TITULO

Plan de Gestión de Riesgos de Tecnologías de la Información en los procesos críticos de

créditos y captaciones para la Caja de Ahorro y Créditos SIPAN SA de Chiclayo – 2016

RESUMEN

De acuerdo a los recientes estudios de investigación de IBM Company (2012) han

demostrado que las empresas que adoptan un criterio equilibrado ante la madurez de la

gestión de riesgos de TI, no sólo tienen menos incidentes en este ámbito, sino que obtienen

mayor rentabilidad del negocio y de TI respecto de la competencia. La falta de acción con

respecto a los riesgos se debe al temor de tomar decisiones negativas y señalen a un

responsable ante la perdida por un derivado. Esta es una de las medidas más importantes que

una empresa puede implementar para reducir de forma potencial los Riesgos de TI.

El presente trabajo de investigación tiene por objeto definir y construir un Plan de Gestión

de Riesgos de TI en la institución financiera Caja de Ahorro y Crédito Sipán SAC, a partir

de un marco referencial normativo asociado como la familia de ISO 27000, y la exigencia de

la Superintendencia de Banca y Seguros.

Esta propuesta se debe a que la institución actualmente tiene problemas para disminuir la

brecha de incidencias y ocurrencia de riesgos que puedan paralizar parcial o totalmente sus

procesos críticos de créditos y colocaciones; así como también para que le sirva como una

herramienta de apoyo en la toma de decisiones relacionadas con las inversiones en seguridad

de la información. Los datos de prueba se tomarán directamente de sus registros de incidente

y problemas relacionados con la seguridad de la información, mediante técnicas como

análisis documental, observación directa y entrevistas.

La evaluación del plan propuesto se realizará a través de la medición de los resultados de

amenazas, vulnerabilidades, impactos y niveles de riesgo a través de una serie de pruebas

relacionados con las políticas de seguridad, la organización de la estructura de seguridad, los

activos tecnológicos, la seguridad física y lógica de los sistemas, la continuidad del negocio

y el cumplimiento normativo.

Palabras claves:

Procesos críticos, Activos de TI, vulnerabilidad, amenaza, impacto, nivel de riesgo, objetivo

de control del apetito de riesgo, control, matriz de riesgo, riesgo residual.

ABSTRACT

According to recent research studies IBM Company (2012) have shown that companies that

adopt a balanced approach to the maturity of risk management IT not only have fewer

incidents in this area but achieve greater profitability and IT over the competition. The lack

of action regarding the risks due to the fear of taking negative decisions and responsible to

point to a loss on a derivative. This is one of the most important steps that a company can

implement to reduce the risks of potential IT.

This research aims to define and build a Plan Risk Management IT in the financial institution

Caja Savings and Credit Sipan SAC, from a normative frame of reference associated as the

family of ISO 27000, and the requirement the Superintendency of Banking and Insurance.
This proposal is that the institution currently has problems to decrease the gap occurrence of

incidents and risks that may partially or totally paralyze critical processes credit and loans;

as well as to serve him as a support tool in decision-making related to investments in

information security. The test data will be taken directly from their records incident and

problems related to information security, through techniques such as document analysis,

direct observation and interviews.

The evaluation of the proposed plan will be made by measuring the results of threats,

vulnerabilities, impacts and risk levels through a series of tests related to security policies,

the organization of the security structure, technological assets, physical and logical security

systems, business continuity and regulatory compliance.

Keywords:

Critical process, IT asset, vulnerability, threat, impact, risk level, risk appetite control

objective, control, risk matrix, residual risk.

