GICA Ingenieros

Implementación y Certificación del

Sistema de Gestión de la Seguridad de
la Información bajo la Norma ISO
27001:2013 para la Empresa GICA
Ingenieros

Jaime
Contenido

1- Alcance del Proyecto ................................................................................................................. 2

2- Objetivos.................................................................................................................................... 2
3- Justificación ............................................................................................................................... 3
4- Análisis de Aplicabilidad de la Norma ISO 27001:2013 ............................................................. 4
5- Descripción de los Sistemas ...................................................................................................... 4
5.1- CRM (Customer Relationship Managment) ......................................................................................... 10
5.2- ERP Académico (Enterprise Resource Planning) .................................................................................. 12
5.3- Pagos en Línea – Gica Ingenieros ......................................................................................................... 13
5.4- Aula Virtual Moodle ............................................................................................................................. 13
6- Gestión del Riesgo ................................................................................................................... 14
6.1- Identificación de Activos ...................................................................................................................... 14
6.2- Identificación de Riesgos ...................................................................................................................... 16
6.3- Análisis de Riesgos ................................................................................................................................ 17
6.4- Evaluación y Tratamiento de Riesgos ................................................................................................... 18
7- Ley de Protección de Datos Personales................................................................................... 19
7.1-Datos Personales: .................................................................................................................................. 19
7.2-Aplicación de la Ley: .............................................................................................................................. 19
1- Alcance del Proyecto
El alcance abarca todos los procesos de la empresa; procesos de Gestión Estratégica, Sistema
Integrado de Gestión, Diseño y Desarrollo, Marketing y Ventas, Admisión, Planeación Académica y
Seguimiento Académico; para la Gestión de las Diplomaturas, Cursos y programas confeccionados a
requerimiento del cliente, en las distintas modalidades a nivel nacional e internacional

Gica Ingenieros trabaja bajo tres principios: Gestión de Relaciones con el Cliente (CRM), Gestión
Basada en Procesos (BPM) y Gestión de Calidad Educativa basada en Competencias. Por ello cuenta
desde el año 2010 inicio con el soporte de sus procesos de negocios a través de sus Sistemas de
Tecnología de Información; en la actualidad cuenta con las siguientes herramientas: CRM Marketing,
ERP Académico, Aula Virtual, Sistema de E-mailing, Sistema de Gestión de Eventos Flexible, Pasarela
de Pagos en Banco y Pagos Online.

2- Objetivos
 Obj-1: Aumentar la cantidad de alumnos en los cursos o diplomados virtuales en temas
relacionados a gestión de activos, proyectos y mantenimiento en las áreas de minería, construcción
e industria. Con la certificación ISO 27001:2013 la empresa se encontrará mejor posicionada en el
mercado y podrá aumentar la cantidad y calidad en sus servicios académicos (cursos o diplomados).

 Obj-2: Identificar los riesgos que conllevan a disminuir los problemas en cuanto a la continuidad del
negocio en la empresa. En efecto, esto dará como resultado la minimización de costos debido a que
los incidentes de seguridad se verán disminuidos y no afectarán a los procesos principales de la
empresa.

 Obj-3: Identificar los principales riesgos en materia del software implementado internamente y
establecer controles para gestionar y eliminar dichos riesgos, además clasificar los riesgos en
función de su gravedad y posibilidades reales de que se lleguen a producir. Mitigar los riesgos de
los sistemas ERP, CRM y Aula Virtual que utiliza la empresa es una prioridad debido a que soportan
los procesos principales de la empresa y están orientados al cliente externo.

 Obj-4: Mejorar la confianza de los clientes estableciendo una política interna de protección de
datos, esto conlleva a que sus datos personales y su información es gestionada de manera segura y
no es transferida a terceros. Esto en base a la aplicabilidad de la Ley de Protección de Datos
Personales, la cual se hace referencia en algunos dominios de la Norma ISO 27001:2013.

 Obj-5: Concientizar a los trabajadores de la empresa sobre la importancia que implica la seguridad
de la información dentro de la empresa y que es el principal activo con el que cuenta la
organización para el desarrollo de los cursos y diplomados en modalidad virtual.

 Obj-6: Aumentar la brecha de diferenciación del resto de empresas que brindan cursos en
modalidad virtual con la implementación de la Norma ISO 27001:2013, ya que esto mejorará la
imagen y dará más confianza a potenciales clientes para que puedan llevar cursos y diplomados.

