Está en la página 1de 33

FACULTAD DE INGENIERIA

ESCUELA ACADEMICA PROFESIONAL DE


INGENIERIA DE SISTEMAS
PROYECTO DE INVESTIGACION
DETERMINACION DE FACTORES CRITICOS DE EXITO PARA
PLANIFICAR LA IMPLEMENTACIN DE LA NORMA ISO 27001 EN
LA EMPRESA INVERSIONES PRISCO SAC

AUTOR
DIANA ZAPATA MORAN

PROFESOR
LUIS VELEZ UBILLUS

LINEA DE INVESTIGACION
AUDITORIA DE SISTEMAS Y SEGURIDAD DE LA INFORMACION
PIURA PERU
2016

Escuela de Ingeniera de Sistemas

CONTENIDO
I.

INTRODUCCIN..........................................................................5

1.1

REALIDAD PROBLEMTICA........................................................................5

1.2

TRABAJOS PREVIOS.................................................................................. 7

1.3

1.4

1.2.1

INTERNACIONALES.......................................................................7

1.2.2

NACIONALES................................................................................. 8

1.2.3

LOCALES..................................................................................... 10

TEORIAS RELACIONADAS.......................................................................11
1.3.1

NORMAS INTERNACIONALES ISO.-..............................................11

1.3.2

FAMILIA DE NORMAS ISO 27000.-...............................................11

1.3.3

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN.-....13

1.3.4

FACTORES CRTICOS DE XITO.-.................................................13

1.3.5

INVERSIONES PRISCO S.A.C.-.....................................................14

FORMULACIN DEL PROBLEMA..............................................................15


1.4.1

PREGUNTA PRINCIPAL.-...............................................................15

1.4.2

PREGUNTAS ESPECFICAS.-.........................................................15

1.5

JUSTIFICACIN DEL ESTUDIO..................................................................16

1.6

HIPTESIS.............................................................................................. 16

1.7

OBJETIVO................................................................................................ 16
1.7.1

OBJETIVO GENERAL.-..................................................................16

1.7.2

OBJETIVOS ESPECFICOS.-..........................................................16

II. MTODO..................................................................................17
2.1

2.2

2.3

DISEO DE INVESTIGACIN....................................................................17
2.1.1

TIPO DE ESTUDIO.-.....................................................................17

2.1.2

DISEO DEL ESTUDIO.-...............................................................17

VARIABLES, OPERACIONALIZACIN........................................................17
2.2.1

VARIABLES.-................................................................................ 17

2.2.2

OPERACIONALIZACIN DE VARIABLES.-......................................17

POBLACIN Y MUESTRA.........................................................................20
2.3.1

POBLACIN................................................................................. 20

2.3.2

MUESTRA.................................................................................... 20

2.4
TCNICAS E INSTRUMENTOS DE RECOLECCIN DE DATOS, VALIDEZ Y
CONFIABILIDAD................................................................................................ 20
2.5

MTODOS DE ANLISIS DE DATOS.........................................................21

Escuela de Ingeniera de Sistemas

Escuela de Ingeniera de Sistemas

I.

INTRODUCCIN
I.1 REALIDAD PROBLEMTICA
La informacin es inherente a las sociedades y su evolucin. Todas las
civilizaciones de diferentes maneras y caractersticas han hecho uso de
ella en menor o mayor escala, y les ha permitido en forma privilegiada,
la toma de decisiones, que han constituido en una ventaja competitiva
para aquel que la posea.
Las diferentes organizaciones a nivel mundial, tanto pblicas como
privadas, cada da estn generando datos, actas, reportes, archivos y
material de diferente inters e importancia para los mismos y sus
clientes,

representando

un

flujo

de

vital

importancia

para

su

funcionamiento. Este volumen de informacin la mayora de ocasiones


es almacenada en diferentes medios que pueden ser fsicos como
electrnicos, para posteriormente estar a disponibilidad del personal
que lo requiera para la toma de decisiones o realizacin de actividades
inherentes a sus cargos.

Debido a esta exposicin de grandes

volmenes de datos, el acceso a la informacin en forma no autorizada


se ha hecho ms fcil, y ha dejado expuesta su vulnerabilidad; para
citar lo expuesto (EMorn, 2013) manifest que en el Per se registran
500 Robos mediante el Internet

lo que genera una prdida anual

acumulada de 98 millones de soles. Sin embargo, slo dos de los 10


delitos cibernticos ms usados en el mundo estn adecuadamente
tipificados en el pas.
Por esta y otras razones, existe la necesidad de proteger la informacin
de la organizacin que tenga relacin con el negocio y sus clientes, para
ello se pueden adoptar algunos de los estndares existentes en la
industria tales como la norma ISO 27001. Sin duda la clave del xito
consiste en adoptar polticas, buenas prcticas y sistemas que permitan
garantizar la calidad de sus productos, procesos e informacin y
generando valor agregado que satisfagan a sus clientes.
Para lograr el reconocimiento y competitividad, la International Standard
Organization (ISO) ha desarrollado una serie de normas para los
diferentes sectores; con lo cual se pretende buscar clientes satisfechos y
una organizacin productiva, al mismo tiempo ofrece una gran

Escuela de Ingeniera de Sistemas

oportunidad de mejorar continuamente y lograr consolidarse como una


empresa de vanguardia.
En

este

contexto,

internacionales

las

tales

organizaciones

como

ISO

27001

implementan
como

estndares

soporte

para

la

implementacin del Sistema de Gestin de Seguridad de la Informacin


(SGSI) orientado a proteger los activos tales como documentacin,
hardware, software y personas. No obstante no existe informacin sobre
resultados exitosos en la regin, en relacin a la implementacin de un
sistema de gestin de seguridad de la informacin bajo la norma ISO
27001 por lo que se trata de un proceso que involucra un alto grado de
riesgo e incertidumbre.
La empresa Inversiones Prisco SAC, es una empresa pesquera peruana.
Se dedica a la extraccin, cultivo, procesamiento y comercializacin de
productos

pesqueros

para

consumo

directo.