 INTRODUCCIÓN Información. Sin embargo, sus

procedimientos o no son adecuadas para el

Según en el Nuevo Acuerdo de Capitales de
tamaño de infraestructura de Tecnologías
BASILEA con la inclusión del Riesgo
de la Información o no son adecuados para
Operacional refleja uno de los cambios más
el grado de madurez de Tecnologías de la
significativos en la gestión financiera,
Información de las instituciones o su
donde su importancia está desplazando el
implementación requiere fuertes
tradicional interés por los riesgos de crédito
inversiones o simplemente no cuentan con
y mercado, centrando los esfuerzos actuales
herramientas flexibles y que se adecuen al
del sector financiero. Ahí se definió que los
tipo de organizaciones de nuestro medio, y
riesgos asociados a las operaciones de las
específicamente a las del rubro del sistema
entidades financieras son de diferentes
financiero lo que son del tipo Cajas de
tipos, entre las cuales destacan: personas,
Ahorro.
procesos, tecnología de información y

aspectos externos. La Caja de Ahorro y Créditos SIPAN SA

de Chiclayo, dedicada al rubro de créditos

Existen numerosas metodologías para la
y servicios financieros, cuenta con cerca de
gestión de riesgos de TI, tales como
19 años de experiencia en el mercado.
MagerIT, Nist 800-30, Cramm, RiskIT,

Octave, Neozelandesa, Australiana, etc. El presente proyecto, plantea en resolver el

Así mismo, existen estándares como la problema de riesgos operativos

familia ISO 27000 (específicamente las relacionados con Tecnologías de la

ISOs 27001, 27002, 27005 y 31000) e ISO Información en la Caja de Ahorro y Crédito

20000, que pueden utilizarse para gestión Sipán SA que existen en sus dos principales

de riesgos de Tecnologías de la procesos críticos y que son los procesos de

Créditos y Captaciones de clientes en la todo sea manejable, todo esto con el fin de

cual se tiene que cumplir con las exigencias asegurar continuidad en el negocio y la

de la Superintendencia de Banca y Seguros, disminución de daños en la Caja de Ahorro

en relación a la gestión de Tecnologías de y Crédito Sipán SA.

la Información, de la seguridad y de riesgos

POBLACIÓN, MUESTRA DE
de Tecnologías de la Información.
ESTUDIO y MUESTREO

Se plantea el objetivo de aplicar un Plan de

Se tomará como población muestral a los
Gestión de Riesgos de Tecnologías de la
siguientes trabajadores de la Caja:
Información en los Procesos críticos de

Créditos y Captaciones para Caja de - Jefe de Tecnologías de la Información.

Ahorro y Crédito Sipán SA Chiclayo. - Jefe del Área de desarrollo.

- Especialista en comunicaciones.
La presente investigación se justifica en
- Especialista en base de datos.
mejorar la eficacia y eficiencia en la
- Analistas programadores (5).
evaluación y tratamiento de los riesgos en
- Jefes de las áreas usuarias (9).
Tecnologías de la Información, ahorrar

tiempo en la detección oportuna de las MÉTODOS, TÉCNICAS E

amenazas, permitir una mejor INSTRUMENTOS DE

administración de la información para RECOLECCIÓN DE DATOS

establecer un orden en la organización de

En la presente investigación se usarán
acuerdo a controles establecidos y así
diversas técnicas e instrumentos que
tomar las decisiones a tiempo, y que sea
permitirán la recolección de información:
parametrizable y flexible, ajustado a las

características de la organización y sobre

documentación, entrevistas, encuestas y Figura 1: Modelo de Madurez

observaciones directas.

TÉCNICAS

- ENCUESTA: Se realizarán encuestas

escritas, donde los actores participantes

evaluarán la madurez de la gestión de

riesgos de Tecnologías de la Fuente: (ISACA, 2009)

Información. Esta investigación se centró solamente

en describir el nivel de madurez de la

- OBSERVACIÓN: Es una técnica que
Caja de Ahorro y Créditos SIPAN S.A.
permitió tener contacto directo con la
para gestionar el riesgo no incluyendo
realidad y con quienes se hicieron las
la identificación de riesgos puntuales ni
entrevistas.
el nivel de exposición a cada uno de

INSTRUMENTOS estos.

- MODELO DE MADUREZ: Este La recopilación de datos se dio

instrumento ha sido utilizado para mediante entrevistas a los principales

determinar el nivel de madurez de la roles de la organización relacionados a

Gestión de Riesgos de Tecnología de la Gestión de Tecnologías de la

Información. Información y la Gestión de Riesgos de

Tecnologías de la Información,

asimismo a través de la observación y

la experiencia del investigador.