 Obj-7: Aumentaar la respuesta y un a mejora en la gestión de de incidentes de seguridad debido a

caídas de servicios de los proveedores externos como Telefonía, TI e Internet en la empresa.
 3- Justificación
Como se indicó, en el 2016 el 100% de las ventas de Gica Ingenieros se basó en la capacitación virtual a través de
diplomados y cursos; servicios soportado sus sistemas de información como: CRM Marketing, ERP Académico, E-
maling, Modulo de Eventos, Aula Virtual, y Pasarela de pagos, que han sido desarrollados por la empresa desde el
2012.

Actualmente la organización está en proceso de implementación de su sistema de gestión de calidad bajo ISO
9001:2015 la auditoria de diagnóstico realizada en junio de 2016 dio como resultado de 71% de cumplimiento de
los requisitos, la auditoria interna realizada en diciembre de 2016 evidencia el cumplimento de la menos el 63% de
las brechas del diagnóstico inicial.

Se realizó un análisis de riesgo basado en la norma ISO 31001:2009 para lo cual se identificaron los riesgos con más
criticidad en la empresa para cada proceso, luego de haber mapeado la matriz de riesgos se identificaron 16
riesgos los cuales dieron como resultado 1 riesgo aceptable, 9 riesgos tolerables y 6 riesgos graves.

Se realizó un análisis de brechas basado en la norma ISO 27001:2013, donde se evidenció el porcentaje de
aplicabilidad de los dominios y dio como resultado que el mayor nivel de aplicabilidad y cumplimiento se da en la
“Relación con los Proveedores” con un nivel de cumplimiento de 80%, le sigue la “Gestión de Activos” con un nivel
de aplicabilidad del 70 % y finalmente “Seguridad Física y Ambiental” con un 60%. Actualmente la alta dirección ha
aprobado una política en seguridad de la información.

La empresa Gica Ingenieros posee como activos tecnológicos propios a sus 2 principales sistemas de información
los cuales son CRM Marketing y ERP Académico, estos sistemas han sido implementados a la medida y por ende
Gica Ingenieros tiene posesión exclusiva de los derechos de autor, estos se encuentran administrados por el área
de TI y poseen al código fuente como principal recurso en su desarrollo, es por ello que con el presente proyecto
se desean implementar políticas de protección del código fuente ante agentes externos e internos a la
organización.
Al ser estos sistemas el soporte de los procesos de la empresa, su código y desarrollo son activos intangibles que
poseen un valor. Este valor está presupuestado económicamente de acuerdo a las horas de implementación en las
que se llevó a cabo. Fueron 4 años de desarrollo en que los sistemas fueron madurando para obtener un producto
escalable en el tiempo, esto quiere decir que se fueron adaptando al crecimiento del flujo de información de los
alumnos en los últimos años.

El software CRM y ERP son activos en la empresa y son constituidos como barreras de entrada para nuevos clientes
y abrir más el mercado en cuanto a la enseñanza de cursos online.
También es una ventaja competitiva en relación a otras empresas debido a que realizan las operaciones de manera
más rápida para el cliente y generan satisfacción en ellos; así como también integran a la empresa en relación a sus
procesos

La operación de los sistemas ERP Académico y CRM Marketing se da de manera paralela, es decir que uno (ERP)
soporta los procesos internos de la empresa en relación a la información de los clientes externos, en cambio el
CRM es un sistema operado para soportar procesos de Marketing y Ventas, los cuales prestan orientados a los
clientes y potenciales clientes de Gica Ingenieros.

De esto se concluye que Gica Ingenieros justifica el proyecto con el fin de:

 Aumentar la cantidad de alumnos en los cursos o diplomados virtuales, lo que impacta directamente en los
ingresos de la empresa.
 Aumentar la cantidad y calidad en sus servicios académicos (cursos o diplomados) de esta manera se eleva la
productividad.
  La empresa al estandarizar sus procesos, puede generar otras líneas de negocios, que le permitirá acceder a
otros mercados.

4- Análisis de Aplicabilidad de la Norma ISO 27001:2013

 Aplicabilidad de la Norma ISO 27001:2013 en la
Empresa Gica Ingenieros
A5- Políticas de Seguridad de
la Información
100.00%
100.00% A6- Organización de la
A18- Cumplimiento 90.00% Seguridad de la Información
80.00%
A17- Aspectos de Seguridad 70.00% A7- Seguridad de los
de la Información en la 50.00%
60.00% Recursos Humanos
Continuidad del Negocio
50.00% 28.57%
50.00% 40.00%
A16- Gestión de Incidentes 30.00%
de Seguridad de la 16.67% A8- Gestión de Activos
20.00%
Información 14.29% 70.00%
10.00%

0.00%

0.00%
A15- Relación con los 80.00% 57.14%
A9- Control de Accesos
Proveedores

53.85% 28.57%
A14- Adquisición, Desarrollo
y Mantenimiento de 50.00% A10- Criptografía
60.00%
Sistemas
A13- Seguridad de las A11- Seguridad Física y
Comunicaciones Ambiental
A12- Seguridad de las
Operaciones

5- Descripción de los Sistemas

Actualmente, la empresa Gica Ingenieros ha implantado sistemas de información que soportan y

automatizan procedimientos de los procesos bajo los que se gestiona las unidades de negocio
definidas: Gestión Comercial y Ventas, Gestión Académica, Gestión Administrativa y Gestión de
Eventos.

