UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

FACULTAD DE INGENIERÍA

PROGRAMA ACADÉMICO DE INGENIERÍA DE GESTIÓN

EMPRESARIAL

CURSO

SISTEMAS DE GESTIÓN PARA PRÁCTICAS EMPRESARIALES

TRABAJO PARCIAL

GRUPO 2

Integrantes Código
De la cruz Chuquicahua, Nayeli U201811520

Carrillo Quevedo, Lucero U201810107

Espejo Bruno, Aracelli U201517329

Cabellos Rojas Ivan Alejandro U201610547

Salazar Álvarez, Paolo Cesar U20151C279

PROFESORA

Cynthia Carola Elías Giordano

Lima, 30 de septiembre de 2022

 ÍNDICE

1. DESCRIPCIÓN DE LA EMPRESA ……………………………………………………………………………. 03

2. DESCRIPCIÓN DEL SERVICIO …………………………………………………………………………………….03
3. DESARROLLO DE LA ESTRUCTURA DOCUMENTAL DE LOS REQUISITOS DE LA NORMA
SELECCIONADA 4 AL 7……………………………………………………………………………………………..03
4. CONTEXTO DE LA ORGANIZACIÓN…………………………………………………………………………….03
4.1. COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO……………………………………03
4.2. COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES
INTERESADAS………………………………………………………………………………………………………….04
4.3. DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN………………………………………………………………………………………………………………05
4.4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN……………………………..06
5. LIDERAZGO……………………………………………………………………………………………………………….06
5.1. LIDERAZGO Y COMPROMISO…………………………………………………………………………………06
5.2. POLÍTICA……………………………………………………………………………………………………………….08
5.3. ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN…………………..08
6. PLANIFICACIÓN………………………………………………………………………………………………………..12
6.1. ACCIONES PARA TRATAR LOS RIESGOS Y OPORTUNIDADES……………………………….….12
6.2. OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANIFICACIÓN PARA SU
CONSECUCIÓN………………………………………………………………………………………………………….….13
7. SOPORTE………………………………………………………………………………………………………………...16
7.1. RECURSOS………………………………………………………………………………………………………….…16
7.2. COMPETENCIA……………………………………………………………………………………………………..17
7.3. CONCIENCIACIÓN………………………………………………………………………………………………...19
7.4. COMUNICACIÓN……………………………………………………………………………………………….….21
7.5. INFORMACIÓN DOCUMENTADA……………………………………………………………………….….22
8. OPERACIÓN……………………………………………………………………………………………………….…….24
8.1 PLANIFIACIÓN Y CONTROL OPERACIONAL………………………………………………………….….24
8.2 EVALUACION DE RIESGOS DE SEGURIDAD DE LA INFORMACION…………………………...25
8.3 TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACION………………….……..25
9. EVALUACION DE DESEMPEÑO…………………………………………………………………………….…..26
9.1 SEGUIMIENTO, MEDICION, ANALISIS Y EVALUACION……………………………………….……26
9.2 AUDITORIA INTERNA………………………………………………………………………………………….…28
9.3 REVISIÓN POR LA DIRECCION……………………………………………………………………………..…29
10. MEJORA…………………………………………………………………………………………………………………29
10.1 ACCIONES CORRECTIVAS Y NO CONFORMIDAD……………………………………………………29
10.2 MEJORA CONTINUA…………………………………………………………………………………………….31
11. LISTA DE VERIFICACION………………………………………………………………………………………….32
 1. Descripción de la Empresa

Passline es la ticketera con más eventos en el mercado, ubicándose en varios países en

diferentes continentes. Cuenta con un equipo de profesionales que están enfocados en el
desarrollo de nuevas tecnologías y en ganarse la confianza de los clientes. Su misión es darle
a todos sus usuarios la herramienta para que puedan administrar y comercializar sus eventos
gratis.

2. Descripción del Servicio

Cuenta con una plataforma que permite a las personas crear, buscar, compartir y asistir a sus
eventos favoritos como festivales de música, fiestas, conferencias, workshops, eventos
streaming, maratones, entre otros. Brinda una página que es fácil de ingresar y acceder a un
panel de control que permitirá administrar todo lo necesario para gestionar la venta y control
de acceso para tus eventos.

3. Desarrollo de la estructura documental de los requisitos de la Norma

seleccionada 4 al 7

REQUISITOS DE LA NORMA ISO 27001

REQUISITO 4: CONTEXTO DE LA ORGANIZACIÓN

4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y SU CONTEXTO

La empresa de ventas de tickets para distintos eventos virtuales y presenciales, cuenta con
una plataforma amigable para sus clientes. Veremos las características proporcionadas por la
empresa:

● Constante mejora: Entregamos soluciones para empresas, comercios, eventos,

festivales, fiestas, clubs, restaurantes, consumo masivo, entre otros. Tenemos soporte
remoto y en línea las 24 horas del día.
● Seguridad de la plataforma: La plataforma opera bajo los últimos estándares de
seguridad para vender productos y entradas a tus eventos.
● Aumenta tus ventas: Elimina los tiempos de espera de las filas, la experiencia del
cliente y ventas aumentan considerablemente.
● Formas de pago: Passline cuenta con un dispositivo que reconoce tarjetas de débito y
crédito de los principales bancos del mundo. Además, tenemos mecanismos de canje.
● Comienza a Vender en Minutos: Llámanos, cotiza y en tan solo minutos podrás
comenzar a vender productos en grandes eventos.
● Información en Tiempo Real: Obtén toda la información de cuánto has vendido en
tiempo real y en tu cuenta.
Figura 1
Matriz foda de la empresa Pass Lines- ISO 2700

Fuente: Elaboración propia

4.2 COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES

INTERESADAS

Determinamos las partes interesadas, que nos ayudarán a ver la relevancia para el
sistema de gestión de seguridad de la información y los requisitos de estas partes para
lograr el objetivo de la empresa con la norma ISO 27001.
Con respecto a cualquier sistema de gestión basado en normas ISO, se consideran
partes interesadas a todas las personas u organizaciones, públicas o privadas, internas
o externas, de alguna forma o incluso ajenas, que puedan influir en los objetivos de
nuestro sistema.
También se consideran grupos de interés todas las personas u organizaciones
mencionadas en el apartado anterior que puedan influir de alguna forma en las
actividades que la organización realiza en su sistema de gestión.
En la siguiente tabla de partes interesadas de la empresa identificamos 3 partes
interesadas externas y 2 partes interesadas internas.
Tabla 1
Partes interesadas de la empresa y sus necesidades

Nº INTERESADO PARTICIPACIÓN ROL FASE DE MAYOR

PARTICIPACIÓN

1 SUNAT alta fiscalizador ejecución y seguimiento

2 Clientes alta comprador ejecución

3 Trabajadores alta recibe órdenes para las ejecución

diversas operaciones

4 INDECOPI alta fiscalizador ejecución

5 Gerentes alta operaciones ejecución

Elaborado por los autores de este trabajo

4.3 DETERMINACIÓN DEL ALCANCE DEL SISTEMA DE GESTIÓN DE LA

SEGURIDAD DE LA INFORMACIÓN

Para determinar el alcance la empresa Passline debe determinar las limitaciones y

aplicabilidad de su sistema de gestión de seguridad y salud en el trabajo, teniendo en cuenta
lo siguiente; las cuestiones internas y externas, los requisitos referidos, las interfaces y
dependencias entre las actividades realizadas por la organización.

En la siguiente tabla se muestra que el alcance son las ventas de entradas online para eventos
ubicados en diversos lugares del Perú, ya sea virtual o presencial. Para determinar esto,
hemos analizado los puntos 4.1 y 4.2.

Tabla 2
Método ASA para determinar el alcance de la SGI
A
S A Alcance

Para eventos ubicados Venta de entradas online

en diversos lugares del para eventos ubicados en
Ventas entradas online
Perú, ya sea virtual o diversos lugares del Perú, ya
presencial. sea virtual o presencial.
 Elaborado por los autores de este trabajo

4.4 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Passline debe crear, implementar, mantener y mejorar continuamente su sistema de entorno
de trabajo, incluidos los procesos necesarios y sus interacciones.
A continuación se presentará un mapa de procesos de la empresa Pass line, tomando en
consideración sus procesos estratégicos, operativos y de apoyo.

Figura 2
Mapa de procesos

Elaborado por los autores de este trabajo

REQUISITO 5: LIDERAZGO

5.1 LIDERAZGO Y COMPROMISO

La ticketera Passline mostrara liderazgo y compromiso a través de la alta gerencia que son
los siguientes: Gerente General,Gerente Comercial, Gerente de marketing,y el Ingeniero de
Software, al momento de implementar la ISO 27001.
Para esto:

a) La empresa garantizará que el Sistema de la Información de la empresa Pass line

obtenga los resultados previstos.
b) Passline deberá comunicar la importancia de la gestión eficaz de la información de
la ticketera y de la conformidad con los requisitos del Sistema de Gestión de la
Información.
 c) La empresa Pass Line apoyará a otros roles de gestión relevantes para demostrar su
liderazgo y compromiso conforme aplique a sus áreas de responsabilidad.
d) La empresa Passline tenderá a promover luego de implementar la ISO 27001 la
mejora continua y maximizar las ventas de tickets ya sea en
festivales,musical,conferencias,etc.
e) El servicio de la ticketera es garantizar la integración de los requisitos del Sistema de
información que se encuentren disponibles.
f) Apoyar y capacitar para dar dirección a las personas para contribuir a la eficacia del
cuidado de la Información interna y así se pueda dar un mejor servicio y rapidez en la
venta de tickets.
g) La ticketera Passline garantizará que los recursos de la Información estén
disponibles para los colaboradores a cargo de dicha área.

