Elguera Gu

Universidad Nacional Mayor de San Marcos
Universidad del Perú. Decana de América

Facultad de Ingeniería de Sistemas e Informática
Escuela Profesional de Ingeniería de Sistemas
Implementación de un sistema integrado de gestión

basado en los estándares ISO 27001, ISO 31000 e ISO
22301 en la empresa Paris & Asociados S.A.C.
TESIS
Para optar el Título Profesional de Ingeniero de Sistemas
AUTOR
Ulises ELGUERA GALLO
ASESOR
Norberto Ulises ROMÁN CONCHA
Lima, Perú
2021
Reconocimiento - No Comercial - Compartir Igual - Sin restricciones adicionales
https://creativecommons.org/licenses/by-nc-sa/4.0/
Usted puede distribuir, remezclar, retocar, y crear a partir del documento original de modo no
comercial, siempre y cuando se dé crédito al autor del documento y se licencien las nuevas
creaciones bajo las mismas condiciones. No se permite aplicar términos legales o medidas
tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita esta licencia.
Referencia bibliográfica
Elguera, U. (2021). Implementación de un sistema integrado de gestión basado en

los estándares ISO 27001, ISO 31000 e ISO 22301 en la empresa Paris & Asociados
S.A.C.. [Tesis de pregrado, Universidad Nacional Mayor de San Marcos, Facultad de
Ingeniería de Sistemas e Informática, Escuela Profesional de Ingeniería de Sistemas].
Repositorio institucional Cybertesis UNMSM.
Metadatos complementarios
Datos de autor
Nombres y apellidos Ulises Elguera Gallo

DNI
45102239
URL de ORCID https://orcid.org/0000-0002-7915-2706
Datos de asesor
Nombres y apellidos Norberto Ulises Román Concha

DNI
08510560
URL de ORCID https://orcid.org/0000-0002-3302-7539
Datos de investigación
Línea de investigación No
Grupo de investigación ITDATA
Agencia de financiamiento NO
Perú, Lima, San Martín de Porres

Latitud: -12.0303
Ubicación geográfica de la Longitud: -77.0572
Latitud: 12° 1' 49'' Sur
investigación Longitud: 77° 3' 26'' Oeste
Año o rango de años en que se

2019-2021
realizó la investigación
Ingeniería de sistemas y comunicaciones
URL de disciplinas OCDE https://purl.org/pe-repo/ocde/ford#2.02.04
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE INGENIERIA
DE SISTEMAS E INFORMATICA Escuela Profesional de Ingeniería de Sistemas
Acta Virtual de Sustentación de Tesis
Siendo las 16.00… horas del día 25 de agosto del año 2021, se reunieron virtualmente
los docentes designados como miembros de Jurado de Tesis, presidido por el Mg. José
César Piedra Isusqui, Mg. Carlos Ernesto Chavez Herrera (Miembro) y el Lic. Norberto
Ulises Roman Concha (Miembro Asesor), usando la plataforma Meet
(meet.google.com/aoi-jjgx-vip), para la sustentación Virtual de la tesis Intitulada:
“Implementación de un sistema integrado de gestión Basado en los estándares
ISO 27001, ISO 31000 e ISO 22301 en la empresa París & Asociado S.A.C”, del
Bachiller: Ulises Elguera Gallo; para obtener el Título Profesional de Ingeniero de
Sistemas.
Acto seguido de la exposición de la Tesis, el Presidente invitó al Bachiller a responder
las preguntas formuladas por los Miembros del Jurado.
El Bachiller, en el curso de sus intervenciones demostró pleno dominio del tema, al

responder con acierto y fluidez a las preguntas formuladas por los señores miembros
del Jurado.
Finalmente habiéndose efectuado la calificación correspondiente por los miembros del
Jurado, la bachiller obtuvo la nota de …19.. (diecinueve)
A continuación el Presidente del Jurado Mg. José Cesar piedra Isusqui, declara al
Bachiller Ingeniero de Sistemas.
Siendo las …17.15…… horas, se levantó la sesión.
Mg. José Cesar Piedra Isusqui

Presidente
Mg. Carlos Ernesto Chavez Herrera Lic. Norberto Ulises Roman Concha
Miembro Miembro Asesor
i
FICHA CATALOGRAFICA
IMPLEMENTACIÓN DE UN SISTEMA INTEGRADO DE GESTIÓN BASADO EN LOS

ESTÁNDARES ISO 27001, ISO 31000 E ISO 22301 EN LA EMPRESA PARIS & ASOCIADOS S.A.C.
AUTOR: ELGUERA GALLO, ULISES
ASESOR: ROMAN CONCHA, NORBERTO ULISES
LIMA – PERÚ, 2021
TÍTULO PROFESIONAL: INGENIERO DE SISTEMAS
ÁREA: SEGURIDAD INFORMATICA Y GESTION DE RIESGO
Gestión de Sistemas Informáticos y de Información
PREGRADO: Facultad de Ingeniería de Sistemas e Informática - Escuela Profesional de Ingeniería de

Sistemas.
Formato 28 x 20 cm
Páginas: xiv, 155

ii
DEDICATORIA
A mis padres Isabel y Armando por su honrosa, dedicada y
sacrificada actuación, por su apoyo y admirable paciencia.
A mis hermanas Fiorella y Ariana por su apoyo y
comprensión en todo este proceso.
A mi esposa Erika por su incansable soporte anímico en esta
incondicional etapa.
A mi hija Emilia V. por su esperada llegada y maravilloso
futuro en nuestra familia, asimismo, a Miski y Doko por su
presencia.
iii
AGRADECIMIENTOS
A mi familia por el apoyo que me brindaron y la fortaleza que tuvieron en los momentos difíciles.
A las empresas Paris & Asociados S.A.C. y Mirana Consultores S.A.C. por la oportunidad de ser
parte de ellas.
Al profesor Román Concha, Norberto Ulises por su orientación, consejos y paciencia en culminar
con esta investigación.
iv
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA
ESCUELA PROFESIONAL DE INGENIERIA DE SISTEMAS
IMPLEMENTACIÓN DE UN SISTEMA INTEGRADO DE GESTIÓN BASADO EN LOS

ESTÁNDARES ISO 27001, ISO 31000 E ISO 22301 EN LA EMPRESA PARIS & ASOCIADOS
S.A.C.
Autor: ELGUERA GALLO, Ulises

Asesor: ROMÁN CONCHA, Norberto Ulises
Fecha: mayo de 2021
________________________________________________________________________
RESUMEN
La Tesis tiene como objetivo implementar un sistema integrado de gestión multiestandar, que
relacione la ISO 27001 enfocada en la seguridad de la información, la ISO 22301 basada en la
continuidad del negocio y la ISO 31000 orientada a la gestión de los riesgos, esta congruencia de
normas será aplicada en la empresa Paris & Asociados S.A.C.
La metodología combina el enfoque cualitativo y cuantitativo basado en la mejora continua PHVA

(Planear – Hacer – Verificar – Actuar) con la cual podremos segmentar los requerimientos de cada
estándar, evitando la duplicidad de documentación y garantizando la verificación de su
cumplimiento. La integración normativa de los estándares estará basada en una estructura de alto
nivel o Anexo SL y el involucramiento práctico se enfocará en la gestión de riesgo, debido al
protagonismo que presenta en el desarrollo de un SGSI (Sistema de Gestión de la Seguridad de la
Información), SGCN (Sistema de Gestión de Continuidad del Negocio) y por ende el Sistema de
Gestión de Riesgos. Por último, de acuerdo con el Proceso de la gestión del riesgo (ISO 31000)
logrando la identificación, evaluación y la valoración del tratamiento del riesgo, lo cual se
evidenciará a través de la matriz de riesgos, la declaración de aplicabilidad y el análisis de impacto
en el negocio
Como resultado se tiene la integración los sistemas de gestión relacionado con las normas ISO
27001, ISO 22301 e ISO 31000 para cubrir las brechas y de esta manera garantizar la recuperación
de la organización ante incidentes que puedan interrumpir su actividad por medio de la gestión del
riesgo tratando de minimizar el impacto que produzcan posibles amenazas. A pesar de no contar
con la certificación, se tiene un cumplimiento de un 43% en la implementación de sus cláusulas.
Palabras claves: sistema integrado, gestión de riesgos, seguridad de la información, continuidad

de negocio.
v
NATIONAL UNIVERSITY OF SAN MARCOS

FACULTY OF SYSTEMS ENGINEERING AND INFORMATIC
PROFESSIONAL SCHOOL OF SYSTEMS ENGINEERING
IMPLEMENTATION OF AN INTEGRATED MANAGEMENT SYSTEM BASED ON

THE ISO 27001, ISO 31000 AND ISO 22301 STANDARDS IN THE COMPANY PARIS &
ASOCIADOS S.A.C.
Author: ELGUERA GALLO, Ulises

Advisor: ROMAN CONCHA, Norberto Ulises
Title: Thesis to opt for the Professional Title of Systems Engineer
Date: May de 2021
________________________________________________________________________
ABSTRACT
The purpose of this Thesis is to implement an integrated multi-standard management system,

which relates ISO 27001 focused on information security, ISO 22301 based on business continuity
and ISO 31000 oriented to risk management, this congruence of standards will be applied in the
company Paris & Asociados SAC
The methodology combines the qualitative and quantitative approach based on continuous
improvement PDCA (Plan - Do - Check - Act) with which we can segment the requirements of
each standard, avoiding duplication of documentation and guaranteeing the verification of
compliance. The normative integration of the standards will be based on a high-level structure or
Annex SL and the practical involvement will focus on risk management, due to the role it presents
in the development of an ISMS (Information Security Management System), BCMS (Business
Continuity Management System) and therefore the Risk Management System. Finally, according
to the Risk Management Process (ISO 31000) we will mainly achieve the evaluation
(identification, analysis and assessment) and treatment of risk, which will be evidenced through
the risk matrix, the impact analysis on the business and applicability statement.
As a result, the management systems related to the ISO 27001, ISO 22301 and ISO 31000
standards are integrated to cover gaps and ensure the recovery of the organization from incidents
that may interrupt its activity through risk management trying to minimize the impact that produces
potential threats. Despite not having the certification, there is a 43% compliance in the
implementation of its clauses.
Keywords: integrated management system, risk management, information security, business

continuity.
vi
Tabla de Contenidos
Capítulo I: Introducción ..................................................................................................... 1
Descripción de los antecedentes ......................................................................................... 1
Descripción del problema ................................................................................................... 5
Definición del problema ................................................................................................... 12
Problema principal .................................................................................................... 12
Problemas secundarios .............................................................................................. 12
Objetivos ........................................................................................................................... 12
Objetivo general ........................................................................................................ 12
Objetivos específicos ................................................................................................ 12
Justificación de la investigación ....................................................................................... 13
Justificación teórica .................................................................................................. 13
Justificación práctica ................................................................................................. 13
Alcances y limitaciones .................................................................................................... 13
Alcance ..................................................................................................................... 13
Limitaciones.............................................................................................................. 14
Propuesta de la tesis .......................................................................................................... 14
Organización de la tesis .................................................................................................... 14
Capítulo II: Marco Teórico .............................................................................................. 16
Sistema de gestión de seguridad de la información - SGSI .............................................. 16
Sistema de gestión de la continuidad del negocio - SGCN .............................................. 21
Sistema de gestión de riesgos - SGR ................................................................................ 24
Sistema de integrado de gestión ........................................................................................ 27
Elaboración de glosarios y términos ................................................................................. 27
Referencias conceptuales y teóricas.................................................................................. 28
Anexo SL: estructura de alto nivel ........................................................................... 28
Matriz de gestión de riesgos ..................................................................................... 31
Análisis de impacto en el negocio (BIA) .................................................................. 32
Anexo A de la Norma ISO 27001 ............................................................................. 34
Cláusulas de la Estructura de Alto Nivel .................................................................. 35
vii
Ciclo de Deming ....................................................................................................... 36
Capítulo III: Estado Del Arte ............................................................................................ 39
Selección de metodología ................................................................................................. 39
COBIT® 2019 .......................................................................................................... 39
MAGERIT V3 .......................................................................................................... 41
CRAMM (CCTA Risk Analysis and Management Method) ................................... 42
UNE 66177:2005 ...................................................................................................... 43
Planear – Hacer – Verificar – Actuar (PHVA) ......................................................... 44
Revisión sistemática del estado del arte............................................................................ 45
Benchmarking de las metodologías relacionadas ............................................................. 47
Análisis del estado del arte ............................................................................................... 49
Capítulo IV: Aporte Teórico ............................................................................................. 51
Arquitectura normativa del SIG ........................................................................................ 51
Arquitectura práctica del SIG ........................................................................................... 56
PHVA: Marco de desarrollo según el contexto de la empresa ......................................... 57
Planificar ................................................................................................................... 57
Hacer ......................................................................................................................... 57
Verificar .................................................................................................................... 58
Actuar........................................................................................................................ 59
Capítulo V: Aporte Practico.............................................................................................. 60
Análisis de la solución de la propuesta ............................................................................. 60
Inicio del Proyecto .................................................................................................... 60
Análisis Costo/Beneficio .......................................................................................... 61
Recursos utilizados ................................................................................................... 62
Riesgos del proyecto ................................................................................................. 63
Diagnóstico ............................................................................................................... 68
Desarrollo del caso de implementación ............................................................................ 69
Planear ...................................................................................................................... 69
Hacer ......................................................................................................................... 84
Verificar .................................................................................................................. 103
viii
Actuar...................................................................................................................... 103
Capítulo VI: Análisis de los resultados ........................................................................... 105
Análisis de los resultados sobre el SGSI......................................................................... 106
Análisis de los resultados sobre el SGCN....................................................................... 109
Análisis de los resultados sobre el SGR ......................................................................... 112
Análisis de resultados sobre la arquitectura de integración ............................................ 113
Análisis de resultados sobre las encuestas realizadas ..................................................... 115
Primer enfoque ........................................................................................................ 116
Segundo enfoque..................................................................................................... 120
CONCLUSIONES .......................................................................................................... 140
RECOMENDACIONES ................................................................................................. 143
ANEXOS ........................................................................................................................ 150
ANEXO-1: Cuestionario realizado a la alta gerencia. .................................................... 150
ANEXO-2: Cuestionario realizado al personal que realiza labores operativas. ............. 151
ix
Índice de figuras
Figura 1. Porcentaje de preocupación de Seguridad de las empresas. Fuente: ESET (2019)......... 6
Figura 2. Incidentes por país en Latinoamérica. Fuente: ESET (2019) .......................................... 7
Figura 3. Interrelación en la familia de estándares ISO/IEC 27000. Fuente: Journal of Information
Security, Georg Disterer (2013) ............................................................................................ 17
Figura 4. Ciclo de Deming - ISO 27001 ....................................................................................... 21
Figura 5. Ciclo de Deming - ISO 22301 ....................................................................................... 24
Figura 6. Principios, Marco de Referencia y Procesos de la ISO 31000 ..................................... 25
Figura 7. Anexo SL: High Level Structure ................................................................................... 29
Figura 8. Modelo de un Sistema Integrado de Gestión basado en procesos, según Anexo SL.
Fuente: ISOTools .................................................................................................................. 30
Figura 9. Ciclo de Deming - Anexo SL: HLS .............................................................................. 30
Figura 10. Matriz de riesgos - Impacto vs Probabilidad ............................................................... 32
Figura 11. Descripción gráfica de RTO Fuente: https://ciberseguridad.blog/conceptos-basicos-de-
plan-de-continuidad-de-negocio-rpo-rto-wrt-mtd/ ............................................................... 33
Figura 12. Descripción gráfica de RPO Fuente: https://ciberseguridad.blog/conceptos-basicos-de-
plan-de-continuidad-de-negocio-rpo-rto-wrt-mtd/ ............................................................... 33
Figura 13. RPO vs RTO Fuente:
https://www.computing.es/seguridad/opinion/1104573002501/no-tienes-plan-de-
recuperacion-preparate-caos.1.html ...................................................................................... 34
Figura 14. 14 dominios del Anexo A de la Norma ISO 27001..................................................... 34
Figura 15: Ciclo de Deming. Fuente: Propia ............................................................................... 36
Figura 16. Principios de Sistema de Gobierno Fuente: Marco de referencia COBIT 2019 ........ 40
Figura 17. Principios para un Marco de Gobierno Fuente: Marco de referencia COBIT 2019 .. 41
Figura 18. Marco de trabajo para la gestión de riesgos de ISO 31000 fuente:
https://administracionelectronica.gob.es/pae_Home/dam/jcr:fb373672-f804-4d05-8567-
2d44b3020387/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf ................ 42
Figura 19. Las 10 cláusulas de la Estructura de Alto Nivel .......................................................... 51
Figura 21. Convergencia de los Sistemas de Gestión para el SIG, ............................................... 56
Figura 22. Ciclo de Mejora Continua de acuerdo a las Cláusulas de la Estructura de Alto Nivel 59
x
Figura 23: MAPA DE PROCESOS Fuente: Paris & Asociados S.A.C. ...................................... 70
Figura 24. Estructura documental para el Sistema Integrado de Gestión. .................................... 72
Figura 25. Mapa de Implementación del Sistema Integrado de Gestión. Fuente: Propia. ........... 75
Figura 26. Requisitos para la implementación del SIG y las responsabilidades de las partes
interesadas ............................................................................................................................. 78
Figura 27. Principios de la Norma ISO 31000 .............................................................................. 84
Figura 28. Componentes del Marco de Referencia de la Norma ISO 31000 ............................... 85
Figura 29. Implementacion del Proceso de la Gestión del Riesgo de la Norma ISO 31000 ........ 85
Figura 30. Activo, amenaza, vulnerabilidad e impacto. Fuente: INCIBE .................................... 89
Figura 31. Cálculo de Matriz del riesgo........................................................................................ 92
Figura 32. Representación del tratamiento de los riesgos - Aceptar el riesgo .............................. 93
Figura 33. Representación del tratamiento de los riesgos - Evitar el riesgo ................................. 94
Figura 34. Representación del tratamiento de los riesgos - Reducir el riesgo .............................. 95
Figura 35. Representación del tratamiento de los riesgos - Compartir/transferir el riesgo .......... 95
Figura 36. Cálculo de Matriz del riesgo...................................................................................... 112
Figura 37. Requisitos de las ISOs en relación a la SIG .............................................................. 114
Figura 38. Factores de congruencia necesarios en el SIG .......................................................... 114
Figura 39. Requisitos generales para la implementación del SIG .............................................. 115
Figura 40: Personal capacitado acerca de Seguridad de la Información .................................... 116
Figura 41: Personal capacitado acerca de Resiliencia o Recuperación de actividades ............... 116
Figura 42: Capacidad de respuesta ante ataques Cibernéticos .................................................... 117
Figura 43: Capacidad de respuesta ante desastres o siniestros ................................................... 117
Figura 44: Adecuado flujo de procesos ...................................................................................... 118
Figura 45: Viabilidad en la implementación de un Sistema de Gestión ..................................... 118
Figura 46: Distribución de existencia de procedimiento de protección ...................................... 120
Figura 47: Distribución de protección y seguridad de la información........................................ 121
Figura 48: Distribución de presunta existencia de comportamiento mal intencionado .............. 122
Figura 49: Distribución de adecuado manejo sobre seguridad en el entorno laboral ................. 123
Figura 50: Distribución de adecuado manejo sobre seguridad de la información en el entorno
laboral ................................................................................................................................. 124
xi
Figura 51: Distribución del adecuado aprovechamiento de las capacitaciones acerca del resguardo
de la información en el entorno laboral .............................................................................. 125
Figura 52: Distribución del adecuado aprovechamiento de las capacitaciones acerca de resiliencia
ante eventos inesperados en la organización. ..................................................................... 126
Figura 53: Distribución de presunción acerca de la existencia de un plan de respuesta para el
correcto resguardo de la información e interrupciones en las actividades relacionadas a la
entrega de valor ................................................................................................................... 127
Figura 54: Distribución del reporte de algún acto de sustracción de información que ponga en
riesgo la organización. ........................................................................................................ 128
Figura 55: Distribución del adecuado resguardo de datos. ......................................................... 129
Figura 56: Distribución acerca de la importancia de la información utilizada en su área. ......... 130
Figura 57: Distribución acerca de las repercusiones que un virus informático afecte su área. .. 131
Figura 60: Distribución acerca del beneficio del cambio constante de contraseñas en el acceso al
sistema................................................................................................................................. 134
Figura 61: Distribución acerca de la seguridad en el ingreso del personal, clientes o proveedores.
............................................................................................................................................. 135
Figura 62: Distribución acerca de la fragilidad de la empresa ante posibles desastres naturales.
............................................................................................................................................. 136
Figura 63: Distribución acerca del adecuado uso de dispositivos externos. ............................... 137
Figura 64: Distribución acerca de la adecuada realización del simulacro. ................................. 138
Figura 65: Distribución acerca la aprobación de un sistema de gestión relacionado con la seguridad
de la información y continuidad del negocio ...................................................................... 139
xii
Índice de tablas
Tabla 1. Reporte Demográfico Empresarial de “Perú: Stock, Altas y Bajas”, Según su Actividad
Económica del Trimestre IV de 2019. Fuente: Instituto Nacional de Informática y Estadística
................................................................................................................................................. 7
Tabla 2. Reporte de los países certificados por ISO/IEC 27001 en América (2015-2017). Fuente:
ISO Standards Development ................................................................................................... 9
Tabla 3. Reporte de los países certificados por ISO/IEC 22301 en América (2015-2017). Fuente:
ISO Standards Development ................................................................................................. 10
Tabla 4. Top 10 de los países certificados por ISO/IEC 27001 a nivel mundial hasta el año 2017
............................................................................................................................................... 18
Tabla 5. Reporte Total de Certificados por ISO/IEC 27001 por Continentes (2015-2017) ......... 19
............................................................................................................................................... 22
Tabla 7. Reporte Total de Certificados por ISO/IEC 22301 por Continentes (2015-2017) ......... 23
Tabla 8. Benchmarking comparativo de las metodologías relacionadas con la investigación ..... 47
Tabla 10. Estructura del Anexo A de la ISO 27001 (14 dominios, 35 objetivos de control y 114
controles)............................................................................................................................... 52
Tabla 11. Documentación necesaria para la implementación del SIG correspondiente a las
Cláusulas utilizadas en la Estructura de Alto Nivel .............................................................. 54
Tabla 12. Documentación necesaria para la implementación del SIG correspondiente a los
Controles del Anexo A de la ISO 27001 .............................................................................. 55
Tabla 13. Esquema del proyecto de implementación del SIG ...................................................... 60
Tabla 14. Presupuesto estimado, aplicado al proyecto de implementación del SIG .................... 61
Tabla 15. Tipo de recursos utilizados para el desarrollo del proyecto de SIG ............................. 62
Tabla 16. Probabilidad del riesgo aplicado al desarrollo del proyecto de implementación del SIG
............................................................................................................................................... 63
Tabla 17. Matriz de evaluación del riesgo en la ejecución del proyecto ...................................... 65
Tabla 18. Matriz de respuesta o tratamiento del riesgo en la ejecución del proyecto .................. 67
Tabla 19. Estado situacional de la implementación del Anexo SL del SIG ................................. 68
Tabla 20. Estado situacional de la implementación de los Dominios del SIG ............................. 68
xiii
Tabla 21. Clausula y la documentación requerida ........................................................................ 76
Tabla 22. Descripción del alcance en la implementación ............................................................. 79
Tabla 23. Política de Calidad en la organización .......................................................................... 81
Tabla 24. Valorización del activo de información en la organización ......................................... 90
Tabla 25. Probabilidad de ocurrencias .......................................................................................... 90
Tabla 26. Clasificación del impacto.............................................................................................. 91
Tabla 27. Criterios de tratamiento de los riesgos .......................................................................... 97
Tabla 28. Evaluación y tratamiento del riesgo para el activo Software de aplicaciones (web +
intranet) en el Proceso de Gestión de Ventas........................................................................ 99
intranet) en el Proceso de Gestión de Ventas........................ ¡Error! Marcador no definido.
Tabla 30. BIA - Análisis de Impacto en el Negocio en el activo Software de aplicaciones (web +
intranet) del Proceso de Gestión de Ventas ........................................................................ 101
intranet) en el Proceso de Gestión de Ventas...................................................................... 106
Tabla 32. BIA - Análisis de Impacto en el Negocio en el activo Software de aplicaciones (web +
intranet) del Proceso de Gestión de Ventas ........................................................................ 109
Tabla 33. Resultados de la consulta al personal de la Organización: Pregunta 01 ..................... 120
Tabla 34: Resultados de la consulta al personal de la Organización: Pregunta 02 ..................... 121
xiv
1
Capítulo I:
Introducción
Descripción de los antecedentes
Actualmente, las empresas desarrollan sus actividades en un contexto que no cesa de