Los sistemas implantados han sido diseñados bajo las necesidades de la empresa y teniendo en
cuenta la escalabilidad de procesos mediano plazo, riesgos al corto plazo e ingreso autenticado. En
adelante se detalla la potencialidad de cada sistema de información implantado:
5.1- CRM (Customer Relationship Managment)

Módulo de Programas - CRM

Módulo de Campañas - CRM

 Módulo de Bases de Datos - CRM

 En Relación a los Procesos

Video Explicativo de Sistema CRM: https://vimeo.com/178663388

Este sistema soporta las actividades de gestión de clientes y técnicas de marketing. Automatiza el
proceso de prospección y almacena información relevante de potenciales clientes mediante la
segmentación de características e intereses. Además, se han implementado 3 técnicas orientadas la
marketing digital: Email Marketing, SEO y Marketing por Contenidos, con esto se busca potenciar la
llegada al mercado sin límites de alcance.

 En Relación a lo Económico y Desarrollo

El sistema de CRM es un software desarrollado propiamente por la empresa Gica Ingenieros y posee
una infraestructura de TI de manera tercerizadas por la empresa, el tiempo de desarrollo fue
aproximadamente de 3 años (2011 – 2014) y de manera creciente se fueron agregando nuevos
módulos de acuerdo a los requerimientos de la organización.
Con el transcurrir de los años la empresa Gica Ingenieros ha ido creciendo en cantidad de clientes,
esto ha dado como consecuencia el aumento del registro de prospectos y matriculados y el
almacenamiento de la base de datos del software ha ido aumentando de manera considerable.

Si incurre en 2 costos principales en el CRM, el costo aproximado que se realiza en infraestructura de

TI en cuanto a servidores es de S./1000.00 mensuales y el costo de desarrollo (programación) del
software que se dio en 3 años es de S./ 1000.00 mensuales, lo cual asciende a un costo total de S./ 36
000 durante los 3 años.

Se han implementado últimamente los módulos de reportes, los cuales permiten ver el avance de
ventas realizadas por cada vendedor además de la efectividad de este con el fin de establecer
decisiones y estrategias de ventas de acuerdo a lo que los clientes más les interesa y visualizan en la
página web. Es así como este software ayuda a segmentar los clientes para poder realizar el
marketing por contenidos que la organización realiza cada cierto tiempo a través de mensajes vía
correo electrónico y vía SMS.

5.2- ERP Académico (Enterprise Resource Planning)

 En Relación a los Procesos
Video Explicativo Sistema ERP Académico: https://vimeo.com/178665227

Este sistema soporta las actividades de Gestión Académica, Gestión Administrativa y Eventos.
Permite tener control del flujo de capacitación de los clientes, automatizar el proceso de facturación
y cobranza, programación de pagos, y tener un proceso establecido para gestionar eventos
presenciales (Congresos, seminarios, eventos varios, etc.)

 En Relación a lo Económico y Desarrollo

El sistema ERP es un software que gestiona la parte académica de la empresa además de la parte
interna de la organización en cuanto al proceso financiero de los matriculados. Este sistema se
encuentra vinculado al CRM y realiza la gestión de todas las campañas, cursos y diplomados que se
abren para ser dictados de manera virtual que se encuentra vinculado también al aula virtual la cual
interactúa con el alumno matriculado generando emails de confirmación de matrículas, clases
demostrativas, registros personalizados de matrículas, confirmaciones de registros, etc.

El desarrollo de este software se desarrolló internamente en el área de TI de la empresa y tuvo una

duración de desarrollo de aproximadamente de 3 años (Enero 2013 – Agosto 2016)
aproximadamente, pero al igual que el CRM y en todo software los requerimientos van en aumento,
es por ello que con el crecimiento constante de la empresa y por ende el aumento de clientes
matriculados se han ido implementando dichos requerimientos.

