Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Department of Systems Engineering and Informatics, Universidad de Norbert Wieners, Av. Arequipa 440 Santa
Beatriz, Lima, Peru Corresponding author
Abstract—La tecnología se ha ido haciendo en los últimos años, y esto ha ido revelando un impacto a
nivel mundial ya que actualmente, en esta pandemia, varias empresas han sido víctimas de robo de
información a través de hacker, ya que Lagunas empresas no cuentan con auditorías para poder
proteger su información. La gestión de auditorías de seguridad informática en las empresas es muy
importante para detectar riesgos y gestionar el control empresarial aplicando la gestión de la
continuidad en cada siniestro. El artículo tiene como objetivo principal implementar un plan de
auditoría y seguridad de la información a través de la norma ISO 27001 para un sistema de ventas para
mejorar la seguridad informática. La revisión bibliográfica trata sobre la definición de varios procesos
que forman parte del desarrollo de nuestra implementación. Nuestra metodología empleó cinco etapas
de gestión de proyectos (Inicio, Planificación, Ejecución, Seguimiento y control, y cierre), explicando el
procedimiento y definición de cada etapa. El caso de estudio es el desarrollo de cada etapa que
identifica los riesgos y obtiene una solución a cualquier amenaza. Los resultados son los tratamientos
de los riesgos realizados en la empresa, explicando el cumplimiento de la cláusula y controles de la ISO
27001 en la empresa. Finalmente, el análisis de los indicadores de cada política de la empresa para
conocer la mejora de la empresa Tec Center S.A.C.
Keywords— Audit; continuity management; information security; ISO 27001; project management.
Manuscript received 11 Dec. 2020; revised 28 Apr. 2021; accepted 26 Nov. 2021. Date of publication 30
Jun. 2022. IJASEIT is licensed under a Creative Commons Attribution-Share Alike 4.0 International
License
2
para garantizar la seguridad de los servicios y procesos [21]. que gestiona sus procesos; puede identificar
Esto tiene que ser aplicado eficientemente para tomar la inmediatamente su principal característica,
importancia de la integridad, confidencialidad, y procesos estratégicos, procesos de negocio y
disponibilidad, incluidas todas las partes interesadas que procesos de apoyo [28]. Como se muestra en la
participó en la empresa. Priorizar los controles de seguridad Fig. 2, la empresa Se muestra el mapa de procesos,
para que no se encuentren vulnerabilidades y amenazas [22]. el cual tiene tres procesos fundamentales. El
Además, un proyecto ampliamente utilizado pero proceso estratégico (planificación, servicio al
estandarizado marco de gestión se realizó y creció durante cliente, marketing, y gestión de mercancías),
30 años. Este marco pretende estandarizar cualquier procesos operativos (gestión de compras, recepción
proyecto que sea muy enfocada en los encargados de esa y control de productos, pedidos administración,
obra para que haya una mayor probabilidad de éxito en el administración de ventas, administración de
proyecto y es más confiable y más estable. Al rechazar la entregas), y finalmente, el proceso de soporte (TI,
planificación y los procesos rígidos, intente para aumentar la RRHH, contabilidad y finanzas).
flexibilidad del proyecto. En ambos casos, los objetivos son
los mismos: el éxito del proyecto y la máxima satisfacción
del cliente [23]. El PMBOK marco de gestión tiene como
estándar para identificar los buenos metodología de trabajo
y, al mismo tiempo, precisar los caminos comunes que
existen en la gestión de proyectos para estructuración. De
esta forma, en PMBOK el estándar es similar a la aptitud
para el proyecto en la estructuración en relación con el
desarrollo de los conocimientos, herramientas, técnicas y
habilidades necesarios para su correcto uso [24]. Consiste
en un plan que sirve para recuperarse de los desastres que
están por suceder o que ya están sucediendo. Es un conjunto
de procesos con los que podrían defenderse y también
obtener soporte técnico nuevamente.
