Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Elguera Gu
Elguera Gu
TESIS
AUTOR
Ulises ELGUERA GALLO
ASESOR
Norberto Ulises ROMÁN CONCHA
Lima, Perú
2021
Reconocimiento - No Comercial - Compartir Igual - Sin restricciones adicionales
https://creativecommons.org/licenses/by-nc-sa/4.0/
Usted puede distribuir, remezclar, retocar, y crear a partir del documento original de modo no
comercial, siempre y cuando se dé crédito al autor del documento y se licencien las nuevas
creaciones bajo las mismas condiciones. No se permite aplicar términos legales o medidas
tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita esta licencia.
Referencia bibliográfica
Datos de autor
Datos de asesor
Datos de investigación
Línea de investigación No
Agencia de financiamiento NO
Siendo las 16.00… horas del día 25 de agosto del año 2021, se reunieron virtualmente
los docentes designados como miembros de Jurado de Tesis, presidido por el Mg. José
César Piedra Isusqui, Mg. Carlos Ernesto Chavez Herrera (Miembro) y el Lic. Norberto
Ulises Roman Concha (Miembro Asesor), usando la plataforma Meet
(meet.google.com/aoi-jjgx-vip), para la sustentación Virtual de la tesis Intitulada:
“Implementación de un sistema integrado de gestión Basado en los estándares
ISO 27001, ISO 31000 e ISO 22301 en la empresa París & Asociado S.A.C”, del
Bachiller: Ulises Elguera Gallo; para obtener el Título Profesional de Ingeniero de
Sistemas.
Acto seguido de la exposición de la Tesis, el Presidente invitó al Bachiller a responder
las preguntas formuladas por los Miembros del Jurado.
A continuación el Presidente del Jurado Mg. José Cesar piedra Isusqui, declara al
Bachiller Ingeniero de Sistemas.
Mg. Carlos Ernesto Chavez Herrera Lic. Norberto Ulises Roman Concha
Miembro Miembro Asesor
i
FICHA CATALOGRAFICA
Formato 28 x 20 cm
DEDICATORIA
incondicional etapa.
presencia.
iii
AGRADECIMIENTOS
A mi familia por el apoyo que me brindaron y la fortaleza que tuvieron en los momentos difíciles.
A las empresas Paris & Asociados S.A.C. y Mirana Consultores S.A.C. por la oportunidad de ser
parte de ellas.
Al profesor Román Concha, Norberto Ulises por su orientación, consejos y paciencia en culminar
con esta investigación.
iv
RESUMEN
La Tesis tiene como objetivo implementar un sistema integrado de gestión multiestandar, que
relacione la ISO 27001 enfocada en la seguridad de la información, la ISO 22301 basada en la
continuidad del negocio y la ISO 31000 orientada a la gestión de los riesgos, esta congruencia de
normas será aplicada en la empresa Paris & Asociados S.A.C.
Como resultado se tiene la integración los sistemas de gestión relacionado con las normas ISO
27001, ISO 22301 e ISO 31000 para cubrir las brechas y de esta manera garantizar la recuperación
de la organización ante incidentes que puedan interrumpir su actividad por medio de la gestión del
riesgo tratando de minimizar el impacto que produzcan posibles amenazas. A pesar de no contar
con la certificación, se tiene un cumplimiento de un 43% en la implementación de sus cláusulas.
ABSTRACT
The methodology combines the qualitative and quantitative approach based on continuous
improvement PDCA (Plan - Do - Check - Act) with which we can segment the requirements of
each standard, avoiding duplication of documentation and guaranteeing the verification of
compliance. The normative integration of the standards will be based on a high-level structure or
Annex SL and the practical involvement will focus on risk management, due to the role it presents
in the development of an ISMS (Information Security Management System), BCMS (Business
Continuity Management System) and therefore the Risk Management System. Finally, according
to the Risk Management Process (ISO 31000) we will mainly achieve the evaluation
(identification, analysis and assessment) and treatment of risk, which will be evidenced through
the risk matrix, the impact analysis on the business and applicability statement.
As a result, the management systems related to the ISO 27001, ISO 22301 and ISO 31000
standards are integrated to cover gaps and ensure the recovery of the organization from incidents
that may interrupt its activity through risk management trying to minimize the impact that produces
potential threats. Despite not having the certification, there is a 43% compliance in the
implementation of its clauses.
Capítulo I:
Introducción
Para el 31 de diciembre de 2019, según el último reporte trimestral del (Instituto Nacional
de Informática y Estadísitica, 2019), se observa las variaciones de las distintas actividades
económicas que se registraron en ese periodo.
Tabla 1. Reporte Demográfico Empresarial de “Perú: Stock, Altas y Bajas”, Según su Actividad Económica del
Trimestre IV de 2019.
Fuente: Instituto Nacional de Informática y Estadística
Variación
Actividad económica Stock Altas Bajas
Neta
Agricultura, ganadería, silvicultura y pesca 43214 1227 1059 168
Explotación de minas y canteras 16648 588 489 99
8
Variación
Actividad económica Stock Altas Bajas
Neta
Industrias manufactureras 211324 4510 2660 1850
Construcción 88235 3472 1155 2317
Venta y reparación de vehículos 76077 1734 951 783
Comercio al por mayor 262966 8924 4597 4327
Comercio al por menor 849469 17460 6298 11162
Transporte y almacenamiento 166241 5359 3703 1656
Actividades de alojamiento 28862 550 217 333
Actividades de servicio de comidas y bebidas 224302 5951 1806 4145
Información y comunicaciones 57308 920 375 545
Servicios prestados a empresas 270699 6247 2476 3771
Salones de belleza 41018 1121 231 890
Otros servicios 398256 8680 4776 3904
Total 2734619 66743 30793 35950
De la Tabla anterior, podemos rescatar que las actividades con mayor variación neta según
su actividad fueron el comercio al por menor con un total de 11162 empresas de una cifra global
de 849469, seguida por comercio al por mayor con 4327 empresas de una cifra global de 262966,
así también, como los servicios de comidas y bebidas con 4145 empresas de un total de 224302.
Asimismo, (FORTINET, 2020) reportó que, en Perú, “Durante el primer trimestre de 2020,
hemos documentado un aumento del 17% en los virus en enero, un incremento del 52% en febrero
y un alarmante aumento del 131% en marzo en comparación con los mismos meses en el 2019.”
En consecuencia, en el primer trimestre del 2020 el Perú registró un aproximado de 433 millones
de ataques y un total de 9,7 billones de ataques en América Latina y el Caribe.
El Perú, ha avanzado a pasos lentos y de forma reactiva más no preventiva y a razón de
ello, ha sido posible saber de algunas amenazas como: TeslaCrypt, CryptoWall, Cerber, Crysis y
Locky los cuales fueron las más propagadas, sin olvidar al infame WannaCry entre otros tipos de
códigos maliciosos. Pero el ransomware fue más allá y meses después apareció el Diskcoder, el
cual, es utilizado por cibercriminales mediante los exploit EternalBlue. La gestión de la seguridad
sigue sin estar demasiado atendida, lo que representa un problema serio en las organizaciones. El
9
Perú ocupó hasta el 2017 el puesto 8 en cantidad de organizaciones que adoptaron certificadas en
ISO 27001 SGSI en América.
Tabla 2. Reporte de los países certificados por ISO/IEC 27001 en América (2015-2017). Fuente: ISO Standards
Development
Tabla 3. Reporte de los países certificados por ISO/IEC 22301 en América (2015-2017). Fuente: ISO Standards
Development
Problema principal
Problemas secundarios
1. ¿Cuál es el alcance del diseño de la estructura de alto nivel que integra los estándares
ISO aplicados en la empresa Paris & Asociados S.A.C.?
2. ¿Cómo afecta la implementación de controles de seguridad y un plan de continuidad
en la empresa Paris & Asociados S.A.C.?
3. ¿Cuál es el impacto de utilizar la metodología PHVA en el desarrollo de la integración
de los sistemas de gestión?
4. ¿Cómo se identifica la brecha de seguridad existente en los procesos de la empresa
Paris & Asociados S.A.C.?