Si incurre en 2 costos principales en el ERP, el costo aproximado que se realiza en infraestructura de

TI en cuanto a servidores es de S./1000.00 mensuales y el costo de desarrollo (programación) del
software que se dio en 4 años es de S./ 1000.00 mensuales, lo cual asciende a un costo total de S./ 48
000 durante los 4 años.

Este sistema también procesa la parte contable de la empresa, gestionando los pagos de los
matriculados, tipo de financiamiento, seguimiento del financiamiento y los pagos online que realiza
este, ya que se encuentra vinculado a una pasarela de pagos Online tercerizada por Gica Ingenieros.
Este sistema esta enlazado también al Aula Virtual, es aquí en que se puede realizar un seguimiento
constante de los alumnos cuando ya se encuentran cursando un diplomado o curso de
especialización.

El sistema ERP también brinda el servicio de Emailing, el cual es un sistema de envío masivo de
correos, los cuales son enviados desde un módulo de este software para envío de contenidos de
información de acuerdo a la segmentación de los clientes que se ha realizado.

Video Explicativo Sistema Emailing : https://vimeo.com/178728142

5.3- Pagos en Línea – Gica Ingenieros

 En Relación a los Procesos

Link de Pagos en Linea: http://pagosonline.gicaingenieros.com/Pages/Pagos/PagoOnline.aspx

Este sistema apoya la gestión administrativa en el procedimiento contable de las deudas por cobrar,
además de ser un medio certificado por VISANET para llevar a cabo transacciones seguras en línea.

5.4- Aula Virtual Moodle

Aula Virtual – Curso HDEMP

 En Relación a los Procesos

Aula Virtual Gica Ingenieros: http://aulavirtual.gicaingenieros.pe/

Este sistema apoya la gestión académica, brindando un entorno amigable para el desarrollo
cognitivo de los alumnos. Está basado en una plataforma libre con soporte funcional continuo.
  En Relación al Cliente

El aula virtual de Gica Ingenieros provee al alumno matriculado toda la información y

conocimientos necesarios para el proceso de realización de los cursos y diplomados de manera
virtual. Es en esta plataforma en donde el alumno será inducido, capacitado y evaluado luego de
haber pasado el proceso admisión y pago.

Esta plataforma en un servicio desarrollado parcialmente por Gica Ingenieros en unión con Moodle
(https://moodle.org/?lang=es), el cual es una plataforma de aprendizaje diseñada para
proporcionarle a educadores, administradores y estudiantes un sistema integrado único, robusto y
seguro para crear ambientes de aprendizaje personalizados. Este pone a disposición sus “Web
Services” (https://es.wikipedia.org/wiki/Servicio_web) para que desarrolladores de cualquier
software educativo usen su código como apoyo al desarrollo de los mismos.

6- Gestión del Riesgo

Gica Ingenieros, entiende la necesidad del uso de estas herramientas para la operatividad de sus procesos e
identifica los riesgos de estos, teniendo en cuenta primeramente los activos principales y de mayor uso en
la organización