Fig. 2 Mapa de Procesos de la Organización
Por lo tanto, una empresa cuenta con diferentes casos para
5) Etapa de planificación
su desarrollo si ocurre algún tipo de desastre natural que
1) Horario: Chronogram es una herramienta encargada de
afecte la organización [25]. Esta parte del método explica la
la planificación el cronograma o el tiempo para llevar a
cinco etapas de las actividades de gestión de proyectos
cabo o completar un proyecto actividades.
(iniciación, Planificación, Ejecución, Control y Cierre) en
Políticas de seguridad de la información
los que sirvió para el desarrollo de la obra.
Seguridad de la información: Se supervisa la
1) Etapa de puesta en marcha
obtención de información a través de la
En esta primera etapa, se encarga de realizar los
organización objetivo. Esto permite la
misión y visión para finalmente terminar el mapa
implementación de la información. seguridad
de procesos.
que permitiría la evaluación [29] de riesgos,
2) Misión: La misión establece las razones de la
amenazas, y vulnerabilidades para controlar
existencia de la organización, incluidos sus
cualquier falla o inconveniente encontradas en
servicios en el presente [26]. Misión empresa Tec
la empresa [30].
Center S.A.C.: La misión de la empresa Tec Center
Sistemas de respaldo y recuperación: Para
S.A.C. Fortalecernos cómo empresa mejorando la
tener un respaldo sistema y procedimiento de
calidad de nuestros productos y servicios conforme
recuperación, debe tener un medio de
a la oferta y demanda del mercado, integrando
protección de almacenamiento para el control
nuevas marcas y líneas de productos a un precio
de acceso a las bibliotecas
accesible y con la mejor tecnología.
Gestión de Riesgos: Es necesario tener un
3) Visión: La visión es para el futuro y describe su
riesgo metodología que identifica, observa y
posición en el mercado en unos 5 a 20 años [27].
evalúa.
Visión empresa Tec Center S.A.C.: La visión de la
Creación de base de datos: El área de TI es la
empresa Tec Center S.A.C. es Ser el major
encargada de la diseño físico y lógico de la
proveedor de tecnología y servicio para un
base de datos, utilizando la información de la
mercado en constante cambio. Líder en venta de
empresa.
equipos y laptops de alta gama como también en
Instalación de base de datos: Para cualquier
reparación y mantenimiento, contando con
base de datos, la instalación es requerido por el
personal capacitado y apasionado por la tecnología.
personal de soporte técnico que está
4) Mapa de Procesos: Representa una organización
3
capacitado en el área de TI. Por lo general, 2) Valoración del activo de información: Está a cargo de
puede ser un personal de terceras empresas realizar una valoración de acuerdo con la
para realizar la supervisión e instalación. confidencialidad, integridad, e impacto. Según los tres
Seguridad de la base de datos: La base de pilares de la información, un 5-nivel de valoración se
datos DOMINGUEZ tiene un sofisticado realiza para cada pilar, como se muestra en la Tabla 2.
mecanismo que garantiza la seguridad, Confidencialidad: La falla o pérdida de un
integridad y confidencialidad al almacenar activo da lugar a la divulgación no autorizada
cualquier información de la empresa. de información; productor un impacto que
Seguridad física y ambiental: Para obtener un afecta los intereses de la organización
control de acceso físico a cualquier (prestigio, económico, legal, competencia,
instalación, es protegido contra cualquier entre otros.).
amenaza interna o externa. Integridad: La falla o pérdida de un activo
Políticas sobre el uso de licencias de software: origina la alteración de la información
El área de TI Supervisar que todas las (dejando de ser exacta y completo);
computadoras funcionen correctamente. produciendo un impacto que afecta a los
Políticas generales de seguridad de acceso: Si intereses de la organización (prestigio,
un empleado es descartado, el acceso debe ser económicos, legales y competencia, entre
desactivado y bloqueado con notificación otros).
previa la persona. La persona a cargo del área Disponibilidad: La falla o pérdida de un
debe avisar al área de TI para cerrar o activo provoca la interrupción del acceso y
deshabilitar el acceso a ese empleado. disponibilidad de la información; produciendo
Gestión de redes y sistemas informáticos: un impacto que afecta a los intereses de la
Todas redes conectadas a cualquier ordenador organización (prestigio, económicos, legales,
de la empresa, dispositivos móviles y otros. competencia, entre otros).