Objetivos
Objetivo general
Objetivos específicos
Justificación de la investigación
Justificación teórica
Justificación práctica
La Investigación busca hacer de la empresa Paris & Asociados S.A.C. una organización
robusta ante cualquier evento que desencadene un riesgo para el negocio. Básicamente, es
inevitable estar ajeno ante amenazas que puedan vulnerar el negocio y sus actividades, esto se
puede evitar, controlar o mitigar mediante la implementación de Sistemas de Gestión que cubran
estas debilidades. Con esto es posible abordar de manera preventiva distintos flancos de la
organización y proponer estrategias que se encarguen de las vulnerabilidades.
Alcances y limitaciones
Alcance
El alcance del proyecto abarca el diseño de un SIG que involucra la Gestión de la Seguridad
de la información y la Continuidad del Negocio para la empresa Paris & Asociados S.A.C., el cual
está enfocado en abordar la 1era. fase de la implementación contemplada en la etapa de planeación.
Por consiguiente, será necesario recurrir a la referencia estandarizada correspondiente, la NTP ISO
27001 y la norma ISO 22301. La elaboración de la tesis no será responsable de los costos de
implementación que pudiese llegar con el mismo.
14
Limitaciones
Propuesta de la tesis
La presente tesis da cuenta del propósito holístico que tiene como objetivo integrar el
sistema de gestión de seguridad de la información y el sistema de gestión de la continuidad del
negocio mediante un sistema de gestión de riesgos, en concordancia con los estándares
correspondientes, dicho de otra manera, la seguridad de la información y sus componentes estarán
alineados a la ISO/IEC 27001:2013, “la cual es el estándar internacional emitido por la
Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la
información en una empresa”, por otra parte, la continuidad del negocio y sus componentes estarán
basados en la ISO/IEC 22301:2015, la cual también es un estándar internacional y refiere cómo
gestionar la continuidad del negocio, por último, estará alineado bajo el adecuado análisis de
riesgos de estos dos sistemas de gestión por medio del sistema de gestión de riesgos basado en la
ISO 31000:2018, el cual también es un estándar internacional y refiere cómo gestionar
adecuadamente los riesgos por medio de sus Principios, Marco de Referencia y Procesos,
asimismo, servirá de nexo entre ellos y utilizará un enfoque multisectorial en el análisis de riesgos.
En suma, se podrá realizar la integración a través de una estructura de alto nivel (Anexo SL), con
la cual se podrá estandarizar la integración. Resultado de esta integración obtendremos un sistema
de gestión integrado, capaz de poseer características de protección de la información y continuidad
de sus procesos ante cualquier interrupción.
Organización de la tesis
El estándar ISO 27001 especifica formalmente los requisitos de un SGSI y define a estos
como un conjunto de actividades que están relacionadas con la gestión de los riesgos de la
información. Por otro lado, a menudo los SGSI son considerados por las organizaciones como
simples listas de verificación, políticas o procedimientos que limitan muchas cosas. Es incorrecto
partir de esta premisa ya que no ayudan a construir un verdadero SGSI.
Los beneficios de obtener la certificación ISO 27001, Según (Bureau Veritas, 2011) afirmó
que:
• “Establece una metodología de gestión de la seguridad más clara y estructurada.
• Reduce el riesgo de pérdida, robo o corrupción de nuestra información.
• Permite a los clientes tener acceso a la información, pero a través de medidas de
seguridad.
• Identifica los riesgos existentes y establece controles de los mismos que son revisados.
• Genera confianza en los clientes y socios estratégicos garantizando la calidad y
confidencialidad.
18
• Programa auditorías internas y externas que apoyan periódicamente la identificación de
las debilidades del sistema y las áreas a mejorar.
• Se integra con otros sistemas de gestión (ISO9001, ISO14001, entre otros)
• Se genera un Plan de Continuidad de las actividades relacionadas con el negocio después
de la materialización de incidentes de gravedad.
• Garantiza la Conformidad con la normatividad vigente sobre información personal,
protección de datos, propiedad intelectual y otras.
• Promueve de forma positiva la imagen de la empresa.
• Genera confianza y establece las reglas claras en la organización.
• Descenso en los costos e incremento en las ventas debido a la mejora de los procesos
internos y la propuesta de servicios ofrecidos a los clientes.
• Aumenta la motivación y satisfacción de las personas que trabajan en la organización.”
A nivel mundial las cifras de países que obtienen la certificación de la ISO 27001 va en
aumento, esto se puede observar en el siguiente cuadro donde se muestra el top 10 de los países
certificados en el mundo. De acuerdo con ello, se logra observar que China es el país que más ha
invertido en el certificar sus procesos u organizaciones bajo la ISO 27001.
Tabla 4. Top 10 de los países certificados por ISO/IEC 27001 a nivel mundial hasta el año 2017
Tabla 5. Reporte Total de Certificados por ISO/IEC 27001 por Continentes (2015-2017)
Tabla 6. Top 10 de los países certificados por ISO/IEC 22301 a nivel mundial hasta el año 2017
N° PAIS N° ORGANIZACIONES
1 India 1678
2 Reino Unido 700
3 Japón 216
4 EE.UU. 211
5 Emiratos Árabes Unidos 153
6 República de Corea 148
7 Singapur 121
8 Grecia 84
9 España 82
10 China 73
Nota. Recuperado de https://isotc.iso.org
Asimismo, en América estas cifras albergan al Perú en el puesto 7 del ranking de las
organizaciones con certificaciones en la ISO 22301, es importante rescatar que cada año la cifra
de organizaciones certificadas aumenta siendo positiva, pero todavía es lenta frente al número de
empresas que existen el Perú. Es evidente que no todas deberían estar certificadas, sin embargo,
existe un gran mercado donde se puede propagar la concienciación sobre la implementación de un
SGCN por los beneficios que este trae consigo.
23
A nivel mundial, se puede evidenciar un sesgo entre continentes y es evidente que la gran
mayoría de certificaciones se incline hacia donde el sistema empresarial tiene mayor relevancia
como lo es en Asia y Europa, países como la India y Reino Unido lideran la cantidad de
certificaciones obtenidas.
Tabla 7. Reporte Total de Certificados por ISO/IEC 22301 por Continentes (2015-2017)
Según la investigación realizada por los autores (Soto y Céspedes, 2016) sobre el “Modelo
de un Sistema de Gestión de Continuidad del Negocio para Microfinanciera basado en la ISO/IEC
22301 y en la Circular G-139-2009 de la SBS”, da evidencias y resultados positivos en la
implementación del modelo propuesto. La constante mejora y evaluación del plan propuesto
garantizará la continuidad de las actividades y los procesos que se relacionan en la organización.
Además, en la investigación del autor (Delgado, 2015) acerca del “Diseño y Propuesta de
una Metodología para la Implementación de un Sistema de Gestión de Continuidad del Negocio
basado en la Norma ISO/IEC 22301:2012”, nos menciona que, sin importar el tamaño de la
empresa, rubro o tipo de organización, deberían implementar un SGCN como proceso sistemático
y ordenado.
Ahora, de acuerdo con el autor (Castro, 2014) en su propuesta de “Diseño de un Sistema
de Gestión de Continuidad de Negocios (SGCN) para la RENIEC bajo la óptica de la norma
ISO/IEC 22301”, muestra un valor agregado, el cual es resultado de la implementación de un Plan
de Continuidad del Negocio para responder ante cualquier evento inesperado relacionado con un
desastre en la organización.
De acuerdo con la norma ISO 22301, a continuación, se presenta la distribución de las
Cláusulas incluidas en la presente norma.
24
El estándar ISO 31000 especifica formalmente los requisitos de un SGR con el fin de
ayudar a las organizaciones en evaluar sus riesgos. El SGR puede ser aplicado en el sector privado
o público, así también, se puede aplicar en todas las organizaciones ya sea públicas o privadas,
incluyendo la planeación, operaciones de gestión y procesos de comunicación. Esta norma ha sido
realizada para mejorar las técnicas de gestión y garantizar la seguridad y protección en todo
momento en el lugar de trabajo, también, participa en la mejora de los sistemas de gestión ya que
toma en cuenta el contexto interno y externo de la organización, incluyendo el comportamiento
humano y los factores culturales.
A continuación, se muestra la relación de los componentes que intervienen en la propuesta
de la norma ISO 31000:
25
Figura 6.
