UNIVERSIDAD NACIONAL DE HUANCAVELICA

FACULTAD DE INGENIERÍA ELECTRÓNICA - SISTEMAS

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

“Diseño de un Sistema de Gestión de la Seguridad de la Información (SGSI), basada

en la norma ISO/IEC 27001:2013 para el proceso de suministro en la empresa Backus”

ASIGNATURA:

SEGURIDAD DE SISTEMAS DE BASE DE DATOS

PRESENTADO POR:

SOLIER SOTO Jhon David

FLORES RIVAS Max Tony
ORE CANCHARI Royer
ÑAUPARI AYUQUE Bryan Smith
PARI PEREZ Jhon Michael Antony
DANIEL HERNANDEZ - 2021
 ÍNDICE

ÍNDICE 2
FASE I: PLANEAMIENTO ESTRATÉGICO 4
VISIÓN 4
MISIÓN 4
VALORES 4
ESTRUCTURA EMPRESARIAL 5
OBJETIVOS EMPRESARIALES 5
VALOR EMPRESARIAL 6
PROCESOS 7
Procesos Estratégicos 7
Procesos de Apoyo 7
Procesos Clave 8
SITUACIÓN PROBLEMÁTICA Y PROBLEMAS EN EL CAMPO DE ACCIÓN
(activos) 8
Problemas a Resolver 9
FASE II: PROCESO DE EJECUCIÓN DEL SGSI 10
OBJETIVOS PARA EL RESGUARDO DE LA INFORMACIÓN 10
ANÁLISIS FODA DE LA ORGANIZACIÓN 10
IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN 11
RIESGOS 11
HALLAR LAS ÁREAS CLAVES DE LA ORGANIZACIÓN 11
ANÁLISIS DE LAS ÁREAS CLAVES DE LA ORGANIZACIÓN EN LAS QUE
PUEDA INFRINGIRSE ALGÚN RIESGO 12
ANÁLISIS DE RIESGO 13
IDENTIFICACIÓN DE REQUERIMIENTOS DE SEGURIDAD 13
EVALUACIÓN DE AMENAZAS 15
CÁLCULO DE RIESGO A LA SEGURIDAD 17
OPCIONES DE TRATAMIENTO 18
PLANTEAR CÓMO REDUCIR MI RIESGO 19
 MATRICES 20
FASE III: PROCESO DE CONTROL DEL SGSI 24
Políticas de seguridad 24
Aspectos Organizativos de la Seguridad de Información 24
Seguridad ligada a los recursos humanos 24
Gestión de activos 25
Control de accesos 25
Cifrado 25
Seguridad Física y Ambiental 25
Seguridad Operativa 26
Seguridad en la Telecomunicaciones 26
Adquisición, desarrollo y mantenimiento de los sistemas de información 26
Relaciones con suministradores 26
Gestión de incidentes en la seguridad de la información 26
Aspectos de seguridad en la continuidad del negocio 26
Cumplimiento 26
FASE IV: PROCESO DE MEJORA DEL SGSI 28
Formas de afrontar el riesgo 28
Factor determinante de los controles 29
 FASE I: PLANEAMIENTO ESTRATÉGICO

VISIÓN

● Ser el Grupo empresarial en el Perú más admirado por:

● El crecimiento del valor de nuestra participación de mercado a través de nuestro
portafolio de marcas.
● Otorgar el más alto retorno de inversión a los accionistas.
● Ser el empleador preferido.

MISIÓN

Poseer y potenciar las marcas de bebidas locales e internacionales preferidas por el

consumidor.

VALORES

● Nuestra gente es ventaja más duradera

● La responsabilidad es clara e individual
● Trabajamos y ganamos en equipo
● Entendemos y respetamos a nuestros clientes y consumidores
● Productividad y laboriosidad
● Nuestra reputación es indivisible
 ESTRUCTURA EMPRESARIAL

OBJETIVOS EMPRESARIALES

● Ser el mejor grupo cervecero del Perú, con proyección internacional.

● Administrar las empresas con objetivos comunes.
● Generar capacidad de respuesta oportuna ante los cambios del entorno.
● La relación comercial entre las empresas corporativas debe establecerse equitativamente,
priorizando la competitividad de las mismas, buscando reducir la dependencia de éstas
con el sector cervecero.
● Producir bebidas no alcohólicas y alimentos, alcanzado posiciones de liderazgo.
● Desarrollar la calificación y bienestar del personal en todos los niveles.
● Procurar la Calidad Total a todo nivel: personas, procesos, productos y servicios.
● Incrementar el valor del patrimonio de los accionistas y otorgar dividendos anuales.
● Desarrollar y mantener la imagen de una Corporación líder y moderna en el Perú.