Debe tener supervisión y protección contra TABLA II
VALORACIÓN DEL ACTIVO DE INFORMACIÓN
ataques cibernéticos para proteger la
Nivel Criterios para la valoración de activos de
información de datos de la empresa.
información
Planes de recuperación de desastres: Un plan
Confidencialidad Integridad Disponibilidad
de contingencia debe ser en caso de cualquier
tipo de desastre natural. Todos los planes
Muy Irreversible Irreversibl Irreversible
deben ser aprobado y verificado por la Alta Impacto e impacto
empresa gerente. (5)
6) Etapa de ejecución Impacto
Alto Impacto severo Impacto
1) Inventario de activos de información: Activo de (4)
información se identifican los inventarios, Severo severo
Medio Moderado impacto Moderado
calificando los activos de acuerdo a su tipo En la (3)
primera parte de la etapa, la compañía se realizaron impacto Moderado impacto
los activos disponibles, como se muestra en la impacto
Bajo Impacto parcial Impacto
Tabla 1. (2)
TABLA I Impacto parcial
INVENTARIO DE ACTIVOS DE INFORMACIÓN parcial
Muy Sin impacto Sin impacto
Tipo activo Descripción bajo Sin impacto
Datos y Base de datos (1)
Información
Aplicaciones de Sistemas Operativos 3) Probabilidad de Ocurrencia: Identifica los niveles que
Software tienen probabilidad de ocurrencia. Como se muestra en
Servidores, Escritorio, la Tabla 3, la probabilidad de ocurrencia tiene un valor
Hardware Computadoras, de 1 a 5 con frecuencias correspondientes.
Almacenamiento, biblioteca de TABLA III
Información medios cintas, entre otros. PROBABILIDAD DE OCURRENCIA
de comunicación Aire Acondicionado, Generador, Valor Frecuencia
cintas de respaldo Alarmas, Detectores de humo, 5 Muy Frecuente
Auxiliar Equipo extintores de incendios, Medidores 4 Frecuentes
de temperatura, entre otros. 3 Regulares
5
A. Etapa de Seguimiento y Control E. Diagnóstico final – controles
Evaluación de riesgos: La evaluación de riesgos se La Tabla 7 muestra la estimación de ISO
explica en la Fig.5. De acuerdo con la 27001:2014, identificando al inicio del artículo se
identificación de los bienes en la Tabla I, él se observan controles en un 48% y al final al 73%.
observaron los riesgos y la vulnerabilidad de cada
activo. Después estimando la Probabilidad (P) y el F. Análisis de indicadores
En la Fig. 7, obtuvimos la tabla de análisis de
Valor de Impacto (VI), es multiplicado, dando indicadores, la cual indica las políticas de
como resultado el Riesgo (R). Los Niveles de seguridad de la información y de la empresa
Riesgo (NV) son los criterios de aceptación del objetivos Esto ayudó a identificar el indicador, la
riesgo como se explica en la Fig. 3 y la Fig. 4. fórmula, la meta, y es el antes y el después. Hubo
un crecimiento en algunos indicadores, esto sirvió
B. Etapa de cierre para que la empresa actualmente tenga que
Acto de Clausura: En esta última etapa, se procedió alcanzar su meta y tener un mejor desempeño en
a realizar el acto de cierre mediante el cual el sus políticas.