6.1- Identificación de Activos

Clasificación Frecuencia de Uso Criticidad

Confidencialidad
Uso Restringido

Disponibilidad
Uso Interno

Integridad
Quincenal

Ubicación
Eventual
Semanal

Mensual
Publica

N° Código Activo Características Tipología Responsable

Nivel
Diario

Física

Windows 7
Ultimate Intel Área Coordinador
1 COM-CPU-01 Computadora
Core i3 - 4130, 3.5
Hardware
Académica
x x
Externo de TI
5 4 4 5
Ghz, 16 Gb
Windows 7
Ultimate Intel Área Coordinador
2 COM-CPU-02 Computadora
Core i7 - 3770, 3.9
Hardware
Académica
x x
Académico
3 4 4 4
Ghz, 12 Gb
Windows 7
Ultimate Intel Área Coordinador de
3 COM-CPU-03 Computadora
Core i7 - 4771, 3.5
Hardware
Académica
x x
Sistemas
3 3 3 3
Ghz, 16 Gb
Windows 7
Ultimate Intel Área Coordinador de
4 COM-CPU-04 Computadora
Core i5 - 2400,
Hardware
Académica
x x
Diseño Web
4 4 4 4
3.10 Ghz, 16 Gb
Windows 7
Ultimate Intel Área Tutor
5 COM-CPU-05 Computadora
Core i5 - 6100, 3.7
Hardware
Académica
x x
Académico
3 2 2 3
Ghz, 8 Gb
Windows 7
Ultimate Intel Área Coordinador de
6 COM-CPU-06 Computadora
Core i3 - 530, 2.93
Hardware
Académica
x x
Sistemas
3 2 2 3
Ghz, 8 Gb
Windows 7
Ultimate Intel Coordinador de
7 COM-CPU-07 Computadora
Core i3 - 4150, 3.5
Hardware Área Ventas x x
Logística
2 2 2 2
Ghz, 8 Gb
Windows 7
Ultimate Intel Coordinador de
8 COM-CPU-08 Computadora
Corei3 - 4150, 3.5
Hardware Área Ventas x x
Ventas
3 3 3 3
Ghz, 8Gb
 Windows 7
Ultimate Intel Coordinador de
9 COM-CPU-09 Computadora
Corei3 - 2400, 3.1
Hardware Área Ventas x x
Ventas
3 3 3 3
Ghz, 8Gb
Windows 7
Ultimate Intel Coordinador de
10 COM-CPU-10 Computadora
Core i3 - 6100, 3.7
Hardware Área Ventas x x
Ventas
3 3 3 3
Ghz, 8 Gb
Windows 7
Ultimate Intel Coordinador
11 COM-CPU-11 Computadora
Core i3 - 4150, 3.5
Hardware Área Ventas x x
Administrativo
3 2 2 3
Ghz, 8 Gb
Windows 7
Coordinador
Ultimate Intel
12 COM-CPU-12 Computadora
Core i5 - 6100, 3.7
Hardware Área Ventas x x Contable y 5 4 4 5
Financiero
Ghz, 8 Gb
Windows 7 Intel
Core i3 Laptop Área Gerente
13 LAP-CPU-01 Laptop
Lenovo G-570 8
Hardware
Académica
x x
General
5 5 5 5
Gb

Área
Impresora HP Laserjet 4250
14 IMP-MUL-01
Multifuncional ON
Hardware Área Ventas x x Administrativa y 2 2 2 2
Financiera

Impresora Área
15 IMP-MULT-02
Multifuncional
HP Photosmart Hardware
Logística
x x Área Logística 2 2 2 2

Impresora Área
16 IMP-MULT-03
Multifuncional
HP Photosmart Hardware
Académica
x x Área Académica 2 2 2 2

Área
17 MEZ-SON-01 Mezcladora Soundcraft MPM Hardware
Logística
x x Área Académica 1 1 2 2

Sistema de Servidor IIS -

18 SIS-GV-01 SISCERT
Certificación
Software
Microsoft
x x x Todas las Áreas 3 3 3 3

Enterprise
Servidor IIS - Áreas
19 SIS-GI-01 ERP Resources Software
Microsoft
x x x
Solicitantes
4 4 4 4
Planning

Customer Áreas
Servidor IIS -
20 SIS-GI-02 CRM Resources Software
Microsoft
x x x Solicitantes y 4 4 4 4
Mananment Clientes

Servidor Interno
Servidor Servidor
21 SIS-GI-03
Interno
de Documentación Servicio
Interno
x x x Todas las Áreas 4 5 4 5
CRM
Áreas
Sistema de Aula Servidor
22 SIS-GI-04 Aula Virtual
Virtual - MOODLE
Servicio
Externo
x x x Solicitantes y 4 4 5 5
Clientes
Gerente
Sistema de Pagos Servidor
23 SIS-GI-05 Pagos Online
Online - VISANET
Servicio
Externo
x x General y Área 5 4 4 5
Contable
Sistema de Envío
Servidor Coordinador de
24 SIS-GI-06 Emailing de Correos Servicio
Externo
x x x
Sistemas
4 4 4 4
Masivos
Sistema de
Videoconferencias Servidor Coordinador de
25 SIS-GI-07 Anymeething
Online
Servicio
Externo
x x
Sistemas
3 3 4 4
(Webinarios)
Servicio de
26 SER-GI-01 Internet
Internet
Servicio Organización x x Todas las Áreas 4 4 5 5

Servicio de Áreas
27 SER-GI-02 Telefonía
Telefonía Fija
Servicio Organización x x
Solicitantes
3 3 3 3

Servicio de Áreas
28 SER-GI-03 Movil
Telefonía Móvil
Servicio Área Ventas x x
Solicitantes
3 3 4 4

Servicio de
29 SER-GI-04 Luz
Electricidad
Servicio Organización x x Todas las Areas 4 5 5 5

Gerente
Servicio de Pagos Área
30 SER-GI-05 Teletransfer
BCP
Servicio
Contabilidad
x x General y Area 5 4 4 5
Contable