La

empresa

posee

aproximadamente 140 equipos de cmputo, los cuales estn ubicados


en diferentes unidades operativas; algunos de ellos estn expuestos a
accesos no autorizados, debido a que los equipos, dispositivos y
servidores no se encuentran debidamente protegidos, por no existir una
adecuada segmentacin de la red informtica. Adems cada equipo
posee sus propios usuarios locales, los cuales son fciles de vulnerar. Se
suma a ello que la informacin institucional se encuentra expuesta
debido a la falta de directivas que gestionen las contraseas de los
usuarios.
La

empresa

Inversiones

Prisco

SAC

constantemente

intercambia

informacin privilegiada con otras empresas del rubro: acuerdos


comerciales, contratos,

informacin de clientes potenciales, etc.

No

obstante no se han determinado responsabilidades y procedimientos


para l envi transmisin, recepcin y confirmacin. Tampoco se ha
implementado la firma electrnica que verifique la validez y garantice la
privacidad de la informacin confidencial. Por lo tanto algn atacante
interno o externo podra explotar algunas de las vulnerabilidades
existentes ocasionando dao a los activos de informacin, generando
as una alta exposicin al riesgo de prdidas econmicas para la
organizacin.

Escuela de Ingeniera de Sistemas

Finalmente estos sistemas de informacin con los que cuenta la


organizacin, deben ser evaluados, estableciendo procedimientos de
control para tener la garanta de maximizar la efectividad del proceso
de auditora y de minimizar las interferencias del propio sistema de
informacin Se deben considerar la existencia de controles durante el
proceso de auditora que salvaguarden la integridad de las herramientas
de la auditora y que prevengan de su mala utilizacin.
La importancia de la informacin justifica la necesidad de controles y
gestin de la seguridad sobre la misma y no solamente desde un punto
de vista legal en cuanto a datos personales se refiere, sino con carcter
integral y holstico a toda la informacin que se utiliza dentro de la
organizacin, convirtindose en un complemento importante y que
aporta un valor agregado de confianza y compromiso ante clientes o
terceros ajenos a la organizacin. Por lo tanto es imperativo aplicar por
todas las razones antes expuestas, la cada vez ms aceptada e incluso
exigida aplicacin de normas ISO entre empresas a nivel internacional.
Para la implementacin de la norma ISO 27001 no existe una base nica
de factores crticos de xito con iguales formas de aplicacin, pues
mucho depende de la empresa y el sector en el que se desempea. No
es lo mismo si se trata de una organizacin

industrial, comercial,

minera, pblica, etc. Adems muy pocos antecedentes de estudios o


experiencias previas relacionados con factores crticos de xito para la
implementacin de la norma ISO 27001.
El tal sentido, se hace importante realizar una evaluacin minuciosa de
los factores crticos de xito como proceso previo a la planificacin del
sistema de gestin de seguridad de la informacin conforme a la norma
ISO 27001, a fin de garantizar una planificacin

exitosa para la

implementacin.
I.2 TRABAJOS PREVIOS
I.2.1 INTERNACIONALES
Plan de Implementacin del SGSI basado en la norma ISO
27001:2013 (Salcedo Robin).
Describe los objetivos, el alcance, la expectativa del SGSI y la
metodologa asociada a la definicin, planeacin, identificacin y

Escuela de Ingeniera de Sistemas

creacin del modelo de seguridad de la informacin para la


organizacin ISAGXXX, basado en la norma ISO 27001:2013;
iniciando desde el entendimiento de la organizacin desde la ptica
de los procesos crticos de la operacin de energa, ejecucin del
diagnstico de seguridad de la informacin, identificacin de las
principales vulnerabilidades y amenazas, aplicando una metodologa
de gestin del riesgos para la gestin de riesgos de seguridad de la
informacin, planeacin de los planes de tratamiento de riesgos y
generacin del marco documental del sistema de gestin de
seguridad de la informacin para ISAGXXX.
(URL: http://openaccess.uoc.edu)
Auditora

de

Seguridad

Informtica

ISO

27001

para

la

empresa de alimentos Italimentos CIA LTDA (Cadme Ruiz &


Duque Pozo).
Su objetivo general es llevar a cambio una auditora de seguridad
informtica utilizando como modelo de referencia la norma ISO
27001. Dentro de la metodologa a utilizar es de tipo documental y
aplicada.
(URL: http://dspace.ups.edu.ec)
Metodologa de Implantacin de un SGSI en un grupo
empresarial jerrquico (Pallas Mega)
El mbito de aplicacin del presente trabajo, es amplio en el sentido
que alcanza a grupos empresariales y organizaciones donde existe
una relacin jerrquica o de subordinacin, relacin que condiciona
la gestin de la seguridad de la informacin y que debe incorporarse
como tal a un SGSI.
Este trabajo, y la metodologa que en l se propone, se centra en una
empresa

subordinada

como

parte

constitutiva

de

un

grupo

empresarial jerrquico, donde existe otra, que denominaremos


principal. sta ltima, eventualmente podra tener ya, un SGSI
implantado y ser considerada en cuanto al contexto y cmo
condiciona al SGSI de la primera, pero no ser el objeto principal de
anlisis.
(URL: http://dspace.ups.edu.ec)