Principios, Marco de Referencia y Procesos de la ISO 31000
El concepto global de un SIG está relacionado con la interoperabilidad de los sistemas que
pertenezcan a la organización, el grado de compatibilidad entre estos sistemas y la madurez de los
procesos de la organización. Por otro lado, es posible conceptuarlo como una herramienta que hace
posible la integración de datos y los procesos de una organización en un sistema integral.
En la actualidad, es posible la integración de distintos sistemas de gestión ya que poseen
características de compatibilidad estandarizadas. Para nuestro caso las normas ISO poseen el
Anexo SL como estructura integradora de sistemas de gestión. Por lo tanto, es ideal para la
integración del SGSI, SGCN y SGR ya que contemplan intenciones similares, estructuras
semejantes y terminología relacionada. Además, la utilización de un sistema integrado de gestión
simplifica el desarrollo, mantenimiento y utilización de varios sistemas de gestión.
De acuerdo con la investigación de los autores Navarro et al. (2016) afirmó que:
“La implementación de un SIG debe cumplir los requisitos establecidos por la
normatividad legal vigente, posteriormente determina la importancia de la dirección dentro
de la implementación del programa, lo que es vital en la creación de un proceso de gestión
de calidad e inocuidad, pues a esta área se le atribuirá la responsabilidad de operar el
sistema integrado”.
En conclusión, es posible afirmar que un SIG basado en el SGSI, en el SGCN y el SGR se
enfoca en garantizar la confidencialidad, integridad y disponibilidad de la información, asegurando
la continuidad de los servicios que brinda la organización.
Figura 8. Modelo de un Sistema Integrado de Gestión basado en procesos, según Anexo SL. Fuente: ISOTools
A través del ciclo de PDCA del Anexo SL se propone una estructura que, evita la
duplicidad y errores ya que integra los procesos y procedimientos claves de los estándares
integrados. De igual forma, garantiza la mejora continua y la adecuada gestión de los riesgos. A
continuación, se grafica la propuesta de cláusulas y sub-clausulas enfocada en la integración de
los SGSI, SGCN y SGR:
Se debe estimar el grado de impacto que podría sufrir la organización como consecuencia
de la ocurrencia inesperada de algún incidente o un desastre. Los objetivos del BIA son:
A. Suministrar un soporte que identifique los procesos críticos de las actividades de la
organización.
B. Priorizar los procesos críticos bajo un criterio basado en el impacto.
Adicionalmente, el desarrollo de este análisis del BIA permite estimar los recursos
necesarios para identificar los procesos de la organización, especialmente, aquellos que
representan mayor sensibilidad con relación al tiempo y el impacto. Es por ello qué se utiliza
conceptos de recuperación tales como:
Tiempo Objetivo de Recuperación (RTO), el cual describe el período permitido con
respecto a la recuperación de una actividad o recurso de negocio hasta un nivel aceptable.
33
Cláusula 5: Liderazgo.
En la presente clausula, la organización enfatiza el rol del liderazgo, mediante funciones y
responsabilidades de la alta dirección, generando con ello, una imagen de compromiso desde su
publicación. Entre las responsabilidades establecidas está la de, comunicar a todos los miembros
de la organización acerca de la importancia del sistema de gestión y lo indispensable de su
implicación.
Clausula 6: Planificación.
En la presente clausula, la organización establece criterios de prevención orientados a los
sistemas de gestión, asimismo, trata los riesgos y oportunidades que afronta la organización,
también, considera el qué, quién, cómo y cuándo, corresponde realizar las acciones que conduzcan
al logro de los objetivos de la organización.
Cláusula 7: Soporte.
En la presente clausula, la organización abarca aspectos tales como recursos, competencia,
conciencia, comunicación o información documentada, los cuales forma parte del soporte
necesario para cometer las metas de la organización”
Cláusula 8: Operación.
En la presente clausula, la organización planifica y controla los procesos internos y
externos, asimismo, gestiona las modificaciones que se produzcan y las consecuencias no deseadas
de los mismos.
36
Ciclo de Deming
Selección de metodología
COBIT® 2019
1. Cada organización requiere de un sistema de gobierno que sea capaz de satisfacer las
necesidades de las partes interesadas, asimismo, crear valor en el uso de la I&T.
2. El sistema de gobierno para la I&T de la organización se crea en base a diversos
factores que pueden ser de distinto tipo y que funcionan conjuntamente de forma
integral.
3. Un sistema de gobierno debería ser dinámico. Es decir que, debe tomar en cuenta los
posibles cambios e impactos que se produzcan en el EGIT.
4. Un sistema de gobierno debe diferenciar entre actividades de gobierno y gestión, y
estructuras.
5. Un sistema de gobierno tiene que ser capaz de adaptarse, esto por medio de la
utilización de un conjunto de factores de diseño.
6. Un sistema de gobierno debe abarcar toda la organización, enfocándose en el
procesamiento de TI.
Asimismo, los tres (03) principios para un Marco de Gobierno son:
41
MAGERIT V3
Es una metodología práctica de análisis y gestión de riesgos, fue creada por el Consejo
Superior de Administración Electrónica del Gobierno de España (Ministerio de Hacienda y
Administraciones Públicas, 2012); implementa el Proceso de Gestión de Riesgos dentro de un
marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos
derivados del uso de tecnologías de la información. Los objetivos en los que se enfoca pueden ser
directos e indirectos:
Objetivos directos:
1. Tener una Concienciar a los responsables de la información en las organizaciones
acerca de la existencia de riesgos y la necesidad de gestionarlos.
2. Brindar un método sistemático para analizar los riesgos derivados de la utilización de
las tecnologías de la información y comunicaciones (TIC).
3. Apoyar en el descubrimiento y planificación del tratamiento oportuno de los riesgos
para mantenerlos en control.
42
Objetivos indirectos:
1. Alistar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación.
Es una metodología utilizada para el análisis de los riesgos fue desarrollada por el Central
Communication and Telecommunication Agency (CCTA) perteneciente al gobierno del Reino
Unido, ha sido utilizado principalmente en Europa, su enfoque está dirigido a grandes
organizaciones. Así mismo, Cramm se divide en tres etapas:
Etapa 1: Establecer los objetivos de seguridad.
Etapa 2: Realizar el análisis de riesgos.
Etapa 3: Identificar y seleccionar salvaguardas.
Cramm puede definirse como una Metodología para el análisis y gestión de riesgos bajo
un enfoque de evaluación mixta garantizando la confidencialidad, integridad y disponibilidad de
los sistemas de información. Además, Cramm presenta los conceptos de modo formal, atribuyendo
una secuencia basada en una estructura y bajo un régimen disciplinario estricto, garantizando así
los principios de protección. Algunas características de la metodología son:
• Realiza un análisis de riesgos cualitativo y cuantitativo.
43
• Se aplica a todo tipo de sistemas y redes de información y puede ser utilizada en todas
las etapas del ciclo de vida del sistema de información.
• Puede ser utilizada de acuerdo con el contexto, con el fin de identificar la seguridad
también los requisitos de contingencia.
• Reconoce y selecciona los activos de TI.
• Califica el impacto empresarial.
• Distingue y califica amenazas y vulnerabilidades, asimismo, valora los niveles de
riesgo y determina los posibles controles requeridos.
• Relaciona el análisis y la evaluación de los riesgos.
UNE 66177:2005
La norma UNE 66177:2005 fue creada por la entidad certificación de sistemas de gestión
AENOR, asimismo, mediante su publicación (Asociación Española de Normalización y
Certificación [AENOR], 2005): "Sistemas de gestión. Guía para la integración de los sistemas de
gestión", la mencionada publicación proporciona directrices con el fin de desarrollar, instaurar y
evaluar el proceso de unificación de los sistemas de gestión, de igual manera, hace hincapié el
desarrollo de esta en organizaciones que hayan decidido integrar total o parcialmente dichos
sistemas en busca de una mayor eficacia.
De lo anterior, las normas UNE son documentos técnicos de carácter voluntario elaboradas
por el organismo de normalización AENOR. Este organismo a través de (AENOR, 2005) define
las Normas UNE como una: “especificación técnica de aplicación repetitiva o continuada cuya
observancia no es obligatoria, establecida con participación de todas las partes interesadas, que
aprueba AENOR, organismo reconocido a nivel nacional e internacional por su actividad
normativa”.
