Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUTOR(ES):
ASESOR(A)(ES):
LINEA DE INVESTIGACION:
TRUJILLO – PERÚ
2021
ÍNDICE DE TABLAS
Tabla 01 - Procesos del Negocio pág. 19
2
ÍNDICE DE FIGURAS
3
ÍNDICE
4
I.- CONTEXTO DE LA ORGANIZACIÓN
1.1 Presentación:
● Descripción de la empresa:
Ansilans Medical es una empresa dedicada hace 17 años en la
importación y comercialización de equipos médicos, instrumental
quirúrgico y mobiliario médico, brindamos asesoría para
implementar servicios de salud, con el respaldo de nuestra
experiencia acumulada.
● Nombre De La Empresa
Ansilans Medical S.A.
● Rubro
Servicio de ventas e importación y comercialización en equipos
médicos, equipos diagnostico, material médico, mobiliario médico,
etc.
● Historia:
5
Hoy en día, cumplimos 17 años de innovación y servicio de la
más alta calidad, somos líderes en el mercado tanto en nuestras
líneas de equipos médicos como en nuestras líneas de material
médico.
● Mercado
● clientes
● Essalud
● Hospital de Apoyo San José – Callao
● Dirección Regional de Salud Callao
● Hospital de Ventanilla
● Hospital de Huaral y servicios básicos de Salud
● Dirección Regional de Salud – Huacho
● Dirección Regional de Salud – Tacna
● Hospital de Baja Complejidad – Vitarte
● Instituto Nacional de Oftalmología
● Hospital Regional Guillermo Diaz de la Vega
● MINSA – Ministerio de Salud del Perú
● Mineras
● Antecedentes de SGC
■ La norm ISO 9000
■ La norm ISO 9001
■ La norm ISO 9004
■ La norm ISO 19011
6
1.2 Estructura de la empresa:
La estructura organizacional de la empresa está formada por
áreas estratégicas que permiten el cumplimiento de sus funciones
eficientemente.
Gerente General
Asesoramiento
legal Contabilidad
Asesoramiento
técnico post venta Almacén
Administración y Área de
Área Comercial Finanzas Área de TI Operaciones
Imagen - 01
Gerente General:
7
Asesoramiento Legal:
Contabilidad:
Almacén:
8
productos. Por ello, la productividad debe ser su criterio básico de
actuación. En esta área se encuentran también: Importaciones,
área que se encarga de importar y exportar los productos. Hasta
ahora se ha importado desde la India, Alemania, China. Los
empleados de esta área presentan conocimiento de idiomas
como: inglés y alemán para poder llevar a cabo la comunicación
con los clientes y/o proveedores. También presentan reportes
semanales y mensuales hacia la gerenta.
Administración y Finanzas:
Área de Operaciones:
9
Área de TI:
10
II.- DOCUMENTACIÓN DE LA POLÍTICA DE SEGURIDAD
La empresa Ansilans Medical hecha una visita realizada y se pudo encontrar lo
siguiente:
11
2.1 Política de seguridad de la información
•El propósito de esta política de seguridad de la información es
supervisar, revisar y dar solución a todas las incidencias con respecto al
hardware que se reportan en todas las áreas de la empresa Ansilans
Medical.
–Esta empresa cumple con todo los requisitos del negocio respecto a la
seguridad de la información y los sistemas de información.
12
2.2.1 Alcance del sistema de gestión de la seguridad de la
información
•Los sistemas de información que soportan los procesos de
alquiler y venta, comercial y financiero de Ansilans Medical
prestados desde sus oficinas ubicadas en Calle 19 Urb. Retablo
Mz C Lote 05, Lima 07
Objetivos Específicos
13
2.2.3 Requisitos legales
● Ley N° 27269: Ley de Firmas y Certificados Digitales
● Ley N° 29733: Protección de datos personales.
● Ley N° 30171: Ley de Delitos Informáticos.
● Decreto Legislativo N° 1353, que crea la Autoridad Nacional de
Transparencia y Acceso a la Información Pública, fortalece el
régimen de protección de datos personales y la regulación de la
gestión de intereses.
