plantilla-TI - Rosa Bustamante

Universidad Internacional de La Rioja
Escuela Superior de Ingeniería y Tecnología
Máster Universitario en Dirección y Gestión de Tecnologías

de la Información
Implementación de un SGSI en la Unidad
Educativa Isla de Bejucal aplicando ISO/IEC
27001:2013 utilizando la metodología
Magerit
Trabajo fin de estudio presentado por: Rosa Stefanie Bustamante Jorge

Tipo de trabajo:
Director/a: Jesús Claret Tremps
Fecha: 19 de Abril del 2021
Rosa Stefanie Bustamante Jorge
Implementación de un SGSI en la Unidad Educativa Isla de Bejucal
aplicando ISO/IEC 27001:2013 utilizando la metodología Magerit
Resumen
En este apartado se introducirá un breve resumen en español del trabajo realizado

(extensión entre 150 y 300 palabras). Este resumen debe incluir el contexto de lo
que se va a tratar, el problema a solucionar o motivación del trabajo, la solución
propuesta, algunos detalles de la misma (cómo se ha realizad) y los resultados
esperados o aplicación de la propuesta.
Palabras clave: (De 3 a 5 palabras en español)
2
Abstract
En este apartado se introducirá un breve resumen en inglés del trabajo realizado

(extensión entre 150 y 300 palabras).
Keywords: (De 3 a 5 palabras en español)
3
Índice de contenidos
1. Introducción............................................................................................................7
1.1. Justificación del Trabajo..................................................................................8
1.2. Planteamiento de la Solución..........................................................................9
1.3. Estructura de la Memoria.................................................................................9
2. Contexto y Estado del Arte...................................................................................10
2.1. Sistema de gestión de seguridad..................................................................10
2.2. NormativAS ISO.............................................................................................11
2.3. Importancia de la gestión de riesgos.............................................................13
2.3.1. Identificación de las amenazas...............................................................13
2.3.2. Identificación de vulnerabilidades...........................................................13
2.4. Metodología de Análisis y Gestión de Riesgos en los sistemas de

información...............................................................................................................14
2.4.1. Los sistemas de información en los centros educativos.........................14
2.4.2. Metodología de análisis de riesgo...........................................................14
2.4.3. La metodología Magerit...........................................................................14
2.5. Antecedentes.................................................................................................15
2.6. Trabajos Relacionados..................................................................................16
2.7. Conclusiones del Estado del Arte..................................................................17
3. Objetivos y Metodología de Trabajo.....................................................................19
3.1. Objetivo Principal...........................................................................................19
3.2. Objetivos Específicos.....................................................................................19
3.3. Metodología de Trabajo.................................................................................20
4. Desarrollo del Proyecto........................................................................................21
4.1. Análisis...........................................................................................................21
4.2. Implementación..............................................................................................21
4
4.3. Evaluación......................................................................................................21
4.3.1. “Título 3” del menú de estilos..................................................................22
4.3.2. “Título 3” del menú de estilos..................................................................22
5. Conclusiones y Trabajo Figuro.............................................................................23
5.1. Conclusiones..................................................................................................23
5.2. Líneas de Trabajo Futuro...............................................................................23
Referencias bibliográficas...........................................................................................24
Anexo A. Título Anexo................................................................................................25
Índice de figuras
Figura 1. “Figuras” del menú de estilos. (Elaboración propia)....................................21
5
Índice de tablas
Tabla 1. “Tablas” del menú de estilos.........................................................................21
6
1. Introducción
El presente trabajo de investigación está orientada a la gestión de la seguridad de la

información basada en las normas ISO/IEC 27001:2013, por cuanto la informática
está presente en los procesos tanto de instituciones púbicas como en las privadas,
buscando tener un mejor rendimiento, ahorro de costos y además que sus
actividades puedan resolverse en el menor tiempo posible.
Hasta hace unos años atrás la información de las instituciones se encontraba en

papel, esta se encontraba en lugares pocos adecuados donde podía ser copiada,
leída y destruida a mano, ahora ya con el tiempo transcurrido se usa dispositivos
electrónicos sean estos USB, discos duros, en la web donde cada dueño es el
encargado de protegerla.
Todo ello involucra que debido a las grandes cantidades de información y a lo

dispersa que encentra pueda ser vulnerada y al considerarse un activo importante
de las instituciones ésta debe ser protegida adecuadamente frente a cualquier
peligro o amenaza que se suscitare, sobre todo porque cada día se desarrollan
diversas estrategias para vulnerar la seguridad de la información.
Es así que existe la necesidad de crear nuevas estrategias de seguridad para

prevenir la vulneración o fugas de la información, de ahí que se utilizan software de
seguridad, el uso de servidores propios, además de realizar análisis de riesgo, pero
esto suele tener costos elevados para las instituciones que en muchas ocasiones lo
consideran un gasto innecesario porque no existe una cultura de seguridad de la
organización.
En la institución educativa donde se aplica la investigación se ha detectado que no