En tal sentido, mediante la publicación en (AENOR, 2005) se contempla la integración
como eje fundamental, ya que es: “la acción y efecto de aunar, dos o más políticas, conceptos,
corrientes, etc., divergentes entre sí, fusionándolos en una sola que las sintetice”.
Asimismo, según la norma UNE, el proceso de unificación tiene como finalidad “la
definición e implantación en condiciones controladas de un plan de integración desarrollado
específicamente en función de los objetivos, contexto y nivel de madurez de la organización”.
44
Planear – Hacer – Verificar – Actuar (PHVA)
De acuerdo con la publicación realizada por el autor (Deming, 1989), el PHVA es un:
“Enfoque de gestión simple e iterativo para probar cambios en procesos o soluciones a
problemas, e impulsar su optimización continua a través del tiempo. El ciclo PHVA deriva
de los conceptos del estadounidense Walter Shewhart, posteriormente fue a dado a conocer
a través de William E. Deming; el enfoque que se conoce en la actualidad como ciclo
PHVA, está diseñado para completarse y repetirse en reiteradas ocasiones. Su diseño y su
lógica pueden observarse en otros enfoques de gestión de calidad relacionados con la
producción de la época, como Lean Manufacturing, Kaizen y Seis Sigma.”
En tal sentido, de acuerdo con el autor (Deming, 1989), existen 4 pasos: planear, hacer,
verificar y actuar, a través de los cuales el proceso se realiza de forma lineal y a su finalización,
procede al inicio siguiente de forma cíclica, a continuación, se describen los 4 pasos de acuerdo
con el autor:
“Planear: busca comprender el estado actual y el estado deseado. En pocas palabras, el
propósito de la etapa de planificación es definir tus objetivos, cómo alcanzarlos, y cómo
medir tu progreso hacia dichos objetivos.
Hacer: es el momento para poner a prueba los cambios propuestos inicialmente,
esta etapa debe realizarse a pequeña escala, en un entorno controlado. El objetivo de esta
etapa es recopilar datos e información sobre el impacto de la prueba, ya que esto indicará
las siguientes etapas del proceso.
Verificar: en esta etapa se analiza la información recopilada durante la etapa Hacer
y se la compara con los objetivos y metas originales, el propósito de este paso consiste en
evaluar tu éxito, y qué cosas debes conservar para el siguiente paso del proceso.
Actuar: al llegar al final del ciclo, se debería de haber identificado una propuesta
de cambio para implementar en el proceso. Sin embargo, PHVA se considera un ciclo por
un motivo, ya que los cambios que implementes durante la etapa Actuar no son el final de
tu proceso. Tus nuevos y mejorados producto, proceso o problema resuelto deben sentar
las bases para las siguientes iteraciones del ciclo PHVA.”
El principal objetivo del ciclo es, ser un proceso simple, directo e intuitivo por medio del
cual, las personas y organizaciones logren adoptar e implementar esta metodología. Ya que, debido
45
a su naturaleza cíclica e iterativa, el PHVA contribuye en la corrección de errores y evita que los
mismos prosperen en el futuro.
Del análisis comparativo entre las metodologías, PHVA es la metodología que más se
ajusta en el desarrollo de la tesis, debido a la estructura cíclica y forma sistemática que posee; en
base al análisis también se entiende la mejora continua de la calidad (disminución de fallos,
aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos
49
potenciales. Asegurando así, la adecuada construcción congruente de los sistemas, en un proceso
integral de desarrollo sistémico.
Los trabajos revisados nos ayudan a entender con claridad acerca de las metodologías y
herramientas para el adecuado enfoque del SIG, hemos visto cómo la metodología COBIT 2019
se dirige a las necesidades de alto nivel de la empresa, buscando mejorar la orientación general del
negocio a través de los controles de TI y métricas, asimismo, se logra apreciar su relación con
algunas normas, es el caso de la norma ISO 27001, la cual se enfoca en la seguridad de la
información, COBIT 2019 es un mediador que ayuda a conectar a la norma ISO 27001 y otros
marcos de gestión de TI, tales como PMBOK y SEI CMM. Sin embargo, su aplicación está
enfocado a una aplicación de alto nivel en la organización. La continuidad del negocio es un
aspecto crucial en la existencia de la organización, es por ello que se logra identificar componentes
críticos y valorar el impacto que esta sufre con respecto a las interrupciones presentadas.
Igualmente, las investigaciones revisadas acerca de la gestión de riesgos indican que, puede
aplicarse a cualquier tipo de organización independientemente de su tamaño o rubro comercial,
paralelamente, la gestión de riesgos busca minimizar, gestionar y controlar cualquier tipo de riesgo
logrando con ello la integración del Sistema de gestión de riesgos a la estrategia de cada
organización, así como a sus procesos, políticas y cultura. En tal sentido, es apropiado relacionar
que, por medio de la gestión de riesgos existe congruencia con la ISO 27001 (seguridad de la
información), la ISO 22301 (continuidad del negocio), ciberseguridad y en consecuencia las
tecnologías de la información, siendo punto clave para la integración basado en criterios de
semejanza y estandarización.
De acuerdo con las investigaciones de los autores (Santos, 2016), (Rázuri, 2019) y
(Cabrera, 2017), se logra observar claramente la utilización de estándares internacionales para el
desarrollo de soluciones o propuestas de desarrollo para un problema focalizado, manteniendo así,
una estructura en cada solución, para este caso tomamos como referencia a (Cabrera, 2017) quien
unifica estándares en un Sistema Integrado de Gestión, pero ajenos a nuestra iniciativa de solución
propuesta. En tal sentido, y bajo la premisa de integración de sistemas de gestión se propone la
50
utilización de estándares basados en la seguridad de la información, continuidad del negocio y la
adecuada gestión del riesgo.
51
Capítulo IV:
Aporte Teórico
La arquitectura de integración utilizada para el SIG está constituida por la ISO 31000
(SGR), la ISO 22301 (SGCN) y la ISO 27001 (SGSI), donde se definen las 10 cláusulas en la
Estructura de Alto Nivel, asimismo, existen 14 dominios y 114 controles que pertenecen al Anexo
A, a continuación, la estructura core del SIG:
Tabla 9. Estructura del Anexo A de la ISO 27001 (14 dominios, 35 objetivos de control y 114 controles)
53
Tabla 10. Documentación necesaria para la implementación del SIG correspondiente a las Cláusulas utilizadas
en la Estructura de Alto Nivel
55
Tabla 11. Documentación necesaria para la implementación del SIG correspondiente a los Controles del Anexo A
de la ISO 27001
56
Arquitectura práctica del SIG
Planificar
Hacer
De acuerdo con esta segunda etapa, la organización debe continuar con actividades
operativas ya establecidas en la etapa anterior, implementando lo planificado. Asimismo, la
58
empresa debe determinar y bridar todos los recursos necesarios para lograr establecer,
implementar, mantener y mejorar el SIG. A continuación, se muestra las actividades que se deben
implementar en el desarrollo de la metodología:
• realizar un plan para el tratamiento de los riesgos,
• implementar un plan operativo y de control, métodos de continuidad y análisis de impacto
empresarial,
• desarrollar los controles seleccionados,
• establecer indicadores de efectividad de los controles,
• efectuar programas de capacitación y concienciación,
• administrar las operaciones y recursos del SIG,
• implementar procedimientos de detección y respuesta a incidentes de seguridad e
• implementar procesos y procedimientos de continuidad para alcanzar los objetivos del SIG.
Verificar
De acuerdo con esta tercera etapa, la organización debe continuar sus actividades mediante
el seguimiento y la medición de métricas aplicables a los procesos y servicios que la organización
brinda. Asimismo, la organización debe ser capaz de analizar constantemente la efectividad del
SIG, en cumplimiento de lo establecido en las normas ISO 27001 e ISO 22301. A continuación,
se muestra las actividades que se deben implementar en el desarrollo de la metodología:
• establecer controles y procedimientos de supervisión,
• revisar periódicamente la eficacia del SIG,
• calcular la efectividad de los controles,
• examinar la evaluación de riesgo periódicamente y verificar el nivel de riesgo residual
permitido,
• efectuar auditorías internas,
• verificar el correcto funcionamiento del SIG e identificar las oportunidades de mejora.
