Proyecto Final SGSI Las Delicias, S.A.

Universidad Mariano Gálvez de Guatemala
Facultad de Ingeniería de Sistemas de Información
Maestría en Seguridad de Sistemas de Información
Principios de Seguridad IT
Ing. (a) Valera Castellanos
Proyecto Final: Sistema de Gestión de Seguridad de la Información
(Las Delicias, S.A.)
Alumnos Carné
Jairo Emanuel Godínez Bámaca 1293-12-8850
Carlos Daniel Estrada Estrada 1293-10-7712
13 de marzo del 2022

Índice de contenido
INTRODUCCIÓN ................................................................................................................................... 4
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................................................. 5
Descripción ...................................................................................................................................... 5
Visión ............................................................................................................................................... 5
Misión .............................................................................................................................................. 6
Organización.................................................................................................................................... 6
Tecnología ....................................................................................................................................... 7
Antecedentes .................................................................................................................................. 9
Justificación ................................................................................................................................... 10
OBJETIVOS DE SEGURIDAD................................................................................................................ 11
Objetivo General ........................................................................................................................... 11
Objetivos Específico ...................................................................................................................... 11
POLITICAS DE SEGURIDAD ................................................................................................................. 11
Políticas de Acceso ........................................................................................................................ 12
a. Seguridad Perimetral ............................................................................................................. 12
b. Control de Acceso ................................................................................................................. 12
Políticas de Sistemas Informáticos ................................................................................................ 13
Políticas de Infraestructura de red ................................................................................................ 13
Políticas de Personal ..................................................................................................................... 14
PROCEDIMIENTOS DE SEGURIDAD.................................................................................................... 14
DIAGRAMAS DE ARQUITECTURA DE SEGURIDAD ............................................................................. 21
Topología de Red Interna .............................................................................................................. 21
Topología de Red Externa ............................................................................................................. 23
Topología de Red Data Center ...................................................................................................... 24
INSTRUCCIONES PROCEDIMIENTOS .................................................................................................. 25
Definiciones ................................................................................................................................... 25
Alternativa ..................................................................................................................................... 26
Personal Autorizado ...................................................................................................................... 27
Área de tecnologia Personal Autorizado ....................................................................................... 27
Alternativa ..................................................................................................................................... 27
FORMULARIOS DE PROCEDIMIENTOS APLICADOS ........................................................................... 29
2
Formulario de solicitud de creación de usuario ............................................................................ 29
Formulario de solicitud de eliminación de usuario ....................................................................... 30
Formulario de solicitud de acceso a datacenter ........................................................................... 31
Formulario de solicitud de remoción de acceso a datacenter ...................................................... 33
CHECKLIST ......................................................................................................................................... 34
Creación de usuarios ..................................................................................................................... 34
Mantenimiento de hardware ........................................................................................................ 36
Entrega y recepción de hardware ................................................................................................. 38
Asignación de accesos de navegación........................................................................................... 39
Seguridad física ............................................................................................................................. 41
Seguridad de red ........................................................................................................................... 42
PLAN DE CONTINUIDAD DEL NEGOCIO ............................................................................................. 44
a. Inicio del proyecto ................................................................................................................. 44
b. Análisis de impacto al negocio .............................................................................................. 44
Identificación de los procesos críticos de negocio y de soporte ................................................... 45
c. Análisis y evaluación de riesgos de seguridad de la información. ........................................ 47
d. Medidas de prevención. ........................................................................................................ 49
e. Desarrollo de estrategias para el plan de continuidad del negocio. ..................................... 49
f. Plan de emergencias para la gestión de incidentes. ............................................................. 50
g. Plan de Recuperación de desastres....................................................................................... 51
h. Desarrollar e implementación del BCP ................................................................................. 51
i. Comunicación y Gestión de Crisis ......................................................................................... 52
CONCLUSIÓN ..................................................................................................................................... 54
BIBLIOGRAFÍA .................................................................................................................................... 55
3
INTRODUCCIÓN
El presente documento tiene el objetivo de administrar de manera correcta la

gestión y administración de la protección de los datos de información, teniendo esta
dirección del proyecto, se emplean las mejores prácticas definidas según las guías
de PMBOK teniendo como finalidad la satisfacción de las partes interesadas, el
cumplimiento de cronograma, tareas y sobre todo las actividades las cuales serán
definidas, planificas y ejecutadas mediante técnicas de gestión de seguridad.
Para esta gestión de seguridad de la información se solicita implementar este

proyecto que va enfocado a aplicar políticas, procedimientos y checklist los cuales
van a ayudar a proteger y mitigar los activos de información de la empresa Las
Delicias, S.A.
Para la implementación de esta solución se utilizaron plantillas para mejorar la

definición de procesos internos entre los colaboradores que conforman dicha
entidad privada, partiendo desde la inicialización, planificación, ejecución, control y
cierre. Las cuales son de vital importancia en el cumplimiento de los objetivos del
proyecto entre los que resaltan la satisfacción del cliente interno y externo.
La ejecución y dirección del proyecto aporto durante la ejecución todo aquello

que son identificadores de los requisitos, abordando las necesidades de los equipos
que se operan en el uso de la información, estableciendo normas de comunicación
activa, efectiva, colaborativa y de seguimiento de requisitos y entregables.
Se definen políticas y sanciones al momento de cometer alguna falta a uno de

esos procesos los cuales fueron impartidos a los colaboradores, los cuales les
ayuda a concientizar el cumplimiento, de ser caso contrario se estarán aplicando
sanciones que pueden incurrir al no acatar instrucciones definidas dentro del
contenido impartido.
4
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
A continuación, se realizará una contextualización de la empresa Las Delicias,

S.A., donde se realizará el plan de implementación de un Sistema de Gestión de la
Seguridad de la Información, según las necesidades y requerimientos de gerencia
de la empresa antes mencionada.
Descripción
Las Delicias, S.A. es una empresa que se dedica a la comercialización de

embutidos, esto le ha dado un crecimiento exponencial durante los últimos años,
debido a que su público objetivo desde carnecerías hasta super mercados, este
mercado es bien frecuentado por los clientes y amas de casa, siendo también uno
de los productos que se consumen de manera frecuente en negocios formales e
informales.
Además de esto la empresa Las Delicias, S.A. se preocupa por la calidad del
producto que vende, siendo los embutidos su principal producto la forma en que
estos son preparado, motivo por el cual se ha unido con comercios formales e
informales que le asegura que los embutidos utilizados para sus productos son con
alimentos orgánicos y sacrificados de forma humanitaria, siendo un proceso de
producción que cumple con los estándares de calidad.
Actualmente están ubicados en el Km. 5.5 Carretera al Atlántico zona 17 de la

