacienda y Administraciones Públicas.
Obtenido de https://bit.ly/3Mw4PiT

Buendía, R. (2013). Seguridad de la Información.

Calder A. (2013). Información de seguridad y ISO 27001. Libro Verde de Gobierno de TI.

Camero y Carbajal. (2020). Mypes en peru.

Carpentier. (2016). Amenazas de la informacion.

Carrasco, S. (2019). Metodología de la investigación científica. Pautas metodológicas para

diseñar y elaborar el proyecto de investigación (Vol. 19ava ed). Lima: Editorial San
Marcos.

M. y. (2019). Propuesta de un modelo de sistema de gestion de la seguridad de la

informacion en una pyme basado en la norma ISO/IEC 27001. Peru.

Chopra A. y Chaudhary M. . (2020). Implementing an Information Security Management

System.

COMPENDIO. (2006). Sistema de gestión de la seguridad de la información (SGSI).

CONTEC. Obtenido de www.Icontec.org.com

Eset . (2023). Security Report.

Francisco Nicolás Solarte. (s.f.). Revista Tecnologica ESPOL.

Hernández, Fernández y Baptista. (2014). Metodologia de investigación.

Iso Tools Excellence chile. (2016). Obtenido de https://isotools.org/isotools/normas/sistema-

de-gestion-de-riesgos-y-seguridad/iso-27001/

Jeimy J. y Cano Gonzales. (2020). Seguridad de la informacion y ciberseguridad

empresarial. doi:10.29236/sistemas.n155a1.

97
Ministerio de Hacienda y Administraciones Públicas, o. 2.-N.-1.-1.-8. (2012). MAGERIT-
V3.0 Metodología para el Análisis y Gestión de Riesgos en Sistemas de Información.
Obtenido de Tomado de MAGERIT-V3.0 Metodología para el Análisis y
Gehttps://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-
metodo/file.html

Miranda K. (2013). Guía Metodológica para implementar un Sistema de Gestión de

Seguridad en Instituciones . (Tesis de Maestría), Universidad de Piura, Piura, Perú.

Revista Global de Seguridad de la Información. (2022). Encuesta Global de Seguridad de la

Informacion. Encuesta Global de Seguridad de la Informacion.

Roa Buendia y Tori. (2013). Ciberseguridad.

Rodríguez Baca, L., Cruzado Puente de la Vega, C., Mejía Corredor, C., & Alarcón Díaz,
M. (2020). Aplicación de ISO 27001 y su influencia en la seguridad de la
información de una empresa privada peruana. Propósitos y Representaciones, 8(3),
e786.

Sunat. (2020). Encuestas generales del Perú.

Vivian Andrea Garcia Balaguera y Jhon Jarby Ortiza Gonzales. (2017). Análisis de riesgos
según la norma iso 27001:2013 para las aulas virtuales de la universidad santo
tomas. Bogotá.

98
 ANEXOS
ANEXO A - CRONOGRAMA DE ACTIVIDADES
Se elabora un plan de trabajo aproximado teniendo en cuenta las tareas y metas que se deben
cumplir en cada una de las etapas de ejecución.

Tabla 38
Cronograma de Actividades para EKONOPHARMA. S.A.C
PROYECTO IMPLEMENTACIÓN DE 180 días Fecha de Fecha de
LA ISO/IEC 27001-Ekonopharma inicio finalización
FASE 1 – PLANEAR 54 días 16/03/2024 15/05/2024
3 Realizar el análisis de brecha inicial 8 días 16/03/2024 20/03/2024
4 Realizar cuestionario de análisis de 3 días 16/03/2024 18/03/2024
brecha
5 Responder cuestionario de análisis de 2 días 19/03/2024 20/03/2024
brecha
6 Informe de análisis de brecha inicial 0 días
7 Compromiso con la alta dirección 5 días 22/03/2024 26/03/2024
8 Realizar una propuesta del proyecto 3 días 22/03/2024 24/03/2024
9 Realizar acta de compromiso de la alta 1 día 25/03/2024 25/03/2024
dirección
10 Revisión de la alta dirección 1 día 26/03/2024 26/03/2024
11 Acta de compromiso de la alta 0 días
dirección
13 Comprender el contexto de la 2 días 30/03/2024 31/03/2024
organización
14 Análisis del contexto de la 2 día 30/03/2024 31/03/2024
organización
16 Informe del contexto de la 0 días
organización
17 Comprender necesidades y 2 días 03/04/2024 04/04/2024
expectativas
18 Reunión para evaluar las necesidades y 1 día 03/04/2024 03/04/2024
expectativas
19 Análisis de necesidades y expectativas 1 día 04/04/2024 04/04/2024
20 Informe de necesidades y expectativas 0 días
de las partes interesadas
21 Determinar el alcance del SGSI 2 días 06/04/2024 07/04/2024
22 Evaluar el alcance del SGSI 1 día 06/04/2024 06/04/2024

99
23 Revisión de la Alta Dirección 1 día 07/04/2024 07/04/2024
24 Declaración del alcance del SGSI 0 días
25 Determinar política de seguridad de 3 días 09/04/2024 11/04/2024
la información
26 Desarrollo de la política de seguridad 2 días 09/04/2024 10/04/2024
de la información
27 Revisión de la Alta Dirección 1 día 11/04/2024 11/04/2024
28 Política de seguridad de la información 0 días
29 Actualizar manual de organización y 3 días 13/04/2024 15/04/2024
funciones (ficha de puesto)
30 Identificar roles y responsabilidades 2 días 13/04/2024 14/04/2024
para la seguridad de la información
31 Elaborar ficha de puesto para roles de 1 día 15/04/2024 15/04/2024
la seguridad de la información
32 Ficha de puesto para los roles de 0 días
seguridad de la información
33 Establecer procedimiento de control 3 días 16/04/2024 18/04/2024
de documentación
34 Desarrollo de procedimiento de control 3 días 16/04/2024 19/04/2024
de documentación
35 Procedimiento de control de 0 días
documentación
36 Establecer procedimiento de 6 días 21/04/2024 26/04/2024
evaluación y tratamiento de riesgos
37 Desarrollo de procedimiento de 2 días 21/04/2024 22/04/2024
evaluación y tratamiento de riesgos
38 Procedimiento de evaluación y 0 días
tratamiento de riesgos
39 Establecer procedimiento de gestión de 2 días 23/04/2024 24/04/2024
incidentes
40 Desarrollo de procedimiento de 2 días 25/04/2024 26/04/2024
gestión de incidentes
41 Procedimiento de gestión de incidentes 0 días
42 Establecer procedimiento de 2 días 27/04/2024 28/04/2024
auditoría interna
43 Desarrollo del procedimiento de 2 días 27/04/2024 28/04/2024
auditoría interna
44 Procedimiento de auditoría interna 0 días
45 Gestión de Riesgos 14 días 29/04/2024 12/05/2024

100
46 Realizar metodología de evaluación de 2 días 29/04/2024 30/04/2024
riesgos
47 Metodología de evaluación de riesgos 0 días
48 Realizar el inventario de activos de 6 días 01/05/2024 05/05/2024
información
49 Inventario de activos de información 0 días
50 Determinar amenazas y 6 días 06/05/2024 12/05/2024
vulnerabilidades de los activos de
información
51 Evaluación de riesgos 0 días
52 Elaborar plan de tratamiento de 6 días 15/05/2024 20/05/2024
Riesgos
53 Realizar plan de tratamiento de riesgos 5 días 15/05/2024 19/05/2024
54 Realizar informe de gestión de riesgos 1 día 19/05/2024 19/05/2024
55 Plan de tratamiento de riesgos 0 días
56 Informe de la gestión de riesgos 0 días
57 Elaborar declaración de 6 días 21/05/2024 26/05/2024
aplicabilidad de controles
58 Elaborar declaración de aplicabilidad 6 días 21/05/2024 26/05/2024
de controles
59 Declaración de aplicabilidad de 0 días
controles
60 Elaborar matriz de comunicación 2 días 01/06/2024 02/06/2024
interna y externa
61 Realizar matriz de comunicación 2 días 01/06/2024 02/06/2024
interna
62 Matriz de comunicación interna 0 días
63 Elaborar plan de capacitación y 4 días 04/06/2024 07/06/2024
concientización
64 Realizar plan de capacitación y 4 días 04/06/2024 07/06/2024
concientización
65 Plan de capacitación y concientización 0 días
FASE 2 – HACER 82 días 12/06/2024 14/08/2024
67 Implementar plan de capacitación y 11 días 12/06/2024 13/06/2024
concientización
68 Ejecución del plan de capacitación y 10 días 02/05/2024 12/05/2024
concientización
69 Realizar informe de ejecución del plan 1 día 14/05/2024 14/05/2024

101
70 Informe de plan de capacitación y 0 días
concientización
71 Implementar plan de tratamiento de 84 días 14/05/2024 04/08/2024
riesgos
72 Ejecución del plan de tratamiento de 82 días 14/05/2024 02/08/2024
riesgos
73 Grupo uno de controles 12 días 14/05/2024 26/05/2024
74 Grupo dos de controles 50 días 06/06/2024 02/08/2024
75 Realizar informe de ejecución de plan 2 días 03/08/2024 04/08/2024
de tratamiento de riesgos
76 Informe de plan de tratamiento de 0 días
riesgos
77 FASE 3 – VERIFICAR 13 días 06/08/2024 19/08/2024
78 Auditoría externa 13 días 06/08/2024 18/08/2024
79 Preparar auditoría externa 4 días 06/08/2024 09/08/2024
80 Ejecutar auditoría externa 7 días 10/08/2024 17/08/2024
81 Informe de resultados de la auditoría 0 días
externa
82 Revisión por la Alta Dirección 2 día 18/08/2024 19/08/2024
83 Acta de revisión por la Alta Dirección 0 días
FASE 4 – ACTUAR 33 días 20/08/2024 25/09/2024
85 Elaborar plan de acciones 14 días 20/08/2024 04/08/2024
correctivas y mejoras
86 Identificar las acciones por cada 4 días 20/08/2024 23/08/2024
observación
87 Realizar el plan de acciones correctivas 10 días 24/08/2024 04/09/2024
y mejoras
88 Plan de acciones correctivas y mejoras 0 días
89 Implementar plan de acciones 16 días 05/09/2024 21/09/2024
correctivas y mejoras
90 Aplicar el plan de acciones correctivas, 16 días 05/09/2024 21/09/2024
levantamiento de observaciones y
oportunidades de mejora
91 Realizar el análisis de brecha final 3 días 22/09/2024 25/09/2024
92 Responder cuestionario de análisis de 3 días 22/09/2024 25/09/2024
brecha
93 Informe de análisis de brecha final 0 días

102
 ANEXO B
RECOPILACION DE DATOS PARA ANALISIS DE BRECHA EN
EKONOPHARMA
Los resultados logrados en las pruebas y la puesta en marcha son los que se detallan a
continuación:
a) Entrevistas: Las entrevistas iniciales documentadas fueron a todos los jefes de área
de la empresa.

Tabla 39
Plantilla de entrevista general
ENTREVISTA SGSI
Fecha: Oficina: Responsable
ítem pregunta respuesta: si /no
1 ¿conoce el termino SGSI?
2 ¿su área cuenta o participa en el SGSI?
3 ¿conoce los controles de seguridad?
4 ¿tienen identificados sus activos de información?
5 ¿cuenta con políticas de seguridad de información?
6 ¿tiene controles o políticas de contraseñas?
7 ¿se realizan mantenimiento preventivo a los equipos
informáticos de su área?
8 ¿ha tenido incidentes de seguridad informática?
9 ¿ha tenido incidentes de seguridad de información?

103
 ANEXO C -CUESTIONARIOS REALIZADOS
Tabla 40
Resultado de las entrevista y cuestionarios realizados
N.º Responsable Gerente Coordinador Coordinadora QF Tecnico1 Tecnico2 si no
General de Calidad QF de RRHH y Regente
Pregunta
Logística
1 ¿Conoce el termino SGSI? si no no no no no 1 5
2 ¿Su área cuenta o participa en el SGSI? no no no no no no 0 6
3 ¿Conoce los controles de seguridad? si si si si no no 4 2
4 ¿Tienen identificados sus activos de no no no no no no 0 6
información?
5 ¿Cuenta con políticas de seguridad de no no no no no no 0 6
información?
6 ¿tiene controles o políticas de contraseñas? si si si si si si 6 0
7 ¿Se realizan mantenimiento preventivo a los no no no no no no 0 6
equipos informáticos de su área?
8 ¿Ha tenido incidentes de seguridad si si si si si si 6 0
informática?
9 ¿ha tenido incidentes de seguridad de si si si si si si 6 0
información?

