MORO ABANTO, Manuel - VERA ZAVALETA, Juan Alberto

Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT
UNIVERSIDAD NACIONAL DE TRUJILLO

FACULTAD DE CIENCIAS FISICAS Y MATEMATICAS
ESCUELA DE INFORMÁTICA
S
A
IC
S
S FÍ
A S
IC A
DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD
T I
Á C
PARA PROTEGER EL ACCESO A LA INFORMACION
M N
E IE
T C
A E
TESIS PARA OPTAR EL GRADO DE INGENIERO INFORMATICO

M D
Y A
C
AUTORES:
E
T
Bach. MORO ABANTO MANUEL

O
LI
Bach. VERA ZAVALETA JUAN ALBERTO

IB
ASESOR:
B
Ing. ARTURO DIAZ PULIDO
TRUJILLO – PERÚ
2015
Esta obra ha sido publicada bajo la licencia Creative Commons Reconocimiento-No Comercial-Compartir bajola misma licencia 2.5 Perú.
Para ver una copia de dicha licencia, visite http://creativecommons.org/licences/by-nc-sa/2.5/pe/
DEDICATORIA
A Dios, por darme la oportunidad de vivir y por estar conmigo en cada paso que doy, por fortalecer mi
corazón e iluminar mi mente y por haber puesto en mi camino a aquellas personas que han sido mi
soporte y compañía durante todo el periodo de estudio.
A mis padres por darme la vida, por ser el pilar fundamental en todo lo que soy, en toda mi
educación, tanto académica, como de la vida, por su incondicional apoyo, por haberme forjado
como la persona que soy en la actualidad; muchos de mis logros se los debo a ustedes en los
S
que se incluye este.
A
IC
A Ali, muchas gracias por estar conmigo en todo este tiempo en donde he vivido momentos
felices y tristes, gracias por alentarme y apoyarme para continuar cuando parecía que me iba a
S
rendir, siempre te llevare en mi corazón.
S FÍ
A S
Moro Abanto Manuel.
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
DEDICATORIA
Dedico esta tesis a Dios todo poderoso, por darme la dicha de tener a mis padres con
vida y con salud. A mi padre Alberto Vera. Quien me apoyo incondicionalmente en toda
mi carrera profesional. Mi madre Adelina Zavaleta. Quien fue mi apoyo moral. Y a todos
mis hermanos quienes me dieron fuerza y ánimos para seguir adelante en mi formación
profesional, Gracias a ellos he logrado este sueño de ser profesional.
S
A
Vera Zavaleta Juan Alberto.
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
AGRADECIMIENTOS
Queremos agradecer principalmente a Dios por todas las bendiciones recibidas,

por su infinita bondad al darnos unas familias estupendas, y tener la oportunidad
de culminar nuestros estudios Profesionales.
A nuestros padres y hermanos por su amor, apoyo y ejemplo brindado durante toda
nuestra vida.
A la Universidad Nacional de Trujillo por darnos la oportunidad de estudiar y ser
S
A
profesionales.
IC
A nuestro director de escuela Edwin Mendoza Torres por brindarnos las facilidades
S
necesarias en el momento adecuado.
S FÍ
A S
A nuestro asesor Arturo Díaz Pulido , por los conocimientos impartidos, la
IC A
colaboración en poner a nuestra disposición los equipos necesarios para el
T I
desarrollo, junto a su empeño y paciencia entregada para la culminación de esta
Á C
investigación.
M N
E IE
Son muchas las personas que han formado parte de nuestra vida profesional a las que
T C
nos encantaría agradecerles su amistad, consejos, apoyo, ánimos y compañía en los

A E
momentos más difíciles de nuestra vida. Algunas están presentes y otras en los
M D
recuerdos y en el corazón, sin importar en donde estén queremos darles las

gracias por formar parte de nuestra vida diaria.
Y A
C
E
T
O
LI
IB
B
RESUMEN
Dada la evolución de las tecnologías de la información y su relación directa con los
objetivos de las organizaciones, el universo de amenazas y vulnerabilidades
aumenta, por lo tanto es necesario proteger uno de los activos más importantes de la
organización, la información, garantizando siempre la disponibilidad, la
confidencialidad e integridad de la misma.
Frente a esta realidad, se observa que el no contar con un programa de seguridad
de información que brinde las garantías necesarias para la información en cualquier
organización, en medio de un mercado tan competitivo como el actual, representa un
S
desventaja considerable frente a empresas del mismo rubro que sí trabajan el tema
A
IC
dentro de su cultura organizacional. Esta desventaja podría traer pérdidas muy
graves, tales como la pérdida de un número importante de clientes o de acuerdos
S
laborales con otras empresas, lo cual afectaría principalmente la parte financiera de
S FÍ
la organización, y finalmente podría, si las pérdidas llegan a ser críticas, llevar a la
quiebra al negocio.
A S
IC A
En el caso de instituciones educativas, se puede observar que éstas aún no toman a
T I
la seguridad de información como prioridad. Así como también se observa que no
Á C
existe una cultura de seguridad transversal en dichas entidades. Si bien es cierto que
M N
aún no existe una regulación del Ministerio de Educación, no se tendría que esperar
E IE
que el tema se regule para que recién tomar acción en el establecimiento de

T C
controles para mitigar o reducir los riesgos a los que la información de estas
entidades está expuesta.
A E
M D
El propósito de este trabajo se centró en el diseño de un sistema de gestión de

seguridad de la información(SGSI), bajo una metodología de análisis y evaluación de
Y A
riesgos desarrollada y diseñada por los autores de este trabajo, también se usaron
C
como referencia las normas ISO 27001:2005 e ISO 17799:2005

E
Se promueve un enfoque sistémico y pragmático, no dogmático, en pro de una

T
O
metodología eficaz y sostenible, primando un criterio de conveniencia costo-

beneficio. Se enfatiza la necesidad de su orientación y adecuación a los reales
LI
requerimientos de seguridad del negocio.

IB
En la presente tesis, se diseña y desarrolla el modelo para implementar un sistema

B
de gestión de seguridad de información para cualquier tipo de información, que

consiste en las medidas para impedir, prevenir, detectar y corregir las violaciones de
la seguridad que se producen durante la transmisión de la información.
Bajo este contexto, el presente proyecto brinda como alternativa el diseño de un
Sistema de Gestión de Seguridad de Información (SGSI) para una institución
educativa de nivel superior, tomando la realidad de una entidad educativa local
Universidad Privada Trujillo Perú (UPTP). La presente tesis se enfoca en proteger la
información de los procesos principales de esta institución educativa siguiendo
normas internacionales vigentes.
ABSTRAC
Given the evolution of information technology and its direct relation to the objectives of the
organizations, the universe of threats and vulnerabilities increases, therefore it is necessary to
protect one of the most important assets of the organization, information, ensuring always
availability, confidentiality and integrity of the same.
Faced with this reality, we see that not having an information security program to provide the
guarantees necessary for the information in any organization, amid a highly competitive market
S
today, represents a considerable disadvantage against companies in the same sector who do
A
work the issue within its organizational culture. This disadvantage could bring very serious, such
IC
as the loss of a significant number of customers or working arrangements with other companies
losses, affecting mainly the financial side of the organization, and could eventually if losses
S
S FÍ
become critical, lead business bankrupt.
A S
For educational institutions, it can be seen that they do not take safety as priority information.
IC A
As also it is seen that there is a culture of safety cross those entities. While there is still no
T I
regulation of the Ministry of Education, it will not have to wait for the issue to be regulated to just
Á C
take action in establishing controls to mitigate or reduce the risks to which the information from
M N
these entities is exposed.

E IE
T C
The purpose of this work focused on the design of a management system of information
security (ISMS) under a methodology of analysis and risk assessment developed and designed
A E
by the authors of this paper, also they used as reference standards ISO 27001: 2005 and ISO
M D
17799: 2005
Y A
C
Systemic and pragmatic, not dogmatic approach is promoted, in favor of an effective and
E
sustainable approach, giving priority criteria convenience cost-effective. The need for guidance
T
and relevance to the real requirements of business security is emphasized.

O
LI
In this thesis, he designed and developed the model to implement a management system for
information security for any type of information, consisting of measures to deter, prevent, detect
IB
and correct security violations that occur during the transmission of information.
B
In this context, this project provides an alternative design of a System Information Security
Management (ISMS) to an educational institution of higher level, taking the reality of a local
educational institution University Private Trujillo Peru (UPTP). This thesis focuses on protecting
the information of the main processes of this educational institution following existing
international standards.
ÍNDICE DE CONTENIDO
I. INTRODUCCIÓN ....................................................................................................................... 1
1.1. Realidad problemática ................................................................................................... 2
1.2. Formulación del problema ............................................................................................. 3
1.3. Hipótesis ........................................................................................................................ 3
1.4. Justificación ................................................................................................................... 3
S
1.5. Estado del Arte .............................................................................................................. 4
A
1.6. Objetivos ........................................................................................................................ 6
IC
1.6.1. General .................................................................................................................. 6
S
1.6.2. Específicos ............................................................................................................ 6
S FÍ
1.7. Definición de variables .................................................................................................. 6
A S
1.7.1 Variable Independiente ................................................................................................ 6
IC A
T I
1.7.2. Variable Dependiente ................................................................................................. 6
Á C
M N
II MARCO REFERENCIAL ............................................................................................................ 7

E IE
2.1. Marco Teórico .................................................................................................................... 8

T C
2.1.1. Seguridad de información .......................................................................................... 8

A E
2.1.2. Activo de información ................................................................................................. 8

M D
2.1.3. Sistema de Gestión de la Seguridad de la Información ............................................ 8

Y A
2.1.3.1. ¿Para qué sirve un SGSI? ................................................................................ 10

C
2.1.3.2. ¿Qué incluye un SGSI? ..................................................................................... 10

E
T
2.1.3.3. Alcance del SGSI: ....................................................................................... 11

O
2.1.3.4. ¿Qué aspectos de seguridad cubre un SGSI? ................................................. 13

LI
2.1.3.5 ¿Cómo se implementa un SGSI? ...................................................................... 13

IB
2.1.3.6. Revisión del SGSI ............................................................................................. 14

B
2.1.4. Análisis y Evaluación del Riesgo .............................................................................. 14
2.1.4.1. Tratamiento del Riesgo y la Toma de Decisiones Gerenciales ........................ 15
2.1.5. Controles de seguridad ............................................................................................ 18
2.1.6. International Organization for Standardization (ISO) ............................................... 19
2.1.6.1. ISO 27000 .......................................................................................................... 19
2.1.6.2. La serie 27000 .................................................................................................... 20
2.1.6.3. Contenido .................................................................................................... 21
2.1.6.4. Beneficios ........................................................................................................... 23
2.2. Marco Conceptual ............................................................................................................ 24
2.2.1. Modelo del Sistema de Gestión de Seguridad de la Información PDCA (Plan, Do,
Check, Act) ......................................................................................................................... 24
2.2.1.1. Arranque del proyecto ....................................................................................... 24
2.2.1.2. Plan: Establecer el SGSI ................................................................................... 25
2.3. Metodología COBIT 5. ................................................................................................. 26
S
2.2.1.3. Do: Implementar y utilizar el SGSI .................................................................... 44
A
2.2.1.4. Check: Monitorizar y revisar el SGSI ................................................................ 44
IC
2.2.1.5. ACT (Actuar): .................................................................................................... 45
S
S FÍ
III. METODOLOGÍA ..................................................................................................................... 46
3.1. Diseño de Contrastación de la Hipótesis ......................................................................... 47
A S
IC A
3.2. Tipo de Investigación ....................................................................................................... 47
T I
Á C
3.3. Población – Muestra ........................................................................................................ 47
M N
3.3.1. Población .................................................................................................................. 47

E IE
3.3.2. Muestra ..................................................................................................................... 48

T C
3.4. Técnicas, Instrumentos, Fuentes e Informantes............................................................. 49

A E
3.5. Indicadores...................................................................................................................... 50
M D
IV. DESARROLLO DE LA METODOLOGIA ............................................................................... 52

Y A
4.1. Descripción de la Empresa .............................................................................................. 53

C
E
4.2. Procesamiento de la Información .................................................................................... 54

T
4.2.1. Fase Inicial: Recolección de Información Actual y Análisis de Datos. ..................... 54

O
4.2.2. Fase Dos: Arranque del proyecto ............................................................................. 68

LI
4.2.2.1. Diseño del Sistema Propuesto .......................................................................... 68

IB
4.2.3. Fase Tres: Valorización de los activos de información ............................................ 73

B
4.2.4. Fase Cuatro: Apetito del riesgo ................................................................................ 75
4.2.5. Fase Cinco. Identificación y Evaluación de los Riesgos ......................................... 79
4.2.5.1. Mapa de Riesgos ............................................................................................... 79
4.2.6. Fase Seis: Plan de tratamiento de riesgos ............................................................... 88
4.2.7. Fase Siete: Controles para el tratamiento de riesgos .............................................. 89
4.2.8. Fase Ocho: Mapeo de los controles con COBIT 5 ................................................. 101
4.3. Entregables de un SGSI .............................................................................................. 109
4.3.1. Declaración de la Aplicabilidad ......................................................................... 109
V: DISCUSION DE RESULTADOS........................................................................................... 115
VI: CONCLUSIONES Y RECOMENDACIONES ...................................................................... 118
6.1. Conclusiones.................................................................................................................. 119
6.2. Recomendaciones ......................................................................................................... 120
VII: REFERENCIAS BIBLIOGRAFÍAS ...................................................................................... 121
7.1. Fuentes bibliográficas .................................................................................................... 122
S
7.2. Fuentes Electrónicas ..................................................................................................... 122
A
IC
7.3. Tesis ............................................................................................................................... 123
S
VIII: ANEXOS ............................................................................................................................ 124
S FÍ
Anexo 01 ................................................................................................................................... 125
A S
Anexo 02 ................................................................................................................................... 130
IC A
Anexo 03 ................................................................................................................................... 140
T I
Á C
Anexo 04 ................................................................................................................................... 144
M N
Anexo 05 ................................................................................................................................... 152

E IE
Anexo 06 ................................................................................................................................... 156

T C
Anexo 07 ................................................................................................................................... 159

A E
Anexo 08 ................................................................................................................................... 163

M D
Anexo 09 ................................................................................................................................... 165

Y A
C
Anexo 10 ................................................................................................................................... 166

E
T
O
LI
IB
B
ÍNDICE DE FIGURAS
Ilustración 2: Riesgos – SGSI ................................................................................................... 10

Ilustración 3: Documentación del Sistema de Seguridad ........................................................ 11
Ilustración 4: Aspectos que cubre el SGSI ................................................................................. 13
Ilustración 5: Modelo de Desarrollo del SGSI ............................................................................ 13
Ilustración 6: Pasos para la Metodología De Análisis de Riesgos ............................................. 15
Ilustración 7: Gestión de Riesgos .............................................................................................. 18
Ilustración 1: Historia de ISO 2700 ............................................................................................ 20
S
Ilustración 8: Modelo de Desarrollo del SGSI ............................................................................ 24
A
Ilustración 9: Los 5 principios del marco COBIT 5 ...................................................................... 27
IC
Ilustración 10: El objetivo de Gobierno: Creación de Valor. ...................................................... 28
S
Ilustración 11: Visión General de la Cascada de Metas de Cobit5. ........................................... 29
S FÍ
Ilustración 12: Metas corporativas del COBIT 5. ........................................................................ 30
Ilustración 13: Gobierno y Gestión en cobit5. ............................................................................ 32
A S
Ilustración 14: Roles, Actividades y Relaciones Clave. ............................................................. 33
IC A
T I
Ilustración 15: Marco de Referencia Único Integrador Cobit5. .................................................. 35
Á C
Ilustración 16: Catalizadores Corporativos COBIT 5. ................................................................ 36
M N
Ilustración 17: Catalizadores COBIT 5: Genérico. ..................................................................... 38

E IE
Ilustración 18: Interacciones Gobierno y Gestión en Cobit5. ..................................................... 41

T C
Ilustración 19: Las Áreas Clave de Gobierno y Gestión de Cobit 5. .......................................... 41

Ilustración 20: Modelo de Referencia de Procesos de COBIT 5. .............................................. 43
A E
Ilustración 21: Ubicación de la Universidad Privada de Trujillo ................................................ 166

M D
Y A
C
E
T
O
LI
IB
B
INDICE DE TABLAS
Tabla 1: Distribución de la Población - Muestra ........................................................................................ 49

Tabla 2: Técnicas, Instrumentos, Fuentes e Informantes ............................................................................ 50
Tabla 3: Inventario de activos .................................................................................................................... 73
Tabla 4: Criterios de valorización de activos ............................................................................................. 74
Tabla 5: Valores según nivel de criticidad ........................................................................................... 75
Tabla 6: Valorización de los activos ........................................................................................................... 79
Tabla 7: Matriz de calor ............................................................................................................................. 80
S
Tabla 8: Descripción de los niveles de la Probabilidad de Afectación ....................................................... 80
A
Tabla 9: Descripción de los niveles de Impacto en el Negocio .................................................................. 80
IC
Tabla 10: Matriz de riesgos ........................................................................................................................ 88
S
Tabla 11: Plan de tratamiento de riesgos .................................................................................................... 89
S FÍ
Tabla 12: Políticas de seguridad ................................................................................................................. 93
Tabla 13: Controles para el tratamiento de riesgos................................................................................... 101
A S
Tabla 14: Objetivos organizacionales de la UPTP según COBIT 5 ......................................................... 102
IC A
Tabla 15: Objetivos de TI de la entidad educativa según los objetivos organizacionales ........................ 104
T I
Á C
Tabla 16: Procesos habilitadores de COBIT 5 según los objetivos de TI de la entidad educativa ........... 105
M N
Tabla 17: Procesos habilitadores de COBIT 5 para la entidad educativa ................................................. 109
E IE
Tabla 18: Declaración de la Aplicabilidad ............................................................................................... 114

T C
A E
M D
Y A
C
E
T
O
LI
IB
B
DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD PARA PROTEGER EL

ACCESO A LA INFORMACION
S
A
IC
S
S FÍ
A S
I. INTRODUCCIÓN
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B

1.1. Realidad problemática
Las organizaciones públicas y privadas día a día generan conocimiento, datos,

reportes, actas y material de diferente índole de suma importancia para ellas, lo cual
representa toda la información que requieren para su funcionalidad. Esta información
en la mayoría de los casos, es almacenada en diferentes medios tanto físicos como
electrónicos, además es puesta a disposición del personal que requiere hacer uso de
S
esta información para toma de decisiones, realización de planes, reportes, inventarios,
A
entre otros.
IC
S
El acceso no autorizado a la información se ha vuelto más fácil debido a los tantos
S FÍ
métodos existentes y nuevos para extraer información, esto ha permitido que sea más
difícil salvaguardar la información y sus métodos de transmisión; ya sean estos
A S
IC A
comunicados verbales, archivos, documentos, base de datos, entre otros.
T I
Á C
Actualmente la mayoría de organizaciones públicas y privadas en el Perú no cuentan
M N
con los controles, medidas, procedimientos de seguridad necesarios para resguardar

E IE
sus activos de información, tales como documentos, software, dispositivos físicos,

T C
personas, imagen, reputación y servicios, están expuestos a altos niveles de riesgo,

frente a las diversas amenazas físicas y lógicas existentes como:
A E
M D
 Desastres naturales (terremotos, inundaciones, etc.)

Y A
 Estructurales (incendios, cortes de electricidad, refrigeración,

C
comunicaciones, etc.)
E
 Software (Errores en los SO, BD, software base, web servers,

T
aplicaciones, elementos de seguridad, etc.)

O
 Red LAN y WAN (red interna, sistemas de seguridad de las

LI
comunicaciones, redes públicas ajenas, etc.)

IB
 Copias de seguridad (fallos en elementos de copias, fallos en soportes

B
cintas, discos, etc.)

 Información (Base de datos, ficheros, manuales, planes de contingencia,
etc.)
 Personal (Errores y ataques de personal interno, externo, etc.)
 Riesgos contra el patrimonio (robo, pérdida no intencionada de activos).
 Otros riesgos (confianza de los clientes, imagen de empresa, seguros).
Por lo anteriormente citado es necesaria la implementación de herramientas,
procedimientos, controles y políticas que aseguren la confidencialidad, disponibilidad e
integridad de la información; con ellos garantizar a que accedan a la información

quienes están designaos para su uso, este disponible cuando se requiera y

permanezca tal como fue creada por sus propietarios y asegurar también la
actualización de la misma.
1.2. Formulación del problema
¿Cómo ayudar a proteger la seguridad de la información dentro de una
Organización o empresa?
1.3. Hipótesis
S
A
“El diseño de un sistema de gestión de seguridad de la información ayudará a los
IC
responsables de la información a mejorar la seguridad de las tecnologías de
información y comunicación.”
S
S FÍ
1.4. Justificación
A S
IC A
Debido a los riesgos a los que están expuestos los activos de información, el
T I
impacto que la interrupción de estos pueda causar, es preponderante la definición
Á C
de una metodología y el uso de herramientas que nos ayuden a reducir y mitigar
M N
estos riesgos.
E IE
Es por ello que se propone el diseño de un sistema de gestión de seguridad de la

T C
información (SGSI), el cual nos brindara los procedimientos y lineamientos

necesarios para identificar y evaluar los riesgos, las amenazas, las vulnerabilidades
A E
M D
de los activos de información.

Y A
 Institucional
C
E
T
El contar con un sistema de gestión de seguridad de información (SGSI)

O
correctamente diseñada le permite incrementar su valor como organización o

LI
empresa actualizada y con mejor acceso a futuras mejoras. Es por ello que la
presente investigación se justifica institucionalmente.
IB
B
 Tecnológica
Tendrá más facilidad para implementar servicios de Información que mejoren la

forma de trabajo de sus colaboradores. Es por ello que la tecnología es una gran
alternativa para mejorar la tarea de cada colaborador lo cual también se cumple
en este proyecto.

 Económica
El desarrollo de nuestro proyecto permitirá a los encargados de la Gestión de la

Información adquirir un mejor nivel de servicio en calidad, funcionalidad y
facilidad en el uso de la seguridad, de manera tal que minimice costos
 Social
S
A
El Diseño de Gestión de Seguridad de la Información permitirá a las
IC
organizaciones tener una mejor apreciación y entendimiento de los riesgos y
S
limitaciones de TI a todos los niveles dentro de la empresa con el fin de obtener
S FÍ
una efectiva dirección y controles, de manera tal maximizar sus beneficios,
capitalizar sus oportunidades y ganar ventaja competitiva.
A S
IC A
1.5. Estado del Arte
T I
Á C
M N
Casos en Europa
E IE
Tema:
Proyecto CAMERSEC - Implantación de Sistemas de Gestión de
T C
Seguridad de la información en Pymes

A E
Autor:
M D
Andrés García Martínez.

Y A
Lugar de investigación:
C
España, Cámara de Comercio, Industria y Navegación de Málaga

E
Año de investigación:
T
26 de octubre de 2006
O
Resumen:
LI
El Proyecto CAMERSEC promueve actuaciones de consultoría para Sistemas de

IB
Gestión de Seguridad de la Información realizadas por Grupo Nexus Consultores y

Auditores y Tecnotur 3000, siendo decisión de la empresa adherida certificar o no dicho
B
sistema. La iniciativa se está tramitando para que cuente con el apoyo a modo de
incentivos por parte de la Agencia IDEA (Consejería de Innovación, Ciencia y Empresa)
de cara a la financiación del mismo, así como la obtención de precios en condiciones
ventajosas para la consultoría y certificación.
Análisis:
Este proyecto es altamente recomendado para empresas cuyos activos de información
tengan un alto valor para la actividad organizacional, la implantación de un sistema de
esta naturaleza ayuda a la gestión de la seguridad de sus activos de información ya

que afecta a políticas y estrategias de la empresa y constituye un aporte de valor

indiscutible para cualquier tipo de actividad empresarial.
Casos en Latinoamérica
Tema:
Trabajo final: Plan de Seguridad Informática.
Autores:
María Dolores Cerini.
S
Pablo Ignacio Prá.
A
IC
Córdoba – Argentina, EMPRESA ARGENTINA nacional.
S
S FÍ
Universidad Católica de Córdoba – 2002
Resumen:
A S
Esta es una empresa concesionaria automotriz que a través del proyecto se quiere
IC A
desarrollar documentos y directrices que orienten el uso adecuado de las tecnologías
T I
Á C
de información para obtener el mayor provecho de las ventajas que brindan. De esta
M N
manera se va a implementar políticas de seguridad de la información en la compañía

E IE
para que pueda desarrollarse y mantenerse en su sector de negocios. Las políticas de

seguridad de la información van a fijar los mecanismos y procedimientos que deben
T C
adoptar las empresas para salvaguardar sus sistemas y la información que estos
A E
contienen.
M D
Análisis:
Y A
Este trabajo es muy importante ya que su aplicación está basada en un entorno

C
diferente al de nosotros, el cual nos permitirá tener un mejor enfoque al proyecto de

E
investigación que tratamos de llevar a cabo.

T
O
Casos en Perú
LI
Tema:
IB
Tesis: “Plan de seguridad informática para una entidad financiera.”

B
Autora:
Norma Edith Córdova Rodríguez
Lima – Perú, BANCO PERUANO de capital extranjero.
Universidad Nacional Mayor de San Marcos - 2003.
Resumen:
Se puede observar que gracias a la liberación y la globalización de los servicios
financieros, junto con la creciente sofisticación de la tecnología financiera, están

haciendo cada vez más diversas y complejas las actividad de los bancos en términos
de seguridad de información para ello este proyecto busca definir un plan de Seguridad
para una entidad financiera, empezando por definir la estructura organizacional (roles y
funciones), después pasa a definir las políticas para finalmente concluir con un plan de
implementación o adecuación a las políticas anteriormente definidas.
Análisis:
Este tema de investigación nos permite tener un conocimiento más amplio de la
S
seguridad, que se regirá bajo normas para el adecuado uso de la información dentro y
A
fuera de la organización siendo está muy importante dentro de la misma.
IC
1.6. Objetivos
S
1.6.1. General
S FÍ
Lograr un diseño de un sistema de gestión de seguridad para proteger el
A S
acceso a la información (SGSI).
IC A
1.6.2. Específicos T I
Á C
 Diseñar un sistema de gestión de seguridad de la información que sea
M N
desplegada a todos los colaboradores involucrados en los procesos de

E IE
tecnología de la UPTP.
T C
 Gestionar y monitorear de manera eficiente los incidentes y

A E
vulnerabilidades de seguridad de la información.

M D
 Desplegar las medidas de seguridad para gestionar los riesgos y

ejecutar controles de tratamiento de riesgos, para reducir los riesgos a
Y A
niveles aceptables.
C
E
 Formación y concientización de los colaboradores involucrados en los

T
procesos de tecnología, en temas de seguridad de información.

O
 Cumplimiento de la legislación vigente sobre información personal,

LI
propiedad intelectual y otras.

 Gestionar y controlar los documentos del SGSI.
IB
B
1.7. Definición de variables

1.7.1 Variable Independiente
 Sistema de gestión de seguridad de la información.
1.7.2. Variable Dependiente
 Acceso seguro a la Información.

S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
II MARCO REFERENCIAL
M D
Y A
C
E
T
O
LI
IB
B

2.1. Marco Teórico

2.1.1. Seguridad de información
“Se entiende por seguridad de la información a todas aquellas medidas preventivas y

reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que
permitan resguardar y proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma”. [13] En la seguridad de
la información es importante señalar que su manejo está basado en la tecnología y
S
debemos saber que puede ser confidencial. Puede ser divulgada, mal utilizada,
A
robada, borrada, saboteada, etc. La información es poder, y según las posibilidades
IC
estratégicas que ofrece tener a acceso a cierta información, ésta se clasifica como:
S
 Crítica: Es indispensable para la operación de la empresa.
S FÍ
 Valiosa: Es un activo de la empresa y muy valioso.
 Sensible: Debe ser conocida por las personas autorizadas.
A S
Los términos de seguridad de la información, seguridad informática y garantía de la
IC A
información son usados frecuentemente como sinónimos porque todos ellos
T I
Á C
persiguen una misma finalidad al proteger la confidencialidad, integridad y
M N
disponibilidad de la información.
E IE
2.1.2. Activo de información

T C
“Un activo es algo que tiene valor o utilidad para la organización, sus operaciones
A E
comerciales y su continuidad. Por esta razón, los activos necesitan tener protección
M D
para asegurar una correcta operación del negocio y una continuidad en las
Y A
operaciones. Para cualquier tipo de empresa son de vital importancia la gestión y la

C
responsabilidad por los activos. En este punto es importante clarificar que es un

E
activo de información. Según el ISO 17799:2005 (Código de práctica para la gestión

T
O
de seguridad de información), un activo de información es algo a lo que una

LI
organización directamente le asigna un valor y, por lo tanto, la organización debe

proteger. [08]
IB
B
2.1.3. Sistema de Gestión de la Seguridad de la Información
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central

sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso
sistemático, documentado y conocido por toda la organización.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso
de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la
seguridad de la información es, por tanto, garantizar que los riesgos de la

seguridad de la información sean conocidos, asumidos, gestionados y minimizados

por la organización de una forma documentada, sistemática, estructurada, repetible,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las
tecnologías.
La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en
su tratamiento, dentro de una organización. Así pues, estos tres términos
constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la
S
A
información: [14]
IC
 Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos; está protegida de personas no autorizadas.
S
La pérdida de la confidencialidad de la información puede adoptar muchas
S FÍ
formas. Cuando alguien mira por encima de su hombro, mientras usted tiene
A S
información confidencial en la pantalla, cuando se publica información privada,
IC A
cuando un laptop con información sensible sobre una empresa es robado,
T I
cuando se divulga información confidencial a través del teléfono, etc. Todos
Á C
estos casos pueden constituir una violación de la confidencialidad. [13]
M N
 Integridad: Para la Seguridad de la Información, la integridad es la propiedad

E IE
que busca mantener los datos libres de modificaciones no autorizadas. La

T C
violación de integridad se presenta cuando un empleado, programa o proceso

A E
(por accidente o con mala intención) modifica o borra los datos importantes que
M D
son parte de la información, asimismo, hace que su contenido permanezca

inalterado a menos que sea modificado por personal autorizado, y esta
Y A
modificación sea registrada, asegurando su precisión y confiabilidad. La

C
integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de

E
T
comprobación de la integridad: la firma digital es uno de los pilares

O
fundamentales de la seguridad de la información. [13]

LI
 Disponibilidad: Acceso y utilización de la información y los sistemas de

tratamiento de la misma por parte de los individuos, entidades o procesos
IB
autorizados cuando lo requieran.

B
La disponibilidad además de ser importante en el proceso de seguridad de la

información es, además variada en el sentido de que existen varios mecanismos
para cumplir con los niveles de servicio que se requiera, tales mecanismos se
implementan en infraestructura tecnológica, servidores de correo electrónico, de
bases de datos, de web, etc.; mediante el uso de clúster o arreglos de discos,
equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos,
redes de almacenamiento, etc. La gama de posibilidades dependerá de lo que
queremos proteger y el nivel de servicio que se quiera proporcionar. [13]

2.1.3.1. ¿Para qué sirve un SGSI?
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a

establecer estas políticas y procedimientos en relación a los objetivos de negocio
de la organización, con objeto de mantener un nivel de exposición siempre menor
al nivel de riesgo que la propia organización ha decidido asumir. [14]
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
Ilustración 1: Riesgos – SGSI

E
T
O
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por

LI
sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la

IB
organización, con la gerencia al frente, tomando en consideración también a

clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad
B
debe contemplar unos procedimientos adecuados y la planificación e implantación

de controles de seguridad basados en una evaluación de riesgos y en una
medición de la eficacia de los mismos.
2.1.3.2. ¿Qué incluye un SGSI?
En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado

gráficamente la documentación del sistema como una pirámide de cuatro niveles.
10

Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la

Información basado en ISO 27001 de la siguiente forma: [14]
S
A
IC
S
S FÍ
Ilustración 2: Documentación del Sistema de Seguridad [14]
 Documentos de Nivel 1
A S
IC A
Manual de seguridad: Documentación que inspira y dirige todo el sistema, el
T I
que expone y determina las intenciones, alcance, objetivos
Á C
responsabilidades, políticas y directrices principales, etc., del SGSI.
M N
E IE
Procedimientos: Documentación en el nivel operativo, que aseguran que se

T C
realicen de forma eficaz la planificación, operación y control de los procesos

A E
de seguridad de la información.
M D
Instrucciones, checklists y formularios: Documentación que describen cómo
Y A
se realizan las tareas y las actividades específicas relacionadas con la

C
E
seguridad de la información.
T
O
Registros: Documentación que proporcionan una evidencia objetiva del

LI
cumplimiento de los requisitos del SGSI; están asociados a documentos de

IB
los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos.
B
De manera específica, ISO 27001 indica que un SGSI debe estar formado
por los siguientes documentos (en cualquier formato o tipo de medio):
2.1.3.3. Alcance del SGSI:

Ámbito de la organización que queda sometido al SGSI, incluyendo una
identificación clara de las dependencias, relaciones y límites que existen entre
el alcance y aquellas partes que no hayan sido consideradas (en aquellos
casos en los que el ámbito de influencia del SGSI considere un subconjunto
11

de la organización como delegaciones, divisiones, áreas, procesos, sistemas

o tareas concretas).
 Política y objetivos de seguridad: Documento de contenido
genérico que establece el compromiso de la dirección y el enfoque
de la organización en la gestión de la seguridad de la información.
 Procedimientos y mecanismos de control que soportan al
SGSI: Aquellos procedimientos que regulan el propio
S
funcionamiento del SGSI.
A
 Enfoque de evaluación de riesgos: Descripción de la
IC
metodología a emplear (cómo se realizará la evaluación de las
S
amenazas, vulnerabilidades, probabilidades de ocurrencia e
S FÍ
impactos en relación a los activos de información contenidos dentro
del alcance seleccionado), desarrollo de criterios de aceptación de
A S
riesgo y fijación de niveles de riesgo aceptables.

IC A
Informe de evaluación de riesgos: Estudio resultante de
T I
Á C
aplicar la metodología de evaluación anteriormente mencionada a
M N
los activos de información de la organización.

E IE
 Plan de tratamiento de riesgos: Documento que identifica las

T C
acciones de la dirección, los recursos, las responsabilidades y las

prioridades para gestionar los riesgos de seguridad de la
A E
información, en función de las conclusiones obtenidas de la

M D
evaluación de riesgos, de los objetivos de control identificados, de

Y A
los recursos disponibles, etc.

C
 Procedimientos documentados: Todos los necesarios para

E
asegurar la planificación, operación y control de los procesos de

T
seguridad de la información, así como para la medida de la eficacia

O
de los controles implantados.

LI
 Registros: Documentos que proporcionan evidencias de la

IB
conformidad con los requisitos y del funcionamiento eficaz del SGSI.

B
 Declaración de aplicabilidad: (SOA -Statement of Applicability-,

en sus siglas inglesas); documento que contiene los objetivos de
control y los controles contemplados por el SGSI, basado en los
resultados de los procesos de evaluación y tratamiento de riesgos,
justificando inclusiones y exclusiones.
12

2.1.3.4. ¿Qué aspectos de seguridad cubre un SGSI?
S
A
IC
S
S FÍ
A S
Ilustración 3: Aspectos que cubre el SGSI [05]
Niveles de seguridad:
IC A
T I
Á C
 Lógica: Confidencialidad, integridad y disponibilidad del software y datos de un
M N
SGI.
E IE
 Organizativa: Relativa a la prevención, detección y corrección de riesgos.

 Física: Protección de elementos físicos de las instalaciones: servidores, PCs, etc.
T C
 Legal: Cumplimiento de la legislación vigente.

A E
M D
2.1.3.5 ¿Cómo se implementa un SGSI?