VALOR EMPRESARIAL

Backus ha demostrado ser una empresa responsable y a ello se debe por los valores y
estrategias que las tiene bien marcadas.
a. Sus Valores
b. Liderazgo
c. Buen ejemplo
d. Confianza-Amistad
e. Trabajo en equipo
f. Innovación
g. Calidad total- Productividad
h. Respeto al medio ambiente
i. Moralidad en los actos
j. Solidaridad social
k. Lealtad. Disciplina
l. Respeto a las personas
Sus Estrategias: 5 Pilares

a. Crecimiento con las marcas

b. Competitividad
c. Calidad total
d. Control de costos
e. Desarrollo sostenible
 PROCESOS

Procesos Estratégicos

● Gestión de Calidad
● Gestión Ambiental
● Gestión Seguridad y Salud Ocupacional
● Administración de Desempeño

Procesos de Apoyo

● Sistemas
● Contabilidad
● Recursos Humanos
● Sistemas de Control de Almacenes
● SAP
 ● Sistemas ORACLE

Procesos Clave

Demanda

● Pronóstico de la demanda
● Marketing
● Ventas
● Detallista
● Consumidor
● Procesamiento de órdenes
● Transporte secundario

Suministros

● Planificación de inventario de la red de suministros

● Planificación y control de la producción
● Planificación de transporte
● Planificación de material
● Compras
● Almacenamiento de materiales
● Producción
● Almacenamiento de productos terminados (Planta)
● Transporte Primario
● Almacenamiento de productos terminados (Comité Demanda / Suministro)

SITUACIÓN PROBLEMÁTICA Y PROBLEMAS EN EL CAMPO DE

ACCIÓN (activos)

La organización llegó a una expansión masiva en todas sus áreas, teniendo en sí más
prioridad a las relacionadas con los procesos productivos y de distribución. Lamentablemente
la empresa descuidó los procesos relacionados con la planificación de suministros, debido a
ello empezaron a surgir problemas relacionados con la integridad de los datos, detallados en
los registros de productos, y proveedores, teniendo en cuenta una posible filtración de datos
de las organizaciones que brinda su servicios a la entidad.
 ● Surge la problemática habiendo visto, que hay datos en los registros de productos los
cuales no deben salir, los datos mayormente son la cantidad de productos que se
adquirió, la calidad de cada uno, la marca e incluso los horarios de llegada y cuando
es el abastecimiento de los productos. Este problema genera que otra entidad pueda
copiar la preparación de los insumos e incluso con la misma calidad. Esta situación se
puede atribuir a una falta de control en los registros de entrada.

● Teniendo en cuenta su expansión, la empresa empezó a solicitar productos a nuevos

proveedores, en algunos casos actualizaron sus contratos ya existentes, ello
desembocó en la actualización de registros de los proveedores la cual no tuvo un
debido control por lo que algunos datos no fueron modificados de forma correcta.
Además no existe un control debido de las actualizaciones realizadas en su base de
datos ya que también se les permite cambiar los valores cada que crean conveniente,
lo cual podría conllevar a problemas muy serios relacionados con pedidos de
productos no solicitados o divulgación de datos sensibles de nuestros proveedores.

Problemas a Resolver

Habiendo descrito la situación actual de la entidad se evidenciaron las siguientes

problemáticas:

● Pérdidas y falta de integridad en los registros de productos.

● Falta de un sistema de control para las modificaciones realizadas en la base de datos

de los proveedores.

● Falta de una estructura organizacional de seguridad de la información.

 FASE II: PROCESO DE EJECUCIÓN DEL SGSI

OBJETIVOS PARA EL RESGUARDO DE LA INFORMACIÓN

■ Asegurar la confidencialidad de los datos de nuestros proveedores.

■ Asegurar la confidencialidad de los datos de la empresa.

■ Asegurar el control de privilegios en nuestros sistemas SAP.

■ Evitar la manipulación de nuestro sistema SAP por personal no autorizado.

■ Aplicar políticas para prevenir la pérdida de información.

■ Aplicar políticas para mostrar la información disponible a quien, con los respectivos
privilegios, lo desee.

■ Evitar la modificación de la información recopilada.

■ Establecer una estructura organizacional resguardando la seguridad informática.

ANÁLISIS FODA DE LA ORGANIZACIÓN

Fortalezas Oportunidades

1. Modernización constante 1. Buenos ingenieros en seguridad

2. Confiabilidad en los procesos ante
riesgos
3. Infraestructura de red redundante
4. Respuesta rápidas a problemas en los
procesos
5. Deseos de mejorar
informática en el mercado sin ser
contratados
2. Nuevos estándares de seguridad
3. Creación de nuevos software de
seguridad
4. Leyes actualizadas sobre seguridad
5. Actualizaciones constantes en
software

Debilidades Amenazas

1. Pérdidas de información sensible 1. Nuevas modalidades de infiltración

2. Pérdidas por sobreproducción y
retrasos en la misma
3. Débiles procesos de control en el
área de almacén
4. Pérdida de tiempo en
mantenimientos
5. Ausencia de políticas de seguridad
para la modificación de la base de
datos
en las redes corporativas
2. Suplantación de identidad de altos
funcionarios
3. Presencia de diferentes tipos de
malware en internet
4. Desastres naturales
5. Ataques por parte de la competencia
 IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN

Los activos de información son recursos valiosos para cualquier empresa, es por ello
que preservar su integridad, disponibilidad y confidencialidad es de suma importancia

La información en la actualidad juega un papel muy importante ya que ayuda a las

empresas a tomar decisiones que podría posicionarla en un buen nivel de competitividad con
respecto a otras marcas, pero si se llegara a compartir información confidencial de la empresa
podría resultar en grandes pérdidas para la marca. Es así que la información ha ido tomando
un papel muy importante en estos últimos años dentro de las empresas y el mercado.

Según Martinez (2010), las dimensiones de capital social y las teorías del
comportamiento informativo están conectadas, argumentando que los grupos hacen
preguntas, presentan respuestas y toman decisiones lo cual significa que ellos reúnen,
analizan, procesan, guardan y utilizan información para construir conocimiento compartido.
Lo expuesto refuta la importancia de la información en las organizaciones ya que genera
conocimiento para la mejor toma de decisiones.