cambiar. En consecuencia, el único camino para la sobrevivencia y éxito empresarial es tener como
núcleo de negocio una cultura de innovación, con líderes dispuestos a generar proyectos,
iniciativas y oportunidades de manera constante, los cuales aporten valor al proceso de
transformación de la organización. En este sentido, es necesario priorizar las interacciones con los
clientes a través de canales digitales que estén relacionados directamente con aprovechar las
ventajas de las nuevas tecnologías. Estos esfuerzos persistentes son los que harán que la empresa
se sostenga en el tiempo.
La información y el conocimiento poseen conceptos distintos pero relacionados en lo más
profundo de su significado es por ello por lo que, el conocimiento está formado por información
asimilada, transformada y dirigida a la realización de una actividad, a solucionar un problema, es
un "saber hacer". Dretske (1999) afirmó que, “La información es el contenido de un conocimiento
nuevo, verdadero, significativo y comprensible” (p. 288). En efecto, la información se adapta a
nuevas circunstancias y evoluciona. “Debido a que el conocimiento es también información, este
evoluciona de la misma forma. El sentido común, la inteligencia y el lenguaje son ejemplos de los
resultados de una larga evolución del conocimiento por selección natural” (Claeys, 1996).
Ahora bien, otros autores consideraron con respecto al valor de la información que:
En el ámbito de las organizaciones la información es un activo informativo. Asimismo, al
considerar a la información como activo, esta se introduce en el ámbito económico, con lo
cual, puede precisar comportamientos en la organización, logra identificar ventajas
competitivas, entre otros. Por consiguiente, adopta un valor difícil de calcular y se establece
como un activo imprescindible en toda organización. Oppenheim et al. (2001)
En cuanto al valor de la información, se puede decir que, la obtención de información fiable
y su adecuado tratamiento para los fines deseados, posee una complejidad particular, que requiere
un seguimiento constante y regular, entonces como consecuencia, posee un valor. De acuerdo con
Kirkwood (2002) afirmó que, “ninguna fuente de información puede valer más que el valor de la
2
información perfecta ya que esta elimina toda incertidumbre sobre los resultados para las
alternativas de decisión”.
Teniendo en cuenta, la constante dinamicidad de los negocios y su dedicación casi absoluta
a los productos o servicios que estas ofrecían apareció la tecnología, y con ella una serie de
beneficios frente a sus competidores ya que redujo algunas barreras para realizar negocios, mejoró
sus procesos, adecuó nuevas herramientas y con ello incrementó sus ingresos. Sin embargo, hoy
en día, la implementación de tecnología en las organizaciones es una necesidad fundamental tanto
para pequeñas y grandes empresas en su lucha constante en el mercado. De la misma forma, se
introduce el concepto de vigilancia tecnológica como un proceso organizado, permanente en el
tiempo que tiene como propósito obtener información interna y externa de la organización sobre
temas multidisciplinarios y posteriormente, procesarlos con el objetivo de producir conocimiento,
tomar decisiones con menor riesgo y poder anticiparse a los cambios, ampliando una propuesta a
futuro de la organización.
Actualmente, los Sistemas de Información y la Infraestructura de Tecnología de la
Información son considerados como capitales estratégicos imprescindibles en las organizaciones,
de la misma forma, la información es un factor indispensable para lograr el éxito comercial. Sin
embargo, cualquiera que sea el tamaño, rubro, complejidad del negocio o de la plataforma
tecnológica que posea la organización, ninguna debe desconocer los riesgos a los cuales puede
estar sometido.
Tomando en cuenta la conceptualización del riesgo, la autora consideró lo siguiente:
El riesgo se define como el resultado de la incertidumbre, dando como consecuencia una
oportunidad positiva o una amenaza negativa; el riesgo es evaluado de acuerdo con los dos
factores: la probabilidad de que suceda un evento y el impacto que este ocasionaría si
realmente sucede. (Kegan, 2004)
Debido a esta posibilidad de ser positivo o negativo el impacto del riesgo, se procura
adoptar una correcta gestión de riesgos, la cual implicaría, identificar los riesgos potenciales,
medirlos, evaluarlos y controlarlos, evitando así, posibles interrupciones en las actividades propias
del negocio y por consecuencia formaría parte de sus estrategias.
Por consiguiente, de manera global las organizaciones se han visto obligadas a la
adaptación, asimilando los constantes cambios del entorno y enfrentando a distintas empresas con
3
sus variadas formas de utilización de la tecnología, incluyendo en estas, la protección de la
información o también llamada seguridad de la información. Además, en su camino estratégico de
competitividad frente a sus competidores, aparecen los sistemas de información (SI), el cual fue
definido como, “una colección de personas, procedimientos y equipos diseñados, construidos,
operados y mantenidos para recoger, registrar, procesar, almacenar, recuperar y visualizar
información” (Ros, s.f.).
De igual manera es importante compartir lo mencionado por autor el cual afirmó que:
La finalidad de la Gestión de la información es ofrecer mecanismos que permitieran a la
organización adquirir, producir y transmitir, al menor coste posible, datos e informaciones
con una calidad, exactitud y actualidad suficientes para servir a los objetivos de la
organización. (Alonso, 2007, p. 8)
De la misma forma, un Sistema Integrado de Gestión (SIG), es un conjunto integrado de
componentes o entidades que interactúan para lograr una función particular u objetivo específico.
Los SIG no son lejanos a la actualidad, ya que su concepto ha estado introducido siempre en las
organizaciones sin ser identificados propiamente. Con la aparición de las computadoras y su
asociación con la misma, fueron adquiriendo mayor valor y reconocimiento debido a la diversidad
de beneficios tales como la velocidad, precisión, capacidad de administración y de
almacenamiento, puntos clave para una mejor toma de decisiones. Posteriormente, la masificación
de sistemas de información y la creciente necesidad de adoptar nuevas ventajas, dio lugar a la
aparición de sistemas de información con cualidades adquiridas de dos o más sistemas de
información por medio de la integración de estos. De acuerdo con el autor, “el SIG es la
combinación de todos los componentes relacionados de una organización en un sistema para
facilitar la gestión y las operaciones” (Integrated Standards, s.f.). Asimismo, el SIG es utilizado
por la organización para gestionar la totalidad de sus procesos, agregando valor a la organización
y evitando duplicidad de sistemas, obteniendo así un sistema totalmente relacionado sin
duplicidad.
Basado en la afirmación del autor “la seguridad posee un concepto multidimensional y
definido de acuerdo con su práctica y contexto” (Brooks, 2010). En efecto, cuando se habla de
seguridad de la información hacemos referencia a teorías, principios, políticas, conocimientos y
experiencias que consideran los procedimientos de protección dentro del entorno digital,
4
incluyendo la tecnología informática, software y hardware. En la actualidad, abarca gran parte de
responsabilidad en el camino del éxito de toda organización, ya que se encarga de la protección de
los activos de información. Por ejemplo, basados en la historia, fue muy importante la seguridad
informática y la necesidad de proteger el hardware y software de las amenazas que se surgieron
durante la Segunda Guerra Mundial, debido a que, los primeros mainframes cumplían la función
de apoyo en cálculos de comunicación.
En el orden de las ideas anteriores, la continuidad del negocio aparece con un concepto
cercano a la seguridad de la información y muy relacionada a garantizar la continuidad de los
procesos y funciones de una organización frente a cualquier interrupción. Asimismo, esta mantiene
una posición enfocada al negocio y la seguridad de la información explora un ambiente
tecnológico. (Mani y Jee, 2007) afirmaron lo siguiente:
La continuidad del negocio es la capacidad de una organización para continuar
funcionando incluso después de un evento desastroso, logrado mediante el despliegue de
hardware y software redundante, el uso de sistemas tolerantes a fallas, así como una sólida
estrategia de respaldo y recuperación. (p.119)
Es necesario agregar que, basado en la gestión de la continuidad del negocio según The
Business Continuity Institute (2018) afirmó que:
La gestión de la continuidad de negocio es un proceso de gestión holística que identifica
posibles amenazas a una organización y los impactos en las operaciones comerciales que
esas amenazas, si se realizan, pueden causar, y que proporciona un marco para desarrollar
resiliencia organizacional con la capacidad de una respuesta efectiva que salvaguarde los
intereses de sus partes interesadas clave, reputación, marca y actividades de creación de
valor. (p.7)
Así mismo, el contexto organizacional fue ideal para que algunas empresas adopten
ventajas competitivas, es decir, algunas organizaciones fueron capaces de brindar productos y/o
servicios con características únicas, exclusivas y los cuales fueron permanentes en el tiempo,
además fueron percibidas y valoradas por sus clientes. Como resultado, surgieron diversos
sistemas de gestión, entre ellos: el sistema de gestión de seguridad de la información y el sistema
de gestión de la continuidad del negocio.
Llegados a este punto, los autores (Gomez y Fernández, 2015) afirmaron que:
5
“El sistema de gestión de seguridad de la información (SGSI) es un conjunto de procesos
que permiten establecer, implementar, mantener y mejorar de manera continua la seguridad
de la información, tomando como base para ello los riesgos a los que se enfrenta la
organización”. (p.11)
Además, la (International Organization for Standarization - ISO 22301:2012, 2012) afirmó
que: “El sistema de gestión de continuidad de negocio es parte del sistema de gestión general que
establece, implementa, opera, monitorea, revisa, mantiene y mejora la continuidad del negocio”.
Por lo tanto, es correcto integrar sistemas de gestión que combine estratégicamente los
procesos de una organización en un marco completo, que permita a la organización, funcionar
como unidad por medio de la cohesión de sus objetivos. Es decir, una organización que posea un
sistema integrado se convertirá en un todo unificado, poseedor de características alineadas a único
objetivo: optimizar el rendimiento de toda la organización. En tal sentido, los autores (Karwowski
y Salvendy, 2010) sostuvieron que, “la gestión integrada es relevante para cualquier organización,
independientemente de su tamaño o sector, buscando integrar dos o más de sus sistemas de gestión
en un sistema cohesivo con un conjunto holístico de documentación, políticas, procedimientos y
procesos” (p.962).
Descripción del problema
Vivimos en una sociedad competitiva y global, donde el desarrollo de habilidades

personales y organizacionales se transforman en una herramienta estratégica para afrontar una
difícil y cambiante realidad. Además, el entorno competitivo de las organizaciones es cada vez
más complejo y en ese contexto, todos los días los directivos se ven en la obligación de afrontar
decisiones en base a la planificación de actividades, coordinación y organización, asimismo, ser
vigilantes de la asignación de recursos y por último gestionar, dirigir y controlar los procesos de
la empresa. Las actividades y procedimientos que efectúan las empresas no solo recaen sobre la
calidad del producto final, sino también, sobre la seguridad y la garantía de la continuidad de las
actividades de esta.
Basado en la afirmación de (ISOtools, 2015) sostiene que, “un conjunto de normas
orientadas a ordenar la gestión de una empresa en sus distintos ámbitos establecidos por el
Organismo Internacional de Estandarización (ISO)” y están compuestas de estándares y guías
6
relacionados con sistemas y herramientas específicas de gestión que pueden ser adoptadas por
cualquier tipo de organización. Para una organización optar por la implementación de una norma
ISO, es una decisión muy importante ya que debe adaptar su modelo de negocio a una estructura
definida. Esto puede causar distintas respuestas en la organización siendo el principal reto, cambiar
la cultura organizacional. En el año 2019, la mayor preocupación de las organizaciones en
Latinoamérica respecto a la seguridad fue el acceso indebido, como consecuencia de los
acontecimientos de fuga de información sucedidos en el 2018.
Figura 1. Porcentaje de preocupación de Seguridad de las empresas. Fuente: ESET (2019)
En el Perú, se emitió la Norma Técnica Peruana (NTP) que es básicamente la adaptación

hasta cierto punto de la ISO a la realidad peruana. De ahí se tiene que el 04 de julio de 2018, fue
publicada la NTP-ISO 31000:2018 Gestión del riesgo, así también, el 16 de enero de 2016 aparece
publicada en el diario oficial El Peruano la “Resolución Ministerial 004-2016-PCM donde,
Aprueban el uso obligatorio de la NTP ISO/IEC 27001:2014 Tecnología de la Información.
Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2a.
Edición, en todas las entidades integrantes del Sistema Nacional de Informática”. Se han aprobado
otras normas ISO que benefician el desarrollo organizacional y aseguran un mejor funcionamiento
interna y externamente.
En un reporte emitido por (ESET, 2019) donde recolectó información de más de 3000
participantes profesionales de seguridad y de 13 países latinoamericanos durante el 2018,
evidenciaron que el 61% de las empresas encuestadas sufrió por lo menos un incidente de
7
seguridad, teniendo como la infección más recurrente los códigos maliciosos, asimismo, 2 de cada
5 empresas sufrieron una infección de malware, incluyendo ransomware durante ese año. Sin
embargo, el número de casos de ransomware en las empresas disminuyó en un 10% con respecto
al anterior año.
Si bien es cierto, el uso de la tecnología de la información puede traer consigo muchos
beneficios, también puede causar muchos riesgos imprevistos, los cuales no se encuentran
alineados con las metas corporativas que pueden controlar los riesgos mediante la implementación
adecuada de la tecnología de la información y la definición de Políticas de TI enfocados en los
objetivos de la organización.
Figura 2. Incidentes por país en Latinoamérica. Fuente: ESET (2019)
Para el 31 de diciembre de 2019, según el último reporte trimestral del (Instituto Nacional
de Informática y Estadísitica, 2019), se observa las variaciones de las distintas actividades
económicas que se registraron en ese periodo.
Tabla 1. Reporte Demográfico Empresarial de “Perú: Stock, Altas y Bajas”, Según su Actividad Económica del
Trimestre IV de 2019.
Fuente: Instituto Nacional de Informática y Estadística
Variación
Actividad económica Stock Altas Bajas
Neta
Agricultura, ganadería, silvicultura y pesca 43214 1227 1059 168
Explotación de minas y canteras 16648 588 489 99
8
Variación
Actividad económica Stock Altas Bajas
Neta
Industrias manufactureras 211324 4510 2660 1850
Construcción 88235 3472 1155 2317
Venta y reparación de vehículos 76077 1734 951 783
Comercio al por mayor 262966 8924 4597 4327
Comercio al por menor 849469 17460 6298 11162
Transporte y almacenamiento 166241 5359 3703 1656
Actividades de alojamiento 28862 550 217 333
Actividades de servicio de comidas y bebidas 224302 5951 1806 4145
Información y comunicaciones 57308 920 375 545
Servicios prestados a empresas 270699 6247 2476 3771
Salones de belleza 41018 1121 231 890
Otros servicios 398256 8680 4776 3904
Total 2734619 66743 30793 35950
De la Tabla anterior, podemos rescatar que las actividades con mayor variación neta según
su actividad fueron el comercio al por menor con un total de 11162 empresas de una cifra global
de 849469, seguida por comercio al por mayor con 4327 empresas de una cifra global de 262966,
así también, como los servicios de comidas y bebidas con 4145 empresas de un total de 224302.
Asimismo, (FORTINET, 2020) reportó que, en Perú, “Durante el primer trimestre de 2020,
hemos documentado un aumento del 17% en los virus en enero, un incremento del 52% en febrero
y un alarmante aumento del 131% en marzo en comparación con los mismos meses en el 2019.”
En consecuencia, en el primer trimestre del 2020 el Perú registró un aproximado de 433 millones
de ataques y un total de 9,7 billones de ataques en América Latina y el Caribe.
El Perú, ha avanzado a pasos lentos y de forma reactiva más no preventiva y a razón de
ello, ha sido posible saber de algunas amenazas como: TeslaCrypt, CryptoWall, Cerber, Crysis y
Locky los cuales fueron las más propagadas, sin olvidar al infame WannaCry entre otros tipos de
códigos maliciosos. Pero el ransomware fue más allá y meses después apareció el Diskcoder, el
cual, es utilizado por cibercriminales mediante los exploit EternalBlue. La gestión de la seguridad
sigue sin estar demasiado atendida, lo que representa un problema serio en las organizaciones. El
9
Perú ocupó hasta el 2017 el puesto 8 en cantidad de organizaciones que adoptaron certificadas en
ISO 27001 SGSI en América.
Tabla 2. Reporte de los países certificados por ISO/IEC 27001 en América (2015-2017). Fuente: ISO Standards
Development
N° AÑO 2015 2016 2017

1 Estados Unidos 1247 1115 1517
2 México 104 221 315
3 Canadá 94 133 276
4 Brasil 94 117 170
5 Colombia 103 163 148
6 Chile 32 49 64
7 Argentina 52 88 57
8 Perú 22 32 43
9 Uruguay 21 28 31
10 Costa Rica 4 21 21
11 Jamaica 0 10 11
12 Ecuador 6 11 8
13 Panamá 0 2 8
14 Bolivia 1 6 7
15 Guatemala 2 5 6
16 Nicaragua 0 0 6
17 Islas Caimán 0 0 5
18 República Dominicana 4 8 5
19 Surinam 0 0 5
20 El Salvador 1 4 4
21 Venezuela 1 8 4
22 Honduras 0 5 3
23 Bahamas 0 0 2
24 Barbados 0 1 2
25 Paraguay 0 0 2
26 Trinidad y Tobago 1 2 2
27 Belice 1 1 1
28 Bermuda 0 0 1
29 Puerto Rico 0 2 1
TOTAL 1790 2032 2725
10
Y con respecto a la cantidad de organizaciones certificadas en ISO 22301 Sistema de
Gestión de Continuidad de Negocio ocupa el puesto 7.
Tabla 3. Reporte de los países certificados por ISO/IEC 22301 en América (2015-2017). Fuente: ISO Standards
Development
N° AÑO 2015 2016 2017

1 Estados Unidos 57 165 211
2 Brasil 5 22 22
3 México 2 8 22
4 Chile 6 9 11
5 Canadá 3 7 8
6 Costa Rica 1 3 8
7 Perú 1 1 4
8 Colombia 0 3 3
9 Argentina 0 1 1
10 Bolivia 0 0 1
11 Ecuador 0 1 1
12 Guatemala 1 2 1
13 Antillas Neerlandesas 0 0 1
14 Puerto Rico 0 1 1
15 Surinam 0 0 1
16 Venezuela 0 1 1
17 República Dominicana 0 0 0
18 Granada 0 0 0
19 Jamaica 0 0 0
20 Trinidad y Tobago 1 0 0
TOTAL 77 224 297
La implementación de un Sistema de Gestión de Continuidad de Negocio aporta en la

respuesta de los incidentes y la recuperación de las actividades del negocio en el menor tiempo
posible. Tanto la ISO 27001 cómo la ISO 22301 gestionan riesgos que posiblemente atenten contra
la organización en sus procesos y/o actividades. En consecuencia, según el diario (Gestión, 2019)
en su artículo relacionado con los datos analizados por GFK publicó que, en el primer semestre
del 2019, “la facturación en ventas online creció 44.2% con respecto al mismo periodo del año
11
pasado, por encima de Argentina (43%), Chile (25.3%) y Brasil (7%), que tienen más tiempo en
el mercado del e-commerce”, este atisbo, constituyó un paso importante para el país ya que generó
evidencia de cómo el Perú está avanzando en entornos digitales como es el ejemplo de compras
por internet.
Paris & Asociados, es una organización mayorista y minorista de productos principalmente
alimenticios, inició sus operaciones en Lima en el año 2017, con el compromiso de ser el mejor
aliado de organizaciones y de los hogares peruanos, que necesiten obtener productos variados y a
los mejores precios. Sin embargo, en el contexto actual la empresa optó por ampliar sus servicios
y atender por medio del delivery a sus clientes, teniendo al inicio muchos problemas y pérdidas
económicas ya que se comprobó la existencia de una brecha de seguridad que puso en graves
problemas a la organización, a pesar de ello, la empresa continuó sus actividades logrando
recuperarse tiempo después. Este significativo incremento en las ventas ha permitido conseguir
importantes ganancias y la vez gran responsabilidad de atención a sus clientes, como lo es, agilizar
sus servicios, mejorar el control y facilitar la distribución de los mismos. No obstante, también la
pone en una situación vulnerable a posibles ataques informáticos en sus diferentes formas, más
aún como se pudo observar, no se tiene una cultura y estrategias de seguridad de la información lo
suficientemente madura que garantice la protección de los activos de información.
Debido a lo anterior, se puede observar que las organizaciones reconocen y toman
conciencia de la importancia que tiene la información para realizar sus actividades operativas y
sobre todo para la toma de decisiones. Es por ello que, la información ha pasado a ser protagonista
en el escenario empresarial, como activo estratégico en organizaciones que pretenden conducirse
en busca de eficiencia y calidad en los productos y servicios que brinda, por esta razón realizan
importantes inversiones en Tecnologías de Información y Comunicaciones (TICs).
Asimismo, se puede rescatar que las organizaciones que posean o no un entorno virtual son
susceptibles a ataques de cualquier índole, siendo uno de los principales y con mayor impacto en
la organización, son los ataques a los activos de información. En consecuencia, tomando esta
referencia y nuestro contexto actual, en el cual se vive una incertidumbre general en distintos
sectores debido a las pérdidas económicas ocasionadas por la pandemia, surgen pasivos que por
mucho tiempo fueron ignorados, tales como, las brechas en la seguridad de la información y la
ausencia de un plan de contingencia que garantice la continuidad de las actividades, entre otros.
12
Definición del problema
Problema principal
¿Cómo puede influir la integración de Sistemas de Gestión de Riesgos, Seguridad de la

Información y de Continuidad del Negocio en la resiliente atención de los procesos de la empresa
Paris & Asociados S.A.C.?
Problemas secundarios
1. ¿Cuál es el alcance del diseño de la estructura de alto nivel que integra los estándares
ISO aplicados en la empresa Paris & Asociados S.A.C.?
2. ¿Cómo afecta la implementación de controles de seguridad y un plan de continuidad
en la empresa Paris & Asociados S.A.C.?
3. ¿Cuál es el impacto de utilizar la metodología PHVA en el desarrollo de la integración
de los sistemas de gestión?
4. ¿Cómo se identifica la brecha de seguridad existente en los procesos de la empresa
Paris & Asociados S.A.C.?
Objetivos
Objetivo general
Diseñar e implementar un modelo de Sistema Integrado de Gestión enfocado en un concepto

multiestándar que integre las ISO 22301, ISO 27001 e ISO 31000, la cual permita orquestar los
procesos de la organización garantizando la seguridad de la información, continuidad del negocio
y la gestión de riesgo de la empresa Paris & Asociados S.A.C.
Objetivos específicos
A continuación, se listará algunos objetivos específicos relacionados con el desarrollo del

preste estudio:
1. Integrar los sistemas de gestión ISO 22301, ISO 27001 e ISO 31000 basados en una
estructura de alto nivel que logre de manera efectiva su diseño.
2. Proponer e implementar de forma adecuada los controles de seguridad y el plan de
continuidad de las actividades del negocio.
13
3. Desarrollar la mejora continua del proyecto basado en la metodología PHVA para la
adecuada gestión de riesgo.
4. Determinar el análisis del riesgo correspondiente y la utilización adecuada de los controles
relacionados a la seguridad de la información.
Justificación de la investigación
Justificación teórica
La investigación planteada, busca mediante la aplicación de conceptos básicos de

integración, la unificación de Sistemas de Gestión que estén basados en estándares internacionales
cómo lo son, el SGSI, el SGCN y el SGR. Asimismo, se podrá investigar el nivel de cohesión que
existe entre estos Sistemas de Gestión con el sólo objetivo de abarcar la seguridad y la continuidad
de las actividades de la empresa.
Justificación práctica
La Investigación busca hacer de la empresa Paris & Asociados S.A.C. una organización
robusta ante cualquier evento que desencadene un riesgo para el negocio. Básicamente, es
inevitable estar ajeno ante amenazas que puedan vulnerar el negocio y sus actividades, esto se
puede evitar, controlar o mitigar mediante la implementación de Sistemas de Gestión que cubran
estas debilidades. Con esto es posible abordar de manera preventiva distintos flancos de la
organización y proponer estrategias que se encarguen de las vulnerabilidades.
Alcances y limitaciones
Alcance
El alcance del proyecto abarca el diseño de un SIG que involucra la Gestión de la Seguridad
de la información y la Continuidad del Negocio para la empresa Paris & Asociados S.A.C., el cual
está enfocado en abordar la 1era. fase de la implementación contemplada en la etapa de planeación.
Por consiguiente, será necesario recurrir a la referencia estandarizada correspondiente, la NTP ISO
27001 y la norma ISO 22301. La elaboración de la tesis no será responsable de los costos de
implementación que pudiese llegar con el mismo.
14
Limitaciones
La investigación no pretende cambiar los procesos actuales de negocio sin permiso o

previas pruebas de éxito en el proceso, más si recomendar un cambio progresivo que se adapte a
los cambios del mercado. De la misma forma, se podrá realizar la primera etapa de la planeación,
sin embargo, no contempla al 100% las etapas de implementación, revisión y mantenimiento y
mejora del SIG, debido a lo extenso de su desarrollo.
Propuesta de la tesis
La presente tesis da cuenta del propósito holístico que tiene como objetivo integrar el
sistema de gestión de seguridad de la información y el sistema de gestión de la continuidad del
negocio mediante un sistema de gestión de riesgos, en concordancia con los estándares
correspondientes, dicho de otra manera, la seguridad de la información y sus componentes estarán
alineados a la ISO/IEC 27001:2013, “la cual es el estándar internacional emitido por la
Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la
información en una empresa”, por otra parte, la continuidad del negocio y sus componentes estarán
basados en la ISO/IEC 22301:2015, la cual también es un estándar internacional y refiere cómo
gestionar la continuidad del negocio, por último, estará alineado bajo el adecuado análisis de
riesgos de estos dos sistemas de gestión por medio del sistema de gestión de riesgos basado en la
ISO 31000:2018, el cual también es un estándar internacional y refiere cómo gestionar
adecuadamente los riesgos por medio de sus Principios, Marco de Referencia y Procesos,
asimismo, servirá de nexo entre ellos y utilizará un enfoque multisectorial en el análisis de riesgos.
En suma, se podrá realizar la integración a través de una estructura de alto nivel (Anexo SL), con
la cual se podrá estandarizar la integración. Resultado de esta integración obtendremos un sistema
de gestión integrado, capaz de poseer características de protección de la información y continuidad
de sus procesos ante cualquier interrupción.
Organización de la tesis
Capítulo 1 – Introducción: Se enfocará en describir la problemática existente y el

planteamiento del problema. Asimismo, la descripción de los objetivos y el alcance relacionado al
proyecto.
15
Capítulo 2 – Marco Teórico: Se basará en el desarrollo conceptual de los ejes de estudio
relacionados en el presente proyecto. De igual manera se analizará el significado particular de la
terminología asociada.
Capítulo 3 – Estado del Arte: Se hará referencia a los distintos estudios relacionados con
el tema actual del proyecto. De la misma forma, se podrá analizar y extraer valor de la información
seleccionada, así como también, se establecerá la metodología o técnica a utilizar en el proyecto.
Capítulo 4 – Aporte Teórico: Se podrá establecer la definición y fundamento de la solución
de forma conceptual, recurriendo a estructuras o modelos para su desarrollo.
Capítulo 5 – Aporte Práctico: Se logrará desarrollar el diseño y estructura utilizando
herramientas tecnológicas. De la misma forma se podrá especificar detalles relacionados a la
implementación de la solución.
Capítulo 6 – Análisis de Resultados: Se logrará interpretar los resultados obtenidos en base
al sistema propuesto, metodología establecida, diseño propuesto o las buenas prácticas adoptadas
en la organización.
16
Capítulo II:
Marco Teórico
Sistema de gestión de seguridad de la información - SGSI
En el contexto actual muchas empresas son susceptibles a vulnerabilidades, amenazas y

riesgos, las cuales provienen de una elevada variedad de fuentes. En respuesta, las organizaciones
han adoptado diversas medidas de seguridad a lo largo de su existencia, sin embargo, mientras la
tecnología avanzaba, las amenazas también (a un grado exponencial), resultado de esta creciente
amenaza, muchas empresas han sido sometidas a: vandalismo, accesos indebidos, virus, ataques,
denegación de servicios y a desastres naturales. Algunas organizaciones que lograron resguardar
su información y garantizar su existencia por un periodo indeterminado de tiempo, iniciaron un
alineamiento estandarizado basado en normas internacionales las cuales puedan garantizar su
permanencia en el mercado y asegurar la información almacenada en los diversos procesos de
negocio. Por otro lado, otras organizaciones, crearon sus propias directivas o siguen vulnerables.
En este sentido, la Organización Internacional de Normalización (ISO) afirmó que:
Para proteger la información, se tiene que realizar la implementación, el mantenimiento y
la mejora de las medidas de seguridad, con fin de garantizar que, cualquier tipo de
organización consiga sus objetivos y además garantice que cumple con la legislación,
aumentando el prestigio y la imagen de la organización. (ISO,2017)
El estándar ISO 27001 es una norma internacional publicada por la ISO, esta refiere una
propuesta para gestionar la seguridad de la información en una organización. De igual forma,
contiene los requerimientos del SGSI. Pertenece a la familia de la ISO/IEC 27000.
La ISO/IEC 27000 describe la visión general y el vocabulario de los sistemas de gestión
de seguridad de la información asimismo define los términos y definiciones asociadas. Este
estándar se puede ser aplicado a todo tipo de empresa sin discriminación de rubro o tamaño.
17
Figura 3. Interrelación en la familia de estándares ISO/IEC 27000.