Tabla 3
Liderazgo y compromiso

ACTIVIDADES JUSTIFICACIÓN OBJETIVO ENCARGADO

Capacitación Capacitar al personal Hacer cumplir las Ingeniero de

para dar a conocer el políticas de Software y comercial
sistema de seguridad seguridad al personal
de información

Publicidad Informar a los Promover la Gerente de

medios de publicidad de marketing
comunicación de eventos,conciertos,te
todos los eventos atro,etc via online
disponibles

Supervisar Supervisar al Responsable del Gerente General

personal de control y cuidado de
sistema,para la información
garantizar la buena
manipulacion de
informacion

Alianzas Formar alianzas Garantizar el Gerente Comercial

Estratégicos estratégicos para el cuidado de la
cuidado de la información de la
información empresa Passline

Elaborado por los autores de este trabajo

5.2 POLÍTICA
La alta dirección de la ticketera Pass Line establece una política de seguridad de
información para resguardar la privacidad de los datos de la empresa, al igual que la
disponibilidad de la información protegida.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La empresa Pass Line, dedicada a la venta de entradas de todo tipo de eventos, provee
evidencia de su compromiso con el desarrollo y la implementación del Sistema de Gestión de
Seguridad de la Información (SGSI) así como la mejora continua de su efectividad mediante:

● Capacitaciones a todo el personal para el cumplimiento de las normas se seguridad

de la información
● Objetivos de seguridad de información en cuanto a los tickets vendidos
● Realizar auditorías semanales para el cumplimiento de las normas y requisitos acerca
de la seguridad de la información de la ISO 27001.
● Mantenimiento del software del sistema para garantizar el cuidado de la información.
● Actualización del sistema cada mes.
● Renovación del personal a cargo o cambio de corporación para proteger la politica de
informacion de la empresa Passline

Gerente de la empresa

Lima- Perú, 30 de Septiembre del 2022

5.3 ROLES, RESPONSABILIDADES Y AUTORIDADES EN LA ORGANIZACIÓN

● Los cargos ejecutivos de la empresa Passline es asegurar que las responsabilidades y

autoridades para los roles relevantes a la seguridad de la información se asignen,
comuniquen o se por votación mayoritaria dentro de los miembros de la alta gerencia.
● La organización debe asignar la responsabilidad y autoridad para:

a) Garantizar que el Sistema de Gestión de Seguridad de la Información de las

ventas de los tickets de los conciertos,teatros,eventos,etc sea conforme a los
requisitos.
 b) Passline informa sobre el desempeño del Sistema de Gestión de Seguridad de
la Información a la alta dirección para poder garantizar su protección y
cuidado de dicha información.
c) Los ejecutivos superiores de Passline podrán asignar responsabilidades y
autoridad para informar sobre el desempeño del Sistema de Gestión de
Seguridad de la Información dentro de la organización..

● Roles que debe asumir la alta gerencia de Passline para implementar la ISO 27001.

● Gerente comercial

El rol del gerente comercial de la empresa Passline será mantener el control y

capacitar al personal en cuanto a el manejo de las ventas online, lo que va a
garantizar que los empleados se unan a los procedimientos de las políticas. También
comunicar al personal, los cambios de políticas y normas que la empresa genera
comprometiendo las medidas preventivas ante posibles hackers. Algunas normas en la
empresa Passline en el área comercial es respetar los precios que salen a la venta y
darle mantenimiento a la página web Passline ,y, resolver los reclamos via online y
de una manera profesional.

Figura 3
Identificación del cargo
 Elaborado por los autores de este trabajo

● Gerente general

El gerente general de la empresa Passline ocupara el rol de planificar, dirigir,

organizar y controlar todas las actividades de la empresa. También está a cargo de
integrar los procesos y requisitos de seguridad de la información interna de la
empresa Passline.

Figura 4
Identificación del cargo

Elaborado por los autores de este trabajo

 ● Gerente de marketing

El gerente de marketing de la empresa Passline ocupara el rol de la planeación de los

objetivos de ventas de tickets, analizar las tendencias del eventos para ver a cuál de todos le
hacemos más publicidad, evaluar los resultados de ventas de acuerdo al nivel de publicidad.

Figura 5
Identificación del cargo

Elaborado por los autores de este trabajo

● Ingeniero de Software

El ingeniero de Software de la empresa Passline uno de sus principales roles es darle

seguimiento al ISO27001 luego de implementarlo, para asegurar su buen
funcionamiento en el sistema y así mejorar la calidad de protección de información

Figura 6
 Identificación del cargo

Elaborado por los autores de este trabajo

REQUISITO 6: PLANIFICACIÓN

6.1 ACCIONES PARA TRATAR LOS RIESGOS Y OPORTUNIDADES

6.1.1 Generalidades

Acciones para tratar los riesgos

Passline es una organización que maneja una gran variedad de información personal delicada
de los clientes, debido a que se pueden usar para cometer fraude y suplantación de identidad.
Por ello, se plantea, mediante la norma ISO Nº 27001, acciones para aplicar a nivel
organizacional con la finalidad de resolver los riesgos.
● Inversión en seguridad de datos en función a la sensibilidad de estos
● Capacitación de personal especializado
● Implementación de software de máxima seguridad para la recolección de Datos
● Elaboración y actualización del protocolo de seguridad sobre big data
● Regulación sobre acceso de datos a terceros
● Anonimización y seudonimización de datos
● Monitoreo del comportamiento del usuario
● Evaluación sobre la eficacia de la seguridad de big data