RIESGOS

HALLAR LAS ÁREAS CLAVES DE LA ORGANIZACIÓN

ANÁLISIS DE LAS ÁREAS CLAVES DE LA ORGANIZACIÓN EN LAS QUE
PUEDA INFRINGIRSE ALGÚN RIESGO

● Almacenamiento de materiales

Esta área es la encargada de almacenar y preservar en buen estado los materiales que
ingresarán a la planta de procesamiento, es por ello que su cuidado es vital para toda
la compañía.

Al no tener un adecuado control de las existencias en el almacén, esto puede

desembocar en una compra innecesaria de insumos o la supuesta entrega de algún
producto, provocando así conflictos con nuestros clientes y proveedores, además de
las pérdidas de dinero que podría conllevar.

● Compras

Esta área se encarga de contactar con los proveedores, realizar todo el trámite y pagos
para obtener los insumos necesarios para la fabricación de bebidas, cumpliendo así
con la necesidades de la empresa para producir.

Sucede que no se cuenta con un adecuado resguardo de la información de nuestros

proveedores, por lo que diferentes trabajadores del área u otros podrían acceder a los
sistemas y solicitar productos innecesarios o eliminar valores de la base de datos de
proveedores (como el registro de compras, ofertas que se ofrecen, datos sensibles de
los proveedores, etc). Además de lo descrito, al no tener un buen control del
inventario en el almacén, las consecuencias repercuten en esta área ya que se podría
solicitar el abastecimiento con un determinado producto del cual ya se dispone pero
no está debidamente registrado, provocando así incomodidades con nuestros
proveedores y demás áreas de la empresa.

● Producción

Esta es un área clave dentro de la empresa, ya que sin ella no tendría razón de ser. En
esta área se elaboran los distintos productos de la marca que luego serán transportados
y vendidos a los clientes finales.

● Planificación de la red de inventario y suministro

 Esta área analiza el nivel de consumo de insumos que se está dando en la etapa de
producción conjuntamente con el almacén de materiales y el estudio de mercado que
realiza otra área para así determinar cuánto se consumirá en las próximas semanas y
cuánto es lo que deben de pedir a sus proveedores.

Los problemas localizados en esta área están relacionados con el manejo del sistema
SAP que adoptó la empresa, gracias a determinadas vulnerabilidades encontradas en
esta se pone en peligro la información recopilada por la empresa a lo largo de la
historia.

ANÁLISIS DE RIESGO

Identificación Valoración

Conocimiento técnico disponibilidad y confiabilidad

Base de datos integridad y disponibilidad

Legales integridad

Gestión de información integridad y disponibilidad

IDENTIFICACIÓN DE REQUERIMIENTOS DE SEGURIDAD

■ Se requiere un plan de control que asegure la confidencialidad de los datos

almacenados dentro del sistema SAP y así evitar la exposición de la información a
personas que no cuentan con los privilegios necesarios.

■ Implementar un sistema de cifrado de datos para evitar la exposición de información

en caso sea vulnerada.

■ Implementar políticas de seguridad para el personal que interactúe con los diferentes
sistemas dentro de la empresa, en especial con el sistema SAP.

■ Evitar la manipulación de nuestro sistema SAP por personal no autorizado.

■ Implementar un control de transacciones en nuestra base de datos para conocer quién

o desde donde se modificó la información contenida en nuestra base de datos.
■ Realizar backups de la base de datos a fin de conservar la información por mayor
tiempo.

■ Implementar un plan de mitigación de daños.

EVALUACIÓN DE AMENAZAS

El puntaje asociado a cada riesgo potencial está dado en una escala de 1 al 10 siendo el 1 considerado con un impacto muy leve para la
empresa y 10 que representa un impacto muy grave.

1. Modificar el valor de las existencias de productos en el almacén

2. Eliminar datos de los proveedores
3. Realizar pedidos de compra excesivos o menores a lo necesario
4. Alterar la información recopilada por el sistema SAP
5. Compartir datos confidenciales de la base de datos.

Área de Características Características del Elementos

Amenaza Puntaje Impacto en el servicio
impacto de las amenazas impacto expuestos

Gestación lenta Repercutirá en la etapa de

Puede desembocar en la
Evento producción debido a la incertidumbre
paralización de la
controlable en sobre cuánto producir, las
producción debido a la
Almacén término medio operaciones se pueden detener y
1 7 falta de un insumo o la
Producción La frecuencia de generar grandes pérdidas, además de
sobreproducción por el
registros es baja no cumplir con los contratos que se
no registro de pedidos
Probabilidad: tenían generando así un deterioro de
entregados.
probable la imagen de la empresa

Gestación rápida Puede provocar retrasos Repercutirá en la etapa de

Evento no a la hora de solicitar producción y planificación de
Almacén
2 4 controlable insumos o confusión a suministros ya que se necesitará
Logística
La frecuencia de la hora de entrega de volver a pedir los datos a nuestros
registros es baja algunos. proveedores generando demoras en
 Probabilidad: la producción al proveerse de
poco probable insumos.