se dispone de normas, políticas ni procedimientos que orienten al personal sobre las
buenas prácticas que ayuden a resguardar la información que se genera dentro de la
institución, además se puede evidenciar una falta de mecanismos tecnológicos que
ayuden a resguardar la información que les ayude a protegerse de ataques sean
estos externos o internos, que eviten poner en riesgo el patrimonio digital.
7
Al no implementar mecanismos de protección que normalice los controles activos de
la información que se tiene, de ahí que esta propuesta con un modelo basado en la
norma internacional ISO/IEC 27001:2013; a través de la metodología Magerit que
nos permite analizar y gestionar los riesgos que asechan al sistema de información.
1.1. Justificación del Trabajo
La seguridad de la información es importante en todos los tipos de organizaciones y

aún más en entidades públicas puesto que la información corresponde a un activo
de mayor valor, es por ello que se vuelve necesario implementar sistemas de
privacidad que permitan una gestión correcta de la privacidad.
La importancia viene dada por el vertiginoso cambio en la tecnología así como las
amenazas a la que están expuestas las instituciones hacen que sea imperiosa la
necesidad de gestionar la seguridad de la información con el afán de proteger los
recursos de la institución al aplicar normas de seguridad para evitar una posible
existencia de un riesgo en la información sea usada inapropiadamente o esta sea
robada.
Realizar el presente proyecto de investigación es relevante puesto que permitirá

gestionar de manera correcta la seguridad de la información a través del uso de la
norma ISO/IEC 27001:2013 en la institución, permitiendo que puedan cumplir con
los objetivos referentes a la gerencia informática además que esto ayude a proteger
y gestionar los datos.
Al implementar dicho Sistema de Gestión de Seguridad de Información utilizando la

norma ISO/IEC 27001:2013, por ello es necesario que se revise y se evalúe las
diferentes áreas de la institución así como los procesos y controles para buscar las
mejores estrategias para obtener buenas prácticas que sean fáciles de mantenerlas.,
para ello puede ser necesario que se creen campañas de concientización acerca de
la seguridad de la información.
Además la ISO/IEC 27001:2013 permitirá establecer guías, procedimientos y

procesos para poder gestionar adecuadamente la información a través de un
8
mejoramiento continuo, basándonos en la metodología Magerit para la gestión de
riesgos de la información de la Unidad Educativa Isla de Bejucal. Con ello se busca
evaluar el estado actual de los procesos que se relacionan con la seguridad de la
información.
Este proyecto es factible porque la institución cuenta con los recursos tecnológicos y
bibliográficos para desarrollar exitosamente la solución que se plantea, además que
permitirá gestionar la seguridad de la información utilizando la norma ISO/IEC
27001, estableciendo mejoras en la calidad de la gestión informática haciendo que
se lleve “una administración adecuada y efectiva se traduce en mayor eficiencia de
los procesos que se llevan a cabo, estabilizando al largo plazo sus funciones 1”
(Varela, 2017, pág. 197).
1.2. Planteamiento de la Solución
El presente trabajo pretende realizar un análisis de la necesidad de salvaguardar la

información de la Unidad Educativa Isla de Bejucal, implementando un SGSI que
permita reducir los riesgos a los que se encuentra expuesta la información, mediante
la utilización de la metodología Magerit la cual nos permite analizar e identificar los
riesgos en los cuales se encuentra la información y determina la vulnerabilidad del
sistema de prevención de riesgos, para poder valorar y establecer el tratamiento de
las amenazas existentes.
1.3. Estructura de la Memoria
Dentro del primer capítulo se explica la introducción donde se describe una reseña
sobre la importancia de la seguridad de la información y se describe a breves rasgos
el sistema que se desea implementar, también la justificación de por qué es
necesario implementar el Sistema de seguridad de la Información, junto con el
planteamiento de la solución.
1
Varela, C. (2017). El manejo de la seguridad informática en las empresas. Bogotá - Colombia:
Galeón ediciones educativas.
9
En el capítulo 2 se describe el contexto y Estado del Arte, donde se va a definir cada
uno de los conceptos básicos que se van a utilizar en la realización de nuestra
propuesta, los antecedentes donde se detalla los conocimientos básicos que
tenemos acerca de la institución y un pequeño análisis de la investigación acerca de
los trabajos existentes que se relacionan con nuestra propuesta.
En el capítulo 3 se describen los objetivos tanto general, como específicos que

orientaran la realización de la presente propuesta y la metodología que se desea
utilizar para salvaguardar la información de la Unidad Educativa Isla de Bejucal.
10
2. Contexto y Estado del Arte
2.1. SISTEMA DE GESTIÓN DE SEGURIDAD
La seguridad de la información es la disciplina que se orienta en conservar la

confidencialidad, integridad, disponibilidad y la autenticación de un sistema de
información a través de un conjunto de normas, procesos, herramientas y buenas
prácticas para la gestión eficaz, final de la información de las empresas y
organizaciones2, de ahí que todas las actividades que se implementen sean estas
lógicas y físicas deben estar orientadas a la prevención, detección y la mitigación de
las amenazas que hayan en la institución y que de una u otra manera afectan la
información que posee la institución.
También la seguridad de la información es aquella que orienta el resguardo y la

