REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

UNIVERSITARIA,
INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO
MARIÑO”
EXTENSIÓN MARACAIBO

DISEÑO DE UN SISTEMA DE SEGURIDAD DE GESTIÓN DE LA

INFORMACIÓN BASADO EN LA NORMA ISO/IEC 27001:2013

Trabajo Especial de Grado presentado como requisito

parcial para optar al Título de Ingeniería de Sistemas

Autor (a): Br. Cristian Arias

Tutor (a): Ing. Jimmy Stavinsky
Docente de la asignatura (a): Ing. Mariela Villalobos

Maracaibo, Octubre de 2022

 APROBACIÓN DEL (DE LA) TUTOR(A)

En mi carácter de Tutor(a) del Trabajo Especial de

Grado titulado: Diseño de un Sistema de Seguridad de
Gestión de la Información Basado en la Norma ISO/IEC
27001:2013, presentado por el(la) ciudadano(a) Cristian
Jesús Arias Anciani, Cédula de Identidad N° 29.761.439,
para optar al Título de Ingeniería de Sistemas, considero
que éste reúne los requisitos y méritos suficientes para
ser sometido a presentación pública y evaluación por
parte del Jurado examinador que se designe.

En la ciudad de Maracaibo, a los 21 días del mes de

Octubre de 2022.

(Firma)
Jimmy Stavinsky
C.I. XX.XXX.XXX
 APROBACIÓN DEL(DE LA) ASESOR(A) METODOLÓGICO(A)

En mi carácter de Asesor(a) Metodológico(a) del

Trabajo Especial de Grado titulado: Diseño de un Sistema
de Seguridad de Gestión de la Información Basado en la
Norma ISO/IEC 27001:2013 presentado por el(la)
ciudadano(a) Cristian Jesus Arias Anciani, Cédula de
Identidad N° 29.761.439, para optar al Título de
Ingeniería de Sistemas, considero que éste reúne los
requisitos y méritos suficientes para ser sometido a
presentación pública y evaluación por parte del Jurado
Examinador que se designe.

En la ciudad de Maracaibo, a los 22 días del mes de

Octubre de 2022.

(Firma)
Mariela Villalobos
C.I. XX.XXX.XXX
 CAPÍTULO I
EL PROBLEMA
Contextualización del problema

Actualmente, el uso de tecnologías de la información

(TI) se ha globalizado en el paradigma corporativo: su
importancia organizacional viene dada de una disminución
significativa de costos y esfuerzos de comunicación entre
trabajadores, departamentos, sucursales y en función a
las propias formas de procesar la información (Milton et
al., 2018, p.3). La naturaleza de interrelación de
componentes, validación y procesamiento de datos de estos
sistemas de información (SI) ha permitido la
automatización de una plétora de actividades, siendo una
razón (de otras) que le ha otorgado su relevancia y sido
causal del impulso exponencial en su utilización dentro
del rubro empresarial.

Las TI permiten la digitalización de grandes

cantidades de datos, facilitando su transporte, pero así
mismo permitiendo que esta pueda desaparecer o sea
modificada. Si bien el uso de la tecnología de la
información es muy beneficioso para la organización,
existen riesgos inherentes asociados con su uso, a saber,
la aparición de amenazas que pueden atentar contra la
integridad de los activos de información.

Toda entidad jurídica, con o sin fines de lucro,

enfrenta agentes de amenaza que pueden comprometer sus
activos de información. Briceño Edgar (2021) expone que:
aunque la tecnología de información nos permite ser más
productivos y nos permite acceder a una gran cantidad de
información con solo un clic del ratón, también conlleva
una gran cantidad de problemas de seguridad. Cualquier
organización nacional o extranjera que quiera mantenerse
en a flote debe proteger la privacidad de sus archivos de
las acciones de partes externas malintencionadas que
intentan acceder al hardware, al software, a las bases de
datos, a las redes, así como a la información respaldada
por los recursos humanos.

En Venezuela esto no es una excepción, se han

presentado recientemente sucesos de ataques a la
seguridad de la información como el altercado del 17 de
septiembre de 2021, donde según el comunicado del Banco
de Venezuela, S.A:

Se perpetuo un ataque terrorista al sistema

financiero nacional… Se trata de un hackeo masivo
que pretendía desaparecer y alterar la data bancaria
del sistema financiero, y con ello, vulnerar la
integridad del patrimonio económico de los clientes
del banco de Venezuela.

Entonces, como se ha podido observar, la seguridad

de la información se ha convertido en un aspecto esencial
para la gestión empresarial, especialmente considerando
el valor de los activos de información; sin embargo, es
necesario tener en cuenta que la aplicación de políticas,
procedimientos y protocolos, sin tener en cuenta las
necesidades de la empresa, ni la toma en consideración
del grado aceptación de estás reglas, puede causar el
desuso de cualquier sistema diseñado para la seguridad de
los activos de información.

Aquí es donde los sistemas de seguridad de gestión

de la información entran en uso, puesto que preservan la
confidencialidad, integridad y disponibilidad de la
información aplicando procesos de gestión de riesgos y
proveyendo seguridad a los interesados de que los riesgos
son adecuadamente administrados (ISO/IEC 27001, 2013).
Por otro lado, tesistas como Cesar Quispe (2021)
consideran que el no contar con un Sistema de Seguridad
de Gestión de la Información (SSGI) que brinde las
garantías necesarias, representa una desventaja
considerable frente a otras entidades que sí cuentan con
esta cultura organizacional, tener esto en cuenta es
imperativo en el diseño de un SSGI.