Ciudad de Guatemala, pero siendo su rol principal los embutidos, contando
actualmente con 20 sucursales distribuidas a nivel nacional, de este volumen
actualmente se cuenta con 15 sucursales en la ciudad capital, 5 sucursales en el
departamento de Quetzaltenango.
Visión
Convertirse en una organización líder a nivel nacional que cumpla ampliamente

con la satisfacción de sus clientes, empleados, accionistas y sociedad.
5
Misión
Ofrecer al cliente productos de gran calidad, variedad y rendimiento, apoyados

de un buen servicio y en un personal convencido y entregado hacia el crecimiento
de Las Delicias, S.A; resultando en mejores utilidades y colaborando al desarrollo
del país a través de un sistema integral de nutrientes que mejore la alimentación
nacional a un precio accesible.
Organización
Las Delicias, S.A. actualmente cuenta con una estructura departamental,

definido por las funciones que cada uno desarrolla, estando coordinados por la
dirección general.
Por debajo de la dirección general se encuentra los departamentos financieros,

Recursos Humanos, Comercial, Informática y Administrativo.
El departamento financiero es el encargado de la correcta administración de los

bienes de la empresa y como optimizar los recursos, este a su vez está conformado
por contabilidad, se maneja este diseño en el organigrama ya que a futuro la
empresa puede agregar departamentos que deriven del mismo, como lo son
auditoria.
El departamento de Recursos Humanos se encarga de velar por el bienestar del

personal y contratación de nuevo recurso humano, así como planilla de la
administración de los pagos del personal.
El departamento comercial es el más grande, este se divide en compras que son

quienes deben velar por adquirir la materia prima, almacén que son quienes
gestionan el inventario y coordinan con compras los tiempos correctos de compra y
ventas que es quien se encarga de la administración de los puntos de venta a lo
largo del territorio nacional.
Informática es el departamento encargado de la correcta comunicación entre el

personal de la central y cada una de las sucursales en el territorio nacional, se
6
compone por soporte técnico que son los encargados de apoyar al personal con los
inconvenientes que pueda presentar su equipo y redes, quienes son los encargados
de velar por la correcta comunicación de todos los equipos.
El departamento administrativo es el encargado de realizar todos los tramites

referentes a procesos administrativos que deba realizar la empresa.
Direccion
General
Recursos
Financiero Comercial Informatica Administrativos
Humanos
Contabilidad Plantillas Compras Soporte
Nomina de la
ventas Redes
empresa
CD Central
Figura 1: Jerarquía Organizacional (Propia)
Tecnología
La empresa Las Delicias, S.A., obtuvo un crecimiento tan grande durante los
últimos años, que la infraestructura informática usada en la misma se ha quedado
corta, sin embargo, se cuenta con una aplicación web tanto en las oficinas centrales
como en las sucursales para facturación en el lenguaje php integrado con infile, este
almacena la información generada en una base de datos MySQL, tanto el web
service y la base de datos están alojados en servidores físicos corriendo Linux, la
plataforma de correo utilizada es web a través de los servicios de Gmail, del equipo
de cómputo que se utiliza actualmente en la empresa, las laptop cuentan con
7
licenciamiento original de Windows, sin embargo las computadoras de escritorio
fueron ensambladas y desconocemos la legitimidad del sistema operativo que
corren.
Figura 2: Distribución de Red original (Propia)
El diagrama anterior ilustra la situación actual de la empresa Las Delicias, S.A.,

actualmente cuentan con un router del proveedor, el cual se encarga de distribuir el
direccionamiento a los Switch de capa dos que se encuentran en cada uno de los
niveles, sin fuentes redundantes y sin ningún tipo de protección eléctrica, estos a su
vez proveen de red a los 4 Access Points de uso hogareño distribuidos en los dos
niveles.
A la red en mención se conectan varios equipos de cómputo desktop y otros

portátiles (Laptops) denominados estaciones de trabajo, todos estos realizan la
consulta a dicho web service a través del navegador Chrome, sin contar con un
antivirus, todos los equipos cuentan únicamente con Windows defender.
8
En cuanto a las sucursales, los equipos de cómputo se conectan directamente a
uno de los puertos de un repetidor que se conecta de forma directa al router del
proveedor, para que el empleado se pueda conectar al servidor a través de internet
para la realización de la facturación. El ultimo inventario a equipo tecnológico
realizado por la empresa Las Delicias, S.A. la distribución es la siguiente:
Tabla 1: Inventario de equipo tecnológico
Recurso Tecnológico: Hardware

TIPO CANTIDAD OBSERVACIONES
Laptop 14 Win 10 Pro
Laptop 6 Win 11 Pro
Desktop 5 Win 10 Pro
Desktop 5 Win 11 Pro
Router 1 Proveedor Claro
Swith 2 Ubiquiti
Access Points 2 Ubiquiti
Servidores 2 Linux
Recurso Tecnológico: Software
Windows 10 19 Software Original
Windows 11 11 Software Original
Linux OS7 2 Software Original
MySQL Server 1 Licencia Free
PHP Server 1 Licencia Free
Microsoft Office 30 Software Original
Fuente: Las Delicias, S.A.
Antecedentes
La entidad cuenta con equipo computo, la cual en varios Departamentos

se vieron afectados por la vulnerabilidad que existe perdiendo parte de la
información almacenada en el equipo, uno de los principales problemas fue por
9
gusanos y la encriptación de información de ataques alcanzados, a raíz de los
ataques se vieron en la necesidad de reinstalar los softwares (Windows, paquetes
de Office y otras aplicaciones), impactando de forma negativa en la empresa pues
en estos equipos se encontraba información confidencial como del operaciones
contables, control de personal, información financiera entre otros, esto sentó un
precedente para la entidad sobre las vulnerabilidades informáticas que padecían e
impacto directamente al departamento de informática y sus unidades.
Esto declino a analizar que también en las sucursales podría pasar lo mismo,
y esto afectar también a los clientes ocasionando robo de datos en las transacciones
al momento de utilizar los POS obtenido la información de la banda magnética,
dejando en descubierto no solo errores en el sistema de cobro, así también los datos
que se almacenan en informática.
Sumado a problemas que se han presentado de forma recurrente con la red,

debido a fallos en el equipo, esto debido a inestabilidad de la corriente eléctrica y
falta de medidas preventivas por parte del personal de informática.
Esto llevo a que la gerente de la empresa destinara un porcentaje del presupuesto

para la contratación de una empresa para el asesoramiento y realización de un plan
de gestión de integral de la seguridad.
Justificación
Como empresa se debe ser consciente que con el cambio tecnológico que se ha
sufrido durante los últimos años, la información digital se ha vuelto uno de los activos
más importantes de una institución, cada día es menor la cantidad de información
que se trata en papel, todo se ha simplificado para su realización inmediata a través
de medios digitales.
Pero esto implica un riesgo mayor, ya que el internet no tiene fronteras y manejar
nuestra información de esta manera nos deja susceptibles a ataques de cualquier
parte del mundo, con intenciones que pueden ser o no claras.
10
Por esta razón contar con un proceso de seguridad robusto y bien desarrollado
es un elemento clave para la protección de los activos, recursos y personas,
permitiéndonos tener una ventaja competitiva en el mercado, puesto que contar con
un sistema seguro y eficiente nos permite agilizar el traslado de información.
Desarrollando un plan y procesos de seguridad para la empresa, busca mitigar