Y A
C
E
T
O
LI
IB
B
Ilustración 4: Modelo de Desarrollo del SGSI [14]
Se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la

calidad.
13

2.1.3.6. Revisión del SGSI
A la dirección de la organización se le asigna también la tarea de, al menos

una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado
y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a
tomar decisiones, entre las que se pueden enumerar: [14]
S
 Resultados de auditorías y revisiones del SGSI.
A
 Observaciones de todas las partes interesadas.
IC
 Técnicas, productos o procedimientos que pudieran ser útiles para
mejorar el rendimiento y eficacia del SGSI.
S
S FÍ
 Información sobre el estado de acciones preventivas y correctivas.
 Vulnerabilidades o amenazas que no fueran tratadas
A S
adecuadamente en evaluaciones de riesgos anteriores.
IC A
 Resultados de las mediciones de eficacia.
T I
Á C
 Estado de las acciones iniciadas a raíz de revisiones anteriores de
M N
la dirección.
E IE
 Cualquier cambio que pueda afectar al SGSI.

 Recomendaciones de mejora.
T C
A E
Basándose en todas estas informaciones, la dirección debe revisar el SGSI y

M D
tomar decisiones y acciones relativas a:

Y A
 Mejora de la eficacia del SGSI.

C
 Actualización de la evaluación de riesgos y del plan de tratamiento

E
de riesgos.
T
 Modificación de los procedimientos y controles que afecten a la

O
seguridad de la información, en respuesta a cambios internos o

LI
externos en los requisitos de negocio, requerimientos de seguridad,

IB
procesos de negocio, marco legal, obligaciones contractuales,

niveles de riesgo y criterios de aceptación de riesgos.
B
 Necesidades de recursos.
 Mejora de la forma de medir la efectividad de los controles.
2.1.4. Análisis y Evaluación del Riesgo
Es un conjunto de pasos metodológicos que debe desarrollar la empresa, que

abarca desde que se identifican los activos de información hasta que se establece
la importancia de las amenazas por su impacto en el riesgo de los activos. En
14

esencia el análisis del riesgo busca estimar la magnitud del riesgo que afecta a los
activos de información. A continuación mostramos la secuencia de pasos
metodológicos que sigue el “análisis del riesgo”. [06]
IDENTIFICACI TASACIÓN DE IDENTIFICACION

DE AMENAZAS Y
ÓN DE ACTIVOS DE
POSIBILIDADES DE
ACTIVOS DE INFORMACIÓ OCURRENCIA
INFORMACIÓ N
S
N
A
IC
S
IDENTIFICACIÓN ESTIMACIÓN PRIORIZACIÓ
S FÍ
DE DE LA
VULNERABILIDA
N DE LAS
EXPOSICIÓN AL AMENAZAS
DES Y
RIESGO DE LOS POR SU
POSIBILIDAD DE
A S
SER EXPLOTADAS ACTIVOS DE
EXPOSICIÓN
INFORMACIÓN
IC A
POR LAS
AL RIESGO
AMENAZAS
T I
Á C
M N
Ilustración 5: Pasos para la Metodología De Análisis de Riesgos [06]

E IE
Una vez concluido el “análisis del riesgo” es deber realizar la “evaluación del riesgo”.
T C
La empresa “debe comparar los niveles calculados de riesgo con una escala de
A E
riesgo establecida especialmente para dicho efecto.” (BS 7799-3:2006). Los criterios
M D
para efectuar la evaluación, que usualmente se utilizan, son: “impacto económico

Y A
del riesgo” y “posibilidad de interrumpir actividades de la empresa.” El propósito

C
fundamental de realizar la evaluación del riesgo, es la de identificar el nivel de

E
significado que el riesgo de los activos tienen en la organización y poder

T
jerarquizarlos por su importancia.

O
LI
2.1.4.1. Tratamiento del Riesgo y la Toma de Decisiones Gerenciales

IB
Una vez que el riesgo ha sido evaluado y la empresa ha determinado cuales

B
son aquellos activos de información sujetos a riesgo con significado para la

firma, debe tomar la decisión de elegir la estrategia adecuada para tratar al
riesgo.
Los riesgos pueden ser gestionados a través de una serie de combinaciones de
prevención y controles de detección, tácticas de aceptación o realizando la
transferencia a otra empresa.
La gerencia para tomar la decisión sobre cómo tratar el riesgo, siempre estará
influenciada por dos factores, los cuales deben ser siempre bien analizados:
 El posible impacto si el riesgo se cristalizara.
15

 La posibilidad de su ocurrencia.
Al margen de considerar el impacto financiero del riesgo en la empresa, la firma
debe considerar el costo de actuar sobre alguna de las opciones del
tratamiento del riesgo. La organización debe asegurarse que existe un buen
balance entre poder alcanzar seguridad y los beneficios de protección, sin
perjudicar la rentabilidad ni la competitividad de la empresa.
S
A.- Opciones para el Tratamiento del Riesgo
A
Para el tratamiento del riesgo existen cuatro estrategias, que son las más difundidas
IC
a nivel internacional. A continuación se hará una breve descripción de cada una de
ella: [6]
S
S FÍ
A.1. Reducción del Riesgo
Para los riegos donde la opción de reducirlos ha sido escogida, se deben
A S
implementar los apropiados controles para disminuirlos a los niveles de
IC A
aceptación previamente indefinidos por la empresa. Los controles deben
T I
Á C
obtenerse del anexo “A” del ISO 270001:2005. Al identificar el nivel de los
M N
controles es importante considerar los requerimientos de seguridad relacionados

E IE
con el riesgo, así como la vulnerabilidad y las amenazas previamente

identificadas.
T C
Los controles pueden reducir los riesgos valorados en varias maneras:

A E
 Reduciendo la posibilidad que la vulnerabilidad sea explotada por las

M D
amenazas.
Y A
 Reduciendo la posibilidad de impacto si el riesgo ocurre detectando

C
eventos no deseados, reaccionado y recuperándose de ellos.

E
Cualquiera de estas maneras que la empresa escoja para controlar los riesgos,
T
es una decisión que dependerá de una serie de factores, tales como:

O
requerimientos comerciales de la organización, el ambiente, y las circunstancias

LI
en que la firma requiere operar.

IB
A.2.- Aceptación del Riesgo

B
En muchas ocasiones a la empresa se le presentan circunstancias donde no se

pueden encontrar controles ni tampoco es factible diseñarlos o el costo de
implantar el control es mayor que las consecuencias del riesgo. En estas
circunstancias una decisión razonable pudiera ser la de inclinarse por la
aceptación del riesgo, y vivir con las consecuencias si el riesgo ocurriese.
Cuando la situación se presenta donde es muy costoso para la empresa mitigar
el riesgo a través de los controles o las consecuencias del riesgo son
16

devastadoras para la organización, se deben visualizar las opciones de

“transferencia de riesgo” o la de “evitar el riesgo”.
A.3.- Transferencia del Riesgo
La transferencia del riesgo, es una opción para la empresa, cuando es muy

difícil, tanto técnica como económicamente para la organización llevar al riesgo a
un nivel aceptable. En estas circunstancias podría ser económicamente viable,
S
A
transferir el riesgo a una aseguradora.
IC
Se debe estar pendiente al escoger esta opción de tratamiento de riesgo, que
con las empresas aseguradoras, siempre existe un elemento de riesgo residual.
S
Siempre existen condiciones con las aseguradoras de exclusiones, las cuales se
S FÍ
aplicaran dependiendo del tipo de ocurrencia, bajo la cual no se provee una
A S
indemnización. La transferencia, del riesgo por lo tanto, debe ser muy bien
IC A
analizada para así poder identificar con precisión, cuando el riesgo actual está
T I
siendo transferido.
Á C
Otra posibilidad es la de utilizar a terceras partes para el manejo de activos o
M N
procesos considerados críticos. Claro está, en la medida que exista la

E IE
preparación para dicho efecto, por parte de la empresa que ofrece los servicios
T C
de tercerización. Lo que debe estar claro, es que al tercerizar servicios, el riesgo

A E
residual, no se delega, es responsabilidad de la empresa.

M D
Y A
A.4.- Evitar el Riesgo

C
La opción de evitar el riesgo, describe cualquier acción donde las actividades del
E
negocio, o las maneras de conducir la gestión comercial del negocio, se

T
modifican, para así poder evitar la ocurrencia del riesgo.

O
Las maneras tradicionales para implementar esta opción son:

LI
 Dejar de conducir ciertas actividades.

IB
 Desplazar activos de información de un área riesgosa a otra.

 Decidir no procesar cierto tipo de información si no se consigue la
B
protección adecuada.
La decisión por la opción de “evitar el riesgo” debe ser balanceada contra las
necesidades financieras y comerciales de la empresa.
17

S
A
IC
S
S FÍ
A S
IC A
T I Ilustración 6: Gestión de Riesgos [14]
Á C
M N
E IE
2.1.5. Controles de seguridad

T C
Los controles de seguridad son políticas, procedimientos, prácticas y estructuras

A E
organizacionales diseñadas para garantizar razonablemente que los objetivos del

M D
negocio serán alcanzados y que eventos no deseables serán prevenidos o

Y A
detectados y corregidos. El objetivo de control en tecnologías de información se

C
define como una sentencia del resultado o propósito que se desea alcanzar
E
implementando procedimientos de control en una actividad de tecnología de

T
información particular. [6]

O
El gobierno de las tecnologías de información se define como una estructura de

LI
relaciones y procesos para dirigir y controlar la empresa con el fin de lograr sus
IB
objetivos al añadir valor mientras se equilibran los riesgos contra el retorno sobre
las tecnologías de información y sus procesos.
B
Lo que es necesario recalcar aquí es que los controles serán seleccionados e

implementados de acuerdo a los requerimientos identificados por la valoración
del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta
actividad surgirá la primera decisión acerca de los controles que se deberán
abordar.
La preparación y planificación de SGSI, son pasos importantes, pero en
definitiva, lo importante de todo este proceso es que desencadena en una serie
de controles (o mediciones) a considerar y documentar, que se puede afirmar,
son uno de los aspectos fundamentales del SGSI (junto con la Valoración de
18

riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que

especifica la norma ISO/IEC 27002:2005 en los puntos 5 al 15, y tal vez estos
sean el máximo detalle de afinidad entre ambos estándares. La evaluación de
cada uno de ellos debe quedar claramente documentada, y muy especialmente
la de los controles que se consideren excluidos de la misma. El estándar
especifica en el anexo 9 el listado completo de cada uno de ellos, agrupándolos
en 11 dominios 39 objetivos de control y 133 controles. [6]
S
A
2.1.6. International Organization for Standardization (ISO)
2.1.6.1. ISO 27000
IC
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
S
Standards Institution, la organización británica equivalente a AENOR en España) es
S FÍ
responsable de la publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001
A S
1992 Publicación BS 7750 - ahora ISO 14001
IC A
1996 Publicación BS 8800 - ahora OHSAS 18001
T I
Á C
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de
M N
proporcionar a cualquier empresa británica o no un conjunto de buenas prácticas

E IE
para la gestión de la seguridad de su información. La primera parte de la norma (BS

T C
7799-1) es una guía de buenas prácticas, para la que no se establece un esquema

de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en
A E
1998, la que establece los requisitos de un sistema de gestión de seguridad de la

M D
información (SGSI) para ser certificable por una entidad independiente. Las dos
Y A
partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por

C
ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó
E
BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

T
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se

O
publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó
LI
ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de

IB
2007, manteniendo el contenido así como el año de publicación formal de la

revisión. [09]
B
19

S
A
IC
Ilustración 7: Historia de ISO 2700 [09]
S
S FÍ
En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó
la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
A S
En la sección de Artículos y Podcasts encontrará un archivo gráfico y sonoro con la
IC A
historia de ISO 27001 e ISO 17799.
T I
Á C
2.1.6.2. La serie 27000
M N
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.

E IE
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a
27044. [09]
T C
 ISO 27000: En fase de desarrollo; su fecha prevista de publicación es

A E
Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda

M D
la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario

Y A
claramente definido, que evite distintas interpretaciones de conceptos técnicos y

C
de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás
E
de la serie, que tendrán un coste.

T
 ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la

O
serie y contiene los requisitos del sistema de gestión de seguridad de la

LI
información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la

IB
cual se certifican por auditores externos los SGSI de las organizaciones. En su

B
Anexo A, enumera en forma de resumen los objetivos de control y controles que

desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1
de Julio de 2007), para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos
los controles enumerados en dicho anexo, la organización deberá argumentar
sólidamente la no aplicabilidad de los controles no implementados. Desde el 28
de Noviembre de 2007, esta norma está publicada en España como UNE-
ISO/IEC 27001:2007 y puede adquirirse online en AENOR.
20

 ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO

17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas
prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado
en su apartado correspondiente, la norma ISO27001 contiene un anexo que
resume los controles de ISO 27002:2005. [11]
S
2.1.6.3. Contenido
A
A.- ISO 27001:2005: [09]
IC
Generalidades
S
Esta Norma Internacional ha sido preparada para proporcionar un modelo que
S FÍ
permita establecer, implementar, operar, monitorear, revisar, mantener y mejorar
un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un
A S
SGSI debe ser una decisión estratégica para la organización. Se espera que la
IC A
escala de implementación de un SGSI se establezca de acuerdo a las
T I
Á C
necesidades de la organización, es decir, una situación sencilla requiere una
M N
solución de SGSI sencilla.

E IE
¿Qué aporta la certificación ISO 27001?

La certificación ISO 27001 avala la adecuada implantación, gestión y operación de
T C
todo lo relacionado con la implantación de un SGSI, siendo la norma más

A E
completa que existe en lo relativo a la implantación de controles, métricas e

M D
indicadores que permiten establecer un marco adecuado de gestión de la

Y A
seguridad de la información para las organizaciones.

C
Entre las ventajas que ofrece, al ser un estándar ISO, se encuentran las
E
facilidades que ofrece de integración con otros sistemas de gestión vigentes en la

T
empresa, por ejemplo ISO 9001 e ISO 14001.

O
 Introducción: generalidades e introducción al método PDCA.

LI
 Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el

IB
tratamiento de exclusiones.
 Normas para consulta: otras normas que sirven de referencia.
B
 Términos y definiciones: breve descripción de los términos más usados

en la norma.
 Sistema de gestión de la seguridad de la información: cómo crear,
implementar, operar, supervisar, revisar, mantener y mejorar el SGSI;
requisitos de documentación y control de la misma.
 Responsabilidad de la dirección: en cuanto a compromiso con el SGSI,
gestión y provisión de recursos y concienciación, formación y capacitación
del personal.
21

 Auditorías internas del SGSI: cómo realizar las auditorías internas de

control y cumplimiento.
 Revisión del SGSI por la dirección: cómo gestionar el proceso periódico
de revisión del SGSI por parte de la dirección.
 Mejora del SGSI: mejora continua, acciones correctivas y acciones
preventivas.
S
B.- ISO 27002:2005 (anterior ISO 17799:2005): [10]
A
 Introducción: conceptos generales de seguridad de la información y SGSI.
IC
 Campo de aplicación: se especifica el objetivo de la norma.
 Términos y definiciones: breve descripción de los términos más usados en
S
S FÍ
la norma.
 Estructura del estándar: descripción de la estructura de la norma.
A S
 Evaluación y tratamiento del riesgo: indicaciones sobre cómo evaluar y
IC A
tratar los riesgos de seguridad de la información.
T I
Á C
 Política de seguridad: documento de política de seguridad y su gestión.
M N
 Aspectos organizativos de la seguridad de la información: organización

E IE
interna; terceros.
 Gestión de activos: responsabilidad sobre los activos; clasificación de la
T C
información.
A E
 Seguridad ligada a los recursos humanos: antes del empleo; durante el

M D
empleo; cese del empleo o cambio de puesto de trabajo.

Y A
 Seguridad física y ambiental: áreas seguras; seguridad de los equipos.

C
 Gestión de comunicaciones y operaciones: responsabilidades y

E
procedimientos de operación; gestión de la provisión de servicios por

T
terceros; planificación y aceptación del sistema; protección contra código

O
malicioso y descargable; copias de seguridad; gestión de la seguridad de las

LI
redes; manipulación de los soportes; intercambio de información; servicios

IB
de comercio electrónico; supervisión.

B
 Control de acceso: requisitos de negocio para el control de acceso; gestión

de acceso de usuario; responsabilidades de usuario; control de acceso a la
red; control de acceso al sistema operativo; control de acceso a las
aplicaciones y a la información; ordenadores portátiles y teletrabajo.
 Adquisición, desarrollo y mantenimiento de los sistemas de
información: requisitos de seguridad de los sistemas de información;
tratamiento correcto de las aplicaciones; controles criptográficos; seguridad
de los archivos de sistema; seguridad en los procesos de desarrollo y
soporte; gestión de la vulnerabilidad técnica.
22

 Gestión de incidentes de seguridad de la información: notificación de

eventos y puntos débiles de la seguridad de la información; gestión de
incidentes de seguridad de la información y mejoras.
 Gestión de la continuidad del negocio: aspectos de la seguridad de la
información en la gestión de la continuidad del negocio.
 Cumplimiento: cumplimiento de los requisitos legales; cumplimiento de las
políticas y normas de seguridad y cumplimiento técnico; consideraciones
S
sobre las auditorias de los sistemas de información.
A
IC
2.1.6.4. Beneficios
S
 Establecimiento de una metodología de gestión de la seguridad clara y
S FÍ
estructurada.
 Reducción del riesgo de pérdida, robo o corrupción de información.
A S
 Los clientes tienen acceso a la información a través medidas de seguridad.

IC A
Los riesgos y sus controles son continuamente revisados.
T I
Á C
 Confianza de clientes y socios estratégicos por la garantía de calidad y
M N
confidencialidad comercial.
E IE
 Las auditorías externas ayudan cíclicamente a identificar las debilidades

del sistema y las áreas a mejorar.
T C
 Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO

A E
14001, OHSAS 1800).

M D
 Continuidad de las operaciones necesarias de negocio tras incidentes de

Y A
gravedad.
C
 Conformidad con la legislación vigente sobre información personal,

E
propiedad intelectual y otras.

T
 Imagen de empresa a nivel internacional y elemento diferenciador de la

O
competencia.
LI
 Confianza y reglas claras para las personas de la organización.

IB
 Reducción de costes y mejora de los procesos y servicio.

B
 Aumento de la motivación y satisfacción del personal. Aumento de la

seguridad en base a la gestión de procesos en vez de en la compra
sistemática de productos y tecnologías.
23

2.2. Marco Conceptual
En ese capítulo se estudiará y desarrollará el marco conceptual que se tiene que tomar
en cuenta para poder comprender, de manera adecuada, lo que abarca un SGSI. Este
marco contendrá un conjunto de términos y definiciones que se usarán a menudo en el
presente proyecto.
S
2.2.1. Modelo del Sistema de Gestión de Seguridad de la Información
A
PDCA (Plan, Do, Check, Act)
IC
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la
S
Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en
S FÍ
los sistemas de gestión de la calidad. [14]
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
Ilustración 8: Modelo de Desarrollo del SGSI [14]

IB
 Plan (planificar): establecer el SGSI.

 Do (hacer): implementar y utilizar el SGSI.
B
 Check (verificar): monitorizar y revisar el SGSI.

 Act (actuar): mantener y mejorar el SGSI.
2.2.1.1. Arranque del proyecto
 Compromiso de la Dirección: una de las bases fundamentales sobre las

que iniciar un proyecto de este tipo es el apoyo claro y decidido de la
Dirección de la organización. No sólo por ser un punto contemplado de
24

forma especial por la norma sino porque el cambio de cultura y

concienciación que lleva consigo el proceso hacen necesario el impulso
constante de la Dirección.
 Planificación, fechas, responsables: como en todo proyecto de
envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican
sus efectos positivos sobre el resto de fases.
S
2.2.1.2. Plan: Establecer el SGSI
A
IC
 Definir el alcance del SGSI en términos del negocio, la organización, su
S
localización, activos y tecnologías, incluyendo detalles y justificación de
S FÍ
cualquier exclusión. Definir el alcance y los límites del SGSI (el SGSI no
tiene por qué abarcar toda la organización; de hecho, es recomendable
A S
empezar por un alcance limitado). [14]

IC A
Definir una política de seguridad que:
T I
Á C
 Incluya el marco general y los objetivos de seguridad de la
M N
información de la organización;
E IE
 Considere requerimientos legales o contractuales relativos a la

seguridad de la información;
T C
 Esté alineada con el contexto estratégico de gestión de riesgos

A E
de la organización en el que se establecerá y mantendrá el

M D
SGSI;
Y A
 Establezca los criterios con los que se va a evaluar el riesgo;

C
 Esté aprobada por la dirección.

E
La política de seguridad es un documento muy general, una especie de

T
"declaración de intenciones" de la Dirección, por lo que no pasará de dos o tres

O
páginas.
LI
 Definir una metodología de evaluación del riesgo apropiada para el SGSI

IB
y las necesidades de la organización, desarrollar criterios de aceptación

de riesgos y determinar el nivel de riesgo aceptable. Lo primordial de
B
esta metodología es que los resultados obtenidos sean comparables y

repetibles. Existen muchas metodologías de evaluación de riesgos
aceptadas internacionalmente; la organización puede optar por una de
ellas, hacer una combinación de varias o crear la suya propia. ISO 27001
no impone ninguna ni da indicaciones adicionales sobre cómo definirla
(en el futuro, ISO 27005 proporcionará ayuda en este sentido). El riesgo
nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es
necesario definir una estrategia de aceptación de riesgo.
25

2.3. Metodología COBIT 5.

Provee un marco de referencia para asistir a las empresas y organizaciones a que
alcancen sus objetivos de negocio y entregar valor a través de un gobierno eficiente
y una buena gestión de sus tecnologías de información. Con esto las empresas se
aseguran de que están entregando valor y obteniendo confianza de la información y
sus sistemas, afrontando los retos a los que se enfrentan en la actualidad.
COBIT 5 tiene una perspectiva de negocio, no solo de TI. Este es el principal
S
cambio frente a sus anteriores ediciones. Este framework puede ser usado por
A
cualquier usuario de cualquier área de la empresa. Asimismo, puede ser tomado
IC
como referencia por cualquier stakeholder que tenga la organización.
COBIT 5 está basado en cinco principios clave: [15]
S
S FÍ
Principio 1: Satisfacer las necesidades de las partes interesadas
A S
IC A
Introduce la cascada de metas de COBIT 5. Las metas de la empresa para la TI se
T I
Á C
utilizan para formalizar y estructurar las necesidades de las partes interesadas. Las
M N
metas de la empresa pueden estar vinculadas a metas relacionadas con las TI, y
E IE
estos objetivos relacionados con las TI pueden lograrse mediante la utilización

óptima y la ejecución de todos los catalizadores, incluidos los procesos. Este
T C
conjunto de metas interconectadas se denomina la cascada de metas de COBIT 5.

A E
El capítulo también proporciona ejemplos de preguntas típicas de gobierno y gestión

M D
que las partes interesadas pueden tener sobre las TI de la empresa.

Y A
C
Principio 2: Cubrir la organización de principio a fin:

E
T
Explica cómo COBIT 5 integra el gobierno de TI de la empresa en el gobierno de la

O
empresa cubriendo todas las funciones y procesos de la empresa.

LI
IB
Principio 3: Aplicar un Marco de Referencia Integrado Único

B
Describe brevemente la arquitectura de COBIT 5 que logra la integración.
Principio 4: Hacer posible un Enfoque Holístico.
El gobierno de las TI de la empresa es sistémica y está apoyada por un conjunto de

catalizadores. En este capítulo, se introducen los catalizadores y se presenta una
forma común de mirar los catalizadores: el modelo genérico de catalizadores.
26

Principio 5: Separar el Gobierno de la Gestión,
Explica la diferencia entre gestión y gobierno y cómo se relacionan entre sí. Se

incluye como ejemplo el modelo de alto nivel de referencia de procesos de COBIT 5.
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Ilustración 9: Los 5 principios del marco COBIT 5 [15]

Y A
C
A continuación, detallaremos cada principio:

E
T
Principio1: Satisfacer las Necesidades de las Partes Interesadas

O
Las empresas existen para crear valor para sus accionistas. En consecuencia,
LI
cualquier empresa, comercial o no, tendrá la creación de valor como un objetivo de

IB
Gobierno. Creación de valor significa conseguir beneficios a un coste óptimo de los

recursos mientras se optimiza el riesgo. (Ver ilustración 10.)Los beneficios pueden
B
tomar muchas formas, por ejemplo, financieros para las empresas comerciales o de
servicio público para entidades gubernamentales.
27

S
A
IC
Ilustración 10: El objetivo de Gobierno: Creación de Valor. [15]
S
Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes
S FÍ
intereses en el valor de las partes interesadas. En consecuencia, el sistema de
gobierno debe considerar a todas las partes interesadas al tomar decisiones sobre
A S
beneficios, evaluación de riesgos y recursos. Para cada decisión, las siguientes
IC A
preguntas pueden y deben hacerse: ¿Para quién son los beneficios? ¿Quién asume el
T I
Á C
riesgo? ¿Qué recursos se requieren?
M N
E IE
Cascada de Metas de COBIT 5

T C
Cada empresa opera en un contexto diferente; este contexto está determinado por
A E
factores externos (el mercado, la industria, geopolítica, etc.) y factores internos (la
M D
cultura, organización, umbral de riesgo, etc.) y requiere un sistema de gobierno y

Y A
gestión personalizado.
C
Las necesidades de las partes interesadas deben transformarse en una estrategia

E
corporativa factible. La cascada de metas de COBIT 5 es el mecanismo para traducir

T
las necesidades de las partes interesadas en metas corporativas, metas relacionadas

O
con las TI y metas catalizadoras específicas, útiles y a medida. Esta traducción permite
LI
establecer metas específicas en todos los niveles y en todas las áreas de la empresa
IB
en apoyo de los objetivos generales y requisitos de las partes interesadas y así,

B
efectivamente, soportar la alineación entre las necesidades de la empresa y las

soluciones y servicios de TI.
La cascada de metas de COBIT 5 se muestra en la (ilustración 11).
Paso 1. Los Motivos de las Partes Interesadas Influyen en las
Necesidades de las Partes Interesadas
Las necesidades de las partes interesadas están influenciadas por diferentes motivos,
por ejemplo, cambios de estrategia, un negocio y entorno regulatorio cambiantes y las
nuevas tecnologías.
28

Paso 2. Las Necesidades de las Partes Interesadas Desencadenan Metas

Empresariales
Las necesidades de las partes interesadas pueden estar relacionadas con un conjunto
de metas empresariales genéricas.
Estas metas corporativas han sido desarrolladas utilizando las dimensiones del cuadro
de mando integral (CMI. En inglés: Balanced Scorecard, BSC) y representan una lista
de objetivos comúnmente usados que una empresa puede definir por sí misma.
S
Aunque esta lista no es exhaustiva, la mayoría metas corporativas específicas de la
A
empresa pueden relacionarse fácilmente con uno o más de los objetivos genéricos de
IC
la empresa. En el Apéndice D se representa una tabla de las partes interesadas y
metas corporativas.
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
Ilustración 11: Visión General de la Cascada de Metas de Cobit5. [15]
COBIT 5 define 17 objetivos genéricos, como se muestra en la (ilustración12),

que incluye la siguiente información:
 La dimensión del CMI en la que encaja la meta corporativa
 Las metas corporativas.
 La relación con los tres objetivos principales de gobierno --
realización de beneficios, optimización de riesgos y optimización de
29

recursos (‘P’ indica una relación primaria y ‘S’ una relación

secundaria, es decir una relación menos fuerte).
Paso 3. Cascada de Metas de Empresa a Metas Relacionadas con las TI

El logro de metas empresariales requiere un número de resultados relacionados con
las TI2, que están representados por las metas relacionadas con la TI. Se entiende
como relacionados con las TI a la información y tecnologías relacionadas, y las metas
S
relacionadas con las TI se estructuran en dimensiones del CMI. COBIT 5 define 17
A
metas relacionadas con las TI.
IC
S
Paso 4. Cascada de Metas Relacionadas con las TI Hacia Metas
S FÍ
Catalizadoras
Alcanzar metas relacionadas con las TI requiere la aplicación satisfactoria y el uso de
A S
varios catalizadores. Los catalizadores incluyen procesos, estructuras organizativas e
IC A
información, y para cada catalizador puede definirse un conjunto de metas relevantes
T I
Á C
en apoyo de las metas relacionadas con la TI.
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
Ilustración 12: Metas corporativas del COBIT 5. [15]
30

Utilizando la Cascada de Metas de COBIT 5

Beneficios de la Cascada de Metas de COBIT 5
La cascada de metas es importante porque permite la definición de prioridades de
implementación, mejora y aseguramiento del gobierno de las TI de la empresa, que se
basa en metas corporativas (estratégicas) de la empresa y el riesgo relacionado. En la
práctica, la cascada de metas: [15]
S
 Define objetivos y metas relevantes y tangibles a varios niveles de
A
responsabilidad
IC
 Filtra la base de conocimiento de COBIT 5, sobre la base de las metas
corporativas, para extraer las guías relevantes a incluir en proyectos
S
S FÍ
específicos de implementación, mejora o aseguramiento.
 Identifica claramente y comunica cómo (algunas veces de forma muy operativa)
A S
los catalizadores son importantes para alcanzar metas de la empresa.
IC A
T I
Á C
Utilizando Cuidadosamente la Cascada de Metas de COBIT 5
M N
Las metas en cascada — con sus tablas de relación entre metas empresariales y las
E IE
metas relacionadas con la TI y entre las metas relacionadas con la TI y catalizadores

de COBIT 5 (incluyendo procesos) — no contienen la verdad universal y los usuarios
T C
no deben intentar usarlo de una manera puramente mecánica, sino como una guía.
A E
Hay varias razones para esto, incluyendo: [15]

M D
Y A
 Cada empresa establece sus objetivos con distintas prioridades, y estas

C
prioridades pueden cambiar con el tiempo.

E
 Las tablas de relación no distinguen entre el tamaño y/o la industria en la que

T
se enmarca la empresa. Representan una especie de común denominador

O
sobre cómo, en general, los diferentes niveles de objetivos se interrelacionan.

LI
 Los indicadores usados en la relación utilizan dos niveles de importancia o

IB
relevancia, lo que sugiere que hay niveles distintos de relevancia, cuando, en

realidad, la asignación se acercará a un continuo de diversos grados de
B
correspondencia.
Principio 2: Cubrir la Empresa Extremo-a-Extremo
COBIT 5 contempla el gobierno y la gestión de la información y la tecnología

relacionada desde una perspectiva extremo - a-extremo y para toda la empresa. Esto
significa que COBIT 5: [15]
31

 Integra el gobierno de la empresa TI en el gobierno corporativo. Es decir, el

sistema de gobierno para la empresa TI propuesto por COBIT 5 se integra sin
problemas en cualquier sistema de gobierno. COBIT 5 se alinea con las últimas
visiones sobre gobierno.
 Cubre todas las funciones y procesos necesarios para gobernar y gestionar la
información corporativa y las tecnologías relacionadas donde quiera que esa
información pueda ser procesada. Dado este alcance corporativo amplio,
S
COBIT 5 contempla todos los servicios TI internos y externos relevantes, así
A
como los procesos de negocio internos y externos.
IC
COBIT 5 proporciona una visión integral y sistémica del gobierno y la gestión de la
S
empresa TI (ver el principio 4), basada en varios catalizadores. Los catalizadores son
S FÍ
para toda la empresa y extremo-a-extremo, es decir, incluyendo todo y a todos,
A S
internos y externos, que sean relevantes para el gobierno y la gestión de la información
IC A
de la empresa y TI relacionada, incluyendo las actividades y responsabilidades tanto de
T I
las funciones TI como de las funciones de negocio.
Á C
La información es una de las categorías de catalizadores de COBIT. El modelo
M N
mediante el que COBIT 5 define los catalizadores permite a cada grupo de interés
E IE
definir requisitos exhaustivos y completos para la información y el ciclo de vida de

T C
procesamiento de la información, conectando de este modo el negocio y su necesidad

A E
de una información adecuada y la función TI, y soportando el negocio y el enfoque de

M D
contexto.
Y A
Enfoque de Gobierno
El enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está
C
E
representado en la (ilustración 13), mostrando los componentes clave de un sistema

T
de gobierno.
O
LI
IB
B
Ilustración 13: Gobierno y Gestión en cobit5. [15]
32

Además del objetivo de gobierno, los otros elementos principales del enfoque de
gobierno incluye catalizadores, alcance y roles, actividades y relaciones.
Catalizadores de Gobierno
Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales
S
como marcos de referencia, principios, estructuras, procesos y prácticas, a través de
A
los que o hacia los que las acciones son dirigidas y los objetivos pueden ser
IC
alcanzados. Los catalizadores también incluyen los recursos corporativos – por
ejemplo, capacidades de servicios (infraestructura TI, aplicaciones, etc.), personas e
S
S FÍ
información. Una falta de recursos o catalizadores puede afectar a la capacidad de la
empresa de crear valor.
A S
Alcance de Gobierno
IC A
T I
Á C
M N
El gobierno puede ser aplicado a toda la empresa, a una entidad, a un activo tangible o
E IE
intangible, etc. Es decir, es posible definir diferentes vistas de la empresa a la que se

aplica el gobierno, y es esencial definir bien este alcance del sistema de gobierno. El
T C
alcance de COBIT 5 es la empresa – pero en esencia, COBIT 5 puede tratar con

A E
cualquiera de las diferentes vistas. [15]

M D
Y A
Roles, Actividades y Relaciones

C
E
Un último elemento son los roles, actividades y relaciones de gobierno. Definen quién
T
está involucrado en el gobierno, como se involucran, lo que hacen y cómo interactúan,

O
dentro del alcance de cualquier sistema de gobierno. En COBIT 5, se hace una clara
LI
diferenciación entre las actividades de gobierno y de gestión en los dominios de

IB
gobierno y gestión, así como en la interconexión entre ellos y los actores implicados. .
B
La (ilustración14) detalla la parte inferior de la (ilustración 13), enumerando las

interacciones entre los diferentes roles.
Ilustración 14: Roles, Actividades y Relaciones Clave. [15]
33

Principio 3: Aplicar un Marco de Referencia Único Integrado
COBIT 5 es un marco de referencia único e integrado porque: [15]
 Se alinea con otros estándares y marcos de referencia relevantes y, por tanto,

permite a la empresa usar COBIT 5como el marco integrador general de
S
gestión y gobierno.
A
IC
 Es completo en cuanto a la cobertura de la empresa, proporcionando una base
S
para integrar de manera efectiva otros marcos, estándares y prácticas
S FÍ
utilizadas. Un marco general único sirve como una fuente consistente e
A S
integrada de guía en un lenguaje común, no-técnico y tecnológicamente
IC A
agnóstico. T I
 Proporciona una arquitectura simple para estructurar los materiales de guía y
Á C
producir un conjunto consistente.
M N
 Integra todo el conocimiento disperso previamente en los diferentes marcos de

E IE
ISACA. ISACA ha investigado las áreas clave del gobierno corporativo durante
T C
muchos años y ha desarrollado marcos tales como COBIT, Val IT, Risk IT,
A E
BMIS, la publicación Información sobre Gobierno de TI para la Dirección (Board

M D
Briefing on IT Governance) e ITAF para proporcionar guía y asistencia a las

empresas. COBIT 5 integra todo este conocimiento.
Y A
C
E
T
O
LI
IB
B
34

Marco Integrador de COBIT 5

La (ilustración 15) proporciona una descripción gráfica de cómo COBIT 5 logra su
papel de marco integrado y alineado.
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
Ilustración 15: Marco de Referencia Único Integrador Cobit5. [15]

O
Principio 4: Hacer Posible un Enfoque Holístico

LI
Catalizadores COBIT 5
IB
Los catalizadores son factores que, individual y colectivamente, influyen sobre si algo
B
funcionará – en este caso, el gobierno y la gestión de la empresa TI. Los catalizadores

son guiados por la cascada de metas, es decir, objetivos de alto nivel relacionados con
TI definen lo que los diferentes catalizadores deberían conseguir. [15]
El marco de referencia COBIT 5 describe siete categorías de catalizadores:
(ilustración 16)
 Principios, políticas y marcos de referencia son el vehículo para traducir el
comportamiento deseado en guías prácticas para la gestión del día a día.
35

 Los procesos describen un conjunto organizado de prácticas y actividades para

alcanzar ciertos objetivos y producir un conjunto de resultados que soporten las
metas generales relacionadas con TI.
 Las estructuras organizativas son las entidades de toma de decisiones clave en
una organización.
 La Cultura, ética y comportamiento de los individuos y de la empresa son muy
a menudo subestimados como factor de éxito en las actividades de gobierno y
S
gestión.
A
 La información impregna toda la organización e incluye toda la información
IC
producida y utilizada por la empresa.
 La información es necesaria para mantener la organización funcionando y bien
S
gobernada, pero a nivel operativo, la información es muy a menudo el producto
S FÍ
clave de la empresa en sí misma.
A S
 Los servicios, infraestructuras y aplicaciones incluyen la infraestructura,
IC A
tecnología y aplicaciones que proporcionan a la empresa, servicios y
T I
tecnologías de procesamiento de la información.
Á C
M N
 Las personas, habilidades y competencias están relacionadas con las personas

E IE
y son necesarias para poder completar de manera satisfactoria todas las

actividades y para la correcta toma de decisiones y de acciones correctivas.
T C
A E
M D
Y A
C
E
T
O
LI
Ilustración 16: Catalizadores Corporativos COBIT 5. [15]

IB
B
Algunos de los catalizadores definidos previamente son también recursos corporativos

que también necesitan ser gestionados y gobernados. Esto aplica a:
 La información, que necesita ser gestionada como un recurso. Alguna

información, tal como informes de gestión y de inteligencia de negocio son
importantes catalizadores para el gobierno y la gestión de la empresa.
 Servicios, infraestructura y aplicaciones.
 Personas, habilidades y competencias.
36

Gobierno y Gestión Sistémicos Mediante Catalizadores Interconectados
La (ilustración 16), también transmite la mentalidad que debería ser adoptada para el
gobierno corporativo, incluyendo el gobierno de TI, que es alcanzar las principales
metas corporativas. Cualquier empresa debe siempre considerar un conjunto
interconectado de catalizadores. Es decir, cada catalizador: [15]
S
 Necesita del resultado de otros catalizadores para ser completamente efectivo,
A
por ejemplo, los procesos necesitan información, las estructuras organizativas
IC
necesitan habilidades y comportamiento.
 Proporciona una salida para beneficio de otros catalizadores, por ejemplo, los
S
S FÍ
procesos proporcionan información, habilidades y el comportamiento hace los
procesos eficientes.
A S
Por tanto, cuando se trata con el gobierno y la gestión de la empresa TI, se pueden
IC A
tomar buenas decisiones solo cuando se toma en consideración esta naturaleza
T I
Á C
sistémica del gobierno y de la gestión. Esto significa que para tratar con cualquier
M N
necesidad de un grupo de interés, todos los catalizadores interrelacionados tienen que

E IE
ser analizados para saber si son relevantes y contemplados si fuera necesario. Esta
mentalidad tiene que estar dirigida por la cabeza de la empresa.
T C
Dimensiones de los Catalizadores de COBIT 5

A E
Todos los catalizadores tienen un conjunto de dimensiones comunes. Este conjunto de

M D
dimensiones comunes (ilustración 17):

Y A
C
 Proporciona una manera común, simple y estructurada de tratar con los

E
catalizadores
T
 Permite a una entidad manejar sus complejas interacciones

O
 Facilita resultados exitosos de los catalizadores.