equipo de trabajo de la empresa y el propietario 4. IV.CONCLUSIONES
concluir el proyecto. Análisis y diseño basado en la norma ISO27001 de las
C. Plan de Tratamiento de Riesgos elaboró la Norma Técnica Peruana 2014, realizando la
Con base en la evaluación de riesgos en la Fig. 4, correspondientes comparaciones, se llegó a la conclusión de
se elaboró un plan que ayuden a atender los riesgos tener una gran mejora lo que implica un gran avance en la
que existen en la empresa Tec Center S.A.C. empresa. El objetivo se ha cumplido con éxito ya que el
Company, como se muestra en la Fig. 6. objetivo era implementar un plan de auditoría a través de la
ISO27001 al mismo tiempo que identifica la información
D. Análisis de brechas Problemas de seguridad encontrados en la empresa Tec
La Tabla 6 muestra la estimación de ISO Center S.A.C. Se difunde el desarrollo de una estrategia de
27001:2014, se observan cláusulas que identifican seguridad de la información y conocido por todos los
el inicio del artículo en el 40% y terminando en el empleados, dando a la organización una visión de cómo
84%. realizar las actividades diarias y cómo estas actividades
TABLA VI pueden ayudar a mejorar el sistema de gestión. Si la gestión
ANÁLISIS DE LAS DEFICIENCIAS
de riesgos los métodos se aplican correctamente,
Cláusula Comienzo Final
información comercial importante los activos y riesgos y su
4. Contexto de la Organización 28% 69%
impacto pueden ser identificados, y Se pueden utilizar
5. Liderazgo 50% 86% medidas de control apropiadas para formular el trabajo.
6. Planificación 69% 93% Planes para mitigar y reducir los riesgos. El nivel de riesgo
7. Apoyo 37% 93% ha alcanzado un nivel aceptable. El trabajo futuro sugiere
8. Operación 30% 83% que una información sistema de seguridad se implementará
9. Evaluación del desempeño 44% 75% a través de un software donde todos Los controles se pueden
10. Mejorar 21% 89% ingresar a través del software.
Cumplimiento 40% 84%
6
References
1] W. Boehmer, "Appraisal of the effectiveness and efficiency of an information security management system based on iso 27001," in 2008
Second International Conference on Emerging Security Information, Systems and Technologies, IEEE, 2008, pp. 224-231.
[1] L. A. Sánchez Cortés, “‘Manual Para El Uso De Los DatosBiometricos En Los ServiciosFinancieros,’” 2019, [Online]. Available:
[1] F. Flores Ccanto, C. Pozo Curo, L. D. Flores Conislla, and W. A. Adauto Medina, “Challenges of transformational
leadership in organizational cybersecurity matters [Desafíos del liderazgo transformacional en asuntos de ciberseguridad
organizacional],” Revista Venezolana de Gerencia, vol. 26, no. Special Issue 5, pp. 417–429, 2021, doi: 10.52080/rvgluz.26.e5.27.
[2] E. Y. Kosevich, “Cyber security strategies of Latin America countries,” Iberoamerica (Russian Federation), no. 1, pp. 137–159,
2020, doi: 10.37656/S20768400-2020-1-07.
[3] C. Astorga-Aguilar and I. Schmidt-Fonseca, “Social nerworks dangers: How to educate our childs in cibersecurity [Peligros de las
redes sociales: Cómo educar a nuestros hijos e hijas en ciberseguridad],” Revista Electronica Educare, vol. 23, no. 3, pp. 1–24, 2019,
doi: 10.15359/ree.23-3.17.
[4] A. A. Albraikan et al., “Optimal Deep Learning-based Cyberattack Detection and Classification Technique on Social Networks,”
Computers, Materials and Continua, vol. 72, no. 1, pp. 907–923, 2022, doi: 10.32604/cmc.2022.024488.
[5] M. al Duhayyim, H. M. Alshahrani, F. N. Al-Wesabi, M. Alamgeer, A. M. Hilal, and M. Rizwanullah, “Deep learning empowered
cybersecurity spam bot detection for online social networks,” Computers, Materials and Continua, vol. 70, no. 3, pp. 6257–6270,
2022, doi: 10.32604/cmc.2022.021212.
[6] E. H. R. Asís, R. P. N. Figueroa, R. E. T. Quiñones, and P. R. H. M. Mázmela, “Validation of a cybercrime awareness scale in
Peruvian university students,” Revista Cientifica General Jose Maria Cordova, vol. 20, no. 37, pp. 209–224, 2022, doi:
10.21830/19006586.791.