y reducir las áreas de riesgo con las que cuenta actualmente e identificar otras
dentro de los sistemas utilizados actualmente por Las Delicias, S.A..
OBJETIVOS DE SEGURIDAD
Objetivo General
Implementar un sistema de gestión de la información establece y mantiene un

ambiente razonable y alineado, de tal manera que permita la protección de sus
activos de información.
Objetivos Específico
• Proteger la información ante cualquier acceso no autorizado.
• Procesar la información garantizando la confidencialidad, disponibilidad e

integridad.
• Identificar los riesgos de seguridad de la información manteniendo niveles

aceptables.
POLITICAS DE SEGURIDAD
Se establecerán normas de seguridad las cuales son fundamentales para la

empresa Las delicias, S.A. estas son reglas que tenemos que cumplir todo el
personal relacionado, asegurando la integridad y disponibilidad de la información.
11
Políticas de Acceso
a. Seguridad Perimetral
Integrar elementos y sistemas ya sean electicos o mecánicos, para la protección

de un perímetro físico evitando intrusos.
Alcance
Entre los sistemas de seguridad perimetral estarán incluidos videos sensores,

vallas con sensores, infrarrojos, métodos que permitirán proteger de manera
efectiva las instalaciones de Las delicias, S.A.
Objetivo
Evitar que cualquier intruso ingrese a las instalaciones de Las delicias, S.A.
Sanción
Cualquier intruso que sea detectado se estará realizando una denuncia ante el
MP y entregado a las autoridades correspondientes.
b. Control de Acceso
En la empresa Las delicias, S.A. se les permitirá el acceso reduciendo los

privilegios de las cuentas de usuario al mínimo necesario para desempeñar sus
tareas autorizadas. Cada usuario deberá ser autorizado por el departamento de
IT.
Alcance
Se debe aplicar a todos los usuarios que tengan permitido acceder a la

información y puedan afectar los activos.
Objetivo
12
Minimizar el impacto de cualquier fallo, vulnerabilidad o accidente en el sistema
mediante la correcta configuración y permisos otorgados estableciendo quien
como y cuando puede acceder.
Sanción
Cualquier empleado que se detecte violando la presente política, puede ser

sancionado lo cual llevar a la terminación laboral de la Empresa Las delicias, S.A.
Políticas de Sistemas Informáticos
Objetivo
Tiene como propósito establecer una guía para la administración de los

programas utilizados o programas que se quieran adquirir.
Alcance
Evitar la instalación y desinstalación de software el cual no esté permitido por

parte de Las delicias, S.A.
Sanción
Cualquier empleado que se detecte violando la presente política, puede ser

sancionado lo cual llevar a la terminación del contrato laboral de la empresa Las
delicias, S.A.
Políticas de Infraestructura de red
Objetivo
La infraestructura de red deberá preservar la confidencialidad, integridad y

disponibilidad de la información, protegiendo de accesos no deseados desde el
interior o exterior de la red.
Alcance
13
El personal de IT será el encargado de administrar, velar y actualizar la
presente política, la cual será aplicada a todo equipo informático que pertenezca
a Las delicias, S.A.
Sanción
En caso del incumplimiento de esta política, se estará realizando una

suspensión temporal, si el empleado ignora la advertencia recibida se procederá
con la terminación del contrato laboral de la empresa Las delicias, S.A.
Políticas de Personal
Objetivo
Todas las personas que utilizan recursos informáticos de la empresa Las

delicias, S.A. deberán aceptar las condiciones de confidencialidad y uso adecuado
de los recursos informáticos.
Ningún empleado podrá realizar copias, alterar o destruir información que no

se encuentre bajo su responsabilidad.
Alcance
Cumplir y respetar las directrices establecidas por Las delicias, S.A.
Sanción
Cualquier empleado que se detecte utilizando mal los recursos informáticos

deberá pagar el daño.
El empleado que se sorprenda copiando, alterando o destruyendo información

será suspendido temporalmente.
PROCEDIMIENTOS DE SEGURIDAD
Acceso Perimetral
14
Código PAP-1
Versión 1
Fecha
de 01-02-2022
versión
Ingreso y egreso de personal a las

Instalaciones
Área
Recursos Humanos Área Operativa Seguridad Perimetral
Responsable
Responsable Lic. Rodolfo Cabrera Operador Guardia de Seguridad
Descripción
El departamento de Seguridad Perimetral es el encargado de validar mediante una
credencial de acceso, si una persona corresponde como miembro del personal de Las
delicias, S.A. o es un tercero que requiere acceso a las instalaciones.
Ingreso y egreso de personal y equipo

al Data Center
Área
Departamento de IT Área Operativa Seguridad Perimetral
Responsable
Responsable Gerente IT Operador Guardia de Seguridad
Interno
Descripción
El departamento de IT es el encargado de administrar el acceso al área restringida del
Data Center, así como de cualquier equipamiento que se ingrese y retire del mismo
15
Control de Acceso
Código PCA-1
Versión 1
Fecha
de 01-02-2022
versión
Creación de Usuarios
Área
Recursos Humanos Área Operativa Departamento IT
Responsable
Responsable Gerente RRHH Operador Ingeniero IT
Descripción
A solicitud del departamento de RRHH, el grupo IT debe crear en las plataformas
informáticas una nueva cuenta de usuario al momento de ingreso de un nuevo empleado
a la empresa, para la creación de este rol se requiere del rol definido para este usuario
según las instrucciones de RRHH
Baja de Usuarios
Área
Recursos Humanos Área Operativa Departamento IT
Responsable
Descripción
A solicitud del departamento de RRHH, el grupo IT debe eliminar en todas las
plataformas informáticas la cuenta de usuario al momento de confirmación del retiro de
un empleado en la empresa, para la eliminación de este rol se requiere de las
16
instrucciones de RRHH. Antes de su eliminación se requiere validación de cualquier
plataforma tecnológica que pueda estar en riesgo ante la eliminación de este usuario por
lo cual se debe colocar en suspensión por 5 días.
Sistemas Informáticos
Código PSI-1
Versión 1
Fecha de
01-02-2022
versión
Asignación de Recursos Informáticos
Área
Departamento IT Área Operativa Departamento IT
Responsable
Responsable Gerente IT Operador Ingeniero IT
Descripción
En base al rol que fue definido para una cuenta de usuario por el departamento de RRHH,
se asignan en el equipo de computo (escritorio o móvil) el software y/o accesos a las
plataformas tecnológicas de Las delicias, S.A.
Seguridad de Sistemas Informáticos
Área
Responsable
17
Descripción
De ser requerido un cambio en las políticas de seguridad y reglas de Antivirus, firewall,
programas de transporte de archivos como ftp, tftp, scp; habilitación de puertos
periféricos, se requiere el aval del supervisor inmediato junto con la justificación del
cambio solicitado. Esta justificación está sujeta a evaluación y su posterior aprobación.
Acceso a recursos de Internet
Área
Departamento RRHH Área Operativa Departamento IT
Responsable
Descripción
A solicitud de RRHH, con el aval del supervisor inmediato. Se requiere detalladamente
un listado de los sitios o recursos de internet que el usuario desea acceder, este listado
pasara por revisión y validación para su posterior ejecución.
Infraestructura de Red
Código PIR-1
Versión 1
Fecha
de 01-02-2022
versión
Aseguramiento Perimetral
Área
Responsable
18
Descripción
El departamento de IT es el encargado de administrar las políticas de seguridad y
aplicarlas en el firewall. Cualquier política que sea nueva, se requiera su eliminación o
modificación debe ser evaluada previamente en un control de cambios para validar su
impacto operacional. El mantenimiento del software y licenciamiento de este equipo
deben estar en línea con las especificaciones del proveedor.
Aseguramiento de Red
Área
Responsable
Descripción
El acceso a la red mediante conexión física o mediante conexión inalámbrica va enlazado
con la cuenta de usuario y el equipo asignado a cada empleado. El acceso inalámbrico
de un equipo de terceros está restringido a la red de invitados y no se puede brindar el
acceso a las plataformas tecnológicas de Las delicias, S.A.
Instalación y/o Retiro de equipos de