Fuente: Elaboración Propia

 Escala Valoración
1 Muy Bajo
2 Bajo
3 Medio
4 Alto
5 Muy Alto

6.2- Identificación de Riesgos

Proceso Riesgo Descripción del Agente Causa Efecto Activo
Riesgo Generador Afectado
Gestión Filtración de El gerente general posee Agentes Externos o - Descuido de los Pérdida Laptops
Estratégica información información estratégica de la Internos a la activos que poseen económica Computadoras
sensible y empresa, la cual es el eje central Empresa información Información
estratégica de que la empresa necesita. sensible
la organización.
Diseño y Filtración de En la parte de diseño y desarrollo Coordinador de - Descuido de los Pérdida Información
Desarrollo Información se tienen prácticas, exámenes, Diseño y Desarrollo activos que poseen económica
tareas y demás información para información
ser brindada a los clientes. Esta sensible
información puede ser filtrada y
copiada sin autorización.
Filtración de los Manipulación de datos Boicot por parte del Pérdida Clientes
datos personales por parte de agentes personal interno de económica Información de
personales de internos a la organización la empresa clientes
prospectos. Mala imagen Imagen de la
de la empresa empresa
Mala Si se realiza una mala inscripción Falta de experiencia Pérdida Información de
Marketing y inscripción de de los clientes, sus datos y conocimiento por económica Clientes
Ventas clientes personales no serán Coordinadores de parte de las
almacenados correctamente en Ventas personas que Reclamos y
la base de datos. inscriben a los quejas
clientes.
Falta de La ley de protección de datos Desconocimiento de Quejas y
información personales se ha establecido en coordinadores de reclamos
sobre la la empresa, es por ello que el ventas. Clientes
protección de área de ventas tiene la obligación Denuncias
los datos de informar a los clientes que sus legales
personales de datos están resguardados para
los clientes que terceros no tengan acceso a
ellos. Clientes
insatisfechos
Admisión y La información puede ser filtrada Coordinador de Boicot por parte del Pérdida Información
Planeación Filtración de por parte de agentes externos a Admisión y personal interno de económica Académica
Académica Información la organización y por parte de Planeación la empresa
Académica trabajadores de la empresa Académica, Agentes Mala imagen
Externos de la empresa
Caída de El servicio eléctrico al ser un - Fallas en el servicio Pérdidas Computadoras
servicio servicio externo a la organización externo Económicas Servidores
eléctrico puede verse afectado por errores - Pago del servicio Espacio Físico
ajenos a esta afectando los fuera de la fecha Clientes
procesos de la empresa. indicada.
Logística y Robo de Existen activos que salen de la Falta de medidas de Pérdidas Computadoras
Mantenimiento Equipos empresa, los cuales existe un seguridad en el Económicas Servidores
Extraíbles de a riesgo de ser robados. espacio físico de la Espacio Físico
Empresa empresa. Clientes
Fallas en los Los equipos informáticos como Coordinador de - Mal manejo de los Perdidas Computadoras
equipos PC, servidor, equipos de sonido, Logística y equipos por parte Económicas Servidores
informáticos etc están en riesgo de fallos Mantenimiento de los trabajadores
inminentes. de la empresa.
- Falta de
mantenimiento de
los equipos.
 Caída de El servicio de internet es un - Fallas en el servicio Pérdidas Computadoras
Servicio de activo importante en la empresa, externo Económicas Servidores
Internet si este servicio cae los procesos - Pago del servicio Espacio Físico
internos se verán afectados fuera de la fecha Clientes
considerablemente. indicada.
Filtración de Replicación de Código Fuente por Mala Pérdida Clientes
Código Fuente Parte de Agentes Externos Administración de Económica ERP
Accesos CRM
Robo de Manipulación de Información por Mala Pérdida Computadoras
Información parte de Agentes Externos o Administración de Económica Servidores
Internos a la organización. Accesos Clientes
ERP CRM
Tecnologías de Fallas de Errores no previstos en la etapa Controles Ingresos no Clientes Internos
Información Seguridad en el de pruebas que se muestra en la Coordinador de TI deficientes Autorizados ERP
Software etapa de ejecución del SW. al Software. CRM
Fallas en la Posibles errores en la etapa de la Falta de Experiencia Errores ERP
Escritura del programación de módulos del de Programadores Registro de CRM
Código Fuente software. Datos
Borrado Borrado de Información no Descuido de la Pérdida ERP
Accidental de la Previsto por el Agente Generador persona que maneja Económica CRM
Información la Información
Caída de Los servicios de TI son Agente Externo de Fallas en el servicio Servicio de TI ERP
Disponibilidad tercerizados y no se tienen un TI externo de TI inactivo CRM
de Servicio de control interno por parte de la Pérdidas Emailing
TI empresa Aula Virtual

6.3- Análisis de Riesgos

Una vez identificados todos los riesgos de la organización, lo que se busca es calificar cada uno de
ellos otorgándoles una ponderación para determinar su gravedad, definiendo la frecuencia si es
alta o baja, si su impacto es leve o grave etc. allí se plasmaran los criterios de calificación con que la
empresa contara para establecer los riesgos que están dispuestos a asumir y cuáles no.