Acciones para tratarlas las oportunidades

Debido a la gran responsabilidad de manejo de datos sensibles de diferentes personas en el
Perú, aquellos Datos pueden proporcionar oportunidades organizacionales para la empresa
Passline.
● Evaluación sobre la Descubrimiento de nuevos mercados geográficos y población
● Generación de medidas antifraude en base al tipo de datos recolectados
● Optimización del proceso de compra online
● Mejora de la relación con el cliente
● Fidelización con el cliente
● Elaboración de atención personalizada

6.1.2 Apreciación de riesgos de seguridad de la información

Criterios de aceptación de riesgos
Con la finalidad de establecer el sistema de seguridad de la información (SGSI) a nivel
organizacional en Passline, se debe clasificar qué tipos de riesgos se enfrenta la empresa. A
continuación, se detalla una tabla, mostrando una valoración cualitativa en función de un
valor numérico y la gravedad del daño.
Tabla 4
Criterios de aceptación

VALOR CRITERIO

10 Intolerable Daño extremadamente grave

9 Importante Daño importante

6-8 Tolerable Daño menor

Elaborado por los autores de este trabajo

Posteriormente, se debe definir una tabla, reflejando las frecuencias con las que se pueden dar
las amenazas por cada recurso.

Tabla 5
Matriz IPER
Elaborado por los autores de este trabajo:
https://docs.google.com/spreadsheets/d/1LNif9QFWS8cAxBHe7bwiNxPkGXHHnPQZYV1JC
LFzg3Y/edit#gid=0

6.1.3 Tratamiento de los riesgos de la información

Tabla 6
Riesgos de la información

ACTIVIDAD TAREA RESPONSABLE FECHA FECHA FIN

INICIO

Actualización lineamientos de Actualizar política y Equipo de gestión de 01/10/22 31/10/22

riesgos metodología de gestión de riesgos
riesgos

Sensibilización Guía de socialización y Equipo de gestión de 10/10/22 01/10/22

herramientas para el riesgos
control de la privacidad de
información digital y
continuidad de operación

Identificación de riesgos de Analizar, identificar y Equipo de gestión de 29/09/22 13/11/22

seguridad y privacidad en evaluar de riesgos de riesgos
información digital y información digital
continuidad de la operación

Aceptación de riesgos Aprobar y aceptar de Equipo de gestión de 14/11/22 24/11/22

identificados riesgos identificados y riesgos
plan de tratamiento

Publicación Publicar matriz de riesgo Equipo de gestión de 26/11/22 12/12/22

riesgos

Seguimiento fase de Seguir estado sobre plan Equipo de gestión de 12/12/22 01/01/23
 tratamiento de tratamiento de riesgos riesgos
identificados y
verificación de evidencias

Mejoramiento Identificar oportunidades Equipo de gestión de 12/12/22 20/01/23

de mejora con relación a riesgos
los resultados obtenidos
durante la evaluación de
riesgos

Actualizarla guía de Equipo de gestión de 20/12/22 18/01/23

gestión de riesgos de riesgos
seguridad de información
digital y más si los
cambios solicitados

Revisión y Monitoreo Elaborar, presentar y Equipo de gestión de 24/01/23 16/02/23

reportar indicadores riesgos

Elaborado por los autores de este trabajo

6.2 OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN Y PLANIFICACIÓN

PARA SU CONSECUCIÓN

Con la finalidad de brindar seguridad sobre el análisis de big data, a nivel organizacional, se
establece como objetivos hallar correlaciones complejas, tendencias del mercado de
entretenimiento, preferencia de los consumidores de acuerdo a los consumidores, patrones
ocultos para detectar cualquier indicio sobre la prevención de un ataque cibernético.
Con la finalidad de brindar seguridad sobre el análisis de big data, a nivel organizacional, se
establece como objetivos hallar correlaciones complejas, tendencias del mercado de
entretenimiento, preferencia de los consumidores de acuerdo a los consumidores, patrones
ocultos para detectar cualquier indicio sobre la prevención de un ataque cibernético.
● Brindar confidencialidad de datos sólo para usuarios, procesos y dispositivos
autorizados.
● La accesibilidad de datos es la provisión de acceso oportuno y confiable a la
información.
● Garantizar la integridad de la protección de datos a base de métodos que aseguren la
confidencialidad y la copia de seguridad.
● Proveer autenticidad para identificar de forma exclusiva a los clientes.
REQUISITO 7: SOPORTE

7.1 RECURSOS

La empresa Passline debe precisar y suministrar los recursos necesarios para el

establecimiento, implementación, mantenimiento y mejora continua del Sistema de Gestión
de la Seguridad de la Información (SGSI), ya que un correcto uso y distribución de los
recursos permitirá que se cumpla el requisito. Por ello, es de suma importancia tener
identificados los recursos tecnológicos, del factor humano y financieros, que forman parte del
SGSI. Por esa razón, se ha identificado los recursos con los que actualmente la marca
Passline dispone.