red.
Área
Responsable
Descripción
Toda adición de equipos de red debe pasar por aprobación en un control de cambios
para determinar el impacto en la infraestructura de red. Se requiere de un diagrama
19
actualizado y los recursos para interconexión necesarios detalladamente para aprobar
su inclusión
Personal Operativo
Código PO-1
Versión 1
Fecha
de 10-03-2020
versión
Aseguramiento de Información
Área
Departamento RRHH Área Operativa Departamento IT
Responsable
Descripción
Cada empleado operativo debe firmar un acta donde acepta las políticas de seguridad
de manejo de información relacionadas con su rol definido por el departamento de
RRHH, de existir un cambio o modificación en este rol debe volver a aplicarse este
procedimiento. No se puede dar de alta un usuario en la plataforma tecnológica hasta
que no se tenga registro escrito de esta acta.
Manejo de información
Área
Gerencia Área Operativa Departamento IT
Responsable
Responsable Licda. Serrati Operador Ingeniero IT
20
Descripción
La gerencia en conjunto con el departamento de IT son los encargados de determinar y
catalogar toda información sensible en la empresa. Esta información debe estar
catalogada con los roles de usuario definidos con RRHH. En caso de crearse un nuevo
rol se debe actualizar esta política a nivel general, y proceder a apoyarse con el
procedimiento de Aseguramiento de la información.
DIAGRAMAS DE ARQUITECTURA DE SEGURIDAD
La siguiente sección representa la infraestructura de la empresa Las delicias,

S.A. de acuerdo con lo establecido en este SGSI. Toda modificación futura de los
recursos informáticos y de red deben seguir los lineamientos establecidos en este
documento.
Topología de Red Interna
El siguiente diagrama detalla la estructura de red en la sede central.
Firewall Perimetral
Se definió un equipo firewall, para administrar seguridad perimetral a los

recursos informáticos y aplicar las políticas de acceso a la red.
Switch Principal
Se definió el equipo switch de 24 puertos para el rol de distribución, en este

equipo se conectan directamente los sistemas informáticos de la empresa Las
delicias, S.A., tales como el grupo de servidores, el grupo de IT (informática) y
desde este mismo equipo se da acceso a 3 switches adicionales que integran los
demás ambientes de la oficina central.
Switch de Acceso
Se definieron los equipos switches de 24 puertos para recibir la distribución de

la red desde el data center, estos equipos están destinados a la interconexión de
21
las extensiones telefónicas y los equipos de escritorio, así mismo en estos equipos
se conectan los access point que brindaran el acceso inalámbrico a los usuarios.
Extensión Telefónica
Los teléfonos IP, se conectan directamente a los switches, siendo esos mismos
los encargados de brindar la energía mediante el protocolo PoE, todo equipo de
cómputo debe que necesite acceso a la red mediante conexión UTP debe
conectarse a través del teléfono IP asignado.
Equipo de Computo
Los equipos de cómputo autorizados son los equipos de escritorio y las

computadoras portátiles; los equipos de escritorio deben conectarse a la red
mediante su ethernet, y los equipos portátiles mediante el uso de red inalámbrica.
Figura 3: Diagrama de Red Interna (ilustración propia)
22
Topología de Red Externa
El siguiente diagrama detalla la estructura de la red externa que se establece

contra el sitio central desde las sucursales remotas.
Central Zona 17
En el sitio central, se tienen localizado los recursos informáticos a los cuales

las sucursales remotas deben acceder. Estos recursos están alojados en la granja
de servidores en el data center.
Sucursal Remota
La infraestructura de la sucursal remota consiste en un acceso a internet

brindado por un proveedor de internet local, y un equipo de escritorio el cual
cuenta con políticas de seguridad y enlace de datos dedicado para poder
establecer una conexión segura con los recursos de la sede central. El ancho de
banda es limitado por lo cual está definido únicamente para acceder a estos
recursos y realizar llamadas mediante enlace al sitio central.
Proveedor de internet y enlace
El proveedor de internet y enlace dedicado entrega un equipo cisco,

proporcionando un servidor DHCP y servicio de NAT.
23
Figura 4: Diagrama de Red Externa (ilustración propia)
Topología de Red Data Center
El siguiente diagrama detalla la estructura y distribución física de los equipos

ubicados dentro del data center.
Rack Data Center
Los equipos están montados en un rack de 8U, en este rack están ubicados la
granja de servidores, el firewall perimetral, y el switch de distribución.
Rack 2do Nivel
Los equipos están montados en un rack de 8U, en este rack están ubicados los
switches de acceso.
Rack 3do Nivel
switches de acceso.
Rack Bodega Administrativa
24
switches de acceso.
Ilustración 5: Diagrama de Red Data Center (ilustración propia)
INSTRUCCIONES PROCEDIMIENTOS
Ingreso y Egreso
De Personal Nº de Versión: 01/00
Autorizado y No
Autorizado
Fecha de 01/02/2022
Vigencia:
Definiciones
Datacenter: Centro de Cómputos.
25
Personal Autorizado: Se refiere al personal del Área de Tecnología en condiciones
de ser autorizado a ingresar al Datacenter (jefe, Subjefe, Administrador de
Servidores, Administrador de Bases de Datos).
Área de tecnologia
Ante la necesidad de Autorizar o Revocar el Acceso Físico de Personal
Autorizado al Datacenter.
Jefe / Subjefe
Ingresa a la Aplicación para autorizar / revocar en la misma, el acceso físico al

Datacenter del personal autorizado del área.
Alternativa
1.b.1.a. Si se trata de una autorización, autoriza en la aplicación el acceso del

empleado autorizado ingresando los siguientes datos:
• No. de Tarjeta de proximidad asignada a empleados.