• renovar los planes de seguridad desde los resultados obtenidos y
• garantizar el correcto mantenimiento de los registros de incidentes o actividades que
puedan afectar la eficacia del SIG.
59
Actuar
De acuerdo con esta cuarta etapa, la organización debe continuar sus actividades
concretando las acciones propuestas basado en la evaluación de los resultados de las etapas
anteriores, determinando y seleccionando las oportunidades de mejora e implementando las
acciones que sean necesarias en cumplimiento de las normas ISO 27001 e ISO 22301. A
continuación, se muestra las actividades que se deben implementar en el desarrollo de la
metodología:
• implementar las mejoras identificadas en el SIG,
• utilizar acciones correctivas y preventivas de seguridad para garantizar la continuidad del
negocio,
• comunicar los resultados y acciones tomadas a las partes interesadas y
• garantizar el logro de las mejoras establecidas en los objetivos señalados.
Por último, mediante la ejecución de esta cuarta etapa se culmina un ciclo de mejora,
temporalmente, y se inicia un nuevo ciclo de mejora, cumpliendo lo propuesto por William
Edwards Deming en el ciclo de mejora continua. A continuación, se muestra las etapas del ciclo
de mejora continua basado en las cláusulas de la Estructura de Alto Nivel:
Figura 21. Ciclo de Mejora Continua de acuerdo con las Cláusulas de la Estructura de Alto Nivel
60
Capítulo V:
Aporte Practico
Análisis Costo/Beneficio
Recursos utilizados
Los recursos o insumos utilizados en la implementación del SIG son propios o de origen
externo y es determinado de acuerdo con el alcance del proyecto.
Tabla 14. Tipo de recursos utilizados para el desarrollo del proyecto de SIG
Los riesgos son inherentes a los proyectos, por ello es necesario realizar una gestión de
riesgos eficientes con el fin de minimizar su probabilidad e impacto. Los riesgos pueden ser
positivos o negativos. Los riesgos negativos influyen negativamente sobre alguno o varios
objetivos del proyecto, como, por ejemplo:
• Aumento de los costos del proyecto
• Retrasos de proyecto.
• Disminución de calidad.
• Impacto en el medio ambiente.
• Pérdida o daños a personas o propiedades.
• Otros.
A continuación, podremos ponderar los riesgos atribuibles a la realización del proyecto.
Para este caso utilizaremos la siguiente matriz:
Tabla 15. Probabilidad del riesgo aplicado al desarrollo del proyecto de implementación del SIG
64
En la siguiente matriz se podrá evaluar cada riesgo relacionado con la ejecución del
proyecto:
CG: Código.
EI: Estimación del Impacto.
PB: Probabilidad.
TR: Tipo de Riesgo.
PR: Propietario del Riesgo.
OA: Objetivo Afectado.
65
Tabla 17. Matriz de respuesta o tratamiento del riesgo en la ejecución del proyecto
68
Diagnóstico
En esta primera parte se evaluará la situación actual de la empresa Paris & Asociados
S.A.C. y su relación con normas de seguridad de la información y continuidad del negocio. Para
realizar este procedimiento, es necesario recurrir al Anexo SL.
Planear
A. Contexto de la Organización
La empresa Paris & Asociados S.A.C. inició sus actividades el 10 de mayo de 2017
ofreciendo variedad en sus productos tanto al sector público como privado, actualmente cuenta
con 12 sucursales y una oficina central que es utilizada para coordinaciones.
La organización cuenta con un sistema de gestión para las actividades diarias en el cual
registran las ventas, pedidos y compras. Todas las sucursales cuentan con colaboradores
capacitados para realizar una adecuada atención al cliente y tratamiento de los productos. Además,
distribuye productos en gran cantidad a organizaciones del sector público o privado por medio de
contratos. Para conseguir un contrato con esta entidad es necesario realizar la postulación con todas
las características del producto ofertado y esta calificación puede darse de manera física (subasta
pública) o virtual (subasta inversa electrónica), estos dos tipos de concurso entre otros es posible
encontrarlos en el portal de la OSCE donde se publican los distintos concursos a fin de hacer
transparente el proceso de contratación.
La atención por medio de los canales (sucursales) es dada desde las 6 am hasta las 10 pm,
en cambio la atención de contratos es brindada de acuerdo con las coordinaciones o disponibilidad
del cliente. Las compras son realizadas mensual, semanal o diariamente conforme con el stock de
cada local o al pedido realizado por alguna institución. El pago a los proveedores es realizado en
efectivo o por medio de transferencia bancaria a la entrega del producto.
La empresa registra ganancias y se mantiene en alza debido al posicionamiento en precio
frente a sus competidores. Se espera que la organización amplíe su alcance al sur de Lima ya que
las sucursales en su totalidad se encuentran en provincias norteñas de Lima.
B. Misión de la Organización
Proponer una experiencia distinta de atención, trabajo y accesibilidad a productos para
nuestros actuales y futuros clientes.
C. Visión de la Organización
70
Ser la tienda multisectorial con mayor número de establecimientos en el país.
D. Mapa de Procesos de la Organización
El Mapa de Procesos o también conocido como Diagrama de Valor de la Organización
detalla los pilares que intervienen en la entrega de valor. En este mapa se combina la perspectiva
global de la empresa con las perspectivas locales de las áreas respectivas en el que se inscribe cada
proceso. La construcción del mapa de procesos tiene como finalidad consensuar la posición local
y el desempeño concreto de dichos procesos con los propósitos estratégicos de la empresa, por lo
que resulta imprescindible identificarlos y jerarquizarlos en función de su definición específica.
Por lo tanto, el mapa de procesos debe ser conciso y muy claro para obtener una visión general de
todo lo que ocurre en la empresa.
E. Procesos Estratégicos:
PE01. Planeación Estratégica: Herramienta de gestión que permite establecer el quehacer
y el camino que debe recorrer para alcanzar las metas previstas, teniendo en cuenta los cambios y
71
demandas que impone su entorno. Asimismo, se formulan y establecen planes de acción que
conducirán a alcanzar estos objetivos.
PE02. Políticas Financieras: Prospectiva estratégica que tiene la finalidad de plantear las
necesidades de fondos para los años próximos, traducir los planes futuros en programas de acción
concretos a recoger en el presupuesto anual y determinar el posible impacto del entorno en la
empresa, teniendo en cuenta alternativas.
PE03. Políticas Empresariales: Estrategia crucial en la empresa ya que trata de los
principios creados por la dirección y aceptados por todos los integrantes con el objetivo de
conseguir la mejor gestión que permita obtener grandes resultados.
F. Procesos Operativos:
PO01. Gestión de compra: Es un proceso complejo ya que intervienen distintos factores
previos a realizar las compras, esto es, estudiar el mercado, buscar a los mejores proveedores y
conocer las condiciones de calidad en relación con los precios.
PO02. Recepción y control del producto: Para la empresa es una tarea operativa, el ingreso
y recepción de los productos determina el stock disponible a ofertar a los clientes, es por ello que,
la empresa toma mucho cuidado en el registro en la recepción y control de los productos
ingresados,
PO03. Gestión de entrega del producto: La empresa en respuesta a los pedidos realizados
inicia un proceso delicado enfocado en la extensión de la calidad de los productos que oferta, lo
realiza por medio de personal propio y mediante aplicativos de entrega de productos.
PO04. Gestión del inventario y stock: Es un proceso necesario en la empresa debido al
control que esta necesita con respecto a las entradas y salidas de productos, asimismo, es crucial
su adecuado monitoreo ya que dependerá mucho de esto para liberar productos de los almacenes.
PO05. Gestión de venta: Es el proceso que consiste en controlar los pedidos de los clientes
y, además, gestionar los equipos de venta, asimismo implementa estrategias para incrementar el
número de ventas. Esta gestión forma parte del core de una empresa, ya que, si no hay ventas, no
hay dinero.
PO06. Gestión posventa y marketing digital: Se aplican distintas operaciones multicanal
con el fin de enfocar el posicionamiento de la marca y de los productos, en la perspectiva de los
clientes. De la misma manera se aplica con los proveedores y demás socios estratégicos.
72
G. Procesos de Soporte:
PS01. Contabilidad: Proceso que relaciona las cuentas contables y el cumplimiento
tributario de la organización.
