Navira Angulo@uleam Edu Ec

Mikarimin.
Revista Científica Multidisciplinaria ISSN 2528-7842

PROPUESTA METODOLÓGICA DE SEGURIDAD DE INFORMACIÓN PARA PROVEEDORES DE
SERVICIOS DE INTERNET EN ECUADOR
PROPUESTA METODOLÓGICA DE SEGURIDAD DE INFORMACIÓN PARA

PROVEEDORES DE SERVICIOS DE INTERNET EN ECUADOR
AUTORES: Navira Gissela Angulo Murillo1
María Fernanda Zambrano Vera2
Gabriel García Murillo3
Francisco Bolaños- Burgos4
DIRECCIÓN PARA CORRESPONDENCIA: navira.angulo@uleam.edu.ec
Fecha de recepción: 17-06-2018
Fecha de aceptación: 10-08-2018
RESUMEN
Uno de los problemas más comunes en las grandes, medianas y pequeñas empresas; se presenta
en el proceso de seguridad de la información. En Ecuador existe un número representativo de
empresas Proveedoras de Servicios de Internet (PSI), que no obtenido la certificación ISO/IEC
27001. Este artículo presenta los resultados de la implementación de la metodología propuesta
para gestionar la seguridad de la información en las emrpesas estudiadas. La metodología de
investigación se fundamenta en el estudio de caso. Los resultados muestran mejoras significativas
con la adopción del modelo basado en las normas ISO/IEC 27001 y 27002, que controla los
procesos de seguridad para garantizar la confidencialidad, integridad y disponibilidad de la
información. Se propone como trabajo futuro, la aplicación de la metodología en empresas
proveedoras de internet del sector público a fin de validar la metodología propuesta.
PALABRAS CLAVE: Seguridad de información; SGSI; ISO/IEC 27001; ISO/IEC 27002, ISP.
SAFETY MODEL OF INFORMATION FOR PROVIDERS OF INTERNET SERVICES

(ISP) IN ECUADOR
1
Universidad Laica Eloy Alfaro de Manabí, Manta, Manabí, Ecuador. Ingeniera en Sistemas y magíster en Dirección
Estratégica de las Tecnologías de la Información y Comunicación en la universidad Nacional de Piura – Ecuador, en
proceso de elaboración de tesis para obtener el título de magíster en Auditoría de las Tecnologías de la Información y
Comunicación, Universidad de Especialidades Espíritu Santo de Guayaquil. Se desempeña como Coordinadora de
Planificación Estratégica y Operativa en la Universidad Laica Eloy Alfaro de Manabí. E-mail:
navira.angulo@uleam.edu.ec
View metadata, citation and similar Universidad Laica Eloy Alfaro de Manabí, Manta, Manabí, Ecuador. Ingeniera brought to you by enCORE
Sistemas y magíster en Dirección
2
provided by Uniandes Episteme (E-Journal - Universidad Regional Autónoma de Los Andes)
Estratégica de las Tecnologías de la Información y Comunicación en la universidad Nacional de Piura – Ecuador.