Escuela de Ingeniera de Sistemas

I.2.2 NACIONALES
Diseo de Procedimientos de Auditora de Cumplimiento de
la norma NTP-ISO/IEC 17799:2007 como parte del proceso de
implantacin de la norma tcnica NTP-ISO/IEC 27001:2008 en
instituciones del Estado Peruano (Huamn Monzn).
El objetivo fue establecer un procedimiento de auditora de
cumplimiento

para

la

Norma

Tcnica

Peruana

NTP-ISO/IEC

17799:2007 en las instituciones del Estado Peruano basado en el


marco COBIT 5.0, como parte del proceso de implantacin de la
Norma Tcnica Peruana NTP-ISO/IEC 27001:2008 con la finalidad de
mejorar la gestin de la seguridad de la informacin en las
instituciones del Estado Peruano.
(URL: http://tesis.pucp.edu.pe)
Anlisis y diseo de un sistema de gestin de seguridad de
informacin basado en la norma ISO/IEC 27001:2005 para una
empresa de produccin y comercializacin de productos de
consumo masivo (Espinoza Aguinaga).
El objetivo general fue disear un sistema de gestin de seguridad
de informacin, basado en la norma ISO/IEC 27001:2005 para una
empresa dedicada a la produccin y comercializacin de alimentos
de consumo masivo. La metodologa se realiz en base a MAGERIT II.
Como parte de las conclusiones tenemos que se debe tenerse en
cuenta que el diseo de SGSI presentado se adapta a los objetivos
actuales del proceso de produccin, en el cual se ha basado el
proyecto, y que este diseo podra variar ya que los objetivos
estratgicos y de gobierno de le empresa pueden cambiar y por ello
algunos sub procesos que forman parte del alcance del proyecto,
tambin lo harn.
(URL: http://tesis.pucp.edu.pe)

Escuela de Ingeniera de Sistemas

Diseo e Implementacin de un Sistema de Gestin de


Seguridad

de

Informacin

en

Procesos

Tecnolgicos

(Barrantes Porras & Hugo Herrera)


El propsito de este trabajo se centr en la implementacin de un
Sistema de Gestin de Seguridad de la Informacin (SGSI), bajo una
metodologa de anlisis y evaluacin de riesgos desarrollada y
diseada por los autores de este trabajo, tambin se usaron como
referencias las normas ISO 27001:2005 e ISO 17799:2005.
(URL: http://www.repositorioacademico.usmp.edu.pe)
Plan de mejora de la Seguridad de Informacin y Continuidad
del Centro de Datos de la Gerencia Regional de Educacin La
Libertad

aplicando

lineamientos

ISO

27001

buenas

prcticas COBIT
El objetivo de este proyecto es elaborar un plan de mejora de
seguridad de la informacin y continuidad del Centro de Datos, y
mostrar los resultados obtenidos de la auditoria de sistemas,
utilizando la metodologa MAIGTI, el marco de trabajo y las
directrices de auditora propuestas por lineamientos ISO 27001 y
buenas prcticas COBIT 4.0.
(URL: http://repositorio.upao.edu.pe)

I.2.3 LOCALES
Evaluacin

de

la

seguridad

de

las

tecnologas

de

informacin del Hospital de la Amista Per Corea- Santa Rosa


de Piura mediante una auditoria informtica basada en NTP
ISO 17799:2007 (Arrunategui Li & Mendoza Jimnez).
Su objetivo fue Mejorar la evaluacin del nivel de la seguridad de las
tecnologas de la Informacin del Hospital de la Amistad Per Corea
Santa Rosa de Piura mediante una Auditoria Informtica basada en la
NTP ISO 17799:2007.

Escuela de Ingeniera de Sistemas

La metodologa usada es el rbol de anlisis (modelo marco lgico)


para identificar las causas que originan los problemas y los
Instrumento fueron entrevista, encuesta.
(Fuente: Universidad Csar Vallejo)
Adaptacin del Estndar internacional ISO IEC-27002 para
la gestin de la seguridad de la informacin en la oficina de
informtica, telecomunicaciones y estadsticas de la DIRESA
(Flores Guerrero).
El objetivo fue minimizar la exposicin a los riesgos que amenacen la
gestin de la seguridad de la informacin. La Metodologa utilizada
fue la ISO 27002 como marco normativo, el desarrollo de auditoras
propuestas

por

INEI.

Los

Instrumentos

utilizados

fueron

los

cuestionarios y la evaluacin.
(Fuente: Universidad Csar Vallejo)
Evaluacin

de

la

seguridad

de

las

tecnologas

de

la

informacin en la empresa consolidate Group del Per SAC


basado en NTP ISO / EIC 17799:2007 (Nieves Benites).
El objetivo preliminar fue la evaluacin de la situacin actual de la
organizacin respecto a la seguridad e identificar los riesgos con el
propsito de definir controles. En la metodologa se aplicaron
estadsticas Instrumentos, entrevistas y encuestas.
(Fuente: Universidad Csar Vallejo)

Escuela de Ingeniera de Sistemas

I.3 TEORIAS RELACIONADAS.