LI
IB
B
37

S
A
IC
S
S FÍ
A S
IC A
Ilustración 17: Catalizadores COBIT 5: Genérico. [15]
T I
Á C
Dimensiones de los Catalizadores
M N
E IE
Las cuatro dimensiones comunes de los catalizadores son: [15]

T C
 Grupos de interés: Cada catalizador tiene grupos de interés (partes que

A E
juegan un rol activo y/o tienen un interés en el catalizador). Por ejemplo, los
M D
procesos tienen diferentes Metas que realizan actividades y/o tienen un interés
Y A
en los resultados del proceso; las estructuras organizativas tienen grupos de

C
interés, que son parte de las estructuras. Los grupos de interés pueden ser
E
internos o externos a la empresa, cada uno de ellos con sus propias

T
necesidades e intereses, algunas veces contrarios entre sí. Las necesidades

O
de los grupos de interés se traducen en metas corporativas, que a su vez se

LI
traducen en objetivos de TI para la empresa.

IB
 Metas: Cada catalizador tiene varias metas, y los catalizadores proporcionan

valor por la consecución de dichas metas. Las metas pueden ser definidas en
B
términos de:
 Resultados esperados del catalizador

 Aplicación u operación del catalizador en sí mismo
Las metas del catalizador son el paso final en la cascada de metas de COBIT
 Ciclo de vida: Cada catalizador tiene un ciclo de vida, desde el comienzo

pasando por su vida útil / operativa hasta su eliminación. Esto aplica a
38

información, estructuras, procesos, políticas, etc. Las fases del ciclo de vida
consisten en:
 Planificar (incluye el desarrollo y selección de conceptos)

 Diseñar
 Construir / adquirir / crear / implementar
 Utilizar / operar
 Evaluar / monitorizar
S
A
 Actualizar / eliminar
IC
 Buenas prácticas: Para cada uno de los catalizadores, se pueden definir
S
buenas prácticas. Las buenas prácticas soportan la consecución de los
S FÍ
objetivos del catalizador. Las buenas prácticas proporcionan ejemplos y
A S
sugerencias sobre cómo implementar de la mejor manera el catalizador y qué
IC A
productos o entradas y salidas son necesarias. COBIT 5 proporciona ejemplos
T I
de buenas prácticas para algunos catalizadores proporcionados por COBIT 5
Á C
(por ejemplo, procesos). Para otros catalizadores, se puede usar como guías,
M N
otros estándares, marcos de referencia, etc.

E IE
T C
Gestión del Rendimiento de los Catalizadores

A E
M D
Las empresas esperan resultados positivos de la aplicación y uso de los catalizadores.

Y A
Para gestionar el rendimiento de los catalizadores, las siguientes cuestiones deberán

C
ser supervisadas y respondidas más tarde – basadas en las métricas – de manera

E
periódica:
T
O
 ¿Se consideran las necesidades de las partes interesadas?

LI
 ¿Se alcanzan los objetivos de los catalizadores?

IB
 ¿Se gestiona el ciclo de vida?

 ¿Se aplican las buenas prácticas?
B
Los primeros dos puntos tratan con el resultado actual del catalizador. Las métricas
utilizadas para medir el punto hasta el que las metas son alcanzadas pueden ser
denominadas indicadores de retraso.
Los dos últimos puntos tratan con el funcionamiento actual del catalizador en sí mismo
y las métricas para ellos pueden ser denominadas indicadores de avance.
39

Principio 5: Separar el Gobierno de la Gestión Gobierno y Gestión
El marco de COBIT 5 realiza una clara distinción entre gobierno y gestión. Estas dos
disciplinas engloban diferentes tipos de actividades, requieren estructuras organizativas
diferentes y sirven para diferentes propósitos.
La posición de COBIT 5 sobre esta fundamental distinción entre gobierno y gestión es:
[15]
S
A
 Gobierno
IC
El Gobierno asegura que se evalúan las necesidades, condiciones y opciones
de las partes interesadas para determinar que se alcanzan las metas
S
S FÍ
corporativas equilibradas y acordadas; estableciendo la dirección a través de la
priorización y la toma de decisiones; y midiendo el rendimiento y el
A S
cumplimiento respecto a la dirección y metas acordadas.
IC A
En la mayoría de las empresas, el gobierno es responsabilidad del consejo de
T I
Á C
administración bajo la dirección de su presidente.
M N
E IE
 Gestión
La gestión planifica, construye, ejecuta y controla actividades alineadas con la
T C
dirección establecida por el cuerpo de gobierno para alcanzar las metas

A E
empresariales.
M D
En la mayoría de las empresas, la gestión es responsabilidad de la dirección

Y A
ejecutiva bajo la dirección del CEO.

C
E
Interacciones entre Gobierno y Gestión

T
O
Partiendo de las definiciones entre gobierno y gestión, está claro que comprenden
LI
diferentes tipos de actividades, con diferentes responsabilidades; sin embargo, dado el

IB
papel de gobierno – evaluar, orientar y vigilar – se requiere un conjunto de

interacciones entre gobierno y gestión para obtener un sistema de gobierno eficiente y
B
eficaz. Estas interacciones, empleando una estructura de catalizadores, se muestran a

alto nivel en la (ilustración 18).
40

S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
Ilustración 18: Interacciones Gobierno y Gestión en Cobit5. [15]

A E
Modelo de Referencia de Procesos de COBIT 5

M D
COBIT 5 no es prescriptivo, pero sí defiende que las empresas implementen procesos

Y A
de gobierno y de gestión de manera que las áreas fundamentales estén cubiertas. tal y
C
como se muestra en la (ilustración 19).

E
T
O
LI
IB
B
Ilustración 19: Las Áreas Clave de Gobierno y Gestión de Cobit 5. [15]
41

Una empresa puede organizar sus procesos como crea conveniente, siempre y cuando
las metas de gobierno y gestión queden cubiertas. Empresas más pequeñas pueden
tener pocos procesos; empresas más grandes y complejas pueden tener numerosos
procesos, pero todos con el ánimo de cubrir las mismas metas.
COBIT 5 incluye un modelo de referencia de procesos que define y describe en detalle
varios procesos de gobierno y de gestión. Dicho modelo representa todos los procesos
que normalmente encontramos en una empresa relacionados con las actividades de TI,
proporciona un modelo de referencia común entendible para las operaciones de TI y los
S
A
responsables de negocio. El modelo de proceso propuesto es un modelo completo e
IC
integral, pero no constituye el único modelo de procesos posible. Cada empresa debe
definir su propio conjunto de procesos, teniendo en cuenta su situación particular. [15]
S
La incorporación de un modelo operacional y un lenguaje común para todas las partes
S FÍ
de la empresa involucradas en las actividades de TI, es uno de los pasos más
A S
importantes y críticos hacia el buen gobierno. Adicionalmente proporciona un marco
IC A
para medir y vigilar el rendimiento de TI, proporcionar garantía de TI, comunicarse con
T I
los proveedores de servicio e integrar las mejores prácticas de gestión.
Á C
M N
El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno y de

E IE
gestión de la TI empresarial en dos dominios principales de procesos: [15]

T C
A E
• Gobierno: Contiene cinco procesos de gobierno; dentro de cada proceso se

M D
definen prácticas de evaluación, orientación y supervisión (EDM)

• Gestión: Contiene cuatro dominios, en consonancia con las áreas de
Y A
responsabilidad de planificar, construir, ejecutar y supervisar (Plan, Build, Run and

C
Monitor - PBRM), y proporciona cobertura extremo a extremo de las TI. Estos

E
dominios son una evolución de la estructura de procesos y dominios de COBIT 4.1.

T
O
Los nombres de estos dominios han sido elegidos de acuerdo a estas

LI
designaciones de áreas principales, pero contienen más verbos para describirlos:

IB
 Alinear, Planificar y Organizar (Align, Plan and Organise, APO)

B
 Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI)

 Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS)
 Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA)
Cada dominio contiene un número de procesos. A pesar de que, según hemos descrito
antes, la mayoría de los procesos requieren de actividades de “planificación”,
“implementación”, “ejecución” y “supervisión”, bien en el propio proceso, o bien en la
cuestión específica a resolver (como p. ej. calidad, seguridad), están situados en
42

dominios de acuerdo con el área más relevante de actividad cuando se considera la TI

a un nivel empresarial.
El modelo de referencia de procesos de COBIT 5 es el sucesor del modelo de procesos
de COBIT 4.1 e integra también los modelos de procesos de Risk IT y Val IT.
La (ilustración 20) muestra el conjunto completo de los 37 procesos de gobierno y
gestión de COBIT 5. Los detalles de todos los procesos, de acuerdo con el modelo de
proceso anteriormente descrito, están recogidos en la guía COBIT 5: Procesos
S
Catalizadores.
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
Ilustración 20: Modelo de Referencia de Procesos de COBIT 5. [15]
43

2.2.1.3. Do: Implementar y utilizar el SGSI
 Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,

responsabilidades y prioridades en la gestión de los riesgos de seguridad de la
información.
 Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de
control identificados, incluyendo la asignación de recursos, responsabilidades y
S
prioridades.
A
 Implementar los controles anteriormente seleccionados que lleven a los objetivos
IC
de control.
S
 Definir un sistema de métricas que permita obtener resultados reproducibles y
S FÍ
comparables para medir la eficacia de los controles o grupos de controles.
 Procurar programas de formación y concienciación en relación a la seguridad de la
A S
información a todo el personal.

IC A
Desarrollo del marco normativo necesario: normas, manuales, procedimientos e
T I
Á C
instrucciones.
M N
 Gestionar las operaciones del SGSI.

E IE
 Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la

seguridad de la información.
T C
 Implantar procedimientos y controles que permitan una rápida detección y

A E
respuesta a los incidentes de seguridad.

M D
Y A
2.2.1.4. Check: Monitorizar y revisar el SGSI

C
La organización deberá: [14]

E
 Ejecutar procedimientos de monitorización y revisión para:

T
 Detectar a tiempo los errores en los resultados generados por el

O
procesamiento de la información;
LI
 Identificar brechas e incidentes de seguridad;

IB
 Ayudar a la dirección a determinar si las actividades desarrolladas por las

B
personas y dispositivos tecnológicos para garantizar la seguridad de la

información se desarrollan en relación a lo previsto;
 Detectar y prevenir eventos e incidentes de seguridad mediante el uso de
indicadores;
 Determinar si las acciones realizadas para resolver brechas de seguridad
fueron efectivas.
 Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la
política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes,
44

resultados de las mediciones de eficacia, sugerencias y observaciones de todas las

partes implicadas.
 Medir la efectividad de los controles para verificar que se cumple con los requisitos
de seguridad.
 Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los
riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles
cambios que hayan podido producirse en la organización, la tecnología, los
S
objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los
A
controles implementados y el entorno exterior -requerimientos legales, obligaciones
IC
contractuales, etc.-.
 Realizar periódicamente auditorías internas del SGSI en intervalos planificados.
S
 Revisar el SGSI por parte de la dirección periódicamente para garantizar que el
S FÍ
alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI
A S
son evidentes.
IC A
 Actualizar los planes de seguridad en función de las conclusiones y nuevos
T I
hallazgos encontrados durante las actividades de monitorización y revisión.
Á C
M N
 Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el

rendimiento del SGSI.
E IE
2.2.1.5. ACT (Actuar):

T C
La organización deberá regularmente: [14]

A E
 Implantar en el SGSI las mejoras identificadas.

M D
 Realizar acciones preventivas adecuadas en relación a la cláusula 8 de ISO 27001

Y A
y a las lecciones aprendidas de las experiencias propias y de otras organizaciones

C
para solucionar no conformidades detectadas.

E
 Realizar acciones correctivas adecuadas en relación a la cláusula 8 de ISO 27001

T
y a las lecciones aprendidas de las experiencias propias y de otras organizaciones

O
para prevenir potenciales no conformidades.

LI
 Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de
IB
detalle adecuado y acordar, si es pertinente, la forma de proceder.

 Asegurarse de que las mejoras introducidas alcanzan los objetivos previstos a
B
través de la eficacia de cualquier acción, medida o cambio debe comprobarse

siempre.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo
a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que
no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber
actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no
han finalizado; o que se monitoricen controles que aún no están implantados en su
totalidad.
45

S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
III. METODOLOGÍA
A E
M D
Y A
C
E
T
O
LI
IB
B
46

3.1. Diseño de Contrastación de la Hipótesis
Se utilizará para la contratación de la hipótesis, el método de diseño en sucesión o en

línea también llamado método Pre-Test, Post - Test, con un solo grupo.
El esquema es el siguiente:
O1 X O2
S
O1 : Análisis y la gestión de riesgos de un sistema de información antes del
A
diseño del SGSI.
IC
X : Diseño de un Sistema de Gestión de la Seguridad de la Información.
S
O2 : Análisis y la gestión de riesgos de un sistema de información después del
S FÍ
diseño del SGSI.
A S
IC A
3.2. Tipo de Investigación
T I
El proyecto propuesto está referido a una investigación descriptiva y aplicada.
Á C
M N
 De acuerdo al fin que persigue:

E IE
Descriptiva; porque se intenta determinar los problemas actuales, mediante una

T C
descripción y comprender de forma íntegra el presente.

A E
 De acuerdo a la técnica de contrastación:

M D
Aplicada; porque buscamos la aplicación o utilización de los conocimientos que

Y A
iremos adquiriendo durante el desarrollo del proyecto.

C
E
T
3.3. Población – Muestra

O
3.3.1. Población
LI
La población-objeto; son tres.

IB
Docentes y Administradores a tiempo completo que cuentan con un equipo

informático es de 50.
B
Alumnos (de las diferentes escuelas profesionales) de la “Universidad Privada de

Trujillo Perú” el número de Alumnos es de 500.
Jefes y trabajadores de las áreas de Desarrollo de Sistemas y Taller de Cómputo es

de 19.
La población-accesible; es aquella con la que se va a trabajar en este proyecto; se

determinara por la cantidad de Docentes y/o Administradores, Alumnos y Jefes y
trabajadores de las áreas de estudio, responsables que accederían al manejos de
información y que de una u otra manera contribuirían en el desarrollo del proyecto.
47

3.3.2. Muestra
Para la determinación de la muestra hemos creído conveniente utilizar la técnica de
muestreo aleatorio simple, para cada uno de los sectores a encuestar:
 Docentes y administrativos
El sector de docentes y administradores a tiempo completo que cuentan con

un equipo informático es de 50 personas, de las cuales determinaremos la
muestra a encuestar a continuación:
S
A
IC
S
S FÍ
Donde:
A S
Z = Nivel de Confianza (1.96)
IC A
P = Proporción que posee la característica en estudio (0.50)
T I
Á C
Q = Proporción que no posee la característica en estudio (0.50)
M N
E = Estimación de error (0.05)

E IE
N = población o Universo (50)

T C
A E
M D
n = 44 personas a encuestar entre Docentes y Administrativos

Y A
C
E
 Alumnos de las diferentes escuelas profesionales

T
O
El sector de alumnos es de 500 personas, de lo cual detallamos porcentajes

LI
por escuela profesional a encuestar a continuación:

IB
B
Donde:
Z = Nivel de Confianza (1.96)

P = Proporción que posee la característica en estudio (0.50)
Q = Proporción que no posee la característica en estudio (0.50)
E = Estimación de error (0.05)
N = población o Universo (500)
48

n = 217 personas que representan el 100% de alumnos a encuestar de los

cuales detallaremos el porcentaje de alumnos por escuela profesional.
Cuadro de distribución de la Población – Muestra
# de # de Alumnos a
Escuela Profesional % de Alumnos
Alumnos encuestar
S
A
Contabilidad 80 16% 25
IC
Derecho 120 24% 54
S
Ingeniería Civil 110 22% 53
S FÍ
Ingeniería de Sistemas e Informática 100 20% 50
90 18% 35
A S
Marketing y Negocios Internacionales
IC A
TOTAL T I 500 100% 217
Á C
M N
Tabla 1: Distribución de la Población - Muestra

E IE
 Jefes y personas que laboran en las áreas de Taller de Computo y de

T C
Desarrollo de Sistemas
A E
Debido a que la muestra del sector de jefes y personal que labora en las áreas de
M D
Taller de Cómputo y Desarrollo de Sistemas es muy pequeña se vio por conveniente

Y A
aplicar la técnica de muestreo aleatorio simple, la que nos permitirá trabajar con toda
C
la muestra obtenida en dicho sector.

E
n = 19 personas a trabajar, ya sea, con entrevistas u otros instrumentos de

T
O
recolección de información.
LI
3.4. Técnicas, Instrumentos, Fuentes e Informantes

IB
Para la obtención de información haremos uso de herramientas como son:

B
entrevista, encuestas y observación.
49

TECNICA /
JUSTIFICACION HERRAMIENTAS APLICACION
METODO
Nos va a permitir
conocer más acerca Trabajadores de las
Una grabadora
de los procesos de la áreas en estudio,
reportera.
institución, sus docentes y
Entrevista Cuestionarios
problemas, objetivos y alumnos
requerimientos
Es el método en la cual
S
Trabajadores de las
enfocamos la perspectiva
Fichas o guías de áreas en estudio,
A
de los problemas que
Observación observaciones docentes y
IC
existen en las áreas a
alumnos
trabajar.
S
Permite conocer las
S FÍ
expectativas que tienen
los usuarios respecto Encuesta de Preguntas Trabajadores de las
A S
Encuestas al nuevo sistema y Abiertas y Cerradas y áreas en estudio,
necesidades de Checklist docentes y alumnos
IC A
Información de los
T I
usuarios.
Á C
M N
E IE
Tabla 2: Técnicas, Instrumentos, Fuentes e Informantes

T C
3.5. Indicadores
A E
Para determinar la contrastación de nuestra investigación entre las operaciones antes

M D
del diseño del Sistema de Gestión de la Seguridad de la información y después del

Y A
mismo, se han determinado los siguientes indicadores:

C
 Porcentaje de evaluación de riesgos de seguridad identificados y evaluados

E
con niveles de importancia alta, media o baja

T
 Grado de aplicación de políticas de seguridad en la organización

O
 Porcentaje de empleados que han recibido y aceptado formalmente, roles y

LI
responsabilidades con respecto a seguridad de la información

IB
 Número de informes de inspecciones periódicas de seguridad física de

instalaciones, incluyendo actualización
B
 Número y costes acumulados de incidentes por software malicioso como virus,

gusanos, troyanos o spam detectados y bloqueados
 Porcentaje de backups y archivos con datos sensibles o valiosos que se
encuentran protegidos dentro y fuera de la empresa
 Número de incidentes de seguridad de red identificados en los meses
anteriores, dividido por categorías de leve importante y grave importancia
 Número de peticiones de cambios de acceso por parte del personal que labora
en la empresa
50

 Estado de la seguridad en entorno portátil, es decir, un informe sobre el estado

actual de la seguridad de equipos informáticos portátiles (laptops, PDAs,
teléfonos móviles, etc.)
 Porcentaje de sistemas para los cuales los controles de validación de datos se
han definido e implementado y demostrado eficaces mediante pruebas
 Porcentaje de sistemas evaluados de forma independiente conforme a
estándares de seguridad básica
 Numero de informes sobre el estado actual de la seguridad en los procesos de
S
A
desarrollo de software, con comentarios sobre incidentes recientes/actuales,
IC
vulnerabilidades actuales de seguridad conocidas y pronósticos sobre cualquier
riesgo
S
 Número de chequeos (a personas a la salida) realizados en el último mes y
S FÍ
porcentaje de chequeos que evidenciaron movimientos no autorizados de
A S
equipos o soportes informáticos u otras cuestiones de seguridad
IC A
 Porcentaje de nuevos empleados relacionados con las tecnologías de
T I
información y comunicaciones (contratistas, consultores, temporales, etc.) que
Á C
hayan sido totalmente verificados y aprobados de acuerdo con las políticas de
M N
la empresa antes de comenzar a trabajar.

E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
51

S
A
IC
S
S FÍ
A S
IC A
T I
IV. DESARROLLO DE LA METODOLOGIA
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
52

4.1. Descripción de la Empresa
Nombre de la Empresa: Universidad Privada de Trujillo-Perú
Ubicación geográfica: Carretera Industrial Km4-SemiRustica el Bosque Trujillo
Rector: Dr. Luis Marcelo Oblitas Quispe
S
Rubro al que se dedica: Sector Educación – Servicios
A
IC
Objetivos de la empresa: Área de investigación
S
S FÍ
El presente proyecto de tesis se llevará a cabo en la Universidad Privada de Trujillo-
Perú, en las áreas de Dirección de Departamento Académico, Dirección de Escuela y
A S
IC A
Laboratorios de Computo.
T I
Á C
Misión:
M N
Comunicar y desarrollar el conocimiento científico con el propósito de formar

E IE
profesionales de excelencia, creativos, críticos y sensibles a los problemas sociales,

T C
aplicando programas estructurados de manera innovadora, actualizados y con

A E
metodología moderna durante el desarrollo del proceso de enseñanza-aprendizaje.

M D
Impulsar y estimular el conocimiento científico de avanzada y alta especialización

Y A
mediante los programas de postgrado para los profesionales graduados que buscan
C
actualización para satisfacer los requerimientos que el entorno contemporáneo

E
necesita.
T
O
Visión:
LI
Constituirse en Institución Líder en la región a través de la creación de conocimientos

con gran capacidad de adaptación y anticipación a los cambios sociales, económicos,
IB
ambientales, tecnológicos y culturales de nuestra sociedad, brindando a las personas

B
los medios necesarios que garanticen su desarrollo integral.
Ser una universidad innovadora al servicio de la región y del país, comprometida con
su desarrollo social y económico, participando en forma determinante en la solución de
sus problemas.
Ser una universidad integrada al mundo científico y tecnológico
53

4.2. Procesamiento de la Información
4.2.1. Fase Inicial: Recolección de Información Actual y Análisis de Datos.
Como Fase inicial, se dio la recolección de la información de la situación actual y

análisis de datos.
Se aplicó nuestros instrumentos para la recolección de información y nuestras
herramientas en el procesamiento de la misma, notamos por medio de los resultados la
S
realidad que vive la UPTP en cuanto refiere al tema de seguridad de la información.
A
La muestra a trabajar estadísticamente está dividida en tres sectores, Docentes y/o
IC
Administrativos, Alumnos, Jefes y personal que labora en Taller de Cómputo y
S
Desarrollo de Sistemas de la Universidad Privada de Trujillo Perú; de la cual
S FÍ
mostramos resultados de manera detallada y veraz obtenidos al procesar la
información:
A S
IC A
T I
Docentes y/o Administrativos, para un mayor seguimiento de dicha descripción
Á C
de resultados
M N
Datos obtenidos de Docentes y/o Administrativos de la encuesta realizada en el

E IE
campus de la UPTP. Modelo de encuesta, (Ver Anexo 01).

T C
 En la pregunta 1, notamos que del 100% de nuestra muestra encuestada el

A E
53% fueron varones y los otros 47% restantes fueron mujeres.

M D
 En la pregunta 4, vemos que el 21% contó con la ayuda de algún estudiante

Y A
asignado como ocupación temporal pasando información en Word, Excel,

C
Power Point, etc., el 42% no contó con dicha ayuda y el 37% restante ayudo
E
llenando o elaborando algún documento de la universidad, clasificando

T
documentos, otros.
O
 En la pregunta 5, pudimos percibir que el 41% no identifica a las personas

LI
que no laboran ni estudian en la universidad, un 32% suelen identificarlos

IB
por la indumentaria y el 27% restante suele identificarlos de otras maneras.

B
 En las preguntas 7, 8, 9, 10 y 11, apreciamos que el 55% no se siente

seguro en los ambientes donde se encuentran los equipos informáticos, el
51% no observo extintor cerca de los equipos informáticos, el 63% no
observo ninguna señalización, el 56% no tiene conocimiento de un
adecuado manejos del extintor, el 73% no participo de ningún simulacro
frente a desastres específicamente en áreas donde hay equipos
informáticos, quedando así la diferencia porcentual por cada una de las
preguntas.
54

 En la pregunta 12, pudimos notar que el 60% observo que algún

compañero de trabajo o estudiante bebe líquidos o ingiere alimento
cuando se encuentra trabajando con algún equipo informático y el 40%
restante no observo dicho comportamiento.
 En la pregunta 13, notamos que el 59% manipulo alguna vez los
componentes del equipo asignado a su persona de manera que si este
sufrió algún inconveniente, busco hacerlo funcionar correctamente y el 41%
restante no intento por ningún motivo manipular los componentes de su
S
A
equipo asignado.
IC
 En la pregunta 15, vemos que el 91% asumiría una responsabilidad si se le
detecta realizando actividades sospechosas como el ingreso a lugares
S
restringidos, y el 9% restante no asumiría responsabilidad alguna.
S FÍ
 En la preguntas 16, pudimos notar que el 40% siempre hace uso de los
A S
antivirus, ya sea ingresando o extrayendo información en algún dispositivo
IC A
de almacenamiento, el 31% lo hace a veces y el 29% restante nunca los
T I
hace.
Á C
 En la pregunta 17, percibimos que el 48% activa el antivirus lo detecta y
M N
elimina, el 44% hace otras cosas menos las acciones correctas y el 8%

E IE
restante no sabe qué hacer.

T C
 En la pregunta 18, nótese que el 51% noto que el antivirus no funciona

A E
adecuadamente ya que no se encuentra actualizado, y el 49% restante

M D
observo que tiene un buen funcionamiento y una adecuada actualización.

 En las preguntas 19, 20, 21 y 22, vemos que el 61% cuenta con una misma
Y A
clave de acceso para todos los servicios que brinda el portal de la UPTP,
C
haciendo referencia en un 35% a su nombre y apellido, el 33% de usuarios

E
comparten su clave con compañeros de trabajo, por ultimo notamos que le

T
O
72% nunca cambia su clave de acceso.

LI
 En la pregunta 23, percibimos que el 60% refiere que accede con mayor
velocidad al portal Web de la UPTP dentro de la universidad que fuera de
IB
ella, el 33% refiere que la velocidad es la misma ingresando ya sea fuera o

B
dentro de la universidad, el 8% restante refiere que más lento ingresando

dentro de la universidad que fuera de ella.
 En la pregunta 24, nótese que el 97% hace uso del correo electrónico que le
es asignado por la UPTP, de los cuales el 79% recibe de 1 a 10 correos no
deseados o spam por dicho medio diarios.
 En la pregunta 25, apreciamos que el 51% utiliza laptop dentro de la
universidad, de los cuales el 74% no recibió ningún mensaje al acceder a la
red de la UPTP.
55

 En la pregunta 26, observamos que el 87% no cuenta con ningún tipo de

capacitación acerca de seguridad de la información, el 13% restante si no
se capacito tiene algún conocimiento acerca del tema.
 En la pregunta 27, notamos que el 96% le gustaría tener mayor
conocimiento acerca de seguridad de la información, de los cuales el 58% le
gustaría conocer acerca del tema por medio de charlas y conferencias, el
otro 42% a través de otros medios como folletos, foros por el portal y como
parte de algún curso.
S
A
 En la pregunta 28, vemos que el 61% no realiza ninguna actividad no
IC
autorizada en la PC asignada a su persona, el 24% realizo la instalación de
algún software que necesitaba, y el 15% restante realizo otras actividades
S
como limpieza al mouse, teclado, etc.
S FÍ
 En la pregunta 29, observamos que el 56% no sabe qué hacer cuando
A S
algún componente o aplicativo no funciona correctamente, el 25% intenta
IC A
arreglarla, y el 19% restante llama a un técnico o intenta que lo arregle su
T I
compañero más cercano.
Á C
 En las preguntas 30 y 33, pudimos notar que el 29% solicita mantenimiento
M N
mensual para su equipo, el otro 27% nunca lo hace; el 72% de los docentes
E IE
y/o administrativos reporta o informa los inconvenientes de su equipo por

T C
teléfono (anexo), el 28% restante lo hace mediante correo electrónico o

A E
físicamente.
M D
Tablas y gráficos (Ver anexo 02)

Y A
Alumnos, para un mayor seguimiento de dicha descripción de resultados

C
Datos obtenidos de los alumnos de la encuesta realizada en el campus de la UPTP.

E
Modelo de encuesta, (Ver Anexo 03)

T
O
LI
 En la pregunta 1, notamos que del 100% de nuestra muestra encuestada el

70% fueron mujeres y los otros 30% restantes fueron varones.
IB
 En la pregunta 4, vemos que el 36% ayudo algún docente y/o administrativo

B
designado como ocupación temporal (bolsa de trabajo) en las siguientes

actividades como llenado de algún documento, pasando información,
ingresando a su correo y enviando mensajes, clasificando documentación,
otros, y el 64% restante no realizo dichas actividades.
 En la pregunta 5, pudimos percibir que el 55% no identifica a las personas
que no laboran ni estudian en la universidad, un 45% suelen identificarlos;
de los cuales 64% lo hacen por medio de fotochet de la empresa para la
cual trabajan e indumentaria, el 36% restante suele identificarlos de otras
maneras.
56

 En las preguntas 7, 8, 9 y 10, pudimos notar que el 56% no se siente seguro

en los ambientes donde se encuentran los equipos informáticos, el 69% no
observo extintor cerca de los equipos informáticos, el 50% no observo
ninguna señalización, el 65% no participo de ningún simulacro frente a
desastres específicamente en áreas donde hay equipos informáticos,
quedando así la diferencia porcentual por cada una de las preguntas.
 En la pregunta 11, pudimos notar que el 48% observo que algún compañero
de estudios o docente y/o administrativo bebe líquidos o ingiere alimento
S
A
cuando se encuentra trabajando con algún equipo informático y el 52%
IC
restante no observo dicho comportamiento.
 En la pregunta 12, notamos que el 44% manipulo alguna vez los
S
componentes del equipo informático de manera que si este sufrió algún
S FÍ
inconveniente, busco hacerlo funcionar correctamente y el 56% restante no
A S
intento por ningún motivo manipular los componentes del equipo asignado.
IC A
 En las preguntas 13 y 14, vemos que un 79% a 82% se siente responsable
T I
y/o identifica con el equipo informático que usa o usaran en algún momento
Á C
dentro de la UPTP, y de un 18% a 21% restante no se identifica, menos
M N
asumiría responsabilidad alguna.

E IE
 En la preguntas 15, pudimos notar que el 33% siempre hace uso de los
T C
antivirus, ya sea ingresando o extrayendo información en algún dispositivo

A E
de almacenamiento, el 34% lo hace a veces y el 31% restante nunca los

M D
hace.
 En la pregunta 16, percibimos que el 46% activa el antivirus lo detecta y
Y A
elimina, el 41% hace otras cosas menos las acciones correctas y el 13%
C
restante no sabe qué hacer.

E
En la pregunta 17, nótese que el 74% noto que el antivirus no funciona

T

O
adecuadamente, ya que, no se encuentra actualizado, y el 26% restante

LI
observo que tiene un buen funcionamiento y una adecuada actualización.