• Días, Horarios y Fecha de Expiración, de la autorización (en
función del perfil del autorizado)
• Nombre Completo
• Numero de DPI
1.b.1.b. Llenar el Formulario de Autorización, Revocación de Acceso Físico al
Datacenter, completando los siguientes datos:
• Nombre y Apellido del Autorizado

• Número de DPI
• No. autorización
1.b.2.a. Si se trata de una revocación, revoca en la aplicación la autorización de

acceso del empleado revocado ingresando el siguiente dato:
• Nro. de Tarjeta de proximidad Asignada

• Nombre Completo
• Número de DPI
26
Personal Autorizado
1.c. Recibe el formulario de Autorización / Revocación de Acceso Físico al

Datacenter.
1.d. Firma el mismo en el campo de Firma del Empleado.
1.e. Devuelve al jefe / Subjefe el formulario debidamente firmado.
Jefe / Subjefe
1.f. Recibe el formulario debidamente firmado.

1.g. Firma y sella el formulario en el campo Firma y sello del jefe / Subjefe de
Tecnología.
1.h. Imprime Listado actualizado de Empleados con Acceso Físico al Datacenter
Los datos que contiene el listado son:
• Fecha y Hora de Impresión ❑ Nombre y Apellido.

• Número DPI
• Nro. de Tarjeta
• Total, de Autorizados.
Área de tecnologia Personal Autorizado
1.b. ¿Debe ingresar con personal ajeno al Datacenter?
Alternativa
2.a.1.a. Si debe ingresar con personal ajeno al Datacenter, completa el Libro

de Actas de Ingreso de Personal Ajeno al. El mismo debe encontrarse en la puerta
de ingreso al Datacenter. Los datos que completa son:
• Fecha
• Horario de Entrada
• Nombre y Apellido de la persona que ingresa
• Tarea para realizar
• Empresa
27
Nota: el personal ajeno al Datacenter debe ingresar al mismo acompañado por el
Personal Autorizado del área de Tecnología.
Una vez finalizadas las tareas dentro del Datacenter
2.b. Acerca su tarjeta identificatoria de empleado, a la lectora abre-puerta de

salida del Datacenter.
2.c. Sale del Datacenter verificando que la puerta haya quedado trabada.
Nota: Si estaba con personal Ajeno deben salir todas las personas que hayan
ingresado.
1.c. robo de esta.
Creación de Nº de Versión: 01/00

usuarios.
Fecha de
Vigencia: 01/02/2022
a. Cada requerimiento de creación de usuarios debe ser solicitado únicamente

por Recursos Humanos.
b. Recursos Humanos asignara código de tarjeta de proximidad
c. Recursos Humanos enviara mediante plataforma fecha de ingreso, nombre
completo, DPI, Departamento.
d. El número de caso será asignado al área de Tecnología
e. Se tiene un SLA de 8 Horas para crear el usuario y asignar accesos a las
plataformas institucionales.
f. Mediante plataforma se envía información de creación de usuario a jefe
inmediato de la persona de nuevo ingreso, para trasladar los mismos.
g. Al momento de ingresar por primera vez el usuario pedirá cambio de
contraseña.
h. En este punto cada uso que el usuario de, quedara registrado en bitácora de
seguridad.
28
Baja de usuarios. Nº de Versión: 01/00
Fecha de 01/02/2022
Vigencia:
a. Cada requerimiento de Baja de usuarios debe ser solicitado únicamente

por Recursos Humanos.
b. Recursos Humanos enviara mediante plataforma fecha de baja, nombre
completo, DPI, Departamento.
c. El número de caso será asignado al área de Tecnología
d. Se tiene un SLA de 8 Horas para dar de baja el usuario y revocar accesos
a las plataformas institucionales.
e. Mediante plataforma se envía información de Baja de usuario a jefe
inmediato.
f. En este punto se puede continuar con el proceso de desvinculación por
parte de Recursos Humanos.
PLANTILLAS DE PROCEDIMIENTOS APLICADOS
Formulario de solicitud de creación de usuario
Fecha: No. de Registro:
Información RRHH
Código asignado: Fecha de Incido:
Datos de Usuario
Nombre: NIT:
29
DPI: Departamento:
Área: Puesto:
____________________________
Firma de Autorización
Esta área es exclusiva para uso de Informática
Técnico Asignado
Nombre: Código de Empleado:
Observaciones:
_______________________________________________________
Formulario de solicitud de eliminación de usuario
Datos de Usuario
Nombre: Código de empleado:
30
Fecha efectiva:
No. de notificación RRHH: No. de Autorización:
____________________________
Firma de Autorización
Esta área es exclusiva para uso de Informática
Técnico Asignado
Registro de realización
Fecha: Hora:
Observaciones:
_______________________________________________________
Formulario de solicitud de acceso a datacenter

Datos de jefe Inmediato / Persona que Autoriza
31
Nombre: Departamento:
Puesto: Área:
Datos de Usuario
Tipo de Acceso: Temporal o Indefinido o
Áreas de Acceso:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
Fecha inicio: Fecha finalización:
____________________________ ____________________________
Firma de Autorización Firma de empleado
Técnico Asignado
32
Observaciones:
_______________________________________________________
Formulario de solicitud de remoción de acceso a datacenter
Datos de jefe Inmediato / Persona que Autoriza
Nombre: Departamento:
Puesto: Área:
Datos de Usuario
Tipo de Acceso: Temporal o Indefinido o
Áreas de Acceso:
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
____________________________________________________________________
33
____________________________ ___________________________
Firma de Autorización Firma de empleado
Técnico Asignado
Observaciones:
______________________________________________________
CHECKLIST
Creación de usuarios
Instrucciones de uso: El siguiente checklist tiene como objetivo definir una serie
de instrucciones las cuales se deben cumplir al momento de crear un usuario.
Fecha:
Evaluador:
Revisor:
No. Descripción Validado No validado Comentarios
La creación de usuarios es de uso

1
personal
34
Los usuarios deben cumplir con
2 un carácter diferente al
alfanumérico
Se tiene con una bitácora de los

3 usuarios creados por
departamento.
Cada usuario está compuesto por

4
diferentes roles
Los usuarios deben de manejar

5 por roles el acceso a la
información
Se sabe qué usuarios están

6
activos o inactivos
Se ha validado un mantenimiento
7
de usuarios periódicamente
Se tiene contemplado el uso de