Fuente: Journal of Information Security, Georg Disterer (2013)
El estándar ISO 27001 especifica formalmente los requisitos de un SGSI y define a estos
como un conjunto de actividades que están relacionadas con la gestión de los riesgos de la
información. Por otro lado, a menudo los SGSI son considerados por las organizaciones como
simples listas de verificación, políticas o procedimientos que limitan muchas cosas. Es incorrecto
partir de esta premisa ya que no ayudan a construir un verdadero SGSI.
Los beneficios de obtener la certificación ISO 27001, Según (Bureau Veritas, 2011) afirmó
que:
• “Establece una metodología de gestión de la seguridad más clara y estructurada.
• Reduce el riesgo de pérdida, robo o corrupción de nuestra información.
• Permite a los clientes tener acceso a la información, pero a través de medidas de
seguridad.
• Identifica los riesgos existentes y establece controles de los mismos que son revisados.
• Genera confianza en los clientes y socios estratégicos garantizando la calidad y
confidencialidad.
18
• Programa auditorías internas y externas que apoyan periódicamente la identificación de
las debilidades del sistema y las áreas a mejorar.
• Se integra con otros sistemas de gestión (ISO9001, ISO14001, entre otros)
• Se genera un Plan de Continuidad de las actividades relacionadas con el negocio después
de la materialización de incidentes de gravedad.
• Garantiza la Conformidad con la normatividad vigente sobre información personal,
protección de datos, propiedad intelectual y otras.
• Promueve de forma positiva la imagen de la empresa.
• Genera confianza y establece las reglas claras en la organización.
• Descenso en los costos e incremento en las ventas debido a la mejora de los procesos
internos y la propuesta de servicios ofrecidos a los clientes.
• Aumenta la motivación y satisfacción de las personas que trabajan en la organización.”
A nivel mundial las cifras de países que obtienen la certificación de la ISO 27001 va en
aumento, esto se puede observar en el siguiente cuadro donde se muestra el top 10 de los países
certificados en el mundo. De acuerdo con ello, se logra observar que China es el país que más ha
invertido en el certificar sus procesos u organizaciones bajo la ISO 27001.
N° PAIS CERTIFICADOS SITIOS

1 China 8,356 8,357
2 Japón 5,245 16,848
3 Reino Unido 2,818 5,251
4 India 2,309 5,052
5 Italia 1,390 2,513
6 Alemania 1,175 2,095
7 Países Bajos 938 1,644
8 España 938 2,322
9 Estados Unidos 757 2,210
10 Turquía 729 1,202
Nota. Recuperado de https://isotc.iso.org
19
Asimismo, en América estas cifras albergan al Perú en el puesto 8 del ranking de las
organizaciones con certificaciones en la ISO 27001, es importante rescatar que cada año la cifra
de organizaciones certificadas aumenta siendo positiva, pero todavía es lenta frente al número de
empresas que existen el Perú. Es evidente que no todas deberían estar certificadas, sin embargo,
existe un gran mercado donde se puede propagar la concienciación sobre la implementación de un
SGSI.
Mediante una publicación en un diario peruano, Alegría (2018) publicó que: “en el 2017,
la economía peruana mostró un crecimiento relativamente débil, de 2,5%. Sin embargo, esto no
fue impedimento para que la dinámica de creación de empresas en el país se acelerase. De acuerdo
con el Instituto Nacional de Estadística e Informática (INEI), al final del año pasado existían
2’303.662 firmas en el Perú”.
A nivel mundial, se puede evidenciar un sesgo entre continentes y es evidente que la gran
mayoría de certificaciones se incline hacia donde el sistema empresarial tiene mayor relevancia
como lo es en Asia, países como Japón y China lideran la cantidad de certificaciones obtenidas.
Tabla 5. Reporte Total de Certificados por ISO/IEC 27001 por Continentes (2015-2017)
CONTINENTE 2015 2016 2017

África 129 224 301
América 1790 2033 2728
Europa 10446 12532 14605
Asia 15169 18501 21867
TOTAL 23005 27536 33290
En suma, la ISO 27001 es la mejor opción de mejora continua adaptable a cualquier

organización en el ámbito de la seguridad de la información. Es por ello, que desde ya hace un
tiempo las organizaciones fueron amparando sus necesidades en esta norma, con resultados
óptimos ya que uno de los principales objeticos del estándar ISO 27001 es el de analizar y gestionar
los riesgos, basándose en los procesos de la organización. El análisis y la gestión de riesgos se
basan en los procesos y necesidades de la organización, esta a su vez evalúa y controla los
diferentes riesgos a los que se encuentra sometida. La globalización es un proceso
multidimensional que ofrece ventajas y desventajas, en el que las organizaciones tienen que
competir contra mercados voraces y a su vez luchar contra amenazas existentes e inminentes. Hoy
20
en día, las organizaciones que obtuvieron la certificación bajo la norma ISO 27001 han aumentado,
producto de ello, se incrementó las actividades de protección de la información en las
organizaciones, se elevó la seguridad de la información, se realzó la credibilidad en su marca e
imagen y se acrecentó la confianza ante a sus clientes y proveedores.
De acuerdo con la publicación del autor Santos Llanos D. (2017) en su investigación,
“Establecimiento, implementación, mantenimiento y mejora de un sistema de gestión de seguridad
de la información, basado en la ISO/IEC 27001:2013, para una empresa de consultoría de
software”, concluyó que el enfoque en la implantación de un SGSI varía de acuerdo con el objetivo
y al rubro de la empresa. Además, se logra desprender una tendencia hacia la: Metodología de la
gestión de los riesgos, regularización estandarizada de los planes y la confirmación del
cumplimiento. En las recomendaciones que menciona destaca el reto más común y dificultoso ante
el desarrollo de un SGSI, el cual es, compromiso y apoyo de la dirección, otro es una visión de
desarrollo, asimismo, el diseño estratégico de una metodología ágil que pueda ser aplicada en la
creación de un SGSI.
Basado en la investigación realizada por el autor Seclén Arana (2016), en su tesis acerca
de los “Factores que afectan la implementación del sistema de gestión de seguridad de la
información en las entidades públicas peruanas de acuerdo con la NTP-ISO/IEC 27001”, segmenta
los factores en tres niveles:
“Nivel Estratégico: el cual se enfoca en una Política Estratégica de Estado en Seguridad de
la Información.
Nivel Operativo: se basa en una gestión eficiente de la seguridad de información,
el apoyo institucional de la Alta Dirección, la adecuada organización del SGSI y la
aplicación efectiva de la normatividad en seguridad de información.
Nivel Técnico: se centra en el desarrollo integral institucional de la Norma Técnica
Peruana, asimismo, de tener un presupuesto nacional y la adecuada especialización de los
profesionales en SGSI como prioridad.”
Estos factores son los más comunes en la determinación de los fracasos en la
implementación de un SGSI, es por ello que, es necesario cubrir las vulnerabilidades que se
mencionan.
21
De acuerdo con la norma ISO 27001, a continuación, se presenta la distribución de las
Cláusulas incluidas en la presente norma.
Figura 4. Ciclo de Deming - ISO 27001
Sistema de gestión de la continuidad del negocio - SGCN
La norma ISO 22301 especifica formalmente los requisitos de un SGCN proporcionando

un marco que permite identificar posibles amenazas que puedan interrumpir las actividades de la
organización y a su vez fortalecer la capacidad de respuesta de esta. La norma se basa
principalmente en dar alcances para garantizar la continuidad de negocio, evitando posibles
impactos disruptivos que vulneren el servicio que brinda la organización.
Asimismo, define los requisitos necesarios para la planificación, el establecimiento, la
implementación, la operación, el monitoreo, la revisión, el mantenimiento y la mejora continua de
un sistema de gestión, a través de la documentación, protección y reducción de las probabilidades
de ocurrencia de incidentes, de la misma forma, apoya en la preparación y capacidad de respuesta
ante cualquier evento e incidentes disruptivos. Del mismo modo que el estándar ISO 27001, la ISO
22301 posee requisitos genéricos y pueden ser aplicables a cualquier tipo de empresa, sin importar
el rubro o tamaño. Dependiendo únicamente del entorno operativo y la complejidad a la que está
sometida la organización.
Con relación a la certificación de la ISO 22301 el autor Sotres (2012), menciona los
siguientes beneficios:
22
• Se generan políticas y procedimientos de acuerdo con los criterios, la estructura y la
metodología reconocida internacionalmente.
• Facilita una estructura enfocada a la continuidad del negocio.
• Se establece la periodicidad de las auditorías basado en criterios internacionales.
• Se instaura una cultura de compromiso con la continuidad del negocio, extendiéndose
en toda la organización.
• Se genera un impulso positivo en la imagen de la organización, de manera interna y
externa, generando credibilidad y confianza.
A nivel mundial las cifras de países que obtienen la certificación de la ISO 22301 va en
aumento, esto se puede observar en el siguiente cuadro donde se muestra el top 10 de los países
certificados en el mundo. De acuerdo con ello, se logra observar que la India es el país que más ha
invertido en el certificar sus procesos u organizaciones bajo la ISO 22301.
N° PAIS N° ORGANIZACIONES
1 India 1678
2 Reino Unido 700
3 Japón 216
4 EE.UU. 211
5 Emiratos Árabes Unidos 153
6 República de Corea 148
7 Singapur 121
8 Grecia 84
9 España 82
10 China 73
Asimismo, en América estas cifras albergan al Perú en el puesto 7 del ranking de las
organizaciones con certificaciones en la ISO 22301, es importante rescatar que cada año la cifra
de organizaciones certificadas aumenta siendo positiva, pero todavía es lenta frente al número de
empresas que existen el Perú. Es evidente que no todas deberían estar certificadas, sin embargo,
existe un gran mercado donde se puede propagar la concienciación sobre la implementación de un
SGCN por los beneficios que este trae consigo.
23
A nivel mundial, se puede evidenciar un sesgo entre continentes y es evidente que la gran
mayoría de certificaciones se incline hacia donde el sistema empresarial tiene mayor relevancia
como lo es en Asia y Europa, países como la India y Reino Unido lideran la cantidad de
certificaciones obtenidas.
Tabla 7. Reporte Total de Certificados por ISO/IEC 22301 por Continentes (2015-2017)
CONTINENTE 2015 2016 2017

África 55 64 68
América 77 224 297
Europa 791 1068 1212
Asia 2210 2497 2704
TOTAL 3133 3853 4281
Según la investigación realizada por los autores (Soto y Céspedes, 2016) sobre el “Modelo
de un Sistema de Gestión de Continuidad del Negocio para Microfinanciera basado en la ISO/IEC
22301 y en la Circular G-139-2009 de la SBS”, da evidencias y resultados positivos en la
implementación del modelo propuesto. La constante mejora y evaluación del plan propuesto
garantizará la continuidad de las actividades y los procesos que se relacionan en la organización.
Además, en la investigación del autor (Delgado, 2015) acerca del “Diseño y Propuesta de
una Metodología para la Implementación de un Sistema de Gestión de Continuidad del Negocio
basado en la Norma ISO/IEC 22301:2012”, nos menciona que, sin importar el tamaño de la
empresa, rubro o tipo de organización, deberían implementar un SGCN como proceso sistemático
y ordenado.
Ahora, de acuerdo con el autor (Castro, 2014) en su propuesta de “Diseño de un Sistema
de Gestión de Continuidad de Negocios (SGCN) para la RENIEC bajo la óptica de la norma
ISO/IEC 22301”, muestra un valor agregado, el cual es resultado de la implementación de un Plan
de Continuidad del Negocio para responder ante cualquier evento inesperado relacionado con un
desastre en la organización.
De acuerdo con la norma ISO 22301, a continuación, se presenta la distribución de las
Cláusulas incluidas en la presente norma.
24
Figura 5. Ciclo de Deming - ISO 22301
Sistema de gestión de riesgos - SGR
El estándar ISO 31000 especifica formalmente los requisitos de un SGR con el fin de
ayudar a las organizaciones en evaluar sus riesgos. El SGR puede ser aplicado en el sector privado
o público, así también, se puede aplicar en todas las organizaciones ya sea públicas o privadas,
incluyendo la planeación, operaciones de gestión y procesos de comunicación. Esta norma ha sido
realizada para mejorar las técnicas de gestión y garantizar la seguridad y protección en todo
momento en el lugar de trabajo, también, participa en la mejora de los sistemas de gestión ya que
toma en cuenta el contexto interno y externo de la organización, incluyendo el comportamiento
humano y los factores culturales.
A continuación, se muestra la relación de los componentes que intervienen en la propuesta
de la norma ISO 31000:
25
Figura 6.
Principios, Marco de Referencia y Procesos de la ISO 31000
Para la Organización (Norma Internacional ISO 31000:2018 [ISO31000], 2018) afirmó

que:
“Los principios descritos proporcionan orientación sobre las características de una gestión
del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.
Asimismo, estos principios deberían habilitar a la organización para gestionar los efectos
de la incertidumbre sobre sus objetivos”.
De la misma forma, de acuerdo con lo propuesto por la Organización (ISO31000, 2018)
afirmó que:
“El propósito del marco de referencia de la gestión del riesgo es asistir a la organización
en integrar la gestión del riesgo en todas sus actividades y funciones significativas. La
eficacia de la gestión del riesgo dependerá de su integración en la gobernanza de la
organización, incluyendo la toma de decisiones. Esto requiere el apoyo de las partes
interesadas, particularmente de la alta dirección”.
Consecuentemente, de acuerdo con lo propuesto por la Organización (ISO31000, 2018)
afirmó que:
26
“El proceso de la gestión del riesgo implica la aplicación sistemática de políticas,
procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento
del contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo.
También, el proceso de la gestión del riesgo debería ser una parte integral de la gestión y
de la toma de decisiones y se debería integrar en la estructura, las operaciones y los
procesos de la organización. Puede aplicarse a nivel estratégico, operacional, de programa
o de proyecto”.
Al implementar un SGR, la organización podrá ser capaz de mejorar la eficiencia de las
operaciones, gobierno y reputación, al mismo tiempo que minimiza las pérdidas que pueden ser
ocasionadas.
De acuerdo con la publicación realizada por la organización (BSIGROUP, s.f.), la
implementación de un SGR tiene los siguientes beneficios:
• “Mejora proactivamente la eficiencia y gobernanza.
• Desarrolla la confianza de las partes interesadas en el uso de sus técnicas de riesgo.
• Aplica los controles de sistemas al análisis de riesgo para reducir las pérdidas.
• Mejora el desempeño y la fiabilidad del sistema de gestión.
• Responde al cambio efectivamente y proteger su negocio conforme crece.”
Para la Institución (Escuela Europea de Excelencia, 2018), la evaluación de riesgos según
ISO 31000 debe tener en cuenta los siguientes factores:
• ¿Quién o qué, son los generadores de los riesgos?
• ¿Cuáles son las causas de estos eventos?
• ¿Cuáles son las amenazas?
• ¿Cuáles son las oportunidades?
• ¿Cuáles son las fortalezas y debilidades?
• Identificar el contexto interno y externo (y sus modificaciones).
• Establecer los indicadores generales de identificación y valoración de los riesgos.
• Identificar los activos y los recursos de la organización.
• Reconocer las dificultades en el acceso a la información.
• Resolver razonablemente los mitos, dudas y suposiciones de las partes interesadas.
27
Sistema de integrado de gestión
El concepto global de un SIG está relacionado con la interoperabilidad de los sistemas que
pertenezcan a la organización, el grado de compatibilidad entre estos sistemas y la madurez de los
procesos de la organización. Por otro lado, es posible conceptuarlo como una herramienta que hace
posible la integración de datos y los procesos de una organización en un sistema integral.
En la actualidad, es posible la integración de distintos sistemas de gestión ya que poseen
características de compatibilidad estandarizadas. Para nuestro caso las normas ISO poseen el
Anexo SL como estructura integradora de sistemas de gestión. Por lo tanto, es ideal para la
integración del SGSI, SGCN y SGR ya que contemplan intenciones similares, estructuras
semejantes y terminología relacionada. Además, la utilización de un sistema integrado de gestión
simplifica el desarrollo, mantenimiento y utilización de varios sistemas de gestión.
De acuerdo con la investigación de los autores Navarro et al. (2016) afirmó que:
“La implementación de un SIG debe cumplir los requisitos establecidos por la
normatividad legal vigente, posteriormente determina la importancia de la dirección dentro
de la implementación del programa, lo que es vital en la creación de un proceso de gestión
de calidad e inocuidad, pues a esta área se le atribuirá la responsabilidad de operar el
sistema integrado”.
En conclusión, es posible afirmar que un SIG basado en el SGSI, en el SGCN y el SGR se
enfoca en garantizar la confidencialidad, integridad y disponibilidad de la información, asegurando
la continuidad de los servicios que brinda la organización.
Elaboración de glosarios y términos
• Activo: es cualquier información o elemento relacionado con el tratamiento de esta.

• Alcance: es el ámbito sometido a estudio, evaluación o tratamiento en la organización.
• Amenaza: es la causa potencial de un incidente no deseado el cual posiblemente
ocasione daños en la organización.
• Análisis del riesgo: es el proceso que comprende la naturaleza del riesgo mediante la
estimación, evaluación y tratamiento de riesgos.
• Autenticidad: es la propiedad de afirmar lo que es.
• Confidencialidad: es la propiedad de no poner en disposición información privilegiada.
28
• Control: Medida por la que se modifica el riesgo.
• Desastre: es la materialización de un evento accidental, de proveniencia natural o
intencional que interrumpe las actividades de una empresa.
• Disponibilidad: es la propiedad de accesibilidad y utilidad de los recursos cuando lo
requiera una entidad autorizada.
• Evento: es la ocurrencia o cambio de un conjunto particular de circunstancias.
• Impacto: es el valor relacionado a la perdida por parte de la empresa al ocurrir un
incidente.
• Integración de sistemas: es la cohesión efectiva de 2 o más sistemas.
• Probabilidad: evento que ocurra algo.
• Riesgo: incertidumbre sobre los objetivos o metas organizacionales
• Resiliencia: es la capacidad de superar los eventos adversos y poseer la capacidad de
tener un desarrollo exitoso a pesar de circunstancias desfavorables.
• Vulnerabilidad: es la debilidad identificada en la organización que puede ser explotada
por una o más amenazas.
Referencias conceptuales y teóricas
Anexo SL: estructura de alto nivel
Es un documento el cual ha tenido gran impacto en las organizaciones, ya que brinda

adaptación y compatibilidad entre los sistemas de gestión, de igual forma, resuelve en gran medida
posibles duplicidades y confusión en el proceso de implementación de los sistemas de gestión.
En conclusión, el Anexo SL hace que las normas tengan:
1. Títulos y cláusulas idénticas en una estructura común (HLS – Estructura de Alto Nivel).
2. Vocabulario central genérico.
3. Facilidad de integración con otros sistemas de gestión.
29
Figura 7. Anexo SL: High Level Structure
La estructura presentada es semejante a las ya mencionadas en las cláusulas de la norma

ISO 27001, ISO 22301 e ISO 31000, esto se debe a su grado de compatibilidad e integración entre
estándares; en el futuro las normas poseerán la misma estructura de referencia, terminología y
definiciones, es importante mencionar que no es posible realizar modificaciones a la estructura del
Anexo SL, sin embargo, es posible añadir sub-clausulas y textos específicos relativos a cada área.
A continuación, se describen algunos beneficios de su utilización:
• La integración de Sistemas de Gestión facilita el mantenimiento, utilización y mejora
de los distintos sistemas de gestión que alberga la organización.
• Genera claridad en la comprensión, la integración y optimización de los procesos,
asimismo, ayuda a establecer puntos clave en la organización.
• Implica la optimización del trabajo como un resultado propio de la integración y
adecuada evaluación sus procesos.
• Facilita la eficacia y la interpretación de las normas, esto se evidencia cuando existen
más de una certificación en la organización.
De acuerdo con la estructura del Anexo SL, es posible graficar el despliegue sus Cláusulas
en alto nivel:
30
Figura 8. Modelo de un Sistema Integrado de Gestión basado en procesos, según Anexo SL. Fuente: ISOTools
A través del ciclo de PDCA del Anexo SL se propone una estructura que, evita la
duplicidad y errores ya que integra los procesos y procedimientos claves de los estándares
integrados. De igual forma, garantiza la mejora continua y la adecuada gestión de los riesgos. A
continuación, se grafica la propuesta de cláusulas y sub-clausulas enfocada en la integración de
los SGSI, SGCN y SGR:
Figura 9. Ciclo de Deming - Anexo SL: HLS

31
Matriz de gestión de riesgos
La matriz de riesgos es un documento mediante el cual se logra identificar las actividades

que realiza una empresa, el impacto que ocasionaría la materialización de un riesgo y la frecuencia
con la que pueda darse. Asimismo, es una herramienta flexible, que permite documentar los
procesos y evaluar el riesgo de manera integral.
Para garantizar su eficacia y utilidad, una matriz de riesgo:
• Debe ser flexible,
• fácil de elaborar y consultar,
• debe permitir realizar un diagnóstico objetivo de la totalidad de los factores y
• ser capaz de comparar proyectos, áreas y actividades.
Para lograr elaborar una matriz de riesgo, es necesario:
A. Determinar las actividades principales del negocio y los riesgos propios de aquellas.
Estos riesgos pueden o no ser inherentes a la propia actividad de la empresa, asimismo,
los factores o riesgos relacionados pueden ser más relevantes que otros, por lo que es
necesario establecer una prioridad.
B. Medir las probabilidades de que el riesgo ocurra, así como las consecuencias de este.
Es decir, se debe establecer una clasificación donde se establezca la probabilidad de
que un riesgo ocurra. Esta clasificación puede ser cualitativa o cuantitativa. Además de
la probabilidad de que ocurran los riesgos, es necesario incluir el impacto que puede
tener sobre la empresa.
C. Se debe representar la matriz de riesgos; esta suele hacerse en forma de tabla, lo que
facilita su visualización. Básicamente, es la representación de lo antes validado sobre
la valoración de los riesgos y la apreciación de los controles implementados. Asimismo,
se logra calcular el riesgo residual por medio de indicadores relacionados con el grado
de materialización que presenten los riesgos inherentes.
32
Figura 10. Matriz de riesgos - Impacto vs Probabilidad
Análisis de impacto en el negocio (BIA)
Se debe estimar el grado de impacto que podría sufrir la organización como consecuencia
de la ocurrencia inesperada de algún incidente o un desastre. Los objetivos del BIA son:
A. Suministrar un soporte que identifique los procesos críticos de las actividades de la
organización.
B. Priorizar los procesos críticos bajo un criterio basado en el impacto.
Adicionalmente, el desarrollo de este análisis del BIA permite estimar los recursos
necesarios para identificar los procesos de la organización, especialmente, aquellos que
representan mayor sensibilidad con relación al tiempo y el impacto. Es por ello qué se utiliza
conceptos de recuperación tales como:
Tiempo Objetivo de Recuperación (RTO), el cual describe el período permitido con
respecto a la recuperación de una actividad o recurso de negocio hasta un nivel aceptable.
33
Figura 11. Descripción gráfica de RTO

Fuente: https://ciberseguridad.blog/conceptos-basicos-de-plan-de-continuidad-de-negocio-rpo-rto-wrt-mtd/
Punto Objetivo de Recuperación (RPO), describe el tiempo del último punto de

restauración que se haya generado, es decir, la tolerancia que el negocio puede permitir para
continuar sus actividades con el último respaldo.
Figura 12. Descripción gráfica de RPO

Fuente: https://ciberseguridad.blog/conceptos-basicos-de-plan-de-continuidad-de-negocio-rpo-rto-wrt-mtd/
34
Figura 13. RPO vs RTO

Fuente: https://www.computing.es/seguridad/opinion/1104573002501/no-tienes-plan-de-
recuperacion-preparate-caos.1.html
Anexo A de la Norma ISO 27001
La ISO 27001 es el único estándar que incluye un anexo en su documentación, el anexo

considera 14 dominios, 35 objetivos de control y 114 controles:
Figura 14. 14 dominios del Anexo A de la Norma ISO 27001

35
Cláusulas de la Estructura de Alto Nivel
Cláusula 4: Contexto de la Organización.

En la presente clausula, la organización fijará los puntos que desea resolver, planteará
cuales son los impactos que trae consigo y logrará obtener los resultados esperados. En resumen,
trata acerca de la necesidad de entender a la organización y su contexto, asimismo, reconocer las
debilidades y expectativas de las partes interesadas y finalmente fijar el ámbito de aplicación del
sistema de gestión.
Cláusula 5: Liderazgo.
En la presente clausula, la organización enfatiza el rol del liderazgo, mediante funciones y
responsabilidades de la alta dirección, generando con ello, una imagen de compromiso desde su
publicación. Entre las responsabilidades establecidas está la de, comunicar a todos los miembros
de la organización acerca de la importancia del sistema de gestión y lo indispensable de su
implicación.
Clausula 6: Planificación.
En la presente clausula, la organización establece criterios de prevención orientados a los
sistemas de gestión, asimismo, trata los riesgos y oportunidades que afronta la organización,
también, considera el qué, quién, cómo y cuándo, corresponde realizar las acciones que conduzcan
al logro de los objetivos de la organización.
Cláusula 7: Soporte.
En la presente clausula, la organización abarca aspectos tales como recursos, competencia,
conciencia, comunicación o información documentada, los cuales forma parte del soporte
necesario para cometer las metas de la organización”
Cláusula 8: Operación.
En la presente clausula, la organización planifica y controla los procesos internos y
externos, asimismo, gestiona las modificaciones que se produzcan y las consecuencias no deseadas
de los mismos.
36
Cláusula 9: Evaluación del desempeño.