I.3.1 NORMAS INTERNACIONALES ISO.Las Normas Internacionales ISO aportan una contribucin positiva al
mundo en que vivimos. Facilitan el comercio, la difusin del
conocimiento, diseminan los avances innovadores en tecnologa, y
comparten

buenas

prcticas

de

gestin

evaluacin

de

la

conformidad.
Las normas ISO proporcionan soluciones y beneficios para casi todos
los sectores de actividad, incluida la agricultura, construccin,
ingeniera

mecnica,

fabricacin,

distribucin,

transporte,

dispositivos mdicos, tecnologas de la informacin y comunicacin,


medio ambiente, energa, gestin de la calidad, evaluacin de la
conformidad y servicios.
ISO es la Organizacin Internacional de Normalizacin. Los miembros
que la componen son los organismos nacionales de normalizacin de
pases industrializados, en desarrollo y en transicin, de todos los
tamaos y de todas las regiones del mundo. El portafolio de ISO, con
ms de 18,000 normas, provee de herramientas prcticas a las
empresas, los gobiernos y la sociedad, para el desarrollo sostenible
de las variables econmicas, ambientales y sociales.
(URL: http://www.iso.org)
I.3.2 FAMILIA DE NORMAS ISO 27000.La familia de normas ISO/IEC 27000 son estndares de seguridad
publicados

por

la Organizacin

Estandarizacin (ISO)

Internacional

la Comisin

para

la

Electrotcnica

Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en Seguridad
de

la

informacin para

desarrollar,

implementar

mantener

Especificaciones para los Sistemas de Gestin de la Seguridad de la

Escuela de Ingeniera de Sistemas

Informacin (SGSI). la mayora de estas normas se encuentran en


preparacin e incluyen:
ISO/IEC 27000.- Es un vocabulario estndar para el SGSI. Se
encuentra en desarrollo actualmente.
ISO/IEC 27001.- Es la norma que especifica los requisitos
para la implantacin del SGSI. Es la norma ms importante de la
familia. Adopta un enfoque de gestin de riesgos y promueve la
mejora continua de los procesos. Fue publicada como estndar
internacional en octubre de 2005.
ISO/IEC
techniques

27002.- Information
-

Code

of

practice

technology
for

information

Security
security

management. Previamente BS 7799 Parte 1 y la norma ISO/IEC


17799. Es cdigo de buenas prcticas para la gestin de
seguridad de la informacin. Fue publicada en julio de 2005 como
ISO 17799:2005 y recibi su nombre oficial ISO/IEC 27002:2005 el
1 de julio de 2007.
ISO/IEC 27003.- Son directrices para la implementacin de
un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1
de febrero de 2010, No est certificada actualmente.
ISO/IEC 27004.- Son mtricas para la gestin de seguridad
de la informacin. Es la que proporciona recomendaciones de
quin, cundo y cmo realizar mediciones de seguridad de la
informacin. Publicada el 7 de diciembre de 2009, no se
encuentra traducida al espaol actualmente.
ISO/IEC 27005.- Trata la gestin de riesgos en seguridad de
la informacin.

Es

la que

proporciona

recomendaciones

lineamientos de mtodos y tcnicas de evaluacin de riesgos de


Seguridad en la Informacin, en soporte del proceso de gestin de
riesgos de la norma ISO/IEC 27001. Es la ms relacionada a la
actual British Standard BS 7799 parte 3. Publicada en junio de
2008.
ISO/IEC 27006:2007.- Requisitos para la acreditacin de las
organizaciones que proporcionan la certificacin de los sistemas
de gestin de la seguridad de la informacin. Esta norma

Escuela de Ingeniera de Sistemas

especfica requisitos especficos para la certificacin de SGSI y es


usada en conjunto con la norma 17021-1, la norma genrica de
acreditacin.
ISO/IEC 27007.- Es una gua para auditar al SGSI. Se
encuentra en preparacin.
ISO/IEC 27016.- Es una norma de anlisis financiero y
econmico para los SGSI.
ISO/IEC 27799:2008.- Es una gua para implementar ISO/IEC
27002 en la industria de la salud.
ISO/IEC

27035:2011.- Seguridad

de

la

informacin

Tcnicas de Seguridad Gestin de Incidentes de Seguridad. Este


estndar hace foco en las actividades de: deteccin, reporte y
evaluacin de incidentes de seguridad y sus vulnerabilidades.
(URL: https://es.wikipedia.org)
I.3.3 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN.Un Sistema de Gestin de Seguridad de la Informacin (ISMS) es un
conjunto de polticas de administracin de la informacin. El trmino
es utilizado principalmente por la ISO/IEC 27001, aunque no es la
nica normativa que utiliza este trmino o concepto. Un ISMS es para
una organizacin el diseo, implantacin, mantenimiento de un
conjunto de procesos para gestionar eficientemente la accesibilidad
de la informacin, buscando asegurar la confidencialidad, integridad
y disponibilidad de los activos de informacin minimizando a la vez
los riesgos de seguridad de la informacin. Como todo proceso de
gestin, un ISMS debe seguir siendo eficiente durante un largo
tiempo adaptndose a los cambios internos de la organizacin as
como los externos del entorno.
(URL: https://es.wikipedia.org)

I.3.4 FACTORES CRTICOS DE XITO.-

Escuela de Ingeniera de Sistemas

Se

definen

como

el

conjunto

mnimo

de

reas

(factores)

determinantes de los cuales si se obtienen resultados satisfactorios


aseguran el xito del proyecto o gestin en la organizacin.
A continuacin se presentan algunos de los factores crticos
recomendados para una efectiva implementacin de la ISO/IEC
27001:
Alineamiento de negocios: Los objetivos y actividades de
seguridad de la informacin deben estar alineados con los
objetivos y requisitos de negocio, y dirigido por la gestin
empresarial.
Apoyo organizacional: El apoyo de la direccin es considerada
crucial para el xito de seguridad de la informacin de una
organizacin.
Conciencia organizacional: La estrategia de la seguridad de la
informacin de una organizacin debera abordar de manera
integral los factores humanos, como la conciencia de seguridad y
capacitacin en seguridad.
Competencia de TI: Las competencias de TI se refieren a las
capacidades

integradas

interrelacionadas

de

elementos

esenciales para el cumplimiento de un objetivo empresarial.