papers at core.ac.uk
Analista – Evaluadora en el Departamento de Evaluación Interna de la Universidad Laica Eloy Alfaro de Manabí. E-
mail: mafer.zambrano@uleam.edu.ec
3
Universidad Técnica de Manabí.
4
Universidad Espíritu Santo – Ecuador, Samborondón, Guayas, Ecuador. Ingeniero en Computación y magíster en
seguridad informática aplicada de la Escuela Superior Politécnica del Litoral (ESPOL) en Guayaquil, Ecuador. Se
desempeña como director de la Maestría en Auditoría de Tecnologías de la Información (MATI). Enseña
criptografía, hackeo ético y seguridad de la información en la Facultad de Postgrados en UEES. Sus líneas de
investigación son: seguridad de la información y herramientas de evaluación (rubrics y scripts). E-mail:
fcobolanos@uees.edu.ec
© Centro de Investigación y Desarrollo. Universidad Regional Autónoma de Los Andes - Extensión Santo Domingo. Ecuador. 165
Navira Gissela Angulo Murillo, María Fernanda Zambrano Vera, Gabriel García Murillo, Francisco Bolaños-Burgos
ABSTRACT
One of the most common problems in big, medians and small-scale enterprises; it appears in the
safety process of the information. In Ecuador, there exists a number representative of companies
Provider of Internet services (PSI), which not obtained the certification ISO/IEC 27001. This
article presents the results of the implementation of the methodology proposed to manage the
safety of the information in the studied companies. The methodology of investigation is based on
the case study. The results show significant progress with the adoption of the model based on the
norms ISO/IEC 27001 and 27002, which controls the safety processes to guarantee the
confidentiality, integrity, and availability of the information. The application of the methodology
is proposed as future work, in companies Internet providers of the public sector in order to
validate the proposed methodology.
KEYWORDS: Security of information; SGSI; ISO/IEC 27001; ISO/IEC 27002; ISP.
INTRODUCCIÓN
La adopción de las Tecnologías de la Información y Comunicación (TIC´s) en las organizaciones,
genera más oportunidades de crecimiento y nuevas estrategias de competitividad en el mercado
(Gonzálvez, et al., 2010; Porter, 1984; Aguilera & Riascos, 2009); sin embargo, el desarrollo
vertiginoso que brinda la tecnología, también incrementa las vulnerabilidades en la información
(Ruíz & Ruíz, 2010); ya que ésta se trata, transmite, almacena, descarga, comparte a través de
medios tecnológicos (Gaspar, 2004). Pablos, López, Martín y Medina (2012) señalan, que las
organizaciones deben implementar proyectos de gestión de la seguridad , con el objetivo conocer,
analizar y mitigar los riesgos de la información, para establecer medidas adecuadas de protección
(Orrego, 2013; (Heras Saizarbitoria et al., 2007; Arora, n.d.)
Según el reporte de (CISCO, 2016), las pymes utilizan menos mecanismos de defensas que las
empresas de gran tamaño, el 39% de pymes han experimentado brechas de seguridad dañinas
frente al 52% reportado por las empresas de mayor tamaño, lo que refleja debilidad en sus
controles de protección de seguridad. De ahí que, PYMES deben implementar mecanismos de
seguridad para proteger sus activos de información (García, et al., n.d.; Aguilera, Salgado, &
Hernández, 2013). Los PSI, son pymes autorizadas para ofrecer el servicio de internet a los
usuarios, desde el año 2009 en el Ecuador se aprobó a través del Subcomité de Normas de la
Tecnología de la Información del Instituto Ecuatoriano de Normalización (INEN), normas
aprobadas y vigentes como: NTE INEN ISO/IEC desde la 27000 hasta la 27006, 27799, 27033-1
que tienen relación a la seguridad de la información, no obstante, la empresa Movistar es la única
que ha obtenido la certificación SGSI fundamentada en la norma ISO/IEC 27001 (EKOS, 2013),
existiendo a nivel nacional un número 340 de empresas no han obtenido esta certificación.
Actualmente, las empresas públicas en Ecuador deben cumplir con el Acuerdo 166 acerca de las
Normas Técnicas de Seguridad INEN/ISO 27000, el cual describe el proceso para implementar
un Sistema de Gestión de Seguridad de Información (SNAP, 2013). Debido a que ésta normativa
sólo es exigida para empresas públicas, se genera una brecha en los controles de seguridad de
información que puedan aplicar las empresas privadas, es el caso de las empresas proveedoras de