8
privilegios por usuario
Las cuentas de usuario se crean

9 en base a nombre y seguido en
base al control de acceso
Los usuarios son confirmados

mediante correo electrónico para
10
tener una documentación de
respaldo
35
Con la firma del presente documento manifiesto la aceptación en pleno uso de mis
facultades mentales.
______________________ _____________________
Evaluador Revisor
Mantenimiento de hardware
Instrucciones de uso: El siguiente checklist se debe utilizar con el objetivo de

tener un buen funcionamiento óptimo de los recursos tanto internos como externos
del hardware.
Fecha:
Evaluador
Revisor:
Mantenimiento y diagnóstico de
1
equipos
Limpieza externa e interna del

2
equipo de computo
36
Ayuda al proceso de continuidad
3
del negocio
Servicio óptimo de los dispositivos

4
internos
Se coordinan mantenimientos
5
periódicos
Se llena una bitácora con los

6
incidentes encontrados
Se notifica a cada departamento

7
el estado del hardware asignado
Se aplican correcciones
8 preventivas en el hardware
evaluado
Se tiene un inventario de todo el

9
hardware de la empresa
Se tiene un listado de los equipos

10 que aún se encuentran en
garantía
______________________ _____________________
37
Evaluador Revisor
Entrega y recepción de hardware
Instrucciones de uso: el siguiente checklist se debe utilizar con el objetivo de

evaluar los controles existentes y en cada uno de los procesos.
Fecha:
Evaluador:
Revisor:
Existe una política de referencia

para la evaluación del hardware,
1
que indique el riesgo expuesto a la
infraestructura
Se realiza monitoreos a toda la

2
infraestructura de informática
Actualizaciones a los diferentes

3 hardware que puedan presentar
vulnerabilidades
Plan de acción para mitigar

4
riesgos en los equipos
38
se cuenta con inventario de los
5
bienes de la empresa
todos los equipos se encuentran

6
operando
______________________ _____________________
Evaluador Revisor
Asignación de accesos de navegación

evaluar el acceso a la navegación.
Fecha:
Evaluador
Revisor:
39
Existe alarmas para detectar
1
fuegos
Los equipos se encuentran

2
conectados a una red segura
se tiene identificaciones para los

3
archivos confidenciales
existen políticas sobre el uso de

4
navegadores y servidores
la red está administrada según la

5
jerarquía
pide usuario y claves para entrar a

6
una red o páginas web
se renueva periódicamente los

7
accesos a los equipos
se bloquean las cuentas de los

8 usuarios en un determinado
momento
existen políticas para el bloqueo

9
de usuarios
40
______________________ _____________________
Evaluador Revisor
Seguridad física

evaluar la seguridad física e instalaciones del centro de datos.
Fecha:
Evaluador:
Revisor:
El centro de datos cuenta con la

seguridad adecuada por ejemplo
1 biométrico de acceso, cerradura,
alarma. cámaras, para restringir el
acceso al personal no autorizado.

2
aislados de los usuarios.

ubicados en lugares estratégicos
3 para evitar exposición solar,
viento, agua, fuertes
temperaturas.
41
Cuenta con aire acondicionado
4
con niveles apropiados.
El centro de datos cuenta con un

5
sistema de monitoreo ambiental.
Los equipos tienen restringido los

6 puertos usb para mitigar riesgos
de sabotaje o robo de información.
Cuenta con ups o una planta

eléctrica como alternativa al
7
momento de un corte del
suministro eléctrico.
______________________ _____________________
Evaluador Revisor
Seguridad de red

evaluar la seguridad de la red en los diversos ambientes y servicios.
Fecha:
42
Evaluador
Revisor:
Los puertos no utilizados se

1
encuentran deshabilitados.

2
conectados a una red segura
Se tienen un listado de todos los

3 equipos (dns) y usuarios activos
(active directory).
Existen bitácoras de revisión de

4
eventos.
5 Restricción de accesos a la red.
Limitación de los privilegios para

6 acceder a la consola de los
equipos.
7 Poseen balanceadores de cargas.
Se tienen un procedimiento para

realizar backups a los equipos y
8
validación de que los mismos
funcionen.
Se cifran los datos confidenciales

9
que se transfieren por medio de la
43
red.
Los sitios públicos tienen

10
certificados SSL.
Existen políticas de cambio de

11 contraseña con una antigüedad
mínima de 3 meses
______________________ _____________________
Evaluador Revisor
PLAN DE CONTINUIDAD DEL NEGOCIO
a. Inicio del proyecto
El proyecto ha sido desarrollado por el área de Gestión de seguridad de la

información con la colaboración de las áreas de TI, en coordinación con los
diferentes departamentos que conforman.
b. Análisis de impacto al negocio
La norma ISO 22301 dice que la BIA (Business Impact Analysis) debe de tener
al menos una evaluación del impacto de una interrupción al negocio.
Por lo tanto, la empresa Las Delicias, S.A. determina que el BIA debe de
presentar al menos tres puntos importantes:
44
b1. Identificación de los procesos críticos, tal como la empresa y el soporte deben
de estar sujetos a los cumplimientos que este regula.
Identificación de los procesos críticos de negocio y de soporte
Los procesos de Las Delicias, S.A. están clasificadas por nivel, siento este modo
de restablecer los siguientes procesos:
Proceso Descentralización Proceso Nivel de

Criticidad
Copias de Oficinas Las Soporte Critico
seguridad Delicias
Clasificación de Oficinas Las Negocio Critico
riesgos Delicias
Envió de Sucursales Las Soporte Critico
información de Delicias
otras sucursales
En estos procesos, la clasificación de riesgos y envió de información a otras

sucursales y copias de seguridad, se constituyen en aquellos a los que la gestión
de seguridad de la información debe de dar prioridad para su restablecimiento al
momento de que se presente una catástrofe dentro de la empresa Las Delicias, S.A.
b2. Evaluación del impacto del cual la interrupción de los procesos pudiera llegar a
generar en la empresa y sus proveedores de servicio.
Se determina que un impacto de algún evento de interrupción de la perdida de

la información se vera reflejado de la siguiente manera, según esta tarde el tiempo
de interrupción:
Tiempo de
impacto Las Impacto en partes interesadas
Delicias,
S.A.
45
Nive Interrupció Entes Acceso a la
l n de las Clientes Proveedore reguladores informació
operacione s n
s
1 Interrupción Insignificant Insignificante Insignificant Moderado
=< a 30 min e e
2 Interrupción Moderado Insignificante Insignificant Moderado
>= a 30 min e
3 Interrupción Extremo Insignificante Bajo Alto
=> a 1 hora
4 Interrupción Alto Insignificante Moderado Extremo
=< a 1 hora
Vamos a mencionar que cada nivel de impacto en las partes interesadas

representa lo siguiente:
- Insignificante: No afecta el proceso.
- Bajo: Puede ocasionar leves retrasos
- Moderado: Puede representar retrasos significativos.
- Alto: Puede ocasionar una crisis sistemática.
- Extremo: Puede ocasionar una crisis sistemática en la perdida de la información.
b3. Definición del tiempo máximo aceptable de la interrupción del negocio, que
procesos se deberían de ejecutar al momento de tomar acciones para la
recuperación de la información.
Este va de la mano con el punto b2, donde se establece el tiempo máximo que
puede aceptar las interrupciones de la perdida de la información, donde el periodo
máximo en el que se prevé reanudar la operación de los procesos críticos de Las
Delicias, S.A.
46
c. Análisis y evaluación de riesgos de seguridad de la información.
Esta metodología emplea una identificación y medición de todos los riesgos de la

seguridad de la información, tomando en cuenta que es la misma que se emplea al
momento de tener un plan de contingencias tecnológicas.
c1. Identificación de los riesgos del sistema de seguridad de la información.
A continuación, se identifican todos aquellos riesgos que generan severas

interrupciones del negocio de Las Delicias, S.A.
Matriz de riesgos en seguridad de la información.