protección de la información, además que plantea el correcto uso de los datos de un
sistema partiendo de la creación, el uso, el almacenamiento, la transmisión de la
información así como la recuperación de la misma, donde la información es “un
activo esencial para las diferentes organizaciones, sin embargo, no siempre la
inversión para protegerla va a la par de la seguridad” 3, de ahí que algunas
organizaciones solo realizan iniciativas agregadas que no responden a la realidad.
De ahí que la seguridad de la información debe manejar tres principios básicos que
son:
La confidencialidad, ello para que solo las personas autorizadas tengan acceso a la
información, sensible, lo que hará que la información que se considera personal está
protegida.
2
Julio Cesar, N. C. (2019). Análisis y diseño para un modelo de gestión de seguridad de la
información basados en normas ISO/IEC 27001: 2013 para la empresa Artehogar en la ciudad de
Guayaquil (Bachelor's thesis, Universidad de Guayaquil Facultad de Ciencias Administrativas).
Recuperado de http://repositorio.ug.edu.ec/handle/redug/44410
3
Bojorque, R. (2017). Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013. Quito: Sistemas de
información en ciencias de la computación (pp. 99-133). Universidad Politécnica Salesiana.
11
La disponibilidad, esto debe asegurar al personal que podrá tener acceso a la
información en todo tiempo y cada vez que necesiten acceder a ella.
La integridad, asegura que la información se mantendrá inalterable, es decir que no

se cambiará sin la debida autorización.
La autenticidad, evita que la identidad de los usuarios sea suplantada utilizando

mecanismos de seguridad que permitan a los usuarios poder acceder a los sistemas
a través de verificación y autenticación.
EL no repudio, para conocer exactamente quién es el emisor y el receptor dentro de

una comunicación, de esta forma se evita que se niegue la transmisión del mensaje,
incrementando también la confianza entre ambas partes al realizar comunicaciones
de transacción comercial.
La trazabilidad, esto para que el sistema pueda realizar un rastreo de las acciones
que se den sobre la información desde el origen.
2.2. NORMATIVAS ISO
La BSI (British Standards Institution) surge en el año 1901 como la entidad que
normaliza los estándares de calidad a nivel mundial, ya en 1995 surge la normativa
BS 7799 donde se recoge una serie de buenas prácticas usadas dentro de la gestión
de los sistemas de información así como los requisitos que debe contener un
sistema de gestión de seguridad de la información.
La BSI (British Standards Institution) surge en el año 1901 como la entidad que
normaliza los estándares de calidad a nivel mundial, ya en 1995 surge la normativa
BS 7799 donde se recoge una serie de buenas prácticas usadas dentro de la gestión
de los sistemas de información así como los requisitos que debe contener un
sistema de gestión de seguridad de la información.
12
En el año 2005 la organización ISO realizó una revisión de dicha norma las que
fueron adoptadas como normativas ISO 27001 e ISO 27002, luego entre ese año y
el 2011 se dio nacimiento a las normativas ISO 27000.
La normativa ISO 27001, es aquella que permite controlar y que además se enfoca
en la gestión de riesgos además que permite que en cada proceso se realice una
mejora continua adoptando un modelo Demming en cada uno de los procesos que
se lleven a cabo en la institución, el cual consta con las siguientes fases:
planificación, ejecución, seguimiento, mejora, cada una de esas fases tiene un
proceso a realizarse.
En la planificación se establecen todos aquellos procedimientos que benefician al

seguridad de la información dentro de la institución, como identificar que se debe
mejorar, recopilar y analizar los datos de ese proceso, crear objetivos de mejora,
mostrar los resultados que se obtienen.
En la ejecución se trata de una implementación y administración del SGSI donde se

tomen en cuenta las políticas y procedimientos, todo ello en un entorno de prueba
puesto que es necesario una verificación de los procesos en el tiempo de ejecución
así como los resultados que se obtengan antes de aplicarlo en el sistema real.
En el seguimiento, se debe realizar la medición y verificación de las prestaciones de

los procesos del SGSI, donde se comprueba si las reglas especificadas han
generado el efecto que se busca, mediante la recopilación de datos que ayuden a
monitorear el comportamiento que tiene el sistema de gestión.
En cuanto a la mejora, son acciones que pueden ser correctivas o preventivas para
ello es necesario realizar revisiones internas con el objetivo de mejorar el SGSI, en
caso de que se encuentre algún mal funcionamiento se debe repetir el ciclo hasta
que este sea exitoso, es ahí donde se da paso a que se instalen y se hagan las
modificaciones definitivas en el sistema.
13
Para Segovia citado por Cárdenas Calderón 4 existen 11 puntos dentro de la norma
ISO/IEC 27001:2013 que deben ser tomados en cuenta:
1. Objeto y campo de aplicación: Describe la finalidad de la norma.
2. Referencias normativas: Estándar en el que otorgan definiciones.
3. Término y definiciones: Términos de la norma ISO/IEC 27000.
4. Contexto de la empresa: Define los requisitos para comprender cuestiones

internas y externas del SGSI de cara a especificar el alcance.
5. Liderazgo: Se define como el establecimiento de contenido y roles de la política

de alto nivel sobre Seguridad de la Información.
6. Planificación: Valoración y evaluación de riesgos. Adicionalmente, la organización

debe identificar los objetivos de la información.
7. Soporte: Se debe asignar para la implementación, mantenimiento y mejora del