Para describir la frecuencia con que se RESULTADOS

realizan las actividades relacionadas a la

Se llevó a cabo la propuesta de un Plan de
Gestión de Riesgos de Tecnologías de la
Gestión de Riesgo lo cual permitió analizar,
Información, se trabajó con una escala de 6
clasificar y determinar el riesgo para luego
niveles los cuales se citan de la siguiente
establecer herramientas que permita
manera:
controlar.

- GUÍA DE OBSERVACIÓN: Este

Identificando y evaluando los
instrumento se utilizó para establecer
componentes, estándares y metodologías
el contexto de observación durante la
que se establecen en la Gestión de Riesgo
presente investigación.
de Tecnologías de la Información como las
- DOCUMENTACIÓN, Es en donde
vulnerabilidades, las amenazas, los activos,
se incluye los documentos
los impactos y las probabilidades de
estratégicos, administrativos y legales
identificar el riesgo de nivel de riesgo
pertenecientes a la Caja.
existente como el riesgo aceptable en la
- ENTREVISTAS, las entrevistas nos
empresa.
ayudaran a obtener información de la

implementación y cumplimiento de los En el proceso de construcción de la

controles que se implementen para propuesta, se ha tomado como referencia

cada uno de los activos tecnológicos las exigencias de la Superintendencia de

evaluados. Banca y Seguros, a través de sus

normativas: Resolución SBS 2116-2009

que norma el sistema de Riesgo

Operacional que deben implementar las

organizaciones financieras en el Perú y la influya en el proyecto o incluso poder

Circular G-105-2002 que establece los sacar partido de él. Por ello, se los debe

lineamientos para la Gestión de Riesgos de conocer, así no ignorarlos, sino

TI de éste tipo de empresas. controlarlos.

Por lo tanto, el Plan propuesto se basa en Tras la identificación, es importante

las políticas de seguridad, normas y reglas proceder a clasificar los riesgos que se

exigidas a las entidades financieras en el han detectado. Para ello se pueden

Perú por parte de su ente supervisores como definir distintos sistemas de

es la SBS clasificación de los riesgos en

categorías tanto por el tipo de riesgo

El Plan propuesto contiene cuatro fases,
(técnico, externo, de organización, de
que abarcan las etapas de evaluación de
gestión, etc.), por la influencia sobre el
riesgos y tratamiento de los mismos:
proyecto (riesgos de leve, moderado o

A. ANÁLISIS DE RIESGOS severo impacto sobre el proyecto) o la

Consiste en determinar aquellos probabilidad de que se presenten

riesgos que pueden afectar al a los (riesgos de baja, intermedia o elevada

procesos críticos de créditos y probabilidad).

captaciones de la Caja Sipán,

B. CLASIFICACIÓN Y
informarse acerca de sus
EVALUACIÓN DE LOS RIESGOS
características. El peor riesgo es aquel
Habiendo identificado los principales
que no se identifica, dado que si se
activos, el siguiente paso consiste en
sabe de su existencia se pueden tomar
identificar las amenazas a las que estos
las medidas necesarias para que no
están expuestos. Tal y como
 imaginamos, el conjunto de amenazas hayamos hecho el cálculo en términos

es amplio y diverso por lo que cualitativos. A la hora de tratar el

debemos hacer un esfuerzo en riesgo, existen cuatro estrategias

mantener un enfoque práctico y principales:

aplicado. Por ejemplo, si nuestra

Por último, cabe señalar que como
intención es evaluar el riesgo que
realizamos este análisis de riesgos en el
corremos frente a la destrucción de
contexto de un Plan de Gestión de
nuestro servidor de documentos, es
Riesgos, las acciones e iniciativas para
conveniente, considerar las averías del
tratar los riesgos pasarán a formar parte
servidor, la posibilidad de daños por
del mismo. Por lo tanto, deberemos
agua (rotura de una tubería o
clasificarlas, priorizarlas e
inundación) o los daños por fuego, en
implementar controles o salvaguardas
lugar de plantearnos el riesgo de que el
que ayuden a minimizar o desaparecer
activo sea destruido por un meteorito.
el riesgo que se tenga, llevar a cabo un