Tabla 7
Riesgos de la información

RECURSOS DISPONIBLES

Personal asignado:

- Team BI
- Jefe de Business Intelligence - Passline
- Analista Senior de BI (1)
HUMANOS - Analista de BI (3)
- Team Seguridad de la Información y Tecnología
- Jefe de S.I. y Tecnología
- Especialista Avanzado TI (2)
- Analista Tecnología (3)

Medios para desarrollar las actividades del SGSI

- IA enfocados netamente en Seguridad de la Información

TECNOLÓGICOS - Software Antivirus
- Firewall
- Sharepoints/ Rutas encriptadas

Presupuesto anual orientado a la inversión en Sistemas de Seguridad

FINANCIEROS de la Información, tales como servidores encriptados y el desarrollo
de IA.

Elaborado por los autores de este trabajo

7.2 COMPETENCIA

7.2.1 Determinar las competencias necesarias

La organización debe determinar las competencias necesarias de las personas que

tienen injerencia en las operaciones enfocadas en la seguridad de la información. Para
ello, es importante que en la descripción de los puestos de trabajo, se especifique la
formación y experiencia que deberá contar. Esta descripción, estará registrada en
fichas según los roles.

Es de suma importancia para la empresa, que toda esta información deba ser
documentada y almacenada como evidencia de la competencia.

Figura 7
Fichas de descripción del puesto según el Team de Passline

7.2.2 Adquirir las competencias necesarias

La empresa debe garantizar que el personal, anteriormente indicado, sea competente.

Para ello, es importante que la formación de los colaboradores sea continua, en la cual
puedan adquirir nuevos conocimientos o reforzar habilidades. Por esa razón, es
necesario contar con un plan de capacitación, el cual se puede dar de manera interna o
externa. Cabe precisar, que el plan de capacitación deberá ser detallado e incluir el
objetivo de la capacitación, el responsable, los recursos asignados, entre otras
especificaciones.

Figura 8
Plan de capacitación de Passline
 Elaborado por los autores de este trabajo

7.2.3 Determinar las competencias necesarias

Es importante que ni bien la capacitación haya sido realizada, se ejecute un monitoreo

que evalúe el impacto de la capacitación. En esa misma línea, este monitoreo se debe
realizar al responsable de la capacitación, ya que es quien determina e identifica si el
personal, que ha sido capacitado, ha aumentado su desempeño en actividades
relacionadas al Sistema de Gestión de Seguridad de la Información (SGSI).
Figura 9
Encuesta resultados de capacitación

Elaborado por los autores de este trabajo

7.2.4 Tener evidencia de las acciones formativas

Es de suma importancia conservar la información documentada, tanto de las fichas

como de todos los outputs del plan de capacitación, ya que servirá como evidencia del
logro de la competencia. Por esa razón, la empresa debe conservar los certificados, de
cursos, capacitaciones y/o talleres realizados al personal; así como las fichas
actualizadas de los colaboradores, en donde se indique los nuevos conocimientos,
habilidades y/o formación adquirida.

Figura 10
Modelo de Certificado de Capacitación de Passline
 Elaborado por los autores de este trabajo

Figura 11
Fichas de descripción del personal según el Team de Passline a actualizar

Elaborado por los autores de este trabajo

7.3 CONCIENCIACIÓN

En relación a la concienciación, es fundamental que todos los trabajadores de la empresa

estén sensibilizados y alineados de:

● La política del Sistema de Gestión de Seguridad de la Información (SGSI)

● La contribución de cada colaborador en el logro de la óptima gestión del Sistema de
Gestión de Seguridad de la Información, en donde se especifique los beneficios de un
eficiente desempeño del SGSI.
● Las implicaciones del incumplimiento de los requisitos del Sistema de Gestión de la
Seguridad de la Información (SGSI).
 Para el logro de esta concientización por parte de los colaboradores, la empresa debe ejecutar
las siguientes prácticas:

● Realizar una reunión mensual con toda la empresa, en donde se comunique los
requisitos del SGSI y cómo cumplirlos.
● Comunicar a toda la fuerza laboral sobre las auditorías internas o externas realizadas o
que serán realizadas a la empresa.
●
7.4 COMUNICACIÓN
La empresa deberá determinar la necesidad de comunicaciones internas y externas en cuanto
al sistema de gestión de la seguridad de la información.
A Continuación, elaboramos una matriz de comunicación, para una forma más adecuada de
observar cómo se está gestionando las comunicaciones internas y externas de la empresa Pass
Line.

Tabla 8
Matriz de comunicación
TIPO
ASPECTOS A EMISOR RECEPTOR ESTRATEGIAS Y REGISTRO CUÁNDO /
COMUNICAR MEDIOS FRECUENCIA
INTERNA EXTERNA

Política de Gerente general Personal de la reuniones, x x Documentación Al inicio de trabajo

seguridad de la empresa capacitaciones y / modificación
información correo electrónico,

Política de Gerente genera Personal de la reuniones, x x Documentación Al inicio de trabajo

control de empresa capacitaciones y / modificación
acceso correo electrónico,

Objetivos de Gerente general Personal de la reuniones, x x Documentación Al inicio de trabajo

seguridad de la empresa capacitaciones y / modificación
información correo electrónico