SGSI.
8. Operación: Se debe planificar la operación, así como la valoración de los riesgos y

su tratamiento.
9. Planificar, implementar y controlar: Apreciación de los riesgos y el tratamiento

sobre los mismos.
10. Evaluación de desempeño: Monitoreo y evaluación del SGSI, auditorías dentro

de la organización.
11. Mejora: Acciones correctivas y mejora continua.
4
Cárdenas Calderón, I. A. (2020). Diseño de una política de seguridad de la información para la Unidad
Educativa Borja 3 cavanis, basado en Norma ISO 27002. Recuperado de
https://repositorio.uisek.edu.ec/handle/123456789/3656
14
2.3. IMPORTANCIA DE LA GESTIÓN DE RIESGOS
Si se desea lograr la implementación de un Sistema de Gestión de Seguridad de la

información adecuado, se debe identificar las vulnerabilidades que posee la
institución en este caso no existe alguna documentación para gestionar la seguridad
de la información, además que sus miembros desconocen las consecuencias de
aquello, por ello se debe identificar claramente esta falla para conocer las causas y
las consecuencias de la exposición de la información dentro de la organización.
2.3.1. Identificación de las amenazas
Una amenaza puede causar daños a activos tales como información, procesos y
sistemas5, dentro de la organización se debe determinar cuáles son las amenazas
que de una u otra forma pueden afectar los activos de información de la institución,
en el caso de procesos y sistemas y que aquellas amenazas pueden deberse a la
intervención de personas o de origen natural, así como accidental o provocada.
2.3.2. Identificación de vulnerabilidades
Por otra parte es necesario identificar las vulnerabilidades dentro de la institución,

así como el describir las debilidades o fallas que puedan producirse dentro del
sistema de información, es decir en cómo ella puede poner en riesgo la información
de la institución, donde puede llegar a comprometer la confidencialidad, integridad y
disponibilidad de los datos que posee la misma.
2.4. METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS EN LOS SISTEMAS

DE INFORMACIÓN
2.4.1. Los sistemas de información en los centros educativos
Es necesario que las instituciones que almacenan información sensible deben contar
con un sistema de gestión de la información que les permita brindar seguridad de los
5
Esguerra Cruz, L. y Ortíz Cárdenas, G. Propuesta de implementación de un sistema de gestión de seguridad de
la información basado en la norma ISO 27001:2013 para la empresa Lovato City Gas S.A.S. Recuperado de
https://tinyurl.com/yennfqad
15
datos, es por ello que se considera como un punto clave dentro gestión y
organización la seguridad de la información en todos los procesos que realiza.
2.4.2. Metodología de análisis de riesgo
Cuando se analiza los riesgos de una institución se plantea “identificar de manera

clara los riesgos a los cuales está expuesta la organización, y basados en esta
identificación de los riesgos determinar cuáles medidas de seguridad serán las
adecuadas para los diferentes activos de seguridad de la información” 6, el análisis de
riesgos también busca saber qué medidas serán las adecuadas para los activos de
seguridad de la información, así como los planes de contingencia a ejecutar.
2.4.3. La metodología Magerit
MAGERIT, son las siglas de Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información de la Administraciones 7, es de carácter público y fue creada
por el Consejo Superior de Administración Electrónica de España, con la finalidad de
dar respuesta a la creciente demanda del uso de las TIC en las diversas
instituciones.
Esta metodología se centra en el análisis del impacto que dentro de las

organizaciones puede haber en cuanto a la vulneración de la seguridad de la
información, para así poder conocer las amenazas y vulnerabilidades que puedan
poner en riesgo a la institución, además de permitir un análisis ordenado de cada
uno de los activos de dicha organización.
La metodología Magerit se encuentra divida en cuatro etapas que son:
1. Identificar los activos relevantes para la institución.
6
Maya Arango, P. (2016). Plan de implementación del SGI Basado en la Norma ISO 27001:2013. Universidad
Oberta de Catalunya. Recuperado de shorturl.at/qruT4
7
Esguerra Cruz, L. y Ortíz Cárdenas, G. Propuesta de implementación de un sistema de gestión de seguridad de
la información basado en la norma ISO 27001:2013 para la empresa Lovato City Gas S.A.S. Recuperado de
16
2. Conocer las amenazas a las que se exponen los activos relevantes de la
institución.
3. Determinar qué salvaguardas deben estar disponibles.
4. Estimar el impacto en el activo al momento de ocurrir una amenaza.
5. Identificar el peligro ponderándolo con la tasa de ocurrencia de una amenaza.
2.5. Antecedentes
La seguridad de la información permite mantener la integridad de los activos más