● Resolución Ministerial N° 246-2007-PCM, que aprueba la Norma
Técnica Peruana “NTPISO/ IEC 17799:2007 EDI. Tecnología de
la Información. Código de buenas prácticas para la gestión de la
seguridad de la información. 2a. Edición” en todas las entidades
integrantes del Sistema Nacional de Informática.
14
2.2.5 Compromiso de la dirección
● La dirección expresa su compromiso total con la presente política
de seguridad, manteniendo la eficiencia operacional y provocando
la adherencia a las políticas previstas por la administración. El
área de informática puede interactuar de dos maneras en el
control interno. La primera es servir de herramienta para llevar a
cabo un adecuado control interno y la segunda es tener un control
interno del área y del departamento de informática. La diferencia
de los objetivos de control interno desde un punto de vista
contable financiero es que mientras éstos están enfocados a la
evaluación de una organización mediante la revisión contable
financiera y de otras operaciones, los objetivos del control interno
informático están orientados a todos los sistemas en general, al
equipo de cómputo y al departamento de informática. las
directrices fijadas en el presente documento y proporcionando los
recursos necesarios para ello. Asimismo, los empleados
conocerán los objetivos establecidos por la dirección, las políticas,
principios y normas adoptadas y su importancia para la seguridad
de la organización, las responsabilidades generales y específicas
en materia de seguridad y otras referencias para la
documentación que puedan ser útiles.
2.3.1 Responsabilidades
● Establecer la política de seguridad de la empresa. Así, refiere que los
riesgos a los que se exponen las empresas hacen que sea necesario
crear directrices que orienten hacia el uso responsable de los recursos.
15
● La política de seguridad de la empresa debe incluir, entre otros
aspectos, la definición de los responsables del desarrollo, implantación y
gestión de la política, dirigidos por el director de política de seguridad.
Su personal se debe encargar de realizar, supervisar, inspeccionar y
modificar las normas y reglas establecidas en la política de seguridad.
2.3.1.1 Dirección
•Facilitar los recursos necesarios para el funcionamiento y
mejora del SGSI.
16
•Contar con una autoridad suficiente para gestionar un
riesgo inherente al activo en cuestión.
2.3.2.5 Personal
•Conocer y cumplir las funciones laborales que puedan surgir
en la empresa.
•Interactuar en todo momento tanto con los empleados como
con las demás áreas, así como atender los reclamos, consultas o
incidencias.
17
Falta de un control de acceso al momento de ingresar a las instalaciones. Por
lo que es necesario algún sistema que permita la identificación, validación y
registro tanto del ingreso y salida de cualquier empleado de la empresa .
● Cálculo de riesgo
● Cálculo de impacto
● Análisis del riesgo
● Identificar las amenazas
● Elaboración de inventarios de activos
18
III.- EL INVENTARIO DE ACTIVOS
19
Servidor de Red Hosting,Dominio,correo Aplicaciones Servidor
corporativo
PROCESO
ACTIVO
Facturación Compra y Gestión Soporte de Marketing
Venta Comercial sistemas
Página web X X X