 En las preguntas 18, 19 y20, vemos que el 75% cuenta con una misma
IB
clave de acceso para todos los servicios que brinda el portal de la UPTP,
B
haciendo referencia en un 23% a su nombre y apellido, por ultimo notamos

que le 55% nunca cambia su clave de acceso.
 En la pregunta 21 y 22, percibimos que el 58% accede al portal Web de la
UPTP tanto dentro como fuera de la universidad, el 63% refiere la velocidad
al acceder al portal Web de la UPTP es la misma ya sea dentro o fuera de la
UPTP, el 21% refiere que el acceso es más lento dentro de la universidad
que fuera de ella, el 16% refiere que la velocidad es más rápido dentro de la
universidad que fuera de ella.
57

 En la pregunta 23, apreciamos que el 25% utiliza laptop dentro de la

universidad, de los cuales el 62% no recibió ningún mensaje al acceder a la
red de la UPTP.
 En la pregunta 24, observamos que el 91% no cuenta con ningún tipo de
capacitación acerca de seguridad de la información, el 9% restante si no se
capacito tiene algún conocimiento acerca del tema.
 En la pregunta 25, notamos que el 90% le gustaría tener mayor
conocimiento acerca de seguridad de la información, de los cuales el 50% le
S
A
gustaría conocer acerca del tema por medio de charlas y conferencias, el
IC
otro 42% a través de otros medios como folletos, foros por el portal y como
parte de algún curso.
S
Tabla y gráficos (Ver Anexo 04)
S FÍ
Jefe y personal que labora en Taller de Cómputo y Desarrollo de Sistemas
A S
Jefe del área de Taller de Cómputo
IC A
Dato obtenido de la entrevista realizada al jefe de Taller de Cómputo en el campus de
T I
la UPTP. Modelo de entrevista, (Ver Anexo 05)
Á C
Según los datos obtenidos en la entrevista realizada se obtuvo lo siguiente:
M N
Nos manifestó que la UPTP no cuenta con un equipo o comité encargado de todo lo
E IE
que concierne a la seguridad de la información; Se reveló que el jefe de esta área es

T C
el encargado de la administración de la tecnología de la información y parte de la

A E
comunicación, debido a ello, y a la necesidad de proteger los activos de la UPTP ha

M D
establecido algunas normas, procedimiento y mecanismos de control elaborados en

base a sus conocimientos conseguidos a través de su larga experiencia, y según sus
Y A
análisis previos serían los más apropiados para salvaguardar los equipos y los activos
C
de información que se transmiten por la red de la universidad. Referente a los

E
mecanismos de control nos dijo que no existen documentos formales y que todo se
T
O
maneja a través de correo electrónico donde se describe alguna información referente

LI
a ello, donde se indica cuales son y cómo deben ejecutarse, pero que normalmente
los realizan de acuerdo a los criterios y a la experiencia que tienen dentro del área.
IB
Nos aclaró también que no existe un control estricto sobre sus trabajadores, pero que
B
cada uno conoce su función y sus obligaciones. El seguimiento que se le hace es por
medio de radios que llevan permanentemente y fichas de servicio cuando dan la
atención a cualquier usuario, cualquier actividad que van a realizar primero es
informada a la central de taller de cómputo. Los accesos a la red se controlan a través
de permisos y esos permisos son generados por mi persona y que la parte de
restricciones a los sistemas la maneja el área de desarrollo de sistemas, pero nos dijo
que cada permiso es notificado mediante un correo electrónico a esta área para
generárselo. Todos los usuarios que ingresan a la red son registrados en un pequeño
sistema, en el cual se detalla todas las actividades que realizan. En cuanto al acceso
58

al área donde se encuentra los servidores no ingresan personas ajenas al área, sólo
ingreso yo como administrador y algún trabajador del área que en ciertos casos me
ayuda trasladando equipos siempre y cuando esté presente, todas las llaves a esos
ambientes las manejo yo, esto debido a que cualquier persona que ingrese puede
manipular los equipos.
Nos manifestó que anteriormente se acordó que cualquier información
correspondiente a la seguridad de la información sea transmitida por correo
electrónico, dado esto no existe un documento donde se indiquen las políticas de
S
A
seguridad de la información. En cuanto al nivel de conocimiento de seguridad de la
IC
información por parte de los trabajadores del área, están capacitados para enfrentar
cualquier tipo de desastre antes, durante y después, lo que sucede es que estos
S
procedimientos tampoco están documentados, sólo nos basamos en manuales
S FÍ
colgados en Internet y algunas recomendaciones brindadas por INDECI que sirven de
A S
soporte para el área, pero como material nuestro aún no se elabora. En relación a los
IC A
activos de importancia dentro de la UPTP si saben cómo protegerlo y salvaguardarlo
T I
frente a cualquier incidente inminente.
Á C
El área no ha promovido el desarrollo de un simulacro, pero dentro de la universidad
M N
si se han desarrollado algunos simulacros ante posibles incidentes o desastres; pero

E IE
ninguno ha sido a través de la supervisión de defensa civil. Referente a lo que es el

T C
plan de contingencia, este se encuentra en pleno desarrollo.

A E
Nos manifestó que todos los servicios brindados son protegidos a través de claves de
M D
autenticación para su mejor administración y que estas claves no son alcanzadas a

un responsable fuera del área, ni tampoco a una persona de la alta dirección; se
Y A
manifestó esto como medida de protección y de seguridad del área.

C
Referente a los backups no existen procedimiento documentados para realizarlo, se

E
realizan de forma informal y se guardan dentro del área netamente en la oficina

T
O
designada. La backups que contienen información de suma importancia es

LI
almacenada en disco duro y se realizan cada cierto periodo en este caso diariamente.
Los problemas con los que nos enfrentamos frecuentemente son la falta de cultura
IB
informática por parte de los usuarios ya que muchos no hacen un buen uso de sus
B
equipos. Todos los servicios que se brinda dentro del área son archivados y de ellos
se conocen cuáles son los problemas más frecuentes que tienen los usuarios en base
a software o hardware, pero se ha podido notar a simple vista que los problemas más
comunes son de software y esto a causa de la infección constante de virus, frente a
esto recién se ha adquirido e instalado un antivirus nod32 bussiness con el cual se
desea disminuir las infecciones de las máquinas de los usuarios ya que
constantemente se recibe una actualización automática de los nuevos virus que la
máquina posee, la cual no pudo eliminar anteriormente, con este nuevo antivirus se
lograra eliminar y reducir de manera abrumadora este problema. Nos dijo que para
59

comprobar la reducción de estos problemas el área posee información en la cual

pueda contrastar. La estrategia para aminorar estos problemas es informar
permanentemente a los usuarios sobre algunos lineamientos que debe tener en
cuenta para el uso adecuado de sus equipos a cargo.
Todas las modificaciones que se realizan son solicitadas a través de correo
electrónico interno y registrado en el software que maneja el área.
Existe un plan de mantenimiento de equipos informáticos y de comunicación
específicamente para los laboratorios, pero no se encuentran redactados en
S
A
documentos formales donde se indiquen cada qué período hacerlo, en los
IC
laboratorios lo hacían normalmente antes de iniciar las clases y antes de las
evaluaciones finales, pero normalmente por problemas de software generados por los
S
virus, pero nos dijo que este año no se sabe si lo harán antes de las evaluaciones
S FÍ
finales ya que están esperando resultados de la nueva versión del antivirus. Con
A S
respecto a las diversas áreas de la UPTP nos dijo que normalmente la realizan
IC A
cuando finalizan los ciclos académicos, pero que toman en cuenta la solicitud de los
T I
usuarios para que le hagan mantenimiento a su equipo manifestándonos que al no
Á C
hacerlos toman por entendido que no tienen problemas con su equipo, pero que cada
M N
vez que lo solicitan un servicio y las veces que sean ellos lo atienden. Los aspectos
E IE
que se toman en cuenta para realizar el plan son aquellos en los cuales normalmente
T C
los usuarios incurren y esto se obtiene de la lista de los problemas frecuentes. En lo

A E
que se refiere al problema del antivirus en los equipos de la UPTP estos eran
M D
actualizados permanentemente (esto se realizaba antes de instalar el nuevo

antivirus), lo que sucede es que anteriormente muchos de los usuarios no sabían
Y A
utilizarlo adecuadamente generando que sus equipos se infecten constantemente,

C
pero con el nuevo antivirus se espera aminorar este problema.

E
Exactamente no existe procedimientos documentados para la adquisición de software

T
O
y hardware, pero por el tiempo que llevo trabajando aquí sé a quién dirigirme y de qué
LI
forma justificar su adquisición. Las personas que se encargan de evaluar la parte

económica en la adquisición de los productos son los del área administrativa y
IB
también son ellos mismos quienes evalúan a sus proveedores. Pero cuando alguna
B
facultad desea la adquisición de hardware y software tienen que presentar su

justificación y mi persona se encarga de evaluarla si realmente es importante
adquirirla para el buen desarrollo de las actividades académicas después de su
evaluación la facultad se encarga de dirigirla a administración para su adquisición.
60

Personal que labora en el área de Taller de Cómputo

Datos obtenidos de la entrevista a los que laboran en Taller de Cómputo realizada en el
campus de la UPTP. Modelo de entrevista, (Ver Anexo 06)
El área de Taller de Cómputo es una de las áreas que fue trabajada minuciosamente,
por lo que se determinó convenientemente aplicar como instrumento de recolección de
información la entrevista, la misma que fue aplicada al personal que labora en esta
área, con la finalidad de obtener los resultados requeridos, los cuales son mostramos a
continuación de manera detallada; para mayor seguimiento de la entrevista
S
A
IC
 Fueron entrevistadas 10 personas, ya que, son todos los que laboran en el
área de Taller de Computo, la relación laboral de este personal con la
S
empresa es de contrato a tiempo completo.
S FÍ
 Cuando preguntamos acerca de qué tipo de antivirus utilizan, todos los
A S
entrevistados coincidieron que el tipo de antivirus utilizado en la UPTP es el
IC A
Nod 32, pero fue desorientador cuando preguntamos cada que tiempo se
T I
actualiza el antivirus, ya que las respuestas fueron diversas como:
Á C
diariamente dijo la mayoría, otros dieron como respuesta anualmente y por
M N
ultimo dieron como respuesta dependiendo del contrato (referido

E IE
“dependiendo del contrato” a licencia por la cual se adquiere el software).

T C
 Se les hizo la pregunta acerca de cuantas maquinas aproximadamente de

A E
las que se encuentran a cargo los Docentes y/o Administrativos se les

M D
brinda servicio técnico por sufrir alguna deficiencia mensualmente, la gran

mayoría por no decir todos nos dieron como respuesta que se atienden un
Y A
promedio de 15 a 25 máquinas al mes, y que el 60% de dichas maquinas

C
muestran deficiencia en hardware y el otro 40% en software, registrando de

E
manera continua los inconvenientes en “fichas de atenciones”, y el tiempo

T
O
promedio que lleva solucionar dichos inconvenientes es variable, ya que,

LI
depende del tipo de inconveniente que se esté tratando de resolver.

 Percibimos a través de la entrevista que los usuarios (Docentes y/o
IB
Administradores, alumnos), no reciben ningún tipo de capacitación por parte

B
de los encargados de Taller de Computo.

 Preguntamos a los que laboran en Taller de Computo si se les brindaba
capacitación acerca de seguridad de la información por parte de la UPTP, la
gran mayoría se reservó la respuesta, mientras otros refirieron ser
autodidactas o auto capacitarse y por último a ver recibido de 2 a 3
capacitaciones por año.
 Las personas que laboran en Taller de Computo en su totalidad
manifestaron que cuentan con los medios y la capacidad de afrontar
cualquier desastre natural o causado por intervención humana, ya que,
61

fueron capacitados dentro de la universidad, de manera tal que saben cómo

manipular correctamente un extintor de manera que pueden intervenir
tratando de aplacar un incendio, desplazando correctamente a los usuarios,
entre otros acciones que se requieran en dicho momento.
 Vemos que los problemas más frecuentes que se observan con respecto a
hardware tienen que ver con disco duro, memoria RAM, fuentes de energía,
error en conexión de cables, mouse, entre muchos otros; con respecto a
software lo que más resaltan es el uso inadecuado de programas, así como
S
A
errores en Windows y virus; a su vez nos expresan que dichos problemas
IC
se podrían evitar con una capacitación básica con respecto al uso de
hardware y software.
S
 La mayor parte de entrevistados refieren que existen proyectos o mejoras
S FÍ
respecto a la seguridad de la información que son propuestos y que sirven
A S
de aporte a la UPTP, y que dichos proyectos surgen por iniciativa de grupo
IC A
de trabajo, el cual se encuentra integrado por los que laboran en el área de
T I
Taller de Computo.
Á C
Jefe del área de Desarrollo de Sistemas
M N
Dato obtenido de la entrevista al jefe de Desarrollo de Sistemas realizada en el campus

E IE
de la UPTP. Modelo de entrevista, (Ver Anexo 07).

T C
Según los datos obtenidos en la entrevista realizada al jefe de desarrollo de sistemas

A E
se obtuvo lo siguiente:
M D
Nos manifestó que la UPTP no cuenta con un equipo o comité encargado de todo lo
que concierne a la seguridad de la información; Se pudo notar que el jefe de esta área
Y A
es el encargado de la administración del sistema y base de datos de la UPTP, debido a

C
ello, y a la necesidad de proteger la información de valor importante para la UPTP ha

E
establecido algunas normas y algunos procedimientos elaborados en base a sus

T
O
conocimientos y conseguidos a través de su larga experiencia, y según los análisis

LI
previos son los más apropiados para salvaguardar el sistema y su base de datos que
contiene la información que se transmiten por la red de la universidad.
IB
Referente a los mecanismos de control nos dijo que no existen documentos formales
B
en los cuales se describan cuales son y cómo deben ejecutarse, pero que normalmente
los realizan de acuerdo al criterio y a la experiencia que tienen dentro del área. Nos
aclaró también que no existe un control estricto sobre sus trabajadores, pero que cada
uno conoce su función y sus obligaciones. Los accesos a los sistemas se controlan a
través de permisos y esos permisos son generados por los encargados del área, pero
cada permiso es solicitado mediante correo electrónico por recursos humanos a esta
área para generárselo. Todos los usuarios que ingresan al sistema son registrados en
un pequeño sistema, en el cual se detalla todas las actividades que realizan, que se
62

refleja en una bitácora. En cuanto al acceso a esta área no existe un control estricto, lo
realiza cualquier persona que busca a cualquiera persona que labore en esta área.
No existe un documento donde se indiquen las políticas de seguridad de la información,
esto se debe a qué anteriormente el manejo de los sistemas de información eran
pequeños, pero realmente ahora si vemos la necesidad de implementar uno que apoye
de manera considerable, ya que la universidad ha crecido de manera abrumadora y
esto sería de gran ayuda para nuestra área.
En cuanto al nivel de conocimiento de seguridad de la información por parte de los
S
A
trabajadores del área, están capacitados para enfrentar cualquier tipo de desastre
IC
antes, durante y después, lo que sucede es que estos procedimientos tampoco están
documentados, sólo nos basamos en manuales colgados en Internet y algunas
S
recomendaciones que recibimos de expertos que sirven de soporte para el área, pero
S FÍ
como material nuestro aún no se elabora. En relación a la información que se almacena
A S
dentro de las bases de datos del sistema que utiliza la UPTP si saben cómo protegerlo
IC A
y salvaguardarlo frente a cualquier incidente inminente. El área no ha promovido el
T I
desarrollo de un simulacro, pero dentro de la universidad si se han desarrollado
Á C
algunos simulacros ante posibles incidentes o desastres; pero ninguno ha sido a través
M N
de la supervisión de defensa civil. Referente a lo que es el plan de contingencia, este

E IE
se encuentra en pleno desarrollo.

T C
Nos indicó que para ingresar al código del sistema y a la base de datos de la UPTP es
A E
necesario un usuario y contraseña, ya que estos se encuentran protegidos por medio

M D
de claves de autenticación para su mejor administración y que estas claves no son

alcanzadas a un responsable fuera del área, ni tampoco a una persona de la alta
Y A
dirección; se manifestó esto como medida de protección y de seguridad del área.

C
Referente a los backups no existen procedimiento documentados para realizarlo, se

E
realizan de forma informal y se guardan dentro del área netamente en la oficina

T
O
designada; los backups se realizan cada cierto periodo en este caso mensualmente.
LI
Los problemas con los que nos enfrentamos frecuentemente son la falta de cultura
informática por parte de los usuarios ya que muchos no hacen un buen uso de las
IB
aplicaciones. Todos los servicios que se brinda dentro del área son archivados y de
B
ellos se conocen cuáles son los problemas más frecuentes que tienen los usuarios en
base al software, de ello se puede obtener gráficos del nivel de desenvolvimiento por
periodos. La estrategia que se usa es informar permanentemente a los usuarios sobre
algunos lineamientos que debe tener para el uso adecuado del sistema.
Todas las modificaciones que se realizan son solicitadas a través de correo electrónico
interno y registrado en el software que maneja el área.
No existe un plan de mantenimiento de equipos informáticos, pero si existen
documentos donde indican cada qué período hacerlo. Los aspectos que se toman en
cuenta son aquellos en los cuales normalmente tienen mayores incidencias
63

Análisis de los resultados

CAOS Resumido por hallazgos
AUSENCIA DE
CONTROLES
AMENAZA DE
FALTA DE POLITICAS VULNERABILI
Y PROCEDIMIENTOS DAD
A DE SEGURIDAD
A
C C
S
T T
A
I I
V V
IC
O O
S
S S
S FÍ
FALTA DE FALTA DE FALTA DE
CONFIDENCIALIDAD CONFIDENCIALIDAD SEGURIDAD
EN CLAVES DE
P ACCESO S
A S
R O
I
IC A P
T I
M O
Á C
A R
M N
R T
E IE
MAL MANEJO DE PRESENCIA DE SPAM SERVICIO DE

I ANTIVIRUS CÓMPUTO LENTO E
O S
T C
S
A E
M D
Y A
C
DATO PERSONAL SERVICIO

E
T
APLICACION TECNOLOGIA INSTALACION EQUIP. AUXILIAR

O
LI
DESCONOCIMIENTO DE VALORIZACION DE ACTIVOS

IB
B
DISPONIBILIDAD ALTA CRITICIDAD

INTEGRIDAD MEDIA
CONFIDENCIALIDAD BAJA
64

 Se identificó que tanto los docentes y administrativos reciben en la gran mayoría

ayuda de los alumnos de la UPTP para realizar cualquier actividad académica que
en su efecto debe ser responsabilidad netamente del docente o administrativo.
Estas actividades que son en sí información de valor relevante para la universidad
deben ser tratadas de forma secreta, confidencial, ya que cualquier error en su
escritura, lectura y envío puede ocasionar malestares en el ambiente de trabajo, y
S
dificultaría de una u otra manera en el cumplimiento de los objetivos trazados.
A
 Se contempló que una gran mayoría de la comunidad universitaria de la UPTP no
IC
se siente segura dentro de las instalaciones de la universidad y especialmente en
S
lugares donde se encuentran equipos informáticos, esto debido a muchos factores
S FÍ
como: no se tiene una plena identificación de personas ajenas a la universidad,
algunas de las áreas no cuentan con extintor, en otros existen pero no se
A S
IC A
encuentran visibles, no dejando de lado aquellas áreas en las cuales los extintores
se encuentran
T I ubicados estratégicamente, lo mismo sucede con las
Á C
señalizaciones, y por último el personal desconoce cómo enfrentar un desastre
M N
natural antes, durante y después del mismo.

E IE
 Se detectó que la gran mayoría de los usuarios de los sistemas de información de

T C
la UPTP no toman las prevenciones necesarias para incurrir en cualquier tipo de

A E
desastre humano o sucesos provocadas y esto se vio a la luz cuando manifestaron

M D
que parte de la comunidad universitaria en horas de trabajo con un equipo

Y A
informático realizan otras actividades que son un peligro latente hacerlos cerca de
C
ellos, ejemplo: beber o ingerir alimentos.

E
T
 Se reveló que la gran mayoría de la comunidad universitaria de la UPTP asume su

O
responsabilidad respecto a sus equipos informáticos; pero también se encontró que

LI
existe un gran número de usuarios que intentan solucionar algún problema que se
les presente con su equipo informático, esto se manifestó en relación a que a
IB
veces el servicio de atención de taller de cómputo por momentos está ocupada y

B
demoran en darles solución.
 Se evidenció que más de la mitad de la comunidad universitaria de la UPTP no

hace buen uso de los antivirus instalados en la universidad, malestar que agobia a
estos usuarios repercutiendo en la insatisfacción del servicio del antivirus instalado
induciendo que no sirve o que no están actualizados.
 Se afirmó que gran parte de la comunidad universitaria de la UPTP cuenta con una
misma clave de acceso para todos los servicios de la universidad; también se
detectó que la seguridad de estos servicios no se encuentran robustos en cierta
65

parte por culpa de los usuarios, debido a que en ciertos casos se pierde la
confidencialidad de las claves, mostrándose como un problema de mucha
importancia en los objetivos académicos – administrativos de la UPTP.
 Se confirmó a través de la comunidad universitaria de la UPTP que los servicios de

intranet llámese correo electrónico, acceso al portal Web, etc. son rápidos dentro
de la UPTP, pero también se encontró algunas molestias en cuanto a correos no
deseados o spam por la peligrosidad de su contenido, ya que, estos son un peligro
S
potencial en los activos de la UPTP.
A
IC
 Se ratificó que no existe ningún mecanismo de autenticación de usuario cuando
este trata de ingresar a la red a través un equipo informático portátil.
S
S FÍ
 Por último se identificó que la gran mayoría de la comunidad universitaria de la
UPTP no ha realizado ninguna capacitación concerniente a la seguridad de la
A S
IC A
información, esta realidad se ve reflejada en la preocupación de los usuarios, ya
T I
que, muchas de las organizaciones de hoy en día están sometidas a grandes e
Á C
inminentes peligros con respecto a su información; es por esto que la gran mayoría
M N
de la comunidad universitaria busca conocer de qué forma poder proteger y

E IE
salvaguardar su información frente a cualquier peligro inminente referido a

T C
seguridad de su información.
 De la entrevista realizada al jefe de taller de cómputo se detectó que no existe un
A E
M D
comité encargado de la seguridad de la información, viéndose reflejado parte de

ello en la no elaboración de documentos en los cuales se describan los
Y A
procedimientos, políticas de seguridad a utilizar y los controles que permitan

C
garantizar la autenticidad, confidencialidad y disponibilidad de los datos de los

E
usuarios, esto puede en un futuro ser un peligro latente ya que la UPTP está
T
creciendo de forma considerada, pero en lo que si ponen un especial cuidado es en

O
estar capacitándose permanentemente para hacer frente a cualquier eventualidad.

LI
 Se identificó que las personas que laboran en el área de Taller de Computo utilizan
IB
el antivirus nod 32 pero descosen el funcionamiento, esto se confirmó cuando se le

B
pregunto al jefe del área acerca del antivirus con el que se cuenta y su uso, pues
nos dijo que el antivirus con el que se trabaja actualmente es el nod 32 business,
que cuenta con la instalación de un “ThreatSense” (sistema de alerta temprana)
que se actualiza automáticamente y a cada hora, para mantener la red de UPTP
segura, permitiendo de esta manera la poco participación física con respecto a la
actualización entre los trabajadores y el antivirus.
 Se constató que el trabajo que realizan los encargados de Taller de Computo es
realmente eficiente. Pero no se coincide con el jefe del aérea cuando preguntamos
con que tienen que ver los inconvenientes más frecuentes que se atienden,
66

afirmándonos que la mayor parte de inconvenientes por no decir casi todos son
referentes a software, pues corroboro dicha afirmación dejando claro que no se
adquiere hardware continuamente, mucho menos por inconvenientes, y que los
problemas normalmente son: por infección de virus, por la manipulación incorrecta
de programas, entre otros referentes a hardware.
 Es recomendable capacitar a los Alumnos como a Docentes y/o administrativos de
manera que se conozca un poco más acerca del tema de seguridad de la
información, con la finalidad de minimizar los inconvenientes que se muestran,
S
A
pero no solo son los usuarios quienes debemos recibir dicha capacitación, debe
IC
ser difundida desde las áreas que se encuentran directamente comprometidas con
el tema, con la finalidad de mejor en algún aspectos en los que se flaquea y/o
S
desconoce, ya que, el tema de seguridad es muy amplio y complejo.
S FÍ
 Se evidencio que el personal que labora en el área de Taller de Computo se
A S
encuentra preparado para enfrentar cualquier situación de emergencia con
IC A
respecto a desastres naturales y/o provocados, pues afirman haber recibido
T I
capacitación en lo que refiere a manejo de extintores, guiar debidamente a usuarios
Á C
a través de señalizaciones, entre otros; muestran también el interés por el
M N
desarrollo de proyectos que desde su área beneficien a la institución que laboran.

E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
67

S
4.2.2. Fase Dos: Arranque del proyecto
A
OBJETIVO
4.2.2.1. Diseño del Sistema Propuesto Proteger la información mediante el
IC
diseño de un sistema de gestión de
S
seguridad (SGSI).
S FÍ
A S
ANTECEDENTE
IC A
Planificar
Crear el SGSI
Profesionales de TI
T I
Á C
La información es el
50% del valor total de
M N
la organización. Actuar Hacer
Perdida de Mantener y mejorar el Implementar y operar
E IE
información Requerimiento y SGSI el SGSI
importante Seguridad de la
expectativas de la
T C
seguridad de la información
información manejada.
A E
Verificar
Revisar el SGSI
PROBLEMA
M D
Y A
Procedimiento
Políticas PROPUESTA DEL DISEÑO
C
Controles
E
Alcance y limite
T
Establecimiento del Alcance

O
Metodología de análisis y
evaluación de riesgos Identificación de Activos.
LI
No están formalizados ni documentados Evaluación de riesgos

MAPEO DE LOS
Políticas del SGSI
IB
CONTROLES
No son conocidos por el personal CON COBIT 5
No están diseñadas en base a un análisis Selección de controles.
B
y evaluación de riesgos.
SI Aceptación del riesgo.
NO
68

S
Gráfico de la Propuesta del Sistema
A
Activo Identificado TActivo Integridad Disponibilidad Confidencialidad Criticidad Impacto en el Probabilidad de Afectación
IC
Intranet de la institución Aplicación 3 2 3 Alto Negocio Muy Baja Baja Media Alta Muy Alta
Cableado Ethernet Tecnología 3 3 2 Alto Muy Alto Relevante Relevante Alto Critico Critico
S
Servidor web Tecnología 3 3 3 Alto Alto Relevante Relevante Alto Alto Critico
Aplicación 2 3 2 Alto
S FÍ
Página web Medio Moderado Moderado Relevante Alto Critico
Email Aplicación 2 3 3 Alto Bajo Bajo Bajo Bajo Moderado Relevante
Red de la institución Aplicación 3 2 3 Alto Muy Bajo Bajo Bajo Bajo Bajo Moderado
A S
Computadora de escritorio
Tecnología 3 3 3 Alto
IC A
T I
Á C
PRESENCIA DE
POLITICAS Y
M N
PROCEDIMIENTOS DE
Matriz de Riesgos SEGURIDAD
E IE
Posibilidad que la
ID Activo Vulnerabilidad Amenaza Impacto Nivel de
amenaza explote la CONFIDENCIALIDAD DE
T C
estimado Riesgo LA INFORMACION
vulnerabilidad
Computadora Mala seguridad de Espionaje remoto
A E
R6(6) Alto Muy Alto Critico
de escritorio contraseñas CONFIDENCIALIDAD EN
M D
CLAVES DE ACCESO
Cableado Saturación de los Alto DECLARACION DE
R10(32) Gestión inadecuada de red Alto Alto
Ethernet sistemas de información LA
Y A APLICABILIDAD
R13(61) Servidor web Servicios innecesarios Procesamiento ilegal Bajo Alto Relevante SEGURIDAD EN LA
INFRAESTRUCTURA
C
Página web Defectos en el Abuso de derechos
R21(14) Alto Medio Alto
funcionamiento.
E
BUEN MANEJO DE
R26(19) Intranet Pocos controles de acceso Abuso de derechos Alto Alto Alto ANTIVIRUS
T
Falta de mecanismos de Abuso de derechos

R34(27) Email Medio Alto Alto
O
autenticación de usuarios
BAJA PRESENCIA DE SPAM
Red de la Falta de controles en el Robo de documentos o
LI
R36(33) Alto Alto Alto

Institución traspaso de información de equipos tecnológicos
SERVICIO DE CÓMPUTO
IB
EFICIENTE
B
PLAN DE MAPEO DE LOS

TRATAMIENTO CONTROLES
PARA EL CONTROLES
DEL RIESGO CON COBIT 5
TRATAMIENTO
DE RIESGOS PRESENCIA
DE
69 CONTROLES

Alcance del SGSI

El Sistema de Gestión de Seguridad de Información de la Universidad Privada de
Trujillo-Perú abarcara las áreas de Desarrollo de Sistemas y Taller de Cómputo
dirigido exactamente a los jefes de dichas áreas y sus trabajadores, también se
involucrará a la comunidad universitaria (alumnos, docentes y administrativos) ya
que no se encuentra ajena a esta realidad.
S
A
Identificación de activos
IC
S
En este punto se identificarán los activos. Según el estándar ISO 27005:2008, se
S FÍ
pueden identificar dos tipos de activos: los primarios y los de soporte. Los primarios,
según este estándar, son los procesos e información más sensibles para la
A S
organización. Los activos de soporte, son los activos que dan el debido soporte a
IC A
estos activos primarios. Dentro de estas dos agrupaciones, se definieron siete
T I
Á C
distintos tipos específicos de activos:
M N
E IE
1) Dato: Es toda aquella información que se genera, envía, recibe y gestionan

dentro de la organización. Dentro de este tipo, podemos encontrar distintos
T C
documentos que la institución educativa gestiona dentro de sus procesos.

A E
2) Aplicación: Todo aquel software que se utilice como soporte en los

M D
procesos.
Y A
3) Personal: Son todos los actores que se ven involucrados en el acceso y el

C
manejo de una u otra manera a los activos de información de la

E
organización.
T
O
4) Servicio: Son los servicios que alguna área de la organización suministra a

LI
otra área o entidades externas a la misma.

5) Tecnología: Es todo el hardware donde se maneje la información y las
IB
comunicaciones.
B
6) Instalación: Es cualquier lugar donde se alojan los activos de información.

Este lugar o ambiente puede estar ubicado dentro de la organización tanto
como fuera de la misma.
7) Equipamiento auxiliar: Son los activos que no se hallan definidos en
ninguno de los anteriores tipos.
A continuación, se muestra el inventario de todos los activos que se pudieron identificar

dentro de la UPTP que se encuentran en el alcance del presente proyecto.
70

ID Activo Identificado ¿Tangible? Tipo de Activo
1 Computadora de escritorio Si Tecnología
2 Teléfono Si Tecnología
3 Impresora Si Tecnología
4 Fotocopiadora Si Tecnología
5 Scanner Si Tecnología
S
6 Cableado Ethernet Si Tecnología
A
7 Firewall No Tecnología
IC
8 Servidor web Si Tecnología
S
9 Licencia de Microsoft Windows 7 No Aplicación
S FÍ
10 Licencia de Microsoft Office 2013 No Aplicación
A S
11 Página web No Aplicación
12
IC A
Intranet de la institución No Aplicación
T I
Á C
Email (para el envío electrónico de
13 No Aplicación
información)
M N
Red de la institución (carpetas

E IE
14 No Aplicación
compartidas)
T C
15 Aula Si Instalación
Vitrinas informativas Si Instalación

A E
16
M D
17 Oficina de reuniones Si Instalación
Archivos de la sede Si Instalación

Y A
18
C
19 Archivadores para los documentos Si Equipamiento Auxiliar

E
20 Gabinetes Si Equipamiento Auxiliar

T
21 Llaves de ingreso Si Equipamiento Auxiliar

O
Director Académico Personal

LI
22 Si
Director Comercial Personal

IB
23 Si
24 Asistente de Programación Si Personal

B
25 Telemarketer / Promotor de Ventas Si Personal
26 Alumno Si Personal
27 Cajero Si Personal
28 Asistente Administrativo Si Personal
29 Egresado Si Personal
30 Asistente de Admisión Si Personal
31 Asistente Académico Si Personal
71

Información estratégica de la
32 Si Dato
Institución
33 Documento de encuestas Si Dato
Documentos estadísticos del mercado

34 Si Dato
educativo
Documento de la proyección anual de
35 Si Dato
la oferta educativa (presupuesto)
S
Reporte de alumnos aptos para
37 Si Dato
A
matricularse.
Información de alumnos de semestres
IC
38 Si Dato
anteriores
S
Plan semestral/anual de cursos a
39 Si Dato
dictarse
S FÍ
40 Evaluación del Jefe Académico Si Dato
A S
41 Encuesta académica Si Dato
IC A
Materiales de estudio (silabo,
42 Si Dato
T I
presentaciones, casos, lecturas)
Á C
Registro de aulas Dato
M N
43 Si
E IE
Documento de frecuencia decursos

44 Si Dato
por ciclo
T C
Documento de alumnos inscritos por

45 Si Dato
A E
ciclo
Documento de la programación de las
M D
46 Si Dato
aulas
Y A
Información sobre preferencias de los

Dato
C
47 Si
clientes
E
Material informativo / Documentación

48 Si Dato
relacionada a los programas
T
O
49 Reglamento de admisión Si Dato

LI
50 Ficha de Admisión Si Dato
Registro de orden de cobro a los

IB
51 Si Dato
alumnos inscritos
Consolidado de la información de las
B
52 Si Dato
fichas de admisión (virtual)
Evaluación de Aptitud Emprendedora
53 Si Dato
(Examen de admisión)
Resultados de la Evaluación de Aptitud
54 Si Dato
Emprendedora
Certificado original de estudios de 1° a
55 Si Dato
5° de secundaria
Partida de nacimiento original (o copia
56 Si Dato
legalizada)
57 Fotocopia de DNI Si Dato
72

58 Voucher de pago de Admisión Si Dato
59 Ficha de Admisión (en físico) Si Dato
60 Ficha de Matricula (en físico) Si Dato
Reporte de alumnos matriculados (en

61 Si Dato
físico)
62 Ficha de preinscripción de matrícula Si Dato
S
Consolidación bancaria (vía email) Dato
A
63 Si
IC
64 Voucher de pago de matrícula Si Dato
Registro de las matriculas Dato
S
65 Si
S FÍ
66 Solicitud o cartas de descuento Si Dato
67 Reporte visado de cartas de descuento Si Dato
A S
Solicitud de expedición del título Dato
IC A
68 Si
69
T I
Ficha de inscripción para la titulación Si Dato
Á C
Declaración jurada del egresado Dato
M N
70 Si
Certificado de estudios superiores
E IE
71 Si Dato
(original)
Foto Dato
T C
72 Si
Recibo de pago por derecho de

Dato
A E
73 Si
titulación
M D
74 Diploma Si Dato
Y A
75 Acta de sustentación de tesis Si Dato

C
76 Título de egresado Si Dato

E
77 Fotocopia del título de egresado Si Dato

T
O
LI
Tabla 3: Inventario de activos

IB
4.2.3. Fase Tres: Valorización de los activos de información

B
El siguiente paso a la identificación de los activos de la UPTP es valorizarlos, y así

determinar el valor que cada activo tiene para la organización y el impacto que tendría
dentro de la misma si llegara a fallar en algún momento.
Para realizar dicha valorización, se determinó una escala cualitativa en función a los
atributos de la informacion ya que no es posible valorar económicamente todos los
activos. En la siguiente tabla se muestra cuáles son los criterios que se usaron para
realizar la correcta valorización de estos activos, en conjunto con los valores que se
tendrán en cuenta para clasificarlos y su respectivo significado dentro del contexto
actual:
73

Criterio Valor Descripción
0 No Aplica / No es relevante
Disponibilidad 1 Debe estar disponible al menos el 10% del tiempo
2 Debe estar disponible al menos el 50% del tiempo
3 Debe estar disponible siempre
S
A
0 No Aplica / No es relevante
IC
No es relevante los errores que tenga o la
Integridad 1
información faltante
S
Tiene que estar correcto y completo al menos en
2
S FÍ
un 50%
3 Tiene que estar correcto y completo en un 100%
A S
IC A
T I 0 No Aplica / No es relevante
Daños muy bajos, el incidente no trascendería del
Á C
1
área afectada
Confidencialidad
M N
Seria relevantes, el incidente implicaría a otras

2
áreas
E IE
Los daños serían catastróficos, la reputación y la

T C
3 imagen de la organización se verían

comprometidas
A E
Tabla 4: Criterios de valorización de activos

M D
Para hallar el valor final del activo, se realizará una suma de los valores de los distintos
Y A
criterios. Esta suma se ubicará en el rango de valores de 0 a 9, para lo cual cada valor
C
representara a un nivel de criticidad. Mientras más alto sea el número final que resulto
E
de la suma, más alta será su criticidad. Para este proyecto, se definieron cuatro niveles
T
de criticidad del activo: no aplica, bajo, medio y alto.

O
A continuación, la siguiente tabla detalla el universo de valores que se puede obtener,

LI
asociados a un nivel de criticidad específico.

IB
B
74

Valor Criticidad
0 No Aplica
1 Baja
2 Baja
3 Baja
4 Media
5 Media
S
6 Media
A
7 Alta
IC
8 Alta
9 Alta
S
S FÍ
Tabla 5: Valores según nivel de criticidad
A S
IC A
4.2.4. Fase Cuatro: Apetito del riesgo
T I
Á C
Se definió que los activos cuya criticidad sea “Alta” son los que entrarán dentro de la
M N
identificación y análisis de riesgos de los activos de información del siguiente capítulo.