Eventos de
gestación rápida
Evento Puede provocar que se La compra innecesaria de insumos
Los contenedores y
controlable en tenga demasiado de un supondrá un gasto innecesario y al no
válvulas debido a
3 6 Finanzas término medio insumo pudiendo llegar ser compras de unos cuantos kilos se
un desborde de su
La frecuencia de al punto de perecer en el debe de considerar como de gran
capacidad.
registros es baja almacén. importancia el control de estos.
Probabilidad:
poco probable

Eventos de
Afectaría directamente a El impacto se daría en el nivel Las válvulas y
gestación lenta
las decisiones gerencial ya que son ellos quienes tuberías por donde
Evento
gerenciales al no tener dependen de información confiable transitan insumos y
Contabilid controlable en
la información completa de la empresa para así tomar las productos debido a
4 8 ad término medio
de lo que sucede en mejores decisiones y así determinar un incremento de
Finanzas La frecuencia de
planta, generando así la el rumbo de la empresa, de continuar su manipulación
registros es baja
toma de decisiones así la imagen pública que se tiene debido a una
Probabilidad:
desinformadas. podría perder valor. sobreproducción
probable

Eventos de Los competidores

gestación lenta pueden aprovechar
El conocimiento de datos
Evento nuestra información
confidenciales por parte de terceras
Producción controlable en para saturar el mercado
personas podría significar una
5 4 Almacén término medio de nuestros
desventaja comercial por lo que
Logística La frecuencia de proveedores, frenando
deben ser consideradas muy valiosas
registros es baja así nuestra producción o
y ser cuidadas con recelo.
Probabilidad: tomando otro tipo de
probable acciones.
CÁLCULO DE RIESGO A LA SEGURIDAD

Impacto

1 2 3

1 Muy bajo Bajo Medio

Solución 2 Bajo Medio Alto

3 Medio Alto Muy alto

Riesgos Cálculo de riesgo

Pérdidas y falta de integridad en los registros de productos. Medio - 4

Falta de un sistema de control para las modificaciones realizadas en la

Alto - 5
base de datos de los proveedores.

Falta de una estructura organizacional de seguridad de la información. Alto - 5

Problemas con la seguridad SAP. Alto - 5

OPCIONES DE TRATAMIENTO

Riesgos Tratamiento

Implantar un control de las existencias de los productos y tener un

Pérdidas y falta de integridad en los registros de productos.
resguardo de las mismas.

Falta de un sistema de control para las modificaciones realizadas en la Implantar triggers en la base de datos para así llevar un control de las
base de datos de los proveedores. transacciones realizadas.

Traspasar el cargo a especialistas sobre seguridad de la información

Falta de una estructura organizacional de seguridad de la información. para garantizar la ejecución de la misma y esta este hecho
correctamente.

Implantar políticas de seguridad para poder usar el sistema SAP,

Problemas con la seguridad del sistema SAP. además de un sistema de cifrado de información con métodos
modernos.
 PLANTEAR CÓMO REDUCIR MI RIESGO

Riesgos Reducción de riesgo

Implementar políticas de seguridad para los registros de productos en

Pérdidas y falta de integridad en los registros de productos. almacén, con metodologías de cifrado y controles de acceso a dichos
sistemas.

Implementar triggers en la base de datos con un sistema de

recopilación de información de los ordenadores que están accediendo
Falta de un sistema de control para las modificaciones realizadas en la a la base de datos y las modificaciones que realizó.
base de datos de los proveedores. Cifrar los datos almacenados en las bases de datos para hacer más
difícil la interpretación de la información y reduciendo el valor de la
misma en caso se produzca alguna extracción de valores.

Implementar algunas estrategias para la seguridad en la información y

Falta de una estructura organizacional de seguridad de la información.
así reducir el riesgo

Implementar políticas y reglamentos para el uso del sistema SAP para

Problemas con la seguridad del sistema SAP. contrarrestar la pérdida de información y así se pueda seguir
trabajando hasta implementar la solución planteada.
MATRICES

Matriz Posición Estratégica y Evaluación de Acción

Matriz Interna Externa

Matriz de la Gran Estrategia

Matriz de Decisión Estratégica

Matriz Cuantitativa de Planeamiento Estratégico
Matriz Ética
 FASE III: PROCESO DE CONTROL DEL SGSI

Políticas de seguridad

Las políticas de seguridad de Backus se basan en dar confiabilidad a sus trabajadores en sus
información personal, gestión de procesos, revisión y cumplimiento de metas, etc. sin
embargo las políticas de seguridad con respecto a su información son poco variadas y con un
trato inferior al resto de políticas en la empresa, siendo los principales problemas:

● La política de seguridad referente a los datos de la empresa como información

sensible necesita una política de seguridad.
● La confidencialidad de datos de trabajadores de Backus está detallada pero aún no es
suficiente.
● Actualización a nuevas tecnologías de seguridad.

Revisando las políticas de la seguridad de la información más esenciales mencionadas

anteriormente, lo que se debe mejorar en estos puntos se deben hacer en conjunto con el
departamento de recursos humanos, los términos y condiciones del contrato y las políticos de
la empresa.

Aspectos Organizativos de la Seguridad de Información

Según la identificación de riesgos, la integridad de los datos se ve afectada constantemente y

se debe implementar una política de seguridad para estos casos, como recomendaciones
según la ISO 27001 tenemos:

● Tener una copia de seguridad de datos cruciales de la compañía resguardados en la

nube para no incurrir en gastos de Hardware
● Realizar un mantenimiento en los dispositivos de telecomunicaciones para garantizar
su operatividad
● Realizar un plan de contingencia en caso de tener problemas, esto con previo
conocimiento de los riesgos de la empresa
● Actualizarse y adaptarse a las nuevas tecnologías de información como ofimática
online, seguridad por drones, etc.