C. IMPLEMENTACIÓN DE análisis de riesgos nos proporciona

CONTROLES información de gran valor y contribuye

Una vez clasificado y evaluado los en gran medida a mejorar la seguridad

riesgos, debemos tratar aquellos de la organización.

riesgos que superen un límite que

D. CONTROL DE EFICIENCIA Y
nosotros mismos hayamos establecido.
MADUREZ
Por ejemplo, trataremos aquellos
Para poder prever la aparición de un
riesgos cuyo valor sea superior a “4” o
riesgo que afecte a los activos de
superior a “Medio” en caso de que
Tecnologías de la Información es
necesario conocer signos de alarma También se analizará el

que permitan anticiparse a él. Si esto funcionamiento, la efectividad y el

no es posible, al menos, se deben cumplimiento de las medidas de

poseer mecanismos de monitorización protección para determinar y ajustar

de los activos con los que se pueda las medidas deficientes y sancionar el

conseguir detectar un riesgo en el incumplimiento de las mismas.

mismo momento en el que se presenta.

Figura 2 : Diagrama de conceptos

La finalidad de éste control es poner en genéricos implicados en el Análisis de

práctica las actitudes previstas para Riesgos

enfrentarse a un riesgo o los planes de

contingencia establecidos en el

momento adecuado: antes de que el

riesgo haya influido de manera

significativa en el activo de Tecnología

de la Información.

Además, la propia monitorización de la

reacción ante los riesgos y de la

Fuente: Elaboración propia
ocurrencia de los mismos puede

permitir, a posteriori, mejorar las

medidas de prevención, reducir los

tiempos y aumentar la efectividad de la

reacción.
DISCUSIÓN organización para elaborar un plan de

seguridad. Al implantar y operar este plan

FASE 1: ANÁLISIS DE RIESGOS
debe satisfacer los objetivos propuestos con

El análisis de riesgos es conocido como el el nivel de riesgo aceptado por la Dirección

proceso sistemático para estimar la de la organización.

magnitud de los riesgos a que está expuesta

Al conjunto de estas actividades se le
una organización. Permite determinar cómo
denomina Proceso de Gestión de Riesgos.
es, cuánto vale y cómo de protegido se
El análisis de riesgo se realiza ya sea
encuentra un sistema, siguiendo los
cuantitativa o cualitativamente. El análisis
objetivos, estrategia y política de la
cualitativo es recomendable hacerlo en
primer lugar, utiliza una escala de  Detallar las consecuencias económicas

calificación de atributos para describir la de la materialización de una amenaza

magnitud de las consecuencias potenciales en un activo.

ya sea bajo, medio o alto; y la probabilidad  Estimar la tasa anual de ocurrencia de

de que se produzcan estas consecuencias. amenazas.

Un análisis cualitativo permite:  Detallar el coste de despliegue y

mantenimiento de las salvaguardas.

 Identificar los activos más
 Permitir ser más precisos en la
significativos.
planificación de gastos de cara a un
 Identificar el valor relativo de los
plan de mejora de seguridad.
activos.

 Identificar las amenazas más Los sistemas de gestión de la seguridad de

relevantes. la información formalizan cuatro etapas

 Identificar las salvaguardas presentes cíclicas donde el análisis de riesgos es parte

en el sistema. de las actividades de planificación, se

 Establecer claramente los activos toman decisiones de tratamiento, estas

críticos, aquellos sujetos a un riesgo decisiones se materializan en la etapa de

máximo. implantación, en el cual se despliegan

elementos que permiten la monitorización

El análisis cuantitativo es más detallado y
de las medidas tomadas para poder evaluar
utiliza una escala con valores numéricos
la efectividad de las mismas y actuar
para las consecuencias y probabilidad,
dependiendo a éstas, dentro de un círculo de
permitiendo:
excelencia o mejora continua.
FASE 2: CLASIFICACION Y Dado que los riesgos operacionales se