En la presente clausula, la organización realiza el seguimiento, medición, análisis y
evaluación de la eficacia del sistema de gestión a través de la evaluación del desempeño, asimismo,
se ejecutan auditorías internas, la evaluación y la revisión por parte de la organización.
Cláusula 10: Mejora.

En la presente clausula, la organización realizar acciones de mejora a los procesos,
productos, servicios y en general al sistema de gestión, asimismo, identifica y evalúa las no
conformidades.
Ciclo de Deming
La norma ISO/IEC 27001 y la ISO/IEC 22301 siguen un enfoque basado en procesos,

asimismo, comparten una naturaleza de mejora continua y una estructura por la cual es posible
integrarlas. De acuerdo, a la definición del Ciclo de Deming, este posee 4 etapas fundamentales
las cuales consiste en Planificar – Hacer – Verificar – Actuar (PHVA), debido esta estructura
cíclica de mejora y la capacidad de adaptación que esta posee, se propone como un componente
estratégico en la propuesta de implementación de un Sistema Integrado de Gestión. A
continuación, se muestra las fases y sus actividades para la aplicación de la mencionada
metodología:
Figura 15: Ciclo de Deming.

Fuente: Propia
37
De acuerdo con el párrafo anterior, se propone la implementación de un SIG ya que, dentro
de sus diversos beneficios, este se encuentra basado en un ciclo de mejora continua, por ende, la
implementación debe seguir un proceso sistémico para su adecuado desarrollo. Esta metodología
consta de 4 procesos y el detalle de estos deben ser cumplidos para su constante evolución.
1. Planificar: La primera fase es la planificación, en esta se establece la política,
objetivos, procesos y procedimientos del Sistema Integrado de Gestión, los cuales en
su conjunto garanticen la seguridad de la información y la continuidad del negocio con
el objetivo de alcanzar resultados coherentes con las políticas y objetivos de la
organización.
2. Hacer: La segunda fase es de acción y en esta etapa se define el plan de tratamiento
de los riesgos, en el cual se identifica las actividades, responsabilidades, recursos y
prioridades durante la gestión de los riesgos en el SIG. Este plan de tratamiento de
riesgos busca lograr los objetivos de la organización a través de los controles
identificados, así como también la asignación de recursos que sean necesarios, las
responsabilidades que demanden y las prioridades establecidas. Se debe crear
programas de formación y concienciación basados en la seguridad de la información
y continuidad de negocio para el personal. Asimismo, se debe gestionar todos los
recursos básicos para que el SIG se mantenga.
3. Verificar: La tercera fase se enfoca en realizar la evaluación, revisión y medición. En
esta etapa se efectúa un rastreo periódico a los procesos, conforme a lo determinado
en la etapa de Planificar, se analizan los hallazgos con el fin de tomar acciones de
mejoramiento y a su vez reportar los resultados alcanzados.
La organización debe realizar la revisión periódica de la efectividad del SIG el cual
debe cumplir con lo establecido en los estándares ISO 27001 e ISO 22301, asimismo,
se debe realizar el correcto monitoreo y verificación, con el fin de identificar a tiempo
los errores o evidencias que hayan sido generadas en los resultados obtenidos. La
utilización de indicadores es crucial en la detección y prevención de incidentes de
seguridad, ya que genera un resultado posterior a su análisis.
4. Actuar: La cuarta fase es de acción, en esta etapa se concretan las actividades de
mejora o también, acciones correctivas que contribuyan en una mejora constante,
38
además se promueve la mejora de procesos mediante la implementación de acciones
correctivas.
Asimismo, la organización debe implementar periódicamente las mejoras que hayan
sido identificadas, paralelamente, debe realizar las acciones preventivas y correctivas
que sean requeridas por los estándares ISO 27001 e ISO 22301 en el SIG.
Las mejoras deben coincidir con el alcance y los objetivos establecidos por la
organización, asimismo, se debe comunicar a toda la organización las acciones de
mejora que se hayan tomado.
39
Capítulo III:
Estado Del Arte
Selección de metodología
La metodología es un conjunto sistémico y disciplinario de pasos, los cuales se siguen con

el objetivo de realizar acciones propias de una investigación. Para nuestra investigación la
metodología nos brindará un panorama a seguir, asimismo, dependerá de la adecuada elección para
lograr el éxito de la integración del SGSI, el SGCN y el SGR. A continuación, se analiza las
características principales de cada metodología relacionada con la investigación:
COBIT® 2019
Es un marco de trabajo (framework) enfocado en el Gobierno de la información y

tecnologías de la información (EGTI). La Asociación Internacional (ISACA, 2018), define:
“Los componentes para crear y sostener un sistema de gobierno: procesos, estructuras
organizativas, políticas y procedimientos, flujos de información, cultura y
comportamientos, habilidades e infraestructura. Asimismo, define los factores de diseño
que deberían ser considerados por la empresa para crear un sistema de gobierno más
adecuado. También, trata asuntos de gobierno mediante la agrupación de componentes de
gobierno relevantes dentro de objetivos de gobierno y gestión que pueden gestionarse
según los niveles según los niveles de capacidad requeridos”.
Asimismo, COBIT® 2019 por su lado tiene principios relacionados a un sistema de
gobierno y por otro, principios relacionados a un marco de gobierno. Los seis (06) principios de
un sistema de gobierno para administrar la información y la tecnología corporativa son:
40
Figura 16. Principios de Sistema de Gobierno

Fuente: Marco de referencia COBIT 2019
1. Cada organización requiere de un sistema de gobierno que sea capaz de satisfacer las
necesidades de las partes interesadas, asimismo, crear valor en el uso de la I&T.
2. El sistema de gobierno para la I&T de la organización se crea en base a diversos
factores que pueden ser de distinto tipo y que funcionan conjuntamente de forma
integral.
3. Un sistema de gobierno debería ser dinámico. Es decir que, debe tomar en cuenta los
posibles cambios e impactos que se produzcan en el EGIT.
4. Un sistema de gobierno debe diferenciar entre actividades de gobierno y gestión, y
estructuras.
5. Un sistema de gobierno tiene que ser capaz de adaptarse, esto por medio de la
utilización de un conjunto de factores de diseño.
6. Un sistema de gobierno debe abarcar toda la organización, enfocándose en el
procesamiento de TI.
Asimismo, los tres (03) principios para un Marco de Gobierno son:
41
Figura 17. Principios para un Marco de Gobierno

Fuente: Marco de referencia COBIT 2019
1. Un Marco de Gobierno debería basarse en un modelo conceptual que identifique los

componentes principales y la relación entre ellos.
2. Debería estar abierto (permita la incorporación de nuevo contenido) y flexible.
3. Debería alinearse con los principales normativas, marcos y regulaciones.
MAGERIT V3
Es una metodología práctica de análisis y gestión de riesgos, fue creada por el Consejo
Superior de Administración Electrónica del Gobierno de España (Ministerio de Hacienda y
Administraciones Públicas, 2012); implementa el Proceso de Gestión de Riesgos dentro de un
marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos
derivados del uso de tecnologías de la información. Los objetivos en los que se enfoca pueden ser
directos e indirectos:
Objetivos directos:
1. Tener una Concienciar a los responsables de la información en las organizaciones
acerca de la existencia de riesgos y la necesidad de gestionarlos.
2. Brindar un método sistemático para analizar los riesgos derivados de la utilización de
las tecnologías de la información y comunicaciones (TIC).
3. Apoyar en el descubrimiento y planificación del tratamiento oportuno de los riesgos
para mantenerlos en control.
42
Objetivos indirectos:
1. Alistar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación.
Figura 18. Marco de trabajo para la gestión de riesgos de ISO 31000

fuente: https://administracionelectronica.gob.es/pae_Home/dam/jcr:fb373672-f804-4d05-8567-
2d44b3020387/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf
CRAMM (CCTA Risk Analysis and Management Method)
Es una metodología utilizada para el análisis de los riesgos fue desarrollada por el Central
Communication and Telecommunication Agency (CCTA) perteneciente al gobierno del Reino
Unido, ha sido utilizado principalmente en Europa, su enfoque está dirigido a grandes
organizaciones. Así mismo, Cramm se divide en tres etapas:
Etapa 1: Establecer los objetivos de seguridad.
Etapa 2: Realizar el análisis de riesgos.
Etapa 3: Identificar y seleccionar salvaguardas.
Cramm puede definirse como una Metodología para el análisis y gestión de riesgos bajo
un enfoque de evaluación mixta garantizando la confidencialidad, integridad y disponibilidad de
los sistemas de información. Además, Cramm presenta los conceptos de modo formal, atribuyendo
una secuencia basada en una estructura y bajo un régimen disciplinario estricto, garantizando así
los principios de protección. Algunas características de la metodología son:
• Realiza un análisis de riesgos cualitativo y cuantitativo.
43
• Se aplica a todo tipo de sistemas y redes de información y puede ser utilizada en todas
las etapas del ciclo de vida del sistema de información.
• Puede ser utilizada de acuerdo con el contexto, con el fin de identificar la seguridad
también los requisitos de contingencia.
• Reconoce y selecciona los activos de TI.
• Califica el impacto empresarial.
• Distingue y califica amenazas y vulnerabilidades, asimismo, valora los niveles de
riesgo y determina los posibles controles requeridos.
• Relaciona el análisis y la evaluación de los riesgos.
UNE 66177:2005
La norma UNE 66177:2005 fue creada por la entidad certificación de sistemas de gestión
AENOR, asimismo, mediante su publicación (Asociación Española de Normalización y
Certificación [AENOR], 2005): "Sistemas de gestión. Guía para la integración de los sistemas de
gestión", la mencionada publicación proporciona directrices con el fin de desarrollar, instaurar y
evaluar el proceso de unificación de los sistemas de gestión, de igual manera, hace hincapié el
desarrollo de esta en organizaciones que hayan decidido integrar total o parcialmente dichos
sistemas en busca de una mayor eficacia.
De lo anterior, las normas UNE son documentos técnicos de carácter voluntario elaboradas
por el organismo de normalización AENOR. Este organismo a través de (AENOR, 2005) define
las Normas UNE como una: “especificación técnica de aplicación repetitiva o continuada cuya
observancia no es obligatoria, establecida con participación de todas las partes interesadas, que
aprueba AENOR, organismo reconocido a nivel nacional e internacional por su actividad
normativa”.
En tal sentido, mediante la publicación en (AENOR, 2005) se contempla la integración
como eje fundamental, ya que es: “la acción y efecto de aunar, dos o más políticas, conceptos,
corrientes, etc., divergentes entre sí, fusionándolos en una sola que las sintetice”.
Asimismo, según la norma UNE, el proceso de unificación tiene como finalidad “la
definición e implantación en condiciones controladas de un plan de integración desarrollado
específicamente en función de los objetivos, contexto y nivel de madurez de la organización”.
44
Planear – Hacer – Verificar – Actuar (PHVA)
De acuerdo con la publicación realizada por el autor (Deming, 1989), el PHVA es un:
“Enfoque de gestión simple e iterativo para probar cambios en procesos o soluciones a
problemas, e impulsar su optimización continua a través del tiempo. El ciclo PHVA deriva
de los conceptos del estadounidense Walter Shewhart, posteriormente fue a dado a conocer
a través de William E. Deming; el enfoque que se conoce en la actualidad como ciclo
PHVA, está diseñado para completarse y repetirse en reiteradas ocasiones. Su diseño y su
lógica pueden observarse en otros enfoques de gestión de calidad relacionados con la
producción de la época, como Lean Manufacturing, Kaizen y Seis Sigma.”
En tal sentido, de acuerdo con el autor (Deming, 1989), existen 4 pasos: planear, hacer,
verificar y actuar, a través de los cuales el proceso se realiza de forma lineal y a su finalización,
procede al inicio siguiente de forma cíclica, a continuación, se describen los 4 pasos de acuerdo
con el autor:
“Planear: busca comprender el estado actual y el estado deseado. En pocas palabras, el
propósito de la etapa de planificación es definir tus objetivos, cómo alcanzarlos, y cómo
medir tu progreso hacia dichos objetivos.
Hacer: es el momento para poner a prueba los cambios propuestos inicialmente,
esta etapa debe realizarse a pequeña escala, en un entorno controlado. El objetivo de esta
etapa es recopilar datos e información sobre el impacto de la prueba, ya que esto indicará
las siguientes etapas del proceso.
Verificar: en esta etapa se analiza la información recopilada durante la etapa Hacer
y se la compara con los objetivos y metas originales, el propósito de este paso consiste en
evaluar tu éxito, y qué cosas debes conservar para el siguiente paso del proceso.
Actuar: al llegar al final del ciclo, se debería de haber identificado una propuesta
de cambio para implementar en el proceso. Sin embargo, PHVA se considera un ciclo por
un motivo, ya que los cambios que implementes durante la etapa Actuar no son el final de
tu proceso. Tus nuevos y mejorados producto, proceso o problema resuelto deben sentar
las bases para las siguientes iteraciones del ciclo PHVA.”
El principal objetivo del ciclo es, ser un proceso simple, directo e intuitivo por medio del
cual, las personas y organizaciones logren adoptar e implementar esta metodología. Ya que, debido
45
a su naturaleza cíclica e iterativa, el PHVA contribuye en la corrección de errores y evita que los
mismos prosperen en el futuro.
Revisión sistemática del estado del arte
De acuerdo con la investigación “Establecimiento, implementación, mantenimiento y

mejora de un sistema de gestión de seguridad de la información, basado en la ISO/IEC 27001:2013,
para una empresa de consultoría de software” del autor (Santos, 2016), sugiere que, el estándar
27001 se complementa con otros estándares de la ISO que explican a mayor detalle cómo se puede
cumplir con sus requisitos, tales como, la ISO 31000:2009 que es referenciada como marco para
el contexto y la gestión de riesgos. Asimismo, referencia a la “ISO 19011:2011 Directrices para la
auditoría de Sistemas de Gestión”, las cuales cuentan con lineamientos más específicos para
auditorías internas. En la investigación, el autor tiene como objetivo desarrollar un Sistema de
Gestión de Seguridad de Información (SGSI) para una empresa de consultoría en desarrollo y
calidad de software, tomando como marco normativo el estándar ISO/IEC 27001:2013, basado en
4 fases: establecer, implementar, mantener y mejora, las cuales son parte de un Sistema de Gestión
de Calidad, también, el autor se enfoca en utilizar metodologías de gestión de riesgos (ISO 31000)
en beneficio de la seguridad de la información. De lo anterior, el autor recomienda, considerar
aquellos estándares que, aunque no son referenciados, forman parte del dominio de algunos de los
requisitos del SGSI.
En base a la investigación del autor (Rázuri, 2019) propone que:
“En el marco de la implementación del sistema de gestión de continuidad del negocio
basado en la norma ISO 22301, se identifican productos y/o servicios más importantes para
la empresa definida en la guía técnica ISO 22317, se determina el grado de criticidad de
los productos y/o servicios, asimismo, se aprecia la interrelación de los procesos críticos y
los productos y/o servicios críticos de la organización, sobre los cuales se implementó todo
el sistema de gestión de continuidad”.
En ese sentido, la investigación tiene como objetivo, implementar un SGCN basado
en el estándar ISO 22301 con el fin de demostrar la capacidad que posee la organización
para continuar sus actividades comerciales ante eventos disruptivos. Por esa razón, en la
46
investigación se utilizó una metodología enfocada en los tipos de impacto descrita en la
Norma Técnica ISO/TS 22317.
Conforme a la investigación del autor (Cabrera, 2017) en su Tesis: “Diseño e
implementación de un sistema integrado de gestión bajo los estándares de la Norma ISO
9001:2015, OHSAS 18001:2007 e ISO 14001:2015 y la evaluación del impacto en la
productividad de la empresa Piteau Associates”, sugiere que, mediante la implementación
de un Sistema Integrado de Gestión elaborado sobre la base del enfoque de mejora
continua, se ha obtenido un incremento del rendimiento permanente de los trabajadores
teniendo como base el análisis de la productividad, en este caso, el autor planteó diseñar e
implementar un Sistema Integrado de Gestión para una empresa consultora de Ingeniería
Geotecnia para que logre aumentar la productividad en la empresa, de acuerdo a las Normas
ISO 9001:2015, ISO 14001:2015 y norma OHSAS 18001:2007. Por lo tanto, la
implementación y congruencia de normas es una decisión exclusiva de cada organización,
sin embargo, se recomienda implementar los cambios en la estructura organizacional,
cuando sea necesario, para asegurar la continuidad de la implementación de los sistemas
de gestión y obtener mejoras en eficiencia y eficacia de los recursos.
47
Benchmarking de las metodologías relacionadas
Tabla 8. Benchmarking comparativo de las metodologías relacionadas con la investigación

48
Del análisis comparativo entre las metodologías, PHVA es la metodología que más se
ajusta en el desarrollo de la tesis, debido a la estructura cíclica y forma sistemática que posee; en
base al análisis también se entiende la mejora continua de la calidad (disminución de fallos,
aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos
49
potenciales. Asegurando así, la adecuada construcción congruente de los sistemas, en un proceso
integral de desarrollo sistémico.
Análisis del estado del arte
Los trabajos revisados nos ayudan a entender con claridad acerca de las metodologías y
herramientas para el adecuado enfoque del SIG, hemos visto cómo la metodología COBIT 2019
se dirige a las necesidades de alto nivel de la empresa, buscando mejorar la orientación general del
negocio a través de los controles de TI y métricas, asimismo, se logra apreciar su relación con
algunas normas, es el caso de la norma ISO 27001, la cual se enfoca en la seguridad de la
información, COBIT 2019 es un mediador que ayuda a conectar a la norma ISO 27001 y otros
marcos de gestión de TI, tales como PMBOK y SEI CMM. Sin embargo, su aplicación está
enfocado a una aplicación de alto nivel en la organización. La continuidad del negocio es un
aspecto crucial en la existencia de la organización, es por ello que se logra identificar componentes
críticos y valorar el impacto que esta sufre con respecto a las interrupciones presentadas.
Igualmente, las investigaciones revisadas acerca de la gestión de riesgos indican que, puede
aplicarse a cualquier tipo de organización independientemente de su tamaño o rubro comercial,
paralelamente, la gestión de riesgos busca minimizar, gestionar y controlar cualquier tipo de riesgo
logrando con ello la integración del Sistema de gestión de riesgos a la estrategia de cada
organización, así como a sus procesos, políticas y cultura. En tal sentido, es apropiado relacionar
que, por medio de la gestión de riesgos existe congruencia con la ISO 27001 (seguridad de la
información), la ISO 22301 (continuidad del negocio), ciberseguridad y en consecuencia las
tecnologías de la información, siendo punto clave para la integración basado en criterios de
semejanza y estandarización.
De acuerdo con las investigaciones de los autores (Santos, 2016), (Rázuri, 2019) y
(Cabrera, 2017), se logra observar claramente la utilización de estándares internacionales para el
desarrollo de soluciones o propuestas de desarrollo para un problema focalizado, manteniendo así,
una estructura en cada solución, para este caso tomamos como referencia a (Cabrera, 2017) quien
unifica estándares en un Sistema Integrado de Gestión, pero ajenos a nuestra iniciativa de solución
propuesta. En tal sentido, y bajo la premisa de integración de sistemas de gestión se propone la
50
utilización de estándares basados en la seguridad de la información, continuidad del negocio y la
adecuada gestión del riesgo.
51
Capítulo IV:
Aporte Teórico
Arquitectura normativa del SIG
La arquitectura de integración utilizada para el SIG está constituida por la ISO 31000
(SGR), la ISO 22301 (SGCN) y la ISO 27001 (SGSI), donde se definen las 10 cláusulas en la
Estructura de Alto Nivel, asimismo, existen 14 dominios y 114 controles que pertenecen al Anexo
A, a continuación, la estructura core del SIG:
Figura 19. Las 10 cláusulas de la Estructura de Alto Nivel
De forma complementaria a la estructura de alto nivel se propone la utilización del Anexo

A, de la norma ISO 27001 el cual contiene una serie controles aplicables según el contexto y el
alcance de la organización, a continuación, se presenta los 14 dominios relacionados a la propuesta
del SIG:
52
Tabla 9. Estructura del Anexo A de la ISO 27001 (14 dominios, 35 objetivos de control y 114 controles)
53
Adicionalmente a la Estructura de Alto nivel y al Anexo A, existen documentos

obligatorios y no obligatorios necesarios para la implementación del Sistema Integrado de Gestión
basado en la ISO 27001 e ISO 22301. A continuación, se mostrará el detalle de los documentos
obligatorios que corresponden de acuerdo con las Cláusulas y Dominios:
54
Tabla 10. Documentación necesaria para la implementación del SIG correspondiente a las Cláusulas utilizadas
en la Estructura de Alto Nivel
55
Tabla 11. Documentación necesaria para la implementación del SIG correspondiente a los Controles del Anexo A
de la ISO 27001
56
Arquitectura práctica del SIG
En el marco de la propuesta, que conviene integrar estándares basados en salvaguardar la

información y garantizar la persistencia de las actividades del negocio, es preciso establecer
criterios de convergencia, tal es el caso de la Gestión de Riesgos, tal como se muestra a
continuación:
Figura 20. Convergencia de los Sistemas de Gestión para el SIG,
Gestión de riesgo: Mediante la gestión del riesgo se establecen mecanismos, controles o

salvaguardas que mitigan el impacto ocasionado por los incidentes, y que contribuye a reanudar
las operaciones en el tiempo mínimo aceptable y, posteriormente, seguir operando con normalidad
a pesar del incidente, garantizando así la continuidad y seguridad de la información en una
organización.
Gestión de TI: se enfoca en la realización de procesos técnicos relacionados con el
hardware y software, asimismo, con la calidad de servicios orientados hacia el cliente, logrando
así, la eficiencia operativa y la capacidad de respuesta a las necesidades emergentes, a través de la
implementación de estrategias y políticas de negocio que sean rápidas y seguras.
Gestión de la Seguridad de la Información: A través de esta gestión, la organización
salvaguarda información relevante frente a distintas amenazas, tanto internas como externas, con
el fin de garantizar el crecimiento de la organización. Además, para lograr la implementación del
SGSI, es necesario conocer acerca de la Gestión del Riesgo para lograr que los riesgos sean
conocidos, asumidos, gestionados y minimizados.
57
Gestión de la Continuidad del Negocio: Por medio de esta gestión, se desarrolla estrategias
de recuperación y atención de respuesta anticipada con el fin de atender impactos potenciales que
amenacen la continuidad de las actividades, asimismo, a través de la gestión de riesgos se logra la
atención de: la respuesta ante emergencias, el manejo de crisis y continuidad de las operaciones, y
los lineamientos para su implementación en función a la ISO 22301.
PHVA: Marco de desarrollo según el contexto de la empresa
Planificar
De acuerdo con esta etapa, la organización debe de seguir un conjunto de actividades en el

marco del cumplimiento de las Normas ISO 27001 e ISO 22301, estas actividades son en parte el
complemento estratégico de la documentación obligatoria y no obligatoria, necesaria para la
implementación del SIG. A continuación, describiremos las actividades que se deben realizar,
elaborar y redactar en el desarrollo de la metodología:
• Determinar el alcance del SIG,
• establecer la política del SIG,
• definir los criterios para la evaluación de los riesgos,
• identificar los riesgos que estén relacionados al alcance determinado,
• analizar y valorar los riesgos encontrados,
• identificar, evaluar y efectuar las opciones de tratamiento,
• optar por controles sugeridos en la norma y/u otros que aplicables,
• alcanzar la aprobación por parte de la alta dirección sobre los riesgos residuales,
• preparar la Declaración de Aplicabilidad – SOA,
• establecer los objetivos del sistema y sus procesos,
• establecer los recursos necesarios para generar y proporcionar resultados de acuerdo
con los requisitos del cliente y las políticas de la organización e,
• identificar y abordar los riesgos y las oportunidades.
Hacer
De acuerdo con esta segunda etapa, la organización debe continuar con actividades
operativas ya establecidas en la etapa anterior, implementando lo planificado. Asimismo, la
58
empresa debe determinar y bridar todos los recursos necesarios para lograr establecer,
implementar, mantener y mejorar el SIG. A continuación, se muestra las actividades que se deben
implementar en el desarrollo de la metodología:
• realizar un plan para el tratamiento de los riesgos,
• implementar un plan operativo y de control, métodos de continuidad y análisis de impacto
empresarial,
• desarrollar los controles seleccionados,
• establecer indicadores de efectividad de los controles,
• efectuar programas de capacitación y concienciación,
• administrar las operaciones y recursos del SIG,
• implementar procedimientos de detección y respuesta a incidentes de seguridad e
• implementar procesos y procedimientos de continuidad para alcanzar los objetivos del SIG.
Verificar
De acuerdo con esta tercera etapa, la organización debe continuar sus actividades mediante
el seguimiento y la medición de métricas aplicables a los procesos y servicios que la organización
brinda. Asimismo, la organización debe ser capaz de analizar constantemente la efectividad del
SIG, en cumplimiento de lo establecido en las normas ISO 27001 e ISO 22301. A continuación,
se muestra las actividades que se deben implementar en el desarrollo de la metodología:
• establecer controles y procedimientos de supervisión,
• revisar periódicamente la eficacia del SIG,
• calcular la efectividad de los controles,
• examinar la evaluación de riesgo periódicamente y verificar el nivel de riesgo residual
permitido,
• efectuar auditorías internas,
• verificar el correcto funcionamiento del SIG e identificar las oportunidades de mejora.
• renovar los planes de seguridad desde los resultados obtenidos y
• garantizar el correcto mantenimiento de los registros de incidentes o actividades que
puedan afectar la eficacia del SIG.
59
Actuar
De acuerdo con esta cuarta etapa, la organización debe continuar sus actividades
concretando las acciones propuestas basado en la evaluación de los resultados de las etapas
anteriores, determinando y seleccionando las oportunidades de mejora e implementando las
acciones que sean necesarias en cumplimiento de las normas ISO 27001 e ISO 22301. A
continuación, se muestra las actividades que se deben implementar en el desarrollo de la
metodología:
• implementar las mejoras identificadas en el SIG,
• utilizar acciones correctivas y preventivas de seguridad para garantizar la continuidad del
negocio,
• comunicar los resultados y acciones tomadas a las partes interesadas y
• garantizar el logro de las mejoras establecidas en los objetivos señalados.
Por último, mediante la ejecución de esta cuarta etapa se culmina un ciclo de mejora,
temporalmente, y se inicia un nuevo ciclo de mejora, cumpliendo lo propuesto por William
Edwards Deming en el ciclo de mejora continua. A continuación, se muestra las etapas del ciclo
de mejora continua basado en las cláusulas de la Estructura de Alto Nivel:
Figura 21. Ciclo de Mejora Continua de acuerdo con las Cláusulas de la Estructura de Alto Nivel
60
Capítulo V:
Aporte Practico
Para lograr el aporte practico en la implementación de un SIG nos basamos en los

estándares de ISOs: 27001,31000 y 22301. Se ha considerado las etapas que corresponden en la
implementación de un sistema basado en PHVA, que a continuación pasaremos a explicar:
Análisis de la solución de la propuesta
Inicio del Proyecto
El 10 de abril de 2020 se inició la construcción del proyecto de implementación del Sistema