E IE
Los activos con criticidad “Media” y “Baja” no se toman como activos críticos para la
T C
organización, por lo cual no entrarán dentro de dicho análisis.

A E
M D
Luego de haber definido el contexto de la valorización, se procederá a mostrar el total

de los activos identificados con el valor respectivo que cada activo tiene dentro de la
Y A
organización:
C
E
T
Valorización de los activos

O
Criterios de valorización(ver pestañas criterios) Valor

ID Activos Criticidad
LI
total
integridad Disponibilidad Confidencialidad
IB
1 Computadora de 3 3 3 9 Alta
escritorio
B
2 Teléfono 3 3 0 6 Medio
3 Impresora 3 2 0 5 Medio
4 Fotocopiadora 3 2 0 5 Medio
5 Scanner 3 1 0 4 Medio
6 Cableado Ethernet 3 3 2 8 Alta

7 Firewall 2 3 1 6 Medio
8 Servidor web 3 3 3 9 Alta
9 Licencia de Microsoft 3 3 1 7 Alta

Windows 7
75


total
10 Licencia de Microsoft 3 3 1 7 Alta

Office 2013
11 Página web 2 3 2 7 Alta
12 Intranet de la 3 2 3 8 Alta
institución
S
Email (para el envío
A
13 electrónico de 2 3 3 8 Alta
IC
información)
Red de la institución
S
14 (carpetas 3 2 3 8 Alta
S FÍ
compartidas)
15 Aula 2 3 0 5 Medio
A S
IC A
16 Vitrinas informativas 1 1 0 2 Bajo
T I
17 2 2 2 6 Medio
Á C
Oficina de reuniones
M N
18 Archivos de la sede 3 3 3 9 Alta

E IE
19 Archivadores para los 2 1 2 5 Medio

documentos
T C
20 Gabinetes 2 1 2 5 Medio
A E
21 3 3 3 9 Alta
M D
Llaves de ingreso
22 Director Académico 3 0 0 3 Bajo

Y A
C
23 Director Comercial 3 2 0 5 Medio

E
24 Asistente de 3 2 0 5 Medio
T
Programación
O
25 Telemarketer / 3 2 0 5 Medio
LI
Promotor de Ventas
26 Alumno 3 2 0 5 Medio
IB
27 Cajero 3 2 0 5 Medio
B
28 Asistente 3 2 0 5 Medio
Administrativo
29 Egresado 3 2 0 5 Medio
30 Asistente de 3 2 0 5 Medio
Admisión
31 Asistente 3 2 0 5 Medio
Académico
Información
32 estratégica de la 3 1 3 7 Alta
Institución
76


total
33 Documento de 1 1 1 3 Baja
encuestas
Documentos
34 estadísticos del 2 1 2 5 Medio
mercado educativo
S
Documento de la
A
35 proyección anual de 2 1 2 5 Medio
la oferta educativa
IC
(presupuesto)
Documento de la
S
36 programación 3 2 3 8 Alta
S FÍ
académica anual y
mensual
A S
Reporte de alumnos
37 aptos para 3 2 3 8 Alta
IC A
matricularse T I
Á C
Información de
38 alumnos de 3 2 3 8 Alta
M N
semestres anteriores
E IE
39 Plan semestral/anual 3 2 1 6 Medio

de cursos a dictarse
T C
40 Evaluación del Jefe 2 1 1 4 Medio

Académico
A E
41 1 1 1 3 Baja
M D
Encuesta académica
Materiales de estudio
Y A
42 (silabo, 2 2 1 5 Medio
C
presentaciones,
casos, lecturas)
E
T
43 Registro de aulas 1 2 1 4 Medio

O
Documento de
LI
44 frecuencia de cursos 3 2 2 7 Alta

por ciclo
IB
Documento de
45 alumnos inscritos por 3 2 3 8 Alta
B
ciclo
Documento de la
46 programación de las 2 2 1 5 Medio
aulas
Información sobre
47 preferencias de los 3 2 3 8 Alta
clientes
Material informativo /
48 Documentación 2 3 0 5 Medio
relacionada a los
programas
77


total
49 Reglamento de 3 2 1 6 Medio
admisión
50 Ficha de Admisión 3 3 1 7 Alta
Registro de orden de
51 3 2 3 8 Alta
S
cobro a los alumnos
inscritos
A
Consolidado de la
IC
52 información de las 3 2 2 7 Alta
fichas de admisión
S
(virtual)
S FÍ
Evaluación de Aptitud
53 Emprendedora 3 2 1 6 Medio
A S
(Examen de
admisión)
IC A
Resultados de la
T I
Á C
54 Evaluación de Aptitud 3 3 3 9 Alta
Emprendedora
M N
Certificado original de
E IE
55 estudios de 1° a 5° 3 0 3 6 Medio
de secundaria
T C
Partida de nacimiento
A E
56 original (o copia 3 0 3 6 Medio

legalizada)
M D
57 Fotocopia de DNI 3 0 3 6 Medio

Y A
Voucher de pago de
C
58 3 0 3 6 Medio
Admisión
E
59 Ficha de Admisión 3 3 2 8 Alta

T
(en físico)
O
60 Ficha de Matricula 3 3 2 8 Alta

LI
(en físico)
IB
Reporte de alumnos
61 matriculados (en 3 2 2 7 Alta
físico)
B
Ficha de
62 preinscripción de 3 3 1 7 Alta
matrícula
63 Consolidación 3 3 3 9 Alta
bancaria (vía email)
64 Voucher de pago de 3 2 1 6 Medio

matrícula
65 Registro de las 3 2 1 6 Medio

matriculas
78


total
66 Solicitud o cartas de 3 1 1 5 Medio

descuento
67 Reporte visado de 3 2 2 7 Alta

cartas de descuento
68 Solicitud de 2 2 1 5 Medio
S
expedición del título
A
69 Ficha de inscripción 2 3 1 6 Medio
IC
para la titulación
70 Declaración jurada 3 1 1 5 Medio
S
del egresado
S FÍ
Certificado de
71 estudios superiores 3 2 3 8 Alta
A S
(original)
IC A
72 Foto T I 3 2 3 8 Alta
Á C
73 Recibo de pago por 3 2 2 7 Alta
M N
derecho de titulación
E IE
74 Diploma 3 2 3 8 Alta
T C
75 Acta de sustentación 2 2 1 5 Medio

de tesis
A E
76 Título de egresado 3 2 3 8 Alta

M D
77 Fotocopia del título 2 2 3 7 Alta

de egresado
Y A
C
Tabla 6: Valorización de los activos

E
T
O
4.2.5. Fase Cinco. Identificación y Evaluación de los Riesgos

LI
4.2.5.1. Mapa de Riesgos

IB
Previamente al desarrollo del mapa de riesgos se procedió a realizar una valorización

B
detallada de riesgos, los cuales involucran hallar las vulnerabilidades y amenazas que
puedan afectar a los activos que se ubican dentro del apetito de riesgo previamente
definido.
Para la realización de dicha valorización, el estándar ISO 27005(Trata sobre la gestión
de riesgos de la seguridad de la información) propone varios ejemplos de métodos con
los cuales se puede llevar a cabo la valorización de riesgos de manera adecuada.
Finalmente, se optó por la realización de una matriz de calor, la cual tiene como
criterios la probabilidad que cierta amenaza explote cierta vulnerabilidad y el impacto al
79

negocio estimado que la ocurrencia del riesgo pueda ocasionar al negocio. A

continuación se presenta la matriz de calor con los criterios que se han definido.
Impacto en el Probabilidad de Afectación

Negocio
Muy Baja Baja Media Alta Muy Alta
Muy Alto Relevante Relevante Alto Critico Critico
Alto Relevante Relevante Alto Alto Critico
S
Medio Moderado Moderado Relevante Alto Critico
A
IC
Bajo Bajo Bajo Bajo Moderado Relevante
Muy Bajo Bajo Bajo Bajo Bajo Moderado
S
S FÍ
Tabla 7: Matriz de calor
A S
Los significados de los cinco valores que los criterios de “Impacto en el Negocio” y
IC A
“Probabilidad de Afectación” puedan tener son descritos a continuación. Con respecto
T I
Á C
al criterio de “Probabilidad de Afectación”:
M N
E IE
Probabilidad de Afectación
Interpretación
T C
Muy Alta Es casi seguro que la amenaza afectará la vulnerabilidad

A E
Alta Es probable que la amenaza afectará la vulnerabilidad

M D
Media Es posible que la amenaza afectará la vulnerabilidad

Y A
Baja Es improbable que la amenaza afectará la vulnerabilidad

C
Muy Baja Es impensable que la amenaza afectará la vulnerabilidad

E
T
O
Tabla 8: Descripción de los niveles de la Probabilidad de Afectación

LI
IB
Con respecto al criterio de “Impacto en el Negocio”:

B
Impacto del Negocio Interpretación
Muy Alto Afecta por más de una semana las operaciones del instituto.
Alto Afecta hasta en 72 horas las operaciones del instituto
Medio Afecta hasta en 24 horas las operaciones del instituto
Bajo Afecta hasta en 6 horas las operaciones del instituto
Muy Bajo Tiene un efecto nulo o muy pequeño en las operaciones de la institución
Tabla 9: Descripción de los niveles de Impacto en el Negocio
80

Luego de evaluar y definir la probabilidad y el impacto en el negocio que pueda

ocasionar la materialización de los riesgos identificados obtenemos el nivel de dichos
riesgos. Como se observa en el mapa de calor, se pudieron obtener cinco valores de
riesgo: bajo, moderado, relevante, alto y crítico. En el siguiente capítulo, se establecerá
un criterio de aceptación del riesgo, el cual servirá para realizar un plan de tratamiento
de riesgo: si el riesgo es aceptable o si requiere algún tratamiento para reducir, evitar o
transferir dicho riesgo.
A continuación se presenta la matriz completa de riesgos de los activos (críticos) que
S
A
entraron en el análisis, según el apetito de riesgo establecido.
IC
S
Matriz de Riesgos
S FÍ
Impacto
Posibilidad de
estimad
ID de que la amenaza Nivel de
Activo Vulnerabilidad Amenaza o en la
Riesgo explote la Riesgo
A S
instituci
vulnerabilidad
ón
IC A
Falta de cierre
T I
Computador de sesión al
Manipulación
Á C
a de momento de
R1 de información Alto Alto Alto
escritorio salir de la
M N
estación de
trabajo
E IE
Computador Sensibilidad a la Polvo,

Medio
T C
R2 a de humedad, polvo corrosión, Muy alto Alto

escritorio y al calor congelamiento
A E
Computador Susceptibilidad Perdida de

M D
R3 a de a variaciones en suministro de Alto Muy Alto Critico

escritorio el voltaje energía
Y A
Destrucción de
C
Computador
Sensibilidad de equipos o
R4 a de Bajo Muy Alto Relevante
E
golpes o caídas medios de

escritorio
comunicación
T
O
Robo de
Computador Falta de
información o
LI
R5 a de backups de Muy Alto Muy Alto Critico

del mismo
escritorio información
equipo
IB
Computador
Mala seguridad Espionaje
R6 a de Alto Muy Alto Critico
de contraseñas remoto
B
escritorio
Trafico de Escuchar
Cableado
R7 información información Medio Alto Alto
Ethernet
desprotegido ilegalmente
Falla en los
Cableado Cableado equipos de
R8 Alto Alto Alto
Ethernet desprotegido comunicacione
s
Cableado Arquitectura de Espionaje
R9 Bajo Alto Relevante
Ethernet red insegura remoto
Cableado Gestión Saturación de
R10 Ethernet inadecuada de los sistemas Alto Alto Alto
la red de información
81

Matriz de Riesgos
Impacto
Posibilidad de
estimad
instituci
vulnerabilidad
ón
Falta de
mecanismos de Abuso de
Servidor web
R11 autenticación e derechos Bajo Alto Relevante
identificación de
usuarios
S
Mala gestión de Abuso de
A
R12 Servidor web Muy Bajo Alto Relevante
contraseñas derechos
IC
Servicios Procesamiento
R13 Servidor web innecesarios ilegal de los Bajo Alto Relevante
S
para el usuario datos
S FÍ
Falta de
Licencia de Abuso o
mecanismos de
Microsoft forzado de
R14 autenticación e Bajo Muy Alto Relevante
Windows 7 derechos
A S
identificación de
usuarios
Licencia de
IC A Abuso o
R15
T I
Mala gestión de
Á C
Microsoft forzado de Bajo Muy Alto Relevante
contraseñas
Windows 7 derechos
M N
Licencia de Servicios Procesamiento

E IE
R16 Microsoft innecesarios ilegal de los Alto Muy Alto Critico

Windows 7 para el usuario datos
T C
Falta de
Licencia de mecanismos de Abuso o
A E
R17 Microsoft autenticación e forzado de Bajo Alto Relevante

Office 2013 identificación de derechos
M D
usuarios
Y A
Licencia de Abuso o
Mala gestión de
R18 Microsoft forzado de Bajo Alto Relevante
C
contraseñas
Office 2013 derechos
E
Licencia de Servicios Procesamiento

T
R19 Microsoft innecesarios ilegal de los Alto Alto Alto

Office 2013 para el usuario datos
O
Falta de
Abuso de
LI
R20 Página web pruebas del Medio Medio Relevante

derechos
software
IB
Defectos en el
Abuso de
R21 Página web funcionamiento Alto Medio Alto
derechos
B
del software
Interfaz de
Error en el uso
R22 Página web usuario Alto Medio Alto
del software
complicada
Página web Falta de Error en el uso

R23 Medio Medio Relevante
documentación del software
Página web
R24 innecesarios ilegal de los Alto Medio Alto
Defectos en el
Intranet de la Abuso de
R25 funcionamiento Alto Alto Alto
institución derechos
del software
82

Matriz de Riesgos
Impacto
Posibilidad de
estimad
instituci
vulnerabilidad
ón
Pocos o nulos
Intranet de la Abuso de
R26 controles de Alto Alto Alto
institución derechos
acceso
Interfaz de
Intranet de la Error en el uso
S
R27 usuario Alto Alto Alto
institución del software
complicada
A
R28
Intranet de la Fechas Error en el
IC
Bajo Alto Relevante
institución incorrectas accionar
S
Intranet de la Mala gestión de Abuso de
R29 Medio Alto Alto
institución contraseñas derechos
S FÍ
Intranet de la
R30 innecesarios ilegal de los Alto Alto Alto
institución
A S
IC A
Email (para
el envío Defectos en el
T I Abuso de
R31 electrónico funcionamiento Alto Alto Alto
Á C
derechos
de del software
M N
información)
Email (para
E IE
el envío Falta de un log

Abuso de
R32 electrónico de pistas de Medio Alto Alto
derechos
T C
de auditoria
información)
A E
Email (para
el envío
M D
Fechas Error en el
R33 electrónico Muy bajo Alto Relevante
incorrectas accionar
de
Y A
información)
C
Email (para Falta de

el envío mecanismos de Abuso de
E
R34 electrónico autenticación e derechos Medio Alto Alto

T
de identificación de
información) usuarios
O
Email (para
LI
el envío Falta de
Manipulación
R35 electrónico backups de Medio Alto Alto
de información
IB
de información
información)
B
Red de la Falta de Robo de

Institución controles en el documentos o
R36 Alto Alto Alto
(carpetas traspaso de de equipos
compartidas) información tecnológicos
Red de la
Falta de
Institución Manipulación
R37 privilegios en los Muy Alto Alto Critico
(carpetas de información
permisos
compartidas)
Red de la
Institución Mala seguridad Manipulación
R38 Alto Alto Alto
(carpetas de contraseñas de información
compartidas)
83

Matriz de Riesgos
Impacto
Posibilidad de
estimad
instituci
vulnerabilidad
ón
Red de la
Gestión Saturación de
Institución
R39 inadecuada de los sistemas Alto Alto Alto
(carpetas
la red de información
compartidas)
S
Red de la Uso no
Conexiones de
A
Institución autorizado de
R40 red Medio Alto Alto
(carpetas los equipos de
IC
desprotegidas
compartidas) red
S
Falta de Robo o
Archivos de
R41 mecanismos de pérdida de Alto Muy Alto Critico
S FÍ
la sede
backup documentos
Falta de cuidado
Robo o
A S
Archivos de en el transporte
R42 manipulación Alto Muy Alto critico
la sede o en su
IC A
del activo
transferencia
T I
Á C
Uso inadecuado Destrucción o
M N
o sin cuidado de robo de

R43 Llaves de accesos a equipos o Alto Muy Alto Critico
E IE
ingreso instalaciones o medios de

habitaciones comunicación
T C
Documento
A E
de la
Falta de Robo o
programació
M D
R44 mecanismos de pérdida de Bajo Muy Alto Relevante

n académica
backup documentos
anual y
Y A
mensual
C
Documento
de la Falta de cuidado
E
Robo o
programació en el transporte
R45 manipulación Medio Muy Alto Alto
T
n académica o en su
del activo
anual y transferencia
O
mensual
LI
Documento
de la
IB
Pocos o nulos Robo o

programació
R46 controles de manipulación Alto Muy Alto Critico
n académica
acceso del activo
B
anual y
mensual
Reporte de Falta de Robo o
alumnos mecanismos de pérdida de
R47 Bajo Muy Alto Relevante
aptos para backup documentos
matricularse
Reporte de Falta de cuidado
Robo o
alumnos en el transporte
aptos para o en su
del activo
matricularse transferencia
Reporte de
alumnos
aptos para
acceso del activo
matricularse
84

Matriz de Riesgos
Impacto
Posibilidad de
estimad
instituci
vulnerabilidad
ón
Información
de alumnos Falta de Robo o
R50 de mecanismos de pérdida de Bajo Alto Relevante
semestres backup documentos
anteriores
S
Información
de alumnos Pocos o nulos Robo o
A
R51 de controles de manipulación Medio Alto Alto
IC
semestres acceso del activo
anteriores
Documento
S
de Falta de Robo o
S FÍ
R52 frecuencia mecanismos de pérdida de Bajo Muy Alto Relevante
de cursos backup documentos
por ciclo
A S
Documento
Falta de cuidado
IC A
de Robo o
en el transporte
R53 frecuencia T I manipulación Medio Muy Alto Alto
o en su
de cursos del activo
Á C
transferencia
por ciclo
M N
Documento
de Pocos o nulos Robo o
E IE
R54 frecuencia controles de manipulación Alto Muy Alto Critico

de cursos acceso del activo
T C
por ciclo
Documento Robo o
Falta de
A E
de alumnos pérdida de
R55 mecanismos de Bajo Muy Alto Relevante
inscritos por documentos
M D
backup
ciclo
Y A
Documento Falta de cuidado

Robo o
de alumnos en el transporte
C
inscritos por o en su
del activo
ciclo transferencia
E
Documento
T

de alumnos
O
inscritos por
acceso del activo
ciclo
LI
Falta de Robo o
Ficha de
IB
R58 mecanismos de pérdida de Muy Alto Alto Critico

Admisión
backup documentos
B
Falta de cuidado Robo o

Ficha de en el transporte manipulación
R59 Bajo Alto Relevante
Admisión o en su del activo
transferencia
Registro de
Falta de Robo o
orden de
mecanismos de pérdida de
R60 cobro a los Muy Alto Alto Critico
backup documentos
alumnos
inscritos
Registro de
Falta de cuidado
orden de Robo o
en el transporte
R61 cobro a los manipulación Bajo Alto Relevante
o en su
alumnos del activo
transferencia
inscritos
85

Matriz de Riesgos
Impacto
Posibilidad de
estimad
instituci
vulnerabilidad
ón
Registro de
orden de Pocos o nulos Robo o
R62 cobro a los controles de manipulación Muy Alto Alto Critico
alumnos acceso del activo
inscritos
S
Consolidado
de la
A
Falta de Robo o
información
IC
de las fichas
backup documentos
de admisión
(virtual)
S
Consolidado
S FÍ
de la Falta de cuidado Robo o
información en el transporte manipulación
R64 Medio Muy Alto Alto
de las fichas o en su del activo
A S
de admisión transferencia
IC A
(virtual)
Consolidado T I
de la
Á C
información
M N
de las fichas
acceso del activo
de admisión
E IE
(virtual)
Resultados
T C
de la
Falta de Robo o
Evaluación
de Aptitud
A E
backup documentos
Emprendedo
M D
ra
Resultados
Y A
de la Falta de cuidado Robo o

Evaluación en el transporte manipulación
C
R67 Medio Muy Alto Alto

de Aptitud o en su del activo
E
Emprendedo transferencia
ra
T
Resultados
O
de la
Evaluación
LI
de Aptitud
acceso del activo
Emprendedo
IB
ra
Ficha de Falta de Robo o
B
R69 Admisión (en mecanismos de pérdida de Muy Alto Muy Alto Critico
físico) backup documentos
Falta de cuidado
Ficha de Robo o
en el transporte
R70 Admisión (en manipulación Bajo Alto Relevante
o en su
físico) del activo
transferencia
Ficha de Falta de Robo o
R71 Matricula (en mecanismos de pérdida de Muy alto Alto Critico
físico) backup documentos
Falta de cuidado
Ficha de Robo o
en el transporte
R72 Matricula (en manipulación Bajo Alto Relevante
o en su
físico) del activo
transferencia
86

Matriz de Riesgos
Impacto
Posibilidad de
estimad
instituci
vulnerabilidad
ón
Reporte de
Falta de Robo o
alumnos
matriculados
backup documentos
(en físico)
Reporte de
S
alumnos
R74 en el transporte manipulación Medio Muy Alto Alto
A
matriculados
o en su transfer. del activo
(en físico)
IC
Reporte de Pocos o nulos
Robo o
alumnos controles de
S
R75 manipulación Alto Muy Alto Critico
matriculados acceso
del activo
S FÍ
(en físico)
Ficha de
Falta de Robo o
preinscripció
A S
n de
backup documentos
IC A
matrícula
Ficha de
T I
preinscripció
Á C
R77 en el transporte manipulación Bajo Alto Relevante
n de
o en su transfer del activo
M N
matrícula
Reporte
E IE
Falta de Robo o
visado de
cartas de
backup documentos
T C
descuento
Reporte Falta de cuidado
Robo o
A E
visado de en el transporte
R79 manipulación Bajo Alto Relevante
cartas de o en su
M D
del activo
descuento transferencia
Y A
Certificado
Falta de Robo o
de estudios
C
superiores
backup documentos
(original)
E
Certificado
T

de estudios
en el transporte manipulación Medio Muy Alto Alto
O
R81 superiores
o en su transfer. del activo
(original)
LI
Certificado
de estudios
IB

superiores
acceso del activo
(original)
B
Falta de
Robo o
mecanismos de
R83 Foto pérdida de Bajo Muy Alto Relevante
backup
documentos
Falta de cuidado
Robo o
en el transporte
R84 Foto manipulación Medio Muy Alto Alto
o en su
del activo
transferencia
R85 Foto controles de manipulación Alto Muy Alto Critico
acceso del activo
87

Matriz de Riesgos
Impacto
Posibilidad de
estimad
instituci
vulnerabilidad
ón
Recibo de
Falta de Robo o
pago por
derecho de
backup documentos
titulación
Recibo de Falta de cuidado
Robo o
S
pago por en el transporte
R87 manipulación Bajo Alto Relevante
derecho de o en su
A
del activo
titulación transferencia
IC
Falta de Robo o
R88 Diploma mecanismos de pérdida de Bajo Muy Alto Relevante
S
backup documentos
S FÍ
Falta de cuidado
Robo o
en el transporte
R89 Diploma manipulación Medio Muy Alto Alto
o en su
A S
del activo
transferencia
IC A
R90 Diploma controles de manipulación Alto Muy Alto Critico
T I
Á C
acceso del activo
M N
Título de Falta de Robo o

R91 egresado mecanismos de pérdida de Bajo Muy Alto Relevante
E IE
backup documentos
Falta de cuidado
T C
Título de Robo o
en el transporte
egresado manipulación Medio Muy Alto Alto
R92 o en su
del activo
A E
transferencia
M D

Título de
egresado
Y A
acceso del activo

C
Fotocopia Falta de Robo o

R94 del título de mecanismos de pérdida de Bajo Muy Alto Relevante
E
egresado backup documentos

T
Falta de cuidado
Fotocopia Robo o
O
en el transporte
R95 del título de manipulación Medio Muy Alto Alto
o en su
egresado del activo
LI
transferencia
Fotocopia Pocos o nulos Robo o
IB
R96 del título de controles de manipulación Alto Muy Alto Critico

egresado acceso del activo
B
Tabla 10: Matriz de riesgos
4.2.6. Fase Seis: Plan de tratamiento de riesgos
Luego de definir los niveles de riesgos respecto a las vulnerabilidades de cada activo y
las amenazas que puedan afectar su integridad, confidencialidad o disponibilidad; se
definió un criterio de aceptación del riesgo el cual determina si el riesgo es aceptable o
88

si requiere de algún tratamiento. Finalmente, se obtiene el plan de tratamiento de los

riesgos identificados previamente.
A continuación se presenta el plan de tratamiento de los riesgos:
Nivel de Riesgo Política para la toma de Acciones

Critico Riesgo no aceptable
Alto Riesgo no aceptable
Relevante Riesgo aceptable
S
Moderado Riesgo aceptable
A
IC
Bajo Riesgo aceptable
S
Tabla 11: Plan de tratamiento de riesgos
S FÍ
El tratamiento de los riesgos cuyo nivel sea “Crítico” o “Alto” es recurrir a la
A S
implementación de ciertos controles para reducir la probabilidad que dichos riesgos
IC A
identificados se materialicen. Finalmente, no se requerirá de tratamiento para los
T I
Á C
niveles de riesgos de “Relevante”, “Moderado” y “Bajo” ya que se considera que la
M N
institución educativa puede convivir con dichos riesgos.

E IE
4.2.7. Fase Siete: Controles para el tratamiento de riesgos

T C
Los controles que se han seleccionado para el tratamiento de los riesgos son los que
A E
M D
se detallan en el estándar ISO 27002, el cual contiene una lista bastante completa de
objetivos de control y controles comúnmente relevantes para las organizaciones en
Y A
general. Cabe resaltar que dichos controles siguen lineamientos generales, en la

C
Declaración de la Aplicabilidad se mostrarán los controles adaptados a la realidad

E
organizacional de la institución educativa estudiada.

T
O
Para empezar se definió controles respecto a las políticas de seguridad que la

institución busca establecer para alcanzar el nivel de seguridad deseado. Cabe resaltar
LI
que todos estos controles o políticas contribuyen a la mitigación de todos los riesgos
IB
identificados y, en su mayoría, deberán ser desarrollados y promovidos por la Alta

B
Gerencia de la entidad educativa. La lista completa del Documento de política de

seguridad de la información según ISO 27002 se encuentra en el anexo09
Estos controles y políticas de seguridad son los siguientes:
89

Categoría de
Clausula Nombre Control Descripción
Seguridad
La alta gerencia debe

aprobar un documento
Documentar política de
de política, este se debe
seguridad de
publicar y comunicar a
información
todos los empleados y
entidades externas
relevantes.
Política de seguridad de
Política de seguridad La política de seguridad
S
información
de la información debe
A
ser revisada
Revisión de la política regularmente a
IC
de seguridad de la intervalos planeados o
información si ocurren cambios
S
significativos para
asegurar la continua
S FÍ
idoneidad, eficiencia y
efectividad
A S
La alta gerencia de
IC A
debe apoyar
T I activamente la
seguridad dentro de la
Á C
Compromiso de la organización a través de
M N
gerencia con la una dirección clara,

seguridad de la compromiso
E IE
información demostrado, asignación

explícita y
T C
reconocimiento de las
responsabilidades de la
seguridad de la
A E
información.
M D
Las actividades de
seguridad de la
Y A
Organización de la información deben ser

Coordinación de la
seguridad de la coordinadas por
C
Organización interna seguridad de

información representantes de las
información
E
diferentes partes de la
organización con las
T
funciones y roles
O
laborales relevantes.
LI
Se deben definir
Asignación de
claramente las
IB
seguridad de la
seguridad de la
información
información
B
Se debe definir e
Proceso de autorización implementar un proceso
para los medios de de autorización
procesamiento de gerencial para los
información nuevos medios de
procesamiento
90

Categoría de
Seguridad
Se deben identificar y
revisar regularmente los
requerimientos de
confidencialidad o los
Acuerdos de
acuerdos de no-
confidencialidad
divulgación reflejando
las necesidades de la
organización para la
protección de la
S
información
A
Se deben tratar todos
IC
los requerimientos de
Tratamiento de la
seguridad identificados
Entidades externas seguridad cuando se
antes de otorgar a los
S
trabaja con clientes
clientes acceso a la
S FÍ
información o activos de
la organización
A S
Todos los activos deben
estar claramente
IC A
Responsabilidad por los
Inventarios de activos identificados y se debe
activos
elaborar y mantener un
T I
Á C
inventario de todos los
activos importantes
M N
Se deben identificar,
E IE
documentar e
implementar las reglas
T C
Uso aceptable de los para el uso aceptable

activos de la información y los
activos asociados con
A E
los medios de
M D
procesamiento de la
información
Gestión de activos
Y A
La información debe ser

C
Lineamientos de clasificada en términos

clasificación de su valor,
E
requerimientos legales y
T
confidencialidad
O
Se debe desarrollar e
Clasificación de la implementar un
LI
información apropiado conjunto de

procedimientos para
Etiquetado y manejo de
IB
etiquetar y manejar la
la información
información en
concordancia con el
B
esquema de
clasificación adoptado
por la organización.
Los eventos de
Reporte de eventos y seguridad de la
Gestión de incidentes Reporte de eventos en
debilidades en la información deben
en la seguridad de la la seguridad de la
seguridad de la reportarse a través de
información información
información los canales gerenciales
apropiados lo más
rápidamente posible
91

Categoría de
Seguridad
Se debe requerir que

todos los empleados,
contratistas y terceros
usuarios de los
Reporte de debilidades sistemas y servicios de
en la seguridad información tomen nota
y reporten cualquier
debilidad observada o
sospechada en la
S
seguridad de los
sistemas o servicios.
A
IC
Se deben establecer las
responsabilidades y
procedimientos
S
Responsabilidades y gerenciales para
S FÍ
procedimientos asegurar una respuesta
rápida, efectiva y
ordenada a los
A S
incidentes de seguridad
IC A
de información
T I Deben existir
Á C
mecanismos para
Aprendizaje de los
permitir cuantificar y
M N
incidentes en la
monitorear los tipos,
seguridad de la
E IE
volúmenes y costos de
Gestión de incidentes y información
los incidentes en la
mejoras en la seguridad seguridad de la
T C
de la información información.
A E
Cuando la acción de
seguimiento contra una
M D
persona u organización
después de un incidente
Y A
en la seguridad de la
C
información involucra
Recolección de una acción legal (sea
E
evidencia civil o criminal), se debe

recolectar, mantener y
T
presentar evidencia
O
para cumplir las reglas

de evidencia
LI
establecidas en la(s)
jurisdicción(es)
IB
relevantes.
Se deben proteger los

B
registros importantes de
una organización de
pérdida, destrucción y
Cumplimiento con Protección los registros falsificación, en
Cumplimiento
requerimientos legales organizacionales concordancia con los
requerimientos
estatutarios,
reguladores,
contractuales y
comerciales
92

Categoría de
Seguridad
Se deben asegurar la
protección y privacidad
Protección de data y
tal como se requiere en
privacidad de
la legislación relevante,
información personal
las regulaciones y, si
fuese aplicable, las
cláusulas contractuales.
Se debe desanimar a
S
Prevención de mal uso los usuarios de utilizar
de medios de los medios de
A
procesamiento de procesamiento de la
IC
información información para
propósitos no-
autorizados
S
S FÍ
Se deben documentar y
mantener los
Gestión de las Procedimientos y Procedimientos de
procedimientos de
comunicaciones y responsabilidades operación
A S
operación, y se deben
operaciones operacionales documentados
poner a disposición de
IC A
T I todos los usuarios que
los necesiten
Á C
La alta gerencia debe
M N
Revisión de los revisar los derechos de

Control de acceso Gestión del acceso del derechos de acceso del acceso de los usuarios
E IE
usuario usuario a intervalos regulares

utilizando un proceso
T C
formal
El desarrollo de
A E
software que ha sido

Seguridad en los
M D
Adquisición, desarrollo y outsourced debe ser

procesos de desarrollo y Desarrollo de outsource
mantenimiento de los supervisado y
soporte software
Y A
sistemas de información monitoreado por la

organización
C
E
T
Tabla 12: Políticas de seguridad

O
LI
Luego de definir las políticas de seguridad que la organización deberá adoptar, se

IB
procede a listar los controles para el tratamiento de los diversos riesgos identificados;
B
especificando el control, su descripción según la norma ISO 27002, los riesgos que
mitigará y la adaptación de dicho control con la realidad organizacional de la UPTP.
93

Riesgos Adaptación a la
Categoría de
Clausula Nombre Control Descripción a entidad
Seguridad
Controlar educativa
Se deben
Se deberán
proteger las
proteger las áreas
áreas seguras
seguras del
mediante
instituto mediante
controles de
Controles de controles de
entrada
entrada físicos R43 entrada
apropiados para
apropiados para
asegurar que
asegurar que sólo
S
sólo se permita
Áreas seguras se permita acceso
acceso al
A
al personal
personal
autorizado.
IC
autorizado.
Se deberán
Se debe diseñar
S
Seguridad de diseñar y aplicar
y aplicar
oficinas, controles de
S FÍ
seguridad física
habitaciones y R43 seguridad físicos
en las oficinas,
medios en las oficinas,
habitaciones y
habitaciones y
A S
medios.
medios.
IC A Los equipos
T I El equipo debe electrónicos
Á C
estar ubicado o críticos deberán
M N
protegido para estar ubicados de

reducir los tal manera que
E IE
Ubicación y riesgos de las ayudarán a

protección del amenazas y R2 reducir los riesgos
T C
equipo peligros de las amenazas

Seguridad ambientales, y y peligros
física y las oportunidades ambientales, y las
A E
ambiental para el acceso no oportunidades

M D
autorizado. para el acceso no

autorizado
Y A
Los equipos
C
electrónicos
El equipo debe
críticos deberán
E
ser protegido de
ser protegidos de
fallas de energía
T
fallas de energía y
Seguridad del y otras
otras
O
equipo interrupciones
R2,R3 interrupciones
Servicios causadas por
causadas por
LI
públicos fallas en los

fallas en los
servicios
servicios
IB
públicos.
eléctricos o de
telecomunicacion
B
es.
El cableado
El cableado de la
eléctrico y de las
energía y las
telecomunicacion
telecomunicacion
es que llevan data
es que llevan
o sostienen los
data o sostienen
R3,R7,R8 servicios de
Seguridad en el los servicios de
R10 información de
cableado información
Universidad
deben ser
deberá ser
protegidos de la
protegidos
intercepción o
mediante tubos u
daño.
otros controles.
94

Categoría de
Seguridad
Controlar educativa
Los equipos
El equipo debe deberán pasar por
ser mantenido mantenimiento 1
correctamente vez mensual para
para permitir su R2,R3 asegurar la
Mantenimiento
continua R21 continuidad de los
de equipo
disponibilidad e sistemas y demás
integridad. aplicativos que
S
dan soporte a los
procesos críticos
A
Los gerentes del
IC
instituto deberán
Se deben asegurar que los
S
establecer los requerimientos y
criterios de criterios de
S FÍ
aceptación para aceptación de los
los sistemas de sistemas nuevos
información estén claramente
A S
nuevos, definidos,
IC A
actualizaciones y aceptados,
R21,R22
versiones nuevas documentados y
T I R25,R27
Á C
y se deben llevar probados. Los
Planeación y R31
Aceptación del a cabo pruebas sistemas de
aceptación del
M N
sistema adecuadas información

sistema
del(los) nuevos, las
E IE
sistema(s) actualizaciones y
durante su las versiones
T C
Gestión de desarrollo y antes nuevas deberán

las de su aceptación. pasar a
A E
comunicaci producción luego

ones y de obtener la
M D
operacione aceptación formal.