EVALUACION DE RIESGOS originan por debilidades del control, es

decir por las deficiencias en los

A. Determinación del apetito y la
controles que muestran que los riesgos
tolerancia al riesgo
operacionales no se encuentran

En el plan propuesto determinamos el identificados y/o no se encuentran

apetito y la tolerancia al riesgo, adecuadamente mitigados, lo que

siempre y cuando se entienda que éste conllevaría a no lograr un objetivo del

está enmarcado dentro del Riesgo negocio y/o producir una pérdida

Operacional, entendiéndose éste, como financiera.

un incidente que ocasiona que el

B. Cálculo de los niveles de riesgos
resultado de un proceso de negocio
intrínseco (NRI)
difiera del resultado esperado, debido a

fallas en los procesos internos, las El cálculo del nivel de riesgos

personas, los sistemas o por eventos intrínseco de cada una de las amenazas

externos. El riesgo operacional incluye identificadas para cada activo, estará

el riesgo tecnológico y excluye el en función de la valoración y

riesgo estratégico y reputacional. Por clasificación del impacto y la

tanto, para determinar el apetito y la probabilidad de su ocurrencia. Se

tolerancia al riesgo de TI solo se utilizará la siguiente relación:

contemplará las que provienen del

NRI = Probabilidad de ocurrencia x
Riesgo Operacional Tecnológico, es
Impacto
decir de las fallas de los sistemas

tecnológicos (hardware y software).

El producto de esta relación se ubicará en a. Plan de tratamiento de los riesgos

el siguiente mapa de calor intrínsecos

b. Implementación de las medidas de

seguridad

c. Identificación de la estrategia de

implementación de controles

d. Evaluación de la brecha de seguridad:

nivel de riesgo residual (NRR)

FASE 3: IMPLEMENTACION DE FASE 4: CONTROL DE EFICIENCIA

CONTROLES Y MADUREZ

En esta fase se definirá e implementará los Aplicando el enfoque bottom-up (de abajo

controles o salvaguardas necesarias para arriba), se ha identificado los siguientes

tratar cada una de las amenazas en cuya activos de TI que le dan soporte a los

evaluación se haya obtenido niveles de procesos de créditos y captaciones de la

Riesgos no tolerantes, es decir, con el financiera:

calificativo de “Alto” o “Muy Alto”

Esta fase contempla las siguientes

actividades y tareas:
 Incluye: Sistema de Información
N° ACTIVO
Financiera(SIIF)
Servidor principal de dominio (DNS)
9 Correo electrónico institucional
1 Incluye: Gestión del Directorio Activo

(Activity Directory) Equipos de cómputo terminales de

10
ventanilla y analistas de créditos
Servidor principal de base de datos en
2
SQL Server y aplicaciones Código fuente de las aplicaciones

11 Incluye: biblioteca de versiones,

Red de comunicaciones
librerías
Incluye: Firewall, gabinetes de
3
comunicación, switch central, switchs 12 Archivos de acta de conformidad

de borde
Archivos de requerimientos
13
Sala de servidores del Centro de informáticos