104
 ANEXO D
A partir de la documentación generada se obtuvieron los siguientes resultados:
Los resultados obtenidos a través de la documentación mostraron que existen importantes
deficiencias en los controles implementados, lo cual fue evidenciado mediante el análisis de
brechas. Se destacó la utilidad de utilizar un cuadro de resumen final para facilitar la
identificación de las deficiencias. Se recomienda alcanzar un nivel de madurez 3 en la
mayoría de los casos, ya que de lo contrario el desarrollo sería costoso en términos de tiempo
y recursos.

1. INFORME DE ANALISIS DE CONTROLES:

105
Tabla 41
Análisis de Brecha de Requisitos
PREGUNTAS RESPONSABLE EJEMPLOS DE EVIDENCIAS NIVEL DE APLICACIÓN
0 1 2 3
4. ENTORNO/CONTEXTO DE LA ORGANIZACIÓN
4.1 ¿La organización revisa regularmente su entorno para identificar La revisión administrativa se lleva a cabo, 1
Alta dirección aunque no de forma regular.
los factores que pueden tener un impacto en ella?
4.2. ¿Han sido identificadas y especificadas cuáles son las diferentes Las partes interesadas son reconocidas, a pesar 1
personas involucradas en la organización? Alta dirección de que sus responsabilidades pueden variar en
la empresa.
¿La entidad reconoce, examina y mantiene al día datos acerca de Se entienden las demandas de los clientes, 1
los requerimientos y deseos de sus clientes, proveedores, Alta dirección proveedores y trabajadores, sin embargo, el
4.2. colaboradores y demás partes involucradas pertinentes al Sistema SGSI carece de políticas adecuadas.
de Gestión de Seguridad de la Información?
¿La organización tiene una planificación estratégica basada en la 0
4.1. información relevante tanto interna como externa? Alta dirección No existe
4.3. ¿Se ha definido el alcance del Sistema de Gestión de Seguridad de Alta dirección No existe 0
la Información por parte de la organización?
4.4 ¿La Organización sigue, lleva a cabo, conserva y perfecciona Coordinadora de No, ya que está en proceso de implementación 0
constantemente su Sistema de Gestión de la Seguridad de la Calidad en la empresa.
Información?
4. ENTORNO/CONTEXTO DE LA ORGANIZACIÓN - NIVEL DE APLICACIÓN 10%
5. LIDERAZGO
¿Se lleva a cabo una evaluación por parte de la dirección sobre el No, ya que se está comenzando a implementar 0
5.1 acatamiento de los objetivos de seguridad de la información con el Alta dirección en la empresa.
fin de orientar la dirección estratégica según las necesidades
identificadas?

106
5.1 ¿Garantiza la alta dirección que los requisitos del Sistema de No, ya que se encuentra en proceso de
Gestión de Seguridad de la Información se integren en los procesos Alta dirección implementación en la compañía. 0
de la empresa?
¿El personal directivo garantiza que se cuente con los recursos No, porque no hay suficiente personal.
5.1 requeridos para el Sistema de Gestión de Seguridad de la Alta dirección 0
Información (SGSI)?
¿Se transmite al personal la relevancia de una adecuada No, ya que se está llevando a cabo la
administración de la seguridad de la información y el Alta dirección implementación en la compañía. 0
5.1 cumplimiento de los estándares del Sistema de Gestión de
Seguridad de la Información?
5.1 ¿El liderazgo del equipo ha establecido, revisado y difundido la No, ya que se encuentra en proceso de
Política de Seguridad de la Información y se asegura de que sea de Alta dirección implementación en la organización. 0
fácil acceso?
¿El liderazgo del equipo garantiza que el sistema de Gestión de No, ya que todavía se está introduciendo en la
5.1 Seguridad de la Información logre sus objetivos planeados? Alta dirección compañía. 0
5.1 ¿El Equipo Directivo guía y respalda a los individuos para que No, ya que está en proceso de ser 0
aporten a la eficiencia del Sistema de Gestión de Seguridad de la Alta dirección implementado en la compañía.
Información?
¿El liderazgo del equipo directivo se manifiesta a través de la No existe una mejora continua, solo un apoyo
5.1 promoción de la mejora continua y el respaldo a otros roles Alta dirección al personal para la atención. 0
importantes?
¿Ha sido creada por el equipo de dirección una política de No, dado que recién se está poniendo en
5.2 seguridad de la información? Alta dirección marcha en la compañía. 0
¿Se han establecido y revisado los roles, funciones y niveles de Alta dirección/ Sí, se llevó a cabo una reunión, pero no se llegó
5.3. autoridad pertinentes para garantizar la seguridad de la Coordinador de a implementar las funciones adecuadas. 1
información? RRHH y Logística
5. LIDERAZGO – NIVEL DE APLICACIÓN 3%
6. PLANIFICACION

107
6.1.1. ¿Se incorpora en el sistema de gestión de seguridad la evaluación Coordinador de No existe
de los riesgos asociados a la actividad de la empresa? Calidad 0
¿La organización establece y lleva a cabo un procedimiento para Coordinador de
6.1.2. evaluar los riesgos de seguridad de la información? Calidad No existe 0
¿Se ha diseñado un plan para gestionar los riesgos asociados a las Coordinador de No existe 0
6.1.3 operaciones de la organización? Calidad
¿Se han establecido y registrado claramente los propósitos de Alta dirección No, porque recién se está implementando en la
6.2 Seguridad de la Información? empresa 0
¿Se ha establecido un plan de mejora centrado en lograr metas Coordinador de No, porque recién se está implementando en la
6.2 específicas? Calidad empresa 0
6. PLANIFICACIÓN - NIVEL DE APLICACIÓN 0%
7. SOPORTE
7.1 ¿La organización ha identificado y garantiza la disponibilidad de Alta dirección / Aunque se han identificado los recursos aún no
los recursos esenciales para administrar el Sistema de Gestión de Coordinador de han sido entregados o proporcionados. 1
Seguridad de la Información (SGSI)? Calidad
7.2. ¿Se lleva a cabo una evaluación y monitoreo de cómo se Coordinadora de Se realiza un seguimiento de forma informal, 1
desempeñan las personas? RRHH y Logística pero no se lleva a cabo de manera formal.
¿El equipo está al tanto de la política de seguridad de la Coordinador de No, existe
7.3. información, los objetivos, las ventajas del sistema de gestión de Calidad 0
seguridad de la información y las oportunidades de mejora?
¿Han sido establecidas cuáles son las comunicaciones internas y Coordinador de No se llegó a definir
7.4. externas que son importantes para el sistema de gestión de Calidad 0
Seguridad de la Información?
7.5.1. ¿Se ha recopilado la información necesaria del SGSI para Coordinador de No, porque recién se está implementando en la 0
garantizar su eficacia? Calidad empresa
¿Se garantiza la correcta identificación, descripción, formato y Si existe un formato establecido y se realiza
7.5.2. revisión de los documentos que han sido creados o actualizados? Coordinador de una revisión, pero no hay una identificación 1
Calidad por parte de los líderes de la empresa.

108
7.5.3. ¿Se garantiza la protección y disponibilidad de la información Coordinador de No existe
necesaria para la gestión de seguridad? Calidad 0
7. SOPORTE - NIVEL DE APLICACIÓN 10%
8. OPERACIÓN
¿Se lleva a cabo la planificación, implementación y supervisión de Alta dirección / No, porque recién se está implementando en la
8.1. los procesos del Sistema de Gestión de Seguridad de la Coordinador de empresa 0
Información? Calidad
¿Se llevan a cabo evaluaciones de riesgos de seguridad de la Coordinador de No, existe
8.2. información de manera regular programada o cuando surgen Calidad 0
modificaciones importantes?
8.3. ¿La organización tiene un plan establecido para abordar los Coordinador de No existe 0
riesgos? Calidad
8. OPERACIÓN - NIVEL DE APLICACIÓN 0%
9. EVALUACIÓN DEL DESEMPEÑO
¿La organización lleva a cabo el monitoreo, medición, análisis y Alta dirección / No, porque recién se está implementando en la
9.1 evaluación del Sistema de Gestión de la Seguridad de la Coordinador de empresa 0
Información? Calidad
¿La organización lleva a cabo auditorías internas en momentos Alta dirección / No, los procesos apenas están comenzando.
9.2 programados previamente? Coordinador de 0
Calidad
¿La organización tiene previsto, establece, ejecuta y conserva un Alta dirección / No cuenta con un plan de auditoria
9.2 programa de auditorías? Coordinador de 0
Calidad
9.3 ¿Se revisa el sistema de gestión de seguridad de la información por Alta dirección No, porque recién se está implementando en la
la dirección para garantizar su efectividad? empresa 0
¿La dirección toma decisiones y lleva a cabo acciones según los No, porque recién se está implementando en la
9.3 resultados obtenidos de la evaluación del Sistema de Gestión de Alta dirección empresa 0
Seguridad de la Información?

109
 9. EVALUACIÓN DEL DESEMPEÑO - NIVEL DE APLICACIÓN 0%
10. MEJORAS
10.1. ¿La organización se encarga de supervisar y enmendar las no Coordinador de No, porque recién se está implementando en la
conformidades? Calidad empresa. 0
10.1. La organización examina las no conformidades y toma medidas Coordinador de No, porque recién se está implementando en la
para eliminar sus causas a través de acciones correctivas. Calidad empresa 0
¿La organización busca constantemente mejorar la practicidad, Coordinador de No, porque recién se está implementando en la 0
10.2. idoneidad y eficacia del SGSI? Calidad empresa
10. MEJORA - NIVEL DE APLICACIÓN → 0%
SGC- ISO 27001:2013 - REQUISITOS - NIVEL DE APLICACIÓN → 5%

Nota: La tabla muestra los resultados de la revisión de los requisitos de la empresa Ekonopharma

INFORME DE ANÁLISIS DE CONTROLES

Tabla 42
Análisis de Brecha de Controles
Control Preguntas ¿Es necesario? Rango Comentario
1-4
A.5 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
A.5.1. DIRECCIÓN DE LA GERENCIA PARA LA SEGURIDAD DE LA INFORMACIÓN
A.5.1.1 Políticas de ¿Existe un documento aprobado por la alta dirección que se conoce como SI 0 Dado que no había un departamento de tecnología en
seguridad de la Política de Seguridad de la Información? la empresa, la dirección consideró que no era
información imprescindible implementar políticas de seguridad.
¿Opina que los trabajadores están al tanto de las normas de seguridad que SI 1 No, únicamente aquellos empleados de la parte
debe seguir su empresa? administrativa.
A.5.1.2 Revisión de ¿Su empresa establece períodos de tiempo específicos para revisar las SI 0 No, ya que la compañía está empezando a aplicarlas
las políticas de políticas de seguridad de la información? recientemente.

110
 seguridad de la ¿Se analiza la eficacia, idoneidad y pertinencia de las políticas de SI 0 Todavía no, ya que solamente se centraron en la
información seguridad de la información durante las revisiones? administración del acceso de los usuarios.

Figura 16
Gráfico de Resultados del Análisis Inicial de Brechas

NIVEL DE CUMPLIEMIENTO DE REQUISITOS

Cumple No cumple

5%

95%

A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A.6.1. ORGANIZACIÓN INTERNA
A.6.1.1 Roles y responsabilidades para la ¿Están claros los roles relacionados con la seguridad de la información en SI 0 Hay roles, pero no para la seguridad de la
seguridad de la información la organización? información.
¿Han sido designadas funciones y tareas específicas a los diferentes puestos SI 0 Ausencia de designación
dentro de la empresa en lo que respecta a la protección de la información?
A.6.1.2 Segregación de funciones ¿La organización asignó ciertas responsabilidades específicas a los distintos SI 0 Aún está en revisión.
roles dentro de los activos de información?
A.6.1.3 Contacto con autoridades ¿Hay un registro que detalle las autoridades a las que se debe contactar en SI 0 No existe ese documento
caso de ocurrir un incidente de seguridad de la información?

111
A.6.1.4 Contacto con grupos especiales de ¿La organización cuenta con algún vínculo con un grupo de interés para SI 0 Se ha consultado con expertos, pero no se ha
interés recibir asesoramiento en materia de seguridad de la información? logrado llegar a un consenso.

A.6.1.5 Seguridad de la información en la ¿Se está incorporando la seguridad de la información en el enfoque de SI 0 No, ya que la compañía está en proceso de
gestión de proyectos gestión de proyectos de la empresa? implantación
A.6.2 DISPOSITIVOS MOVILES Y TELETRABAJO
A.6.2.1 Política de dispositivos móviles ¿Se implementan medidas de protección en los dispositivos móviles de la SI 0 No, existe un control de seguridad
empresa para prevenir riesgos de seguridad?
A.6.2.2 Teletrabajo ¿Se implementan precauciones con la información que es transmitida, SI 0 No existe medidas de seguridad
recibida o guardada durante el teletrabajo?