Integrado de Gestión que involucra las norma ISO 27001 y la ISO 22301 en la empresa Paris &
Asociados S.A.C. con el fin de proteger la información crítica y la continuidad de las funciones de
la organización en el proyecto, de acuerdo con ello, se elaboró y aprobó el siguiente Project
Charter:
Tabla 12. Esquema del proyecto de implementación del SIG

61
Análisis Costo/Beneficio
Tabla 13. Presupuesto estimado, aplicado al proyecto de implementación del SIG

62
De la tabla anterior se ha obtenido un resultado de 1.74, por lo tanto, el proyecto es

inicialmente rentable, ya que para este caso la Rentabilidad del proyecto tiene la condición de:
El proyecto es Rentables cuando B/C > 1
Asimismo, se puede obtener el tiempo de recuperación de la inversión sostenida para la
implementación del SIG. Para esto, es necesario relacionar: Tiempo(meses)/ (B/C)
El proyecto tiene un tiempo estimado para la recuperación de la inversión de: 7 meses
Recursos utilizados
Los recursos o insumos utilizados en la implementación del SIG son propios o de origen
externo y es determinado de acuerdo con el alcance del proyecto.
Tabla 14. Tipo de recursos utilizados para el desarrollo del proyecto de SIG
TIPO RECURSO ORIGEN

Humano CISO (Chief Information Security Officer) Interno
Humano Analista de Sistema Integrado de Gestión Interno
Capacitación Curso en Sistemas Integrado de Gestión Externo
63
TIPO RECURSO ORIGEN
Capacitación Curso Interpretación y Auditor Interno en SGSI y SGCN Externo
Capacitación Curso de Gestión de Riesgos - ISO 31000 Externo
Software Microsoft Office que incluya Visio / Project Externo
Software Sistemas de Gestión (Intranet) Interno
Hardware Laptop Core i5/i7 – Disco de 1 TB – RAM de 8GB/16GB Interno
Hardware Desktop – Monitor – Mouse Interno
Hardware Proyector Interno
Riesgos del proyecto
Los riesgos son inherentes a los proyectos, por ello es necesario realizar una gestión de
riesgos eficientes con el fin de minimizar su probabilidad e impacto. Los riesgos pueden ser
positivos o negativos. Los riesgos negativos influyen negativamente sobre alguno o varios
objetivos del proyecto, como, por ejemplo:
• Aumento de los costos del proyecto
• Retrasos de proyecto.
• Disminución de calidad.
• Impacto en el medio ambiente.
• Pérdida o daños a personas o propiedades.
• Otros.
A continuación, podremos ponderar los riesgos atribuibles a la realización del proyecto.
Para este caso utilizaremos la siguiente matriz:
Tabla 15. Probabilidad del riesgo aplicado al desarrollo del proyecto de implementación del SIG
64
En la siguiente matriz se podrá evaluar cada riesgo relacionado con la ejecución del
proyecto:
CG: Código.
EI: Estimación del Impacto.
PB: Probabilidad.
TR: Tipo de Riesgo.
PR: Propietario del Riesgo.
OA: Objetivo Afectado.
65
Tabla 16. Matriz de evaluación del riesgo en la ejecución del proyecto

66
67
Tabla 17. Matriz de respuesta o tratamiento del riesgo en la ejecución del proyecto
68
Diagnóstico
En esta primera parte se evaluará la situación actual de la empresa Paris & Asociados
S.A.C. y su relación con normas de seguridad de la información y continuidad del negocio. Para
realizar este procedimiento, es necesario recurrir al Anexo SL.
Tabla 18. Estado situacional de la implementación del Anexo SL del SIG
Asimismo, el diagnostico actual de Controles aplicados de acuerdo con el Anexo A

correspondiente a la ISO 27001 de Seguridad de la Información.
Tabla 19. Estado situacional de la implementación de los Dominios del SIG

69
De acuerdo con la tabla anterior se puede observar un cumplimiento de 48% con respecto
a los controles correspondiente al Anexo A de la Norma ISO 27001.
Desarrollo del caso de implementación
Planear
A. Contexto de la Organización
La empresa Paris & Asociados S.A.C. inició sus actividades el 10 de mayo de 2017
ofreciendo variedad en sus productos tanto al sector público como privado, actualmente cuenta
con 12 sucursales y una oficina central que es utilizada para coordinaciones.
La organización cuenta con un sistema de gestión para las actividades diarias en el cual
registran las ventas, pedidos y compras. Todas las sucursales cuentan con colaboradores
capacitados para realizar una adecuada atención al cliente y tratamiento de los productos. Además,
distribuye productos en gran cantidad a organizaciones del sector público o privado por medio de
contratos. Para conseguir un contrato con esta entidad es necesario realizar la postulación con todas
las características del producto ofertado y esta calificación puede darse de manera física (subasta
pública) o virtual (subasta inversa electrónica), estos dos tipos de concurso entre otros es posible
encontrarlos en el portal de la OSCE donde se publican los distintos concursos a fin de hacer
transparente el proceso de contratación.
La atención por medio de los canales (sucursales) es dada desde las 6 am hasta las 10 pm,
en cambio la atención de contratos es brindada de acuerdo con las coordinaciones o disponibilidad
del cliente. Las compras son realizadas mensual, semanal o diariamente conforme con el stock de
cada local o al pedido realizado por alguna institución. El pago a los proveedores es realizado en
efectivo o por medio de transferencia bancaria a la entrega del producto.
La empresa registra ganancias y se mantiene en alza debido al posicionamiento en precio
frente a sus competidores. Se espera que la organización amplíe su alcance al sur de Lima ya que
las sucursales en su totalidad se encuentran en provincias norteñas de Lima.
B. Misión de la Organización
Proponer una experiencia distinta de atención, trabajo y accesibilidad a productos para
nuestros actuales y futuros clientes.
C. Visión de la Organización
70
Ser la tienda multisectorial con mayor número de establecimientos en el país.
D. Mapa de Procesos de la Organización
El Mapa de Procesos o también conocido como Diagrama de Valor de la Organización
detalla los pilares que intervienen en la entrega de valor. En este mapa se combina la perspectiva
global de la empresa con las perspectivas locales de las áreas respectivas en el que se inscribe cada
proceso. La construcción del mapa de procesos tiene como finalidad consensuar la posición local
y el desempeño concreto de dichos procesos con los propósitos estratégicos de la empresa, por lo
que resulta imprescindible identificarlos y jerarquizarlos en función de su definición específica.
Por lo tanto, el mapa de procesos debe ser conciso y muy claro para obtener una visión general de
todo lo que ocurre en la empresa.
Figura 22: MAPA DE PROCESOS

Fuente: Paris & Asociados S.A.C.
E. Procesos Estratégicos:
PE01. Planeación Estratégica: Herramienta de gestión que permite establecer el quehacer
y el camino que debe recorrer para alcanzar las metas previstas, teniendo en cuenta los cambios y
71
demandas que impone su entorno. Asimismo, se formulan y establecen planes de acción que
conducirán a alcanzar estos objetivos.
PE02. Políticas Financieras: Prospectiva estratégica que tiene la finalidad de plantear las
necesidades de fondos para los años próximos, traducir los planes futuros en programas de acción
concretos a recoger en el presupuesto anual y determinar el posible impacto del entorno en la
empresa, teniendo en cuenta alternativas.
PE03. Políticas Empresariales: Estrategia crucial en la empresa ya que trata de los
principios creados por la dirección y aceptados por todos los integrantes con el objetivo de
conseguir la mejor gestión que permita obtener grandes resultados.
F. Procesos Operativos:
PO01. Gestión de compra: Es un proceso complejo ya que intervienen distintos factores
previos a realizar las compras, esto es, estudiar el mercado, buscar a los mejores proveedores y
conocer las condiciones de calidad en relación con los precios.
PO02. Recepción y control del producto: Para la empresa es una tarea operativa, el ingreso
y recepción de los productos determina el stock disponible a ofertar a los clientes, es por ello que,
la empresa toma mucho cuidado en el registro en la recepción y control de los productos
ingresados,
PO03. Gestión de entrega del producto: La empresa en respuesta a los pedidos realizados
inicia un proceso delicado enfocado en la extensión de la calidad de los productos que oferta, lo
realiza por medio de personal propio y mediante aplicativos de entrega de productos.
PO04. Gestión del inventario y stock: Es un proceso necesario en la empresa debido al
control que esta necesita con respecto a las entradas y salidas de productos, asimismo, es crucial
su adecuado monitoreo ya que dependerá mucho de esto para liberar productos de los almacenes.
PO05. Gestión de venta: Es el proceso que consiste en controlar los pedidos de los clientes
y, además, gestionar los equipos de venta, asimismo implementa estrategias para incrementar el
número de ventas. Esta gestión forma parte del core de una empresa, ya que, si no hay ventas, no
hay dinero.
PO06. Gestión posventa y marketing digital: Se aplican distintas operaciones multicanal
con el fin de enfocar el posicionamiento de la marca y de los productos, en la perspectiva de los
clientes. De la misma manera se aplica con los proveedores y demás socios estratégicos.
72
G. Procesos de Soporte:
PS01. Contabilidad: Proceso que relaciona las cuentas contables y el cumplimiento
tributario de la organización.
PS02. Recursos humanos: Proceso que está relacionado con la administración,
comunicación y compromiso con los colaboradores.
PS03. Atención y mantenimiento: Proceso que está relacionado con la atención de
incidentes, soporte de requerimientos y mantenimiento dentro de la organización.
H. Documentación del Sistema Integrado de Gestión
La estructura y gestión documental del Sistema Integrado de Gestión tiene como objetivo,
coordinar toda la documentación generada en el proyecto de forma sencilla, con control de
versiones y organizada según las normas de referencia.
La estructura documental del Sistema Integrado de Gestión se plasmará mediante una
pirámide que se basa en la ISO 27001 y la ISO 22301:
Figura 23. Estructura documental para el Sistema Integrado de Gestión.

1. Documentos de Nivel 1:
Manual de Seguridad: Por analogía con el manual de calidad, aunque el término se usa
también en otros ámbitos. Es el documento que inspira y dirige todo el sistema, es el que expone
y determina las inspecciones, alcance, objetivos, responsabilidades, políticas y directrices
principales, etc., del Sistema Integrado de Gestión.
73
Procedimientos: Son documentos en el nivel operativo, que aseguran la realización eficaz
de la planificación, operatividad de los procesos relacionados a la continuidad del negocio y
control de los procesos de seguridad de la información.
Instrucciones, checklists y formularios: Son documentos que describen cómo se realizan
las tareas y las actividades específicas relacionadas con la seguridad de la información y la
continuidad de los procesos de negocio críticos.
Registros: Son documentos que proporcionan una evidencia objetiva del cumplimiento de
los requisitos del Sistema Integrado de Gestión; están asociados a documentos de los otros tres
niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
I. Control de la documentación del Sistema Integrado de Gestión
La implementación de un SIG implica la correcta elaboración y recopilación de la
Documentación, la cual garantice la confidencialidad, integridad y disponibilidad de la
información correspondiente al sistema. Estos documentos que son generados deben establecer,
documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias
para la organización.
J. Información documentada del SIG
La documentación debe poseer un control adecuado y eficaz, todos estos documentos
deben ser identificados y distribuidos en formato digital o físico, garantizando la disponibilidad y
acceso en el momento que se necesite. Además, estos documentos necesitan ser revisados y
admitidos con el fin de garantizar que se encuentran acorde con lo establecido en las normas. La
información que se espera establecer, revisar y mejorar son las siguientes:
Cláusula 4:
• Alcance del Sistema Integrado de Gestión
Cláusula 5:
• Política del Sistema Integrado de Gestión.
Cláusula 6:
• Metodología de evaluación y tratamiento de riesgos.
74
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgo.
• Objetivos del Sistema Integrado de Gestión.
Cláusula 7:
• Definición de roles y responsabilidades de seguridad.
• Registros de formación, habilidades, experiencia y calificaciones
• Plan de Comunicación.
Cláusula 8:
• Análisis de Impacto de Negocio.
• Resultados de la apreciación (identificación - análisis - evaluación) de riesgo.
• Resultados de tratamientos de riesgo.
• Respuesta a Incidentes.
• Inventario de Activos.
• Procedimientos para responder a incidentes disruptivos.
Cláusula 9:
• Evidencia de los resultados en las actividades de seguimiento y medición.
• Programas de auditoría interna y los resultados de la auditoría.
• Resultados de la Revisión por Dirección.
• Evidencia de las No conformidades.
Cláusula 10:
• No conformidades y el resultado de las acciones correctivas.
K. Procesos para la implementación del Sistema Integrado de Gestión
La implementación del Sistema Integrado de Gestión basado en basado en la seguridad de
la información ISO/IEC 27001:2014 y la continuidad del negocio ISO/IEC 22301 en la empresa
Paris & Asociados S.A.C. será segmentado de la siguiente manera para definir los procesos que se
relacionan en nuestra propuesta:
75
Figura 24. Mapa de Implementación del Sistema Integrado de Gestión.

Fuente: Propia.
L. Análisis de Brechas o Gap Analysis

El desarrollo del Análisis de brechas tiene como objetivo examinar el rendimiento actual o
real de la organización, para luego comparar los resultados con el rendimiento previsto o deseado.
El principio básico del Análisis de brechas es el de encontrar soluciones a problemas que están
limitando el progreso de la organización. Por lo tanto, es necesario saber el estado actual de la
organización con el fin de identificar a grandes rasgos las brechas de seguridad existentes en la
empresa. A continuación, se identificará el estado actual de la organización en referencia a la
seguridad de la información y continuidad del negocio:
76
Tabla 20. Clausula y la documentación requerida
HSL - Cláusulas SIG (ISO 27001 & ISO Documentación Cobertura Plan de
22301) Documentación Actual Actual Acción
requerida
Comprensión de la
4.1 Fase 1:
organización y su contexto. No presenta Nulo
Establecimiento
Contexto de la Organización.
Comprensión de las
4.2 necesidades y expectativas
de las partes interesadas. Fase 1:
No presenta Nulo
Procedimiento para identificación Establecimiento
Contexto de la
4 y lista de requerimientos legales y
Organización.
normativos aplicables.
Determinación del alcance
4.3
del sistema de gestión. Fase 1:
No presenta Nulo
Alcance del Sistema Integral de Establecimiento
Gestión.
4.4 Sistema de gestión.
No presenta Nulo
5.1 Liderazgo y compromiso. Fase 1:
No presenta Nulo
Compromiso de la Alta Dirección. Establecimiento
5.2 Política.
Fase 1:
Política del Sistema Integral de No presenta Nulo
Establecimiento
5 Liderazgo. Gestión.
Roles, responsabilidades y
5.3 autoridades de la
No presenta Nulo
Organización.
Acciones para manejar

6.1
riesgos y oportunidades.
Metodología de evaluación y
Fase 1:
tratamiento de riesgos. No presenta Nulo
Establecimiento
Plan de tratamiento de riesgo.
6 Planificación. Declaración de Aplicabilidad
(SoA)
Objetivos y planes para
6.2
alcanzarlos. Fase 1:
No presenta Nulo
Objetivos del Sistema Integral de Establecimiento
Gestión.
7.1 Recursos. Fase 1:
No presenta Nulo
Establecimiento
7.2 Competencia. Fase 1:
No presenta Nulo
Competencias del personal Establecimiento
7.3 Concientización. Fase 1:
No presenta Nulo
7 Soporte. Establecimiento
7.4 Comunicación.
Fase 1:
Comunicación con las partes No presenta Nulo
Establecimiento
interesadas.
Fase 1:
7.5 Información Documentada No presenta Nulo
Establecimiento
77
HSL - Cláusulas SIG (ISO 27001 & ISO Documentación Cobertura Plan de
22301) Documentación Actual Actual Acción
requerida
Planificación y control Fase 1:
8.1 No presenta Nulo
operativo. Establecimiento
Fase 1:
Informes posteriores a las pruebas. No presenta Nulo
Establecimiento
Resultados del análisis del impacto Fase 1:
No presenta Nulo
en el negocio. Establecimiento
Resultados de la evaluación de Fase 1:
No presenta Nulo
riesgos. Establecimiento
Resultados del tratamiento de Fase 1:
No presenta Nulo
riesgos. Establecimiento
Procedimientos de la continuidad Fase 1:
No presenta Nulo
del negocio. Establecimiento
Procedimientos de respuesta a Fase 1:
No presenta Nulo
incidentes. Establecimiento
8 Operación. Decisión sobre si los riesgos e
Fase 1:
impactos se deben comunicar No presenta Nulo
Establecimiento
Externamente.
Comunicación con las partes
interesadas, incluido el sistema Fase 1:
No presenta Nulo
nacional o regional de Establecimiento
asesoramiento de riesgos.
Registros de información
importante sobre el incidente, Fase 1:
No presenta Nulo
medidas Establecimiento
adoptadas y decisiones tomadas.
Procedimientos para respuesta Fase 1:
No presenta Nulo
ante incidentes disruptivos. Establecimiento
Procedimientos para restaurar y
Fase 1:
reiniciar actividades a partir de las No presenta Nulo
Establecimiento
medidas temporales
Monitoreo, medida,
9.1 Fase 1:
análisis y evaluación. No presenta Nulo
Establecimiento
9.2 Auditoría.
Evaluación del Fase 1:
Programa (s) de auditoría interna y No presenta Nulo
9 desempeño Establecimiento
resultados de las auditorías
9.3 Revisión del sistema.
Fase 1:
Evidencia de los resultados de las No presenta Nulo
Establecimiento
revisiones de gestión
M. Comprender las necesidades y pretensiones de las partes interesadas.

Se debe identificar a las partes interesadas y los requisitos adecuados para abordar la
implementación del SIG.
78
Por ende, a continuación, se muestra de forma general a las partes interesadas del proyecto
de implementación del SIG:
Figura 25. Requisitos para la implementación del SIG y las responsabilidades de las partes interesadas
N. Establecer el Alcance del SIG

El SIG contempla el siguiente alcance de acuerdo con los criterios establecidos por la
organización:
79
Tabla 21. Descripción del alcance en la implementación

80
81
O. Liderazgo y compromiso del SIG
La gerencia debe manifestar explícitamente el liderazgo y compromiso con relación al SIG,
asegurando que se establezca la política, los objetivos, la integración de los requisitos, los recursos
necesarios, comunicando la importancia, consiguiendo los resultados previstos, dirigiendo y
apoyando a las personas del equipo, promoviendo una mejora continua y apoyando a otros roles
pertinentes de la dirección del SIG alineados con la dirección estratégica,
P. Política del SIG
Paris y Asociados S.A.C. es una empresa con un compromiso social muy marcado, que se
preocupa por sus clientes, por sus empleados, por su comunidad y por su entorno, y se compromete
en la medida de lo posible a promover, actuar, apoyar o ayudar en una causa social, en una causa
para el bien común.
Por ello, la gerencia ha adoptado una Política de Seguridad de la Información y
Continuidad del Negocio, para asegurar la protección de la información y la continuidad de las
actividades en la prestación de los servicios que se ofrece:
1. Nuestra empresa apuesta en proteger los recursos de información y tecnológicos, de
amenazas internas o externas, deliberadas o accidentales con el fin de asegurar el
cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y
confiabilidad de la información.
2. Además, garantizar la continuidad de los sistemas de información, prevenir y
minimizar riesgos de daño y asegurar el eficiente cumplimiento de sus objetivos
estratégicos.
3. Así también, cumplir los requisitos fundamentales para la integración de los sistemas
de gestión de la organización.
Tabla 22. Política de Calidad en la organización
Política Objetivo Indicador Meta Actividades Responsable

A. Protección de la Valor de Elaborar un análisis y
información basado en Confidencialidad valoración de los activos,
Encargado de la
confidencialidad, Integridad confirmando su grado de
90% Unidad de
integridad y Disponibilidad Confidencialidad,
Sistemas
disponibilidad de la (Bajo, Medio, Integridad y
información. Alto) Disponibilidad.
B. Continuidad de los Número de Análisis de reportes de
Encargado de la
sistemas de Ataques 80% ataques.
Administración
información ante
82
Política Objetivo Indicador Meta Actividades Responsable
posibles eventos Análisis de medidas
disruptivos que tomadas ante los ataques.
intenten vulnerar la Plantear simulacros de
seguridad. atención a eventos
inesperados.
C. Adoptar una manera Grado de Establecimiento de
efectiva de protección adaptabilidad al políticas y controles.
de la información y cambio. Concientización de las Encargado de
continuidad del 95% mejoras a lograr. Recursos
negocio, mediante Compromiso de mejora. humanos
normativas aplicadas
en la organización.
Q. Roles y responsabilidades del SIG

a. Comité del SIG: es la junta conformada por el encargado de la Unidad de
Sistemas, el encargado de la Administración y el encargado de Recursos
humanos; con las siguientes responsabilidades:
• Implantar, revisar, autorizar e informar sobre la política y los objetivos de
seguridad de la información en conformidad con la continuidad de los
servicios propios del negocio y la relevancia de su cumplimiento,
garantizando su compatibilidad con el plan estratégico de la organización.
• Asegurar que los requisitos del SIG estén integrados a los procesos de la
empresa, concretando todo esto, en procedimientos y políticas del SGSI y
SGCN.
• Asegurar la disponibilidad de los recursos necesarios para implementar el
SIG.
• Liderar e impulsar una estrategia enfocada en las personas, con el fin de
apalancar su contribución en la eficacia del SIG.
• Promover la mejora continua de los procesos del SIG.
• Examinar el SIG de manera continua (mínimo 2 vez al año), con el fin de
asegurar una correcta toma de decisiones y acciones.
• Establecer roles específicos y responsabilidades en relación a seguridad de
información y continuidad del negocio.
83
• Inspeccionar los resultados que sean producto de las evaluaciones de los
riesgos y posteriormente aprobar el adecuado tratamiento de los riesgos que
se hayan identificado, asimismo, se deberá justificar aquellos riesgos que no
serán tratados (aceptados).
• Revisar los resultados e incidentes encontrados en la auditoria del SIG y
definir las acciones correctivas que sean necesarias.
b. Oficial de Seguridad de la Información (CISO): es el director de seguridad
de la información. Básicamente es un rol desempeñado a nivel ejecutivo y su
función principal es la de alinear la seguridad de la información con los
objetivos de negocio. A continuación, algunas de sus funciones:
• Comunicar a la Alta Dirección acerca del progreso del SIG.
• Generar el seguimiento adecuado de la documentación del SIG.
• Unificar los resultados del SIG.
• Gestionar las auditorías internas y externas del SIG.
• Impulsar la capacitación y concientización del personal.
• Liderar mejoras del SIG.
• Gestionar los acuerdos en los niveles de servicio.
• Asegurar que los activos son utilizados para los propósitos destinados.
c. Propietario del Riesgo: Los propietarios del riesgo son las personas o
entidades que tienen la responsabilidad y la autoridad para gestionar un riesgo.
Es decir, es una persona que quiere y puede gestionar y resolver un riesgo. A
continuación, una de sus funciones:
• Garantizar la implementación de los controles de seguridad,
• ser referente y líder en los procesos de identificación y gestión de riesgos,
• apoyar a los miembros del equipo del proyecto implicados en la gestión de
riesgos,
• gestionar el registro de riesgos y las reuniones periódicas de gestión de
riesgos,
84
• administrar los recursos y el presupuesto orientados a la gestión de los
riesgos.
Hacer
El proceso de integración de las normas ISO de Seguridad de la Información e ISO de