importantes de las diferentes instituciones como son la información.
En cuanto a la estructura organizativa de la institución cuenta con una ingeniera en

sistemas quien es la titular que gestiona y administra cuyo cargo es rectora, el resto
de las personas que pertenecen a la institución se dividen en 38 docentes y 4
docentes en el área administrativa quienes además de sus labores pedagógicas
deben cumplir con procesos de administración.
Por otra parte, el consejo ejecutivo además de la rectora, vicerrectora se encuentra

conformada por 3 docentes que han sido designados en asamblea general de
directivos y docentes como vocales principales del mismo, quienes en alguna
medida se encuentran involucrados en la gestión de calidad educativa de la
institución.
La unidad educativa Isla de Bejucal es un centro de educación pública, donde los

recursos económicos limitados impiden la utilización de un buen sistema de gestión
de la información, teniendo en cuenta que poseen una gran cantidad de información
personal tanto de los alumnos como de sus familias, se debe tener en cuenta la
protección de datos, es por ello que se desea implementar un Sistema de Gestión de
Seguridad de la Información para poder salvaguardar los datos de todos los
miembros de la institución.
17
2.6. Trabajos Relacionados
Estudio de interconectividad y seguridad de la información en la unidad educativa 13

de enero de la ciudad de Vínces (Arroyo Castro, 2018), en éste trabajo se desea
implementar un sistema que permita interconectar la red y a su vez crear un sistema
de seguridad de la información a través de la norma ISO 27001 en la Unidad
Educativa 13 De Enero, se realizó un análisis de infraestructura donde se identificó
que ésta no presta las garantías para que la información no se pierda o pueda ser
manipulada por terceros.
Otra problemática identificada es la falta de equipos adecuados así como una

deficiente conexión a internet lo que en muchas ocasiones imposibilita el acceso a la
información actualizada para que tanto docentes como estudiantes puedan crear el
conocimiento, se detectó la falta de diseño de red, de manera que la estructura no
brinda las seguridades, también existen limitantes en el aspecto físico y de recursos
económicos.
Puede decirse que la conexión es ineficiente en la Unidad Educativa 13 de enero,

que además no cuenta con la adecuada infraestructura para ofrecer una seguridad a
la información, si bien permite enviar y recibir comunicaciones mediante medios de
comunicación como el correo electrónico, al no tener seguridad dentro de las redes
puede verse comprometida la información, esto debido al cableado y seguridad en
los datos.
Dentro del proyecto se contemplaron diseños de estructuras de redes para poder

brindar una mayor seguridad a la información que posee la institución entre ellas: los
dispositivos de accesos a la red, el cableado en base a estructuras, dispositivos,
también se recomienda crear un cuarto de telecomunicaciones para poder
administrar adecuadamente el sistema y ofrecer la seguridad que se necesita.
Se utilizó la red por cableado porque ofrece un mejor rendimiento, confiabilidad y

disponibilidad, se la realizó en tipo estrella puesto que si fallare alguno de los
equipos no comprometería la seguridad de la información, también se escogió un
18
sistema de antivirus, además de un inventario de cada uno de los equipos
informáticos.
Modelo de un sistema de gestión de la seguridad de la información (SGSI) aplicada

a corredores de seguros bajo el marco de referencia de la norma ISO/IEC
27001:2013 (Gómez Pachón y Latorre Aguilar, 2018), la propuesta muestra cómo se
puede establecer una guía que nos permita planificar e implementar un Sistema de
Gestión de Seguridad de la Información SGSI.
Se identificó que existían falencias en el sistema de gestión así como en la

seguridad de la información, de ahí que existe posibilidades de sabotaje, fraudes y
suplantación de identidad, también existe riesgo de amenaza de la privacidad de la
información, de ahí que se debe considerar que siempre habrán personas
dispuestas a robar información importante sobre todo cuando se trata de información
personal de los clientes.
De ahí que un SGSI en una compañía de seguros sería necesario porque

actualmente los fraudes financieros pueden afectar directamente la imagen de las
empresas, todo ello ha obligado a que estas empresas busquen darle prioridad a la
seguridad, puesto que si no pueden verse comprometidos los procesos, la
información y los sistemas que tienen acceso a ellos.
El objetivo principal del proyecto es
Diseñar un documento guía de un modelo de un sistema de gestión de la

seguridad de la información (SGSI), donde se identifiquen las políticas de
seguridad de la información, que permitan implementar mecanismos y
controles necesarios para hacer gestión de riesgos, basados en la norma
ISO/IEC 27001:2013. (Gómez Pachón y Latorre Aguilar, 2018, p. 27)
En dicho proyecto se buscó identificar los riesgos que pueden afectar a la empresa
con la finalidad de que se establezcan políticas generales para minimizar esos
riesgos a los que se encuentra expuestos puesto que en toda organización los datos
cumplen un papel primordial para establecer planes y estrategias que hagan que
19
optimicen recursos y puedan garantizar la disponibilidad, confidencialidad e
integridad de la misma.
Recopilar información del centro educativo es fundamental para activar las