TABLA DE FRECUENCIAS DE LOS RIESGOS

CALIFICACIÓN DE FRECUENCIA
VALOR FRECUENCIA DESCRIPCION
1 BAJA 1 evento en un año o menos
2 MEDIA Entre 2 a 5 eventos en un año
3 ALTA Entre 6 a 10 eventos en un año
4 MUY ALTA Más de 10 eventos en un año

TABLA DE CALIFICACION DEL IMPACTO

VALOR IMPACTO ECONOMICO TECNOLOGICO CLIENTE

1 LEVE Pérdidas hasta Sin pérdida de datos o daño Pérdida de Clientes en un 2 %
por 1000 soles en la plataforma en relación al año anterior
tecnológica y/o insatisfacción del cliente
Datos recuperables o daños Pérdida de Clientes en un 3 %
2 MODERADO Pérdidas hasta moderados sobre la respecto al año anterior y/o
por 2000 soles plataforma tecnológica insatisfacción del cliente
3 SEVERO Pérdida parcial de datos y/o Pérdida de Clientes en un
Pérdidas hasta daños severos sobre los 10% respecto al año anterior
por 5000 soles sistemas tecnológicos que e insatisfacción del cliente
soportan los procesos de la
organización
4 CATASTROFICO Pérdidas hasta Pérdida total de datos y/o Pérdida de Clientes en un
por 10000 soles daños catastróficos sobre la 15% respecto al año anterior
plataforma tecnológica y/o insatisfacción del cliente
Fuente: adaptada de: ACOSTA, Cruz. Cristian Adolfo. Implementación del método
Risicar para la administración de riesgos en una empresa pequeña de la ciudad de
Bogotá.
Con base en la ubicación que posea cada riesgo, se definirá la gravedad y las medidas de
tratamiento correspondientes, es decir, se determinara la clasificación de los riesgos según su
aceptabilidad y se catalogaran en aceptables, tolerables, graves e inaceptables y con base en ellos
se establecerán las medidas correspondientes.
Con los valores anteriores se tienen los valores de la magnitud del impacto con la frecuencia o
magnitud del daño aplicamos la siguiente formula que cuantifica el riesgo

RIESGO = FRECUENCIA x IMPACTO

MUY ALTA (4) Tolerable Grave Inaceptable Inaceptable

4 8 12 16
FRECUENCIA

ALTA (3) Tolerable Tolerable Grave Inaceptable

3 6 9 12
MEDIA (2) Aceptable Tolerable Tolerable Grave
2 4 6 8
BAJA (1) Aceptable Aceptable Tolerable Tolerable
1 2 3 4
LEVE (1) MODERADO (2) SEVERO (3) CATASTROFICO(4)
IMPACTO
Fuente: Elaboración Propia – Matriz de Riesgos en la Seguridad de la Información

INTERPRETACION COLOR CONTROLES

Riesgo Inaceptable Eliminar la actividad, prevenir el riesgo, proteger la
empresa o transferir el riesgo
Riesgo Grave Prevenir el riesgo y/o transferir el riesgo
Riesgo Tolerable Transferir el riesgo
Riesgo Aceptable Aceptar el riesgo

6.4- Evaluación y Tratamiento de Riesgos

Calificación
Frecuencia

Impacto

Proceso Riesgo Evaluación Controles

Gestión Implementar controles de acceso más

Estratégica Filtración de seguros a los activos que posean
2 4 Grave
información sensible y
estratégica de la
8 información estratégica y financiera

organización.
Diseño y 2 3 Tolerable Ordenar y realizar backups de la
Desarrollo Filtración de 6 información reutilizable de la
Información información de los cursos y
diplomados en la empresa.
Filtración de los datos 2 3 Tolerable Implementar respaldos en la nube o
personales de 6 discos externos que guarden la
Marketing y prospectos información de los datos de los
Ventas clientes.
Mala inscripción de 3 2 Tolerable Brindar asesoramiento a
clientes
6 coordinadores de ventas.
Falta de información 2 2 Tolerable Encriptación de información sensible
sobre la protección de 4 de clientes
 los datos personales
de los clientes
Admisión y Filtración de 2 2 Tolerable Realización y desarrollo de sistema de
Planeación Información
4 información académica de los
Académica Académica alumnos.
Caída de servicio 2 3 Tolerable Servicio de sistema de motor de
eléctrico
6 electricidad alterna en la empresa.
Robo de Equipos 1 3 Tolerable Medidas de Seguridad de acceso
Extraíbles de la 3 físico a la parte interna de la empresa
Empresa en donde se encuentran los activos
Logística y más sensibles de.
Mantenimiento Fallas en los equipos Plan de mantenimiento de equipos
2 1 2 Aceptable
informáticos informáticos.