Tal es el caso de la empresa Inversiones Cosmo

Cosméticos, C.A. en su sucursal “La Limpia” que no posee
un ambiente seguro para la seguridad de los activos de la
información, donde se ha observado de manera empírica los
siguientes aspectos de riesgo:

1. El uso de contraseñas débiles como “1234” y

“12345678”, establecida arbitrariamente por él
usuario del computador.
 2. El uso de sistemas operativos como “Windows 7” que
no posee actualizaciones de seguridad desde el 14 de
junio de 2020.

3. La no asignación de correos corporativos para todos

los departamentos de la organización.

Por esta razón, se propone la presente investigación

que espera observar la influencia que posee el diseño de
un sistema de seguridad de gestión de la información,
sobre el mejoramiento de seguridad de los activos de
información la empresa con fines de lucro: Inversiones
Cosmo Cosméticos, C.A. en su sucursal “La Limpia”.

OBJETIVOS DE LA INVESTIGACIÓN

Objetivo General

Diseñar un sistema de seguridad de gestión de la

información basado en la ISO 27001:2013 para salvaguardar
los activos de información de la entidad jurídica
Inversiones Cosmo Cosméticos, C.A.

Objetivos Específicos

1. Describir los riesgos de seguridad de los activos de

la información de la empresa Inversiones Cosmo
Cosméticos, C.A.
 2. Diseñar una propuesta de sistema de seguridad de
gestión de la información ajustado a las necesidades
de la empresa.

3. Sensibilizar al personal de la empresa sobre el tema

de seguridad de la información.

JUSTIFICACIÓN DE LA INVESTIGACIÓN

Justificación Teórica

Aunque este estudio posee sus limitaciones, como

toda investigación que reduce su campo de trabajo, se
espera con su realización atribuir al campo de la
seguridad de la información. De hecho, cabe resaltar que
la falta de políticas fuertemente establecidas en tema de
seguridad informática, sugieren la importancia del
cumplimiento de los objetivos ilustrados con anterioridad
en esta tesis — para la creación de políticas,
procedimientos y protocolos — como:

1. Con el propósito de reconocer las necesidades de la

organización, la evaluación oportuna de riesgos
sobre los activos de información, puesto que son un
material de gran valor para la corporación.
 2. El futuro diseño de un sistema de seguridad de la
información, basado en estándares con buena
aprobación de nivel internacional, que sirvan como
una base certificable de la seguridad empresarial.

3. El promover un entorno de trabajo seguro, a través

de la sensibilización del personal empresarial sobre
los temas de seguridad de la información, para
minimizar el riesgo de perdidas.

En resumen, la investigación propuesta busca,

mediante la aplicación teórica de conceptos básicos de
seguridad informática y la sustentación basada de la
normativa ISO/IEC 27001:2013, estándar internacional que
ha sido preparado para proveer los requerimientos para
establecer, implementar, mantener y mejorar continuamente
un sistema de seguridad para la gestión de la
información; encontrar una manera factible de proteger la
entidad jurídica Inversiones Cosmo Cosméticos, C.A. de
las amenazas a las que está expuesta. Definiendo
claramente los procedimientos, protocolos y controles de
seguridad basados en la evaluación de riesgos de
información que enfrenta la organización.

Justificación Metodológica

Para lograr el cumplimiento de los objetivos de

estudio, se proyecta el uso de técnicas de investigación
para el análisis del riesgo presentes en la metodología
MAGERIT en su versión 3.0 que proporciona métodos de
evaluación de riesgos y evaluar las opciones de
tratamiento. Así como, el uso del cuestionario para la
recolección de datos. Los resultados de la investigación
se apoyan en la aplicación de técnicas de investigación
reconocidas internacionalmente, y con esto se pretende
conocer las necesidades intrínsecas de la organización a
un nivel globalizado teniendo en cuenta su contexto y
necesidades de seguridad informática.

Justificación Practica

Los agentes de amenaza de toda corporación pueden

ser variados, por ende, resulta crucial poseer medios que
permitan proporcionar la seguridad que estas requieren.
Por otro lado, es bueno tener en cuenta que las
organizaciones comúnmente están amenazadas en el
cumplimiento de sus objetivos debido a factores o
influencias tanto internas como externas, a este efecto
se le denomina riesgos (Alcides O., 2018). El alma de
cualquier empresa depende de sus activos, por esta razón
una gestión altamente efectiva tiene en cuenta que la
reducción de estos riesgos es una tarea crítica.

Por consiguiente, de acuerdo con los objetivos de la

investigación, se espera encontrar soluciones para ayudar
a la organización de la presente investigación a lidiar
con los aspectos y controles de seguridad para proteger
los activos de información de las esas amenazas tanto
externas como internas, mediante el desarrollo de un
mecanismo de aceptación para estos medios como la
normativa ISO/IEC 27001:2013, que, por sus requisitos
generales, permite su uso en cualquier organización,
independientemente de su tamaño y naturaleza.