Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FACULTAD DE INGENIERÍA
CURSO
TRABAJO PARCIAL
GRUPO 2
Integrantes Código
De la cruz Chuquicahua, Nayeli U201811520
PROFESORA
Cuenta con una plataforma que permite a las personas crear, buscar, compartir y asistir a sus
eventos favoritos como festivales de música, fiestas, conferencias, workshops, eventos
streaming, maratones, entre otros. Brinda una página que es fácil de ingresar y acceder a un
panel de control que permitirá administrar todo lo necesario para gestionar la venta y control
de acceso para tus eventos.
La empresa de ventas de tickets para distintos eventos virtuales y presenciales, cuenta con
una plataforma amigable para sus clientes. Veremos las características proporcionadas por la
empresa:
Determinamos las partes interesadas, que nos ayudarán a ver la relevancia para el
sistema de gestión de seguridad de la información y los requisitos de estas partes para
lograr el objetivo de la empresa con la norma ISO 27001.
Con respecto a cualquier sistema de gestión basado en normas ISO, se consideran
partes interesadas a todas las personas u organizaciones, públicas o privadas, internas
o externas, de alguna forma o incluso ajenas, que puedan influir en los objetivos de
nuestro sistema.
También se consideran grupos de interés todas las personas u organizaciones
mencionadas en el apartado anterior que puedan influir de alguna forma en las
actividades que la organización realiza en su sistema de gestión.
En la siguiente tabla de partes interesadas de la empresa identificamos 3 partes
interesadas externas y 2 partes interesadas internas.
Tabla 1
Partes interesadas de la empresa y sus necesidades
En la siguiente tabla se muestra que el alcance son las ventas de entradas online para eventos
ubicados en diversos lugares del Perú, ya sea virtual o presencial. Para determinar esto,
hemos analizado los puntos 4.1 y 4.2.
Tabla 2
Método ASA para determinar el alcance de la SGI
A
S A Alcance
Figura 2
Mapa de procesos
REQUISITO 5: LIDERAZGO
Tabla 3
Liderazgo y compromiso
5.2 POLÍTICA
La alta dirección de la ticketera Pass Line establece una política de seguridad de
información para resguardar la privacidad de los datos de la empresa, al igual que la
disponibilidad de la información protegida.
La empresa Pass Line, dedicada a la venta de entradas de todo tipo de eventos, provee
evidencia de su compromiso con el desarrollo y la implementación del Sistema de Gestión de
Seguridad de la Información (SGSI) así como la mejora continua de su efectividad mediante:
Gerente de la empresa
● Roles que debe asumir la alta gerencia de Passline para implementar la ISO 27001.
● Gerente comercial
Figura 3
Identificación del cargo
Elaborado por los autores de este trabajo
● Gerente general
Figura 4
Identificación del cargo
Figura 5
Identificación del cargo
● Ingeniero de Software
Figura 6
Identificación del cargo
REQUISITO 6: PLANIFICACIÓN
6.1.1 Generalidades
VALOR CRITERIO
Posteriormente, se debe definir una tabla, reflejando las frecuencias con las que se pueden dar
las amenazas por cada recurso.
Tabla 5
Matriz IPER
Elaborado por los autores de este trabajo:
https://docs.google.com/spreadsheets/d/1LNif9QFWS8cAxBHe7bwiNxPkGXHHnPQZYV1JC
LFzg3Y/edit#gid=0
Seguimiento fase de Seguir estado sobre plan Equipo de gestión de 12/12/22 01/01/23
tratamiento de tratamiento de riesgos riesgos
identificados y
verificación de evidencias
Con la finalidad de brindar seguridad sobre el análisis de big data, a nivel organizacional, se
establece como objetivos hallar correlaciones complejas, tendencias del mercado de
entretenimiento, preferencia de los consumidores de acuerdo a los consumidores, patrones
ocultos para detectar cualquier indicio sobre la prevención de un ataque cibernético.