internet, las cuales no han estructurado de manera formal procesos que permitan regular la
gestión de seguridad, a fin de minimizar los riesgos que atenten contra la disponibilidad,
integridad y confidencialidad de la información (Abril, Pulido, & Bohada, 2013; Royal, 1988;
Carvajal, n.d.).
166 Revista Mikarimin. Publicación cuatrimestral. Vol. 4, Año 2018, No. 4 (Edición Especial)
Mikarimin. Revista Científica Multidisciplinaria ISSN 2528-7842
Este estudio se fundamenta en los procesos descritos en la norma ISO/IEC 27001 y 27002, patrón
que servirá para la identificación del nivel de seguridad en este tipo de pymes y coadyuvará a la
toma de decisiones que estén relacionadas a inversiones futuras, siguiendo criterios de capacidad
y seguridad, así mismo, permitirá enfrentar y asumir cambios regulatorios. Hablar de
implementación de una norma resulta complejo por la poca cultura de seguridad que existe en las
empresas, siendo necesario que que se regulen, estandaricen y acrediten sus controles de
seguridad para la minimización de riesgos, elementos que infrinjen la disponibilidad, integridad y
confidencialidad de la información. Ante esta problemática, se plantea la siguiente pregunta:
¿Cómo mejorar la gestión de la seguridad de la información de las empresas proveedoras de
internet en Ecuador?
El objetivo principal de este estudio es diseñar una propuesta metodológica para implementar un
sistema de gestión de seguridad de la información basado en las Normas ISO/IEC 27001 y 27002
en empresas proveedoras de internet en Ecuador. Se formuló los siguientes objetivos específicos:
(1) Determinar el perfil de gestión de seguridad de información de las empresas proveedoras de
internet, (2) Establecer una propuesta metodológica para la implementación del sistema de
gestión de seguridad de la información en las empresas investigadas, (3) Diseñar los controles
personalizados de seguridad de información más relevantes que garanticen la confidencialidad,
integridad y disponibilidad de la información en las empresas investigadas, (4) Validar la
propuesta metodológica a través de expertos en el tema. Para validar la propuesta se utilizó la
metodología de estudio de caso, considerando las actividades más relevantes en las empresas
estudiadas, de acuerdo a lo que establece Farias, Mendoza y Gómez (2003).
El artículo se compone de las siguientes secciones: La sección 2, se presenta la fundamentación
teórica de las variables de estudio. En la sección 3 se describe el modelo propuesto para la
gestión de seguridad de la información en las empresas investigadas. La sección 4 se detalla la
metodología aplicada para la validación de la metodología propuesta. Finalmente, la sección 5
muestra los resultados de la implementación, las conclusiones y las recomendaciones para futuros
trabajos.
DESARROLLO
Sistema de gestión de seguridad de la información (SGSI)
Areitio (2008), menciona que un SGSI se compone de una estructura, recursos, procesos y
procedimientos para definir los objetivos y políticas de una organización. Los avances de la
tecnología de la información y comunicación han desarrollado nuevos métodos que afectan a la
seguridad en las organizaciones, es por ello que se presenta la necesidad de establecer estándares
y políticas de seguridad (Kenneth Laudon, 2004). La gestión de seguridad consiste en la
aplicación de normas o controles para salvaguardar la confidencialidad, integridad y
disponibilidad de la información. (Baumann, & Schmid, 2006; Whitman & Mattord, 2012;
Sattarova & Kim, 2007; Montesino & Fenz, 2011).
De acuerdo a lo manifestado por Ladino, Villa, & López (2011), la información es considerado el
activo más importante en la organización, por tanto, debe protegerse de las innumerables
amenazas y vulnerabilidades que se materializan en las empresas. La información no sólo es
considerada como un recurso o producto, sino como activo, por cuanto se debe organizar,
gestionar y utilizar para el cumplimiento de los objetivos de la organización (Díaz, De Liz, &
Rivero, 2009; Sánchez, et al., 2011; Velasco, 2008). Existen dos categorías de activos de
información: el primario y de apoyo, el primero tiene que ver con los procesos básicos y el
segundo se refiere a toda la información que tiene la empresa. (ISO/IEC, 2011).
Figura 1 – Sistema de Gestión de Seguridad de la Información