capacidades, habilidades y herramientas estructurales de las empresas
especializadas en corretaje de seguros. Al definir la política de seguridad de la
información correcta, puede prevenir riesgos e impactar el buen funcionamiento de
su negocio siempre que cada gerente administre su aplicación. La gestión de riesgos
le brinda una imagen clara de los riesgos que existen en su negocio y, al analizar
cada proceso, puede detectar, prevenir acciones y eventos que crean un tipo
particular de amenaza.
El uso y cumplimiento de las políticas de seguridad aprobadas por la alta dirección

es esencial para garantizar la implementación, el mantenimiento y el cumplimiento.
Para que un SGSI implemente y logre sus objetivos de manera efectiva, todas las
áreas y empleados de la organización deben cumplir con las regulaciones, políticas
y controles definidos por el SGSI.
Una evaluación de madurez realizada dentro de la organización muestra que ésta ha

avanzado para crear conciencia tomando las precauciones adecuadas en función de
las prioridades. Sin embargo, al aplicar medidas de control que aún no se han
realizado, se recomienda que se revise cada una de sus políticas existentes y
aplique esas medidas.
La norma ISO 27001 es una continuación del SGSI basado en medidas de control y
evaluación que pueden descubrir nuevos riesgos para el desarrollo de la tecnología
de la información y las comunicaciones con el fin de mantener el correcto
funcionamiento y control de la seguridad de la información de la empresa.
20
Diseño de una política de seguridad de la información para la unidad educativa Borja

3 Cavanis, basado en la norma ISO/IEC 27002:2013” (Rodríguez Arboleda, 2020),
permite conocer los lineamientos a establecer para poder mitigar las amenazas y
vulnerabilidades de la información que afecta su confidencialidad, disponibilidad e
integridad.
Después de observar los desafíos de la Unidad Educativa Borja 3 Cavanis, se puede

decir que se necesita maximizar los recursos técnicos disponibles para administrar y
gestionar los datos, pero esta tecnología puede abordar riesgos, incluido un conjunto
de vulnerabilidades. De ahí que puede existir ataques como virus, espionaje,
intrusiones y otros delitos informáticos: por lo tanto, es esencial utilizar estándares y
políticas de seguridad para ayudar a minimizar las amenazas a las que está
expuesto.
En el trabajo realizado se concluye que según la norma ISO / IEC 27002: 2013,
estas políticas pueden ser implementadas por cualquier organización, para ello se
debería construir una matriz de riesgos en el campo de la gestión de tecnología, es
claro que la amenaza de esta vulnerabilidad expone las fortalezas de Academic
Systems Academy Homme, además que el proceso se apoya y construye según el
método Magerit.
De los resultados presentados en el análisis de riesgos, podemos concluir que no es

necesario implementar todos los controles recomendados por ISO / IEC 27001:
2013, la opción más adecuada para mitigar los riesgos que plantean las amenazas a
los activos de su organización como es la información.
Es así que a la hora de implementar el presente proyecto, la política del área de

gestión técnica de la Unidad Educativa Borja 3 Cavanis es garantizar a todos los
estudiantes, directivos, docentes, departamentos, etc., tengan un acceso real y
controlado a la información.
21
22
Implementación un sistema de seguridad de la información (SGSI) de acuerdo con la

norma ISO/IEC 27001. Caso de estudio: Unidad de gestión educativa local 01
(Llanos Guillén, 2019), El diseño e implementación del SGSI ayudará al proceso
continuo del análisis y la gestión de los riesgos.
23
Metodología de Implantación de un SGSI en un grupo empresarial jerárquico (Pallas

Mega, 2019), propone un enfoque mixto que permite aunar criterios y optimizar
recursos para que cuando los riesgos deban afrontarse, sea de manera conjunta.
24
Metodología de Implantación de un SGSI en grupos empresariales de relación

jerárquica (Pallas y Corti, 2019), Se permite gestionar la seguridad de la información
considerando la estructura empresarial.
25
Diseño de un sistema de gestión de seguridad de la información (SGSI) para el área

de informática de la cooperativa del magisterio de Túquerres bajo la norma ISO
27001:2013 (Palacios Portilla, 2015), Nos permite aplicar mecanismos de seguridad
de la información con el fin de detectar amenazas y riesgos de los activos.
26
Diseño de un sistema de gestión de información web para la unidad educativa José

Alfredo Llerena de la ciudad de Guayaquil en el año 2018 (Bohórquez Morán, 2018)
Implementar un sistema de seguridad de la información para que al momento de
divulgar la información en la web, ésta permita que sus activos se mantengan libres
de amenazas y riesgos.
27
Plan de contingencia informático para el área de ti en base a la norma de calidad