Caída de Servicio de 2 3 Tolerable Servicio alterno de servicio de

Internet 6 internet.
Tener en cuenta Cronograma de
pagos del servicio.
Filtración de Código 2 4 Grave Backups semanales de código fuente
Fuente 8 de los sistemas de la empresa.
Robo de Información 2 4 Grave Backups de información sensible de la
8 empresa.

Fallas de Seguridad en 2 4 Grave Métodos de acceso mas seguros en

el Software 8 acceso a los sistemas de información
Tecnologías de y a los servidores externos de la
Información empresa.
Fallas en la Escritura 2 6 Tolerable Mejorar capacitaciones y selección de
del Código Fuente
6 personal de desarrollo de software.
Uso de metodologías de desarrollo de
software.
Borrado Accidental de 3 3 Grave Backups de Información sensible.
la Información
9
Caída de 3 3 Grave Servicio alterno de servidores para
Disponibilidad de
9 respaldos de información.
Servicio de TI Aumentar almacenamiento de
servidores de acuerdo al aumento de
clientes y crecimiento de la empresa.
Fuente: adaptada de: ACOSTA, Cruz. Cristian Adolfo. Implementación del método
Risicar para la administración de riesgos en una empresa pequeña de la ciudad de
Bogotá.

7- Ley de Protección de Datos Personales

7.1-Datos Personales:

- Según la Ley de Protección de Datos Personales, se define como dato personal toda información
sobre una persona natural que la identifica o la hace identificable a través de medios que pueden
ser razonablemente utilizados.

7.2-Aplicación de la Ley:

En Gica Ingenieros los datos personales de los clientes son un flujo de información que posee la
empresa para realizar la segmentación de los prospectos y la realización del marketing por
 contenidos. Los potenciales clientes y matriculados han ido en aumento con el transcurrir de los
años debido a la demanda y competitividad laboral en el mercado de la maquinaria pesada.

Es por ello que la empresa se encuentra obligada a cumplir la Ley Nº 29733 la cual fue promulgada
en el año 2011 y entró en vigencia el 7 de Mayo del año 2015.

Esta ley se centra en 3 puntos importantes que toda empresa debe cumplir, los cuales son:

 En primer lugar, toda empresa debe obtener el consentimiento y aceptación por parte de los
clientes externos e internos, proveedores, administrativos, etc. De gestionar sus datos
personales de manera que la persona que brinda sus datos (generalmente los clientes
externos) sepa qué es lo que se hará con su información personal.
En Gica Ingenieros los datos personales son recopilados mediante links de registro y de
clases demostrativas las cuales se les pide a los interesados ingresar su información con el fin
de otorgarle contenido de acuerdo a sus intereses, no sin antes pedir el consentimiento
respectivo para la gestión de los datos.

Ver Políticas de Privacidad de Datos: http://www.gicaingenieros.com/politicas-privacidad.html

Consentimiento de Protección de Datos Personales – Gica Ingenieros

 En segundo lugar toda empresa que obtenga los datos personales de personas externas a la
empresa, tiene la obligación de informar los datos que ha obtenido a al Registro Nacional de
 Protección de Datos Personales, unidad que depende de la Autoridad Nacional de Protección
de Datos Personales (ANPDP) del Ministerio de Justicia.
Gica Ingenieros se encuentra en proceso de informar a esta entidad toda la información
necesaria.

 En tercer lugar, la empresa tiene la obligación de interpelar cualquier pedido del cliente que
ha brindado sus datos personales a la organización que está gestionando su información.
Esto debido a que la Ley establece que el titular de los datos personales puede pedir
eliminar, actualizar y agregar su información.
Estos derechos se denominan ARCO: acceso, rectificación, cancelación de datos personales, y
de oposición al tratamiento de los mismos. De no hacerlo, podrían ser auditadas y
sancionadas, no sólo en el ámbito administrativo sino también en el judicial (tanto en el
campo civil como penal).
La empresa Gica ingenieros debe establecer una política ARCO las cuales deben ser
brindadas a disposición del cliente con el fin de informarles sobre la gestión de sus datos
personales dentro de la organización.