s
Y A
La protección
contra códigos
C
maliciosos se
E
deberá basar en
Se deben
la detección de
T
implementar
códigos
controles de
O
maliciosos dentro
detección,
de los sistemas
Controles contra prevención y R21,R25
LI
del instituto y la
Protección contra software recuperación R31
reparación del
software malicioso malicioso para protegerse
IB
software,
y código móvil de códigos
conciencia de
malicioso.
seguridad, y los
B
apropiados
controles de
acceso a los
sistemas.
95

Categoría de
Seguridad
Controlar educativa
La institución
Se deben realizar educativa deberá
copias de back- proporcionar
up o respaldo de medios de
la información respaldo
comercial y R58,R60 adecuados para
software esencial R69,R71 asegurar que toda
Back-up o
Respaldo (back- y se deben R76,R78 la información
respaldo de la
S
up) probar R86 esencial y crítica
información
regularmente de se pueda
A
acuerdo a la recuperar
IC
política. después de algún
desastre o falla de
medios
S
S FÍ
Las redes deben
ser El área de
adecuadamente Sistemas de la
A S
manejadas y institución deberá
controladas para implementar
IC A poderlas proteger controles para

T I de amenazas, y R7,R8 asegurar la
Á C
para mantener la R10,R39 seguridad de la
Gestión de
Controles de red seguridad de los R40 información en las
M N
seguridad de
sistemas y redes, y proteger
redes
E IE
aplicaciones los servicios

utilizando la red, conectados de
incluyendo la accesos no-
T C
información en autorizados.
tránsito.
A E
Se deberán
M D
Se deben
establecer
establecer los
procedimientos
Y A
procedimientos
R45,R48 para la
para el manejo y
C
Procedimientos R53,R56 manipulación,

almacenaje de la
Gestión de de manejo de la R64,R67 procesamiento,
información para
E
medios información R74,R81 almacenamiento y

proteger dicha
T
R84,R89 comunicación de
información de
R92,R95 la información
O
una divulgación
consistente con
no autorizada o
su clasificación
LI
un mal uso.
IB
Se deberán
establecer
Se deben
B
políticas,
establecer
procedimientos y
política,
controles para
procedimientos y
proteger el
controles de R45,R48
Procedimientos y intercambio de
intercambio R53,R56
Intercambio de políticas de información que
formales para R64,R67
información información y se dé en la sede
proteger el R74,R81
software del instituto a
intercambio de R84,R89
través de todos
información a R92,R95
los tipos de
través del uso de
medios de
todos los tipos de
comunicación que
medios de
se manejen
comunicación.
(teléfonos, correo
electrónico, etc.).
96

Categoría de
Seguridad
Controlar educativa
La institución
deberá manejar
Se debe proteger distintas políticas
Mensajes adecuadamente y controles que le
electrónicos los mensajes R31,R34 permitan manejar
electrónicos de manera segura
el intercambio de
información vía
S
Email.
A
Se deben La institución
IC
producir registros deberá producir
de las logs de auditoría,
actividades de excepciones y
S
auditoría, eventos de
S FÍ
excepciones y seguridad de
eventos de información. Estos
seguridad de la registros se deben
Registro de
A S
información y se mantener durante
auditoria R32
deben mantener un período
IC A durante un determinado para

T I período acordado ayudar en
Á C
para ayudar en investigaciones
investigaciones futuras y
M N
futuras y monitorear los

E IE
monitorear el sistemas y
control de aplicativos que se
Monitoreo
T C
acceso. necesiten
La institución
A E
deberá determinar
Se deben
M D
el nivel de
establecer
monitoreo
procedimientos
Y A
requerido para los

para monitorear
medios
C
el uso de los
individuales
medios de
mediante una
E
procesamiento
R32 evaluación del
Uso del sistema de información y
T
riesgo. La
de monitoreo el resultado de
O
institución deberá
las actividades
cumplir con los
de monitoreo se
LI
requerimientos
debe revisar
legales relevantes
regularmente.
IB
aplicables para
sus actividades de
monitoreo.
B
La institución
Debe existir un R16,R19
deberá manejar
procedimiento R24,R26
un procedimiento
formal para la R30,R34
formal para la
inscripción y des- R37,R46
Gestión del inscripción y des-
Control de inscripción para R49,R51
acceso del Inscripción del inscripción para
acceso otorgar acceso a R54,R57
usuario usuario otorgar acceso a
todos los R62,R65
los usuarios de
sistemas y R68,R75
todos los sistemas
servicios de R82,R85
y servicios de
información. R90,R93
información que la
R96
institución posea.
97

Categoría de
Seguridad
Controlar educativa
Los sistemas
multi-usuario del
instituto que
requieren
protección contra
Se debe restringir
el acceso no
Gestión de y controlar la R16,R24
autorizado
privilegios asignación y uso R30,R34
deberán controlar
S
de los privilegios R37
la asignación de
A
privilegios a
través de un
IC
proceso de
autorización
S
formal.
S FÍ
El área de
Sistemas deberá
A S
proporcionar
directrices para la
IC A La asignación de
gestión para las
T I contraseñas de
Á C
claves se debe
Gestión de la los distintos
controlar a través R6,R29
M N
clave del usuario sistemas de

de un proceso de R38
información que
gestión formal.
E IE
se posean. Estas
políticas pueden
T C
abarcar la
generación,
cambio y entrega
A E
de la contraseña.
M D
El área de
Sistemas deberá
Y A
proporcionar
C
Los sistemas de políticas para las

manejo de claves contraseñas de
E
deben ser sesiones de

Sistema de
T
interactivos y R6,R29 Windows de los

gestión de claves
deben asegurar R38 colaboradores con
O
la calidad de las acceso a una PC.

LI
claves. Estas políticas

pueden abarcar la
generación,
IB
cambio y entrega
de la contraseña.
B
98

Categoría de
Seguridad
Controlar educativa
El área de
Sistemas deberá
proporcionar
políticas para las
Se debe requerir
contraseñas de
que los usuarios
los distintos
sigan buenas
Responsabilidade sistemas de
Uso de clave prácticas de R6,R29
s del usuario información que
S
seguridad en la R38
se posean. Estas
selección y uso
A
políticas deberán
de claves.
seguir buenas
IC
prácticas de
seguridad en la
S
selección y uso de
claves.
S FÍ
Todos los
A S
usuarios del
instituto deberán
IC A
T I Se debe requerir estar al tanto de
que los usuarios los requerimientos
Á C
Equipo de se aseguren de de seguridad y los
usuario dar la protección procedimientos
M N
R1
desatendido apropiada al para proteger su
equipo respectivo equipo
E IE
desatendido desatendido, así

como sus
T C
responsabilidades
para implementar
A E
dicha protección.
M D
La políticas de
Responsabilidade escritorio limpio y
Y A
s del usuario Se debe adoptar pantalla limpia

una política de que la alta
C
escritorio limpio dirección

E
para los proporcione

documentos y deberá tomar en
T
medios de cuenta las

Política de
O
almacenaje clasificaciones de
pantalla y
removibles y una R1,R5 información,
escritorio limpio
LI
política de requerimientos
pantalla limpia legales y
IB
para los medios contractuales y

de los
procesamiento correspondientes
B
de la información. riesgos y
aspectos
culturales de la
organización
99

Categoría de
Seguridad
Controlar educativa
Se deberá
formular una
política
relacionada con el
Los usuarios sólo
uso de las redes y
deben tener
los servicios de la
acceso a los
Política sobre el red, de tal manera
Control de acceso servicios para los
uso de servicios que los usuarios
a redes cuales han sido R40
S
en red del instituto sólo
específicamente
deberán tener
A
autorizados a
acceso a los
usar.
IC
servicios para los
cuales han sido
específicamente
S
autorizados a
S FÍ
usar.
A S
Todos los
usuarios de los
IC A
sistemas del
instituto deberán
T I
Á C
tener un
Todos los
identificador
M N
usuarios deben
singular (ID de
tener un
usuario) para su
E IE
identificador
uso personal y
singular (ID de
exclusivo
T C
usuario) para su
(incluyendo el
Identificación y uso personal y
personal de
autenticación del exclusivo, se
A E
R5,R6 soporte técnico,

usuario debe elegir una
operadores,
M D
técnica de
administradores
autenticación
de redes,
Y A
adecuada para
programadores de
verificar la
sistemas y
C
identidad del
Control de acceso administradores
usuario.
E
al sistema de bases de
datos) para poder
T
operativo
verificar la
O
identidad de la
persona que
LI
acceda a la PC.
IB
Se restringirá y
controlará
B
Se debe restringir
estrictamente el
y controlar
uso de los
estrictamente el
programas de
uso de los
utilidad que
Uso de utilidades programas de
R16,R19 podrían ser
del sistema utilidad que
R24,R30 capaces de
podrían superar
superar los
al sistema y los
controles de
controles de
Windows y de las
aplicación.
aplicaciones a las
cuales el usuario
tiene acceso.
100

Categoría de
Seguridad
Controlar educativa
Las sesiones
Las sesiones inactivas de los
inactivas deben usuarios de
cerrarse después Windows deberán
Sesión inactiva
de un período de R1 cerrarse después
inactividad de un período de
definido inactividad
definido por el
S
área de Sistemas.
A
IC
Tabla 13: Controles para el tratamiento de riesgos
S
S FÍ
4.2.8. Fase Ocho: Mapeo de los controles con COBIT 5
A S
En este punto se identificarán los objetivos corporativos que COBIT 5 propone,
IC A
relacionados a los objetivos de negocio de la UPTP. Luego, se procederá a relacionar
T I
Á C
las metas de TI asociadas a dichos objetivos organizacionales y, a continuación, se
M N
identificará los procesos habilitadores que dan soporte al cumplimiento de dichas metas
E IE
de TI. Todo este mapeo sigue el esquema de la “Cascada de Objetivos" que propone
COBIT 5 (figura 10). Finalmente, se comparará y evaluara los procesos habilitadores
T C
finales con los controles para el tratamiento de los riesgos que se establecieron en el
A E
punto anterior.
M D
Cabe recordar que COBIT 5 se focaliza en lo que una empresa necesita hacer, no
Y A
cómo lo tiene que hacer. Asimismo, la audiencia objetivo es la alta gerencia, en

C
conjunto con los demás gerentes de las demás áreas. Mientras que los controles que
E
propone la ISO 27002, tienen un mayor grado de detalle, siendo enfocados a la parte
T
de la implementación de dichos controles dentro de la organización. Habiendo dado

O
una mayor luz al enfoque de cada marco y/o norma, se procede a realizar el mapeo
LI
correspondiente.
IB
Los objetivos organizacionales que propone COBIT 5 y que la organización desea

lograr son:
B
Dimensión BSC N° Metas de la organización
Financiero 1 Retorno de valor de las inversiones de los Stakeholders

Financiero 2 Portafolio competitivo de los productos y servicios
Riesgos de negocio gestionados (Salvaguarda de los

Financiero 3
activos)
Financiero 4 Cumplimiento de las leyes y reglamentos externos

Cliente 6 Cultura de servicio orientada al cliente
Cliente 7 Continuidad y disponibilidad del servicio
101

Cliente 8 Respuesta ágil a los cambios en el entorno empresarial
Cliente 9 Información basada en toma de decisiones estratégicas
Optimización de la funcionalidad de los procesos de

Interno 11
negocio
Interno 12 Optimización de los costos de los procesos de negocio

Interno 14 Productividad de las operaciones y el personal
Interno 15 Cumplimiento de las políticas internas
S
Aprendizaje y Crecimiento 16 Personas cualificadas y motivadas
A
Aprendizaje y Crecimiento 17 Cultura de innovación de productos y del negocio
IC
Tabla 14: Objetivos organizacionales de la UPTP según COBIT 5
S
A continuación, en la tabla siguiente podemos apreciar la relación de los objetivos de TI
S FÍ
requeridos para el logro de los objetivos organizacionales mencionados en la tabla
A S
anterior. La lista completa de los objetivos de TI propuestos por COBIT 5 se ubica en el
IC A
anexo 8. T I
Á C
M N
ID
ID Objetivos de la UPTP Objetivos de TI
TI
E IE
1 Alineación de las TI y las estrategias del negocio

T C
Compromiso de la alta dirección para hacer decisiones

3
relacionadas con TI
A E
M D
Beneficios logrados de inversiones en TI y en el

5
portafolio de servicios
Y A
Retorno de valor de las inversiones Servicios de TI alineados con los requerimientos del
1 7
C
de los Stakeholders negocio

E
Optimización de los activos, recursos y capacidades de

11
TI
T
O
Entrega de programas entregando beneficios a tiempo y

13 en el presupuesto cumpliendo con los requisitos y
LI
estándares de calidad
IB

B
5
Servicios de TI alineados con los requerimientos del

7
Portafolio competitivo de los negocio
2 productos y servicios 9 Agilidad de TI
Habilitación y soporte de los procesos de negocio

12
integrando aplicaciones y tecnología en los mismos
Conocimiento, experiencia e iniciativas para la

17
innovación empresarial
4 Gestión de riesgos del negocio relacionados con TI
3 Riesgos de negocio gestionados Seguridad de la información, infraestructura de
(Salvaguarda de los activos) 10
procesamiento y aplicaciones
102

ID
TI
16 Personal de TI cualificado y motivado

Apoyo de TI para el cumplimiento de las leyes y
Cumplimiento de las leyes y 2
reglamentos externos
4 reglamentos externos
Seguridad de la información, infraestructura de
10
Cultura de servicio orientada al
6 Servicios de TI alineados con los requerimientos del
S
cliente 7
negocio
A
IC
Continuidad y disponibilidad del
7 servicio Seguridad de la información, infraestructura de
S
10
S FÍ
Disponibilidad de información fiable y útil para la toma de
14
decisiones
A S
7
negocio
IC A
Respuesta ágil a los cambios en el
8 entorno empresarial 9 Agilidad de TI
T I
Á C
Conocimiento, experiencia e iniciativas para la
17
M N
Información basada en toma de 1 Alineación de las TI y las estrategias del negocio

E IE
9 decisiones estratégicas Disponibilidad de información fiable y útil para la toma de

14
decisiones
T C

Optimización de los costos de
A E
6 Transparencia de los costos, beneficios y riesgos de TI

10 prestación de servicios
M D

11
TI
Y A

C

7
negocio
E
Optimización de la funcionalidad de
Uso adecuado de las aplicaciones, información y
T
11 los procesos de negocio 8

soluciones tecnológicas
O
9 Agilidad de TI
LI

12
integrando aplicaciones y tecnología en los mismos
IB

5
B
Optimización de los costos de los

12 6 Transparencia de los costos, beneficios y riesgos de TI
procesos de negocio
11
TI
Productividad de las operaciones y 8
14 soluciones tecnológicas
el personal
16 Personal de TI cualificado y motivado
2
Cumplimiento de las políticas
15 internas Seguridad de la información, infraestructura de
10
15 Cumplimiento de TI con las políticas internas
103

ID
TI
Personas cualificadas y motivadas
16 16 Personal de TI cualificado y motivado
Cultura de innovación de productos 9 Agilidad de TI

17 y del negocio Conocimiento, experiencia e iniciativas para la
17
Tabla 15: Objetivos de TI de la entidad educativa según los objetivos organizacionales
S
A
Siguiendo con el mapeo, en la siguiente tabla se procede a relacionar los objetivos de
IC
TI con los procesos habilitadores que COBIT 5 define. Cabe resaltar que estos
S
procesos habilitadores dan soporte a la realización y logro de dichos objetivos .
S FÍ
A S
ID
Objetivos de TI ID Proc. Procesos habilitadores
IC A
TI
BAI02 Gestionar la definición de requisitos
T I
Alineación de las TI y las estrategias del
Á C
1 Asegurar el mantenimiento y ajuste del
negocio EDM01
marco de gobierno
M N
APO12 Gestionar riesgos

E IE
BAI10 Gestionar la configuración

T C
Apoyo de TI para el cumplimiento de las Monitorear y evaluar el sistema de

2 MEA02
leyes y reglamentos externos control interno
A E
Monitorear y evaluar el cumplimiento

MEA03
de requerimientos externos
M D
Asegurar el mantenimiento y ajuste del

EDM01
Y A
Compromiso de la alta dirección para hacer marco de gobierno

3
decisiones relacionadas con TI
C
Garantizar la transparencia de los

EDM05
stakeholders
E
APO10 Administrar Proveedores

T

O
BAI06 Gestionar los cambios

LI
DSS03 Gestión de problemas

Administrar los controles de procesos
IB
Gestión de riesgos del negocio relacionados DSS06

del negocio
4 con TI
Monitorear y evaluar el rendimiento y la
B
MEA01
conformidad
Monitorear y evaluar el sistema de
MEA02
control interno
Monitorear y evaluar el cumplimiento
MEA03
de requerimientos externos
Beneficios logrados de inversiones en TI y
5 APO10 Administrar Proveedores
en el portafolio de servicios
Transparencia de los costos, beneficios y BAI09 Gestionar los activos
6
riesgos de TI Garantizar la transparencia de los
EDM05
stakeholders
104

ID
Objetivos de TI ID Proc. Procesos habilitadores
TI
BAI02 Gestionar la definición de requisitos
DSS03 Gestión de problemas
Administrar los controles de procesos
Servicios de TI alineados con los DSS06
del negocio
7 requerimientos del negocio
Asegurar el mantenimiento y ajuste del
EDM01
S
marco de gobierno
A
Garantizar la transparencia de los
EDM05
stakeholders
IC
MEA01
conformidad
S
Uso adecuado de las aplicaciones, Gestionar la transición y aceptación del
S FÍ
8 BAI07
información y soluciones tecnológicas cambio
A S
9 Agilidad de TI
BAI08 Gestión del conocimiento
IC A
Seguridad de la información, infraestructura APO12 Gestionar riesgos
10
T I
de procesamiento y aplicaciones
Á C
M N
BAI09 Gestionar los activos

BAI10 Gestionar la configuración
E IE
Optimización de los activos, recursos y

11 capacidades de TI DSS03 Gestión de problemas
T C

MEA01
conformidad
A E
Habilitación y soporte de los procesos de BAI02 Gestionar la definición de requisitos

M D
12 negocio integrando aplicaciones y Gestionar la transición y aceptación del

tecnología en los mismos BAI07
cambio
Y A
Entrega de programas entregando

C
beneficios a tiempo y en el presupuesto

13 APO12 Gestionar riesgos
cumpliendo con los requisitos y estándares
E
de calidad
T
Disponibilidad de información fiable y útil BAI10 Gestionar la configuración

14
O
para la toma de decisiones DSS03 Gestión de problemas

LI

MEA01
Cumplimiento de TI con las políticas conformidad
15
IB
internas Monitorear y evaluar el sistema de

MEA02
control interno
B
16 Personal de TI cualificado y motivado APO12 Gestionar riesgos

Conocimiento, experiencia e iniciativas para
17 BAI08 Gestión del conocimiento
la innovación empresarial
Tabla 16: Procesos habilitadores de COBIT 5 según los objetivos de TI de la entidad educativa
Finalmente, se presenta la tabla con el detalle del mapeo entre los procesos
habilitadores identificados y los controles establecidos en el punto anterior para el
tratamiento de los riesgos de los activos en la institución.
105

Proceso ID
ID Nombre Control Descripción
Habilitador Control
Se deben identificar y revisar regularmente
los requerimientos de confidencialidad o
Acuerdos de
A.6.1.5 los acuerdos de no-divulgación reflejando
confidencialidad
las necesidades de la organización para la
protección de la información
Desarrollo de El desarrollo de software que ha sido

Administrar
APO10 A.12.5.5 software por tercerizado debe ser supervisado y
Proveedores
terceros monitoreado por la organización
S
Se deben asegurar la protección y
Protección de
privacidad tal como se requiere en la
A
data y privacidad
A.15.1.4 legislación relevante, las regulaciones y, si
de información
IC
fuese aplicable, las cláusulas
personal
contractuales.
S
Reporte de Los eventos de seguridad de la
S FÍ
eventos en la información deben reportarse a través de
A.13.1.1
seguridad de la los canales gerenciales apropiados lo más
información rápidamente posible
A S
Gestionar Se debe requerir que todos los
IC A
APO12 empleados, contratistas y terceros
riesgos T I Reporte de usuarios de los sistemas y servicios de
Á C
A.13.1.2 debilidades en la información tomen nota y reporten
seguridad cualquier debilidad observada o
M N
sospechada en la seguridad de los

E IE
sistemas o servicios.
Se deben documentar y mantener los

T C
Procedimientos
procedimientos de operación, y se deben
A.10.1.1 de operación
poner a disposición de todos los usuarios
documentados
A E
que los necesiten

M D
Se deben establecer los criterios de

aceptación para los sistemas de
Y A
información nuevos, actualizaciones y

Aceptación del
C
A.10.3.2 versiones nuevas y se deben llevar a cabo

sistema
Gestionar la pruebas adecuadas del(los) sistema(s)
E
BAI02 definición de durante su desarrollo y antes de su

requisitos
T
aceptación.
O
A.11.6.2 Aislamiento del Los sistemas sensibles deben tener un

sistema sensible ambiente de cómputo dedicado (aislado).
LI
Los enunciados de los requerimientos

Análisis y
IB
comerciales para sistemas nuevos, o

especificación de
A.12.1.1 mejorar los sistemas existentes deben
los requerimientos
B
especificar los requerimientos de los

de seguridad
controles de seguridad.
Se debe restringir y controlar

Gestionar los Uso de utilidades estrictamente el uso de los programas de
BAI06 A.11.5.4
cambios del sistema utilidad que podrían superar al sistema y
los controles de aplicación
Proceso de
Gestionar la
autorización para Se debe definir e implementar un proceso
transición y A.6.1.4
BAI07 los medios de de autorización gerencial para los nuevos
aceptación del
procesamiento de medios de procesamiento de información
cambio
información
106

Proceso ID
Habilitador Control
Aceptación del
A.10.3.2 versiones nuevas y se deben llevar a cabo
sistema
pruebas adecuadas del(los) sistema(s)
durante su desarrollo y antes de su
aceptación.
Se deben documentar y mantener los

Procedimientos
procedimientos de operación, y se deben
S
A.10.1.1 de operación
poner a disposición de todos los usuarios
documentados
A
que los necesiten
IC
S
Gestión del Aceptación del
BAI08 A.10.3.2 versiones nuevas y se deben llevar a cabo
S FÍ
conocimiento sistema
pruebas adecuadas del(los) sistema(s)
durante su desarrollo y antes de su
aceptación
A S
IC A
Aprendizaje de los Deben existir mecanismos para permitir
incidentes en la cuantificar y monitorear los tipos,
T I
A.13.2.2
seguridad de la volúmenes y costos de los incidentes en la
Á C
información seguridad de la información
M N
Todos los activos deben estar claramente

E IE
Inventarios de identificados; y se debe elaborar y

A.7.1.1
activos mantener un inventario de todos los
T C
activos importantes
Se debe desarrollar e implementar un

A E
Etiquetado y apropiado conjunto de procedimientos

M D
Gestionar los A.7.2.2 manejo de la para etiquetar y manejar la información en

BAI09
activos información concordancia con el esquema de
clasificación adoptado por la organización
Y A
C
Prevención de
Se debe desanimar a los usuarios de
mal uso de
utilizar los medios de procesamiento de la
E
A.15.1.5 medios de
información para propósitos no-
procesamiento de
T
autorizados
información
O
Todos los activos deben estar claramente

LI
Inventarios de identificados; y se debe elaborar y

A.7.1.1
activos mantener un inventario de todos los
IB
activos importantes.
Se debe desarrollar e implementar un

B
Etiquetado y apropiado conjunto de procedimientos

Gestionar la A.7.2.2 manejo de la para etiquetar y manejar la información en
BAI10
configuración información concordancia con el esquema de
clasificación adoptado por la organización
Prevención de
Se debe desanimar a los usuarios de
mal uso de
utilizar los medios de procesamiento de la
A.15.1.5 medios de
información para propósitos no-
procesamiento de
autorizados.
información
Aprendizaje de los Deben existir mecanismos para permitir

Gestión de incidentes en la cuantificar y monitorear los tipos,
DSS03 A.13.2.2
problemas seguridad de la volúmenes y costos de los incidentes en la
información seguridad de la información
107

Proceso ID
Habilitador Control
Se deben realizar copias de back-up o
Back-up o
respaldo de la información comercial y
A.10.5.1 respaldo de la
software esencial y se deben probar
información
regularmente de acuerdo a la política
Las redes deben ser adecuadamente

manejadas y controladas para poderlas
proteger de amenazas, y para mantener la
Administrar los A.10.6.1 Controles de red
seguridad de los sistemas y aplicaciones
controles de utilizando la red, incluyendo la información
DSS06
S
procesos del en tránsito.
negocio
A
Se deben establecer los procedimientos
IC
Procedimientos para el manejo y almacenaje de la
A.10.7.3 de manejo de la información para proteger dicha
información información de una divulgación no
S
autorizada o un mal uso.
S FÍ
Mensajes Se debe proteger adecuadamente los
A.10.8.4
electrónicos mensajes electrónicos
A S
La alta gerencia debe apoyar activamente
Asegurar el
IC A
Compromiso de la la seguridad dentro de la organización a
mantenimiento
gerencia con la través de una dirección clara, compromiso
EDM01 y ajuste del
T I
A.6.1.1
Á C
seguridad de la demostrado, asignación explícita y
marco de
información reconocimiento de las responsabilidades
gobierno
M N
de la seguridad de la información
E IE
La alta gerencia debe apoyar activamente

Compromiso de la la seguridad dentro de la organización a
T C
gerencia con la través de una dirección clara, compromiso

A.6.1.1
seguridad de la demostrado, asignación explícita y
A E
información reconocimiento de las responsabilidades

de la seguridad de la información.
M D
Las actividades de seguridad de la

Y A
Coordinación de información deben ser coordinadas por

A.6.1.2 la seguridad de representantes de las diferentes partes de
C
información la organización con las funciones y roles

laborales relevantes
E
Garantizar la
T
transparencia Asignación de
EDM05 Se deben definir claramente las
responsabilidades
O
de los A.6.1.3 responsabilidades de la seguridad de la

stakeholders de la seguridad de
información
LI
la información
Proceso de
IB
autorización para Se debe definir e implementar un proceso

A.6.1.4 los medios de de autorización gerencial para los nuevos
B
procesamiento de medios de procesamiento de información

información
Se deben identificar y revisar regularmente
los requerimientos de confidencialidad o
Acuerdos de
A.6.1.5 los acuerdos de no-divulgación reflejando
confidencialidad
las necesidades de la organización para la
protección de la información
La alta gerencia debe aprobar un

Revisión de la
Monitorear y documento de política, este se debe
política de
MEA01 evaluar el A.5.1.2 publicar y comunicar a todos los
seguridad de la
rendimiento y la empleados y entidades externas
información
conformidad relevantes
108

Proceso ID
Habilitador Control
Se deben establecer procedimientos para
monitorear el uso de los medios de
Uso del sistema
A.10.10.2 procesamiento de información y el
de monitoreo
resultado de las actividades de monitoreo
se debe revisar regularmente.
La alta gerencia debe aprobar un
Documentar
documento de política, este se debe
política de
A.5.1.1 publicar y comunicar a todos los
seguridad de
empleados y entidades externas
información
S
relevantes
A
La política de seguridad de la información
Monitorear y Revisión de la
IC
debe ser revisada regularmente a
evaluar el política de
MEA02 A.5.1.2 intervalos planeados o si ocurren cambios
sistema de seguridad de la
significativos para asegurar la continua
S
control interno información
idoneidad, eficiencia y efectividad
S FÍ
Se deben establecer procedimientos para
monitorear el uso de los medios de
A S
Uso del sistema
A.10.10.2 procesamiento de información y el
de monitoreo
IC A
resultado de las actividades de monitoreo
T I se debe revisar regularmente.
Á C
Monitorear y
Se deben asegurar la protección y
evaluar el Protección de
M N
privacidad tal como se requiere en la

cumplimiento A.15.1.4 data y privacidad
MEA03 legislación relevante, las regulaciones y, si
E IE
de de información
fuese aplicable, las cláusulas
requerimientos personal
contractuales.
externos
T C
A E
Tabla 17: Procesos habilitadores de COBIT 5 para la entidad educativa

M D
Y A
4.3. Entregables de un SGSI

C
E
4.3.1. Declaración de la Aplicabilidad

T
O
LI
Riesgos a
Nombre Control Adaptación a la UPTP ¿Aplica? Justificación
Controlar
IB
Actualmente la entidad
educativa toma en cuenta la
B
Se deberán proteger las

protección de las distintas
áreas seguras de la
áreas que posee con
Controles de institución mediante controles
algunos controles. Sin
entrada físicos de entrada apropiados para R43 Si
embargo, estos no son los
asegurar que sólo se permita
adecuados conforme a las
acceso al personal
nuevas políticas de
autorizado
seguridad de información
propuestas
109

Riesgos a
Controlar
La UPTP toma en
consideración las
Seguridad de Se deberán diseñar y aplicar
recomendaciones por parte
oficinas, controles de seguridad
R43 Si de Defensa Civil con
habitaciones y físicos en las oficinas,
respecto a la seguridad en
medios habitaciones y medios.
aulas y en otros ambientes
físicos
S
Los equipos electrónicos Si bien la institución tiene
A
críticos deberán estar algunas políticas para la
ubicados de tal manera que seguridad de los equipos
IC
Ubicación y
ayudarán a reducir los electrónicos, estas no son
protección del R42 Si
riesgos de las amenazas y las más adecuadas. Estas
S
equipo
peligros ambientales, y las se ajustarán con respecto al
S FÍ
oportunidades para el acceso nivel de seguridad deseado
no autorizado. por la misma organización
A S
Los equipos electrónicos
IC A
críticos deberán ser
La UPTP no posee algún
T I
protegidos de fallas de
Á C
control con respecto a las
Servicios energía y otras
R2,R3 Si fallas de energía pero sabe
M N
públicos interrupciones causadas por

de la criticidad de dichos
fallas en los servicios
E IE
controles
eléctricos o de
telecomunicaciones
T C
Los gastos a invertir en una

A E
El cableado eléctrico y de las reestructuración del

telecomunicaciones que cableado de energía en
M D
llevan data o sostienen los toda la sede de la

Seguridad en el R3,R7,R8
Y A
servicios de información de la No universidad se

cableado R10
institución deberán ser incrementarían, excediendo
C
protegidos mediante tubos u lo planeado para la

E
otros controles implantación de los

controles
T
O
Los equipos deberán pasar

La UPTP aún no posee
por mantenimiento 1 vez
LI
políticas sobre el
mensual para asegurar la
Mantenimiento R2,R3 mantenimiento de los
IB
continuidad de los sistemas y Si

de equipo R21 equipos, sino que el
demás aplicativos que dan
mantenimiento es bajo
soporte a los procesos
B
demanda
críticos
110

Riesgos a
Controlar
Los directivos de la UPTP

deberán asegurar que los
requerimientos y criterios de
aceptación de los sistemas Este es un control que la
nuevos estén claramente Alta Dirección desea
definidos, aceptados, R21,R22 implantar. Previamente han
Aceptación del
documentados y probados. R25,R27 Si tenido varios problemas con
sistema R31
Los sistemas de información la falta de pruebas en los
S
nuevos, las actualizaciones y sistemas desarrollados
A
las versiones nuevas internamente
deberán pasar a producción
IC
luego de obtener la
aceptación formal.
S
S FÍ
La protección contra códigos
maliciosos se deberá basar
Adicionalmente a la falta de
A S
en la detección de códigos
pruebas, es necesario
Controles contra maliciosos dentro de los
IC A
R21,R25 implementar controles para
software sistemas de la UPTP y la Si
R31 la detección y prevención
malicioso
T I
reparación del software,
Á C
de ataques maliciosos a los
conciencia de seguridad, y
sistemas
M N
los apropiados controles de

acceso a los sistemas.
E IE
La UPTP deberá La institución tiene

T C
proporcionar medios de actualmente políticas de

Back-up o respaldo adecuados para R58,R60 respaldo de información, sin
A E
respaldo de la asegurar que toda la R69,R71 embargo estas no son las

Si
M D
información información esencial y crítica R76,R78 más adecuadas. Estas se

se pueda recuperar después R86 ajustarán con respecto al
Y A
de algún desastre o falla de nivel de seguridad deseado

C
medios por la misma organización

E
El área de Sistemas de la
T
UPTP deberá implementar La seguridad de la

controles para asegurar la R7,R8 arquitectura de Red es
O
Controles de red
seguridad de la información R10,R39 Si crítica para la institucion ya
LI
en las redes, y proteger los R40 que manejan varios

servicios conectados de sistemas interconectados
IB
accesos no-autorizados
B
Se deberán establecer
procedimientos para la R45,R48 Este control se relaciona
manipulación, R53,R56
Procedimientos directamente a las políticas
procesamiento, R64,R67
de manejo de la Si de seguridad de
almacenamiento y R74,R81
información R84,R89 información que la
comunicación de la
R92,R95 institución implementará
información consistente con
su clasificación
111

Riesgos a
Controlar
Se deberán establecer
políticas, procedimientos y
controles para proteger el R45,R48 Este control se relaciona
Procedimientos y intercambio de información R53,R56 directamente a las políticas
políticas de que se dé en la sede de la R64,R67
Si de seguridad de
información y institución a través de todos R74,R81
R84,R89 información que la
software los tipos de medios de
R92,R95 institución implementará
comunicación que se maneje
S
(teléfonos, correo electrónico,
A
etc.).
IC
Aun no se tiene ningún
control con respecto al
S
La UPTP deberá manejar
correo electrónico. Sin
distintas políticas y controles
S FÍ
embargo, se deberá
Mensajes que le permitan manejar de
R31,R34 Si considerar ya que el mayor
electrónicos manera segura el
flujo de información entre
A S
intercambio de información
los colaboradores de la
IC A
vía Email.
T I institución se da a través de
esta vía.
Á C
La UPTP deberá producir
M N
Si bien es cierto que aún no

logs de auditoría,
se posee con mecanismos
E IE
excepciones y eventos de
de monitoreo y registro de
seguridad de información.
acciones para auditorias, es
T C
Registro de Estos registros se deben

R32 Si algo necesario a
auditoria mantener durante un período
implementar si es que se
A E
determinado para ayudar en

quiere lograr el nivel de
M D
investigaciones futuras y
seguridad deseado por la
monitorear los sistemas y
institución
Y A
aplicativos que se necesiten

C
La UPTP deberá determinar

E
el nivel de monitoreo
requerido para los medios La compra e implantación
T
individuales mediante una de un sistema de monitoreo

O
Uso del sistema evaluación del riesgo. no está dentro de las

R32 No
LI
de monitoreo Asimismo, deberá cumplir prioridades de la institución.

con los requerimientos Este control puede
IB
legales relevantes aplicables implementarse en el futuro

para sus actividades de
B
monitoreo
R16,R19 La institución maneja

R24,R26 procedimientos para la
La UPTP deberá manejar un
R30,R34 asignación y eliminación de
procedimiento formal para la R37,R46 usuarios dentro de sus
Inscripción del inscripción y des-inscripción R49,R51 sistemas de información,
usuario para otorgar acceso a los R54,R57 Si
R62,R65 sin embargo estos no son
usuarios de todos los
R68,R75 los más adecuados. Se
sistemas y servicios de
R82,R85 ajustarán con respecto al
información que posea.
R90,R93 nivel de seguridad deseado
R96 por la misma organización
112

Riesgos a
Controlar
La institución maneja
Los sistemas multi-usuario procedimientos para la
de la institución que asignación de accesos y
requieren protección contra privilegios dentro de los
Gestión de R16,R24
el acceso no autorizado sistemas de información,
privilegios R30,R34 Si
deberán controlar la R37 sin embargo estos no son
asignación de privilegios a los más adecuados. Se
través de un proceso de ajustarán con respecto al
S
autorización formal nivel de seguridad deseado
A
por la misma organización
IC
El área de Sistemas deberá
La institución gestiona las
S
proporcionar directrices para
contraseñas dentro de los
S FÍ
la gestión para las
sistemas de información
contraseñas de los distintos
Gestión de la R6,R29 que posee, sin embargo no
sistemas de información que Si
A S
clave del usuario R38 hay políticas formales.
la institución posea. Estas
Estas se crearán para
IC A
políticas pueden abarcar la
mantener un estándar en
generación, cambio y entrega
T I todos los sistemas.
Á C
de la contraseña
M N
El área de Sistemas deberá El área de Sistemas ya

E IE
proporcionar políticas para maneja políticas para la

las contraseñas de sesiones gestión de contraseñas de
T C
de Windows de los los usuarios que tengan

Sistema de R6,R29
colaboradores con acceso a Si acceso a una PC y a
R38
A E
gestión de claves
una PC. Estas políticas Windows. Sin embargo,
M D
pueden abarcar la estas se ajustaran para

generación, cambio y entrega lograr una mayor seguridad
Y A
de la contraseña. en Windows
C
El área de Sistemas deberá El área de Sistemas ya

E
proporcionar políticas para maneja políticas para la

T
las contraseñas de los gestión de contraseñas de

distintos sistemas de los usuarios que tengan
O
R6,R29
Uso de clave información que la UPTP Si acceso a una PC y a
R38
LI
posea. Estas políticas Windows. Sin embargo,

deberán seguir buenas estas se ajustaran para
IB
prácticas de seguridad en la lograr una mayor seguridad

selección y uso de claves en Windows
B
Dentro de las políticas de

Todos los usuarios de la
seguridad que se
UPTP deberán estar al tanto
implantarán, esta es una
de los requerimientos de
que la institución considera
Equipo de seguridad y los
importante ya que hasta la
usuario procedimientos para proteger R1 Si
fecha no se ha podido
desatendido su respectivo equipo
implantar una
desatendido, así como sus
concientización en
responsabilidades para
seguridad en los mismos
implementar dicha protección
usuarios
113

Riesgos a
Controlar
La políticas de escritorio Dentro de las políticas de

limpio y pantalla limpia que la seguridad que se
alta dirección proporcione implantarán, esta es una
deberá tomar en cuenta las que la institución considera
Política de
clasificaciones de importante ya que hasta la
pantalla y R1,R5 Si
información, requerimientos fecha no se ha podido
escritorio limpio
legales y contractuales y los implantar una
correspondientes riesgos y concientización en
S
aspectos culturales de la seguridad en los mismos
A
organización usuarios
IC
Se deberá formular una
S
política relacionada con el En conjunto con las
uso de las redes y los políticas de accesos a los
S FÍ
servicios de la red, de tal sistemas y siguiendo las
Política sobre el
manera que los usuarios de políticas de seguridad de
uso de servicios R40 Si
A S
la institución sólo deberán información, la institución
en red
IC A
tener acceso a los servicios buscara formular una
para los cuales han sido política para el uso de
T I
específicamente autorizados redes y servicios de red.
Á C
a usar
M N
E IE
Todos los usuarios de los

sistemas de la UPTP
T C
deberán tener un
identificador singular (ID de
Al igual que se busca
A E
usuario) para su uso

manejar adecuadamente la
M D
personal y exclusivo
Identificación y gestión de usuarios dentro
(incluyendo el personal de
autenticación del R5,R6 Si de los sistemas de la
Y A
soporte técnico, operadores,

usuario UPTP, también se busca
administradores de redes,
C
gestionar la autenticación
programadores de sistemas y
de los usuarios de Windows
E
administradores de bases de
T
datos) para poder verificar la

identidad de la persona que
O
acceda a la PC
LI
Se restringirá y controlará
IB
estrictamente el uso de los

programas de utilidad que Sigue la política de accesos
B
Uso de utilidades podrían ser capaces de R16,R19 de usuarios que la

Si
del sistema superar los controles de R24,R30 organización piensa
Windows y de las implantar
aplicaciones a las cuales el
usuario tiene acceso
Las sesiones inactivas de los La institución aún no posee

usuarios de Windows un auto-deslogeo del
deberán cerrarse después de sistema pero es algo que el
Sesión inactiva R1 Si
un período de inactividad área de Sistemas piensa
definido por el área de implantar para aumentar la
Sistemas. seguridad
Tabla 18: Declaración de la Aplicabilidad
114

S
A
IC
S
S FÍ
V: DISCUSION DE RESULTADOS
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
115

 A fin de aplicar el Diseño del SGSI en base a los controles de Cobit5, se eligió
la UPTP.
 Se realizó la Recolección de Información Actual y Análisis de Datos de la

Universidad, encontrándose Ausencia de Controles y alta amenaza de
vulnerabilidad. Evidenciándose en la falta de políticas y procedimientos de
S
seguridad, falta de confidencialidad, en la información, en las claves de acceso,
A
falta de seguridad en la infraestructura, mal manejo de antivirus, alta presencia
IC
de Spam y un servicio de cómputo deficiente.
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
 A fin de aplicar el nuevo diseño, se identificó los activos, valorizándolos en

E
función a su integridad, disponibilidad y confidencialidad.