Los puntos mencionados se deben aplicar en la organización interna de Backus como la

segregación de tareas por departamento y las asignaciones a las mismas. La gerencia y/o
departamento encargado de su desarrollo es el Departamento de Desarrollo y TIC, este
departamento se encarga de implementar y capacitar sobre las nuevas tecnologías, según los
planes anuales de la última década las tecnologías aplicadas han sido aplicadas en pro del
aprovechamiento de los residuos de la cebada para las bebidas alcohólicas, plástico reciclado
para bebidas naturales, etc. Sin embargo, las mejoras para su propia seguridad de información
y datos cruciales han sido poco mejorados y menos aún divulgados.

Seguridad ligada a los recursos humanos

Por recursos humanos entendemos que e sun departamento de la empresa encargado de la

contratación y capacitación del personal de la empresa, Backus al igual que muchos
consorcios tiene una departamento de recursos humanos y para implementar la seguridad en
necesitamos conocer 3 aspectos claves para asegurar que la información está protegida y no
será transgredida por algún trabajador con antecedentes o actitud molesta.

1. Antes de la contratación

Investigar los antecedentes de los posibles trabajadores de nuestra empresa en

indispensable, saber si tienen antecedentes penales o problemas de salud nos ayuda a
identificar las cualidades y desventajas de una persona, además tenemos que hacer
conocer a los postulantes sobre nuestro término de condiciones para que sea
consciente de sus derechos y deberes en la empresa Backus.

2. Durante la contratación

El proceso disciplinario en caso de faltas a sus deberes, capacitación en temas nuevos

o implementación de nuevas medidas y la responsabilidad de cada gestión se
implementarán en Backus, la contratación de nuevo personal de ayuda y los
beneficios que tienen cada uno de ellos.

3. Cese o cambio de trabajo

Según la memoria anual que presenta backus los trabajadores en cada área de la
empresa tienen una jubilación de acuerdo a la ley del Perú a los 65 años y estas
personas tienen beneficios de la empresa aparte de las aseguradoras a las cuales
estuvieran afiliados, por otro lado si hay un cambio de trabajo en otra entidad o
 renuncia por parte del sujeto se toman acciones de acuerdo a los estipulado en los
términos y condiciones del contrato de dicho sujeto.

Gestión de activos

Backus tiene una predisposición con el aprovechamiento de la materia prima que usa
para llevar a cabo el proceso de elaboración de bebidas alcohólicas y otras bebidas para el
consumo del público. En este aspecto Backus tiene un avance considerable con la gestión de
activos como la información de productores, suministradores y vendedores en diversos
departamentos del Perú. Los distribuidores de Backus son de la zona Norte, Sur, Oriente,
Central y Lima y exponen la información básica al público por lo que las directrices de
clasificación son reservadas para la compañía.

Control de accesos

1. Control de acceso a la información

El control de acceso a la información en la empresa se da por categorías, los

empleados que trabajan en las plantas distribuidoras o empaquetadoras por ejemplo
son los que menos acceso a la información sensible poseen, pues solo necesitan
información de los procesos que ellos llevan a cabo.

Cargos como el director de Logística, director de Marketing o el CEO de la compañía

son aquellos que poseen más acceso a la información de la empresa por su puesto en
Backus, personas como Ignacio Stirparo que es el Director de Finanzas de Backus
acceden a la información actualizada de los ingresos y egresos de la empresa.

2. Gestión de acceso de usuario

Como ya se mencionó existen cargos de alta jerarquía en la empresa Backus, esta

jerarquía ayuda a delegar funciones a personas capacitadas en el campo laboral, estos
cargos pueden asignar roles y acceso a otros cargos por debajo de ellos siendo el CEO
en mas relevante como ejemplo, los cargos más relevantes que se pueden encontrar en
la información disponible al público brindada por Backus son:

● CEO
● Vicepresidente Legal & Asuntos Corporativos BU Perú
● Procurement Director BU Perú & BU Ecuador
 ● People Director BU Perú
● Director de Finanzas BU Perú
● Supply Director PEC
● Logistics Director BU Perú
● Sales Director BU Perú
● Marketing Director BU Perú

3. Responsabilidad del usuario

La responsabilidad del usuario está ligado a los términos y condiciones del contrato
del empleado con el empleador, esta información es brindada a cada empleador a la
hora de su contrato, por el momento los términos y condiciones que se pueden
acceder son las referidas al cliente y la distribución de
productos:backusya.pe/terminos-y-condiciones.

Si un problema de filtrado masivo de información confidencial por robo y

suplantación de cargo se diera en Backus, el actual control de acceso a la información
podría delegar a facultados para hallar el culpable pero no solucionaría el problema de
la información perdida, esto necesitaria un plan de contingencia como un equipo para
contener los datos perdidos y evitar que más datos se filtren en el menor tiempo
posible.

Cifrado

Las grandes empresas como Coca-Cola, Tesla y en nuestro caso backus es de vital
importancia realizar el cifrado a toda nuestra información ya sea en la nube o en dispositivos
de escritorios dentro de la empresa, para esto se debe establecer medidas y protocolos de
cifrados como:

● Protocolos criptográficos como : SSL (Security Sockets Layer), SET (Secure

Electronic Transaction),IPSEC, FUNCIONES HASH.
● Firmas digitales: Con esta firma podemos autentificar la que el documento sea
el que estamos buscando y que no se haya cambiado nada.
● Tener Token de seguridad: En la empresa backus como en cualquier empresa
se necesita acceder a la información, por ello los token de seguridad nos
 brindan código de 6 dígitos y de manera aleatoria con esto los que acceden a la
información de la corporación sólo podrán ingresar con estas claves.