4 Procesamiento Central y del Centro de

14 Analistas de sistemas
Procesamiento Alterno

Equipos de cómputo del área de

5 Base de Datos en SQL Server
desarrollo
15
6 Backups de Base de Datos
Incluye: terminales, servidor de

desarrollo, laptops
Personal de área de TI

Incluye especialista en Backups o respaldos de desarrollo y

7
comunicaciones, especialista de base 16 mantenimiento Incluye: código fuente,

de datos, jefatura de TI librerías

Aplicaciones informáticas de créditos 17 Herramientas de Desarrollo

8
y captaciones
 Incluye: base de datos de desarrollo

licenciamiento de software de

desarrollo

Registros de control de cambios de las

aplicaciones

18 Incluye: scripts, cambios en estructuras

de datos, carga de datos, manuales de

usuario, pruebas realizadas

Backups de documentos normativos y

de gestión

Incluye: reglamentaciones y

19 procedimientos operacionales de

gestión, desarrollo, calidad y

seguridad), planes de TI, inventarios,

contratos, etc.
CONCLUSIONES de recuperación de los procesos antes que

las pérdidas se conviertan en irreparables y

En el presente proyecto de Tesis fueron
un análisis de aplicaciones críticas para
descritos los conceptos e importancia de los
definir prioridades de procesos, los puntos
términos relacionados con la gestión del
que se deben de tomar en cuenta para la
riesgo presentes en la seguridad de la
elección del plan de Gestión de Riesgos
información que es administrada mediante
para la Caja de Ahorro y Crédito Sipán S.A
los diversos equipos, servicios y personal
se detallan a continuación.
del área de Tecnologías de la Información;

además de conocer los estándares, 1. Con el logro de implementar un plan de

metodologías y herramientas que gestión de riesgos de Tecnologías de la

posibilitan el desarrollo del análisis de Información, que identifica, evalúa y

riesgo en una organización. trata nítidamente los activos de

Tecnologías de la Información, sus

Entre los lineamientos de futuros trabajos a
amenazas, debilidades y niveles de
desarrollarse se debería considerar
riesgo relacionadas con las categorías:
desarrollar un análisis de riesgos de tipo
disponibilidad, integridad y
cuantitativo considerando varios aspectos,
confidencialidad de la información, que
como son: las consecuencias económicas
exige la SBS para este tipo de
de la materialización de una amenaza en
organizaciones en sus planes de
cada activo, el costo del despliegue y
seguridad (Circular G-139-2009 –SBS
mantenimiento de las salvaguardas; y
(Gestión de la continuidad del negocio),
estimar la probabilidad de ocurrencia de
Circular G-140-2009 –SBS (Gestión de
amenazas basándose en registros reales.
la seguridad de la información) y
También considerar los períodos de tiempo
 Resolución S.B.S.N° 2116 -2009). Esto riesgos y a través de ella se ha logrado

ha permitido lograr establecer pautas disponer de un registro

para evaluar la magnitud de los riesgos permanentemente y actualizado de los

de modo coherente y contar con principales activos de Tecnologías de la

indicadores clave para monitorizar Información a proteger, de modo que se

periódicamente la eficacia de las garantice la continuidad operativa vía

actividades de gestión evaluación de los planes mitigación, de los riesgos

brechas de efectividad de los controles inmersos en cada activo. Esto ha

de seguridad de la información. permitido una adecuada sinergia con los

procedimientos de continuidad del

2. Con la correcta identificación de los
negocio.
procesos críticos de la Caja de ahorro y

crédito Sipán S.A, que ha partido 4. Se comprueba que los resultados

principalmente de los dueños de los obtenidos de la valoración cualitativa de

procesos, con su correspondiente los niveles de riesgo de Tecnologías de

priorización, se ha logrado identificar la la Información, en el software comercial

infraestructura de Tecnologías de la PILAR y en el desarrollo del caso de

Información más crítica y aplicar las estudio con el PGR-TI propuesto son

estrategias para su recuperación y similares. Este es un indicador de que el

continuidad, lo que ha conllevado a PGR-TI propuesto funciona.

disminuir el número de caídas o

Las diferencias que podemos encontrar
problemas.
entre el sistema comercial y el PGR-TI

3. El producto tangible de la metodología son:

de gestión de riesgos es la matriz de

 - las escalas de valoración. Esto no es negocio, es decir; entendiendo su cultura

una deficiencia del plan propuesto, organizacional, sus procesos, sus

puesto que cada organización crea operaciones críticas, es imposible lograr

sus propias escalas de valoración de que estas metodologías alcancen el

acuerdo a su contexto tecnológico, propósito de minimizar los riesgos.

procesos y políticas de seguridad.