Desarrollo de controles de seguridad: Se identifican los
siguientes procesos de desarrollo de los controles de seguridad de
alta prioridad: gestin de riesgos, la implementacin de polticas
de seguridad, y el cumplimiento de las normas.
Evaluacin de desempeo: La evaluacin del desempeo de la
Gestin de Sistemas de Informacin se utiliza para monitorear el
progreso hacia el logro de objetivos, identificacin de las causas
de un rendimiento insatisfactorio, y la mejora continua de la
gestin.
(URL: http://www.deinsa.com/cmi/documentos/)

Escuela de Ingeniera de Sistemas

I.3.5 INVERSIONES PRISCO S.A.C.Inversiones Prisco SAC es una empresa peruana especializada en la
industria pesquera, formada inicialmente como productora de
conservas. Actualmente cuenta con 4 plantas ubicadas en la costa
norte del Per: dos de ellas son productoras de harina y aceite de
pescado, una de congelados e IQF, y la otra produce conservas.
Cumple con los estndares internacionales y est en constante
innovacin

de

productos

tecnologas,

cuenta

con

las

certificaciones de calidad y seguridad que el mercado internacional


exige. Las lneas de productos son las siguientes:

LNEA DE CONSERVAS.Inversiones

Prisco

SAC

produce

enlatados

de

pescados

hidrobiolgicos de todo tipo: conservas de calamar gigante tipo


abaln o tipo pulpo, conservas de calamar entero o relleno, mixturas
de mariscos y verduras en salsas gourmet tipo paella y criolla,
conservas de frejol de palo, conservas tipo sardinilla espaola, entre
otros. Cuenta con diferentes presentaciones de latas de fcil
apertura. Estos productos cumplen estrictamente el estndar del
USFDA, con una calidad y sabor apreciado en mercados americanos
y europeos.
LNEA DE CONGELADOS.Inversiones Prisco SAC

produce congelados & IQF de pescados e

hidrobiolgicos de todo tipo y en mltiples presentaciones. De


calamar gigante se tiene: tubos limpios, cubos, palitos, aletas y
tentculos; de calamar se tiene: anillos, tubos y tentculos limpios;
de perico (Mahi-Mahi) se tiene: filetes limpios o con piel, enteros o
trozados; de concha de abanico se tiene: tallo limpio o con coral; de
Langostino se tiene: pelados, con cola, enteros u otras preferencias.
Se cuenta con presentaciones tipo granel, en bloques, en bolsas, en
cajas polimerizadas, etc.

Escuela de Ingeniera de Sistemas

LNEA DE SEMI CONSERVAS.Un grupo de profesionales garantiza cada una de las actividades del
proceso de "Anchoar" la pesca que previamente ha sido seleccionada
por su frescura, tamao y peso, la que ingresa a la fase salazonado
para su maduracin. En todo este proceso interviene el laboratorio,
equipado para rigurosos anlisis organolpticos, fsico-qumicos y
microbiolgicos.

La

produccin

es

controlada

con

mtodos

homologados por entidades de certificacin internacional. Se dispone


de materia prima para producir hasta 120 cilindros de 300 Kg
salazn por da, con capacidad instalada para madurar la anchoa en
ptimas condiciones, de lo que permite abastecer al mercado
durante todo el ao.
(URL: http://www.iprisco.com.pe/)
I.4 FORMULACIN DEL PROBLEMA
I.4.1

PREGUNTA PRINCIPAL.De

qu

manera

la

determinacin

de

factores

crticos

contribuye en la planificacin efectiva de un sistema de


gestin de seguridad de la informacin bajo la norma ISO
27001 en la empresa Inversiones Prisco SAC?

I.4.2

PREGUNTAS ESPECFICAS.Cules seran los factores crticos de xito que ayudaran a


una implementacin efectiva?
En qu medida los factores contribuyen a una planificacin
efectiva?
De qu manera los factores crticos de xito intervienen en la
formulacin del plan de implementacin?

Escuela de Ingeniera de Sistemas

I.5 JUSTIFICACIN DEL ESTUDIO


No existen estudios previos de anlisis de factores crticos de xito como
proceso previo a la puesta en marcha de un proyecto de gran
envergadura como la implementacin de un sistema de gestin de
seguridad de la informacin bajo la norma ISO 27001 en una
organizacin privada como Inversiones Pisco SAC.

El desarrollo de este proyecto servir para identificar los factores crticos


de xito como proceso previo para la planificacin de la implementacin
de la norma ISO 27001, teniendo en cuenta experiencias similares de
implementacin, as como otros trabajos de investigacin, aspectos que
se contrastan con la realidad y cultura organizacional de la impresa
Inversiones Prisco SAC, para determinar en qu aspectos se debe incidir
para apoyar una planificacin para la implementacin exitosa.

I.6 HIPTESIS
Determinando los factores crticos de xito contribuir al plan de la
implementacin exitosa de un sistema de gestin de seguridad de la
informacin bajo la norma ISO 27001 en Inversiones PRISCO SAC.