Con la finalidad de brindar seguridad sobre el análisis de big data, a nivel organizacional, se
establece como objetivos hallar correlaciones complejas, tendencias del mercado de
entretenimiento, preferencia de los consumidores de acuerdo a los consumidores, patrones
ocultos para detectar cualquier indicio sobre la prevención de un ataque cibernético.
● Brindar confidencialidad de datos sólo para usuarios, procesos y dispositivos
autorizados.
● La accesibilidad de datos es la provisión de acceso oportuno y confiable a la
información.
● Garantizar la integridad de la protección de datos a base de métodos que aseguren la
confidencialidad y la copia de seguridad.
● Proveer autenticidad para identificar de forma exclusiva a los clientes.
REQUISITO 7: SOPORTE
7.1 RECURSOS
Tabla 7
Riesgos de la información
RECURSOS DISPONIBLES
Personal asignado:
- Team BI
- Jefe de Business Intelligence - Passline
- Analista Senior de BI (1)
HUMANOS - Analista de BI (3)
- Team Seguridad de la Información y Tecnología
- Jefe de S.I. y Tecnología
- Especialista Avanzado TI (2)
- Analista Tecnología (3)
7.2 COMPETENCIA
Es de suma importancia para la empresa, que toda esta información deba ser
documentada y almacenada como evidencia de la competencia.
Figura 7
Fichas de descripción del puesto según el Team de Passline
Figura 8
Plan de capacitación de Passline
Elaborado por los autores de este trabajo
Figura 10
Modelo de Certificado de Capacitación de Passline
Elaborado por los autores de este trabajo
Figura 11
Fichas de descripción del personal según el Team de Passline a actualizar
7.3 CONCIENCIACIÓN
● Realizar una reunión mensual con toda la empresa, en donde se comunique los
requisitos del SGSI y cómo cumplirlos.
● Comunicar a toda la fuerza laboral sobre las auditorías internas o externas realizadas o
que serán realizadas a la empresa.
●
7.4 COMUNICACIÓN
La empresa deberá determinar la necesidad de comunicaciones internas y externas en cuanto
al sistema de gestión de la seguridad de la información.
A Continuación, elaboramos una matriz de comunicación, para una forma más adecuada de
observar cómo se está gestionando las comunicaciones internas y externas de la empresa Pass
Line.
Tabla 8
Matriz de comunicación
TIPO
ASPECTOS A EMISOR RECEPTOR ESTRATEGIAS Y REGISTRO CUÁNDO /
COMUNICAR MEDIOS FRECUENCIA
INTERNA EXTERNA
Tabla 9
Información documentada
Requisito 8 - Operación
8.1 Planificación y control operacional
Se necesita una evaluación de cada una de las medidas de control para clasificarlas
Fuente:
Elaboración propia
Tabla 10
Realización del Análisis y Evaluación del Riesgo
La organización de Pass Line aplicará los tres pilares de la norma ISO 27001 para los
Sistemas de Gestión de Seguridad de la información.Es decir,mantener información con su
características de confiabilidad, integridad y disponibilidad.
Para lograr el objetivo de la empresa Pass Line es necesario establecer a continuación:
OBJETIVOS
❖ La conformidad de la seguridad de los datos.
❖ El grados de satisfacción del cliente
❖ Desempeño y eficacia del Sistema de Gestión de Seguridad de la Información
❖ Desempeño y eficacia del SGI.
❖ La eficacia de las acciones tomadas para abordar los riesgos
❖ Las necesidades de mejora en el SGI.
❖ El cumplimiento de los requisitos de la política.
❖ Eficacia de controles operacionales.
1 Equipo de Seguimiento -
SGI Se ejecuta dicha acción en base a los objetivos
establecidos teniendo en cuenta la frecuencia de
reportes mensuales y la utilización de métodos que
aseguren resultados válidos.