Continuidad del Negocio se logra mediante una adecuada gestión del riesgo, de acuerdo con esta
premisa, la efectiva gestión del riesgo está basada en:
A. Principios: La ISO 31000 posee 8 principios, los cuales forman un proceso efectivo
para la gestión de riesgos. Teniendo como propósito la creación y protección del valor.
A continuación, los principios de la Norma ISO 31000:
Figura 26. Principios de la Norma ISO 31000
B. Marco de Referencia: La ISO 31000 posee 5 componentes, los cuales intervienen en

las actividades y funciones propias de la gestión del riesgo en la organización.
Asimismo, el desarrollo de estos componentes involucra integrar, diseñar,
implementar, valorar y mejorar la gestión del riesgo. A continuación, los componentes
del Marco de Referencia de la Norma ISO 31000:
85
Figura 27. Componentes del Marco de Referencia de la Norma ISO 31000
C. Proceso: La ISO 31000 por medio del proceso de la gestión del riesgo compromete un
conjunto sistémico de políticas, procedimientos y prácticas en las 6 aplicaciones. A
continuación, las 6 aplicaciones integradas en el proceso de gestión del riesgo:
Figura 28. Implementación del Proceso de la Gestión del Riesgo de la Norma ISO 31000
De acuerdo con el escenario propuesto en la Norma ISO 31000, se torna indispensable

en la organización, contar con una efectiva y adecuada gestión del riesgo, esto se logra
86
mediante el esquema propuesto por esta norma, la cual integra 6 aplicaciones en un
conjunto sistémico para la gestión del riesgo:
1. Comunicación y consulta:
De acuerdo con esta aplicación, la organización busca reunir información a
través de diferentes medios para dar a conocer o intercambiar información
basado en hechos propias de la empresa, considerando confidencialidad e
integridad de la información. Con esto, se pretende reunir diversas áreas de
experiencia, garantizar la diversidad apropiada de apreciaciones por medio de
la participación de los líderes de la organización, brindar suficiente
información con el fin de viabilizar el control del riesgo y la toma de decisiones,
asimismo, cimentar una cultura inclusiva con sentido de propiedad entre las
partes interesadas.
2. Alcance, contexto y criterios
Con respecto a esta aplicación, la organización debería definir las aristas que
comprende el alcance y evaluar su entorno (interno y externo), con el fin de
lograr sus objetivos. Asimismo, definir los criterios del riesgo, los cuales
deberán estar alineados con los objetivos de la organización, además de,
identificar la naturaleza y el tipo de riesgo, evidenciar el criterio de medición
que los riesgos tendrían contra la organización, también, se tendría que,
considerar el tiempo y la ubicación relacionados con los riesgos, igualmente,
se debe de identificar la manera en la que se determinará el nivel del riesgo,
por último, se deberá conocer la capacidad de la organización.
3. Evaluación del riesgo
La presente aplicación contiene un conjunto de procesos que identifican, analizan
y valorizan el riesgo, es por ello que la evaluación del riesgo tiene un estudio
sistémico.
i. Identificación del Riesgo: Para este proceso se debe reconocer cuales
son los principales riesgos a los que está expuesta la empresa,
posteriormente, se deben plantear riesgos secundarios que también
87
podrían ocasionar posibles daños a la empresa. En el proceso de
identificación del riesgo se sugiere formular las siguientes preguntas:
• ¿Cuál es el área que puede ser afectada por el riesgo X?
• ¿Cómo lo afecta?
• ¿Cuáles son las consecuencias del área y a la organización?
• ¿Cuál es la probabilidad de que ocurra?
• ¿Qué consecuencias traerá?
• ¿Es posible su prevención?
• ¿Qué estrategia se debe poner en marcha?
ii. Análisis del Riesgo: posterior a la identificación de riesgos, en este
proceso se deberá comprender la naturaleza del riesgo y sus
características conteniendo, el nivel del riesgo, asimismo, esto implica
considerar factores como: la eficacia de los controles existentes, la
probabilidad de los eventos y de las consecuencias, como también, la
naturaleza y la magnitud de las consecuencias, de la misma forma, la
complejidad y la interconexión, además, los factores relacionados con
el tiempo y la volatilidad, por último, los niveles de sensibilidad y de
confianza. Complementando lo anterior, la organización puede analizar
los riesgos de manera cualitativa o cuantitativa de forma independiente
o combinada, eso va a depender de la decisión de la organización.
iii. Valoración del riesgo: en este proceso se hace un benchmarking de los
resultados obtenidos con el fin de determinar las acciones a realizar, las
decisiones producto de la valoración de los riesgos se deben de tener en
cuenta el contexto, las consecuencias y la percepción de las partes
interesadas. Asimismo, se inicia un procedimiento establecido por la
organización para valorizar los activos y el daño que estos tendrían
debido a la materialización de un riesgo. A continuación, las etapas de
valorización de los riesgos.
1. Determinar los activos relevantes del negocio, mediante: El
acervo de los Activos de Información es la mejor manera de
88
comenzar a trabajar. “Este inventario se deberá mantener
actualizado a lo largo del tiempo, por lo que se deberán realizar
revisiones periódicas y comunicar los cambios. Los activos los
podemos separar en dos grandes grupos: tangibles e intangibles.
Los activos tangibles son aquellos activos materiales que
contienen información, y sobre los que tomaremos medidas
preventivas para protegerlos principalmente de riesgos físicos:
golpes, agua, fuego, etc. Entre los distintos activos tangibles que
encontraremos en nuestra organización, cabe destacar”:
• Equipos informáticos,
• servidores físicos,
• equipos red local,
• periféricos,
• portátiles, tabletas y móviles,
• oficinas e instalaciones,
• personas,
• aplicaciones informáticas,
• sistemas operativos,
• comunicaciones,
• gestores de bases de datos,
• suministros, entre otros.
2. Identificar los potenciales eventos que impacten de forma
positiva y/o negativa sobre los activos de información.
La Valoración del activo de información es importante ya que
cuantifica los activos de información en función del impacto que
podría tener en las siguientes dimensiones: Confidencialidad,
Integridad y Disponibilidad, asimismo, puede ser evaluada a
través de la Autenticidad, Confiabilidad y Trazabilidad. Es
importante fijar criterios objetivos y cuantificables las cuales
ayuden a determinar el valor de cada activo.
89
Asimismo, la valoración de los activos está relacionado con los
conceptos de amenazas y vulnerabilidades, siendo los activos de
información los que directamente sean afectados, a
continuación, se muestra un esquema de lo mencionado:
Figura 29. Activo, amenaza, vulnerabilidad e impacto.

Fuente: INCIBE
Por último, es importante conocer cuan valiosos e importantes

son los activos de la organización, siendo de gran ayuda el
siguiente cuadro; el valor de los activos de la información puede
participar como un factor sobre los resultados del análisis de la
matriz de riesgos, esto debido a su proyección cuantitativa para
las comparaciones.
90
Tabla 23. Valorización del activo de información en la organización
A. Determinar la probabilidad de ocurrencia del evento.

El factor para comprender cual la probabilidad que ocurrencia de un evento se
puede evaluar de acuerdo con la frecuencia con la que estas se manifiestan.
Tabla 24. Probabilidad de ocurrencias
B. Estimar el nivel de impacto en función de la confidencialidad, integridad,

disponibilidad.
91
Tabla 25. Clasificación del impacto

92
C. Estimar el análisis del impacto del negocio.
Cálculo de riesgo: en el marco de trabajo de la gestión de riesgos de la ISO
31000 nos revela que la definición de estos criterios debe estar alineada a la
cultura de la organización, asimismo, debe estar conforme a sus necesidades.
Para esto, se propone la siguiente matriz para el cálculo de riesgo:
Figura 30. Cálculo de Matriz del riesgo
1. Tratamiento del riesgo

El tratamiento del riesgo se enfoca principalmente en la selección y posterior
implementación de las opciones elegidas para abordar el riesgo. Esto implica que:
• Se formule expectativas para el tratamiento del riesgo.
• Se seleccione la alternativa más idónea.
• Se planifique e implemente propiamente el tratamiento de riesgos.
• Se evalúe la efectividad de las acciones implementadas.
93
• Se cuantifique y califique el riesgo residual de acuerdo con su resultado de
aceptable y no aceptable.
• Asimismo, se realice el tratamiento al riesgo residual no haya sido aceptado.
Asimismo, el tratamiento de riesgos contempla facultativamente las siguientes
acciones:
• Aceptar el riesgo, esta medida de tratamiento no adopta ninguna medida que
afecte la probabilidad o el impacto del riesgo, asimismo, si el nivel de riesgo
cumple con los criterios de aceptación de riesgo no va a ser necesario aplicar
controles y este podría ser aceptado, por otro lado, los riesgos relacionados con
corrupción no podrán ser aceptados.
Figura 31. Representación del tratamiento de los riesgos - Aceptar el riesgo
• Evitar el riesgo, aquí se abandonan las actividades que dan lugar al riesgo, es
decir, no iniciar o no continuar con la actividad que lo provoca.
94
Figura 32. Representación del tratamiento de los riesgos - Evitar el riesgo
• Reducir el riesgo, aquí se adoptan medidas para reducir la probabilidad o el

impacto del riesgo, o ambos; por lo general conlleva a la implementación de
95
controles, de modo que el riesgo residual se pueda reevaluar como algo aceptable
para la organización.
Figura 33. Representación del tratamiento de los riesgos - Reducir el riesgo
• Compartir el riesgo, aquí se reduce la probabilidad o el impacto del riesgo

transfiriendo o compartiendo una parte de este. Los riesgos de corrupción se
pueden compartir, pero no se puede transferir su responsabilidad.
Figura 34. Representación del tratamiento de los riesgos - Compartir/transferir el riesgo
• Eliminar el riesgo como prioridad, sin importar el proceso, la actividad o las

circunstancias que lo generan. En el contexto de atención del riesgo no es posible
la eliminación del riesgo ya que relaciona distintos factores para su
96
materialización, sin embargo, al eliminar o descartar un proceso y todo el
contexto que lo rodea, en este escenario si sería posible, ya que el riesgo sería
descartado con el proceso.
• Asumir el riesgo, considerando su posible impacto negativo o caso contrario
signifique una oportunidad.
Sin embargo, en el proceso de tratamiento de riesgos, es probable que surjan
amenazas no contempladas o que para las cuales no haya opciones disponibles. En
este tipo de eventualidades lo adecuado es, identificar y evaluar posibles soluciones.
En el proceso de implementación del plan de tratamiento de riesgos, es importante
recalcar que, se debe identificar con transparencia y precisión el orden en que se
deben implementar las acciones, y la manera en que se integrará con los procesos de
gestión de la organización, todo lo anterior, debe guardar relación con las necesidades
de las partes interesadas. Es por ello que, la información contenida en el plan de
tratamiento de riesgos debe incluir:
• La justificación para la selección de opciones del tratamiento de riesgo,
conteniendo los beneficios esperados.
• Los responsables encargados de aprobar e implementar el plan de tratamiento.
• Las acciones propuestas para el tratamiento.
• Los recursos requeridos, incluyendo los necesarios en caso de contingencia.
• Las métricas relacionadas con el rendimiento del plan de tratamiento.
• El alcance y limitaciones del plan de tratamiento.
• Las acciones requeridas para el monitoreo del plan de tratamiento.
• Los plazos estimados para que se ejecuten y culminen las acciones.
Para nuestro caso, el valor del activo será evaluado de acuerdo con las dimensiones
de confidencialidad, disponibilidad y confiabilidad y los activos con un nivel mayor
o igual al Medio pasará al análisis de riesgo.
97
Tabla 26. Criterios de tratamiento de los riesgos
CRITERIO DE ACEPTACIÓN DEL RIESGO

TRATAMIENTO
NIVEL RANGO IDENTIFICACIÓN
RIESGOS OPORTUNIDADES
La probabilidad de ocurrencia
fluctúa entre lo improbable y lo
Evitar, reducir o eliminar el
muy frecuente, asimismo, el
riesgo, tomando acciones
impacto llega a ser desde lo
adicionales, estimar los
moderado hasta lo irreversible,
RIESGO recursos requeridos. Observar las
considerando que el valor
EXTREMO Implementar en un plazo no oportunidades
cuantitativo producto del
mayor a 3 meses. Evaluar
cotejamiento sea mayor o igual a
opciones de transferencia del
10 y menor o igual a 25,
riesgo de ser posible.
excluyendo lo considerado como
riesgo alto.
fluctúa entre lo raro y lo muy
frecuente, asimismo, el impacto Reducir, compartir o transferir
llega a ser desde lo insignificante el riesgo, tomando acciones
RIESGO hasta lo irreversible, considerando adicionales, estimar los Observar las
ALTO que el valor cuantitativo producto recursos requeridos. oportunidades
del cotejamiento sea mayor o igual Implementar en un plazo no
a 4 y menor o igual a 12, mayor a 6 meses.
excluyendo lo considerado como
riesgo bajo y riesgo moderado.
fluctúa entre lo raro y lo probable,
asimismo, el impacto llega a ser
Asumir o reducir el riesgo,
desde lo insignificante hasta lo
RIESGO tomando acciones adicionales, Observar las
moderado, considerando que el
MODERADO sin costo. Implementar en un oportunidades
valor cuantitativo producto del
plazo no mayor a 12 meses.
cotejamiento sea mayor o igual a 3
y menor o igual a 6, excluyendo lo
considerado como riesgo bajo.
fluctúa entre lo raro y lo normal,
asimismo, el impacto llega a ser Asumir y tolerar el riesgo, se
RIESGO Observar las
desde lo insignificante hasta lo pueden agregar acciones que
BAJO oportunidades
parcial, considerando que el valor no impliquen costo adicional.
cuantitativo producto del
cotejamiento sea menor o igual a 4.
De acuerdo a la estructura establecida en el Proceso de la gestión de los riesgos de la ISO

31000, la propuesta indica principalmente la evaluación (identificación, análisis y valoración) y
tratamiento de los riesgos, esta parte del proceso de la gestión de los riesgos es representada
mediante la matriz de riesgos, en tal sentido, para nuestro caso se ha tomado en cuenta que el riesgo
98
se presente de manera latente en el proceso de gestión de ventas de la organización, el cual afecte
directamente al activo de información - Software de aplicaciones (web - intranet), por lo tanto se
podrá observar a continuación el desarrollo de la evaluación y el emparejamiento de los criterios
asociados a este, asimismo, el tratamiento conveniente de acuerdo a lo establecido por la
organización.
99
Tabla 27. Evaluación y tratamiento del riesgo para el activo Software de aplicaciones (web + intranet) en el Proceso de Gestión de Ventas
100
101
Tabla 28. BIA - Análisis de Impacto en el Negocio en el activo Software de aplicaciones (web + intranet) del Proceso de Gestión de Ventas
102
RTO*: Recovery Time Objective

RPO**: Recovery Point Objective
MTD ***: Maximum Tolerable Downtime
103
2. Seguimiento y revisión
El seguimiento y la revisión de la gestión del riesgo, tiene como finalidad garantizar
progresivamente la calidad y la eficacia del diseño, asimismo, la implementación y
los resultados obtenidos del proceso. La importancia de poseer continuidad en el
seguimiento y revisión radica en el análisis situacional aplicado a los planes de acción
que se han implementado en cada uno de los riesgos y verificar si son los correctos
o no. Es decir que, mediante el monitoreo se podrá entender si la tarea se está
realizando y brindando resaltados positivos o, por el contrario, se deberá realizar
modificaciones para corregir o mejorar la gestión de los riesgos.
3. Registro e informe
De acuerdo con lo anterior, se deberá evidenciar lo planteado y ejecutado, asimismo,
reportar e informar los resultados positivos y negativos por medio de los mecanismos
apropiados. Con ello, se desea:
• Comunicar las actividades de la gestión del riesgo y sus resultados.
• Suministrar información para la toma de decisiones.
• Mejorar las actividades de la gestión del riesgo;
• Participar de la interacción con las partes interesadas, incluyendo a las personas
que tienen la responsabilidad y la obligación de rendir cuentas de las
actividades de la gestión del riesgo.
Verificar
De acuerdo con esta etapa, el desarrollo de la implementación de un Sistema Integrado de

Gestión se basa en la realización de auditorías y revisiones por parte de la dirección. También se
integran en esta fase elementos de monitoreo y seguimiento, tales como, el avance alcanzado de
acuerdo con los objetivos o indicadores que se hayan determinado.
Actuar
Finalmente, en esta etapa de ‘toma de acción’, la organización decide sobre la aplicación

de los conceptos de acción correctiva y preventiva a tomar, o bien la adopción de acuerdos basados
en el análisis, tal como se da en las revisiones realizadas por la dirección. Asimismo, la realización
104
de esta etapa conduce a que la empresa replantee lo planificado y el ciclo continúe sin fin, lo cual
provoca la mejora continua.
105
Capítulo VI:
Análisis de los resultados
De acuerdo con la investigación se considera distintos aspectos para el desarrollo de un

sistema integrado de gestión, teniendo como factores principales integración de estándares basados
en la seguridad de información, continuidad del negocio y la gestión de riesgos, asimismo cuenta
con información sobre entrevistas, encuestas y los resultados de la implementación de las ISOs en
la integración, a continuación, pasamos a describir los resultados obtenidos de acuerdo con los
siguientes análisis:
1. Análisis de resultados sobre el SGSI.
2. Análisis de resultados sobre el SGCN.
3. Análisis de resultados sobre el SGR.
4. Análisis de resultados sobre la arquitectura de integración.
5. Análisis de resultados sobre las encuestas realizadas.
106
Análisis de los resultados sobre el SGSI

Tabla 29. Evaluación y tratamiento del riesgo para el activo Software de aplicaciones (web + intranet) en el Proceso de Gestión de Ventas
107
108
De acuerdo a los resultados obtenidos, la implementación de un SGSI tendría un impacto
beneficioso en la empresa, teniendo en cuenta que el Perú ha iniciado una cultura de
estandarización en diversos ámbitos siendo la seguridad de la información un eje crucial en el
momento de digitalizar los servicios que la empresa entrega de forma interna como externa, por
ello, podemos observar de la información recolectada en la presente investigación que, el Perú
obtuvo 43 certificaciones en este estándar al año 2017. La iniciativa de implementación de un
SGSI trae consigo diversos beneficios, de los cuales el más importante es minimizar los riesgos en
materia de confidencialidad, integridad y disponibilidad, identificando amenazas, vulnerabilidades
e impactos sobre los activos de información garantizando la mejora continua de la seguridad de la
información en la organización. La empresa Paris & Asociados S.A.C. ha optado por incentivar el
desarrollo de la seguridad de la información considerando que, aproximadamente solo el 30% del
personal de la organización posee conocimientos sobre protección de datos y las posibles amenazas
que podrían vulnerar la información de la empresa. De manera análoga, la implementación del
SGSI es adaptable a otros estándares incluyendo consigo el Anexo A, el cual contiene los controles
que serán sustentado de acuerdo con su utilización en la Declaración de Aplicabilidad. Es por ello
que de la tabla mostrada de Evaluación y tratamiento del riesgo para el activo Software de
aplicaciones (web + intranet) en el Proceso de Gestión de Ventas, gran parte de los resultados
obtenidos refieren que este activo dentro de este proceso posee un riesgo moderado con tendencia
a ser alto, es por ello que, al plantear soluciones acerca del riesgo de perder la confidencialidad,
integridad y disponibilidad de la información de la organización, se proponen controles para su
tratamiento, en nuestro caso utilizaremos controles asociados a los dominios de control de acceso
(A.9) y adquisición, desarrollo y mantenimiento de sistemas (A.14).
Por último, al implantar un SGSI de acuerdo con la ISO 27001, se reduce la probabilidad
de que ocurran incidentes relacionados con la información depositada en la organización,
aumentando de este modo la seguridad.
109
Análisis de los resultados sobre el SGCN

Tabla 30. BIA - Análisis de Impacto en el Negocio en el activo Software de aplicaciones (web + intranet) del Proceso de Gestión de Ventas
110
111
De acuerdo con los resultados obtenidos, la implementación de un SGCN también tendría
un impacto positivo en la empresa, considerando que el Perú ha iniciado una cultura de
estandarización en diversos ámbitos siendo la continuidad del negocio un sector poco desarrollado,
prueba de ello, podemos observar de la información recolectada en la presente investigación que,
el Perú obtuvo sólo 4 certificaciones en este estándar al año 2017. La iniciativa de implementación
de un SGCN trae consigo diversos beneficios, de los cuales el más importante es garantizar la
continuidad de su negocio protegiéndolo de diversos acontecimientos que podrían poner en peligro
las actividades comerciales de la empresa, asimismo, ayuda a prepararse ante emergencias,
gestionar crisis, mejorar la capacidad de recuperación, mantener reputación ante riesgos o por
ejemplo asegurar la cadena de suministro.
La empresa Paris & Asociados S.A.C. también ha optado por incentivar el desarrollo de la
continuidad de actividades y la respuesta ante interrupciones considerando que, aproximadamente
solo el 30% del personal de la organización posee la capacidad de responder ante un desastre o
siniestro que ponga en riesgo la ejecución de las actividades del negocio. De manera análoga, la
implementación del SGCN es adaptable a otros estándares, un elemento crucial en este estándar
es la elaboración del documento de (BIA) Análisis de Impacto en el Negocio el cual identifica
cuáles son los procesos más críticos para la empresa. Es por ello que en el Análisis de Impacto en
el Negocio en el activo Software de aplicaciones (web + intranet) del Proceso de Gestión de Ventas
se puede apreciar que el RPO, el cual determina la cantidad máxima de tiempo aceptable de pérdida
de datos que la empresa Paris & Asociados S.A.C. está dispuesta a permitir para este caso, un
tiempo promedio de 10 min, en otras palabras es el tiempo entre la última copia de seguridad
creada y el momento del desastre, también, el RTO determina la cantidad máxima de tiempo
tolerable necesario para que todos los sistemas críticos vuelvan a estar en línea en este caso se
tiene un promedio de 16 min y el MTD determina el tiempo de inactividad máximo tolerable para
nuestro caso es de 30 min en promedio, es decir que define la cantidad total de tiempo que el
proceso de negocio puede interrumpirse sin causar consecuencias inaceptables, es por ello que, al
plantear un análisis de impacto en el negocio bajo el riesgo de perder la confidencialidad,
integridad y disponibilidad de la información de la organización, se identifica que 12 amenazas de
las 19 planteadas para el activo Software de aplicaciones (web + intranet) del Proceso de Gestión
112
de Ventas muestran un grado alto de impacto, el cual debe ser atendido mediante los controles y
tratamiento respectivo.
Por último, al implantar un SGCN de acuerdo con ISO 22301, permite anticiparse a la
situación de crisis y garantizar el desarrollo normal de las actividades, determinando los riesgos
de magnitud, asimismo, determina previamente que información es crítica y cómo debe
salvaguardarse.
Análisis de los resultados sobre el SGR
Figura 35. Cálculo de Matriz del riesgo
De acuerdo a los resultados obtenidos, la implementación de un SGR, igualmente tendría

un impacto positivo en la empresa, considerando que los sistemas de gestión de riesgos están
diseñados para hacer más que solo identificar el riesgo, en tal sentido, la ISO 31000 basada en 3
directrices: Principios, marco de referencia y proceso, brinda un esquema continuo para la gestión
de los riesgos el cual crea y protege el valor en la empresa, de acuerdo al proceso de estas 3
directrices, se muestra la matriz de riesgo la cual relaciona el impacto y la probabilidad de la
materialización de los riesgo, según los criterios que la organización elija, se realizará el
113
tratamiento del riesgo respectivamente. En relación a la matriz, la zona de riesgo bajo implica
asumir el riesgo y con ello no adoptar medidas de tratamiento las cuales afecte la probabilidad o
el impacto de su materialización, asimismo, la zona de riesgo moderada comprende asumir y
reducir el riesgo por medio de un tratamiento que mitigue la probabilidad y el impacto de su
materialización, también, la zona de riesgo alta involucra asumir, reducir y transferir el riesgo a
través de un tratamiento que aplique acciones adicionales y estime los recursos requeridos para su
atención, por último, la zona de riesgo extrema incluye asumir, reducir y hasta compartir o
transferir el riesgo a través de un tratamiento especializado que aplique acciones adicionales y
estime los recursos requeridos para su atención. En conclusión, el tratamiento elegido dependerá
del resultado de la materialización del riesgo, el cual es determinado por medio del emparejamiento
del grado de probabilidad y el grado impacto. Por último, la organización podrá ejecutar acciones
para un mejor control y atención de los riesgos con el fin de para evitar que la empresa pierdas los
activos o tenga problemas con la confidencialidad, disponibilidad, confiablidad y la autenticidad
de la información empresarial.
Análisis de resultados sobre la arquitectura de integración
De acuerdo a los resultados obtenidos, la implementación de un SIG, combina distintos

sistemas de gestión, en nuestro caso involucra a la ISO 27001, ISO 22301 e ISO 31000
respectivamente, como se ha visto anteriormente, las ISOs tienen distintos requisitos normativos
y evidencia documental para su cumplimiento, a continuación, mostraremos de forma general los
principales requisitos de cada norma en relación del SIG:
114
Figura 36. Requisitos de las ISOs en relación con la SIG
En base a lo requerido, es necesario realizar un análisis a fin de evitar la duplicidad de

información y procesos involucrados en la arquitectura integración de los sistemas, por lo que, de
acuerdo a lo planteado, se muestra la congruencia existente:
Figura 37. Factores de congruencia necesarios en el SIG