Organizacion de la seguridad de la informacion

Cumple
0%

No cumple
100%

Cumple No cumple

A.7. SEGURIDAD RELATIVA A LOS RECURSOS HUMANOS

A.7.1. ANTES DEL EMPLEO
A.7.1.1 Investigación de antecedentes ¿Los responsables de la contratación revisan los registros previos de los SI 1 Si se valida esa información.
posibles empleados y contratistas con el fin de evitar posibles situaciones
de explotación de información de la empresa (por ejemplo, referencias,
documento de identidad, verificación del currículum, entre otros)?

112
A.7.1.2 Términos y condiciones del empleo ¿En el acuerdo se establecen los compromisos tanto del colaborador como SI 0 Dado que no se ha especificado adecuadamente
de la organización en lo que respecta a la protección de la información? en las condiciones del acuerdo.
A.7.2. DURANTE EL EMPLEO
A.7.2.1 Responsabilidades de gestión ¿El equipo directivo requiere que los empleados y colaboradores sigan las SI 0 No hay tal registro/documento.
normas y procedimientos establecidos en materia de seguridad de la
información?
A.7.2.2 Conciencia, educación y ¿Se ha proporcionado formación a los empleados sobre la importancia de SI 0 No hay programas de formación sobre la
capacitación sobre la seguridad de la la seguridad de la información? protección de la información.
información ¿Se informa a los empleados sobre las actualizaciones en las políticas o SI 0 Dado que la política de seguridad de información
procedimientos de seguridad de la información que sean pertinentes a su no ha sido formalizada.
función laboral?
A.7.2.3 Proceso disciplinario ¿La empresa cuenta con un procedimiento disciplinario establecido para SI 0 No se encuentra sometido a un procedimiento
los empleados que utilicen incorrectamente la información? disciplinario.
¿Los colaboradores han sido informados sobre este proceso disciplinario? SI 0 No se encuentra sometido a un procedimiento
disciplinario
A.7.3. FINALIZACIÓN DEL EMPLEO O CAMBIO EN EL PUESTO DE TRABAJO
A.7.3.1 Responsabilidad antes la ¿Las responsabilidades y obligaciones en materia de seguridad de la SI 0 Las responsabilidades no están claramente
finalización o cambio información se establecen y comunican claramente y continúan en efecto definidas ni comunicadas.
incluso después de que cambia o finaliza el empleo?

113
 SEGURIDAD RELATIVA DE LOS RECURSOS HUMANOS
Cumple No cumple

5%

95%

A.8. GESTIÓN DE ACTIVOS

A.8.1 RESPONSABILIDAD SOBRE LOS ACTIVOS
A.8.1.1 Inventario de activos ¿Se han establecido qué activos están identificados? SI 1 Los activos fueron ingresados en el
registro, pero no se cuenta con
documentación formal de todos ellos.
A.8.1.2 Propiedad de los activos ¿Existe algún documento que detalle quiénes son los responsables de gestionar SI 0 No se cuenta con ello.
los activos de información en la organización?
A.8.1.3 Uso aceptable de los activos ¿Se han creado, registrado y aplicado normativas con el fin de garantizar la SI 0
adecuada utilización de los recursos de información?
A.8.1.4 Devolución de activos ¿Disponen de alguna documentación que detalle los activos de información y SI 0
recursos utilizados durante la ejecución del proyecto?
¿Existe algún tipo de formulario oficial que garantice la devolución de SI 0
cualquier activo físico o electrónico que pertenezca a la empresa durante el
proceso de desvinculación?
A.8.2. CLASIFICACIÓN DE LA INFORMACIÓN

114
A.8.2.1 Clasificación de la Información ¿La empresa ha categorizado su información de acuerdo a cuán crucial es su SI 0 No se cuenta con ello.
divulgación?
A.8.2.2 Etiquetado de Información ¿Siguen un conjunto de instrucciones para clasificar la información? SI 0
A.8.2.3 Manipulado de la información ¿Hay alguna guía para gestionar la información? SI 0 No se cuenta con ello.
A.8.3. MANIPULACIÓN DE LOS SOPORTES
A.8.3.1 Gestión de medios removibles ¿Existe un protocolo establecido para el manejo de dispositivos extraíbles en SI 0 No se cuenta con ello.
forma documentada?
A.8.3.2 Disposición de medios ¿Cuentan con un protocolo establecido para eliminar o destruir la información SI 0
contenida en los dispositivos electrónicos de la empresa de manera formal?
A.8.3.3 Transferencia de medios físicos ¿Se cuentan con medidas de protección para el empleo de dispositivos físicos SI 0
tanto dentro como fuera de la compañía?

GESTIÓN DE ACTIVOS
Cumple No cumple

5%

95%

115
A.9. CONTROL DE ACCESO
A.9.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO
A.9.1.1 Política de control de acceso ¿Se implementan normas en la organización para gestionar el acceso de SI 1 Se cuenta únicamente con el control
acuerdo con las prioridades de protección? de acceso que se mantiene con los
clientes.
A.9.1.2 Acceso a redes y servicios de red ¿Supervisan los usuarios en la organización los servicios de red? SI 0 No se cuenta con ello.
A.9.2. GESTIÓN DE ACCESO DE USUARIO
A.9.2.1 Registro y baja de usuarios ¿Existe algún procedimiento oficial que facilite la inscripción y SI 0 No se cuenta con ello.
eliminación de usuarios con el fin de autorizar el acceso?
A.9.2.2 Aprovisionamiento de acceso a ¿Se emplea algún mecanismo que facilite la entrada y salida de los SI 0
usuario usuarios?
A.9.2.3 Gestión de privilegios de acceso ¿Existe algún tipo de supervisión sobre el uso de accesos privilegiados? SI 0
A.9.2.4 Gestión de la información secreta de ¿Existen normas o directrices establecidas para la generación de SI 0
autentificación de los Usuarios contraseñas?
A.9.2.5 Revisión de derechos de acceso de ¿Se lleva a cabo la supervisión de los accesos de los usuarios en la SI 0
usuarios empresa?
A.9.2.6 Retirada o reasignación de los ¿Se ha celebrado algún contrato o convenio que restrinja el acceso a la SI 0 No se cuenta con ello.
derechos de acceso información a los empleados?
A.9.3. RESPONSABILIDADES DE LOS USUARIOS
A.9.3.1 Uso de información secreta de ¿Hay algún acuerdo en la empresa que asegure que la información sea SI 1 Solo se ha establecido un
autentificación secreta tratada de forma confidencial? compromiso de mantener la
información en secreto.
A.9.4. CONTROL DE ACCESO A SISTEMA Y APLICACIÓN
A.9.4.1 Restricción de acceso a la ¿La organización restringe el acceso a la información relevante? NO 0 no es pertinente
información
A.9.4.2 Procedimientos de ingreso seguro ¿Existe una manera segura para que los trabajadores puedan ingresar de NO 0
forma segura a los sistemas de la empresa?

116
A.9.4.3 Sistema de gestión de ¿Tienen un sistema de gestión que les permita crear contraseñas de forma NO 0
Contraseñas segura y fuerte?
9.4.4 Uso de programas utilitarios ¿Se limita o supervisa de manera estricta el uso de herramientas que NO 0
privilegiados puedan desactivar o eludir los controles del sistema?
A.9.4.5 Control de acceso al código fuente de ¿Hay algún código fuente dentro de la organización que esté restringido NO 0
los programas para su manipulación?

CONTROL DE ACCESO
10%

90%

Cumple No cumple

A.10. CRIPTOGRAFÍA
A.10.1 CONTROLES CRIPTOGRÁFICOS
A.10.1.1 Política de uso de los controles ¿La empresa tiene una política establecida sobre el NO 0 no es pertinente
criptográficos uso de medidas de seguridad criptográficas para
proteger la información?
A.10.1.2 Gestión de claves ¿Hay expertos disponibles para evaluar cuál es el NO 0
grado adecuado de protección necesario?
A.11. SEGURIDAD FISICA Y AMBIENTAL
A.11.1. ÁREAS SEGURAS

117
A.11.1.1 Perímetro de Seguridad Física ¿La implementación de medidas de seguridad en NO 0 no es pertinente
áreas donde se maneja información delicada
garantiza el control del riesgo de pérdida o robo de
datos?
A.11.1.2 Controles de Ingreso Físico ¿Se identifica el ingreso no permitido, es decir, se SI 0 No se cuenta con ello.
utiliza un método de autenticación exclusivamente
para el personal autorizado?
A.11.1.3 Asegurar oficinas, áreas e ¿Se implementan medidas para evitar filtraciones SI 0 No se cuenta con ello.
instalaciones en lugares de trabajo como oficinas y despachos
que impidan el acceso al público en general y así
prevenir posibles pérdidas o robos de información?
A.11.1.4 Protección contra amenazas ¿Se implementan medidas de política para hacer SI 0 No se cuenta con ello.
externas y ambientales frente a las amenazas provenientes del exterior y
del medio ambiente?
A.11.1.5 Trabajo en áreas Seguras ¿La zona laboral de la empresa es segura? NO 0 no es pertinente
A.11.1.6 Áreas de despacho y carga ¿En la organización hay espacios designados para NO 0 no es pertinente
cargar y descargar mercancías?
A.11.2. SEGURIDAD DE EQUIPOS
A.11.2.1 Emplazamiento y protección de los ¿Crees que es relevante la ubicación y seguridad de NO 0 no es pertinente
equipos los equipos?

A.11.2.2 Servicio de suministro ¿Se lleva a cabo una revisión de las instalaciones de SI 0 No se inspecciona
suministros para garantizar su correcto
funcionamiento en la organización?
A.11.2.3 Seguridad del cableado ¿Están disponibles de manera segura los servicios 0 Sí, pero en el caso de los equipos.
de cableado eléctrico y de telecomunicaciones en la
organización? SI

118
A.11.2.4 Mantenimiento de equipos ¿Llevan a cabo mantenimientos de forma regular en 1 Comenzó a enviar los equipos para
los equipos? SI su mantenimiento.
A.11.2.5 Remoción de equipos ¿Se ejecuta una logística eficiente en la protección 0 No se llevan a cabo
de los equipos fuera de la empresa?
SI
A.11.2.6 Seguridad de equipos y activos ¿Tienen un plan de seguridad para proteger los 0 No se cuenta con ello.
fuera de las instalaciones activos que están fuera de las instalaciones? SI
A.11.2.7 Disposición o reutilización segura ¿Dispone de un proceso seguro para reutilizar o 0
de equipos desechar equipos de manera adecuada? SI
A.11.2.8 Equipos de usuario desatendidos ¿Se implementan precauciones de seguridad 1 Comenzó indicando que es
cuando el equipo no está siendo supervisado? SI necesario bloquear los equipos
cuando no estén siendo utilizados.
A.11.2.9 Política de escritorio limpio y ¿Crees que la ubicación y la seguridad de los SI 0 No están cumpliendo.
pantalla limpia equipos son aspectos importantes a tener en cuenta?

SEGURIDAD FÍSICA Y AMBIENTAL

10%

90%

Cumple No cumple

119
A.12 SEGURIDAD DE LAS OPERACIONES
A.12.1.1 Procedimientos operativos ¿Están registrados los procedimientos de operación? SI 1 Se encuentra en desarrollo.
documentados ¿Están disponibles para aquellos usuarios que los requieran? SI 0 No se cuenta con ello.

A.12.1.2 Gestión del cambio ¿Existe algún instrumento para supervisar las modificaciones en los sistemas SI 0
de procesamiento de datos?
A.12.1.3 Gestión de la capacidad ¿Monitorea el uso de recursos de la organización? NO 0 Todo se hace de forma manual.
A.12.1.4 Separación de los entornos de ¿Cuenta la organización con ambientes dedicados al desarrollo, pruebas y NO 0 No es relevante ya que no se está
desarrollo, pruebas y operaciones operación? realizando la creación de software.
A.12.2. PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS
A.12.2.1 Controles contra códigos ¿Existe un programa informático para resguardarse de los peligros SI 1 Se cuentan con licencias de software
maliciosos cibernéticos? antivirus, sin embargo, no se realiza la
supervisión correspondiente.
A.12.3. RESPALDO
A.12.3.1 Respaldo de la información ¿La información se respalda de manera automática o manualmente? SI 0 La información se almacena, pero no se
realiza de forma automática.
A.12.4. REGISTROS Y MONITOREO
A.12.4.1 Registro de eventos ¿Se revisan de manera regular los registros vinculados a las actividades de los NO 0 No es aplicable
usuarios?
A.12.4.2 Protección de información de ¿Poseen un sistema de almacenamiento de datos de respaldo para toda la NO 0 No se puede contar con eso.
registros empresa?
A.12.4.3 Registros del administrador y del ¿Existe un sistema para detectar la presencia de invasores? NO 0
operador
A.12.4.4 Sincronización de reloj ¿Existe un servidor designado para la sincronización de la hora en los sistemas NO 0
de la empresa?
A.12.1. CONTROL DEL SOFTWARE OPERACIONAL

120
A.12.5.1 Instalación de software en ¿Se requieren medidas específicas que deban llevarse a cabo para gestionar la NO 0 No se dispone de eso.
sistemas operacionales instalación de software en sistemas operativos?
A.12.6. GESTIÓN DE VULNERABILIDAD TÉCNICA
A.12.6.1 Gestión de vulnerabilidades ¿Existe un sistema para registrar, controlar y vigilar las vulnerabilidades de los 0 No se puede contar con eso.
técnicas activos de información? SI
A.12.6.2 Restricción en la instalación de ¿Existe un protocolo de seguimiento y supervisión del uso del software que se 0
software encuentra instalado? SI
A.12.7. CONSIDERACIONES PARA LA AUDITORÍA DE LOS SISTEMA DE INFORMACIÓN
A.12.7.1 Controles de auditoría de sistemas ¿Existe un documento que contenga el historial de auditorías realizadas en los NO 0 No se dispone de eso.
de información sistemas de información?