ISO 27001:2013 para la fundación cultural y educativa Ambato - Unidad Educativa
Atenas. (Burgos Godón, 2020), Éste trabajo nos hace referencia al hecho de
implementar un sistema de seguridad de la información, basándose en la norma de
calidad ISO 27001:2013, implementando medidas correctivas para minimizar
riesgos.
28
Propuesta de sistema de gestión de seguridad de la información utilizando la norma

ISO 27001 para la unidad educativa nuestra señora de Fátima (Barrera Acurio,
2019)
29
Diseño de un sistema de gestión de seguridad de la información mediante la

aplicación de la norma internacional ISO/IEC 27001:2013 en la unidad educativa
adventista Gedeón (Alomoto Cuvi, 2019), Implementación de un SGSI para la
valoración y análisis de los activos para llegar a conocer los riesgos existentes y
estimar el nivel de los mismos.
2.7. Conclusiones del Estado del Arte
Se pretende implementar de un SGSI en la Unidad Educativa Isla de Bejucal para lo

cual se desarrollado la búsqueda de conceptos claves que permitan realizar de una
mejor manera el proyecto, donde se ha analizado la norma ISO/IEC 27001:2013,
que es una norma que permite mejorar el sistema de seguridad de la información a
través de la seguridad, confidencialidad e integridad de los activos más importantes
como lo es la información.
Además se ha identificado la metodología MAGERIT como la más eficiente para la

identificación de riesgos, amenazas y posibles vulneraciones en la información,
además se plantea establecer salvaguardas para poder hacer un SGSI robusto que
permita brindar seguridad a la información que posee la institución educativa.
30
3. Objetivos y Metodología de Trabajo
Diseñar un Sistema de Gestión de Seguridad de la Información en la Unidad

Educativa Isla de Bejucal aplicando ISO/IEC 27001:2013 mediante la utilización de
la metodología Magerit.
3.1. Objetivo Principal
Implementar un Sistema de Gestión de Seguridad de la Información en la Unidad

Educativa Isla de Bejucal aplicando ISO/IEC 27001:2013 utilizando la metodología
Magerit, para poder analizar y gestionar los riesgos que involucren el sistema de
Información
3.2. Objetivos Específicos
 Utilizar la metodología Magerit para analizar e identificar los riesgos en los

cuales se encuentra la información.
 Determinar la situación actual correspondiente a la seguridad de la

información de la Unidad Educativa Fiscal Isla de Bejucal.
 Identificar activos que posee la Unidad Educativa Fiscal Isla de Bejucal
 Analizar los riesgos y amenazas acerca de la información.
 Establecer controles basados en la norma ISO/IEC 27001:2013.
3.3. Metodología de Trabajo
Para la realización del presente trabajo se pretende utilizar la metodología de

análisis y gestión de riesgo Magerit, la cual permite que las amenazas sean
identificadas, la valoración de activos en base a la confidencialidad, integridad y
31
disponibilidad de la información. Magerit es una metodología que está relacionada
con el uso de tecnologías de la información y fue elaborada por el Consejo Superior
de Administración Electrónica, al que actualmente se lo conoce como Comisión de
Estrategia TIC.
Para el presente trabajo se realizaran los siguientes pasos:
1. Identificar los activos de información relevantes de la Unidad Educativa Isla de

Bejucal.
2. Conocer las amenazas a las que se exponen los activos relevantes de la Unidad
Educativa Isla de Bejucal.
3. Determinar qué salvaguardas deben estar disponibles para proteger la

información de la institución.
4. Estimar el impacto en el activo al momento de ocurrir una amenaza en la

seguridad de la información de la institución.
5. Realizar una ponderación de la tasa de ocurrencia con el peligro de la vulneración

de la información.
32
4. Desarrollo del Proyecto
4.1. Análisis
4.2. Implementación
4.3. Evaluación
33
5. Conclusiones y Trabajo Figuro
5.1. Conclusiones
5.2. Líneas de Trabajo Futuro
34
Referencias bibliográficas
Varela, C. (2017). El manejo de la seguridad informática en las empresas. Bogotá -

Colombia: Galeón ediciones educativas.
Julio Cesar, N. C. (2019). Análisis y diseño para un modelo de gestión de seguridad

de la información basados en normas ISO/IEC 27001: 2013 para la empresa
Artehogar en la ciudad de Guayaquil (Bachelor's thesis, Universidad de Guayaquil
Facultad de Ciencias Administrativas). Recuperado de
http://repositorio.ug.edu.ec/handle/redug/44410
Bojorque, R. (2017). Elaboración de un Plan de Implementación de la ISO/IEC