N Posible Descri Consec Fact Control Efecti Frecu Imp Nive
o. s pción uencias or es vidad encia acto l de
causas ries
gos.
Cables Riesg Incumpli Manteni Regul
en mal o miento miento ar
estado Extre normativ Extr de las Proba Extr Extr
mo o emo conexio ble emo emo
nes de
R Incend Pérdidas la
1 io que económi oficina
Saturaci impliqu cas Se
ón de e la realizar
cortapic destru a al
os cción menos
de los una
activos capacit
fijos y ación
los anual
activos para el
de uso de
47
inform los
ación extintor
es
Papeles Se Regul
desorde cuenta ar
nados, con
material directori
inflama o para
ble no llamar a
debida emerge
mente ncias
resguar
dado
Sobre Toda la Excel
calenta informa ente
miento ción
de los esencia
equipos l para
de los
cómput proceso
o o de s
comuni críticos
cación se
encuent
ra
cargada
en la
nube
Mapa de calor de riesgos en seguridad de la información
48
R1
d. Medidas de prevención.
Para permitir el adecuado proceso de reanudación del servicio al momento de

que ocurra un siniestro, estamos obligados a que tienen que trabajar con las partes
interesadas una capacitación al menos una vez cada año, que incluya a todo el
personal sobre el presente plan de continuidad del negocio:
Se deben de aplicar las siguientes medidas de prevención para el riesgo R1:
- Mantenimientos preventivos y correctivos, por lo menos una vez al año, de

los cables que conectan todo el hardware de la empresa y los equipos de
comunicación, esto con el fin de que se prevenga y corrige todos aquellos
que se encuentran en mal estado.
- Capacitaciones constantes a todo el personal de los diferentes
departamentos, sobre el manejo de extintores en caso de que ocurra algún
incendio.
- Tener actualizado el directorio y colocar impresos en cada área de trabajo el
numero de emergencias al momento de algún siniestro.
- Se debe de realizar copias de respaldo diarias de manera automática, en
especial de los activos de información críticos de la empresa.
e. Desarrollo de estrategias para el plan de continuidad del negocio.
Ante cualquier siniestro, se tiene que tener en cuenta la integridad física de todo
el personal de Las Delicias, S.A.
- Ante la falta de medios de transporte, se debe de contar con un plan para

que los colaboradores de las diferentes áreas puedan realizar home office.
49
- Se debe de contar un plan del resguardo de la información de los equipos de
cómputo que serán autorizados que puedan salir de las instalaciones.
- Tener un plan de recuperación de equipos al momento de algún robo o
extravió, en consideración pagar un seguro por equipo.
- Todo aquel activo de información critico que se resguarde en formato
impreso, debe estar escaneado en alguna plataforma digital.
f. Plan de emergencias para la gestión de incidentes.
El Plan que a continuación se presenta, se activara al momento de un foco de

incendio en las instalaciones de Las Delicias, S.A.
No. Actividades Responsables

1 Ante cualquier detección Cualquier colaborador
de un incendio, se que lo detecte.
notificará al asistente
administrativo y a los
demás colaboradores
para su evacuación de las
instalaciones.
2. Se realizarán labores de Cualquier colaborador
sofocación de incendios, que lo detecte.
según capacitación anual
que se brinde a los
colaboradores.
3. Notificar mediante correo Personal de TI encargado
a los encargados de cada de tal atribución.
departamento para poder
hacer un plan de la
perdida total de la
información que se tuvo
50
para aplicar el plan de
contingencia.
g. Plan de Recuperación de desastres
En caso de tener un incendio o un desastre de cualquier índole, que este

implique la destrucción de los activos fijos y activos de información, se tiene que
llevar a cabo las siguientes tareas de recuperación:
1. Realizar un inventario de los activos y de la información que se dañaron y

perdieron luego del desastre.
2. Registrar la perdida monetariamente, informando al área de Contabilidad con

copia a Área Administrativa.
3. Solicitar al área encargada de gestionar el evento de compra, para la

adquisición de los equipos informáticos.
4. Solicitar al Departamento de Informática la instalación del nuevo equipo e

instalación de los protocolos establecidos y software.
5. Cargar y restablecer los datos.
h. Desarrollar e implementación del BCP
La implementación del BCP o plan de continuidad, quedara a cargo de las

siguientes áreas:
• Gerencia
Es el ente encargado de instruís la aplicación del plan de continuidad del
negocio, con la aplicación de delegación de funciones, podrá delegar a las
áreas que se crean convenientes y siempre que estén bajo su línea
jerárquica.
51
• Subgerencia Administrativa
Será la encargada de velar por el cumplimiento del plan de continuidad del
negocio, con colaboración del área de informática para que cada
dependencia ejecute adecuadamente cada tarea en función a sus
procedimientos.
• Área de Informática
Departamento a cargo de realizar la reconstrucción de los sistemas
informáticos, los cuales tienen puntos críticos, asimismo, configuración de
software, copias de seguridad de la información principal de los procesos
más críticos.
• Analistas I
Área responsable de manejar la logística para el levantado de los sistemas
de comunicación y coordinar con las tareas designadas por gerencia para el
reglamento de contingencia.
• Programación de concientización y capacitación