Es por esta razón que además de conocer

- El software comercial no considera estándares, normas y regulaciones, es

vulnerabilidades. En el PGR-TI si se recomendable llevar a cabo una

considera la identificación de metodología de análisis y evaluación de

vulnerabilidades. Esto se debe a que riesgos que identifique claramente las

este elemento de la Gestión de directrices estratégicas para mitigar,

Riesgos es una característica propia aceptar, reducir o transferir dichos

de la organización y no se puede riesgos.

generalizar, por tanto, es difícil que

6. Se ha logrado establecer un nivel de
sea evaluado en un software
conocimiento, concientización y cultura
comercial.
en el personal de la Caja de Ahorro y

5. Hoy en día las organizaciones son Crédito Sipán S.A orientado hacia el

conscientes de la necesidad de control y la seguridad de la información,

identificar los riesgos asociados a que se expresa en la disminución de

Tecnologías de la Información, pero incidencias relacionados con las caídas

también es un hecho que al tener esta de las TI que dan soporte a los

preocupación y no aplicar una principales procesos: créditos y

metodología adecuada para cada captaciones, con la definición de

 políticas de seguridad de la información, Agradezco a Dios por haberme dado la

en procedimientos, reglamentos y salud, las fuerzas, porque bajo su bendición

controles. me permite presentar ante ustedes esta tesis

de grado.
AGRADECIMIENTO
A nuestra Alma mater UNPRG, por
Agradezco a Dios por protegerme durante
acogernos a sus aulas y vivir una
todo mi camino y darme fuerzas para
maravillosa experiencia de forjarnos unos
superar cada obstáculo y dificultades a lo
profesionales de calidad y a nuestros
largo de toda mi vida.
Docentes en general que nos impartieron y

A mi padre, que con su demostración de un trasmitieron sus conocimientos para nuestra

padre ejemplar me ha enseñado a no formación integral como Ing. en

desfallecer ni rendirme ante nada y siempre Computación e Informática.

perseverar a través de sus sabios consejos.

A mi madre por su dedicación

A mis hermanas Mavila y Aldonía, que incondicional y su apoyo en el crecimiento

confiaron siempre en mi integral como persona de bien en el aspecto

A nuestra asesora Jessie Bravo Jaico que personal.

con sus conocimientos y apoyo constante se A mi amigo Artemio por haber logrado

pudo lograr la culminación esta tesis. nuestro gran objetivo con mucha

A mi amigo Álvaro por haber logrado perseverancia y por su apoyo a lo largo de

nuestro gran objetivo con mucha nuestra permanencia en aulas.

perseverancia. Álvaro Vásquez Hoyos

Artemio Calderón Pérez

REFERENCIAS BIBLIOGRÁFICAS  Costas Santos, J. (2011). Seguridad

informática. Bogotá, Colombia: Rama

 Borghello, C. F. ( 2001). Seguridad
editorial.
informática sus Implicancias e

Implementación. (Tesis) Universidad  ONGEI. 2004. Norma Técnica

Tecnológica Nacional, Buenos Aires - Peruana. ISO/IEC 17799. Lima - Perú:

Argentina ONGEI,1° Edición, Norma Técnica.

 Medina M. A (2007). Seguridad  Superintendencia de banca y seguro.

Informática. (Tesis). Universidad (2002). Criterios mínimos para la

Nacional de San Marcos, Facultad de identificación y administración de los

Economía. riesgos asociados a la tecnología de

información. Lima, Perú: SBS, Circular

 Asociación de Auditoría y Control de
N° G-105-2002.
Sistemas de Información (ISACA).

2005. Manual de Preparación al  Superintendencia de banca y seguro.

examen CISA, 2005. Madrid - España: (2002). Reglamento para la

ISACA, 15° Edición. administración de riesgos de operación.

Lima, Perú: SBS, Resolución N° 006-

 CobIT. 2000. Governance, Control and
2002.
Audit. for information and Related

Technology. s/l: CobIT 3era edición,  MAGERIT. (2012). MAGERIT –

MetodologíaCobIT. versión 3.0 Metodología de Análisis y

Gestión de Riesgos de los Sistemas de

Información. Madrid: Ministerio de

Hacienda y Administraciones Públicas.