Requisitos Gerente general Jefe de S.I. y correo electrónico x Documentación permanente

legales tecnología

Obligaciones y Administrador Personal de la a través de x Base de datos del Inicio de trabajo

asignación de empresa reuniones internas administrador
tareas y capacitaciones

Plan de Jefe de S.I. y Personal de la capacitación, x Informe de en la inducción y

tratamiento de tecnología empresa reuniones y correo reinducción del
riesgo electrónico personal

Desempeño del Especialista gerente general correo electrónico x informes mensual

sistema de avanzado TI
seguridad de la
información

Procedimientos Gerente gerente general comunicaciones x informes Cada vez que se

operativos para comercial internas establezca el
la gestión de T.I. programa

Elaborado por los autores de este trabajo

7.5 INFORMACIÓN DOCUMENTADA

 7.5.1 Generalidades
Para el SGSI, la empresa deberá tener en cuenta los siguientes puntos:

- La información documentada requerida por esta norma

- La información documentada empresa Pass Lines ha determinado que es necesaria para la
eficacia del sistema de gestión de la seguridad de la información

7.5.2 Creación y actualización

Para la creación y actualización de la información documentada, la empresa debe asegurarse de la

identificación y descripción (título, fecha, autor, referencia), el formato (idioma, versión de software y
gráficos) y sus medios de soporte, y por último deberá contar con la revisión y aprobación.

7.5.3 Control de la información documentada

Por último, la información documentada requerida por el SGSI y por la norma internacional se debe
controlar para asegurarse que esté protegida correctamente. Para el control de información
documentada, la empresa Pass Line debe tratar que sea aplicable la distribución, almacenamiento y
preservación, el control de cambios y la retención y disposición

Tabla 9
Información documentada

INFORMACIÓN DOCUMENTADA ISO 27001

Requerimientos Cláusula de ISO 27001

Alcance del SGSI 4.3

Políticas y objetivos de seguridad de la información 5.2, 6.2

Metodologia de evaluacion y tratamiento de riesgos 6.1.2

Declaración de aplicabilidad 6.1.3

Plan de tratamiento del riesgo 6.1.3 , 6.2

Informe de evaluación de riesgos 8.2

Definiciones de funciones y responsabilidades de 7.1.2

seguridad

Inventario de activos 8.1.1

Uso aceptable de los activos 8.1.3

Política de control de acceso 9.1.1

Procedimientos operativos para gestión de TI 12.1.1

Principios de ingeniería para sistemas seguro 14.2.5

Política de seguridad para proveedores 15.1.1

Procedimiento para gestiones de incidentes 16.1.5

Procedimiento de la continuidad del negocio 17.1.2

Requisitos legales, normativos y contractuales 18.1.1

Elaborado por los autores de este trabajo

Requisito 8 - Operación
8.1 Planificación y control operacional
Se necesita una evaluación de cada una de las medidas de control para clasificarlas

Fuente:
Elaboración propia

8.2 Apreciación de los riesgos de seguridad de la información

 Para la empresa Passline, es necesario identificar los activos digitales con los cuales cuenta
y están expuestos a potenciales riesgos por la información que tratan y/o almacenan. En
ese marco, es importante reconocer las posibles amenazas de dichos activos digitales, en
términos de probabilidad de ocurrencia y la vulnerabilidad, con la finalidad de evaluarlos y
precisar los que presentan un mayor riesgo.

Tabla 10
Realización del Análisis y Evaluación del Riesgo

8.3 Tratamiento de los riesgos de seguridad de la información

Una evaluación integral de riesgos de seguridad de la información permitirá que la
*empresa PASSLINE evalúe todas sus necesidades y riesgos en el contexto de sus
necesidades organizacionales. Es muy importante recordar que el propósito de los sistemas
de información y los datos que contienen es apoyar los procesos comerciales, que a su vez
respaldan la misión de la empresa. La información es un elemento esencial que ayuda a
una empresa a mantener su capacidad de operar.
Fuente: Elaboración propia

Requisito 9 - Evaluación de desempeño (ALEJO Y ARACELLI)

9.1 Seguimiento, medición, análisis y evaluación

La organización de Pass Line aplicará los tres pilares de la norma ISO 27001 para los
Sistemas de Gestión de Seguridad de la información.Es decir,mantener información con su
características de confiabilidad, integridad y disponibilidad.
Para lograr el objetivo de la empresa Pass Line es necesario establecer a continuación:

OBJETIVOS
❖ La conformidad de la seguridad de los datos.
❖ El grados de satisfacción del cliente
❖ Desempeño y eficacia del Sistema de Gestión de Seguridad de la Información
❖ Desempeño y eficacia del SGI.
❖ La eficacia de las acciones tomadas para abordar los riesgos
❖ Las necesidades de mejora en el SGI.
❖ El cumplimiento de los requisitos de la política.
❖ Eficacia de controles operacionales.

Nº Responsa Descripción Registro

ble

1 Equipo de Seguimiento -
SGI Se ejecuta dicha acción en base a los objetivos
establecidos teniendo en cuenta la frecuencia de
reportes mensuales y la utilización de métodos que
aseguren resultados válidos.