T
O
LI
IB
B
116

 Después de valorizar los activos de la Universidad, se logró aplicar el plan del

tratamiento de riesgos, los controles para el tratamiento del riesgo, mapeo de
los controles con Cobit 5, permitiendo obtener la Declaración de la
aplicabilidad. Al aplicar la declaración, permitió mejorar las políticas y
procedimiento de seguridad, confidencialidad de la información, de claves de
acceso, seguridad en la infraestructura, manejo de antivirus, disminución de
spam y mejora en el servicio de cómputo.
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
117

S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
VI: CONCLUSIONES Y RECOMENDACIONES

A E
M D
Y A
C
E
T
O
LI
IB
B
118

6.1. Conclusiones
 El implementar una política de seguridad y que los colaboradores la conozcan

e interiorizan, es de gran utilidad cuando se quiere implementar cualquier
sistema de gestión en una organización, ya que les da una visión clara de
cómo sus labores cotidianas aportan para el mantenimiento y mejora de un
sistema de gestión empresarial.
 Aún después de implementar un buen sistema de gestión de seguridad de
S
información, en el futuro se presentan más activos de información, más
A
amenazas, vulnerabilidades y por lo tanto, mayores riesgos. Este escenario no
IC
se puede evitar; es por ello que se concluye, que se debe estar preparado para
S
actuar de manera inmediata ante cualquier nueva vulnerabilidad que se
S FÍ
identifique.
 Diseñando una buena metodología para gestionar los riesgos y ejecutando los
A S
IC A
planes de tratamiento de riesgos planteados, se logra reducir a niveles
T I
aceptables gran porcentaje de riesgos que afecten a los activos de
Á C
información.
M N
 El factor humano es crítico para la implementación de cualquier sistema de

E IE
gestión organizacional es por ello que la formación y concientización de los

T C
mismos es indispensable para lograr una implementación exitosa.

 Muchas veces las empresas crecen de manera desordenada, crecen con
A E
paradigmas equivocados, algunos quieren documentar todo lo que se pueda,

M D
otras creen que documentar los procesos es una pérdida de tiempo.

Y A
C
Conforme a las observaciones, si bien los controles ayudan a mitigar o reducir algún
E
riesgo identificado, algunos de estos no aplican a la realidad de la UPTP en particular

T
por diversos factores. Estos factores son importantes que se detallen dentro de la
O
justificación de la aplicabilidad de dichos controles, la cual se especifica dentro del

LI
documento de la Declaración de Aplicabilidad que es un entregable de la presente

IB
tesis.
B
Finalmente, cabe resaltar que si no se cuenta con el apoyo de los directivos de la

UPTP, no se contara con el soporte necesario para lograr los objetivos del SGSI.
Asimismo, si el personal de la organización no sigue las políticas y lineamientos
propuestos por los directivos siguiendo dicho SGSI, no se obtendrá el nivel adecuado
de seguridad en los flujos de información.
De lo anterior se concluye que la documentación de los procesos es una herramienta
poderosa para el mantenimiento y mejora de cualquier sistema de gestión
organizacional.
119

6.2. Recomendaciones
 Se recomienda mantener una constante revisión de la política del SGSI y

verificar el cumplimiento de la misma por parte de los empleados de la
organización.
 Se recomienda establecer los mecanismos que permitan la identificación de
nuevos activos de información, y también la cultura organizacional para tomar
S
acciones correctivas frente a nuevas vulnerabilidades, amenazas o riesgos
A
detectados; y con base en esa información tomar acciones preventivas.
IC
 Se recomienda seguir con la utilización de una metodología para gestionar los
S
riesgos; ya que, de esta manera se puede lograr una reducción en los riesgos
S FÍ
a los cuales son sometidos los activos de información y también se puede
hacer lo mismo para nuevos riesgos que aparezcan.
A S
 Se recomienda formar y capacitar de manera periódica al personal en temas
IC A
de seguridad de la información y así lograr que todos los involucrados o
T I
Á C
relacionados con los activos de información tengan los alcances de la
M N
implementación claros.
E IE
 Se recomienda realizar una documentación de procesos para poder gestionar

los mismos de manera óptima y hacer frente a cualquier cambio que se pueda
T C
dar en la organización. La documentación de procesos también nos permite la

A E
mejora de estos
M D
Y A
C
E
T
O
LI
IB
B
120

S
A
IC
S
S FÍ
A S
VII: REFERENCIAS BIBLIOGRAFÍAS
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
121

7.1. Fuentes bibliográficas
[01] Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). Compendio: Sistema

de Gestión de la Seguridad de La Información: SGSI. Bogotá. 2006.
[02] Alexander Marcombo. Diseño De Un Sistema De Seguridad Informática. Alfaomega.
México, 2007.
[03] Carozo E., Freire G., Martínez G., “Análisis del Sistema de Gestión de Seguridad de la
Información de ANTEL”, ANTEL.
S
[04] UNIT - ISO/IEC 27001:2005. “Tecnología de la información – Técnicas de Seguridad –
A
Sistemas de gestión de la seguridad de la información – Requisitos”.
IC
[05]International Organization of Standardization and International
S
ElectrotechnicalCommission. ISO/IEC 27001:2005 Tecnología de la información – Técnicas de
S FÍ
seguridad – Sistemas de gestión de seguridad de la información – Requerimientos. Primera
edición, 2005.
A S
[06] Daltabuit, E., Hernández, L., Mallen, G. & Vásquez, J. (2007). La seguridad de la
IC A
información. Mexico. Ediciones Limusa.
T I
Á C
[07] Del Carpio, G. Análisis del riesgo en la administración de proyectos de tecnología de
M N
información. (2007)
E IE
[08] Alexander, Alberto G. Diseño de un Sistema de Gestión de Seguridad de Información.

Primera edición. Colombia: Alfaomega, 2007.
T C
[09]ISO 27001:2005 Tecnología de la Información – Técnicas de seguridad – Sistemas de

A E
seguridad de la información - Requerimientos.

M D
[10] ISO 27002:2005 Tecnología de la Información – Técnicas de seguridad – Código para

Y A
la práctica de la gestión de la seguridad de la información.

C
[11] Toro, M. 2014. Plan de seguridad de la información ISO 27002 Vs COBIT. Normas y
E
Calidad. ICONTEC. Cuarta edición.

T
[12] Moreno, F. 20013. La ISO/IEC 27005 en la búsqueda de información más segura.

O
Normas y Calidad. ICONTEC. Cuarta edición

LI
IB
7.2. Fuentes Electrónicas
[13] Wikipedia. (2015). Seguridad de la información. Disponible en:

B
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n.
[14] http://www.iso27000.es/download/doc_sgsi_all.pdf
[15] https://www.isaca.org/cobit/Documents/COBIT-5-Introduction.pdf
[16] mmc.geoFÍSICA.unam.mx. (2003). Políticas de seguridad. Disponible en:
http://mmc.geoFÍSICA.unam.mx/LuCAS/Manuales-LuCAS/docunixsec/unixsec-
html/node333.html.
[17] Iso27001certificates. Disponible en: http://www.iso27001certificates.com
122

7.3. Tesis
[18] María Eugenia Corti. “Análisis y automatización de la implantación de SGSI en Empresas
Uruguayas”. Tesis de maestría, Universidad de la República, Facultad de Ingeniería, 2006.
[19] Nivel De Acceso Lógico Basado En La Norma ISO/IEC 27001 En La Comunidad Provincia
De Nuestra Señora De Gracia De Colombia. Proyecto de Grado, Ingeniería de Sistemas,
Fundación Universitaria Konrad Lorenz. Bogotá, Colombia 2010.
[20] Mujica, M. 2007. Diseño de un Plan de Seguridad Informática para la Universidad
S
Nacional Experimental Politécnica “Antonio José de Sucre” Sede Rectoral. Trabajo de grado.
A
Universidad Centroccidental “Lisandro Alvarado”. Barquisimeto. Venezuela.
IC
[21] Nelly, R. 2005. “Diseño e Implantación de un Esquema de Seguridad para el
Intercambio de Información de FARMASALUD” Trabajo de grado. Universidad Metropolitana.
S
Caracas. Venezuela.
S FÍ
[22] Castro Alfonso Favián & Díaz Verano, Fabián A. Análisis De Vulnerabilidades A Nivel De
A S
Acceso Lógico Basado En La Norma ISO/IEC 27001 En La Comunidad Provincia De Nuestra
IC A
Señora De Gracia De Colombia. Proyecto de Grado, Ingeniería de Sistemas, Fundación
T I
Universitaria Konrad Lorenz. Bogotá, Colombia 2010.
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
123

S
A
IC
S
S FÍ
A S
IC A
VIII: ANEXOS
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
124

Anexo 01
ENCUESTA SOBRE SEGURIDAD DE LA INFORMACIÓN
Dirigido a los Docentes y/o Administrativos de la Universidad Privada de Trujillo-Perú.

Objetivos:
 Conocer que tan involucrados se encuentran los docentes y/o administrativos en el
resguardo de la Tecnología de Información.
 Saber si los docentes y/o administrativos utilizan de manera óptima las tecnologías de
S
A
información y de qué manera ayudarían a salvaguardar la misma.
IC
Instrucciones:
Para desarrollar este cuestionario, usted debe leer cada pregunta y escoger una de las
S
alternativas propuestas con una “X” dentro de los paréntesis o llenar dentro de las líneas
S FÍ
punteadas según sea su criterio.
A S
1. Sexo:
IC A
T I
Á C
Masculino ( ) Femenino ( )
M N
2. Cargo del Informante: …………………….……………………………………………………………

E IE
3. A qué departamento académico pertenece (Si es docente):..………………………....................

4. En alguna ocasión recibió ayuda de algún alumno o de algún asignado de ocupación
T C
temporal (bolsa de trabajo) en alguna de las siguientes actividades dentro de la universidad:

A E
a. Llenando o elaborando algún documento de la universidad ( )

M D
b. Pasando información en Word, Excel, Power Point, etc. ( )

Y A
c. Ingresando a su correo de la UPTP y enviando mensajes a través de el ( )

C
d. Clasificando documentos de la universidad ( )

E
e. Otros, Especificar………………………………………………………... ( )
T
f. Ninguno. ( )
O
5. Puede identificar a las personas que no trabajan y no estudian en la UPTP

LI
SI ( ) NO ( )
IB
Si tu respuesta es Sí, fue por medio de:

a. Fotochet de la empresa en que trabaja ( )
B
b. Indumentaria ( )
c. Fotochet de visitante (entregado por la UPTP) ( )
d. Otros, Especificar…….………………………… ( )
e. Ninguno
6. Usted apaga los equipos informáticos debidamente después de utilizarlos
SI ( ) NO ( )
Si tu respuesta es Sí, Cómo apagas tu equipo después de trabajar
a. Apagando directamente el estabilizador. ( )
b. Desenchufando el cable de energía de la computadora. ( )
125

c. Manteniendo presionando el botón de apagado del CPU. ( )

d. Haciendo clic en el botón de apagado del menú del sistema operativo. ( )
e. Bajando la llave de energía. ( )
f. Otros, Especificar……………………………………………………….. ( )
g. Ninguno. ( )
7. Se siente seguro en los ambientes donde se encuentran los equipos informáticos dentro de
la universidad frente a cualquier desastre natural o humano
SI ( ) NO ( )
S
A
8. Ha observado algún extinguidor cerca de los equipos informáticos
IC
SI ( ) NO ( )
9. Ha observado algún tipo de señalización de emergencia en los ambientes donde existen
S
equipos informáticos
S FÍ
SI ( ) NO ( )
A S
10. Sabe utilizar de forma adecuada un extintor
IC A
SI ( ) NO ( ) T I
Si la respuesta es Sí; Lo aprendió a utilizar a través de:
Á C
a. Charlas y capacitaciones fuera de la Universidad ( )
M N
b. Charlas y capacitaciones dentro de la Universidad ( )

E IE
c. Manuales de extintor ( )
T C
d. Internet ( )
A E
11. Ha participado de algún simulacro frente a cualquier desastre natural o humano,

M D
especialmente en áreas donde hay equipos informáticos

SI ( ) NO ( )
Y A
Si tu respuesta es No;
C
Como nos sugieres que se realice y cada que tiempo:

E
T
……………………………………………………………………………………………………….
O
12. Ha observado que algún alumno o compañero de trabajo de la UPTP ha bebido líquidos o
LI
ingerido algún alimento cuando realiza algún trabajo en la computadora

SI ( ) NO ( )
IB
13. Ha manipulado alguna vez las entradas de corriente al CPU, los cables del teclado, mouse
B
y conexiones de red que conectan al CPU para hacerlos funcionar

SI ( ) NO ( )
14. Usted cree que debe sentirse responsable e identificarse con el equipo informático que usa
o utilizará en algún momento dentro de la UPTP
SI ( ) NO ( )
15. Si en el transcurso del uso de su equipo informático se detecta alguna actividad

sospechosa como ingresando a lugares restringidos, usted sería capaz de afrontarla (por
la responsabilidad que asume en ese determinado momento sobre el equipo asignado)
126

SI ( ) NO ( )
16. Hace usted uso de los antivirus en los equipos informáticos de la UPTP cuando ingresa o
saca información en algún dispositivo de almacenamiento
Si ( ) A veces ( ) Nunca ( )
17. Que hace cuando detecta un virus en la computadora de la UPTP
a. Activa el antivirus ( )
b. Activa el antivirus, detecta los virus y los elimina ( )
c. Borra el archivo ( )
S
A
d. Formatea el dispositivo de almacenamiento ( )
IC
e. No hago nada (Por qué no sé) ( )
f. Otros, Especificar……………………………….. ( )
S
18. Usted ha detectado que el antivirus de la UPTP funciona adecuadamente y que se
S FÍ
encuentra actualizado
A S
SI ( ) NO ( )
IC A
19. Tu clave de acceso es la misma para todos los servicios que te brinda el Portal Web de la
T I
UPTP
Á C
SI ( ) NO ( )
M N
Normalmente tu clave hace referencia a:

E IE
a. Su nombre y apellido ( )
T C
b. Su fecha de nacimiento ( )
A E
c. Teléfono (de casa o móvil) ( )

M D
d. Nombre de su esposo(a) o hijo(a) ( )

e. No comparte con nadie su clave ( )
Y A
20. Y si nunca cambio su clave, cuál es y porque motivo no lo hizo

C
……………………………………………………………………………………………………………….
E
21. La Clave con la cual ingresa al portal Web de la UPTP es conocida también por:
T
O
a. Un compañero de trabajo ( )
LI
b. Mi esposo(a) o hijo(a) ( )
c. Algún alumno ( )
IB
d. Otros, Especifica……………………………………….… ( )
B
22. Cada que tiempo cambia su clave del portal WEB de la UPTP
Cada 7 días ( ) Cada 15 días ( ) Cada 30 días ( ) Cada año ( ) Nunca ( )
23. Qué tan veloz es el acceso al portal WEB dentro o fuera de la UPTP
a. Es más rápido dentro de la universidad que fuera de ella ( )
b. Es más lenta dentro de la universidad que fuera de ella ( )
c. Es igual en ambos lugares ( )
24. Utiliza el servicio de correo electrónico que se le asigna en la UPTP
SI ( ) NO ( )
Si su respuesta es Sí; Con qué frecuencia recibe correos no deseados o spam:
127

a. De 1 a 10 correos al día ( )
b. De 10 a 20 correos al día ( )
c. De 20 a más correos al día ( )
25. Usted ha utilizado alguna Laptop dentro de la universidad
SI ( ) NO ( )
Si su respuesta es Sí; Ha recibido algún mensaje en el cual le comunique que su equipo
ha sido registrado y puede acceder a la red
SI ( ) NO ( )
S
A
26. Usted recibió alguna capacitación acerca de Seguridad de la Información en la UPTP
IC
SI ( ) NO ( )
27. Le interesaría conocer o tener un mayor conocimiento de lo que refiere a Seguridad de la
S
Información
S FÍ
SI ( ) NO ( )
A S
Si le interesaría conocer más acerca del tema de Seguridad de la Información, a través de
IC A
que medio te gustaría ser informado:
T I
a. Folletos y boletines ( )
Á C
b. Charlas o conferencias ( )
M N
c. Foros a través del portal WEB de la UPTP ( )

E IE
d. Como parte de algún curso en tu carrera ( )

T C
e. Otros, Especifique: ………………………. ( )

A E
28. Usted ha realizado alguna de las siguientes actividades en su PC:

M D
a. Instalando algún software que necesitaba ( )

b. Haciendo limpieza de componente de su PC (teclado, mouse, cpu, etc.) ( )
Y A
c. Desarmando el CPU por algún sonido o falla ( )

C
d. Otros, Especifique……………………………………………………….. ( )
E
e. Ninguna ( )
T
O
29. ¿Qué hace usted cuando uno de sus componentes o aplicativos no funcionan
LI
correctamente en su PC?
a. Intenta arreglarlo ( )
IB
b. Lo arregla mi compañero de trabajo más cercano ( )

B
c. Llamo a un técnico de taller de computo ( )

d. No sé qué hacer en esos momentos (Pido sugerencias a mi compañero más cercano)(
)
30. ¿Con qué frecuencia solicita usted que se le realice mantenimiento a la PC que se le
asigno?
Mensual ( ) Trimestral ( ) Semestral ( ) Anual ( ) Nunca ( )
31. ¿Con qué frecuencia solicita que le revisen su PC frente a cualquier falla?
A veces ( ) Casi Siempre ( ) Nunca ( )
32. Cree usted que su equipo se encuentra seguro frente a cualquier peligro como:
128

a. Acceso a sus cuentas personales ( )

b. Ingreso de Virus ( )
c. Existencia de un extinguidor o medida de seguridad de los equipos cerca ( )
d. No lo sé ( )
e. Otros, Especificar……………………………………….. ( )
33. Cada vez que sufre algún inconveniente con la PC o aplicación la cual desea trabajar,
porque medio informa o reporta el inconveniente:
a. Teléfono (anexo) ( )
S
A
b. Correo electrónico al área de cómputo ( )
IC
c. Voy físicamente a buscar algún encargado de cómputo ( )
d. Espero que pasen por mi área de trabajo ( )
S
e. Otros, Especifique……………………………………………… ( )
S FÍ
f. Ninguna ( )
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
129

Anexo 02
Resultados de Procesamiento de Información de Docentes y
Administrativos
Distribución porcentual de los Docentes y/o Administrativos de la UPTP acerca de SGSI,

según sexo.
Frecuencia Porcentaje
S
Masculino 23 53,3
A
Femenino 21 46,7
IC
Total 44 100,0
S
S FÍ
A S
según ayuda por parte de un estudiante o asignado como ocupación temporal (bolsa de
IC A
trabajo) dentro de la universidad.
T I
Á C
M N
E IE
llenando o elaborando algún documento de la universidad 6 14,7

T C
pasando información en Word, Excel, Power Point, etc. 9 21,3

Ingresando a su correo de la UPTP y enviando mensajes a
A E
2 2,7
través de él
M D
Clasificando documentos de la universidad 4 5,3

Y A
Otros 5 13,3
C
Ninguno 18 42,7
E
Total 44 100,0
T
O

LI
según identificación de personas que no trabajan ni estudian en la universidad.

IB
B
Si 11 25,3
No 33 74,7
Total 44 100,0

a modo de que identifican a las personas que no trabajan ni estudian en la UPTP.
130

Fotochet de la empresa para la cual
2 11
trabajo
Indumentaria 6 32.7
Fotochet de visitante (entregado por la
2 10
UPTP)
Otros 1 5.8
S
Ninguno 8 40.5
A
Total 19 100,0
IC
S
S FÍ
según el apagado debido de los equipos informáticos después de utilizarlos.
A S
IC A Frecuencia Porcentaje
T I
Á C
Si 42 96,0
M N
No 2 4,0
E IE
Total 44 100,0
T C
A E

M D
según la manera en apagan los equipos informáticos después de utilizarlos.

Y A
C
Apagando directamente el estabilizador 2 5,6

E
Manteniendo presionando el botón de apagado del CPU 3 6,9

T
Haciendo clic en el botón de apagado del menú del sistema

33 76,4
O
operativo
Bajando la llave de energía 2 2,8
LI
Otros 4 8,3
Total 44 100,0
IB
B

según la seguridad que tiene en los ambientes en los que se encuentran los equipos
informáticos frente a un desastre natural o humano.
Si 20 45,3
No 24 54,7
Total 44 100,0
131


según observo existe algún extintor cerca de los equipos informáticos.
Si 21 49,3
No 23 50,7
Total 44 100,0
S
A
IC
S
según observo existe alguna tipo de señalización de emergencias en los ambientes que
S FÍ
se encuentran los equipos informáticos.
A S
IC A
T I Si 16 37,3
Á C
No 28 62,7
M N
Total 44 100,0
E IE
T C

A E
según el manejo adecuado de un extintor.

M D
Y A
C
Si 19 44,0
E
No 25 56,0
T
Total 44 100,0
O
LI

IB
según el medio por el cual aprendió a utilizar correctamente un extinguidor.

B
Charlas y capacitaciones fuera de la Universidad 15 45
Charlas y capacitaciones dentro de la Universidad 8 24
Manuales de extintor 4 12
Internet 6 19
Total 33 100,0
132


según la participación de simulacros frente a cualquier desastre específicamente en
áreas donde hay equipos informáticos.
Si 12 26,7
No 32 73,3
S
Total 44 100,0
A
IC
S
según observo algún compañero de trabajo o estudiante bebe líquidos o ingiere
S FÍ
alimentos cuando se encuentra trabajando con algún equipo informático.
A S
IC A
T I Frecuencia Porcentaje
Á C
Si 26 60,0
M N
No 18 40,0
E IE
Total 44 100,0
T C
A E

M D
según la manipulación de componentes del equipo informático de manera que si sufrió

algún inconveniente este funcione.
Y A
C
E
T
Si 26 58,7
O
No 18 41,3
LI
Total 44 100,0
IB

B
según la responsabilidad que asumiría si se le detecta realizando actividad sospechosa

como el ingreso a lugares restringidos.
Si 40 90,7
No 4 9,3
Total 44 100,0
133


según el uso de los antivirus en los equipos informáticos cuando ingresa o saca
información en algún dispositivo de almacenamiento.
Si 18 40,0
A veces 14 30,7
S
Nunca 12 29,3
A
Total 44 100,0
IC
S
S FÍ
según lo que realiza cuando detecta un virus en los equipos informáticos.
A S
Activa el antivirus
IC A 8 18,7
T I
Á C
Activa el antivirus detecta los virus y los
21 48,0
M N
elimina
E IE
Borra el archivo 5 12,0

No hago nada (porque no se) 4 8,0
T C
Otros 6 13,3
A E
Total 44 100,0
M D
Y A

C
según el buen funcionamiento de los antivirus instalados y su adecuada actualización.

E
T
O
Si 22 49,3
LI
No 22 50,7
IB
Total 44 100,0
B

según los servicios brindados por el portal Web de la UPTP utiliza una misma cuenta de
usuario y clave de acceso.
Frecuenci Porcentaj
a e
Si 27 61,3
No 17 38,7
Total 44 100,0
134


según a que hace referencia la clave de acceso que utilizan los usuarios.
Su nombre y apellido 15 34,7
Teléfono (de casa o móvil) 3 5,3
Nombre de su esposo (a) o
S
1 2,7
A
hijo (a)
IC
Otros 25 57,3
Total 44 100,0
S
S FÍ
A S
IC A
según el grado de confidencialidad de la clave con la que ingresa al Portal Web de la
T I
Universidad.
Á C
M N
E IE
Un compañero de trabajo 14 33,3

T C
Mi esposo(a) o hijo(a) 2 2,7

Algún alumno 2 2,7
A E
M D
No comparte con nadie su

26 61,3
clave
Y A
Total 44 100,0
C
E
T

O
según el tiempo que cambia su clave para acceder al Portal Web de la UPTP.
LI
IB
Cada 7 días 2 2,7

B
Cada 30
3 5,3
días
Cada año 8 20,0
nunca 31 72,0
Total 44 100,0
135


según el lugar del cual accede al Portal Web de la Universidad.
Es más rápido dentro de la universidad que fuera
26 60,0
de ella
Es más lenta dentro de la universidad que fuera
4 6,7
S
de ella
A
Es igual en ambos lugares 14 33,3
IC
Total 44 100,0
S
S FÍ
A S
según el uso del servicio de correo electrónico que se le asigna en la Universidad.
IC A
T I
Á C
M N
Si 42 97,3
E IE
No 2 2,7
Total 44 100,0
T C
A E
M D

Y A
según la frecuencia con la que recibe correos no deseados o spam.

C
E
T
De 1 a 10 correos al día 34 78,7

O
De 10 a 20correos al día 4 9,3

LI
De 20 a más correos al día 6 12,0

Total 44 100,0
IB
B

según el uso de una computadora portátil dentro de la Universidad.
Si 23 50,7
No 21 49,3
Total 44 100,0
136


según se muestre o autorice mediante un mensaje que comunique que el equipo portátil
utilizado dentro de la Universidad se registró y puede acceder a la red.
Si 11 24,6
No 33 75,4
Total 44 100,0
S
A
IC
S
según capacitaciones recibidas acerca de seguridad de la información en la Universidad.
S FÍ
A S
IC A Si 6 13,3
T I
Á C
No 38 86,7
M N
Total 44 100,0
E IE
T C

según el interés de conocer o tener un mayor conocimiento de lo que refiere a seguridad
A E
de la información.
M D
Y A
C
Si 41 96,0
E
No 3 4,0
T
Total 44 100,0
O
LI
IB

según el interés y el medio por el cual le gustaría ser informado acerca del tema de
B
Seguridad de la Información.
Folletos y boletines 6 14,7
Charlas y conferencias 25 58,7
Foros a través del portal Web de la UPTP 8 18,7
Como parte de algún curso en tu carrera 5 8
Total 44 100,0
137


según algunas activas realizadas en los equipos informáticos que se les asigna.
Instalando algún software que necesitaba 10 24,0
Haciendo limpieza de componentes de su PC (teclado,
7 13,3
mouse, etc.)
S
Otros 1 1,3
A
Ninguna 26 61,3
IC
Total 44 100,0
S
S FÍ
según lo que hace cuando un componente o aplicativo no funciona correctamente.
A S
T I
Á C
Intenta arreglarlo 10 25,3
M N
Lo arregla mi compañero de trabajo más

5,3
E IE
cercano 4
T C
Llamo a un técnico encargado 6 13,3

No sé qué hacer en esos momentos (Pido
A E
56,0
sugerencias a mi compañero más cercano) 24
M D
Total 44 100,0
Y A
C
E

T
según la frecuencia con la que solicita que se les realice mantenimiento a los equipos
O
informáticos que se le asignan.

LI
IB
Mensual 12 29,3
B
Trimestral 10 22,7
Semestral 7 17,3
Anual 4 4,0
Nunca 11 26,7
Total 44 100,0
138


según la frecuencia que solicita que revisen su PC frente a inconvenientes o fallas.
A veces 25 58,7
Casi
10 24,0
siempre
S
Nunca 9 17,3
A
Total 44 100,0
IC
S
S FÍ
según la seguridad que puede tener su equipo frente a peligros.
A S
IC A
T I Frecuencia Porcentaje
Á C
Acceso a sus cuentas personales 10 24,0
M N
Ingreso de virus 8 16,0

E IE
Existencia de un extinguidor o medida de seguridad

2 5,3
Cerca
T C
No lo se 20 46,7
A E
Otros 4 8,0
M D
Total 44 100,0
Y A
C

E
según el medio por el cual informa o reporta el inconveniente si sus equipos

T
informáticos sufre inconvenientes.

O
LI
IB
Teléfono (anexo) 31 72,0

Correo electrónico al área de computo
B
9 20,0
Voy físicamente a buscar algún encargado de
4 8,0
computo
Total 44 100,0
139

Anexo 03
ENCUESTA SOBRE SEGURIDAD DE LA INFORMACIÓN
Dirigido a los alumnos de las diferentes escuelas profesionales de la Universidad Privada de

Trujillo-Perú.
Objetivos:
 Conocer que tan involucrados se encuentran los alumnos en el resguardo de la Tecnología
S
de Información.
A
 Identificar si los alumnos utilizan de manera óptima las tecnologías de información y de qué
IC
manera ayudarían a salvaguardar la misma.
S
Instrucciones:
S FÍ
Para desarrollar este cuestionario, usted debe leer cada pregunta y escoger una de las
alternativas propuestas con una “X” dentro de los paréntesis o llenar dentro de las líneas
A S
punteadas según sea su criterio.
IC A
T I
Á C
M N
1. Sexo:
E IE
Masculino ( ) Femenino ( )
T C
2. Escuela profesional a la que perteneces: ………………………………………………

A E
3. Ciclo de estudios en el que te encuentras:………………………………………..........