SEGURIDAD RELATIVA DE LOS RECURSOS HUMANOS

5%

Cumple No cumple

95%

A.13. SEGURIDAD DE LA COMUNICACIONES

A.13.1. GESTION DE SEGURIDAD DE LA RED
A.13.1.1 Controles de la red ¿La gestión y control de las redes de la organización están a cargo? NO 0 No se cuenta con ello.

121
A.13.1.2 Seguridad de servicios de red ¿Los servicios de red son manejados en casa o se externalizan a terceros? NO 0
A.13.1.3 Segregación en redes ¿La red está dividida en secciones? ¿Cómo se ha planificado la división de la red? NO 0
A.13.2. TRANSFERENCIA DE INFORMACIÓN
A.13.2.1 Políticas y procedimientos de ¿Hay políticas o procesos definidos para compartir información de manera NO 0 No se cuenta con ello.
transferencia de la información establecida?
A.13.2.2 Acuerdo sobre transferencia de ¿La organización comparte información con entidades externas? ¿Se sigue el 0 No se cuenta con ello.
información mismo procedimiento con todas las entidades? SI
A.13.2.3 Mensajes electrónicos ¿Existe un mecanismo para proteger los mensajes electrónicos que sean SI 1 Se cuenta con el programa de
considerados como sospechosos? protección Avast.
A.13.2.4 Acuerdos de confidencialidad o no ¿Se emplea algún tipo de documentación de especificaciones para los contratos de 1 Las políticas se refieren a las normas
divulgación confidencialidad? SI establecidas por el gobierno en
relación con las telecomunicaciones.

Seguridad de las Comunicaciones

10%

90%

Cumple No cumple

A.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

A.14.1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

122
A.14.1.1 Análisis de requisitos y Garantía de seguridad en las operaciones realizadas en aplicaciones de servicios. NO 0 No es relevante.
especificaciones de seguridad de la
información
A.14.1.2 Asegurar los de servicios de Seguridad en las transacciones de servicios de aplicaciones NO 0
aplicaciones en redes públicas
A.14.1.3 Protección de transacciones en Proteger las transacciones realizadas en servicios de aplicaciones. NO 0
servicios de aplicaciones
A.14.2. SEGURIDAD EN EL DESARROLLO Y EN LOS PROCESOS DE SOPORTE
A.14.2.1 Política de desarrollo seguro ¿La organización tiene políticas enfocadas en el desarrollo de sistemas de software? NO 0 No es relevante.
A.14.2.2 Procedimientos de control de ¿Se consideran las políticas de la organización durante todo el ciclo de vida del NO 0
cambios del desarrollo de software/sistemas?
A.14.2.3 Revisión técnica de aplicaciones ¿Se lleva a cabo la evaluación técnica de aplicaciones que son fundamentales para NO 0
tras efectuar cambios en el sistema operativo el funcionamiento del negocio?
A.14.2.4 Restricciones sobre cambios a los ¿Existe alguna restricción de acceso al editar el código fuente de los programas NO 0 No es relevante.
paquetes de software informáticos?
A.14.2.5 Principios de ingeniería de sistemas ¿Implementan métodos para el diseño de sistemas de información? NO 0
seguros
A.14.2.6 Entorno de desarrollo seguro ¿Se lleva a cabo la protección del entorno de desarrollo para la integración de NO 0
sistemas?
A.14.2.7 Externalización del desarrollo de ¿Se lleva a cabo seguimiento a los sistemas que han sido contratados externamente? NO 0
software
A.14.2.8 Pruebas funcionales de la seguridad ¿Se llevan a cabo las pruebas de seguridad requeridas durante el proceso de NO 0
de sistemas desarrollo del sistema?
A.14.2.9 Pruebas de aceptación de los ¿Implementan alguna estrategia de pruebas de aceptación para los sistemas? NO 0
Sistemas
A.14.3. DATOS DE PRUEBA
A.14.3. Protección de datos de prueba ¿Se resguardan los datos de prueba? NO 0 No es relevante.

123
A.15. RELACION CON LOS PROVEEDORES
A.15.1. SEGURIDAD EN LAS RELACIONES CON PROVEEDORES
A.15.1.1 Política de seguridad de la ¿El proveedor implementa medidas de protección de la información para 0 No se fija
información en las relaciones con los resguardar los activos de la organización? SI
proveedores
A.15.1.2 Requisitos de seguridad en contratos ¿Define los criterios de protección de datos con los proveedores respecto a la 0 No se fija
con terceros tecnología de la información? SI
A.15.1.3 Cadena de suministro de tecnología de ¿Se establecen condiciones en los acuerdos con los proveedores para enfrentar 0 No hay consenso en cuanto a la
la información y de las comunicaciones los posibles peligros relacionados con la seguridad de la información? SI protección de la información.
A.15.2. GESTIÓN DE LA PROVISIÓN DE SERVICIOS DEL PROVEEDOR
A.15.2.1 Control y revisión de la provisión de ¿Se supervisa y/o verifica la prestación de servicios por parte de los proveedores? NO 0 No es relevante.
servicios del proveedor
A.15.2.2 Gestión de cambios en la provisión del ¿Tienen algún tipo de control para supervisar la manera en que los proveedores NO 0
servicio del proveedor gestionan los cambios en la provisión de bienes o servicios?

RELACIÓN CON LOS PROVEEDORES

0%

100%

Cumple No cumple

A.16. GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

A.16.1. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS

124
A.16.1.1 Responsabilidades y ¿Tienen establecidos protocolos y medidas para gestionar incidentes de seguridad de SI 0 no son tomados en consideración
procedimientos la información?
A.16.1.2 Notificación de los eventos de ¿Se elaboran informes sobre los sucesos relacionados con la seguridad de la SI 0 no son tomados en consideración
seguridad de la información información?
A.16.1.3 Notificación de puntos débiles de la ¿Se generan informes sobre las vulnerabilidades en la seguridad de la información? SI 0 No llevan a cabo
seguridad
A.16.1.4 Evaluación y decisión sobre los ¿Lleva a cabo análisis de sucesos relacionados con la seguridad de la información? SI 0 No llevan a cabo
eventos de seguridad de la información
A.16.1.5 Respuesta a incidentes de seguridad ¿Se toman medidas ante los incidentes de seguridad de la información en la SI 0 No llevan a cabo
de la información organización?
A.16.1.6 Aprendizaje de los incidentes de ¿Solucionas los problemas con la información que has aprendido? SI 0
seguridad de la información
A.16.1.7 Recolección de evidencias ¿Acostumbra a recopilar pruebas e información con regularidad? SI 0
A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTION DE CONTINUIDAD DEL NEGOCIO
A.17.1. CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN
A.17.1.1 Planificación de continuidad de ¿Tienen establecido un plan que define los criterios de seguridad de la información? SI 1 Sí, se encuentra en proceso de
seguridad de la información evaluación.
A.17.1.2 Implementación de continuidad de ¿La entidad posee documentación que tiene como objetivo establecer procesos, SI 0 No llevan a cabo
seguridad de la información métodos y medidas de control para garantizar la continuidad de la seguridad de la
información?
A.17.1.3 Verificación revisión y evaluación ¿Se lleva a cabo una inspección, análisis y valoración de los mecanismos de seguridad SI 0
de continuidad de seguridad de la de la información para garantizar su continuidad?
información
A.17.2. REDUNDANCIAS
A.17.2.1 Instalación de procesamiento de la ¿Se ha establecido algún plan para garantizar que la información esté siempre NO 0 no son tomados en consideración
información disponible?

A.18. CUMPLIMIENTO

125
 A.18.1. CUMPLIMIENTO CON REQUISITOS LEGALES Y CONTRACTUALES
A.18.1.1 Identificación de requisitos ¿Se encuentran en posesión de los requisitos exigidos por los estatutos, SI 0 no son tomados en consideración
contractuales y de legislación aplicables regulaciones y contratos correspondientes?
A.18.1.2 Derechos de propiedad ¿Se asegura de que al llevar a cabo los procedimientos se cumplan con todas las NO 0 no son tomados en consideración
intelectual DPI regulaciones legales, normativas y contractuales correspondientes?
¿La entidad cuenta con protocolos para garantizar la seguridad de los derechos de NO 0
propiedad intelectual?
¿Se compra software de proveedores reconocidos y de confianza? NO 0
A.18.1.3 Protección de registros ¿Tienen un plan en donde protegen los registros de la organización contra pérdidas, SI 0 no son tomados en consideración
falsificación y publicaciones no autorizadas?
A.18.1.4 Privacidad y protección de datos ¿Se cuenta con un mecanismo para garantizar la seguridad y confidencialidad de SI 0 No está presente, pero es crucial convenir
personales los datos personales? en un pacto de confidencialidad.
A.18.1.5 Regulación de controles ¿Se utiliza una protección encriptada de los datos en la empresa para garantizar el NO 0 El control no se aplica actualmente en la
criptográficos cumplimiento de las regulaciones, leyes y acuerdos actuales? evaluación del alcance del SGSI.
A.18.2. REVISIONES DE SEGURIDAD DE LA INFORMACIÓN CUMPLIMIENTO CON REQUISITOS LEGALES Y CONTRACTUALES
A.18.2.1 Revisión independiente de la ¿Se lleva a cabo una evaluación imparcial de la seguridad de la información? SI 0 No llevan a cabo inspecciones.
seguridad de la información
A.18.2.2 Cumplimiento de políticas y ¿Se han determinado las razones por las cuales las políticas y normas de seguridad SI 1 Se inició porque no están debidamente
normas de seguridad no se están cumpliendo en la organización? establecidas.
A.18.2.3 Revisión del cumplimiento ¿Se han llevado a cabo pruebas de intrusión y análisis de vulnerabilidades? NO 0 No se puede aplicar porque no hay un
técnico sistema de información en funcionamiento.

Nota. La tabla representa los resultados específicos para los controles de la ISO/IEC. Elaboración propia.

126
 ANEXO E
ACTA DE COMPROMISO

127
128
 ANEXO F
PROCESO DE SUPERVISIÓN DE LA INFORMACIÓN REGISTRADA EN DOCUMENTOS.
Tabla 43
Procedimiento documentario
N.º Actividad Descripción Realiza Registro
1 Transmitir las Informa al encargado del proceso sobre la necesidad de crear o Integrante de la Correo electrónico
exigencias de modificar un documento a través de un correo electrónico. organización
elaboración o
modificación de
documentos.
2 Analizar solicitud Evaluar la petición de crear o modificar un documento y, si es Coordinadora de Correo electrónico
aprobada de pedir al encargado del procedimiento que designe a un RRHH y Logística
experto quien será responsable de realizar las modificaciones.
3 Elaborar y Si es necesario redactar un documento, el encargado de su Responsable del -
modificar elaboración será la persona que lo cree. documento
documentos
4 Revisar el Verifica que los documentos estén adecuadamente redactados. Coordinadora de -
documento RRHH y Logística
5 Aprobar el Se requiere la aprobación después de verificar el contenido del Gerente -
documento documento.

129
 6 Registrar en Lista Una vez que un documento ha sido aprobado, se incluye en la Lista Coordinador de Inventario principal de
Maestra Maestra de documentos físicos originales en la carpeta calidad archivos internos,
"Documentos Vigentes", ya sea que se trate de documentos nuevos Inventario principal de
o modificados. En caso de que los documentos modificados se archivos
vuelvan obsoletos, se trasladan a la categoría de "Lista Maestra de desactualizados.
documentos obsoletos".
7 Difundir el Existen dos formas de distribuir documentos: Coordinador de Lista de Distribución
documento • A través de medios electrónicos: Se convierte el documento Calidad de documentos
a formato digital y se comunica a las partes interesadas por
correo electrónico, indicando su ubicación.
• A través de medios físicos: Se proporcionan copias físicas
controladas del documento.

Nota. La tabla representa el procedimiento documentario de Ekonopharma.