115
En general, la arquitectura planteada para la integración de los sistemas de gestión
comprenderá estratégicamente los beneficios de las ISOs involucradas, garantizando la seguridad
de la información y la continuidad de las actividades comerciales de la organización por medio de
una adecuada gestión del riesgo, a continuación, se muestra un mapa general de la estructura
planteada para el SIG y los principales requisitos para su implementación:
Figura 38. Requisitos generales para la implementación del SIG
Análisis de resultados sobre las encuestas realizadas
De acuerdo con los resultados obtenidos, las encuestas están distribuidas en dos enfoques,
por un lado, está orientado a personas relacionadas con la alta gerencia la cual cuenta con 6
preguntas y por el otro lado, está enfocado a personas que realizan tareas operativas en la
organización en esta oportunidad el cuestionario cuenta con 20 preguntas, a continuación,
mostramos el análisis de los resultados:
116
Primer enfoque
Orientada a la alta gerencia, se ha contado con 6 personas para este resultado:

PREGUNTA 01: ¿Considera usted que el personal de la empresa Paris & Asociados
se encuentra capacitado sobre seguridad de la información en el marco de la ISO 27001?
Resultado 01 3 7
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Figura 39: Personal capacitado acerca de Seguridad de la Información
El 30% de los encuestados poseen conocimiento sobre seguridad de la información basado

en el modelo ISO 27001, ya sea por medio de capacitaciones brindadas por la organización o
conocimiento adquirido fuera de ella, asimismo, el 70% restante carece conocimientos acerca del
Sistema de Gestión de Seguridad de la Información (SGSI). Lo cual demuestra que existe una
brecha en las competencias del personal sobre seguridad de la información y la importancia de su
aplicación, por lo que es necesario realizar un plan de capacitación para cubrir esta desventaja
frente a otras organizaciones del mercado.
PREGUNTA 02: ¿Considera usted que el personal de la empresa Paris & Asociados
se encuentra capacitado sobre resiliencia o recuperación ante interrupciones en las funciones
de la organización en el marco de la ISO 22301?
Resultado 02 2 8
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Figura 40: Personal capacitado acerca de Resiliencia o Recuperación de actividades
El 20% de los encuestados poseen conocimiento sobre resiliencia o recuperación ante

interrupciones basado en el modelo ISO 22301, ya sea por medio de capacitaciones brindadas por
la organización o conocimiento adquirido fuera de ella, asimismo, el 80% restante carece
117
conocimientos acerca del Sistema de Gestión de Continuidad del Negocio (SGCN). Lo cual
demuestra que existe una brecha en las competencias del personal sobre resiliencia o recuperación
ante interrupciones y la importancia de su aplicación, por lo que es necesario realizar un plan de
capacitación para cubrir esta desventaja frente a otras organizaciones del mercado.
PREGUNTA 03: ¿Considera usted que la empresa Paris & Asociados S.A.C. está en
la capacidad de responder ante un ataque cibernético?
Resultado 03 2 8
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Figura 41: Capacidad de respuesta ante ataques Cibernéticos
El 20% de los encuestados consideran que la organización se encuentra en la capacidad de

responder ante cualquier ataque cibernético que vulnere la información y con ello las actividades
de la organización, asimismo, el 80% restante estima que la organización es vulnerable y carece
de elementos suficientes para desarrollar una defensa y recuperación oportuna a la interrupción
ocasionada por intrusos cibernéticos, los cuales puede ser ejecutados a través de: malware,
suplantación de identidad (phishing), denegación de servicios (DOS), inyecciones SQL, entre
otros.
PREGUNTA 04: ¿Considera usted que la empresa Paris & Asociados S.A.C. está en
la capacidad de responder ante un desastre o siniestro que ponga en riesgo la ejecución de
las actividades del negocio?
Resultado 04 3 7
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Figura 42: Capacidad de respuesta ante desastres o siniestros
El 30% de los encuestados consideran que la organización se encuentra en la capacidad de

responder ante un desastre o siniestro que haya puesto en riesgo la ejecución de las actividades del
118
negocio, siendo la misma capaz continuar sus actividades por medio de la atención no presencial
y entrega a domicilio, ejecutando garantías legales (seguros), ampliación de atención en sucursales
próximas, entre otras opciones de recuperación y continuidad de las actividades, asimismo, el 70%
restante estima que la organización es vulnerable y carece de elementos suficientes para desarrollar
una respuesta de recuperación o continuidad efectiva ante la interrupción ocasionada por desastres
naturales o siniestros ocasionados por personas.
PREGUNTA 05: ¿Considera usted que el flujo de procesos de la empresa Paris &
Asociados S.A.C. están establecidos adecuadamente?
Resultado 05 7 3
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estimado Pendiente
Figura 43: Adecuado flujo de procesos
El 70% de los encuestados consideran que la organización cuenta con flujo de procesos
bien diseñado el cual es monitoreado continuamente, generando ventajas y oportunidades para la
empresa tales como: eficiencia, eficacia, confiabilidad y KPI (métricas), con el fin de ayudar en la
toma de decisiones tácticas y estratégicas en beneficio del negocio, asimismo, el 30% restante
estima que la organización no posee una adecuada gestión de sus procesos y que su modelo
organizativo no es el adecuado según el rubro al que pertenece.
PREGUNTA 06: ¿Considera usted positiva y viable la implementación de un sistema
de gestión en la empresa Paris & Asociados S.A.C. que proteja la información y las
actividades del negocio?
Resultado 06 9 1
84% 86% 88% 90% 92% 94% 96% 98% 100%
Estimado Pendiente
Figura 44: Viabilidad en la implementación de un Sistema de Gestión

119
El 90% de los encuestados consideran que la organización tendría efectos positivos en la
implementación de un sistema de gestión enfocada en la seguridad de la información y continuidad
del negocio, también encuentran viable la implementación del sistema de gestión en la
organización, todo esto tomando en cuenta la adecuada gestión de los procesos de negocio
asociados a la empresa, asimismo, el 10% restante estima que la organización no se encuentra en
capacidad de implementar sistemas de gestión en la organización debido a la falta de madurez de
sus procesos.
120
Segundo enfoque
Orientada al personal que realiza actividades operativas, se ha contado con 24 personas

para este resultado y de acuerdo con dimensiones: Cultura organizacional, Recursos humanos,
Seguridad física y ambiental, Control de accesos y seguridad en operaciones:
A. Cultura Organizacional: se atribuye el grado de liderazgo y compromiso de la alta
dirección sobre seguridad de la información, en base a la efectiva y correcta aplicación del
sistema de gestión.
PREGUNTA 01: ¿Existe algún procedimiento de protección relacionados con la
seguridad de la información dentro del área en el que trabaja?
Tabla 31. Resultados de la consulta al personal de la Organización: Pregunta 01
OPCIONES FRECUENCIA PORCENTAJE

SI 06 25%
NO 18 75%
!Especificación
TOTAL de carácter no 100%
válida
6
SI
NO
18
Figura 45: Distribución de existencia de procedimiento de protección
El 25% de los encuestados consideran que, en la organización, posee procedimientos de

protección enfocados en la seguridad de la información tomando en cuenta la confidencialidad,
121
integridad y disponibilidad de esta, en las áreas que laboran respectivamente, asimismo, el 75%
restante estima que la organización no cuenta con la protección adecuada y perciben cierta
vulnerabilidad en los procesos que se realizan en las áreas donde laboran.
PREGUNTA 02: ¿Considera usted que, el personal posee un compromiso ético con
las actividades ligadas a la protección y seguridad de la información?
Tabla 32: Resultados de la consulta al personal de la Organización: Pregunta 02

SI 18 75%
NO 6 25%
!Especificación
TOTAL de carácter no 100%
válida
6
SI
NO
18
Figura 46: Distribución de protección y seguridad de la información
El 75% de los encuestados consideran que, en la organización, se ha cultivado un

compromiso ético activo coherente con la seguridad de la información, considerando la no
divulgación de información y protección de datos relacionada con la organización, asimismo, el
25% restante estima que la organización está sujeta a filtración de información más allá del
compromiso pactado entre la organización y sus colaboradores.
122
PREGUNTA 03: ¿Cree usted que, exista algún tipo de comportamiento mal
intencionado que afecte el desempeño de las actividades de la empresa?

SI 5 21%
NO 19 79%
TOTAL 24 100%
SI
NO
19
Figura 47: Distribución de presunta existencia de comportamiento mal intencionado
El 21% de los encuestados consideran que, en la organización, puede existir un

comportamiento mal intencionado por parte de los colaboradores, el cual afecte o interrumpa el
desempeño de las actividades de la organización, asimismo, el 79% restante estima que la
organización carece de colaboradores con malas intenciones que trasgredan el compromiso de
confianza acordado.
123
PREGUNTA 04: ¿Cree usted que, el entorno laboral es el adecuado en cuanto a
seguridad de los activos de información se refiere?

SI 12 50%
NO 12 50%
TOTAL 24 100%
SI
12 12
NO
Figura 48: Distribución de adecuado manejo sobre seguridad en el entorno laboral
El 50% de los encuestados consideran respecto al entorno laboral en la organización es

adecuado la protección de los activos de la empresa, ya que se han realizado planes, y ejecutado
medidas preventivas y correctivas, asimismo, el 50% restante estima que la organización, no
cuenta con las condiciones para garantizar un adecuado aseguramiento de los activos de
información.
124
PREGUNTA 05: ¿Cree usted que, se debe realizar copias o respaldos de la
información?

SI 22 92%
NO 02 08%
TOTAL 24 100%
SI
NO
22
Figura 49: Distribución de adecuado manejo sobre seguridad de la información en el entorno laboral
El 92% de los encuestados consideran que, se debe realizar copias o respaldos de la

información, con el fin de evitar cualquier perdida de información ya que es calificada como la
salvaguarda del negocio o una medida indispensable para garantizar su continuidad y conservar la
confianza de los clientes. Por otro lado, la pérdida de información supondría la pérdida de horas
de trabajo y de proyectos que tendría graves consecuencias para la continuidad del negocio.
Asimismo, el 8% restante estima que la organización, no debería realizar copias de seguridad
debido a posibles filtraciones de información.
125
B. Recursos Humanos: se atribuye el grado de concientización y capacitación recibida acerca
de correcta aplicación del sistema de gestión.
PREGUNTA 06: ¿Cree usted que, la capacitación brindada hasta el momento ha sido
de gran ayuda para salvaguardar la información?

SI 8 33%
NO 16 67%
TOTAL 24 100%
8
SI
NO
16
Figura 50: Distribución del adecuado aprovechamiento de las capacitaciones acerca del resguardo de la
información en el entorno laboral
El 33% de los encuestados consideran que, ha sido de gran ayuda las capacitaciones
brindadas por la organización hasta el momento en materia de salvaguardar la información,
considerando que existen capacitaciones en periodos semestrales y presentación de didáctica
teóricas y prácticas, asimismo, el 67% restante estima que la organización, debería realizar con
más frecuencia este tipo de capacitaciones a fin de afianzar conocimientos de la realidad que
afrontan diariamente en la organización, es por ello que perciben que las capacitaciones en el
marco de periodicidad y contenido no son suficientes.
126
PREGUNTA 07: ¿Cree usted que, la capacitación brindada hasta el momento ha sido
de gran ayuda para responder ante un evento inesperado que ponga en riesgo el correcto
funcionamiento de los procesos y actividades de la organización?

SI 03 13%
NO 21 87%
TOTAL 24 100%
SI
NO
21
Figura 51: Distribución del adecuado aprovechamiento de las capacitaciones acerca de resiliencia ante eventos
inesperados en la organización.
El 13% de los encuestados consideran que, ha sido de gran ayuda las capacitaciones para
responder ante un evento inesperado que ponga en riesgo el funcionamiento de los procesos y las
actividades de la organización brindadas por la organización, considerando que existen
capacitaciones en periodos semestrales y presentación de didáctica teóricas y prácticas, asimismo,
el 87% restante estima que la organización, debería realizar con más frecuencia este tipo de
capacitaciones a fin de afianzar conocimientos de la realidad que afrontan diariamente en la
organización, es por ello que perciben que las capacitaciones en el marco de periodicidad y
contenido no son suficientes.
127
PREGUNTA 08: ¿Cree usted que, la organización cuenta con un plan de capacitación
relacionado a la protección de la información y del correcto accionar frente a interrupciones
en la entrega de valor?

SI 5 21%
NO 19 79%
TOTAL 24 100%
SI
NO
19
Figura 52: Distribución de presunción acerca de la existencia de un plan de respuesta para el correcto resguardo
de la información e interrupciones en las actividades relacionadas a la entrega de valor
El 21% de los encuestados consideran que, la organización cuenta con un plan de

capacitación relacionado a la protección de la información y del correcto accionar frente a
interrupciones, tomando en cuenta que tanto las competencias en seguridad de la información y
respuesta para la continuidad del negocio son cruciales para la organización, asimismo, el 79%
restante estima que la organización, no cuenta con un plan de capacitación adecuado que se
enfoque en la seguridad de la información y la continuidad del negocio ya que se debería realizar
un plan con capacitaciones periódicas a fin de afianzar conocimientos de la realidad que afrontan
diariamente en la organización, es por ello que perciben que las capacitaciones en el marco de
periodicidad y contenido no son suficientes.
128
C. Seguridad Física y Ambiental: se atribuye el grado de protección implementado para
asegurar la adecuada aplicación del sistema de gestión y la infraestructura que la soporta.
PREGUNTA 09: ¿Cree usted que, al ocurrir un robo que ocasione perdida de
información, la reportaría inmediatamente al área correspondiente?

SI 24 100%
NO 00 00%
TOTAL 24 100%
SI
NO
24
Figura 53: Distribución del reporte de algún acto de sustracción de información que ponga en riesgo la
organización.
El 100% de los encuestados consideran que, la información es un activo que gran valor,
conociendo su importancia y lo relevante de este acto delincuencial, se atribuye un rotundo actuar
con respecto a reportar la pérdida de información de manera inmediata a las autoridades
correspondientes.
129
PREGUNTA 10: ¿Cree usted que, las medidas adoptadas para el resguardo de los
datos son los adecuados?
SI 16 67%
NO 8 23%
TOTAL 24 100%
8
SI
NO
16
Figura 54: Distribución del adecuado resguardo de datos.
El 67% de los encuestados consideran que, las medidas adoptadas por la organización para
el resguardo de los datos son los adecuados, tomando en cuenta que se han realizado campañas de
concientización, respaldos en dispositivos físicos y virtuales, entre otras medidas a fin de
garantizar la seguridad de la información contenida y la recuperación ante cualquier evento
inesperado que vulnere la continuidad de las actividades, asimismo, el 23% restante estima que la
organización actualmente no cuenta con los recursos suficientes para realizar la adecuada adopción
de medidas para generar el respaldo de información correcta.
130
PREGUNTA 11: ¿Cree usted que, la información utilizada en su área tiene un valor
importante para la organización y por ello se debe tomar medidas para su protección?

SI 20 83%
NO 04 17%
TOTAL 24 100%
SI
NO
20
Figura 55: Distribución acerca de la importancia de la información utilizada en su área.
El 83% de los encuestados consideran que, la información utilizada en el área que laboran
posee un valor importante para la organización, a consecuencia de esta apreciación, conveniente
actuar y tomar medidas para la protección de la información correspondiente, asimismo, el 17%
restante estima que en el área que laboran no contiene información relevante que ponga en riesgo
el funcionamiento de sus actividades.
131
PREGUNTA 12: ¿Cree usted que, si un virus informático afecta los datos de su área,
habría repercusiones en su área?

SI 18 75%
NO 06 25%
TOTAL 24 100%
6
SI
NO
18
Figura 56: Distribución acerca de las repercusiones que un virus informático afecte su área.
El 75% de los encuestados consideran que, la intrusión de un virus informático podría

afectar los datos que son utilizados en el área que labora, teniendo como consecuencia impactos
irreversibles o en el mejor de los casos efectos sin impactos, asimismo, el 25% restante estima que
la organización ha tomado mínimamente acciones para este tipo de eventos y actualizan
constantemente los antivirus, bloquean algunos accesos de dispositivos, entre otras medidas
aplicadas.
132
D. Control de Accesos: se atribuye el grado de aplicación de los controles relacionados con
el acceso a la información de la organización.
PREGUNTA 13: ¿Cree usted que, la suspensión del ingreso o acceso a la información
por hasta 3 horas, afectaría gravemente las actividades de su área?

SI 16 67%
NO 08 23%
TOTAL 24 100%
23
SI
NO
67
El 67% de los encuestados consideran que, la interrupción temporal del ingreso o acceso a
la información que normalmente utiliza para realizar sus labores por hasta 3 horas, definitivamente
afectaría gravemente las actividades que se desarrollan en el área que labora tales como el área de
cobranza (caja) o en el caso circunstancial de ser sometida bajo esta interrupción en el día de pagos
al personal de la organización, entre otras áreas de acuerdo al contexto, asimismo, el 23% restante
estima que la ausencia de acceso a los sistemas de la organización no afectaría sus actividades, ya
que sus actividades no se relacionan con el acceso a los sistemas de información o en su defecto
utilizan otros canales u opciones para complementar sus actividades bajo este contexto.
133
PREGUNTA 14: ¿Cree usted que, el personal seleccionado en el área, es el adecuado
para acceder a la información, garantizando la integridad, disponibilidad y confidencialidad
de la información?

SI 20 83%
NO 04 17%
TOTAL 24 100%
SI
NO
20
El 83% de los encuestados consideran que, el personal seleccionado en el área, es el

adecuado para el uso y acceso a la información, garantizando la integridad, disponibilidad y
confidencialidad de la información, esto se basa en los diferentes filtros de contratación y
compromisos que el colaborador posee con la empresa, desde el inicio de su selección, durante y
hasta finalizar su contratación, asimismo, el 17% restante estima que existe la posibilidad haber
contratado personal que no genera confianza y que estaría dispuesta a utilizar la información de la
organización para beneficio propios.
134
PREGUNTA 15: ¿Cree usted que, el cambio constante de contraseñas de acceso a los
sistemas, tiene una finalidad beneficiosa para proteger la información?

SI 22 92%
NO 02 08%
TOTAL 24 100%
SI
NO
22
Figura 59: Distribución acerca del beneficio del cambio constante de contraseñas en el acceso al sistema.
El 92% de los encuestados consideran que, el cambio constante de contraseñas de acceso

a los sistemas, tiene una finalidad beneficiosa para proteger la información, sin embargo, es
recomendable que, a menos que exista indicios de una violación de tu contraseña, no habría
necesidad de cambiarlas regularmente, asimismo, el 8% restante estima que no es necesario
realizar cambios constantes y que bastaría con desarrollar una clave fuerte y única, y aún más si se
usa la autenticación de dos factores.
135
PREGUNTA 16: ¿Cree usted que, el ingreso a la infraestructura de la empresa posee
la seguridad necesaria para garantizar el adecuado acceso del personal, clientes o
proveedores?

SI 13 54%
NO 11 46%
TOTAL 24 100%
SI 11
NO 13
Figura 60: Distribución acerca de la seguridad en el ingreso del personal, clientes o proveedores.
El 54% de los encuestados consideran que, el ingreso a la infraestructura de la empresa

posee la seguridad necesaria y garantiza el ingreso de clientes, proveedores y colaboradores a las
zonas correspondientes, asimismo, el 46% restante estima que no se posee las condiciones
necesarias para el acceso a las zonas restringidas, sin embargo, no se ha evidenciado intrusión
física pero es evidente la vulnerabilidad y lo adecuado es profundizar en la ejecución de controles
de acceso físico en la organización principalmente en las zonas restringidas.
136
PREGUNTA 17: ¿Cree usted que, comparte su computador o sus contraseñas de
acceso al sistema con otras personas?

SI 13 54%
NO 11 46%
TOTAL 24 100%
SI 11
NO 13
Figura 61: Distribución acerca de la fragilidad de la empresa ante posibles desastres naturales.
El 54% de los encuestados consideran que, existen colaboradores que comparten

computador o sus contraseñas de acceso al sistema con otros colaboradores, esta actividad
representa un riesgo en la organización sin embargo la realizar para cumplir con algunas
actividades encomendadas, en su mayoría cambian sus credenciales posterior al cierre de la
actividad, asimismo, el 46% restante estima que no ha compartido sus credenciales con otros
colaboradores ya que conocen el riesgo que implica la filtración de información por medio de su
usuario.
137
E. Seguridad en Operaciones: se atribuye el grado de identificación de activos y procesos
críticos de la empresa, así como también la aplicación de nuevos planes relacionados a
salvaguardar los objetivos de la empresa.
PREGUNTA 18: ¿Cree usted que, existe un adecuado control asociado a la utilización
de dispositivos externos (archivos, correos electrónicos, Cloud, etc.)?

SI 03 12.5%
NO 21 87.5%
TOTAL 24 100%
SI
NO
21
Figura 62: Distribución acerca del adecuado uso de dispositivos externos.
El 12.5% de los encuestados consideran que, existe un adecuado control asociado a la

utilización de dispositivos externos (archivos, correos electrónicos, Cloud, etc.) ya que utilizan
canales de seguridad certificadas y poseen seguridad en sus dispositivos de acceso, asimismo, el
87.5% restante estima que no existen las garantías necesarias para acceder en otros dispositivos o
de forma virtual a la información de la organización.
138
PREGUNTA 19: ¿Cree usted que, existe una adecuada ejecución del simulacro
(recuperación y reanudación de los procesos y/o actividades relacionadas al negocio)?

SI 03 12.5%
NO 21 87.5%
TOTAL 24 100%
SI
NO
21
Figura 63: Distribución acerca de la adecuada realización del simulacro.
El 12.5% de los encuestados consideran que, existe una adecuada ejecución del simulacro,
donde se ponga a prueba la adecuada recuperación y reanudación de los procesos y/o actividades
de la organización, tomando el contexto seleccionado y las implicancias del estado de
recuperación, asimismo, el 87.5% restante estima que no existe el alcance adecuado que simule un
escenario negativo para la organización, mediante el cual se pueda realizar las pruebas necesarias
y calificar la respuesta obtenida a esta prueba.
139
PREGUNTA 20: ¿Cree usted que, la implementación de un sistema de gestión
relacionado a la seguridad de la información y la continuidad de los servicios del negocio
puedan ser de gran ayuda para el contexto actual de la organización?