PS02. Recursos humanos: Proceso que está relacionado con la administración,
comunicación y compromiso con los colaboradores.
PS03. Atención y mantenimiento: Proceso que está relacionado con la atención de
incidentes, soporte de requerimientos y mantenimiento dentro de la organización.
H. Documentación del Sistema Integrado de Gestión
La estructura y gestión documental del Sistema Integrado de Gestión tiene como objetivo,
coordinar toda la documentación generada en el proyecto de forma sencilla, con control de
versiones y organizada según las normas de referencia.
La estructura documental del Sistema Integrado de Gestión se plasmará mediante una
pirámide que se basa en la ISO 27001 y la ISO 22301:
HSL - Cláusulas SIG (ISO 27001 & ISO Documentación Cobertura Plan de
22301) Documentación Actual Actual Acción
requerida
Comprensión de la
4.1 Fase 1:
organización y su contexto. No presenta Nulo
Establecimiento
Contexto de la Organización.
Comprensión de las
4.2 necesidades y expectativas
de las partes interesadas. Fase 1:
No presenta Nulo
Procedimiento para identificación Establecimiento
Contexto de la
4 y lista de requerimientos legales y
Organización.
normativos aplicables.
Determinación del alcance
4.3
del sistema de gestión. Fase 1:
No presenta Nulo
Alcance del Sistema Integral de Establecimiento
Gestión.
4.4 Sistema de gestión.
No presenta Nulo
5.1 Liderazgo y compromiso. Fase 1:
No presenta Nulo
Compromiso de la Alta Dirección. Establecimiento
5.2 Política.
Fase 1:
Política del Sistema Integral de No presenta Nulo
Establecimiento
5 Liderazgo. Gestión.
Roles, responsabilidades y
5.3 autoridades de la
No presenta Nulo
Organización.
Figura 25. Requisitos para la implementación del SIG y las responsabilidades de las partes interesadas
Hacer
C. Proceso: La ISO 31000 por medio del proceso de la gestión del riesgo compromete un
conjunto sistémico de políticas, procedimientos y prácticas en las 6 aplicaciones. A
continuación, las 6 aplicaciones integradas en el proceso de gestión del riesgo:
Figura 28. Implementación del Proceso de la Gestión del Riesgo de la Norma ISO 31000
• Evitar el riesgo, aquí se abandonan las actividades que dan lugar al riesgo, es
decir, no iniciar o no continuar con la actividad que lo provoca.
94
Tabla 27. Evaluación y tratamiento del riesgo para el activo Software de aplicaciones (web + intranet) en el Proceso de Gestión de Ventas
100
101
Tabla 28. BIA - Análisis de Impacto en el Negocio en el activo Software de aplicaciones (web + intranet) del Proceso de Gestión de Ventas
102
Verificar
Actuar
Capítulo VI:
Análisis de los resultados
De acuerdo con los resultados obtenidos, las encuestas están distribuidas en dos enfoques,
por un lado, está orientado a personas relacionadas con la alta gerencia la cual cuenta con 6
preguntas y por el otro lado, está enfocado a personas que realizan tareas operativas en la
organización en esta oportunidad el cuestionario cuenta con 20 preguntas, a continuación,
mostramos el análisis de los resultados:
116
Primer enfoque
Resultado 01 3 7
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Resultado 02 2 8
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Resultado 03 2 8
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Resultado 04 3 7
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Resultado 05 7 3
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
El 70% de los encuestados consideran que la organización cuenta con flujo de procesos
bien diseñado el cual es monitoreado continuamente, generando ventajas y oportunidades para la
empresa tales como: eficiencia, eficacia, confiabilidad y KPI (métricas), con el fin de ayudar en la
toma de decisiones tácticas y estratégicas en beneficio del negocio, asimismo, el 30% restante
estima que la organización no posee una adecuada gestión de sus procesos y que su modelo
organizativo no es el adecuado según el rubro al que pertenece.
PREGUNTA 06: ¿Considera usted positiva y viable la implementación de un sistema
de gestión en la empresa Paris & Asociados S.A.C. que proteja la información y las
actividades del negocio?
Resultado 06 9 1
Estimado Pendiente
6
SI
NO
18
6
SI
NO
18
SI
NO
19
SI
12 12
NO
SI
NO
22
Figura 49: Distribución de adecuado manejo sobre seguridad de la información en el entorno laboral
8
SI
NO
16
Figura 50: Distribución del adecuado aprovechamiento de las capacitaciones acerca del resguardo de la
información en el entorno laboral
El 33% de los encuestados consideran que, ha sido de gran ayuda las capacitaciones
brindadas por la organización hasta el momento en materia de salvaguardar la información,
considerando que existen capacitaciones en periodos semestrales y presentación de didáctica
teóricas y prácticas, asimismo, el 67% restante estima que la organización, debería realizar con
más frecuencia este tipo de capacitaciones a fin de afianzar conocimientos de la realidad que
afrontan diariamente en la organización, es por ello que perciben que las capacitaciones en el
marco de periodicidad y contenido no son suficientes.
126
PREGUNTA 07: ¿Cree usted que, la capacitación brindada hasta el momento ha sido
de gran ayuda para responder ante un evento inesperado que ponga en riesgo el correcto
funcionamiento de los procesos y actividades de la organización?
SI
NO
21
Figura 51: Distribución del adecuado aprovechamiento de las capacitaciones acerca de resiliencia ante eventos
inesperados en la organización.
El 13% de los encuestados consideran que, ha sido de gran ayuda las capacitaciones para
responder ante un evento inesperado que ponga en riesgo el funcionamiento de los procesos y las
actividades de la organización brindadas por la organización, considerando que existen
capacitaciones en periodos semestrales y presentación de didáctica teóricas y prácticas, asimismo,
el 87% restante estima que la organización, debería realizar con más frecuencia este tipo de
capacitaciones a fin de afianzar conocimientos de la realidad que afrontan diariamente en la
organización, es por ello que perciben que las capacitaciones en el marco de periodicidad y
contenido no son suficientes.
127
PREGUNTA 08: ¿Cree usted que, la organización cuenta con un plan de capacitación
relacionado a la protección de la información y del correcto accionar frente a interrupciones
en la entrega de valor?
SI
NO
19
Figura 52: Distribución de presunción acerca de la existencia de un plan de respuesta para el correcto resguardo
de la información e interrupciones en las actividades relacionadas a la entrega de valor
SI
NO
24
Figura 53: Distribución del reporte de algún acto de sustracción de información que ponga en riesgo la
organización.
El 100% de los encuestados consideran que, la información es un activo que gran valor,
conociendo su importancia y lo relevante de este acto delincuencial, se atribuye un rotundo actuar
con respecto a reportar la pérdida de información de manera inmediata a las autoridades
correspondientes.
129
PREGUNTA 10: ¿Cree usted que, las medidas adoptadas para el resguardo de los
datos son los adecuados?
Tabla 40: Resultados de la consulta al personal de la Organización: Pregunta 10
OPCIONES FRECUENCIA PORCENTAJE
SI 16 67%
NO 8 23%
TOTAL 24 100%
8
SI
NO
16
El 67% de los encuestados consideran que, las medidas adoptadas por la organización para
el resguardo de los datos son los adecuados, tomando en cuenta que se han realizado campañas de
concientización, respaldos en dispositivos físicos y virtuales, entre otras medidas a fin de
garantizar la seguridad de la información contenida y la recuperación ante cualquier evento
inesperado que vulnere la continuidad de las actividades, asimismo, el 23% restante estima que la
organización actualmente no cuenta con los recursos suficientes para realizar la adecuada adopción
de medidas para generar el respaldo de información correcta.
130
PREGUNTA 11: ¿Cree usted que, la información utilizada en su área tiene un valor
importante para la organización y por ello se debe tomar medidas para su protección?
SI
NO
20
El 83% de los encuestados consideran que, la información utilizada en el área que laboran
posee un valor importante para la organización, a consecuencia de esta apreciación, conveniente
actuar y tomar medidas para la protección de la información correspondiente, asimismo, el 17%
restante estima que en el área que laboran no contiene información relevante que ponga en riesgo
el funcionamiento de sus actividades.
131
PREGUNTA 12: ¿Cree usted que, si un virus informático afecta los datos de su área,
habría repercusiones en su área?