130
 ANEXO G PROCEDIMIENTO DE GESTIÓN DE RIESGOS
Tabla 44
Documentos y registros
N.º Actividad Descripción Realiza Registro
1 Identificar lista de Realizar un listado de los recursos de información utilizando Equipo de Inventario de
activos la metodología de identificación y evaluación de riesgos. Seguridad de la Activos
información
2 Determinar Encontrar los riesgos potenciales relacionados con cada Equipo de Evaluación de
amenazas recurso, los cuales pueden ser similares. Seguridad de la Riesgos
información
3 Evaluar el riesgo Llevar a cabo la evaluación de riesgos utilizando el Equipo de Evaluación de
formulario "Evaluación de Riesgos" y siguiendo las pautas Seguridad de la Riesgos
establecidas en la "Metodología de Gestión de Riesgos". información
4 Aplicar los criterios Determinar los parámetros para evaluar los posibles riesgos Coordinador de Evaluación de
de aceptación utilizando la técnica de gestión de riesgos y tomar medidas Seguridad de Riesgos
aprobados para disminuir la posibilidad y gravedad de los mismos. información
5 Asignar Identificar la persona responsable de cada riesgo y quién será Coordinador de Evaluación de
propietarios de los encargado de implementar el control correspondiente, Seguridad de Riesgos
riesgos aunque no necesariamente sean la misma persona que el información
dueño del activo en cuestión.
6 Elaborar Plan de Elabora un plan detallado para manejar los riesgos, Equipo de Plan de
Tratamiento de definiendo el tiempo requerido, asignando responsabilidades Seguridad de la Tratamiento de
riesgos a las personas correspondientes y estableciendo las acciones información riesgos
a seguir frente a cada riesgo.
7 Realizar Informe de Redacta un informe que resuma los recursos más Coordinador de Informe sobre la
Gestión de riesgos importantes, los riesgos que se presentan y las acciones de Seguridad de gestión de los
protección que se llevarán para garantizar su seguridad. información riesgos.
8 Ejecutar el plan de Sigue aplicando las acciones de control que se han Equipo de -
acción para abordar establecido en el plan de gestión de riesgos. Seguridad de la
los riesgos información
identificados.
9 Determinar el nivel Determinar el riesgo residual considerando la evaluación de analista de Evaluación de
de riesgo restante los controles existentes. Seguridad de Riesgos
información
10 Realizar Informe de Redactar un reporte sobre las acciones de control Coordinador de Plan de
Plan de implementadas y definidas en el documento del "Plan de Seguridad de Tratamiento de
Tratamiento de Gestión de riesgos". información riesgos
riesgos

Nota. La tabla detalla procedimientos de gestión de riesgos en Ekonopharma.

131
 ANEXO H PROCEDIMIENTO DE LA AUDITORÍA
Tabla 45
Auditoría proceso
N.º Actividad Descripción Realiza Registro
1 Planificar Se planifican mediante el "Programa de Auditoría Interna", el cual Coordinador Programa de
la auditoría determina los procedimientos a revisar y su duración. Tanto las de Auditoría
auditorías internas como externas deben realizarse de forma anual Seguridad Interna
y contar con la aprobación del Gerente General. de la
Información
2 Seleccionar Elige, estructura y nombra al equipo que llevará a cabo la auditoría, Coordinador Programa de
Auditor formado por personas capacitadas, ya sea internas o externas, que de Auditoría
cumplan con los requisitos necesarios para realizar auditorías y que Seguridad Interna
no estén involucradas directamente en la actividad a examinar. de la
Información
3 Preparar Antes de realizar la auditoría, se comunica a los encargados de los Auditor Plan para
auditoría procesos los pormenores de cómo se llevará a cabo a través del realizar una
"Plan de Auditoría Interna", con al menos cinco días hábiles de auditoría interna.
anticipación.
4 Ejecutar La auditoría se inicia con una reunión inicial en la que se explica a Auditor
auditoría los auditados el objetivo y las actividades que se llevarán a cabo.
Luego, los auditores recopilan pruebas a través de entrevistas,
observaciones y revisión de registros para comprobar la
implementación y eficacia del sistema. Al finalizar, se lleva a cabo
una reunión de cierre donde se explican los resultados de la
auditoría, se resumen las no conformidades y hallazgos
encontrados, y se presentan las conclusiones del proceso de
auditoría.
5 Elaborar El equipo de auditoría interna trabaja en conjunto con el líder de Auditor Informe de
informe auditoría para crear el "Informe de Auditoría Interna". revisión interna
de cuentas
6 Comunicar El informe se entrega durante una junta con los directivos de alto Coordinador Acta de
informe rango y luego se debe transmitir la información. de Reunión
Seguridad
de la
Información
7 Generar no Durante la auditoría interna, se categorizan las no conformidades Analista de El seguimiento
conformidades, encontradas de acuerdo a su tipo y se documentan de manera Seguridad de situaciones
y minuciosa en un documento llamado "Seguimiento de No de la de
oportunidades Conformidades y Acciones Correctivas". Aparte, cualquier información incumplimiento
de mejora sugerencia de mejora o hallazgo debe ser registrado como acciones y las medidas
preventivas para reducir riesgos. correctivas.

Nota. La tabla proceso de auditoría en Ekonopharma.

132
 ANEXO I MEDIDAS DE SEGURIDAD EN LA GESTIÓN DE LA INFORMACIÓN
Tabla 46
Controles de seguridad de información
CONTROLES DE SEGURIDAD DE EKONOPHARMA SAC

TIPO DE ACTIVOS ID AMENAZAS CONTROLES SEGÚN ISO 27001

ACTIVO RIESGO
Datos Base de Datos R1 Alteración A.7.2.3 Proceso disciplinario
del personal intensional de A.9.1.1 Política de control de acceso
datos A.7.1.2Términos y condiciones de empleo
A.7.2.1 Gestión de responsabilidades
R2 Acceso no A.9.1.1 Política de control de acceso
autorizado A.9.4.1 Restricción al acceso a la información
A.11.1.2 Controles físicos de ingreso
R3 Fuga de A.5.1.1 Políticas para seguridad de la
información información
A.5.1.2 Revisión de políticas para seguridad de la información
A.6.2.1 Política sobre dispositivos
A.8.3.1 Gestión de medios removibles móviles
A.18.1.3 Protección de registros
A.18.1.4 Privacidad y protección de información personalmente
identificable
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
Datos Base de Datos R4 Eliminación de A.9.1.1 Política de control de
de los datos acceso
medicamentos y A.9.2.6 Eliminación o ajuste de derechos de acceso
productos A.7.2.3Proceso disciplinario
sanitarios R2 Acceso no A.9.4.1 Restricción al acceso a la información
autorizado A.9.1.1 Política de control de acceso
A.11.1.2 Controles físicos de ingreso

R3 Fuga de A.8.3.1 Gestión de medios

información removibles
A.5.1.1 Políticas para seguridad de la información
A.5.1.2Revisión de políticas para seguridad de la información la
información
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en seguridad de
la información
R6 Registros A.18.2.3 Revisión de cumplimiento técnico
incompletos A.6.1.2 Separación de
deberes
A.7.2.1Gestión de responsabilidades
A.7.2.1 Gestión de responsabilidades
R7 Alteración A.9.1.1 Política de control de
accidental de acceso
datos A.9.2.6 Eliminación o ajuste de derechos de
acceso
A.8.2.1 Clasificación de la información
A.7.2.1 Gestión de responsabilidades
R8 Introducción de A.9.1.1 Política de control de acceso
datos erróneos A.9.4.5 Control de acceso al código fuente del programa
A.7.2.1 Gestión de responsabilidades

Datos Datos de los R9 Alteración de A.9.1.1 Política de control de acceso

clientes datos A.8.2.1 Clasificación de la
concurrentes información
A.7.2.1 Gestión de responsabilidades
A.7.2.3Proceso disciplinario
R2 Acceso no A.9.4.1 Restricción al acceso a la información
autorizado A.11.1.2 Controles físicos de ingreso
R5 Eliminación A.9.1.1 Política de control de acceso
accidental de A.9.2.6 Eliminación o ajuste de derechos de
datos acceso
A.7.2.1 Gestión de responsabilidades

133
Datos Base de datos R4 Eliminación de A.9.1.1 Política de control de acceso
de fórmulas datos A.9.2.6 Eliminación o ajuste de derechos de acceso
magistrales A.7.2.3Proceso disciplinario

R2 Acceso no A.9.4.1 Restricción al acceso a la información

autorizado A.9.1.1 Política de control de acceso
A.11.1.2 Controles físicos de ingreso

R3 Fuga de A.5.1.1 Políticas para seguridad de la

información información
A.8.3.1 Gestión de medios removibles
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
R6 Registros A.8.2.2 Etiquetado de la información
incompletos A.8.2.1 Clasificación de la
información
A.18.2.3 Revisión de cumplimiento
técnico
A.6.1.2 Separación de deberes
A.7.2.1Gestión de responsabilidades
A.7.2.1 Gestión de responsabilidades
R1 Alteración A.7.2.3 Proceso disciplinario
intensional de A.9.1.1 Política de control de acceso
datos A.7.2.3Proceso disciplinario

R7 Alteración A.9.1.1 Política de control de acceso

accidental de A.9.4.5 Control de acceso al código fuente del
datos programa
A.7.2.1 Gestión de responsabilidades
Datos Datos de R5 Eliminación A.9.1.1 Política de control de acceso
Inventariado de accidental de A.9.2.6 Eliminación o ajuste de derechos de acceso
PF, DM Y PS datos
R2 Acceso no A.9.4.1 Restricción al acceso a la información
autorizado A.9.1.1 Política de control de acceso
R3 Fuga de A.5.1.1 Políticas para seguridad de la información
información A.8.3.1 Gestión de medios removibles
A.5.1.2 Revisión de políticas para seguridad de la información
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de
responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
R6 Registros A.8.1.2 Propiedad de los
incompletos activos
A.6.1.2 Separación de deberes
A.8.1.1 Inventario de activos
A.18.2.3Revisión de cumplimiento técnico
A.7.2.1Gestión de responsabilidades
R1 Alteración A.7.2.3Proceso disciplinario
intensional de A.9.1.1 Política de control de acceso
datos
R7 Alteración A.9.1.1 Política de control de acceso
accidental de A.7.2.1 Gestión de responsabilidades
datos
R8 Introducción de A.18.2.3 Revisión de cumplimiento técnico
datos erróneos A.7.2.1 Gestión de responsabilidades
datos Control de R4 Eliminación de A.9.1.1 Política de control de acceso
salarios datos A.9.2.6 Eliminación o ajuste de derechos de acceso
R2 Acceso no A.9.4.1 Restricción al acceso a la información
autorizado A.9.1.1 Política de control de acceso

134
 R3 Fuga de A.5.1.1 Políticas para seguridad de la información
información A.5.1.2 Revisión de políticas para seguridad de la información la
información
A.6.2.1 Política sobre dispositivos móviles
A.8.3.1 Gestión de medios removibles
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
R6 Registros A.18.2.3 Revisión de cumplimiento técnico
incompletos A.18.1.3 Protección de registros
A.6.1.2 Separación de deberes
A.7.2.1Gestión de responsabilidades
R8 Introducción de A.18.2.3 Revisión de cumplimiento técnico
datos erróneos A.18.1.3 Protección de registros
A.7.2.1 Gestión de responsabilidades
datos Lista de R10 Error en el A.18.2.3 Revisión de cumplimiento técnico
medicamentos desarrollo de las A.7.2.1 Gestión de responsabilidades
vencidos y listas
deteriorados
R4 Eliminación de A.9.1.1 Política de control de acceso
datos A.9.2.6 Eliminación o ajuste de derechos de acceso
R7 Alteración A.9.1.1 Política de control de acceso
accidental de A.7.2.1 Gestión de responsabilidades
datos
R3 Fuga de A.5.1.1 Políticas para seguridad de la información
información A.5.1.2 Revisión de políticas para seguridad de la información
A.6.2.1 Política sobre dispositivos
móviles
A.8.3.1 Gestión de medios
removibles
A.13.2.4 Acuerdos de confidencialidad o no
divulgación
A.7.2.1 Gestión de responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
Datos control de R9 Alteración de A.9.1.1 Política de control de acceso
políticas datos A.9.2.6 Eliminación o ajuste de derechos de acceso
R11 Equivocación al A.18.2.3 Revisión de cumplimiento técnico
momento de A.7.2.1 Gestión de responsabilidades
crear
documentos
R3 Fuga de A.6.2.1 Política sobre dispositivos móviles
información A.5.1.1 Políticas para seguridad de la
información
A.5.1.2 Revisión de políticas para seguridad de la
información
A.8.3.1 Gestión de medios
removibles
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
R12 Manipulación de A.9.1.1 Política de control de acceso
los datos de los A.9.2.6 Eliminación o ajuste de derechos de acceso
documentos A.15.1.2 Tratamiento de la seguridad en contratos con proveedores
A.15.1.3 Cadena de suministro de tecnología de información y
comunicación
A.16.1.1 Responsabilidades y procedimientos
A.16.1.2Reporte de eventos en la seguridad de la información
A.16.1.3 Reporte de debilidades en la seguridad de la información
R7 Alteración A.9.1.1 Política de control de acceso
accidental de A.9.2.6 Eliminación o ajuste de derechos de acceso
datos A.7.2.1 Gestión de responsabilidades