2 Equipo de Medición -
SGI Se realiza la medición a las actividades necesarias para
asegurar la mejora del desempeño del sistema de
gestión en base a los objetivos planteados, teniendo en
cuenta la frecuencia de reportes mensuales y la
utilización de métodos que aseguran resultados.
Según la cláusula 9.2 de la norma ISO 27001, dispone la realización de las auditorías
internas dispuesto en un tiempo definido para comprobar el acatamiento de que la
institución está dando acatamiento de las buenas prácticas de la citada norma y las propias
políticas internas establecidas con respecto a la implementación del SGSI.
PROGRAMA DE AUDITORÍA
Objetivo Establece las actividades y fechas de Procedimiento Auditoría interna Año 2022
auditoría a los procesos de Sistema de la
Seguridad de Información
Nº Proceso Dependencia Objetivo Alcance Fecha Fecha Criterio Recursos Equipo auditor
inicial final
1 Planeación Equipo SGI Verificación de la Actividades 25/11 30/11 Norma ISO Computado Líder externo
estratégica política organizacional desarrolladas en el 27001, ras
según ISO 27001 mes de Noviembre Objetivos de Papelería
la política
SGI
2 Gestión de la Equipo SGI Verificar gestión de la Actividades 25/11 30/11 Norma ISO Computado Líder externo
seguridad seguridad de desarrolladas en el 27001 ras
información ISO mes de Noviembre Papelería
27001
3 Proceso de venta Equipo SGI Verificar gestión de la Ventas realizadas 25/11 30/11 Norma ISO Computado Líder externo
de ticket seguridad de hasta la fecha del 27001 ras
información ISO mes de Noviembre Registro de
27001 ventas
Cargo Cargo
9.3 Revisión por la dirección
Luego de aplicar la norma ISO 27001 a la organización Pass Line,se procederá por la
revisión que se encuentra a cargo de la dirección,a través de actividades de
seguimiento ,auditorías internas, y revisión por la la alta gerencia verificaremos como ha
venido funcionando el sistema de gestión implementado y en base a los resultados de
dichas verificaciones o revisiones, se establece mejoras en la organización de Pass
Line,las cuales harán que el sistema de gestión de seguridad de la información sea más
sólida y asi aumente su efectividad en el cumplimiento de los objetivos.
Requisito 10 - Mejora
CUMPLE / NO
CRITERIO DE AUDITORÍA COMENTARIOS
CUMPLE / N.A
¿La empresa cuenta con un sistema de Un sistema de prevención de intrusiones analiza el tráfico de
C
prevención de intrusiones? red para bloquear ataques activamente.
Conclusiones
● Debido a que la empresa no cuenta con un sistema de seguridad de la información,
implementamos la ISO 27001 en la empresa Pass Line para proteger la información
de la página web de la empresa y brindar seguridad y confianza a sus usuarios.
● Para su adecuado análisis de riesgo, implementamos la matriz IPER donde se
identificó cuáles eran los peligros con más alto nivel de riesgo dentro de la empresa
Pass Line.
● La ISO 27000 permite a la empresa presentar y garantizar un nivel de calidad ante sus
usuarios
● Después de realizar un análisis a la empresa sobre su sistema de seguridad de la
información, se pudo observar que hay una falta de compromiso por parte de la
empresa, ya que no toma iniciativa para que se lleve a cabo este sistema de manera
exitosa.
● Podemos concluir que la empresa evaluó tanto sus peligros como sus riesgos y de
acuerdo a ello se decidió capacitar continuamente a sus colaboradores para poder
evitar mayores problemas en la empresa.
Recomendaciones
Bibliografía:
Venta y compra de tickets en línea. (2022). Consulta 30 Septiembre 2022, de
https://www.passline.com/home
ISO 27001 - Certificado ISO 27001 punto por punto - Presupuesto en línea. (2022).
Consulta 30 Septiembre 2022, de https://normaiso27001.es/