6
SI
NO
18
Figura 56: Distribución acerca de las repercusiones que un virus informático afecte su área.
23
SI
NO
67
Figura 57: Distribución acerca de las repercusiones que un virus informático afecte su área.
El 67% de los encuestados consideran que, la interrupción temporal del ingreso o acceso a
la información que normalmente utiliza para realizar sus labores por hasta 3 horas, definitivamente
afectaría gravemente las actividades que se desarrollan en el área que labora tales como el área de
cobranza (caja) o en el caso circunstancial de ser sometida bajo esta interrupción en el día de pagos
al personal de la organización, entre otras áreas de acuerdo al contexto, asimismo, el 23% restante
estima que la ausencia de acceso a los sistemas de la organización no afectaría sus actividades, ya
que sus actividades no se relacionan con el acceso a los sistemas de información o en su defecto
utilizan otros canales u opciones para complementar sus actividades bajo este contexto.
133
PREGUNTA 14: ¿Cree usted que, el personal seleccionado en el área, es el adecuado
para acceder a la información, garantizando la integridad, disponibilidad y confidencialidad
de la información?
SI
NO
20
Figura 58: Distribución acerca de las repercusiones que un virus informático afecte su área.
SI
NO
22
Figura 59: Distribución acerca del beneficio del cambio constante de contraseñas en el acceso al sistema.
SI 11
NO 13
Figura 60: Distribución acerca de la seguridad en el ingreso del personal, clientes o proveedores.
SI 11
NO 13
Figura 61: Distribución acerca de la fragilidad de la empresa ante posibles desastres naturales.
SI
NO
21
SI
NO
21
El 12.5% de los encuestados consideran que, existe una adecuada ejecución del simulacro,
donde se ponga a prueba la adecuada recuperación y reanudación de los procesos y/o actividades
de la organización, tomando el contexto seleccionado y las implicancias del estado de
recuperación, asimismo, el 87.5% restante estima que no existe el alcance adecuado que simule un
escenario negativo para la organización, mediante el cual se pueda realizar las pruebas necesarias
y calificar la respuesta obtenida a esta prueba.
139
PREGUNTA 20: ¿Cree usted que, la implementación de un sistema de gestión
relacionado a la seguridad de la información y la continuidad de los servicios del negocio
puedan ser de gran ayuda para el contexto actual de la organización?
SI
NO
24
Figura 64: Distribución acerca la aprobación de un sistema de gestión relacionado con la seguridad de la
información y continuidad del negocio
REFERENCIAS BIBLIOGRÁFICAS
AENOR. (2005). UNE 66177. Obtenido de https://etxesare.eu/euiti/cuarto/sgi/UNE_66177=2005-
Integracion.pdf
Alegría, L. (01 de marzo de 2018). Economía. El número de empresas en el Perú creció 8,4% en
el 2017. Obtenido de https://elcomercio.pe/economia/numero-empresas-peru-crecio-8-4-
2017-noticia-501043
Alonso, J. (8 - 9 de Noviembre de 2007). II Jornadas de trabajo del Grupo SIOU. Obtenido de
Gestión de la Información, gestión de conteniedos y conocimiento:
http://eprints.rclis.org/11273/1/Jornadas_GRUPO_SIOU.pdf
Amit, R., & Zott, C. (2012). Innovación en el Modelo de Negocio: Una forma de crear valor.
Harvard Deusto Business Review.
Arbañil, H., Barrientos, M., Maguiña, S., & Murrugarra, J. (2018). Innovación del Modelo de
Negocio para Mejorar la Experiencia de Compra de los Clientes de un Supermercado.
Esan Business, Lima, Perú. Obtenido de Esan Business.
Brooks, D. (Julio de 2010). ResearchGate. Obtenido de What is security: Definition through
knowledge categorization:
https://www.researchgate.net/publication/247478178_What_is_security_Definition_throu
gh_knowledge_categorization
BSIGROUP. (s.f.). BSIGROUP. Obtenido de Gestión de Riesgo ISO 31000:
https://www.bsigroup.com/es-PE/gestion-de-riesgo-iso-31000-/
Bureau Veritas. (29 de Julio de 2011). Bureau Veritas España. Obtenido de ISO 27000: Gestión
de la seguridad de la información, claves para una implantación de éxito.:
https://www.bureauveritas.es/home/news/noticias+2011+-
+cer+newsletter+iso+27001?presentationtemplate=bv_master_v2/news_full_story_prese
ntation_v2
Cabrera Vásquez, P. C. (2017). Diseño e implementación de un sistema integrado de gestión bajo
los estándares de la Norma ISO 9001:2015, OHSAS 18001:2007 e ISO 14001:2015 y la
evaluación del impacto en la productividad de la empresa Piteau Associates. Universidad
ESAN, Lima. Obtenido de https://repositorio.esan.edu.pe/handle/20.500.12640/1206
145
Castro Marquina, L. (febrero de 2014). Repositorio de Tesis de la Pontificia Universidad Católica
del Perú. Obtenido de
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/20.500.12404/5110/CASTRO_LAU
RA_DISE%c3%91O_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_
NORMA_ISO_IEC_22301.pdf?sequence=1&isAllowed=y
Claeys, L. (24 de enero de 1996). Compotamiento de la Informacion. Obtenido de Capítulo 3
Información y conocimiento: http://www.smalltalking.net/papers/boi/ch03.html
Cordero Pérez, C. (2012). ¿Qué es y cómo se define el modelo de negocios? El Financiero.
Obtenido de https://www.elfinancierocr.com/pymes/que-es-y-como-se-define-el-modelo-
de-negocios/N6FNCYHG6BHTPIX47DVUMXLT6Y/story/
Delgado Concha, K. (agosto de 2015). Repositorio de Tesis de la universidad Católica Santa
María. Obtenido de
http://tesis.ucsm.edu.pe/repositorio/bitstream/handle/UCSM/2236/44.0386.II.pdf?sequen
ce=1&isAllowed=y
Dretske, F. (1999). Knowledge and the Flow of Information. (T. C. Publications, Ed.) Cambridge:
CSLI PUBLICATIONS.
Epping, R. (2010). El uso innovador de Blackboard® para evaluar las habilidades de laboratorio.
Diario de Diseño de Aprendizaje, págs. 32-36.
Escuela Europea de Excelencia. (mayo de 2018). Escuela Europea de Excelencia. Obtenido de
Cómo realizar la evaluación de riesgos según ISO 31000:2018:
https://www.escuelaeuropeaexcelencia.com/2018/05/como-realizar-la-evaluacion-de-
riesgos-segun-iso-310002018/
ESET. (julio de 2019). ESET Security Report Latinoamérica 2019. Obtenido de
https://www.welivesecurity.com/wp-content/uploads/2019/07/ESET-security-report-
LATAM-2019.pdf
FORTINET. (2020). THREAT INTELLIGENCE INSIDER. Obtenido de
https://www.fortinetthreatinsiderlat.com/es/Q1-2020/PE/pdf/trends?type=pdf
Gartner. (2019). Primer plano de ejecución de estrategia digital de educación para 2019.
Obtenido de https://www.gartner.com/doc/reprints?id=1-6ARCTQR&ct=190228&st=sb
146
Gestión. (24 de julio de 2019). Ventas online crecen 44.2% en Perú, las offline en retail caen 11%.
Obtenido de https://gestion.pe/economia/ventas-online-crecen-44-2-peru-offline-retail-
caen-11-273983
Gomez, L., & Fernández, P. (2015). Cómo implentar un SGSI según UNE-ISO/IEC 27001:2004 y
su aplicación en el Esquema Nacional de Seguridad (AENOR ed.). Madrid, España.
Instituto Nacional de Informática y Estadísitica. (2019). Demografía Empresarial en el Perú.
Obtenido de
http://m.inei.gob.pe/media/MenuRecursivo/boletines/demografia_empresarial_ene2020.p
df
Integrated Standards. (s.f.). Integrated Standards Store. Obtenido de What is an Integrated
Management System: https://integrated-standards.com/articles/what-is-integrated-
management-system/
International Organization for Standarization - ISO 22301:2012. (2012). Societal Security -
Business Continuity Management System - Requierements. Suiza. Obtenido de
http://www.smv.gob.pe/Biblioteca/temp/catalogacion/ISO22301_2012.pdf
ISACA. (2018). COBIT 2019 Marco de Referencia.