I.7 OBJETIVO
I.7.1

OBJETIVO GENERAL.Determinar los factores crticos de xito como un proceso previo


para apoyar la planificacin efectiva de un sistema de seguridad
de la informacin bajo la norma ISO 27001 en la empresa
Inversiones Prisco SAC.

Escuela de Ingeniera de Sistemas

I.7.2

OBJETIVOS ESPECFICOS.Identificar los factores crticos de xito que ayudaran a una


implementacin efectiva.
Estimar de manera objetiva el modo en que estos factores
contribuyen a una planificacin efectiva.
Utilizar los factores crticos identificados como insumos para la
formulacin del Plan de implementacin efectiva.

II. MTODO
II.1
II.1.1

DISEO DE INVESTIGACIN

TIPO DE ESTUDIO. La presente investigacin est basada en el paradigma


cuantitativo ya que los datos se examinaran de manera
numrica, haciendo uso de una funcin aplicada debido a que
su objetivo es demostrarla eficacia de la metodologa a
emplear. De esta manera el tipo de investigacin es explicativa
porque ser orientada a la comprobacin de la hiptesis.

II.1.2

DISEO DEL ESTUDIO.El diseo de estudio se basa en el tipo de investigacin


descriptiva.

II.2
II.2.1

VARIABLES, OPERACIONALIZACIN

VARIABLES. Variable Independiente:

Mtodo de determinacin de factores crticos de xito.

Escuela de Ingeniera de Sistemas

Variable Dependiente:

Contribucin de factores crticos de xito al plan de


Implementacin.

II.2.2

OPERACIONALIZACIN DE VARIABLES.DEFINICI

PROBLEM
A

OBJETIVOS

HIPTES

VARIAB

DIMENSIO

IS

LES

OPERACI

NES

ONAL
General
De

qu

manera

la

General

General

Variabl

Determinar

Realizand

El mtodo

los

Indepe

de anlisis

determin

ndiente

de factores

acin de

Mtodo

crticos de

factores

de

xito

crticos

determi

permite

de

nacin

reflexionar

factores

determinac

crticos

in

xito

de

de
como

RES DE
V.I.

POBLA
CIN Y
MUEST
RA

Clasificacin
de
factores
crticos.

Poblaci
n
Todo

personal

Alineamient
o
organiza
cional.

un

crticos

previo

contribuye

apoyar

para

planificacin

como

de

planificaci

efectiva

proceso

Factores

determina

un

previo se

Crticos

do orden y

PISCO

de xito

economa

SAC.

en

la

para
la
de

sistema

xito

con

el

Riesgos e
incidente
s.

factores

la

proceso

una

Misin
Influencias
Dominan
tes
Experiencias
.

INDICADO

de

la

empres
Inversio
nes

implement

de seguridad

apoyar

acin

de

efectiva de

informacin

planificac

esfuerzos,

Muestra

un sistema

bajo la norma

in de la

antes

de

100

de gestin

ISO 27001 en

impleme

pasar

de

la

ntacin

desarrollar

Inversiones

un

un plan de

encuest

Prisco SAC.

sistema

accin con

adas;

informaci

de

el

as

gestin

afrontar

como el

norma ISO

de

una

personal

27001

segurida

determina

de

la empresa

da

informt

Inversiones

informaci

situacin.

ica

Prisco SAC?

seguridad
de

la
bajo

la

empresa

la
en

la

de

de

la

persona

que

bajo

la norma
ISO
27001.
P.

O.

Variabl

INDICADO

Tcnica

ESPECIFIC

ESPECIFICO

RES

Depend

V.D.

iente

DE

Instru
mentos

Escuela de Ingeniera de Sistemas

DEFINICI
PROBLEM
A

OBJETIVOS

HIPTES

VARIAB

DIMENSIO

IS

LES

OPERACI

NES

factores

Plan

los

crticos de

Implem

factores

factores

xito

entacin

crticos de

crticos

ayudaran a

del

xitos son

de

una

sistema

aquellos

del

implement

de

aspectos

en

ayudaran

acin

gestin

cuyo logro

efectiva.

de

no

segurida

caber

d de la

fallo,

por
son

xito

que
una

impleme

que

Estimar

de

de

Los

Lista

puede
el

manera

efectiva?

objetiva el

informa

tanto

modo

cin

necesaria

qu

en

medida

que

los

factores

estos

factores

contribuye

contribuy

para

una

CIN Y
MUEST
RA

n al Plan

Impacto de
cada
factor

Medida de

acin

importanci

ntacin

efectiva.

los

relativa

de

cada

uno de los

manera

crticos

factores en

los

identificad

el modelo,

factores

os

como

crticos

insumos

de

para

contribuci
la

la

intervien

formulaci

formulaci

en en la

n del Plan

n del plan

formulaci

fin

de

de

del

apoyar

la

plan

de

implement

impleme

acin

ntacin?

efectiva.

el

recojo
de
informa
cin

de

manera
fidedign
a
Entrevis
tas
Encuest
as

menta
l

factores

como

docu
.

implement

xito

misin.
Contribuci

Concientiza
cin de
Personal
.

Permite

Anlisis

impleme

qu

FCE

Compromis
o de TI

la

en a una

Utilizar

elegidos
Impacto

Contribucin
de
factores
crticos.

misin.

la

efectiva?

de

FCE

ntacin

De

POBLA

Identificar los

seran

En

RES DE
V.I.

ONAL
Cules

INDICADO

implement
acin.