Seguridad Física y Ambiental

La empresa cerveza al contar con sedes en diferentes partes del perú y el mundo hace
que sea necesario tener garantías y estar protegidos contra desastres naturales o
peligros ambiental generadas por el hombre, esto genera perdidos no solo de las
infraestructuras también toda la información actual y pasada localizada en consorcios,
para esto se plantea establecer controles de la seguridad en la información y son:

● Supervisión constante de los servidores, ya que se pueden ver afectados por

movimientos tectónicos,
● Tener una constante comunicación con organismos que nos brinden
información sobre meteorología y asuntos ambientales para poder prevenir
cualquier desastre que pueda afectar el cuidado de la información.
● Establecer protocolos de apagado y resguardo de zonas donde están ubicados
los servidores o controles de información.

Seguridad Operativa

Dentro de la ISO 27001 nos obliga a tener diferentes medios por el tendremos que
cuidar la información ahí encontramos la seguridad operativa para el cuidado de información
y control de ésta

Técnicas operativas que actúan sobre el Técnicas operativas que actúan sobre el
factor técnico: factor humano:

Diseño y proyectos de Instalaciones para Selección de Personal con conocimientos de

garantizar el cuidado de equipos que seguridad de la información
manejen información.

Estudio y Mejora de Métodos de Sistemas Formación de empleados en formación de

de Seguridad. gestión de seguridad.

Mantenimiento Preventivo Campañas divulgativas del personal

Normalización Señalización Acción de Grupo

 para mitigar errores

Protección Colectiva e individual de Incentivos y Disciplina.

dispositivos de control de información

Seguridad en la Telecomunicaciones

Para tener seguridad en el ámbito de telecomunicaciones dentro de la empresa Backus

y en cualquier empresa se tiene problemas similares esto debemos tener bien claras las
posibles fugas de información y sus vulnerabilidades para luego establecer los métodos de
seguridad.

Vulnerabilidad. Amenazas Solución

Solicitud de requerimientos Fuga de información Implementar de políticas,

(divulgación, pérdida o normas y procedimientos
transferencia de
información).

Reportes de base de datos Fuga de información Uso controlado de

(divulgación, pérdida o herramientas tecnológicas.
transferencia de
información)

Correo electrónico Degradación del equipo de Inexistencia de políticas de

comunicaciones. escritorio limpio.

Gestionamiento Base de Información sensible mal Denegación a extracción de

Datos gestionada. información confidencial o
sensible por equipos y/o
dispositivos no controlados
o no inventariados.

Ingreso a Documentos Denegación de servicio. Control de acceso

inadecuado.

WI-FI Uso o conexión no Establecer contraseñas

autorizada / inapropiada de seguras y establecer
equipos y recursos políticas.
informáticos /
comunicaciones.

Personal Robo de Establecer protocolos

documentación/datos. contra/ robo o pérdida de
 control a los medios
extraíbles.

Sistema de Ventas No disponibilidad/Falla en Creación de sistemas que

los datos de respaldos. sirvan de garantías para
cubrir la demanda.

Oficinas Terremoto/Inundación/Incen Control de mantenimiento/

dio/Falla de suministro de Protección Física
respaldo /Terrorismo. Inadecuada.

Adquisición, desarrollo y mantenimiento de los sistemas de información

Dentro de la seguridad de la información también encontramos la calidad de los

sistemas de control de información ahí encontramos la adquisición y mantenimiento de
sistemas para poder mantener los sistemas de información estables y funcionales. Para esto se
debe tener en cuenta:

● El cifrado de las comunicaciones.

● Sistemas múltiples de autenticación.

● Uso de certificados digitales (Identificación segura de origen y destino).

● Sistemas de prevención de envío de información no permitida en redes públicas.

● Sistemas de protección para envíos involuntarios de archivos.

Relaciones con suministradores

1. Seguridad de la información en las relaciones con los proveedores

Necesariamente se debe tener una copia de seguridad de datos de las compañías,

clientes y proyectos con las que trabajara y como medida de seguridad se debe resguardar en
la nube para evitar pérdidas de información y este debe ser de previo conocimiento para
ambas empresas. Estas son las empresas que proveen a la Empresa Backus.

2. Política de seguridad de la información para las relaciones con los proveedores

Se tiene que tener políticas en la seguridad referente a confiabilidad en los

proveedores y tener la información clara y detallada de cada uno.
Referente a las relaciones se busca reflejar seguridad

3. Cadena de suministro de tecnologías de la información y las comunicaciones

La norma en este punto nos pide que tengamos en cuenta requisitos de seguridad de la

información no solamente a nuestros proveedores, sino que fijemos los requisitos para toda la

cadena de suministro. Es decir, los riesgos para la seguridad de la información también están

afectados por lo que nuestros proveedores subcontraten.

Los dos principios para sostener una cadena de suministro con garantías son

● Proveedores de confianza.
● Exigir a los proveedores un control de seguridad a sus propios proveedores.