ISOtools. (19 de marzo de 2015). ISOtools - Blog Calidad y Excelencia. Obtenido de
https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-cual-es-su-finalidad/
Karwowski, W., & Salvendy, G. (2010). Advances inhuman Factors Ergonomics and Safety in
Manufacturing and Service Industries. Taylor & Francis Group. Obtenido de
https://www.crcpress.com/Advances-in-Human-Factors-Ergonomics-and-Safety-in-
Manufacturing-and/Karwowski-
Salvendy/p/book/9781439834992#googlePreviewContainer
Kegan, M. (Octubre de 2004). HM Treasury. Obtenido de The Orange Book:
https://www.who.int/management/general/risk/managementofrisk.pdf
Kirkwood, C. (2002). Decision Tree Primer. Obtenido de Chapter 3: The Value of Information:
http://www.public.asu.edu/~kirkwood/DAStuff/decisiontrees/
Mani, K., & Jee, B. (2007). ON THE EDGE A Comprehensive Guide to Blade SErver Technology.
Singapore: Wiley. Obtenido de
https://www.amazon.com/dp/0470823046?_encoding=UTF8&isInIframe=0&n=283155
147
&ref_=dp_proddesc_0&s=books&showDetailProductDesc=1#product-
description_feature_div
Martinez Barea, J., & Hense, C. (s.f.). Innovación en los Modelos de Negocio: El impulso
necesario para que las tecnologias exponenciales revolucionen en su industria. Harvard
Deusto Business Review.
Mejía, J., & López, D. (2016). Modelo de Calidad de E-learning para Instituciones de Educación
Superior en Colombia. Modelo de Calidad de E-learning para Instituciones de Educación
Superior en Colombia. Centro de Información Tecnológica, La Serene, Chile. Obtenido de
http://www.redalyc.org/articulo.oa?id=373544971007
Ministerio de Hacienda y Administraciones Públicas. (octubre de 2012). Protal de Administración
Electrónica. Obtenido de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/
pae_Magerit.html
Montes, S. (9 de marzo de 2019). Colombia es el segundo que más avanza en e-learning en
América Latina. La República. Obtenido de https://www.larepublica.co/internet-
economy/colombia-es-el-segundo-que-mas-avanza-en-e-learning-en-america-latina-
2837584
Navarro Monterroza, C., Pérez Extremor, J., & Estrada Muñoz, J. (2016). Guía de implementación
del Sistema Integrado de Gestión ISO 9001:2008 - ISO 22000:2005, para empresas de
producción de leche entera pasteurizada y queso fresco. 106-107. Obtenido de
https://core.ac.uk/download/pdf/297178862.pdf
Norma Internacional ISO 31000:2018. (2018). Gestión del riesgo — Directrices. Ginebra, Suiza.
Oppenheim, C., Stenson, J., & Wilson, R. (2001). The attributes of information as an asset (Vol.
102). MCB UP Ltd. doi:https://doi.org/10.1108/03074800110696979
Rázuri Espinoza, A. J. (2019). Desarrollo de un Sistema de Gestión de Continuidad de Negocio
en una entidad financiera, basado en la ISO 22301. UNIVERSIDAD NACIONAL
MAYOR DE SAN MARCOS, Lima. Obtenido de
https://cybertesis.unmsm.edu.pe/bitstream/handle/20.500.12672/10726/Razuri_ea.pdf?se
quence=1&isAllowed=y
148
Roca Castro, D. (2018). Evaluación de riesgos en el diseño de la plataforma E-Learning para
institutos superiores técnicos y tecnológicos. Revista Atlante: Cuadernos de Educación y
Desarrollo (marzo 2018). Obtenido de
https://www.eumed.net/rev/atlante/2018/03/plataforma-elearning.html
Ros, J. (s.f.). Auge de los Sistemas de Información y Documentación en las Organizaciones.
Obtenido de https://webs.ucm.es/info/multidoc/multidoc/revista/num2/jros.html
Santos Llanos, D. (febrero de 2017). Repositorio de Tesis de la Pontificia Universidad Católica
del Perú. Obtenido de
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/20.500.12404/7616/SANTOS_DAN
IEL_SISTEMA_GESTI%c3%93N.pdf?sequence=1&isAllowed=y
Santos Llanos, D. E. (2016). ESTABLECIMIENTO, IMPLEMENTACIÓN, MANTENIMIENTO Y
MEJORA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN,
BASADO EN LA ISO/IEC 27001:2013, PARA UNA EMPRESA DE CONSULTORÍA DE
SOFTWARE. PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ, Lima. Obtenido
de
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/20.500.12404/7616/SANTOS_DAN
IEL_SISTEMA_GESTI%C3%93N.pdf?sequence=1&isAllowed=y
Scott, A. (4 de octubre de 2012). Business Model Innovation is the Fastest Path to Greatness.
Forbes. (R. Kanani, Entrevistador) Obtenido de
https://www.forbes.com/sites/rahimkanani/2012/10/04/business-model-innovation-is-the-
fastest-path-to-greatness/#1e41298d5ba2
Seclén Arana, J. (2016). Repositorio de Tesis Digitales - Cybertesis de la Universidad Nacional
Mayor de San Marcos. Obtenido de
https://cybertesis.unmsm.edu.pe/bitstream/handle/20.500.12672/4884/Seclen_aj.pdf?sequ
ence=1&isAllowed=y
Sortres, P., & Bureau Veritas. (Septiembre de 2012). Continuidad de Negocios. Obtenido de ISO
22301 – Continuidad del Negocio, mantenga funcionando su negocio sin importar qué
pueda ocurrir:
https://www.interempresas.net/FeriaVirtual/Catalogos_y_documentos/87942/Continuidad
_Negocio-ISO-22301.pdf
149
Soto Rodriguez, L., & Céspedes Vargas, K. (setiembre de 2016). Repositorio Académico UPC.
Obtenido de
https://repositorioacademico.upc.edu.pe/bitstream/handle/10757/620834/Cespedes_VK_
Soto_RL.pdf?sequence=1&isAllowed=y
The Business Continuity Institute. (2018). BCI Good Practice Guidelines 2018 Lite Edition.
Obtenido de Business Continuity Management (BCM) Lifecycle: https://www.b-c-
training.com/img/uploads/resources/GPG-Lite-2018-Edition-V1.2.pdf
Universidad de América. (24 de setiembre de 2018). Fundación Universidad de América.
Obtenido de http://www.uamerica.edu.co/programas-academicos/posgrado/gerencia-de-
la-calidad/importancia-de-los-sistemas-de-gestion-integrados-para-las-organizaciones-en-
terminos-de-competitividad/
W. Deming, E. (1989). Calidad, productividad y competitividad: la salida de la crisis. Obtenido
de https://issuu.com/librospdfgratis/docs/calidad__productividad_y_competitividad_409
Zavala Batlle, R. (2018). Guerra a la Innovación. Harvard Deusto Business Review, 68-75.
Obtenido de https://www.harvard-deusto.com/guerra-a-la-innovacion
150
ANEXOS
PREGUNTA 01:
¿Considera usted que el personal de la empresa Paris & Asociados se encuentra capacitado
sobre seguridad de la información en el marco de la ISO 27001?
PREGUNTA 02:
¿Considera usted que el personal de la empresa Paris & Asociados se encuentra capacitado
sobre resiliencia o recuperación ante interrupciones en las funciones de la organización en el marco
de la ISO 22301?
PREGUNTA 03:
¿Considera usted que la empresa Paris & Asociados S.A.C. está en la capacidad de
responder ante un ataque cibernético?
¿Considera usted que la empresa Paris & Asociados S.A.C. está en la capacidad de
responder ante un desastre o siniestro que ponga en riesgo la ejecución de las actividades del
negocio?
PREGUNTA 05:
¿Considera usted que el flujo de procesos de la empresa Paris & Asociados S.A.C. están
establecidos adecuadamente?
PREGUNTA 06:
¿Considera usted positiva y viable la implementación de un sistema de gestión en la
empresa Paris & Asociados S.A.C. que proteja la información y las actividades del negocio?
151
ANEXO-2: Cuestionario realizado al personal que realiza labores operativas.