Tabla N 01: Matriz de Consistencia [Elaborada por el investigador]

Cuestio
narios

Escuela de Ingeniera de Sistemas

II.3
II.3.1

POBLACIN Y MUESTRA

POBLACIN
La poblacin para la presente investigacin est constituida por toda la poblacin
de trabajadores de Inversiones Prisco SAC, esta delimitacin est de acuerdo a
los objetivos de nuestra investigacin, el lugar de la investigacin (Departamento
de Piura), y tiempo de la investigacin.
Un aspecto clave importante es el estudio de las experiencias previas en la regin
Piura en la implantacin de sistemas de gestin de seguridad de la informacin
bajo la ptica de ISO 27001 de lo cual se estima que no superan a diez
instituciones.

II.3.2

MUESTRA
Debido a que nuestra poblacin en la investigacin es grande, solo se tomara un
muestreo de 50 personas encuestadas; as como el personal de Informtica, de la
empresa Inversiones Pisco SAC.
Para el estudio de las experiencias previas en la regin Piura en la implantacin de
sistemas de gestin de seguridad de la informacin bajo la ptica de ISO 27001 se
considera a las siguientes empresas:
Minera Miski Mayo SRL
Petrleos del Per S.A.
Municipalidad Provincial de Piura
Municipalidad Veintiseis de Octubre
Servicio de Administracin de Tributaria de Piura (SATP)
CMAC Piura SAC
CMAC Paita S.A.

II.4

TCNICAS E INSTRUMENTOS DE RECOLECCIN DE DATOS,

VALIDEZ Y CONFIABILIDAD
TCNICAS
Entrevistas
Encuestas
Anlisis documental

INSTRUMENTOS
Guas de entrevistas
Cuestionarios
Guas de anlisis documental

Tabla N 02: Tcnicas e instrumentos de recoleccin de datos

Escuela de Ingeniera de Sistemas

INSTRUMENTO N1

ENCUESTA

Escuela de Ingeniera de Sistemas

INSTRUMEN

Escuela de Ingeniera de Sistemas

Proyecto de Investigacin
Estudiante Diana Zapata Mor
Encuesta de Percepcin de la Seguridad de la Informacin
Nombre:
Cargo:
Unidad/re
a:
Instrucciones:

Responda las once (11)


preguntas
Marque con un aspa (X) la alternativa a
escoger
En caso de respuesta positiva a pregunta 1 responda las preguntas 2 ha

1) Su organizacin ha iniciado algn proyecto de implementacin de un Sistem


Gestin de Seguridad
de la Informacin bajo la ptica de ISO 27001.
S. Con todos los requerimientos de ISO
a)
27001
S. Implementacin de marco normativo, estructuras y buenas
b)
prcticas
c)
S. Pero recin se encuentra en proceso con un alcance ms acotado
No. Sin embargo est en proyecto para el corto a
d)
mediano plazo
e)
No. An no se ha considerado proyecto
f)
Otros:
Comente si considera necesario

2) Seale que rea, departamento o unidad impuls el proyecto:


Si es necesario marque ms de una alternativa
a)
Informtica/Tecnologa de la Informacin
Gerencia/Alta
b)
Direccin
c)
Seguridad
d)
Un Comit o Equipo de Trabajo
e)
Otros:
Comente si considera necesario

3) Seale desde que ao se impuls el


proyecto:

Escuela de Ingeniera de Sistemas

a)
b)
c)
d)

Desde este ao
Desde el ao pasado
Desde hace 2 o hasta 5 aos
Desde hace ms de 5 aos
Comente si considera necesario

4) Cmo podra calificar el compromiso del personal con la seguridad de


la informacin?
a)
Alto compromiso
b)
Hay compromiso pero an existe resistencia al cambio
c)
El compromiso se est tratando de generar
d)
El compromiso aun es bajo mayoritariamente
Comente si considera necesario

5) Cmo podra calificar el compromiso de alta direccin con la seguridad de


informacin?
a)
Existe compromiso y apoyo demostrables
Actualmente se est tratando de involucrar a travs de reas de
b)
apoyo
c)
Alta direccin desconoce completamente estos temas
Comente si considera necesario

6) Considera
con la organizacin
a)
b)
c)
d)

que existe alineamiento de la seguridad de la informacin

Alto alineamiento
Medio alineamiento
Bajo alineamiento
No existe
alineamiento
Comente si considera necesario

7) Existe alguna unidad organizacional responsable de la gestin de la segu


la informacin?
a)
S. rea:
No. Pero est en proceso la
b)
creacin
c)
No. No existe
Comente si considera necesario

Escuela de Ingeniera de Sistemas

8) Existe un comit de seguridad de la informacin en su


organizacin?
S. Se rene peridicamente (por lo menos cada tres o cuatro
a)
meses).
S. Se rene muy
b)
espordicamente.
c)
No
d)
Desconozco este proceso
Comente si considera necesario

9) Considera en general que la implementacin del proceso ha


tenido xito?
a)
b)
c)
d)

Si
No
An est en proceso
Desconozco este proceso
Comente si considera necesario

10) Qu aspectos considera


claves?
Asigne orden de importancia
(1-8)
Controles tecnolgicos de
a)
seguridad
b)
Compromiso de alta direccin
c)
Apoyo de reas claves como TI
d)
Capacitacin y sensibilizacin
Evaluacin de
e)
Riesgos
f)
Integrar la seguridad de la informacin en la cultura organizacional
g)
Alineamiento organizacional
h)
Otro:
Comente si considera necesario

11) Qu aspectos considera como principales limitaciones o


barreras?
Asigne orden de importancia
(1-8)
a)
Falta de conciencia

Escuela de Ingeniera de Sistemas

b)
c)
d)
e)
f)
g)
h)