M D
4. En alguna ocasión le has ayudado a algún docente o administrativo en alguna de las

Y A
siguientes actividades dentro de la universidad:

C
g. Llenando algún documento de la universidad ( )

E
h. Pasando información en Word, Excel, Power Point, etc. ( )

T
i. Ingresando a su correo de la UPTP y enviando mensajes a través de el ( )

O
j. Clasificando documentos de la universidad ( )

LI
k. Otros, Especificar………………………………………………………... ( )
IB
l. Ninguno. ( )
B
5. Puedes identificar a las personas que no trabajan y no estudian dentro de la universidad

SI ( ) NO ( )
Si tu respuesta es Sí, fue por medio de:
f. Fotochet de la empresa en que trabaja ( )
g. Indumentaria ( )
h. Fotochet de visitante (entregado por la UPTP) ( )
i. Otros, Especificar…….………………………… ( )
j. Ninguno ( )
6. Usted apaga los equipos informáticos debidamente después de utilizarlos
140

SI ( ) NO ( )
Si tu respuesta es Sí, Cómo apagas tu equipo después de trabajar
h. Apagando directamente el estabilizador. ( )
i. Desenchufando el cable de energía de la computadora. ( )
j. Manteniendo presionando el botón de apagado del CPU. ( )
k. Haciendo clic en el botón de apagado del menú del sistema operativo. ( )
l. Bajando la llave de energía. ( )
m. Otros, Especificar……………………………………………………….. ( )
S
A
n. Ninguno. ( )
IC
7. Te sientes seguro en los ambientes donde se encuentran los equipos informáticos dentro de
la Universidad frente a cualquier desastre natural o humano
S
SI ( ) NO ( )
S FÍ
8. Has observado algún extinguidor cerca de los equipos informáticos
A S
SI ( ) NO ( )
IC A
9. Has observado algún tipo de señalización de emergencia en los ambientes donde existen
T I
equipos informáticos
Á C
SI ( ) NO ( )
M N
10. Has participado de algún simulacro frente a cualquier desastre natural, especialmente en
E IE
áreas donde hay equipos informáticos

T C
SI ( ) NO ( )
A E
Si tu respuesta es No;
M D
Como nos sugieres que se realice y cada que tiempo:

……………………………………..………………………………………………………………….
Y A
11. Has observado que algún compañero o administrativo ha bebido líquidos o ingerido algún
C
alimento cuando realizas algún trabajo en cualquiera de las computadoras de la UPTP

E
SI ( ) NO ( )
T
O
12. Has manipulado alguna vez las entradas de corriente al CPU, los cables del teclado, Mouse
LI
y conexiones de red que conectan al CPU para hacerlos funcionar

SI ( ) NO ( )
IB
13. Usted cree que debe sentirse responsable e identificarse con el equipo informático que usa
B
o utilizará en algún momento dentro de la UPTP

SI ( ) NO ( )
14. Si en el transcurso del uso de un equipo informático se te detecta realizando alguna

actividad sospechosa como ingresando a lugares restringidos, usted sería capaz de
afrontarla (por la responsabilidad que asume en ese determinado momento sobre el
equipo asignado)
SI ( ) NO ( )
141

15. Hace usted uso de los antivirus en los equipos informáticos de la UPTP cuando ingresa o
saca información en algún dispositivo de almacenamiento
Si ( ) A veces ( ) Nunca ( )
16. Que hace cuando detecta un virus en la computadora de la UPTP
g. Activa el antivirus ( )
h. Activa el antivirus, detecta los virus y los elimina ( )
i. Borra el archivo ( )
j. Formatea el dispositivo de almacenamiento ( )
S
A
k. No hago nada (Por qué no sé) ( )
IC
l. Otros, Especificar………………………………. ( )
17. Usted ha detectado que el antivirus de la UPTP funciona adecuadamente y que se
S
encuentra actualizado
S FÍ
SI ( ) NO ( )
A S
18. Tu clave de acceso es la misma para todos los servicios que te brinda el Portal Web de la
IC A
UPTP T I
SI ( ) NO ( )
Á C
Normalmente tu clave hace referencia a:
M N
f. Tu nombre y apellido ( )
E IE
g. Tú fecha de nacimiento ( )
T C
h. Teléfono (de casa o móvil) ( )

A E
i. Nombre de tu enamorada o enamorado ( )

M D
j. Otros, Especifique……………………….. ( )
Y A
19. Y si nunca cambiaste tu clave, cuál es y porque motivo no lo hiciste

C
……………………………………………………………………………………………………………….
E
20. Cada que tiempo cambia su clave del portal WEB de la UPTP
T
O
Cada 7 días ( ) Cada 15 días ( ) Cada 30 días ( ) Cada año ( ) Nunca ( )

LI
21. Usted accede al portal WEB de la universidad

Dentro de la universidad ( ) Fuera de la universidad ( ) En ambos lugares ( )
IB
22. Qué tan veloz es el acceso al portal WEB dentro o fuera de la UPTP
B
d. Es más rápido dentro de la universidad que fuera de ella ( )

e. Es más lenta dentro de la universidad que fuera de ella ( )
f. Es igual en ambos lugares ( )
23. Usted ha utilizado alguna Laptop dentro de la universidad
SI ( ) NO ( )
Si su respuesta es Sí; Ha recibido algún mensaje en el cual le comunique que su equipo ha
sido registrado y puede acceder a la red
SI ( ) NO ( )
24. Has recibió alguna capacitación acerca de Seguridad de la Información en la UPTP
142

SI ( ) NO ( )
25. Te interesaría conocer o tener un mayor conocimiento de lo que refiere a Seguridad de la
Información
SI ( ) NO ( )
Si le interesaría conocer más acerca del tema de Seguridad de la Información, a través de
que medio te gustaría ser informado:
f. Folletos y boletines ( )
g. Charlas o conferencias ( )
S
A
h. Foros a través del portal WEB de la UPTP ( )
IC
i. Como parte de algún curso en tu carrera ( )
j. Otros, Especifique: ………………………. ( )
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
143

Anexo 04
Resultados de Procesamiento de Información de Estudiantes
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según sexo.
Masculin
S
65 29,5
o
A
Femenin
IC
152 70,5
o
S
Total 217 100,0
S FÍ
A S
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según Escuela
Académico Profesional.
IC A
T I
Á C
M N
E IE
Contabilidad 25 16
T C
Derecho 54 24
A E
Ingeniería Civil 53 22
M D
Ingeniería de Sistemas e Informática 50 20

Y A
Marketing y Negocios
35 18
C
Internacionales
E
Total 217 100,0

T
O
LI
Distribución porcentual de los Estudiantes de la UPTP acerca de SGSI, según ayuda a

docente o administrativo en actividades dentro de la universidad asignado como
IB
ocupación temporal (bolsa de trabajo).

B
Llenando o elaboración de algún documento de la universidad 22 10,3
Pasando información en Word, Excel, Power Point, etc. 32 14,8
Ingresando a su correo de la UPTP y enviando mensajes a
16 7,5
través de él
Clasificando documentos de la universidad 3 1,4
Otros 5 1,7
Ninguno 139 64,3
Total 217 100,0
144

Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según

identificación de personas que no trabajan ni estudian en la universidad.
Si 98 45,1
No 119 54,9
S
A
Total 217 100,0
IC
S
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, a modo de que
S FÍ
identifican a las personas que no trabajan ni estudian en la UPTP.
A S
T I
Á C
Fotochet de la empresa para la cual
50 30,9
M N
trabajan
E IE
Indumentaria 53 32,7
Fotochet de visitante (entregado por la
T C
25 15,4
UPTP)
A E
Otros 33 20,4
M D
Ninguno 1 ,6
Y A
Total 162 100,0

C
E
T
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el

O
apagado debido de los equipos informáticos después de utilizarlos.

LI
IB
B
Si 204 94,4
No 13 5,6
Total 217 100,0
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según la manera

en apagan los equipos informáticos después de utilizarlos.
145

Apagando directamente el estabilizador 6 2,9

Desenchufando el cable de energía de la computador 12 5,9
Manteniendo presionando el botón de apagado del CPU 14 6,5
Haciendo clic en el botón de apagado del menú del sistema
172 79,6
operativo
Bajando la llave de energía 5 1,9
S
Otros 8 4,1
A
Total 217 100,0
IC
S
S FÍ
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según la
seguridad que tiene en los ambientes en los que se encuentran los equipos informáticos
A S
frente a un desastre natural o humano.
IC A
T I
Á C
M N
Si 94 43,2
E IE
No 123 56,8
Total 217 100,0
T C
A E
M D
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según observo

existe algún extintor cerca de los equipos informáticos.
Y A
C
E
Si 67 30,9
T
No 150 69,1
O
Total 217 100,0

LI
IB
B

existe alguna tipo de señalización de emergencias en los ambientes que se encuentran
los equipos informáticos.
Si 109 50,1
No 108 49,9
Total 217 100,0
146


participación de simulacros frente a cualquier desastre específicamente en áreas donde
hay equipos informáticos.
Si 76 34,8
No 141 65,2
S
Total 217 100,0
A
IC
S
S FÍ
algún compañero de estudios o administrativo bebe líquidos o ingiere alimentos cuando
se encuentra trabajando con algún equipo informático.
A S
T I
Á C
Si 103 47,6
M N
No 114 52,4
E IE
Total 217 100,0

T C
A E

M D
manipulación de componentes del equipo informático de manera que si sufrió algún

inconveniente este funcione.
Y A
C
E
Si 95 43,5
T
O
No 122 56,5
LI
Total 217 100,0

IB
B

responsabilidad que asume al utilizar un equipo informático.
Si 172 79,4
No 45 20,6
Total 217 100,0
147


responsabilidad que asumiría si se le detecta realizando actividad sospechosas como el
ingreso a lugares restringidos.
Si 178 81,9
No 39 18,1
Total 217 100,0
S
A
IC
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el uso de
los antivirus en los equipos informáticos cuando ingresa o saca información en algún
S
dispositivo de almacenamiento.
S FÍ
Frecuenci Porcentaj
A S
a e
IC A Si 71 32,6
T I A veces 74 34,3
Á C
Nunca 72 33,1
M N
Total 217 100,0

E IE
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según lo que

T C
realiza cuando detecta un virus en los equipos informáticos.

A E
M D
Activa el antivirus 44 20,3

Y A
Activa el antivirus detecta los virus y los

C
100 46,2
E
elimina
T
Borra el archivo 18 8,6

O
Formatea el dispositivo de almacenamiento 8 3,1

LI
No hago nada (porque no se) 29 13,4

Otros 18 8,4
IB
Total 217 100,0

B
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el buen

funcionamiento de los antivirus instalados y su adecuada actualización.
Si 57 25,6
No 160 73,8
Total 217 100,0
148

Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según los

servicios brindados por el portal Web de la UPTP utiliza una misma cuenta de usuario y
clave de acceso.
Si 54 24,8
No 163 75,2
S
A
Total 217 100,0
IC
S
S FÍ
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según a que hace
referencia la clave de acceso que utilizan los usuarios.
A S
T I
Á C
Tu nombre y apellido 48 22,3
M N
Su fecha de nacimiento 23 11,0

E IE
Teléfono (de casa o móvil) 26 12,1

Nombre de su esposo (a) o hijo
T C
14 5,6
(a)
A E
Otros 106 49,0

M D
Total 217 100,0

Y A
C
E
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el tiempo

T
que cambia su clave para acceder al Portal Web de la UPTP.

O
LI
IB
B
Cada 7 días 12 5,4
Cada 15 días 11 5,0
Cada 30 días 36 16,7
Cada año 39 17,9
Nunca 119 55,0
Total 217 100,0
149

Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el lugar

del cual accede al Portal Web de la Universidad.
Dentro de la universidad 11 4,7
Fuera de la universidad 80 37,0
En ambos lugares 126 58,2
Total 217 100,0
S
A
IC
S
velocidad referente al acceso al Portal Web.
S FÍ
A S
Es más rápido dentro de la universidad que fuera de ella 36 16,4
IC A
Es más lenta dentro de la universidad que fuera de ella 45 20,9
T I
Á C
Es igual en ambos lugares 136 62,7
M N
Total 217 100,0

E IE
T C
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el uso de

A E
una computadora portátil dentro de la Universidad.

M D
Y A
C
Si 54 24,5
E
No 163 75,5
T
Total 217 100,0

O
LI
IB
B
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según se

muestre o autorice mediante un mensaje que comunique que el equipo portátil utilizado
dentro de la Universidad se registró y puede acceder a la red.
Si 26 29,5
No 62 70,5
Total 88 100,0
150

Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según

capacitaciones recibidas acerca de seguridad de la información en la Universidad.
Si 19 8,5
No 198 91,5
Total 217 100,0
S
A
IC
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el interés
S
de conocer o tener un mayor conocimiento de lo que refiere a seguridad de la
S FÍ
información.
A S
si 195 90,3
IC A
no 22 9,7
T I
Á C
Total 217 100,0
M N
E IE
Distribución porcentual de los estudiantes de la UPTP acerca de SGSI, según el interés

T C
acerca del tema de Seguridad de la Información, a través de que medio le gustaría ser
A E
informado.
M D
Y A
C
Folletos y boletines 77 23,8

E
Charla y conferencias 162 50,0

T
Foros a través del portal Web de la UPTP 52 16,0

O
Como parte de algún curso en tu carrera 31 9,6

LI
Otros 2 ,6
Total 324 100,0
IB
B
151

Anexo 05
ENTREVISTA
Las empresas de hoy en día manejan su información por medio de sistemas integrados u otros,
los cuales muchos de ellos ven reflejado la vulnerabilidad de su información frente a cualquier
peligro que se les presente. Es por ello que nuestro proyecto de investigación busca encontrar
los puntos débiles con respecto a todo lo que es la tecnología de información y comunicación
de la UPTP, motivo por el cual está entrevista va dirigido al jefe de Taller de Cómputo como
S
principal agente encargado de la Seguridad de la Información dentro de la organización.
A
IC
Para saber quiénes son las personas que toman las decisiones con respecto a la seguridad de
S
la información se listo las siguientes preguntas:
S FÍ
¿La UPTP cuenta con un comité de seguridad de la información?
A S
SI ( )
IC A
Las funciones del comité se encuentran detalladas en el manual de funciones y organización
T I
Á C
u otro documento____________________________________________________________
M N
Quién conforma ese comité____________________________________________________

E IE
Ese comité es plenamente identificable por la comunidad universitaria___________________

NO ( )
T C
Si no cuentan con ese comité, quienes son los encargados de establecer las políticas de
A E
seguridad de la información ____________________________________________________

M D
O, sólo las políticas son establecidas por sí mismo como jefe de área de taller de
Y A
cómputo___________________________________________________________________
C
Estas políticas son conocidas por todos los usuarios_________________________________

E
A través de que medio se les dio a conocer________________________________________

T
O
Preguntas sobre mecanismos de control con respecto a la seguridad de la información

LI
IB
¿Existe algún tipo de manual o documento donde se especifique los controles para la
seguridad de la información?_____________________________________________________
B
¿De qué manera controla a sus trabajadores, con respecto al tema de seguridad de la
información?__________________________________________________________________
¿De qué forma controla los accesos a la red y quién ordena que se genere esos
permisos?____________________________________________________________________
¿Existen bitácoras donde se registran los sucesos de todos los usuarios que ingresan a la
red?________________________________________________________________________
Detecto en alguna ocasión algo indebido___________________________________________
¿Se registran los accesos de personas a las áreas donde se encuentran los equipos
servidores?___________________________________________________________________
152

Preguntas sobre políticas de seguridad
¿Existe un documento donde se especifique las políticas de seguridad de la información?

SI ( )
¿Quién elaboró ese documento y por quién fue aprobado?____________________________
__________________________________________________________________________
¿Sus trabajadores y usuarios conocen este documento?_____________________________
S
A
¿Se aplican estas políticas a toda la comunidad universitaria?_________________________
IC
¿Cada que tiempo se revisan esas políticas?______________________________________
S
NO ( )
S FÍ
¿Según Usted, a que cree que se deba, que hasta ahora no se implementa las políticas de
A S
seguridad de la información en la UPTP?__________________________________________
IC A
¿Cree Usted, que es de suma urgencia la elaboración de políticas de seguridad de la
T I
información para la UPTP?_____________________________________________________
Á C
Porqué_____________________________________________________________________
M N
Y para su área_______________________________________________________________
E IE
Preguntas sobre el nivel conocimiento de seguridad de la información por parte de su personal

T C
Frente a cualquier desastre natural, provocado o humano ¿Su personal conoce cuales son los
A E
activos más importantes que debe proteger en relación a la información?

M D
SI ( )
¿Para ello existen procedimientos documentados para actuar antes, durante y después del
Y A
desastre?____________________________________________________________________
C
¿Ha realizado algún simulacro con defensa civil o tiene previsto hacerlo en el futuro?
E
__________________________________________________________________________
T
O
Lo cree necesario hacerlo con esta organización_____________________________________

LI
¿Su área posee algún plan de contingencia, si no lo tiene ha motivado a sus trabajadores para
elaborarlo?___________________________________________________________________
IB
NO ( )
B
¿A qué se debe?______________________________________________________________
Preguntas sobre backups y claves
La administración de todos los servicios de tecnología de información que están a su cargo se
manejan a través de claves de autenticación________________________________________
Cree usted necesario que la alta dirección deba poseer las claves (y su actualización de las
mismas) ____________________________________________________________________
Porqué______________________________________________________________________
¿Existe algún procedimiento para realizar backups, de la información que usted maneja?
153

SI ( )
¿Están descritos en algún documento?_____________________________________________
¿Se cumplen conforme están descritos?____________________________________________
¿Son depositados en algún lugar especial dentro de la UPTP o fuera de ella?______________
Porqué___________________________________________________________________
Cada que tiempo se hace y quién los realiza_________________________________________
NO ( )
Porqué______________________________________________________________________
S
A
IC
Preguntas sobre problemas frecuentes
S
¿Cuáles son los problemas más frecuentes con los que se enfrenta el área que Usted tiene a
S FÍ
cargo?
A S
Frente a las actividades de su área________________________________________________
IC A
Frente a los servicios que le brinda a los usuarios____________________________________
T I
¿Se encuentran archivados esos problemas? ¿Qué estrategia usa para disminuir esos
Á C
problemas frecuentes? Existe alguna estadística de la evolución de esos problemas
M N
____________________________________________________________________________
E IE
Emplean tarjetas o fichas de seguimiento de los equipos que se les brinda a los
T C
usuarios_____________________________________________________________________
A E
M D
Preguntas sobre modificaciones en los servicios que se les presta a los usuarios
Y A
¿Todas las modificaciones que se haga a los servicios que se le presta a los usuarios es
C
registrado?___________________________________________________________________
E
Existe algún procedimiento interno para efectuarlos___________________________________

T
O
LI
Preguntas sobre mantenimiento de los equipos

IB
¿Existe un plan de mantenimiento para todos los equipos de la UPTP?

B
SI ( )
Cada qué tiempo lo realizan______________________________________________________
¿Qué aspectos son los que toman en cuenta para ese mantenimiento?
____________________________________________________________________________
Cómo se trata el tema de los antivirus dentro de la UPTP______________________________
____________________________________________________________________________
Preguntas sobre adquisición de software y hardware
154

¿Cuál es el procedimiento para la adquisición de un SW o HW?_________________________

____________________________________________________________________________
Este procedimiento se encuentra debidamente identificado en un documento_______________
Porqué______________________________________________________________________
¿Quién justifica la adquisición?___________________________________________________
¿Quién evalúa la adquisición?____________________________________________________
¿Quién evalúa los proveedores?__________________________________________________
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
155

Anexo 06
ENTREVISTA SOBRE SEGURIDAD DE LA INFORMACIÓN
los puntos débiles con respecto a todo lo que es la Tecnología de Información y Comunicación
S
de la UPTP, motivo por el cual está entrevista estará dirigido al personal que labora en el
A
área de Taller de Cómputo como principales agente encargados de la Seguridad de la
IC
Información dentro de la organización.
S
S FÍ
Nombre:
A S
Cargo del informante:
IC A
T I
¿Qué tipo de relación laboral tiene Ud. con la UPTP?
Á C
a. Contratado por horas ( )
M N
b. Contratado tiempo Completo ( )

E IE
c. Otras ( ), especifique: …………………………………………….

T C
¿Cuántas personas laboran en el área de Taller de Computo? ¿Quién es el responsable?

A E
…………………………………………………………………………………………………………….…
M D
……………………………………………………………………………………………………………….
¿Utilizan antivirus?
Y A
Si ( ) No ( )
C
Si la respuesta es Sí,
E
T
¿Tipo de antivirus que utiliza?

O
a. Norton ( )
LI
b. Kaspersky ( )
c. Nod 32 ( )
IB
d. Panda ( )
B
e. Otros ( ), especifique: ……………………………………………………

Cada que tiempo cambian o actualizan la versión del antivirus
a. Mensual ( )
b. Trimestral ( )
c. Semestral ( )
d. Anual ( )
e. Otros periodos ( ), especifique: ……………………………………………………………….
156

A Cuántas máquinas aproximadamente de las que se encuentran a cargo los docentes y

administrativos, se les brinda servicio técnico duramente el día. ¿Y de qué trata dicho servicio
por lo general?
………………………………………………………………………………………………………………
……………………………………………………………………………………………………………….
¿Se registran los inconvenientes? ¿Cuál es el tiempo promedio que demoras para solucionar
dichos inconvenientes?
………………………………………………………………………………………………………………
S
A
………………………………………………………………………………………………………………
IC
¿Quiénes le brindan capacitación a usuarios (profesores, administrativos, alumnos, etc.) antes
que hagan uso o “buen uso” de las salas de computo o de su respectivo equipo asignado si es
S
profesor o administrativo?
S FÍ
………………………………………………………………………………………………………………
A S
……………………………………………………………………………………………………………….
IC A
T I
A Usted se le brinda capacitación por parte de la UPTP acerca de seguridad de la información
Á C
Si ( ) No ( )
M N
Si la respuesta es Sí; Cada que tiempo y quien se encarga de hacerlo

E IE
………………………………………………………………………………………………………………
T C
……………………………………………………………………………………………………………….
A E
En caso contrario, ¿cómo se capacitan?

M D
………………………………………………………………………………………………………………
Y A
Usted cuenta con los medios y capacidad para afrontar cualquier desastre natural o humano
C
como:
E
Aplacar un incendio utilizando un extintor Si ( ) No ( )

T
O
Desplazar a los usuarios correctamente guiándose por señalizaciones Si ( ) No ( )

LI
Utilización de primeros auxilios (existencia u utilidad de un botiquín) Si ( ) No ( )

Otros, Especifique _______________________________________ ( )
IB
Ninguno ( )
B
Usted sabe utilizar correctamente un extintor ¿Si lo sabe, se le capacito dentro de la UPTP, o lo
aprendió fuera?
………………………………………………………………………………………………………………
……………………………………………………………………………………………………………….
¿Cuáles son los problemas más frecuentes que se atienden con respecto a los usuarios?
Hardware: ………………………………………………………………………………………………….
Software: …………..………………………………………………………………………………………
157

¿Cómo se podrían evitar?

……………………………………………………………………………………………………………….
¿Existen proyectos o mejoras con respecto a la seguridad de la información en el área que

laboras (Taller de Computo)?
………………………………………………………………………………………………………………
……………………………………………………………………………………………………………….
S
A
IC
¿De quién y de donde surgen estas iniciativas?
………………………………………………………………………………………………………………
S
………………………………………….……………………………………………………………………
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
158

Anexo 07
ENTREVISTA
los puntos débiles con respecto a todo lo que es la tecnología de información y comunicación
de la UPTP, motivo por el cual está entrevista va dirigido al jefe de Desarrollo de Sistemas
S
como principal agente encargado de la Seguridad de la Información dentro de la organización.
A
IC
Para saber quiénes son las personas que toman las decisiones con respecto a la seguridad de
la información se listo las siguientes preguntas:
S
S FÍ
¿La UPTP cuenta con un comité de seguridad de la información?
A S
SI ( )
IC A
Las funciones del comité se encuentran detalladas en el manual de funciones y organización u
T I
otro documento_______________________________________________________________
Á C
Quién conforma ese comité______________________________________________________
M N
Ese comité es plenamente identificable por la comunidad universitaria____________________

E IE
NO ( )
T C
Si no cuentan con ese comité, quienes son los encargados de establecer las políticas de
A E
seguridad de la información _____________________________________________________

M D
O, sólo las políticas son establecidas por si mismo como jefe de área de taller de
cómputo_____________________________________________________________________
Y A
Estas políticas son conocidas por todos los usuarios__________________________________

C
A través de que medio se les dio a conocer_________________________________________

E
T
O
Preguntas sobre mecanismos de control con respecto a la seguridad de la información

LI
¿Existe algún tipo de manual o documento donde se especifique los controles para la
IB
seguridad de la información?_____________________________________________________
B
¿De qué manera controla a sus trabajadores, con respecto al tema de seguridad de la
información?__________________________________________________________________
¿Cómo se controla la creación de usuarios para acceder al sistema y quién solicita esa
creación?____________________________________________________________________
¿Quién se encarga de aplicar las restricciones al usuario del sistema?
¿Existen bitácoras donde se registran los sucesos de todos los usuarios que ingresan a la
red?________________________________________________________________________
Detecto en alguna ocasión algo indebido___________________________________________
¿Se registran los accesos de personas al área que tiene a cargo?_______________________
159

¿Se registran los sucesos o incidentes que suceden dentro del área?_____________________
¿Cada qué tiempo solicitan que se les de mantenimiento a sus equipos?__________________
Preguntas sobre políticas de seguridad
¿Existe un documento donde se especifique las políticas de seguridad de la información?

SI ( )
¿Quién elaboró ese documento y por quién fue aprobado?____________________________
S
A
¿Sus trabajadores y usuarios conocen este documento?_____________________________
IC
¿Se aplican estas políticas a toda la comunidad universitaria?_________________________
¿Cada que tiempo se revisan esas políticas?______________________________________
S
NO ( )
S FÍ
¿Según Usted, a que cree que se deba, que hasta ahora no se implementa las políticas de
A S
seguridad de la información en la UPTP?___________________________________________
IC A
¿Cree Usted, que es de suma urgencia la elaboración de políticas de seguridad de la
T I
información para la UPTP?______________________________________________________
Á C
Porqué_____________________________________________________________________
M N
Y para su área (lo cree necesario) ________________________________________________

E IE
T C
Preguntas sobre el nivel conocimiento de seguridad de la información por parte de su personal

A E
M D
Frente a cualquier desastre natural, provocado o humano ¿Su personal conoce cuales son los
activos más importantes que debe proteger en relación a la información?
Y A
SI ( )
C
¿Para ello existen procedimientos documentados para actuar antes, durante y después del
E
desastre?____________________________________________________________________
T
O
¿Ha realizado algún simulacro con defensa civil o tiene previsto hacerlo en el futuro?
LI
__________________________________________________________________________
Lo cree necesario hacerlo con esta organización_____________________________________
IB
¿Su área posee algún plan de contingencia, si no lo tiene ha motivado a sus trabajadores para
B
elaborarlo?___________________________________________________________________
NO ( )
¿A qué se debe?______________________________________________________________
Preguntas sobre backups y claves
La administración del sistema que está a su cargo, se manejan a través de claves de

autenticación_________________________________________________________________
160

Cree usted necesario que la alta dirección deba poseer las claves (y su actualización de las
mismas) _____________________________________________________________________
Porqué______________________________________________________________________
¿Existe algún procedimiento para realizar backups, de la información que usted maneja?
SI ( )
¿Están descritos en algún documento?_____________________________________________
¿Se cumplen conforme están descritos?____________________________________________
S
A
¿Son depositados en algún lugar especial dentro de la UPTP o fuera de ella?______________
IC
Porqué_____________________________________________________________________
Cada que tiempo se hace y quién los realiza_________________________________________
S
NO ( )
S FÍ
Porqué_____________________________________________________________________
A S
IC A
Preguntas sobre problemas frecuentes
T I
Á C
¿Cuáles son los problemas más frecuentes con los que se enfrenta el área que Usted tiene a
M N
cargo?
E IE
En las actividades de su área____________________________________________________

T C
En los servicios que le brinda a los usuarios_________________________________________

A E
¿Se encuentran archivados esos problemas? ¿Qué estrategia usa para disminuir esos
M D
problemas frecuentes? Existe alguna estadística de la evolución de esos problemas

____________________________________________________________________________
Y A
Emplean tarjetas o fichas de seguimiento de los problemas en el uso del sistema por parte
C
usuarios_____________________________________________________________________
E
T
O
Preguntas sobre modificaciones en los servicios que se le presta a los usuarios

LI
¿Todas las modificaciones que se haga a los servicios que otorga el sistema a los usuarios son
IB
registrados?__________________________________________________________________
B
Existe algún procedimiento interno para efectuarlos___________________________________
Preguntas sobre responsabilidad de software a desarrolla
¿Cada integrante del equipo de desarrollo de sistemas es responsable del software que
desarrolla?
SI ( )
¿Qué control de calidad para la producción del software se le aplica?_____________________
¿Esto le permite tener una copia de resguardo en su casa?_____________________________
161

¿Acata las políticas que se le impone?

NO ( )
Porqué ____________________________________________________________________
Preguntas sobre manejo de base de datos
¿Quién es el primer responsable en el manejo de la base de datos?______________________

¿Toda actividad que se realice en ella es documentada?_______________________________
S
A
¿Aparte del departamento que tiene a cargo, existe otra persona que cada cierto tiempo realice
IC
una evaluación del nivel de desarrollo de su área?____________________________________
¿Cualquier trabajador que tenga a su cargo puede modificar la base de datos en el momento
S
que desee?
S FÍ
____________________________________________________________________________
A S
¿Ha tenido algún inconveniente con la base de datos en algún momento?
IC A
____________________________________________________________________________
T I
Á C
Preguntas sobre software y hardware
M N
E IE
¿Cuentan con los equipos necesarios para realizar sus actividades?______________________

T C
¿Cuentan con el software necesario para realizar sus actividades?_______________________

A E
¿Todo el software que se utilizan sea SW con licencia o SW libre, son solicitado al área de
M D
taller de cómputo?_____________________________________________________________
¿Su área maneja restricciones a través de la red, igual como cualquier otra área?
Y A
____________________________________________________________________________
C
E
T
O
LI
IB
B
162

Anexo 08
1. COBIT 5: Metas/Objetivos Organizacionales
Dimensión BSC N° Metas de la organización
Financiero 1 Retorno de valor de las inversiones de los Stakeholders
S
Financiero 2 Portafolio competitivo de los productos y servicios
A
Riesgos de negocio gestionados (Salvaguarda de los
Financiero 3
activos)
IC
Financiero 4 Cumplimiento de las leyes y reglamentos externos
S
Financiero 5 Transparencia financiera
S FÍ
Cliente 6 Cultura de servicio orientada al cliente
Cliente 7 Continuidad y disponibilidad del servicio
A S
IC A
Cliente 8 Respuesta ágil a los cambios en el entorno empresarial
T I
Cliente 9 Información basada en toma de decisiones estratégicas
Á C
M N
Cliente 10 Optimización de los costos de prestación de servicios

E IE
Optimización de la funcionalidad de los procesos de

Interno 11
negocio
T C
Interno 12 Optimización de los costos de los procesos de negocio

A E
Interno 14 Productividad de las operaciones y el personal

M D
Interno 15 Cumplimiento de las políticas internas

Aprendizaje y Crecimiento 16 Personas cualificadas y motivadas
Y A
Aprendizaje y Crecimiento 17 Cultura de innovación de productos y del negocio

C
E
T
O
LI
IB
B
163

2. COBIT 5: Metas/Objetivos de TI
Dimensión BSC N° Metas de la organización relacionadas a TI
Financiero 1 Alineación de las TI y las estrategias del negocio

Financiero 2
Compromiso de la alta dirección para hacer decisiones
Financiero 3
relacionadas con TI
S
Financiero 4 Gestión de riesgos del negocio relacionados con TI
A
Beneficios logrados de inversiones en TI y en el portafolio
Financiero 5
IC
de servicios
Financiero 6 Transparencia de los costos, beneficios y riesgos de TI
S
Cliente 7
S FÍ
negocio
Cliente 8
soluciones tecnológicas
A S
Interno 9 Agilidad de TI
IC A Seguridad de la información, infraestructura de

Interno
T I 10
Á C
M N
Interno 11 Optimización de los activos, recursos y capacidades de TI

E IE
Interno 12
integrando aplicaciones y tecnologías en los mismos
Entrega de programas entregando beneficios a tiempo y en
T C
Interno 13 el presupuesto cumpliendo con los requisitos y estándares

de calidad
A E
Disponibilidad de información fiable y útil para la toma de

Interno 14
decisiones
M D
Interno 15 Cumplimiento de TI con las políticas internas

Y A
Aprendizaje y Crecimiento 16 Personal de TI calificado y motivado

Conocimiento, experiencia e iniciativas para la innovación
C
Aprendizaje y Crecimiento 17
empresarial
E
T
O
LI
IB
B
164

Anexo 09
Documento de política de seguridad de la información según ISO 27002
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Y A
C
E
T
O
LI
IB
B
165

Anexo 10
UBICACIÓN DE LA UNIVERSIDAD PRIVADA DE TRUJILLO
S
A
IC
S
S FÍ
A S
IC A
T I
Á C
M N
E IE
T C
A E
M D
Ilustración 21: Ubicación de la Universidad Privada de Trujillo

Y A
C
E
T
O
LI
IB
B
166

MORO ABANTO, Manuel - VERA ZAVALETA, Juan Alberto

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MORO ABANTO, Manuel - VERA ZAVALETA, Juan Alberto

Cargado por

Copyright:

Formatos disponibles

Biblioteca Digital - Dirección de Sistemas de Informática y Comunicación - UNT

UNIVERSIDAD NACIONAL DE TRUJILLO

TESIS PARA OPTAR EL GRADO DE INGENIERO INFORMATICO

Bach. MORO ABANTO MANUEL

Bach. VERA ZAVALETA JUAN ALBERTO

Ing. ARTURO DIAZ PULIDO

Queremos agradecer principalmente a Dios por todas las bendiciones recibidas,

A la Universidad Nacional de Trujillo por darnos la oportunidad de estudiar y ser

nos encantaría agradecerles su amistad, consejos, apoyo, ánimos y compañía en los

recuerdos y en el corazón, sin importar en donde estén queremos darles las

que el tema se regule para que recién tomar acción en el establecimiento de

El propósito de este trabajo se centró en el diseño de un sistema de gestión de

como referencia las normas ISO 27001:2005 e ISO 17799:2005

Se promueve un enfoque sistémico y pragmático, no dogmático, en pro de una

metodología eficaz y sostenible, primando un criterio de conveniencia costo-

requerimientos de seguridad del negocio.

En la presente tesis, se diseña y desarrolla el modelo para implementar un sistema

de gestión de seguridad de información para cualquier tipo de información, que

these entities is exposed.

and relevance to the real requirements of business security is emphasized.

1.1. Realidad problemática ................................................................................................... 2

1.2. Formulación del problema ............................................................................................. 3

1.3. Hipótesis ........................................................................................................................ 3

1.4. Justificación ................................................................................................................... 3

II MARCO REFERENCIAL ............................................................................................................ 7

2.1. Marco Teórico .................................................................................................................... 8

2.1.1. Seguridad de información .......................................................................................... 8

2.1.2. Activo de información ................................................................................................. 8

2.1.3. Sistema de Gestión de la Seguridad de la Información ............................................ 8

2.1.3.1. ¿Para qué sirve un SGSI? ................................................................................ 10

2.1.3.2. ¿Qué incluye un SGSI? ..................................................................................... 10

2.1.3.3. Alcance del SGSI: ....................................................................................... 11

2.1.3.4. ¿Qué aspectos de seguridad cubre un SGSI? ................................................. 13

2.1.3.5 ¿Cómo se implementa un SGSI? ...................................................................... 13

2.1.3.6. Revisión del SGSI ............................................................................................. 14

2.1.4. Análisis y Evaluación del Riesgo .............................................................................. 14

2.1.4.1. Tratamiento del Riesgo y la Toma de Decisiones Gerenciales ........................ 15

2.1.5. Controles de seguridad ............................................................................................ 18

2.1.6. International Organization for Standardization (ISO) ............................................... 19

2.1.6.1. ISO 27000 .......................................................................................................... 19

2.1.6.2. La serie 27000 .................................................................................................... 20

2.1.6.3. Contenido .................................................................................................... 21

2.1.6.4. Beneficios ........................................................................................................... 23

2.2. Marco Conceptual ............................................................................................................ 24

2.2.1.1. Arranque del proyecto ....................................................................................... 24

2.2.1.2. Plan: Establecer el SGSI ................................................................................... 25

2.3. Metodología COBIT 5. ................................................................................................. 26

3.1. Diseño de Contrastación de la Hipótesis ......................................................................... 47

3.3.1. Población .................................................................................................................. 47

3.3.2. Muestra ..................................................................................................................... 48

3.4. Técnicas, Instrumentos, Fuentes e Informantes............................................................. 49

IV. DESARROLLO DE LA METODOLOGIA ............................................................................... 52

4.1. Descripción de la Empresa .............................................................................................. 53

4.2. Procesamiento de la Información .................................................................................... 54

4.2.1. Fase Inicial: Recolección de Información Actual y Análisis de Datos. ..................... 54

4.2.2. Fase Dos: Arranque del proyecto ............................................................................. 68

4.2.2.1. Diseño del Sistema Propuesto .......................................................................... 68

4.2.3. Fase Tres: Valorización de los activos de información ............................................ 73

4.2.4. Fase Cuatro: Apetito del riesgo ................................................................................ 75

4.2.5. Fase Cinco. Identificación y Evaluación de los Riesgos ......................................... 79

4.2.5.1. Mapa de Riesgos ............................................................................................... 79

4.2.6. Fase Seis: Plan de tratamiento de riesgos ............................................................... 88

4.2.7. Fase Siete: Controles para el tratamiento de riesgos .............................................. 89

4.3. Entregables de un SGSI .............................................................................................. 109