27001:2013. Quito: Sistemas de información en ciencias de la computación (pp.
99-133). Universidad Politécnica Salesiana. Recuperado de https://bit.ly/34uSLI4
Cárdenas Calderón, I. A. (2020). Diseño de una política de seguridad de la

información para la Unidad Educativa Borja 3 cavanis, basado en Norma ISO
27002. Recuperado de https://repositorio.uisek.edu.ec/handle/123456789/3656
Esguerra Cruz, L. y Ortíz Cárdenas, G. Propuesta de implementación de un sistema

de gestión de seguridad de la información basado en la norma ISO 27001:2013
para la empresa Lovato City Gas S.A.S. Recuperado de
Maya Arango, P. (2016). Plan de implementación del SGI Basado en la Norma ISO
27001:2013. Universidad Oberta de Catalunya. Recuperado de
https://bit.ly/3uBZmej
Esguerra Cruz, L. y Ortíz Cárdenas, G. Propuesta de implementación de un sistema

de gestión de seguridad de la información basado en la norma ISO 27001:2013
para la empresa Lovato City Gas S.A.S. Recuperado de
35
36
Anexo A. Título Anexo
37

plantilla-TI - Rosa Bustamante

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

plantilla-TI - Rosa Bustamante

Cargado por

Copyright:

Formatos disponibles

Universidad Internacional de La Rioja

Escuela Superior de Ingeniería y Tecnología

Máster Universitario en Dirección y Gestión de Tecnologías

Trabajo fin de estudio presentado por: Rosa Stefanie Bustamante Jorge

En este apartado se introducirá un breve resumen en español del trabajo realizado

Palabras clave: (De 3 a 5 palabras en español)

En este apartado se introducirá un breve resumen en inglés del trabajo realizado

Keywords: (De 3 a 5 palabras en español)

1.1. Justificación del Trabajo..................................................................................8

1.2. Planteamiento de la Solución..........................................................................9

1.3. Estructura de la Memoria.................................................................................9

2. Contexto y Estado del Arte...................................................................................10

2.1. Sistema de gestión de seguridad..................................................................10

2.2. NormativAS ISO.............................................................................................11

2.3. Importancia de la gestión de riesgos.............................................................13

2.3.1. Identificación de las amenazas...............................................................13

2.3.2. Identificación de vulnerabilidades...........................................................13

2.4. Metodología de Análisis y Gestión de Riesgos en los sistemas de

2.4.1. Los sistemas de información en los centros educativos.........................14

2.4.2. Metodología de análisis de riesgo...........................................................14

2.4.3. La metodología Magerit...........................................................................14

2.6. Trabajos Relacionados..................................................................................16

2.7. Conclusiones del Estado del Arte..................................................................17

3. Objetivos y Metodología de Trabajo.....................................................................19

3.1. Objetivo Principal...........................................................................................19

3.2. Objetivos Específicos.....................................................................................19

3.3. Metodología de Trabajo.................................................................................20

4. Desarrollo del Proyecto........................................................................................21

4.3.1. “Título 3” del menú de estilos..................................................................22

4.3.2. “Título 3” del menú de estilos..................................................................22

5. Conclusiones y Trabajo Figuro.............................................................................23

5.2. Líneas de Trabajo Futuro...............................................................................23

Anexo A. Título Anexo................................................................................................25

Figura 1. “Figuras” del menú de estilos. (Elaboración propia)....................................21

Tabla 1. “Tablas” del menú de estilos.........................................................................21

El presente trabajo de investigación está orientada a la gestión de la seguridad de la

Hasta hace unos años atrás la información de las instituciones se encontraba en

Todo ello involucra que debido a las grandes cantidades de información y a lo

Es así que existe la necesidad de crear nuevas estrategias de seguridad para

En la institución educativa donde se aplica la investigación se ha detectado que no

1.1. Justificación del Trabajo

La seguridad de la información es importante en todos los tipos de organizaciones y

Realizar el presente proyecto de investigación es relevante puesto que permitirá

Al implementar dicho Sistema de Gestión de Seguridad de Información utilizando la

Además la ISO/IEC 27001:2013 permitirá establecer guías, procedimientos y

1.2. Planteamiento de la Solución

El presente trabajo pretende realizar un análisis de la necesidad de salvaguardar la

1.3. Estructura de la Memoria

En el capítulo 3 se describen los objetivos tanto general, como específicos que

2. Contexto y Estado del Arte

2.1. SISTEMA DE GESTIÓN DE SEGURIDAD

La seguridad de la información es la disciplina que se orienta en conservar la

También la seguridad de la información es aquella que orienta el resguardo y la

La integridad, asegura que la información se mantendrá inalterable, es decir que no

La autenticidad, evita que la identidad de los usuarios sea suplantada utilizando

EL no repudio, para conocer exactamente quién es el emisor y el receptor dentro de

2.2. NORMATIVAS ISO

En la planificación se establecen todos aquellos procedimientos que benefician al

En la ejecución se trata de una implementación y administración del SGSI donde se

En el seguimiento, se debe realizar la medición y verificación de las prestaciones de

1. Objeto y campo de aplicación: Describe la finalidad de la norma.

2. Referencias normativas: Estándar en el que otorgan definiciones.

3. Término y definiciones: Términos de la norma ISO/IEC 27000.

4. Contexto de la empresa: Define los requisitos para comprender cuestiones