R4 Eliminación de A.9.1.1 Política de control de acceso

datos A.9.2.6 Eliminación o ajuste de derechos de acceso

control de R9 Alteración de A.9.1.1 Política de control de acceso

procedimiento datos A.9.2.6 Eliminación o ajuste de derechos de acceso

135
 R11 Equivocación al A.18.2.3 Revisión de cumplimiento
momento de técnico
crear A.6.1.2 Separación de deberes
documentos A.7.2.1Gestión de responsabilidades

R3 Fuga de A.6.2.1 Política sobre dispositivos móviles

información A.5.1.1 Políticas para seguridad de la
información
A.8.3.1 Gestión de medios removibles
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
R12 Manipulación de A.9.1.1 Política de control de acceso
los datos de los A.9.2.6 Eliminación o ajuste de derechos de acceso
documentos A.15.1.2 Tratamiento de la seguridad en contratos con proveedores
A.15.1.3 Cadena de suministro de tecnología de información y
comunicación
A.16.1.1 Responsabilidades y procedimientos
A.16.1.2 Reporte de eventos en la seguridad de la información
A.16.1.3 Reporte de debilidades en la seguridad de la información
A.7.2.3 Proceso disciplinario
R7 Alteración A.9.1.1 Política de control de acceso
accidental de A.9.2.6 Eliminación o ajuste de derechos de acceso
datos
R4 Eliminación de A.9.1.1 Política de control de acceso
datos A.9.2.6 Eliminación o ajuste de derechos de
acceso
A.7.2.3 Proceso disciplinario
Servicios Correo R13 Negación de A.7.2.2Toma de concienciación, educación y capacitación en
electrónico haber recibió un seguridad de la
mensaje información
A.9.1.1 Política de control de acceso
A.7.1.2 Términos y condiciones de empleo
A.7.2.3 Proceso disciplinario
R14 Uso incorrecto A.9.1.1 Política de control de acceso
A.7.1.2 Términos y condiciones de empleo
A.13.2.3Mensajes
A.7.2.3 Proceso
disciplinario
R15 Expansión de A.7.2.2Toma de concienciación, educación y capacitación en
virus seguridad de la
información
A.12.2.1 Controles contra software malicioso
Pago a servicios R4 Eliminación de A.9.1.1 Política de control de
de terceros datos acceso
A.9.2.6 Eliminación o ajuste de derechos de acceso
A.7.2.3Proceso disciplinario
A.7.2.3 Proceso disciplinario
R3 Fugas de A.6.2.1 Política sobre dispositivos móviles
información A.5.1.1 Políticas para seguridad de la información
A.5.1.2 Revisión de políticas para seguridad de la información
A.8.3.1 Gestión de medios removibles
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de
responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la
información
A.7.2.3 Proceso disciplinario
R12 Manipulación de A.9.1.1 Política de control de acceso
los datos de los A.9.2.6 Eliminación o ajuste de derechos de
documentos acceso
A.7.2.1 Gestión de responsabilidades
A.7.2.3 Proceso disciplinario
R9 Alteración de A.7.2.3 Proceso disciplinario
datos A.9.1.1 Política de control de acceso
A.9.2.6 Eliminación o ajuste de derechos de acceso
Internet R11 Caída de los A.12.1.1 Procedimientos documentados de operación
servicios de
internet

136
 R2 Acceso no A.9.1.2 Acceso a redes y a servicios de
autorizado red
A.9.4.1 Restricción al acceso a la información
R16 Abuso de A.9.2.5 Revisión de los derechos de acceso del
beneficios de usuario
acceso A.7.2.1 Gestión de responsabilidades

Boletas de R3 Fugas de A.6.2.1 Política sobre dispositivos móviles

ventas y información A.5.1.1 Políticas para seguridad de la información
compras A.5.1.2 Revisión de políticas para seguridad de la información
emitidas A.8.3.1 Gestión de medios removibles
A.13.2.4 Acuerdos de confidencialidad o no
divulgación
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
R12 Manipulación de A.9.1.1 Política de control de acceso
los datos de los A.9.2.6 Eliminación o ajuste de derechos de
documentos acceso
A.7.2.1 Gestión de responsabilidades
R4 Eliminación de A.9.1.1 Política de control de acceso
datos A.9.2.6 Eliminación o ajuste de derechos de
acceso
A.7.2.3 Proceso disciplinario
Hardware Monitores R17 posibilidad de A.11.1.4 Protección contra amenazas externas y ambientales
que el fuego A.11.2.1 Emplazamiento y protección de los equipos
acabe A.12.3.1 Copia de seguridad de la información
R18 Desgaste debido A.11.2.4 Mantenimiento de
a su uso equipo
A.8.1.3 Uso aceptable de los activos
R19 Avería del A.15.1.2 Tratamiento de la seguridad en contratos con proveedores
hardware A.12.3.1 Copia de seguridad de la información
R20 Corte de A.11.2.1 Ubicación y protección del equipo
suministro A.11.2.9 Política de pantalla y escritorio
eléctrico limpio
A.11.2.2 Servicios de suministro
Hardware Computadoras R17 posibilidad de A.11.1.4 Protección contra amenazas externas y ambientales
que el fuego A.11.2.1 Emplazamiento y protección de los
dañe equipos
A.12.3.1 Copia de seguridad de la información
R18 Desgaste debido A.11.2.4 Mantenimiento de
a su uso equipo
A.11.2.8 Equipo de
usuario.
8.1.3 Uso aceptable de los activos desatendido
R19 Avería del A.15.1.2 Tratamiento de la seguridad en contratos con proveedores
hardware
R21 Uso ilícito A.9.1.1 Política de control de acceso
A.7.1.2 Términos y condiciones de
empleo
A.7.2.1 Gestión de
responsabilidades
A.7.2.3 Proceso disciplinario
R22 Desconexión del A.11.2.4 Mantenimiento de equipo
equipo A.11.2.2 Servicios de suministro
R23 Errores en el A.11.2.4 Mantenimiento de equipo
mantenimiento
actualización del
equipo
R24 Contaminación A.12.3.1 Copia de seguridad de la información
mecánica polvo A.11.2.1 Emplazamiento y protección de los equipos

R20 Corte de A.11.2.1 Ubicación y protección del equipo

suministro A.11.2.9 Política de pantalla y escritorio limpio
eléctrico A.11.2.2 Servicios de suministro

Equipamien Impresoras R18 Desgaste debido A.11.2.4 Mantenimiento de

to auxiliar a su uso equipo
A.8.1.3 Uso aceptable de los activos
R19 Avería del A.11.2.4 Mantenimiento de equipo
hardware

137
 R22 Desconexión del A.11.2.2 Servicios de suministro
equipo

R23 Errores en el A.12.3.1 Copia de seguridad de la información

mantenimiento A.11.2.4 Mantenimiento de equipo
actualización del
equipo

R20 Corte de A.11.2.4 Mantenimiento de equipo

suministro A.11.2.2 Servicios de suministro
eléctrico
R17 Posibilidad de A.11.1.4 Protección contra amenazas externas y ambientales
ocurrir un A.11.2.1 Emplazamiento y protección de los equipos
incendio y dañar
Equipamiento R17 Posibilidad de A.11.1.4 Protección contra amenazas externas y ambientales
de cámaras ocurrir un A.11.2.1 Emplazamiento y protección de los equipos
incendio y dañar A.12.3.1 Copia de seguridad de la información
R24 Contaminación A.11.2.1 Emplazamiento y protección de los equipos
mecánica polvo A.12.3.1 Copia de seguridad de la información
R23 Errores en el A.12.3.1 Copia de seguridad de la
mantenimiento información
actualización del A.11.2.4 Mantenimiento de equipo
equipo
R22 Desconexión del A.11.2.4 Mantenimiento de equipo
equipo A.11.2.2 Servicios de suministro
Discos externos R23 Errores en el A.11.2.4 Mantenimiento de equipo
mantenimiento
actualización del
equipo
R24 Contaminación A.11.2.1 Emplazamiento y protección de los equipos
mecánica polvo A.12.3.1 Copia de seguridad de la información
R25 Robo de Disco A.9.1.1 Política de control de acceso
A.9.2.6 Eliminación o ajuste de derechos de acceso
A.12.3.1 Copia de seguridad de la
información
A.7.2.3 Proceso disciplinario
R26 Destrucción A.9.1.1 Política de control de acceso
deliberada del
disco
R27 Degradación por A.11.2.4 Mantenimiento de equipo
consecuencia del
tiempo
Redes de Sistema de red R28 Posibilidad de A.13.1.2 Seguridad de los servicios de red
Comunicaci equivocaciones A.11.2.3 Seguridad en el
ón en la instalación cableado
A.11.2.1 Emplazamiento y protección de los equipos
R22 Desconexión del A.11.2.2 Servicios de suministro
equipo

R17 Posibilidad de A.11.1.4 Protección contra amenazas externas y

ocurrir un ambientales
incendio y dañar A.11.2.1 Emplazamiento y protección de los equipos
R29 Posibilidad de A.11.1.4 Protección contra amenazas externas y ambientales
que las fugas de A.11.2.1 Emplazamiento y protección de los equipos
agua inunden y
dañen
Red inalámbrica R31 Interceptación A.13.1.2 Seguridad de los servicios de red
de red
R32 Monitorización A.13.1.2 Seguridad de los servicios de red
del tráfico
R2 Acceso no A.9.2.5 Revisión de los derechos de acceso del usuario
autorizado
Software R2 Acceso no A.9.2.5 Revisión de los derechos de acceso del usuario
autorizado

138
 Sistema de R3 Fuga de A.6.2.1 Política sobre dispositivos móviles
Ventas información A.5.1.1 Políticas para seguridad de la información
Ekonopharma A.5.1.2 Revisión de políticas para seguridad de la
información
A.8.3.1 Gestión de medios removibles
A.13.2.4 Acuerdos de confidencialidad o no divulgación
A.7.2.1 Gestión de responsabilidades
A.7.2.2 Toma de concienciación, educación y capacitación en
seguridad de la información
A.7.2.3 Proceso disciplinario
R8 Introducción de A.18.2.3 Revisión de cumplimiento
datos erróneos técnico
A.18.1.3 Protección de registros

Instalación Oficinas Botica R2 Acceso no A.9.4.1 Restricción al acceso a la información

Ekonopharma autorizado A.9.1.1 Política de control de
acceso
A.11.1.2 Controles físicos de
ingreso
A.11.1.3 Seguridad de oficinas, habitaciones e instalaciones
R30 Posibilidad de A.11.1.1 Perímetro de seguridad
ocurrir sismo o física
terremoto A.11.2.1 Emplazamiento y protección de los equipos

R29 Posibilidad de A.11.1.4 Protección contra amenazas externas y ambientales

que las fugas de A.11.2.1 Emplazamiento y protección de los equipos
agua inunden y
dañen

R17 Posibilidad de A.11.1.4 Protección contra amenazas externas y ambientales

ocurrir un
incendio y dañar

Personal Trabajadores R33 Indisponibilidad A.8.1.4 Devolución de activos

por ausencia o A.7.1.2 Términos y condiciones de empleo
despido A.7.3.1 Terminación o cambio de condiciones del empleo
inmediato A.7.2.1 Gestión de responsabilidades

R34 Extorsión por A.6.1.1Roles y responsabilidades sobre seguridad de la información.

obligar a obrar A.6.1.2 Separación de deberes
en mal sentido A.7.3.1Terminación o cambio de condiciones del empleo
R35 Ingeniería social A.7.1.2 Términos y condiciones de empleo
aprovechamiento
de buena fe

Nota. La tabla representa los controles de seguridad de información para Ekonopharma.

Elaboración propia.

139
 ANEXO J PLAN DE TRATAMIENTO DE RIESGOS DE EKONOPHARMA S.A.C
Tabla 47
PLAN DE TRATAMIENTO DE RIESGOS EKONOPHARMA S.A.C
ID del Descripción Activos Niveles Tratamiento del Riesgo Propietario del Personal / Registro Asociado
riesgo del riesgo del Riesgo Recursos
riesgo
R1 Alteración Base de Datos del personal medio Formación tanto interna como 1.-Analista de Tiempo, área de Formato de registro y
intensional de externa del personal, incluyendo de la Seguridad de conferencias Cronograma de
datos estímulos. Concientización a la información. Capacitaciones y
Base de datos de fórmulas magistrales medio través de charlas y recursos de /Coordinadora de actividades o incentivos
seguridad, advertencias, RRHH y Logística
supervisión del personal, fomento 2.- Coordinador de
del sentido de identidad y Calidad/
compromiso con la institución. Coordinador de
Datos de Inventariado de PF, DM Y PS medio Seguridad de la
información
R2 Acceso no Base de Datos de los medicamentos y alto 1.-Informar a todo el personal sus 1.-Coordinador de 1. Información 11.- Directrices sobre roles
autorizado productos sanitarios funciones y roles dentro de la Calidad/ detallada sobre las y responsabilidades
empresa Ekonopharma. Coordinador de responsabilidades, 2.- Normativas de
2.-Estblecer un plan de sanciones Seguridad de la funciones, Seguridad de datos.
por violar un acceso no información sanciones y
Datos de los clientes concurrentes bajo autorizado. consecuencias de
3.- Contar dispositivos que no respetar las
Base de datos de fórmulas magistrales muy alto controles los accesos de personas políticas de
que no pertenecen a la empresa. seguridad de la
Datos de Inventariado de PF, DM Y PS alto
4.-establecer funciones y información en
prohibiciones de acceso a Ekonopharma.
Sistema de ventas Ekonopharma alto documentos o áreas no
autorizados a los trabajadores de
Base de Datos del personal medio la empresa.