SI 24 100%
NO 00 00%
TOTAL 24 100%
SI
NO
24
Figura 64: Distribución acerca la aprobación de un sistema de gestión relacionado con la seguridad de la
información y continuidad del negocio
El 100% de los encuestados consideran que, la implementación de un sistema de gestión

relacionado a la seguridad de la información y la continuidad de los servicios del negocio puedan
serán de gran ayuda para el contexto actual de la organización ya que integra dos estándares de
gestión muy aplicados independientemente en las empresas.
140
CONCLUSIONES
1. Se diseñó e implementó un modelo de SIG en la empresa Paris & Asociados S.A.C.,

mediante el cual se involucró de manera efectiva distintos estándares, basados en las
normas ISOs, 27001, 22301 y 31000. La integración realizada fomentó la utilización
de estrategias basadas en la protección y seguridad de la información, asimismo, dotó
de competencias en la reanudación de actividades propias del negocio y por último
brindó control en la adecuada gestión del riesgo. Con respecto a lo anterior, todo esto
se logró basado en la información recolectada en base a las encuestas realizadas, en la
Alta gerencia de la empresa Paris & Asociados S.A.C. donde se apreció que existió
hasta un 30 % de personas que poseen conocimientos y capacidad de respuesta con
respecto a la seguridad de la información la cual involucra conocimientos sobre las
medidas y requisitos enfocados a la protección de la información, del mismo modo,
con respecto al restablecimiento de la organización frente a incidentes que puedan
interrumpir su actividad interna como externa. Asimismo, con respecto a la
información recolectada en la encuesta realizada a los trabajadores de la empresa, en
relación a la Cultura Organizacional se apreció que más del 75% de los encuestados
considera que hay un compromiso con las actividades relacionados a la protección y
seguridad la información, de igual modo, los trabajadores carecen de malas intenciones
que trasgredan el compromiso de confianza acordado, de forma semejante, sobre la
Seguridad Física y Ambiental más del 67% de los encuestados consideró que la
información utilizada en su área posee un valor relevante y que la organización ha
adoptado medidas adecuadas en el resguardo de datos, análogamente, el enfoque
relacionado con los Recursos Humanos posee una brecha en el ámbito de las
capacitaciones brindadas por la organización ya que menos del 33% de los encuestados
contempla como adecuado el plan de capacitaciones y el contenido que estas posee en
relación a los sistemas en mención. Por lo tanto, esta información fue relevante para la
utilización de una estrategia adecuada que fomente la mejora continua de todas
personas, procesos y la tecnología aplicada en la empresa.
2. La integración de los sistemas de gestión 22301, ISO 27001 e ISO 31000 se realizaron
a través de la Estructura de Alto Nivel (HLS), la cual unifica y reduce
141
considerablemente la utilización de recursos, ya que muchos de los requisitos exigidos
para cada una de estas normas son similares y solo varían en el enfoque, asimismo, se
ha logrado utilizar la documentación común que estas requieren para proteger la
información y asegurar la recuperación de la organización ante incidentes que puedan
interrumpir su actividad por medio de la gestión del riesgo tratando de minimizar el
impacto que produzcan posibles amenazas.
3. Como parte de la integración, el SGSI contribuyó al proceso de unificación a través de
un conjunto de medidas y requisitos orientados a garantizar la protección de la
información ante cualquier amenaza, tales como ataques cibernéticos, malas prácticas
de los propios empleados, intrusos o catástrofes naturales; a través de la aplicación de
controles y el establecimiento de procedimientos de seguridad. Basado en los datos
obtenidos, estos aspectos han sido considerados dando como resultado una Brecha de
Cumplimiento faltante del 57% con relación a las cláusulas y un 52% con referencia a
los dominios del anexo A, el cual contiene controles aplicados en la empresa.
De igual manera, mediante el SGCN se aplicó una estrategia enfocada en asegurar las
actividades de la empresa, evitando el cese o interrupciones debido a determinados
incidentes, reduciendo así, posibles pérdidas que pudieran producirse. Asimismo, en
relación con este sistema de gestión es esencial perpetuar una estrategia educativa
enfocada en la explotación de las capacidades de los trabajadores de la empresa, con
el objetivo de fortalecer su grado de respuesta ante potenciales situaciones de riesgo,
procediendo en base a los planes establecidos, mitigando de esta forma el tiempo de
interrupción. Basado en los datos obtenidos, estos aspectos han sido considerados
dando como resultado una Brecha de Cumplimiento del 57% que es necesario
implementar.
4. Bajo la aplicación de la metodología Planear – Hacer – Verificar – Actuar (PHVA) se
logró evitar la duplicidad de requerimientos y normatividad relacionada a la
integración de sistemas multistandar, ya que mediante estas 4 etapas nos permitió
reevaluar los procesos y la adecuada gestión de los riesgos una y otra vez, de forma
cíclica, asegurando así la mejora continua, el incremento de la productividad y su
aplicabilidad ilimitada en los procesos de la organización. Asimismo, nos ayudó a
142
segmentar los requisitos y requerimientos de cada estándar (antes, durante y después)
en el proceso de integración.
5. A través de la adecuada gestión del riesgo basado en la ISO 31000, la integración del
SGR en el SIG consideró la recolección de los requisitos con el fin de atenuar los
riesgos que pueden atentar contra la organización. Asimismo, mediante este sistema
de gestión se abordó los potenciales riesgos que pudiesen generar problemas en el
desempeño de la empresa, a través de consecuencias económicas o que afecten la
imagen de la empresa. En suma, la Gestión del Riesgo basado en la norma ISO 31000
establece “los principios, el marco de referencia y el proceso”, precisamente en el
proceso se realiza: la evaluación, la identificación, el análisis, la valoración y el
tratamiento de los riesgos, de acuerdo con el estudio realizado un factor común de las
normas mencionadas es la realización de la gestión del riesgo, razón por la cual se ha
tomado como punto de enlace entre las normas ISO 27001 e ISO 22301.
143
RECOMENDACIONES
Describimos las siguientes recomendaciones para la integración de sistemas de gestión con

enfoque en la seguridad de la información y continuidad del negocio. Igualmente, se proponen
algunas recomendaciones para una eficiente integración:
1. Al implementar sistemas integrados de gestión es necesario utilizar la Estructura de
Alto Nivel (HLS), ya que permite integrar de forma simple y rápida Sistemas de
Gestión de diferentes perspectivas (en nuestro caso: ISO-27001 e ISO-22301), Debido
a que muchos de los requisitos exigidos por estos estándares son similares, variando
simplemente el enfoque de aplicación, asimismo, permite utilizar la documentación
común, reduciendo la duplicidad en el desarrollo de un SIG. De acuerdo con lo
anterior,
2. Al plantear un sistema integrado de gestión, es importante el compromiso que la Alta
Gerencia y los trabajadores posean en la construcción, ejecución, evaluación y
posterior mejora del sistema de gestión, ya que el constante seguimiento y monitoreo
será clave en la realización del SIG. Asimismo, es crucial la realización de
capacitaciones periódicas y la participación activa de todos los trabajadores de la
empresa, con la intención de fortalecer las competencias adquiridas con respecta a la
protección de la información, continuidad del negocio y en la gestión del riesgo.
3. Al automatizar por medio de un software el SIG, es ineludible dejar de comprender el
alcance y los objetivos que la organización tiene para el sistema. Por esta razón, se
debe realizar un análisis exhaustivo y holístico del contexto con el fin de cubrir las
expectativas de las partes interesadas, del mismo modo, es recomendable la utilización
de metodologías ágiles que permitan la entrega de valor en pequeños productos para
la organización.
4. Al culminar el desarrollo del SIG, es oportuno monitorear y supervisar constantemente
los procesos relacionados con el sistema integrado de gestión y de manera cíclica
impulsar la mejora continua en beneficio de la organización.
144
REFERENCIAS BIBLIOGRÁFICAS
AENOR. (2005). UNE 66177. Obtenido de https://etxesare.eu/euiti/cuarto/sgi/UNE_66177=2005-
Integracion.pdf
Alegría, L. (01 de marzo de 2018). Economía. El número de empresas en el Perú creció 8,4% en
el 2017. Obtenido de https://elcomercio.pe/economia/numero-empresas-peru-crecio-8-4-
2017-noticia-501043
Alonso, J. (8 - 9 de Noviembre de 2007). II Jornadas de trabajo del Grupo SIOU. Obtenido de
Gestión de la Información, gestión de conteniedos y conocimiento:
http://eprints.rclis.org/11273/1/Jornadas_GRUPO_SIOU.pdf
Amit, R., & Zott, C. (2012). Innovación en el Modelo de Negocio: Una forma de crear valor.
Harvard Deusto Business Review.
Arbañil, H., Barrientos, M., Maguiña, S., & Murrugarra, J. (2018). Innovación del Modelo de
Negocio para Mejorar la Experiencia de Compra de los Clientes de un Supermercado.
Esan Business, Lima, Perú. Obtenido de Esan Business.
Brooks, D. (Julio de 2010). ResearchGate. Obtenido de What is security: Definition through
knowledge categorization:
https://www.researchgate.net/publication/247478178_What_is_security_Definition_throu
gh_knowledge_categorization
BSIGROUP. (s.f.). BSIGROUP. Obtenido de Gestión de Riesgo ISO 31000:
https://www.bsigroup.com/es-PE/gestion-de-riesgo-iso-31000-/
Bureau Veritas. (29 de Julio de 2011). Bureau Veritas España. Obtenido de ISO 27000: Gestión
de la seguridad de la información, claves para una implantación de éxito.:
https://www.bureauveritas.es/home/news/noticias+2011+-
+cer+newsletter+iso+27001?presentationtemplate=bv_master_v2/news_full_story_prese
ntation_v2
Cabrera Vásquez, P. C. (2017). Diseño e implementación de un sistema integrado de gestión bajo
los estándares de la Norma ISO 9001:2015, OHSAS 18001:2007 e ISO 14001:2015 y la
evaluación del impacto en la productividad de la empresa Piteau Associates. Universidad
ESAN, Lima. Obtenido de https://repositorio.esan.edu.pe/handle/20.500.12640/1206
145
Castro Marquina, L. (febrero de 2014). Repositorio de Tesis de la Pontificia Universidad Católica
del Perú. Obtenido de
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/20.500.12404/5110/CASTRO_LAU
RA_DISE%c3%91O_SISTEMA_GESTION_CONTINUIDAD_NEGOCIOS_RENIEC_
NORMA_ISO_IEC_22301.pdf?sequence=1&isAllowed=y
Claeys, L. (24 de enero de 1996). Compotamiento de la Informacion. Obtenido de Capítulo 3
Información y conocimiento: http://www.smalltalking.net/papers/boi/ch03.html
Cordero Pérez, C. (2012). ¿Qué es y cómo se define el modelo de negocios? El Financiero.
Obtenido de https://www.elfinancierocr.com/pymes/que-es-y-como-se-define-el-modelo-
de-negocios/N6FNCYHG6BHTPIX47DVUMXLT6Y/story/
Delgado Concha, K. (agosto de 2015). Repositorio de Tesis de la universidad Católica Santa
María. Obtenido de
http://tesis.ucsm.edu.pe/repositorio/bitstream/handle/UCSM/2236/44.0386.II.pdf?sequen
ce=1&isAllowed=y
Dretske, F. (1999). Knowledge and the Flow of Information. (T. C. Publications, Ed.) Cambridge:
CSLI PUBLICATIONS.
Epping, R. (2010). El uso innovador de Blackboard® para evaluar las habilidades de laboratorio.
Diario de Diseño de Aprendizaje, págs. 32-36.
Escuela Europea de Excelencia. (mayo de 2018). Escuela Europea de Excelencia. Obtenido de
Cómo realizar la evaluación de riesgos según ISO 31000:2018:
https://www.escuelaeuropeaexcelencia.com/2018/05/como-realizar-la-evaluacion-de-
riesgos-segun-iso-310002018/
ESET. (julio de 2019). ESET Security Report Latinoamérica 2019. Obtenido de
https://www.welivesecurity.com/wp-content/uploads/2019/07/ESET-security-report-
LATAM-2019.pdf
FORTINET. (2020). THREAT INTELLIGENCE INSIDER. Obtenido de
https://www.fortinetthreatinsiderlat.com/es/Q1-2020/PE/pdf/trends?type=pdf
Gartner. (2019). Primer plano de ejecución de estrategia digital de educación para 2019.
Obtenido de https://www.gartner.com/doc/reprints?id=1-6ARCTQR&ct=190228&st=sb
146
Gestión. (24 de julio de 2019). Ventas online crecen 44.2% en Perú, las offline en retail caen 11%.
Obtenido de https://gestion.pe/economia/ventas-online-crecen-44-2-peru-offline-retail-
caen-11-273983
Gomez, L., & Fernández, P. (2015). Cómo implentar un SGSI según UNE-ISO/IEC 27001:2004 y
su aplicación en el Esquema Nacional de Seguridad (AENOR ed.). Madrid, España.
Instituto Nacional de Informática y Estadísitica. (2019). Demografía Empresarial en el Perú.
Obtenido de
http://m.inei.gob.pe/media/MenuRecursivo/boletines/demografia_empresarial_ene2020.p
df
Integrated Standards. (s.f.). Integrated Standards Store. Obtenido de What is an Integrated
Management System: https://integrated-standards.com/articles/what-is-integrated-
management-system/
International Organization for Standarization - ISO 22301:2012. (2012). Societal Security -
Business Continuity Management System - Requierements. Suiza. Obtenido de
http://www.smv.gob.pe/Biblioteca/temp/catalogacion/ISO22301_2012.pdf
ISACA. (2018). COBIT 2019 Marco de Referencia.
ISOtools. (19 de marzo de 2015). ISOtools - Blog Calidad y Excelencia. Obtenido de
https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-cual-es-su-finalidad/
Karwowski, W., & Salvendy, G. (2010). Advances inhuman Factors Ergonomics and Safety in
Manufacturing and Service Industries. Taylor & Francis Group. Obtenido de
https://www.crcpress.com/Advances-in-Human-Factors-Ergonomics-and-Safety-in-
Manufacturing-and/Karwowski-
Salvendy/p/book/9781439834992#googlePreviewContainer
Kegan, M. (Octubre de 2004). HM Treasury. Obtenido de The Orange Book:
https://www.who.int/management/general/risk/managementofrisk.pdf
Kirkwood, C. (2002). Decision Tree Primer. Obtenido de Chapter 3: The Value of Information:
http://www.public.asu.edu/~kirkwood/DAStuff/decisiontrees/
Mani, K., & Jee, B. (2007). ON THE EDGE A Comprehensive Guide to Blade SErver Technology.
Singapore: Wiley. Obtenido de
https://www.amazon.com/dp/0470823046?_encoding=UTF8&isInIframe=0&n=283155
147
&ref_=dp_proddesc_0&s=books&showDetailProductDesc=1#product-
description_feature_div
Martinez Barea, J., & Hense, C. (s.f.). Innovación en los Modelos de Negocio: El impulso
necesario para que las tecnologias exponenciales revolucionen en su industria. Harvard
Deusto Business Review.
Mejía, J., & López, D. (2016). Modelo de Calidad de E-learning para Instituciones de Educación
Superior en Colombia. Modelo de Calidad de E-learning para Instituciones de Educación
Superior en Colombia. Centro de Información Tecnológica, La Serene, Chile. Obtenido de
http://www.redalyc.org/articulo.oa?id=373544971007
Ministerio de Hacienda y Administraciones Públicas. (octubre de 2012). Protal de Administración
Electrónica. Obtenido de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/
pae_Magerit.html
Montes, S. (9 de marzo de 2019). Colombia es el segundo que más avanza en e-learning en
América Latina. La República. Obtenido de https://www.larepublica.co/internet-
economy/colombia-es-el-segundo-que-mas-avanza-en-e-learning-en-america-latina-
2837584
Navarro Monterroza, C., Pérez Extremor, J., & Estrada Muñoz, J. (2016). Guía de implementación
del Sistema Integrado de Gestión ISO 9001:2008 - ISO 22000:2005, para empresas de
producción de leche entera pasteurizada y queso fresco. 106-107. Obtenido de
https://core.ac.uk/download/pdf/297178862.pdf
Norma Internacional ISO 31000:2018. (2018). Gestión del riesgo — Directrices. Ginebra, Suiza.
Oppenheim, C., Stenson, J., & Wilson, R. (2001). The attributes of information as an asset (Vol.
102). MCB UP Ltd. doi:https://doi.org/10.1108/03074800110696979
Rázuri Espinoza, A. J. (2019). Desarrollo de un Sistema de Gestión de Continuidad de Negocio
en una entidad financiera, basado en la ISO 22301. UNIVERSIDAD NACIONAL
MAYOR DE SAN MARCOS, Lima. Obtenido de
https://cybertesis.unmsm.edu.pe/bitstream/handle/20.500.12672/10726/Razuri_ea.pdf?se
quence=1&isAllowed=y
148
Roca Castro, D. (2018). Evaluación de riesgos en el diseño de la plataforma E-Learning para
institutos superiores técnicos y tecnológicos. Revista Atlante: Cuadernos de Educación y
Desarrollo (marzo 2018). Obtenido de
https://www.eumed.net/rev/atlante/2018/03/plataforma-elearning.html
Ros, J. (s.f.). Auge de los Sistemas de Información y Documentación en las Organizaciones.
Obtenido de https://webs.ucm.es/info/multidoc/multidoc/revista/num2/jros.html
Santos Llanos, D. (febrero de 2017). Repositorio de Tesis de la Pontificia Universidad Católica
del Perú. Obtenido de
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/20.500.12404/7616/SANTOS_DAN
IEL_SISTEMA_GESTI%c3%93N.pdf?sequence=1&isAllowed=y
Santos Llanos, D. E. (2016). ESTABLECIMIENTO, IMPLEMENTACIÓN, MANTENIMIENTO Y
MEJORA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN,
BASADO EN LA ISO/IEC 27001:2013, PARA UNA EMPRESA DE CONSULTORÍA DE
SOFTWARE. PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ, Lima. Obtenido
de
http://tesis.pucp.edu.pe/repositorio/bitstream/handle/20.500.12404/7616/SANTOS_DAN
IEL_SISTEMA_GESTI%C3%93N.pdf?sequence=1&isAllowed=y
Scott, A. (4 de octubre de 2012). Business Model Innovation is the Fastest Path to Greatness.
Forbes. (R. Kanani, Entrevistador) Obtenido de
https://www.forbes.com/sites/rahimkanani/2012/10/04/business-model-innovation-is-the-
fastest-path-to-greatness/#1e41298d5ba2
Seclén Arana, J. (2016). Repositorio de Tesis Digitales - Cybertesis de la Universidad Nacional
Mayor de San Marcos. Obtenido de
https://cybertesis.unmsm.edu.pe/bitstream/handle/20.500.12672/4884/Seclen_aj.pdf?sequ
ence=1&isAllowed=y
Sortres, P., & Bureau Veritas. (Septiembre de 2012). Continuidad de Negocios. Obtenido de ISO
22301 – Continuidad del Negocio, mantenga funcionando su negocio sin importar qué
pueda ocurrir:
https://www.interempresas.net/FeriaVirtual/Catalogos_y_documentos/87942/Continuidad
_Negocio-ISO-22301.pdf
149
Soto Rodriguez, L., & Céspedes Vargas, K. (setiembre de 2016). Repositorio Académico UPC.
Obtenido de
https://repositorioacademico.upc.edu.pe/bitstream/handle/10757/620834/Cespedes_VK_
Soto_RL.pdf?sequence=1&isAllowed=y
The Business Continuity Institute. (2018). BCI Good Practice Guidelines 2018 Lite Edition.
Obtenido de Business Continuity Management (BCM) Lifecycle: https://www.b-c-
training.com/img/uploads/resources/GPG-Lite-2018-Edition-V1.2.pdf
Universidad de América. (24 de setiembre de 2018). Fundación Universidad de América.
Obtenido de http://www.uamerica.edu.co/programas-academicos/posgrado/gerencia-de-
la-calidad/importancia-de-los-sistemas-de-gestion-integrados-para-las-organizaciones-en-
terminos-de-competitividad/
W. Deming, E. (1989). Calidad, productividad y competitividad: la salida de la crisis. Obtenido
de https://issuu.com/librospdfgratis/docs/calidad__productividad_y_competitividad_409
Zavala Batlle, R. (2018). Guerra a la Innovación. Harvard Deusto Business Review, 68-75.
Obtenido de https://www.harvard-deusto.com/guerra-a-la-innovacion
150
ANEXOS
ANEXO-1: Cuestionario realizado a la alta gerencia.
PREGUNTA 01:
¿Considera usted que el personal de la empresa Paris & Asociados se encuentra capacitado
sobre seguridad de la información en el marco de la ISO 27001?
PREGUNTA 02:
¿Considera usted que el personal de la empresa Paris & Asociados se encuentra capacitado
sobre resiliencia o recuperación ante interrupciones en las funciones de la organización en el marco
de la ISO 22301?
PREGUNTA 03:
¿Considera usted que la empresa Paris & Asociados S.A.C. está en la capacidad de
responder ante un ataque cibernético?
¿Considera usted que la empresa Paris & Asociados S.A.C. está en la capacidad de
responder ante un desastre o siniestro que ponga en riesgo la ejecución de las actividades del
negocio?
PREGUNTA 05:
¿Considera usted que el flujo de procesos de la empresa Paris & Asociados S.A.C. están
establecidos adecuadamente?
PREGUNTA 06:
¿Considera usted positiva y viable la implementación de un sistema de gestión en la
empresa Paris & Asociados S.A.C. que proteja la información y las actividades del negocio?
151
ANEXO-2: Cuestionario realizado al personal que realiza labores operativas.
Para esta encuesta se ha contado con la participación de 24 colaboradores de la empresa

Paris & Asociados y segmentaremos las preguntas de acuerdo con dimensiones: Cultura
organizacional, Recursos humanos, Seguridad física y ambiental, Control de accesos y seguridad
en operaciones.
PREGUNTA 01:
¿Existe algún procedimiento de protección relacionados con la seguridad de la información
dentro del área en el que trabaja?
PREGUNTA 02:
¿Considera usted que, el personal posee un compromiso ético con las actividades ligadas a
la protección y seguridad de la información?
PREGUNTA 03:
¿Cree usted que, exista algún tipo de comportamiento mal intencionado que afecte el
desempeño de las actividades de la empresa?
PREGUNTA 04:
¿Cree usted que, el entorno laboral es el adecuado en cuanto a seguridad de los activos de
información se refiere?
PREGUNTA 05:
¿Cree usted que, se debe realizar copias o respaldos de la información?
PREGUNTA 06:
¿Cree usted que, la capacitación brindada hasta el momento ha sido de gran ayuda para
salvaguardar la información?
PREGUNTA 07:
¿Cree usted que, la capacitación brindada hasta el momento ha sido de gran ayuda para
responder ante un evento inesperado que ponga en riesgo el correcto funcionamiento de los
procesos y actividades de la organización?
PREGUNTA 08:
¿Cree usted que, la organización cuenta con un plan de capacitación relacionado a la
protección de la información y del correcto accionar frente a interrupciones en la entrega de valor?
PREGUNTA 09:
152
¿Cree usted que, al ocurrir un robo que ocasione perdida de información, la reportaría
inmediatamente al área correspondiente?
PREGUNTA 10:
¿Cree usted que, las medidas adoptadas para el resguardo de los datos son los adecuados?
PREGUNTA 11:
¿Cree usted que, la información utilizada en su área tiene un valor importante para la
organización y por ello se debe tomar medidas para su protección?
PREGUNTA 12:
¿Cree usted que, si un virus informático afecta los datos de su área, habría repercusiones
en su área?
PREGUNTA 13:
¿Cree usted que, la suspensión del ingreso o acceso a la información por hasta 3 horas,
afectaría gravemente las actividades de su área?
PREGUNTA 14:
¿Cree usted que, el personal seleccionado en el área, es el adecuado para acceder a la
información, garantizando la integridad, disponibilidad y confidencialidad de la información?
PREGUNTA 15:
¿Cree usted que, el cambio constante de contraseñas de acceso a los sistemas, tiene una
finalidad beneficiosa para proteger la información?
PREGUNTA 16:
¿Cree usted que, el ingreso a la infraestructura de la empresa posee la seguridad necesaria
para garantizar el adecuado acceso del personal, clientes o proveedores?
PREGUNTA 17:
¿Cree usted que, comparte su computador o sus contraseñas de acceso al sistema con otras
personas?
PREGUNTA 18:
¿Cree usted que, existe un adecuado control asociado a la utilización de dispositivos
externos (archivos, correos electrónicos, Cloud, etc.)?
PREGUNTA 19:
153
¿Cree usted que, existe una adecuada ejecución del simulacro (recuperación y reanudación
de los procesos y/o actividades relacionadas al negocio)?
PREGUNTA 20:
¿Cree usted que, la implementación de un sistema de gestión relacionado a la seguridad de
la información y la continuidad de los servicios del negocio puedan ser de gran ayuda para el
contexto actual de la organización?

Elguera Gu

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Elguera Gu

Cargado por

Copyright:

Formatos disponibles

Universidad Nacional Mayor de San Marcos

Universidad del Perú. Decana de América

Implementación de un sistema integrado de gestión

Para optar el Título Profesional de Ingeniero de Sistemas

Elguera, U. (2021). Implementación de un sistema integrado de gestión basado en

Nombres y apellidos Ulises Elguera Gallo

URL de ORCID https://orcid.org/0000-0002-7915-2706

Nombres y apellidos Norberto Ulises Román Concha

URL de ORCID https://orcid.org/0000-0002-3302-7539

Grupo de investigación ITDATA

Perú, Lima, San Martín de Porres

Año o rango de años en que se

Acta Virtual de Sustentación de Tesis

El Bachiller, en el curso de sus intervenciones demostró pleno dominio del tema, al

Siendo las …17.15…… horas, se levantó la sesión.

Mg. José Cesar Piedra Isusqui

IMPLEMENTACIÓN DE UN SISTEMA INTEGRADO DE GESTIÓN BASADO EN LOS

AUTOR: ELGUERA GALLO, ULISES

ASESOR: ROMAN CONCHA, NORBERTO ULISES

LIMA – PERÚ, 2021

TÍTULO PROFESIONAL: INGENIERO DE SISTEMAS

ÁREA: SEGURIDAD INFORMATICA Y GESTION DE RIESGO

Gestión de Sistemas Informáticos y de Información

PREGRADO: Facultad de Ingeniería de Sistemas e Informática - Escuela Profesional de Ingeniería de

Páginas: xiv, 155

A mis padres Isabel y Armando por su honrosa, dedicada y

sacrificada actuación, por su apoyo y admirable paciencia.

A mis hermanas Fiorella y Ariana por su apoyo y

comprensión en todo este proceso.

A mi esposa Erika por su incansable soporte anímico en esta

A mi hija Emilia V. por su esperada llegada y maravilloso

futuro en nuestra familia, asimismo, a Miski y Doko por su

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

IMPLEMENTACIÓN DE UN SISTEMA INTEGRADO DE GESTIÓN BASADO EN LOS

Autor: ELGUERA GALLO, Ulises

La metodología combina el enfoque cualitativo y cuantitativo basado en la mejora continua PHVA

Palabras claves: sistema integrado, gestión de riesgos, seguridad de la información, continuidad

NATIONAL UNIVERSITY OF SAN MARCOS

IMPLEMENTATION OF AN INTEGRATED MANAGEMENT SYSTEM BASED ON

Author: ELGUERA GALLO, Ulises

The purpose of this Thesis is to implement an integrated multi-standard management system,

Keywords: integrated management system, risk management, information security, business

Descripción de los antecedentes

Actualmente, las empresas desarrollan sus actividades en un contexto que no cesa de

Descripción del problema

Vivimos en una sociedad competitiva y global, donde el desarrollo de habilidades

Figura 1. Porcentaje de preocupación de Seguridad de las empresas. Fuente: ESET (2019)

En el Perú, se emitió la Norma Técnica Peruana (NTP) que es básicamente la adaptación

Figura 2. Incidentes por país en Latinoamérica. Fuente: ESET (2019)

N° AÑO 2015 2016 2017

N° AÑO 2015 2016 2017

La implementación de un Sistema de Gestión de Continuidad de Negocio aporta en la

¿Cómo puede influir la integración de Sistemas de Gestión de Riesgos, Seguridad de la

Diseñar e implementar un modelo de Sistema Integrado de Gestión enfocado en un concepto

A continuación, se listará algunos objetivos específicos relacionados con el desarrollo del

La investigación planteada, busca mediante la aplicación de conceptos básicos de

La investigación no pretende cambiar los procesos actuales de negocio sin permiso o

Capítulo 1 – Introducción: Se enfocará en describir la problemática existente y el

Sistema de gestión de seguridad de la información - SGSI

En el contexto actual muchas empresas son susceptibles a vulnerabilidades, amenazas y

Figura 3. Interrelación en la familia de estándares ISO/IEC 27000.

N° PAIS CERTIFICADOS SITIOS

CONTINENTE 2015 2016 2017

En suma, la ISO 27001 es la mejor opción de mejora continua adaptable a cualquier