Cultura
organizacional
Falta de compromiso gerencial
Limitaciones presupuestales
El personal asocia la seguridad de la informacin a TI
Naturaleza humana
Se han establecido controles sin un adecuado anlisis de riesgos
Otros:
Comente si considera necesario

1
12) Seale los principales factores de Usted considera imprescindibles para
implementacin
de un Sistema de Gestin de Seguridad de la Informacin en su
organizacin
N

Factor Crtico

Proceso
involu

Escuela de Ingeniera de Sistemas

Encuesta de Percepcin de la Seguridad de la Informacin


Nombre:
Cargo:
Unidad/r
ea:
Responda las diez (10)
Instrucciones: preguntas
Marque con un aspa (X) la alternativa a
escoger
1) Quines son los responsables de alinear la seguridad de la informacin con
los objetivos del negocio?
a)
Gerencia y/o Alta Direccin
Informti
b)
ca
Segurida
c)
d
d)
Otros:
e)
No est definido
Desconozco este
f)
proceso
Comente si considera necesario

2) Cmo se realiza el alineamiento de seguridad de la informacin con el


negocio?
Si es necesario marque ms de una alternativa
a)
Charlas de capacitacin y sensibilizacin
b)
Normas y polticas de seguridad
Restricciones y controles
c)
informticos
d)
Otros
Desconozco este
e)
proceso
Comente si considera necesario

3) Existe compromiso gerencial por la seguridad de la


informacin?
a)
Alto. Existe un alto y declarado

Escuela de Ingeniera de Sistemas

b)
c)
d)
e)

compromiso
Medio. Existe un compromiso pero no est declarado formalmente ni normad
Bajo. Se demuestra poco compromiso y/o apoyo gerencial con la seguridad d
informacin
Nulo. No se aplica ni es asumido por los trabajadores
Adverso. La seguridad de la informacin se percibe como una limitacin al
trabajo
Comente si considera necesario

4) Si existe compromiso gerencial explique cmo


se demuestra:
Si es necesario marque ms de una alternativa
a)
Polticas de seguridad de la informacin
Apoyo al rea de informtica para la aplicacin de polticas de
b)
seguridad
c)
Charlas de sensibilizacin y concientizacin
Difusin de boletines y/o recomendaciones de seguridad de la
d)
informacin
Normatividad de seguridad de la
e)
informacin
f)
Otros:
Comente si considera necesario

5) Percibe que existe conciencia en la seguridad de la informacin


en los trabajadores.
Alta. En general existe conciencia en la seguridad de la
a)
informacin
Media. Hay conciencia pero no est generalizada en todos los
b)
trabajadores
Baja. Por lo general no existe conciencia en la seguridad de la
c)
informacin
Nula. En general no existe conciencia en la seguridad de la
d)
informacin
Comente si considera necesario

6) Cmo participa Informtica en la seguridad


de la informacin?
Si es necesario marque ms de una alternativa
Demuestra su compromiso con la seguridad de la
a)
informacin
b)
Aplica polticas de seguridad de la

Escuela de Ingeniera de Sistemas

c)
d)
e)
f)

informacin
Realiza charlas de concientizacin y
sensibilizacin
Difusin de boletines y/o recomendaciones de seguridad de la
informacin
Se limita a realizar su trabajo tcnico. No aborda el tema de seguridad de la
informacin
Otro:
Comente si considera necesario

7) Como percibe la aplicacin de controles de seguridad


de la informacin
Se aplican controles en base a una adecuada evaluacin de
a)
riesgos
Se aplican controles sin una adecuada evaluacin de
b)
riesgos
Se muy pocos controles y sin una adecuada evaluacin de
c)
riesgos
Desconozco este
d)
proceso
Comente si considera necesario

8) Quin establece los controles de seguridad de la


informacin?
a)
Gerencia y/o Alta Direccin
Informti
b)
ca
Segurida
c)
d
d)
Otros:
Comente si considera necesario

9) Se mide el desempeo de los controles de Seguridad


de la Informacin?
S. Se mide de manera
a)
permanente
No. No se miden
b)
permanentemente
Desconozco este
c)
proceso
Comente si considera necesario

Escuela de Ingeniera de Sistemas

10) Seale los principales riesgos asociados a la Seguridad de la Informacin q


el desempeo de
su trabajo:
N

Riesgo

INSTRUMENTO N3

GUA DE ANALISIS DOCUMENTAL

1.) Revisin de la Existencia de Poltica de Seguridad de la Informacin


_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________

Proceso

Escuela de Ingeniera de Sistemas

2.) Verificacin de las polticas y normativas relacionadas con la seguridad de la


informacin
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
3.) Verificacin de documentacin relacionadas con el comit de seguridad de
informacin
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
4.) Verificacin de registro y actas relacionadas con revisin de seguridad de la
informacin
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________
5.) Contrastacin de documentos validados aplicados en la organizacin
_______________________________________________________________________________
_______________________________________________________________________________
_______________________________________________________________________________

II.5

MTODOS DE ANLISIS DE DATOS

Se utiliza estadstica descriptiva y tabulacin de datos para la obtencin de resultados.

BIBLIOGRAFA

(URL: http://openaccess.uoc.edu)

(URL: http://dspace.ups.edu.ec)

(URL: http://tesis.pucp.edu.pe)

(URL: http://www.repositorioacademico.usmp.edu.pe)

Escuela de Ingeniera de Sistemas

(URL: http://www.iso.org)

URL: http://www.deinsa.com/cmi/documentos/)