Gestión de Incidentes en la seguridad de la información

Existen objetivos que debemos hacer varias actividades para gestionar los incidentes con

respecto a los datos e información que se maneja en Backus, según el plan anual de 2009

hubieron mejoras en su gestión con empleados y seguridad de sus datos pero antes de esta

fecha estos datos eran más vulnerables, y surgieron varios altercados con toda la información

desperdiciada. La manera de resolver estos incidentes en las diversas áreas y departamentos

de Backus son:

● Detectar, informar y evaluar incidentes de la Seguridad de la información

● Responder a incidentes
● Reportar vulnerabilidades
● Aprender de los incidentes de la Seguridad de la información

Los pasos para la resolución de incidentes

La gestión de incidentes de seguridad se basa en diferentes pasos, que incluyen:

Controles para la gestión de incidentes de la seguridad de la información

responsabilidades y procedimientos

En primer lugar, deberemos tener implantado y documentado los procedimientos que nos

dirijan en el proceso de gestión de incidentes de la seguridad de la información,

Estos procesos deben tener en cuenta

● Las responsabilidades

○ Defina un responsable o responsables para la gestión de incidentes quien

deberá garantizar que se desarrollan los procedimientos adecuados para que se
realicen todas las tareas o procesos necesarios para gestionar los incidentes
○ Defina las responsabilidades de cada empleado tanto en la colaboración para
la respuesta, como en la necesidad de comunicación de los incidentes de
seguridad de la información
● Los procesos o procedimientos
○ Que existan procedimientos para la detección, análisis y elaboración de
informes de incidentes de la seguridad de la información
○ Elabore procedimientos para que se comuniquen los incidentes
○ Que dichos procedimientos sean conocidos (Que cada empleado conozca los
procedimientos de comunicación de incidentes y sus responsabilidades)
○ Que existan vías de comunicación adecuadas (asegúrese de que se definen los
puntos de recogida de información para los incidentes y eventos de la
seguridad de la información)
● Capacitación
○ Asegurar la competencia del personal de atención y resolución de incidentes.
Mantenga un plan de capacitación de las personas que se ocupan de los
incidentes de la seguridad de la información

Reporte de eventos de seguridad de la información

Este control nos pide que establezcamos los canales de comunicación para todos los eventos

o incidentes. Estos canales, naturalmente deben estar establecidos con los responsables de la

gestión de los incidentes.

Es importante que todos los usuarios estén informados y familiarizados con los mecanismos

de notificación. Con usuarios nos referimos a usuarios tanto internos como externos.

Reporte de debilidades de seguridad de la información

El reporte de incidentes debe acompañarse con un reporte de posibles debilidades del

sistema que se detecten en cualquier momento. Esto debe estar soportado por:

La comunicación a los usuarios de la exigencia de observar y reportar cualquier

debilidad de seguridad de la información vista o sospechada en sistemas o servicios

Se aconseja advertir que los usuarios que probar la fortaleza o debilidad de los

sistemas a ver si encuentran una vulnerabilidad serán considerados por la compañía como un

mal uso del sistema

Aprendiendo de los incidentes de seguridad de la información

Como ya hemos entendido los incidentes no solo son un problema a solucionar sino

una fuente de información para la resolución de futuros incidentes o para la mejora de la

seguridad de la información

La información sobre los incidentes nos puede ayudar a

● Identificar los incidentes más frecuentes y de alto impacto.

● Mejorar nuestro sistema de gestión con nuevos controles y criterios para la evaluación
de riesgos
● Realizar entrenamientos a los usuarios para evitar incidentes y a los gestores de
incidentes para mejorar la resolución de los mismos
Recolección de evidencia

Los incidentes sobre la seguridad de la información pueden requerir acciones

posteriores como sanciones o acciones legales. Recuperar las evidencias para utilizarlas

posteriormente puede volverse un dolor de cabeza si no hemos previsto algún mecanismo

para guardarlas.

Conservemos la información sobre las incidencias de forma que podamos recuperar:

● Los inicios y cierres de sesión

● Las identificaciones
● El estado de los dispositivos y de las redes
● Las evidencias de reuniones informativas, documentación sobre responsabilidades y
funciones de seguridad del personal

Aspectos de seguridad en la continuidad del negocio

Continuidad de la seguridad de la información

La continuidad de seguridad del negocio debe estar integrada en los sistemas de gestión de

continuidad del negocio de la organización.

Plan de continuidad del negocio y planes de contingencia

● Los planes de continuidad van más allá del establecimiento de un plan de

contingencias. Los planes de contingencia son una parte de los planes de continuidad

donde se establecen las respuestas o tratamiento de las incidencias o contingencias.

● Los planes de continuidad contemplan otros aspectos que nos refieren al análisis de

las necesidades y riesgos de una organización, la planificación de la respuesta a

incidentes y la recuperación ante desastres.

Planificación de la continuidad de la seguridad de la información

En este control se nos pide en primer lugar que verifiquemos que tenemos integrados los

requisitos de la seguridad de la información en los planes de continuidad del negocio

determinando

1. Integrar en los planes de continuidad los requisitos de la seguridad de la información en

situaciones de crisis o ante desastres

2. En caso de que la organización no cuente con un plan de continuidad formal deberemos

tener en cuenta ante una situación de parada de los distintos servicios (energía,

comunicaciones, red, colapso de infraestructuras etc.)