Sistemas Contable X
Registro Personal X
Base Datos X
Aplicacion X X
comerciales
Equipo de Computo X
Inmobiliaria X
Servidor de Red X X
Equipos de X
mantenimiento
Productos X X X
20
3.4 Valoración de activos
Tabla 04 - Valoración de Activos
1 Página web 1 1 3 5
2 Sistemas Contable 3 3 2 8
3 Registro Personal 3 2 2 7
4 Base Datos 3 2 2 7
5 Aplicacion comerciales 0 2 3 5
6 Equipo de Computo 1 2 3 6
7 Inmobiliaria 0 2 3 5
8 Servidor de Red 3 1 3 7
9 Equipos de 1 2 3 6
mantenimiento
10 Productos 3 3 3 9
21
El objetivo de estas tareas es caracterizar el entorno al que se enfrenta el
sistema, que puede pasar, que consecuencias se derivan y cómo de probable
es que pase
Errores de los 3 0 2 1
usuarios
Ataques DDoS 2 1 0 2
Errores de 2 1 1 3
mantenimient
o
Difusión de 3 0 2 2
software
dañino
22
Para el activo: Sistema contable
Tabla 06 - VA. Sistema contable
Robo 3 1 2 1
Fallo de 2 1 0 2
hardware
Fallo de 2 2 2 2
software
Catástrofes 3 0 2 2
Corte de 3 3 3 3
suministro
eléctrico
Desconfigurac 3 0 2 1
ión
Fallo de 2 1 0 2
hardware
Fallo de 2 1 1 3
software
Catástrofes 3 0 2 2
23
Robo 3 0 2 1
Daños por 2 1 0 2
agua
Errores del 2 1 1 2
usuario
Manipulación 3 0 2 2
del hardware
Catástrofes 3 2 2 2
Avería de origen 3 0 2 1
físico o lógico
Errores de los 2 1 0 2
usuarios
Difusión de 2 1 1 3
software
dañino
Errores de 3 0 2 2
mantenimient
o
Robo 3 0 2 1
Catástrofes 2 1 0 2
Avería de 2 1 1 3
origen físico o
lógico
Errores de 3 0 2 2
mantenimient
24
o
Corte de 3 2 2 3
suministro
eléctrico
Catástrofes 3 0 0 1
Mal uso 2 2 2 2
Errores de 2 1 1 3
mantenimient
o
Robo 3 0 2 3
Robo 3 0 2 3
Alteración de 2 1 0 2
información
Errores del 2 1 1 3
usuario
Manipulación 3 0 2 2
del hardware
Catástrofe 3 2 2 3
25
Amenaza Probabilidad Degradación Degradación Degradación
Confidencialidad Integridad Disponibilidad
Catástrofes 3 0 2 1
Daños físicos 2 1 0 2
Robo 2 1 1 3
Fallas técnicas 3 0 2 2
Devaluación
Catástrofes 3 0 2 1
Errores de 2 1 0 2
configuración
Robo 2 1 1 3
Errores de los 0 2 1
usuarios
Ataques DDoS 1 0 2
Errores de 1 1 3
mantenimient
o
Difusión de 0 2 2
software
dañino
26
Valores del riesgo para el activo: Sistema contable
Tabla 16 - C.R. Sistema Contable
Robo 1 2 1
Fallo de 1 0 2
hardware
Fallo de 2 2 2
software
Catástrofes 0 2 2
Corte de 3 3 3
suministro
eléctrico
Desconfigura 0 2 1
ción
Fallo de 1 0 2
hardware
Fallo de 1 1 3
software
Catástrofes 0 2 2
Robo 0 2 1
Daños por 1 0 2
agua
Errores del 1 1 2
27
usuario
Manipulación 0 2 2
del hardware
Catástrofes 2 2 2
Avería de origen 0 2 1
físico o lógico
Errores de los 1 0 2
usuarios
Difusión de 1 1 3
software
dañino
Errores de 0 2 2
mantenimient
o
Robo 0 2 1
Catástrofes 1 0 2
Avería de 1 1 3
origen físico o
lógico
Errores de 0 2 2
mantenimient
o
Corte de 2 2 3
suministro
eléctrico
28
Valores del riesgo para el activo: Inmobiliaria
Tabla 21 - C.R.Inmobiliaria
Catástrofes 0 0 1
Mal uso 2 2 2
Errores de 1 1 3
mantenimient
o
Robo 0 2 3
Robo 0 2 3
Alteración de 1 0 2
información
Errores del 1 1 3
usuario
Manipulación 0 2 2
del hardware
Catástrofe 2 2 3
Catástrofes 0 2 1
Daños 1 0 2
físicos
Robo 1 1 3
Fallas 0 2 2
29
técnicas
Devaluación 2 2 2
Catástrofes 0 2 1
Errores de 1 0 2
configuración
Robo 1 1 3
30