Control de salarios medio

Internet medio
Red inalámbrica alto

Oficinas Botica Ekonopharma muy alto

R3 Fuga de Boletas de ventas y compras emitidas medio Normas y protocolos para 1.-Coordinador N. A Procedimiento
información mantener la confidencialidad en la de Calidad/ confidencialidad y
control de políticas alto
información contenida en Coordinador de política de datos personales
Datos de Inventariado de PF, DM Y PS medio documentos y contratos laborales, Seguridad de la
capacitación tanto interna como información

140
 Plan estratégico medio externa para los empleados, 2.-Analista
monitoreo del tráfico en la red y de la Seguridad
Base de Datos del personal alto
restricción de puertos de de la
control de procedimiento medio comunicación innecesarios, con información.
implementación de contraseñas /Coordinador de
Lista de medicamentos vencidos y muy alto
necesarias. RRHH y
deteriorados
Logística
Control de salarios medio
Sistema de ventas Ekonopharma medio
Base de datos de fórmulas magistrales muy alto
Base de Datos de los medicamentos y medio
productos sanitarios

Pago a servicios de terceros alto

R4 Eliminación de Boletas de ventas y compras emitidas medio Supervisar las modificaciones en 1.-Coordinador N. A Directrices de protección
datos los sistemas y la documentación, de Calidad/ de datos.
Pago a servicios de terceros alto
gestionar los accesos de usuarios y Coordinador de
Plan estratégico medio restringir el acceso a las bases de Seguridad de la
control de políticas alto datos. información
control de procedimiento medio
Lista de medicamentos vencidos y muy alto
deteriorados
Control de salarios alto
Base de datos de fórmulas magistrales muy alto
Base de Datos de los medicamentos y muy alto
productos sanitarios
R5 Eliminación Datos de Inventariado de PF, DM Y PS muy alto Formación tanto interna como 1.-Analista de Tiempo, área de Formato de registro y
accidental de externa del personal, incluyendo la Seguridad de conferencias Cronograma de
datos estímulos. Concientización a través la información. Capacitaciones y
de charlas y recursos de seguridad, Coordinadora de actividades o incentivos
Datos de los clientes concurrentes alto advertencias, supervisión del RRHH y
personal, fomento del sentido de Logística
identidad y compromiso con la
institución.
R6 Registros Datos de Inventariado de PF, DM Y PS muy Capacitar al personal en sus 1.-Analista de la Tiempo para Políticas de
incompletos alto actividades y esclarecer sus Seguridad de la capacitaciones de responsabilidades y
Base de datos de fórmulas magistrales muy funciones y tareas dentro de la información. sus funciones y funciones
alto empresa. Coordinadora de tareas
RRHH y
Base de Datos de los medicamentos y muy Logística
productos sanitarios alto

Control de salarios alto

141
R7 Alteración control de procedimiento medio Formación tanto interna como 1.-Analista de Tiempo, área de Formato de registro y
accidental de datos externa del personal, incluyendo la Seguridad de conferencias Cronograma de
Lista de medicamentos vencidos y muy
estímulos. Concientización a través la información. Capacitaciones y
deteriorados alto
de charlas y recursos de seguridad, Coordinadora de actividades o incentivos
advertencias, supervisión del RRHH y
Base de Datos de los medicamentos y medio personal, fomento del sentido de Logística
productos sanitarios identidad y compromiso con la
institución.
Datos de Inventariado de PF, DM Y PS medio

Base de datos de fórmulas magistrales medio

R8 Introducción de Sistema de ventas Ekonopharma alto Formación tanto interna como 1.-Analista de Tiempo, área de Formato de registro y
datos errores externa del personal, incluyendo de la Seguridad conferencias Cronograma de
Base de Datos de los medicamentos y alto estímulos. Concientización a través de la Capacitaciones y
productos sanitarios de charlas y recursos de seguridad, información. actividades o incentivos
advertencias, supervisión del /Coordinadora
personal, fomento del sentido de de
identidad y compromiso con la RRHH y
institución. Logística
Control de salarios alto

R9 Alteración de datos Datos de los clientes concurrentes bajo Supervisar las modificaciones en los 1.-Coordinador N.A Procedimiento para
sistemas, gestionar los accesos de los de Calidad/ Licenciamiento determinar roles y
usuarios, mantener el firewall Coordinador de de antivirus privilegios de usuarios
Pago a servicios de terceros alto
actualizado y promover la Seguridad de la
control de procedimiento medio participación del personal en la información
alto institución.
R10 Error en el desarrollo de Lista de medicamentos muy Formación tanto interna como 1.-Analista de Tiempo, área de Formato de registro y
las listas vencidos y deteriorados alto externa del personal, de la Seguridad conferencias Cronograma de
incluyendo estímulos. de la Capacitaciones y
Concientización a través de información. actividades o incentivos
charlas y recursos de /Coordinadora
seguridad, advertencias, de
supervisión del personal, RRHH y
fomento del sentido de Logística
identidad y compromiso con la
institución.
R11 control de procedimiento medio Formación tanto interna como Tiempo, área de Formato de registro y
externa del personal, conferencias Cronograma de

142
 Equivocación al control de políticas alto incluyendo estímulos. Capacitaciones y
momento de crear Concientización a través de actividades o incentivos
documentos charlas y recursos de
seguridad, advertencias,
supervisión del personal,
fomento del sentido de
identidad y compromiso con la
institución.
R12 Manipulación de los control de procedimiento bajo Supervisar las modificaciones 1.-Coordinador N. A Normas de seguridad de
datos de los documentos Pago a servicios de terceros medio en los sistemas y la de Calidad/ la información.
documentación, gestionar los Coordinador de
Boletas de ventas y medio accesos de usuarios y Seguridad de la
compras emitidas restringir el acceso a las bases información
control de políticas alto de datos.

R13 Negación de haber Correo electrónico alto Guía de responsabilidades y 1.-Coordinador N. A Normas de seguridad
recibió un mensaje procedimientos establecidos, de Calidad/ de la información.
Normas de protección de Coordinador de
R14 Uso incorrecto Correo electrónico alto datos. Seguridad de la
R15 Expansión de virus Correo electrónico alto información

R16 Abuso de beneficios de Internet alto

acceso
R17 posibilidad de que el Sistema de red muy Realizar inspecciones 1.-Alta aparatos de Plan contra incendios
fuego dañe alto regulares para identificar y dirección/ medidas contra
Equipamiento de cámaras muy corregir posibles riesgos de Gerente General incendios
alto incendio, No fumar en áreas
Monitores muy donde haya material
alto inflamable, No fumar en áreas
Computadoras muy donde haya material
alto inflamable Tener un plan de
Impresoras muy evacuación en caso de
alto incendio
Oficinas Botica muy
Ekonopharma alto
R18 Avería del hardware Monitores alto Actualizar regularmente el 1.-Coordinador de Adquirir Plan de
Antivirus, abstenerse de instalar Calidad/ Coordinador Licenciamiento instalación
Computadoras alto programas sin permiso del de antivirus y difusión

143
 Impresoras alto administrador. Cumplir con las de Seguridad de la de
políticas de seguridad información Software
actualizadas. Implementar un
servidor para usuarios y controlar
el acceso por usuario. Asegurar la
configuración correcta del firewall
de seguridad.
R19 Posibilidad de ocurrir un Computadoras muy Tener a disposición una compañía 1.-Alta dirección/ N. A Política contra
incendio y dañar alto externa que se encargue de Gerente General desastres
Equipamiento de cámaras muy proteger contra incendios y
alto brindar asesoramiento al personal
Impresoras muy para actuar adecuadamente en
alto caso de una emergencia.
Monitores muy Compañías aseguradoras que
alto ofrecen cobertura contra
diferentes tipos de desastres, tanto
naturales como provocados por el
hombre (como incendios,
inundaciones, cortocircuitos, etc.).
Contar con una aseguradora que
proteja al negocio de posibles
incidentes como incendios,
terremotos, actos de terrorismo,
huelgas, inundaciones,
cortocircuitos, entre otros.
R20 Corte de suministro Computadoras alto Realizar copias de seguridad 1.-Alta dirección/ N. A cronograma de
eléctrico regularmente. Asegurar un Gerente General mantenimiento y
Monitores alto
suministro constante de energía backup
Impresoras medio para evitar interrupciones en los
procesos.

R21 Uso ilícito Computadoras alto Normas para proteger información 1.-Coordinador de Formato de
sensible y prevenir su exposición Calidad/ Coordinador de confidencialidad y
indebida o pérdida. Establecer Seguridad de la declaración jurada.
directrices para resguardar la información
información de accesos no autorizados o
divulgaciones. Documento de entrega de
dispositivos. Registro que incluye el
nombre del empleado, las características
del equipo asignado, las reglas de uso,
estado del equipo y otros accesorios, así
como la fecha de entrega del dispositivo.

144
R22 Desconexión del equipo Impresoras alto Realizar copias de seguridad 1.-Coordinador de N. A Plan de
regularmente. Asegurar un suministro Calidad/ Coordinador de mantenimiento,
Computadoras Muy alto constante de energía para evitar Seguridad de la cronograma de
Equipamiento de cámaras Muy alto interrupciones en los procesos. información mantenimiento y
backup
Sistema de red Muy alto
R23 Errores en el Impresoras alto
mantenimiento
actualización del equipo Computadoras Muy alto
Equipamiento de cámaras alto

R24 Contaminación mecánica Equipamiento de cámaras Muy alto Contratar a una empresa externa que se 1.-Alta dirección/ N. A Acta de Contrato para
polvo encargue de realizar tanto el Gerente General el mantenimiento
mantenimiento preventivo como respectivo de Equipos
Discos externos alto correctivo de los dispositivos
tecnológicos, tales como portátiles,
impresoras, monitores, cargadores, entre
otros. Esta empresa llevará a cabo de
Computadoras Muy alto manera regular el mantenimiento,
diagnóstico y reparación de los equipos,
asegurando su óptimo funcionamiento.

R25 Robo de Disco Discos externos alto Redactar un documento de entrega a la 1.-Coordinadora de N. A Acta de recibo y
persona encargada del equipo RRHH y logística/ entrega Equipo,
Analista de SI inventario de activos,
acta de custodia de
equipo
R26 Destrucción deliberada del Discos externos alto Realizar copias de seguridad 1.-Coordinador de N. A Plan de
disco regularmente. Asegurar un suministro Calidad/ Coordinador de mantenimiento,
constante de energía para evitar Seguridad de la cronograma de
R27 Degradación por Discos externos alto interrupciones en los procesos. información mantenimiento y
consecuencia del tiempo backup
R28 Posibilidad de Sistema de red alto Contratar servicios externos de 1.-Alta dirección/ N. A Acta de Contrato para
equivocaciones en la asistencia técnica para llevar a cabo el Gerente General el mantenimiento
instalación mantenimiento preventivo y correctivo respectivo de Equipos
de los dispositivos. Se busca una
empresa especializada que se encargue
de mantener, diagnosticar y reparar los
diferentes equipos tecnológicos de
forma periódica (como portátiles,
impresoras, monitores, cargadores, entre
otros).

145
R29 Posibilidad de que las fugas Oficinas Botica Ekonopharma Muy alto Tener a disposición una compañía 1.-Alta dirección/ N. A Política contra
de agua inunden y dañen externa que se encargue de proteger Gerente General desastres
contra incendios y brindar
asesoramiento al personal para actuar
adecuadamente en caso de una
emergencia. Compañías aseguradoras
R30 Posibilidad de ocurrir sismo Oficinas Botica Ekonopharma alto que proporcionan protección contra una
o terremoto variedad de desastres, ya sean causados
por la naturaleza o por el ser humano
(como incendios, inundaciones,
cortocircuitos, etc.). Tener una
compañía de seguros que resguarde al
negocio de posibles eventos como
incendios, terremotos, terrorismo,
huelgas, inundaciones, cortocircuitos,
entre otros, es fundamental.