Implementación de la continuidad de seguridad de la información

Se trata de implementar la gestión de la continuidad de la seguridad de la información

ante situaciones de emergencia inesperadas
El objetivo será disponer de un plan con medidas concretas para restablecer la
disponibilidad de la información en unos plazos identificados mediante unos planes de
respuesta ante emergencias que tengan en cuenta la organización y sus recursos
El objetivo
Mantener la Seguridad de la Información ante una emergencia o situación adversa
Se trata de un control para que se establezcan procedimientos documentados donde se tenga
en cuenta:

1. Si un evento de magnitud sucediese como un

2. Como se va a mantener la seguridad de la información en un nivel mínimo planificado
3. Asegurar que se tienen en cuenta los objetivos de la o requisitos mínimos de para la
continuidad de la seguridad de la información que hayamos definido en el punto anterior

Cumplimiento de la política y las normas de seguridad

Este control nos pone como requisito la necesidad de que los responsables de cada área deben

revisar que los procedimientos de la organización sean aplicados de acuerdo a los requisitos

definidos
Para ello los responsables deberían:

● Determinar la forma de revisar cómo se cumplen los requisitos de seguridad de la

información definidos en las políticas, normas y en otras regulaciones aplicables.

● Tener en cuenta la implementación de sistemas de medición automática y

herramientas de informes

Estos responsables deben actuar según las políticas de Backus y para ello actúan según el

listado:

● Identificar las causas

● Evaluar la necesidad de tomar medidas

● Implementar las acciones correctivas apropiadas;

● Revisar la eficacia de las acciones correctivas

● Identificar las deficiencias y debilidades del sistema

FASE IV: PROCESO DE MEJORA DEL SGSI

Para poder hacerle frente a los problemas identificados en la parte inicial del
documento, se seleccionaron los sistemas de control expuestos en la fase anterior que deberán
ser implementados de acuerdo a las políticas establecidas

A continuación se presentarán las formas de afrontar, por la organización, los riesgos

latentes expuestos y cuál es el rango de su capacidad de respuesta ante la presencia de estos

Formas de afrontar el riesgo

Se identificaron cuatro rasgos fundamentales dentro de la organización, estos se

muestran a continuación.

RIESGOS

Pérdidas y falta de integridad en los registros de productos.

Falta de un sistema de control para las modificaciones realizadas en la

base de datos de los proveedores.

Falta de una estructura organizacional de seguridad de la información.

 Problemas con la seguridad del sistema SAP.

Las formas de afrontar y los métodos usados para tratar dichos riesgos, por parte de la
empresa Backus, serán mostrados en la siguiente tabla:

FORMAS DE
RIESGOS MÉTODOS
AFRONTAR

Se pretende erradicar el problema a

Pérdidas y falta de integridad
en los registros de productos.
través de la implementación de
políticas de seguridad para todos los
trabajadores, además de implementar
sistemas de control de modificaciones
dentro de la base de datos y
protocolos de acceso para el acceso a
Eliminar el
determinada información relacionada
riesgo
con el registro de producción y
almacén. Además se propone la
aplicación de auditorías internas para
evaluar el avance en cuanto a las
mejoras propuestas.
Los controles involucrados para el
cumplimiento de estos son:

Se pretende erradicar el problema a

Falta de un sistema de control
para las modificaciones
realizadas en la base de datos
de los proveedores.
través del establecimiento de políticas
de acceso a la información
relacionada con los proveedores de
Eliminar el materias primas, implementación de
riesgo triggers en la base de datos y registros
en las modificaciones a la base de
datos para poder comprobar la
autenticidad de órdenes dadas por el
los gerentes.

Para mitigar los daños producidos por

Falta de una estructura
organizacional de seguridad de
la información.
este, se propone incluir dentro de las
políticas de seguridad, políticas de
control organizacional relacionados
Mitigarlo con la seguridad de la información y
realizar capacitaciones a los
trabajadores nuevos y aquellos que
llevan un tiempo considerable dentro
de la empresa.

Para prevenir este riesgo, se propuso

Problemas con la seguridad del informar a la empresa proveedora de
Trasladarlo
sistema SAP. dicho servicio los problemas
encontrados hasta la fecha para que
 así emitan las respectivas
actualizaciones y de esta manera
mitigar los problemas surgidos.

Factor determinante de los controles

Se evaluará cada punto de control con un rango establecido que determinará la

capacidad de la empresa actualmente para implementar dichas estratégias.

A cada punto de control mencionado en la Fase III se le evaluará de acuerdo a un

rango el cual se muestra a continuación:

● Rango 1. No hay establecida ninguna medida de seguridad.

● Rango 2. Existe alguna medida de seguridad pero no se ha establecido una pauta
concreta ni periodicidad.
● Rango 3. Existen una serie de medidas establecidas, pero no se ha determinado una
evaluación de las mismas.
● Rango 4. Los controles tienen establecidos una periodicidad, evaluación y
seguimiento.
● Rango 5. Son actividades ligadas al propio negocio, es decir, se trata de un factor
interno de la empresa que lo gestiona y está implementado dentro de la propia
organización.

CONTROL RANGO

Políticas de seguridad 2

Aspectos organizativos de la seguridad de información 2

Seguridad ligada a los recursos humanos 4

Gestión de activos 2

Control de accesos 3

Cifrado 1

Seguridad física y ambiental 4

Seguridad operativa 3

Seguridad en la telecomunicaciones 3

Adquisición, desarrollo y mantenimiento de los sistemas de

2
información
Política de seguridad de la información para las relaciones con
2
los proveedores

Gestión de incidentes en la seguridad de la información 3

Aspectos de seguridad en la continuidad del negocio 3

Cumplimiento de la política y las normas de seguridad 3