2 Equipo de Medición -
SGI Se realiza la medición a las actividades necesarias para
asegurar la mejora del desempeño del sistema de
gestión en base a los objetivos planteados, teniendo en
cuenta la frecuencia de reportes mensuales y la
utilización de métodos que aseguran resultados.

3 Equipo de Análisis y evaluación -

SGI - Los datos y la información obtenida del
seguimiento y medición se deben analizar y
evaluar.
- Los métodos para analizar los datos pueden
incluir técnicas estadísticas.
- La frecuencia del análisis y evaluación depende
de cada uno de los elementos a los cuales se
realiza seguimiento o medición.
- Se conserva la información documentada como
evidencia de los resultados.

4 Equipo de Medir y monitorear la seguridad de la información Programa

SGI - Se efectúa de acuerdo al programa de auditoría mensual
estructurado de
- Según la programación se realiza el auditoría
seguimiento de las mediciones de los riesgos. establecid
- Verificar el cumplimiento del desarrollo de la a
política establecida.
9.2 Auditoría interna

Según la cláusula 9.2 de la norma ISO 27001, dispone la realización de las auditorías
internas dispuesto en un tiempo definido para comprobar el acatamiento de que la
institución está dando acatamiento de las buenas prácticas de la citada norma y las propias
políticas internas establecidas con respecto a la implementación del SGSI.

Las auditorías se efectuarán de un equipo auditor bajo ciertos parámetros establecidos, se

realizará dentro de los alcances de una entrevista de auditoría y verificación de los activos
de información. Los cuales estarán a cargo de la alta gerencia como el convocador de la
auditoria, el equipo auditor que va ejecutar la auditoría y totalidad del personal participante
colaborador que puede ser convocado a moderación del equipo auditor de conforme a los
criterios fijados en la norma de la referencia.
 Passline

PROGRAMA DE AUDITORÍA

Objetivo Establece las actividades y fechas de Procedimiento Auditoría interna Año 2022
auditoría a los procesos de Sistema de la
Seguridad de Información

Nº Proceso Dependencia Objetivo Alcance Fecha Fecha Criterio Recursos Equipo auditor
inicial final

1 Planeación Equipo SGI Verificación de la Actividades 25/11 30/11 Norma ISO Computado Líder externo
estratégica política organizacional desarrolladas en el 27001, ras
según ISO 27001 mes de Noviembre Objetivos de Papelería
la política
SGI

2 Gestión de la Equipo SGI Verificar gestión de la Actividades 25/11 30/11 Norma ISO Computado Líder externo
seguridad seguridad de desarrolladas en el 27001 ras
información ISO mes de Noviembre Papelería
27001

3 Proceso de venta Equipo SGI Verificar gestión de la Ventas realizadas 25/11 30/11 Norma ISO Computado Líder externo
de ticket seguridad de hasta la fecha del 27001 ras
información ISO mes de Noviembre Registro de
27001 ventas

Firma de quien elaboro Firma de quien

aprobo

Cargo Cargo
 9.3 Revisión por la dirección
Luego de aplicar la norma ISO 27001 a la organización Pass Line,se procederá por la
revisión que se encuentra a cargo de la dirección,a través de actividades de
seguimiento ,auditorías internas, y revisión por la la alta gerencia verificaremos como ha
venido funcionando el sistema de gestión implementado y en base a los resultados de
dichas verificaciones o revisiones, se establece mejoras en la organización de Pass
Line,las cuales harán que el sistema de gestión de seguridad de la información sea más
sólida y asi aumente su efectividad en el cumplimiento de los objetivos.

Requisito 10 - Mejora

10.1 No conformidad y acciones correctivas

Las acciones correctivas y no conformidad se aplicarán con el objetivo de eliminar la
causa de no conformidades asociadas a los requisitos del ISO 27001, así se podrá evitar
que ocurran los mismos errores nuevamente.
En base a los incidente de la empresa Pass Line en la  compra y venta de  tickets en la
empresa ocurridos, los problemas detectado por auditorías, las quejas por algunos
clientes o partes interesadas hacia la empresa Pass Line, como por ejemplo los
problemas de rendimiento y las propuestas concebida durante los ciclos de revisión por
la dirección de la organización, es posible identificar oportunidades de mejora para
empresa y proponer contramedidas, en base a un adecuado de análisis de causa raíz,
que sirvan de base para 
la mejora continua. Asimismo, para cada evento ocurrido en la empresa Pass Line es
importante mantener registro de:

 Detalle del evento de compra y venta de tickets

 Las consecuencias del evento y las acciones de momento tomadas para su
mitigación y/o control
 La causa raíz del evento
 La contramedida que atacara la causa raíz
 La evaluación de la efectividad de la contramedida propuesta

Asimismo, el procedimiento para la determinación de las acciones correctivas para la

empresa Pass Line se presenta a continuación:
 Fuente Elaboración Propia

10.2 Mejora continua

La mejora continua es una práctica de gestión que permite a las empresas mejorar
continuamente sus procesos, lo que resulta en una mayor eficiencia y un mejor desempeño.
Después de todo, el mercado está cambiando todos los días, y aquellos que no sigan
reinventándose se quedarán atrás. Es por ello que en el siguiente cuadro se podrá visualizar
las diferentes actividades para la empresa Pass Line.