Por lo anterior establecido, se manifiesta que, para el buen cumplimiento y
conocimiento y una aplicación triunfante del plan de Continuidad del Negocio,
es responsabilidad de todo colaborador que esté involucrado y
tener un mejor proceso.
• Mantenimiento y entrenamiento
La estrategia de Continuidad del Negocio deberá regir de actualizaciones
como mínimo dos veces al año, empleando como insumo los resultados de
las pruebas realizadas en otras áreas.
i. Comunicación y Gestión de Crisis
• Comunicación interna
Los analistas designados deberán dar cumplimiento de socializar a cada área
y jefes, cuando inicie la contingencia o eventos de interrupción del negocio.
52
Si un evento su duración es mas de 1 hora, los analistas procederán a enviar
reportes a cada área respectiva e informar que departamentos están
cruzando una emergencia.
Todo colaborador deberá tener acceso a aplicaciones de comunicación
institucional, este puede ser en celulares computadoras, con el fin de
contactar a cada colaborador y solucionar la emergencia o interrupciones que
se estén presentando en el negocio.
• Comunicación externa
La manera de comunicar e informar si fuese el caso necesario a medios de
comunicación que se presenten, debido a la contingencia que sucediese
seria solo gerencia y subgerencia administrativa los encargados de facilitar
cualquier información al respecto.
En caso de existir un ataque tecnológico (virus informático, secuestro de
información o robo de alguna data), y la misma tengo ya una duración de 8
horas, el departamento de informática deberá informar a los entes superiores
y actuar según los protocolos establecidos para mitigar el riesgo existente.
53
CONCLUSIÓN
Se da por culminado el sistema de gestión de seguridad de la información,

considerado para la entidad privada Las Delicias, S.A., teniendo en cuenta la
estructura de la alta complejidad para lograr una excelente eficiencia y sobre todo
los procesos y checklist que ayudan a mitigar y sobre guardar la información en la
estructura organizacional.
Siempre se considera que esta solución valla de la mano con las normas ISO
27001, que especifica los requisitos para establecer normas en un SGSI certificado,
teniendo en cuenta un plan de seguimiento y redundancia.
En resumen, la seguridad informática se encarga de proteger todo lo relacionado

con la infraestructura informática de Las Delicias, S.A. y la información que se
encuentra en el ordenador, de lo colaboradores, existen muchas amenazas, por lo
que gracias a estos procesos ya cuentan con el conocimiento para mitigar el uso
inadecuado de los de los ordenadores al momento de manipular información.
Sin embargo, si no se cumplen con estas normas se estará aplicando sanciones

internas al momento de encontrar a colaboradores que no se apeguen a estas
normas de seguridad, siendo este un proceso de protección de la información.
54
BIBLIOGRAFÍA
Siete pasos para implementar políticas y procedimientos para ISO 27001. Escuela
Europea de Excelencia. (2022). Recuperado de:
https://www.escuelaeuropeaexcelencia.com/2019/01/siete-pasos-para-
implementar-politicas-y-procedimientos-para-iso-27001/
Blog de seguridad de la información. (2022) Recuperado de:
http://seguridadalmaximodeinformatica.blogspot.com/2012/03/conclusion.html
ISO 27001 TOOLS Excellence. Norma que permite el aseguramiento, la

confidencialidad e integridad de la información. (2022). Recuperado de:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-
27001/#:~:text=ISO%2027001%20es%20una%20norma,los%20sistemas%20que
%20la%20procesan.
El Anexo A y los controles de seguridad en ISO 27001. Escuela Europea de

Excelencia. (2022). Recuperado de:
https://www.escuelaeuropeaexcelencia.com/2019/05/el-anexo-a-y-los-controles-
de-seguridad-en-iso-27001/
F. (2019). ¿Qué es un SGSI – Sistema de Gestión de Seguridad de la

Información? | Firma-e. firme-e. Recuperado de: https://www.firma-
e.com/blog/que-es-un-sgsi-sistema-de-gestion-de-seguridad-de-la-informacion/.
55

Proyecto Final SGSI Las Delicias, S.A.

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proyecto Final SGSI Las Delicias, S.A.

Cargado por

Copyright:

Formatos disponibles

Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad de Sistemas de Información

Ing. (a) Valera Castellanos

Proyecto Final: Sistema de Gestión de Seguridad de la Información

(Las Delicias, S.A.)

Jairo Emanuel Godínez Bámaca 1293-12-8850

Carlos Daniel Estrada Estrada 1293-10-7712

13 de marzo del 2022

El presente documento tiene el objetivo de administrar de manera correcta la

Para esta gestión de seguridad de la información se solicita implementar este

Para la implementación de esta solución se utilizaron plantillas para mejorar la

La ejecución y dirección del proyecto aporto durante la ejecución todo aquello

Se definen políticas y sanciones al momento de cometer alguna falta a uno de

A continuación, se realizará una contextualización de la empresa Las Delicias,

Las Delicias, S.A. es una empresa que se dedica a la comercialización de

Actualmente están ubicados en el Km. 5.5 Carretera al Atlántico zona 17 de la

Convertirse en una organización líder a nivel nacional que cumpla ampliamente

Ofrecer al cliente productos de gran calidad, variedad y rendimiento, apoyados

Las Delicias, S.A. actualmente cuenta con una estructura departamental,

Por debajo de la dirección general se encuentra los departamentos financieros,

El departamento financiero es el encargado de la correcta administración de los

El departamento de Recursos Humanos se encarga de velar por el bienestar del

El departamento comercial es el más grande, este se divide en compras que son

Informática es el departamento encargado de la correcta comunicación entre el

El departamento administrativo es el encargado de realizar todos los tramites

Contabilidad Plantillas Compras Soporte

Figura 1: Jerarquía Organizacional (Propia)

Figura 2: Distribución de Red original (Propia)

El diagrama anterior ilustra la situación actual de la empresa Las Delicias, S.A.,

A la red en mención se conectan varios equipos de cómputo desktop y otros

Tabla 1: Inventario de equipo tecnológico

Recurso Tecnológico: Hardware

Fuente: Las Delicias, S.A.

La entidad cuenta con equipo computo, la cual en varios Departamentos

Sumado a problemas que se han presentado de forma recurrente con la red,

Esto llevo a que la gerente de la empresa destinara un porcentaje del presupuesto

Desarrollando un plan y procesos de seguridad para la empresa, busca mitigar

Implementar un sistema de gestión de la información establece y mantiene un

• Proteger la información ante cualquier acceso no autorizado.

• Procesar la información garantizando la confidencialidad, disponibilidad e

• Identificar los riesgos de seguridad de la información manteniendo niveles

Se establecerán normas de seguridad las cuales son fundamentales para la

Integrar elementos y sistemas ya sean electicos o mecánicos, para la protección

Entre los sistemas de seguridad perimetral estarán incluidos videos sensores,

En la empresa Las delicias, S.A. se les permitirá el acceso reduciendo los

Se debe aplicar a todos los usuarios que tengan permitido acceder a la

Cualquier empleado que se detecte violando la presente política, puede ser

Políticas de Sistemas Informáticos

Tiene como propósito establecer una guía para la administración de los

Evitar la instalación y desinstalación de software el cual no esté permitido por

Cualquier empleado que se detecte violando la presente política, puede ser

Políticas de Infraestructura de red

La infraestructura de red deberá preservar la confidencialidad, integridad y

En caso del incumplimiento de esta política, se estará realizando una

Todas las personas que utilizan recursos informáticos de la empresa Las

Ningún empleado podrá realizar copias, alterar o destruir información que no

Cumplir y respetar las directrices establecidas por Las delicias, S.A.

Cualquier empleado que se detecte utilizando mal los recursos informáticos

El empleado que se sorprenda copiando, alterando o destruyendo información

Ingreso y egreso de personal a las

Ingreso y egreso de personal y equipo

Asignación de Recursos Informáticos

Seguridad de Sistemas Informáticos