Fuente: http://www.ideasparapymes.com/red-proveedores/productos/ISO%2027000.png
ISO/IEC 27000
La Organización Internacional para la Estandarización por su siglas en inglés International
Organization for Standardization (ISO), establece una serie de normas en diferentes entornos,
como la informática. Así mismo, el International Electrotechnical Commision (IEC) publica
normas en el área de la electrónica. En el año 2005 se revisó y actualizó la norma 17799,
renombrada como ISO/IEC 27000 y sus series. Esta norma conforma un conjunto de estándares
que proporcionan un marco de gestión de la seguridad de la información para cualquier tipo de
organización pública o privada. La norma ISO/IEC 27001, es la principal de la serie ISO 27000,
publicada en el año 2005, contiene los requisitos del sistema de gestión de seguridad de la
información, detalla los objetivos de control y controles que desarrolla la ISO 27002:005. La
ISO/IEC 27001 describe el proceso formal de gestión de seguridad de información, que usa como
principio el ciclo Deming PDCA (Plan-Do-Check-Act), (Carpentier, 2016).
Para conocer con mayor detalle el campo de aplicación de los estándares ISO/IEC 27000, Burgos
& Campos (2008), inician con: La definición de estándares y requisitos para sistemas de gestión
de seguridad de la información (ISO 27001), código de buenas prácticas y controles
recomendables para la seguridad de la información (ISO 27002), guía para implementar un SGSI
y uso del esquema PDCA (Plan, Do, Check, Act) (ISO 27003), estándares de evaluación del
SGSI (ISO 27004), una guía para la gestión de riesgo (ISO 27005), requisitos para
organizaciones encargadas de auditoría y certificación de SGSI (ISO 27006), especificaciones
para aplicar auditorías de SGSI (ISO 27007), guía de evaluación de gestión de seguridad de la
información para telecomunicaciones (ISO 27011), describe las técnicas para continuidad de
negocio (ISO 27031), una guía de ciber-seguridad (ISO 27032), norma para la seguridad en redes
(ISO 27033), especificaciones para seguridad en aplicaciones (ISO 27034), norma de aplicación
de seguridad de la información en el sector sanitario (ISO 27799). Por consiguiente, la serie
ISO/IEC 27000 define un conjunto de políticas que deben cumplir los SGSI, rangos que están
reservados desde la 27000 a la 27019 y de la 27030 al 27044, (Alegre y García, 2011).
Metodología
La investigación se basa en un enfoque cualitativo de tipo descriptovo e interpretativo, sin
fundamentación de hipótesis previas. Se utiliza el método de estudio de caso, puesto que permite
profundizar el proceso de investigación a partir de los datos levantados. Para recopilar la
información se utilizó las técnicas: análisis documental, entrevista y lista de verificación. La lista
de cotejo ayudó a identificar riesgos, amenazas y vulnerabilidades informáticas basadas en la
norma ISO/IEC 27002:2005.
Las actividades ejecutadas fueron: solicitud de autorización de recolección de datos a gerentes de
las empresas seleccionadas, entrevista a jefes del área de tecnología de comunicación de las ISP,
comprobación de controles de seguridad a través de listas de verificación, tabulación datos,
análisis e interpretación de resultados. Los datos obtenidos fueron analizados e interpretados para
elaboración del informe final con las descripciones minuciosas de los evenots y situaciones más
relevantes que se encontraron en las empresas proveedoras de servicios de internet de Manta.
Finalmente, se planteó la metodología propuesta para la gestión de seguridad de información, de
acuerdo a los controles que especifica la norma. La muestra de empresas seleccionadas, está
ubicada en Manta y permiten el acceso a clientes con cuentas personales, instituciones mediante
cuentas corporativas, tal como se muestra en la tabla 1.
Tabla 1 – Empresas proveedoras de internet en Manta
Ítems Permisario Nombre Dirección