Lista de verificación para auditar

La lista de verificación permitirá llevar a cabo la ejecución de las actividades de auditoría.

Por otro lado, ayudará a identificar problemas futuros que la empresa debe solucionar y
permite controlar el cumplimiento de los requisitos por la ISO 27001.
 A continuación, presentamos la lista de verificación de la empresa Pass Line, indicando los
criterios de auditoría.
LISTA DE VERIFICACIÓN PARA AUDITAR
CUMPLE / NO
CRITERIO DE AUDITORÍA
CUMPLE / N.A
¿La empresa está atenta a las nuevas
amenazas que se detectan?
¿La empresa capacita a sus empleados
constantemente sobre los protocolos de
seguridad informática?
¿Se cambian las contraseñas de las
cuentas de usuario de la red con
regularidad?
¿Se cifran los datos confidenciales que
se transfieren a través de la red?
¿Están protegidos los datos del sitio
web?
¿La empresa cuenta con un sistema de
prevención de intrusiones?
¿Existe una política de seguridad?
Conclusiones
COMENTARIOS
Es importante estar al tanto de las nuevas amenazas, para
NC evitar fraudes a los usuarios y que puedan afectar la
reputación y seguridad de la empresa
Se realizan capacitaciones mensualmente sobre los
protocolos de seguridad informática ya que estos protocolos
C
evitan el robo de información en las distintas áreas de la
empresa
Se debe hacer cambio de contraseñas de los usuarios para
NC
que la cuenta tenga mayor seguridad
Es necesario que la empresa cifre sus datos ya que es la
NC base principal de la seguridad informática y garantiza que la
información de un sistema no pueda ser robada
Se necesita instalar una solución de protección de datos ya
NC que este tipo de dispositivo puede proteger la pérdida de
datos si hay una violación a la seguridad de la red.
Un sistema de prevención de intrusiones analiza el tráfico de
C
red para bloquear ataques activamente.
No existe una política de seguridad clara, por lo que se está
NC
implementando la Norma ISO 27001
 ● Debido a que la empresa no cuenta con un sistema de seguridad de la información,
implementamos la ISO 27001 en la empresa Pass Line para proteger la información
de la página web de la empresa y brindar seguridad y confianza a sus usuarios.
● Para su adecuado análisis de riesgo, implementamos la matriz IPER donde se
identificó cuáles eran los peligros con más alto nivel de riesgo dentro de la empresa
Pass Line.
● La ISO 27000 permite a la empresa presentar y garantizar un nivel de calidad ante sus
usuarios
● Después de realizar un análisis a la empresa sobre su sistema de seguridad de la
información, se pudo observar que hay una falta de compromiso por parte de la
empresa, ya que no toma iniciativa para que se lleve a cabo este sistema de manera
exitosa.
● Podemos concluir que la empresa evaluó tanto sus peligros como sus riesgos y de
acuerdo a ello se decidió capacitar continuamente a sus colaboradores para poder
evitar mayores problemas en la empresa.

Recomendaciones

● La dirección de la empresa Pass Line debe comprometerse con la implementación,

revisión y mejora del Sistema de Gestión de Seguridad de la información
● El gerente de la empresa debe ser consciente de la importancia que tiene la
implementación de la ISO 27001 para Pass Line
● Realizar capacitaciones constantemente al personal que labora dentro de Pass Line
sobre temas de seguridad de la información para que se logre generar conciencia de
la importancia que desempeña dentro de la empresa.
● Actualizar una política sobre seguridad de la información

Bibliografía:
 Venta y compra de tickets en línea. (2022). Consulta 30 Septiembre 2022, de
https://www.passline.com/home

 Rosado, D., Moreno, J., Sánches, L., Santos-Olmo, A. (2020). MARISMA-BiDa:

Gestión y Control del riesgo en Big Data. Caso de Estudio. Emarisma: Emarisma

 Facebook Pass Line (2022). Consulta 30 Septiembre 2022, de

https://www.facebook.com/PasslinePeru/

 ISO 27001 - Certificado ISO 27001 punto por punto - Presupuesto en línea. (2022).
Consulta 30 Septiembre 2022, de https://normaiso27001.es/

 ISO/IEC 27001 — Gestión de la seguridad de la información. (2022). Consulta 30

Septiembre 2022, de https://www.iso.org/isoiec-27001-information-security.html
 Lopéz R. Sistema de Gestión de la Seguridad Informática (2017) Consulta 29
septiembre 2022, de https://core.ac.uk/download/pdf/326424017.pdf

 ISO (2017). ISO 27001: Plan de tratamiento de riesgos de seguridad de la

información. Recuperado de
 https://www.pmg-ssi.com/2017/06/iso-27001-plan-tratamiento-riesgos-seguridad-
informacion/
 Nuevas Normas ISO (2019). Planificación y control operacional. Recuperado de
https://www.nueva-iso-14001.com/8-1-planificacion-y-control-operacional/
#:~:text=La%20empresa%20debe%20establecer%2C%20implementar,del
%20Sistema%20de%20Gesti%C3%B3n%20Ambiental.