R31 Interceptación de red Red inalámbrica alto Se debe Cambia las contraseñas del Wi- 1.-Coordinador de N. A Medidas de Seguridad
Fi y de todos los dispositivos conectados Calidad/ Coordinador de de la Información
a ella. Actualizando el firmware y todos Seguridad de la
los dispositivos conectados para corregir información
posibles vulnerabilidades.
Escanear la red en busca de dispositivos
desconocidos que podrían estar
comprometiendo la seguridad de la red.

R32 Monitorización del trafico Red inalámbrica alto

R33 Indisponibilidad por Trabajadores Muy alto Contar con un plan de contingencia que 1.-Analista de Seguridad N. A Plan de contingencia
ausencia o renuncia incluya la incorporación de personal de la Información/
inmediato adicional para cubrir ausencias y Coordinadora de RRHH
garantizar la continuidad de las y Logística
operaciones de la empresa.
R34 Extorsión por obligar a Trabajadores Muy alto Capacitar al personal vulnerable en las 1.-Analista de Seguridad N. A Acta de reunión y Acta
obrar en mal sentido estrategias de los atacantes y promover de la Información/ de capacitación n.
la denuncia de cualquier caso. Coordinadora de RRHH
y Logística
R35 Ingeniería social Trabajadores Muy alto
aprovechamiento de buena
fe

146
 ANEXO K
MATRIZ DE COMUNICACIÓN INTERNA Y EXTERNA EKONOPHARMA S.A.C

Tabla 48
N.º ¿Qué información es ¿En qué momento es ¿Quién tiene la ¿Con quién Tipo Registro Proceso de Comunicación
necesaria adecuado responsabilida debo
transmitir? comunicar? d de transmitir comunicarme?
información?
1 La política de Cuando se actualiza y Analista de SI Todos los Interna Correo Comunicación de las normas de seguridad de la información
Seguridad de la se aprueba la Política empleados de electrónico a través del correo electrónico por parte del Coordinador de la
información establece de Seguridad de la Ekonopharma institucional compañía.
los objetivos que se Información.
deben cumplir en el
manejo y protección
de la información de
una organización.
2 Organización de la SI Cuando se analizan y Analista de SI Todos los Interna Correo Comunicación de información por parte de la Organización de
(Roles y se aprueban las empleados de electrónico Seguridad de la Información a través del correo electrónico
Responsabilidad des) funciones y Ekonopharma institucional del Coordinador.
MOF obligaciones dentro
del Sistema de Gestión
de Seguridad de la
Información (SGSI).
3 Manual del SGSI Cuando se examina y Coordinador de Todos los Interna Correo Envío del Manual del Sistema de Gestión de Seguridad de la
se aprueba el Manual la seguridad de empleados de electrónico Información a través del correo electrónico del Coordinador
del Sistema de Gestión la información. Ekonopharma institucional de la organización.

147
 de la Seguridad de la
Información.
4 Programa de Semestral Coordinador de Todos los Interna Correo Transmisión del programa de formación y sensibilización
formación y Seguridad de la empleados de electrónico mediante un mensaje electrónico.
sensibilización en información Ekonopharma institucional
protección de datos.
5 Informe sobre la Mensual Coordinador de Alta dirección y Interna Acta de Informe del progreso de la aplicación de medidas de control,
situación de la Seguridad de la Analista de SI reunión mediante una junta de trabajo.
implementación de los información
controles de
Seguridad de la
Información.
6 Informe sobre la Bimestral Coordinador de Alta dirección Interna Acta de Reporte de evaluación del Sistema de Gestión de Seguridad
evaluación del Seguridad de la reunión de la Información expuesto en una reunión con los líderes
Sistema de Gestión de información empresariales más importantes.
Seguridad de la
Información llevada a
cabo por la alta
dirección.
7 Informe sobre el Bimestral Coordinador de Alta dirección Interna Correo Dar cuenta de los incidentes de seguridad de la información
manejo de Seguridad de la Todos los electrónico ocurridos durante las reuniones. Enviar el reporte de estos
contratiempos de información colaboradores institucional incidentes por medio del correo electrónico institucional.
seguridad informática
8 Informe sobre los De acuerdo con el Coordinador de Alta Dirección Interna Acta de Comunicación de los resultados obtenidos en las revisiones
resultados obtenidos Programa de Seguridad de la reunión internas del Sistema de Gestión de Seguridad de la
en las auditorías Auditorías Internas Información Correo Información durante una reunión. Compartir el informe de las
internas del Sistema electrónico inspecciones internas del SGSI a través de un correo
de Gestión de la electrónico con el Coordinador de la organización.

148
 Seguridad de la
Información.

9 Reporte sobre las Después de las Coordinador de Alta Dirección Interna Acta de Transmitir la información sobre las medidas correctivas y de
medidas correctivas y auditorias Seguridad de la Analista de SI reunión mejora durante una reunión.
de mejora Información Correo Enviar por email el informe actualizado sobre el progreso de
electrónico las solicitudes de acción correctiva.
10 Conclusiones de la Según lo planificado Coordinador de Alta Dirección y Interna Acta de Transmisión de los resultados de la auditoría de certificación
inspección de Seguridad de la Analista de SI reunión del Sistema de Gestión de Seguridad de la Información en una
certificación del Información Correo reunión. Divulgación del informe de la auditoría de
Sistema de Gestión de electrónico certificación del SGSI mediante el uso del correo electrónico
Seguridad de la corporativo.
Información.

Nota. La tabla representa Matriz de comunicación interna y externa en Ekonopharma.

149
 PRESUPUESTO

Tabla 49
Bienes
BIENES COSTO (S/.)
Un ordenador personal 4500.00
Unidad de almacenamiento 300.00
Impresora 365.00
Otros 200.00
TOTAL 5365.00
Nota. La tabla representa el presupuesto de la inversión en bienes

Tabla 50
Servicios
SERVICIOS COSTO (S/.)
Fluido eléctrico 650.00
Internet 320.00
Servidor de la nube 1000.00
Asesoría de expertos 2500.00
TOTAL 4470.00
Nota. La tabla representa el presupuesto de la inversión en servicios

Tabla 51
Resumen del presupuesto
RESUMEN DE INVERSIÓN
Total, bienes 5365.00
Total, servicios 4470.00
TOTAL 9835.00
Nota. La tabla representa el resumen del presupuesto

150
 “Año del Fortalecimiento de la Soberanía Nacional”

CONSTANCIA DE ORIGINALIDAD DE TRABAJO DE INVESTIGACIÓN

CONSTANCIA Nº 012-2024-KPS-FIMGC/UNSCH
El que suscribe; responsable verificador de originalidad de trabajos de tesis de pregrado con el software
Turnitin, en segunda instancia para las Escuelas Profesionales de la Facultad de Ingeniería de Minas,
Geología y Civil; en cumplimiento a la Resolución de Consejo Universitario Nº 039-2021-UNSCH-CU,
Reglamento de Originalidad de Trabajos de Investigación de la Universidad Nacional San Cristóbal de
Huamanga y Resolución Decanal Nº 473-2023-FIMGC-D, deja constancia de originalidad de trabajo de
investigación, que el/la Sr./Srta.

Nombres y Apellidos : Lisset Karen LIMA LOAYZA

Escuela Profesional : INGENIERÍA DE SISTEMAS

Título de la Tesis : Sistema de gestión de seguridad de la información según ISO/IEC

27001 para las pymes del Perú, 2024

Evaluación de la Originalidad : 24% Índice de Similitud

Identificador de la entrega : 2474899363

Por tanto, según los Artículos 12, 13 y 17 del Reglamento de Originalidad de Trabajos de Investigación,
es PROCEDENTE otorgar la Constancia de Originalidad para los fines que crea conveniente.

En señal de conformidad y verificación se firma la presente constancia

Ayacucho, 09 de octubre de 2024

Con depósito para Sustentación y Tramites

C.c. Archivo FACULTAD DE INGENIERIA DE MINAS, GEOLOGIA Y CIVIL
Av. Independencia S/N Ciudad Universitaria
Central Tel. 066 312510
Anexo 151
 Sistema de gestión de
seguridad de la información
según ISO/IEC 27001 para
las pymes del Perú, 2024
por Lisset Karen Lima Loayza

Fecha de entrega: 04-oct-2024 09:26a.m. (UTC-0500)

Identificador de la entrega: 2474899363
Nombre del archivo: Lisset_Karen_Lima_Loayza.pdf (3.6M)
Total de palabras: 42120
Total de caracteres: 224831
Sistema de gestión de seguridad de la información según
ISO/IEC 27001 para las pymes del Perú, 2024
INFORME DE ORIGINALIDAD

24 %
INDICE DE SIMILITUD
24%
FUENTES DE INTERNET
8%
PUBLICACIONES
15%
TRABAJOS DEL
ESTUDIANTE

FUENTES PRIMARIAS

1
repositorio.usmp.edu.pe
Fuente de Internet 8%
2
repository.unad.edu.co
Fuente de Internet 1%
3
Submitted to Universidad Internacional de la
Rioja
1%
Trabajo del estudiante

4
Submitted to Universidad Nacional Abierta y a
Distancia, UNAD,UNAD
1%
Trabajo del estudiante

5
repositorio.unne.edu.ar
Fuente de Internet 1%
6
vsip.info
Fuente de Internet 1%
7
repositorio.unamba.edu.pe
Fuente de Internet 1%
8
repositorio.upn.edu.pe
Fuente de Internet 1%
9
repositorio.espe.edu.ec
Fuente de Internet 1%
10
repositorio.uta.edu.ec
Fuente de Internet 1%
11
repositorio.pucesa.edu.ec
Fuente de Internet 1%
12
bibdigital.epn.edu.ec
Fuente de Internet 1%
13
repository.unipiloto.edu.co
Fuente de Internet 1%
14
stadium.unad.edu.co
Fuente de Internet 1%
15
repositorio.undac.edu.pe
Fuente de Internet 1%
16
www.adinelsa.com.pe
Fuente de Internet 1%
17
cybertesis.unmsm.edu.pe
Fuente de Internet <1 %
18
www.slideshare.net
Fuente de Internet <1 %
19
openaccess.uoc.edu
Fuente de Internet <1 %
20
repositorio.ug.edu.ec
Fuente de Internet <1 %
21
Submitted to Universidad Tecnológica
Centroamericana UNITEC
<1 %
Trabajo del estudiante

22
Submitted to UDELAS: Universidad
Especializada de las Americas Panama
<1 %
Trabajo del estudiante

23
Submitted to Universidad Cesar Vallejo
Trabajo del estudiante <1 %
24
Submitted to Universidad Distrital FJDC
Trabajo del estudiante <1 %
25
Bernal, Jennyfer Ospina. "T.I.l (Tiempo de
Interacción y Lectura) Desarrollo de la Lectura
<1 %
en Estudiantes Con Discapacidad Intelectual
Límite de Segundo Grado", Universidad
Distrital Francisco José de Caldas (Colombia),
2024
Publicación

26
uvadoc.uva.es
Fuente de Internet <1 %
27
Submitted to Fundacion Universitaria Juan de
Castellanos
<1 %
Trabajo del estudiante

28
Submitted to Universidad de Santiago de
Chile
<1 %
Trabajo del estudiante
29
Cossio Medina, Jorge Alberto.
"Implementacion de un sistema integrado de
<1 %
gestion de monitoreo del circuito consultorio-
farmacia-logistica en la atencion ambulatoria
del hospital central PNP. Luis N Saenz de la
direccion de sanidad PNP, en la ciudad de
Lima.", Pontificia Universidad Catolica del
Peru - CENTRUM Catolica (Peru), 2021
Publicación

30
repositorio.unprg.edu.pe
Fuente de Internet <1 %
31
Submitted to Universidad Nacional de
Colombia
<1 %
Trabajo del estudiante

32
Submitted to
consultoriadeserviciosformativos
<1 %
Trabajo del estudiante

33
Vargas Barrios, Pedro Julio. "Modelo de
Seguridad Para Plataformas Colaborativas de
<1 %
E-Ciencia Sobre Cloud Computing",
Universidad Distrital Francisco José de Caldas
(Colombia), 2024
Publicación

34
repositorio.uisrael.edu.ec
Fuente de Internet <1 %
35
Submitted to Universidad Pontificia
Bolivariana
<1 %
 Trabajo del estudiante

36
María Palacios Guillem. "Propuesta de un
nuevo procedimiento basado en la norma ISO
<1 %
9001 para la gestión conjunta de la norma
ISO 31000, la filosofía Kaizen y la herramienta
Lean Manufacturing en pymes industriales de
la Comunidad Valenciana.", Universitat
Politecnica de Valencia, 2021
Publicación

37
Jezreel Mejia, Mima Munoz, Heltton Ramirez.
"Proposed framework for the CSIRT
<1 %
protection", 2016 11th Iberian Conference on
Information Systems and Technologies
(CISTI), 2016
Publicación

Excluir citas Activo Excluir coincidencias < 30 words

Excluir bibliografía Activo