comercial
Sistemas Globales Km 6 vía Manta –
de Comunicación Montecristi.
1 HCGlobal
HCGlobal
Av. 6 entre calle 13 y
2 Systray S.A Systray S.A. 14. Centro Comercial
Pasaje Centro.
Cedeño Dominguez Urbanización Manta
Byron Vicente Beach.
3
4 Chopitea Cantos ACCE Ecuador Av. 8va, entre calle 12
Javier y 13.
Calle Mediterraneo vía
5 Del Hierro San Mateo, Manta
Melchiade Robert 2000.
RDH
6 Intriago Rengifo Ciudadela Universitaria
Galo José II.
Calle 122 y Av. 108,
7 Moya Zambrano diagonal a CNT,
Crsithian E. redondel Paraíso.
8 Mananet Mananet Calle 16 y 17, Av. 24.

9 Montesdeoca InterFast Cdla. Las Orquideas.
Alarcón María
10 Molina Sabando Megafastnet Cdla. Universitaria
Lizandro
11 Asesoría Calle 29, Av. Flavio
Tecnológica Reyes. Ed. Bucaneiro.
Asetecsa S.A,
Asetecsa S.A.
Resutados
En esta sección se analiza la cadena de valor de las empresas proveedoras de internet en Manta,
ubicación, mercado, abonados, esquema de red, diagrama de procesos, tecnología e
infraestructura requerida para la implantación de la solución propuesta, se estereotipa una síntesis
de la situación actual y la metodología propuesta de seguridad de información. El resultado es un
modelo abstracto que utiliza como herramienta principal el pictograma.
En la figura 2, se observa la cadena de suministros de una ISP, el cual inicia en los portadores
internacionales llegando al país a través de un portador estatal que centraliza la recepción de la
señal y la distribuye a los operadores locales en las distintas provincias del Ecuador. En la ciudad
de Manta existen 11 empresas que proveen servicios de internet, permitiendo el acceso de
clientes con cuentas personales y de empresas e instituciones mediante cuentas corporativas,
adicionalmente están los Portadores que a su vez son Regulados por la Secretaria Nacional de
Telecomunicaciones Senatel.
SECRETARIA NACIONAL DE PROVEEDORES DE

TELECOMUNICACIONES SERVICIOS
SENATEL PORTADORES
SERVICIOS PROVEEDORES DE
INTERNET ISP SISTEMAS
ATENCIÓN AL
CLIENTE
HOME
PYMES
CORPORATIVOS VENTAS
CONTABILIDAD
SOPORTE
TÉCNICO
Figura 2 – Esquema general de la cadena de valor de un ISP
En Ecuador existen varios tipos de regulaciones enfocadas a las TIC, tales como: Reglamento de
Servicio de Valor Agregado, Reglamento de Servicios Portadores y el Reglamento para la
provisión de capacidad del cable submarino. El espectro radioeléctrico es considerado por la
Constitución de la República como un sector estratégico, por tanto, el estado se reserva el
derecho de su administración, regulación, control y gestión. Dentro de este contexto, la
legislación de telecomunicaciones ecuatoriana lo define como un recurso natural limitado,
perteneciente al dominio público del Estado, inalienable e imprescriptible. El esquema de red se
aprecia en la figura 3.
PROVEEDOR DE
SERVICIO PORTADOR 1
Antivirus SISTEMAS DE
Antispam
PROVEEDOR DE INFORMACIÓN
AntiDOS
SERVICIO PORTADOR 2
SWITCH DE
CAPA 2 HOSTING FTP DNS DNS
CONECTIVIDAD
INTERNACIONAL
FIREWALL
FIREWALL
SWITCH DE
CAPA 3 SWITCH DE
INFRAESTRUCTURA
CAPA 2
DE ACCESO
SWITCH DE
SWITCH DE
CAPA 2 SWITCH DE
CAPA 2
CAPA 2
RED DE
RECURSOS
HUMANOS
CONTROL
DE ANCHO
DE BANDA
ACCESS
CONCENTRADOR
POINT CONCENTRA
FIBRA OPTICA
DOR ADSL2+
ABONADOS ABONADOS ABONADOS

WIRELESS ADSL2+ FIBRA ÓPTICA
Figura 3 – Esquema de red de un ISP

Ecuador cuenta con el acuerdo 166 de la Secretaria de Administración Pública, en el cual se
dispuso que todas las entidades públicas implementen un esquema gubernamental de Seguridad
de la Información según la Norma ISO/IEC 27001, que lo ejecutó la Corporación Nacional de
Telecomunicaciones (CNT) en el año 2013. Actualmente en el Ecuador no existen controles
rigusos respecto a la aplicación de medidas de seguridad de la información, siendo ésta la
principal imposibilidad de que estas pymes puedan competir con las empresas estatales en calidad
de servicios. Estudiando los indicadores y caracterizado el entorno requerido para la
implementación de la norma ISO/IEC 27001 y 27002, se ha estereotipado a los ISP de acuerdo a
ello, se puedo tomar un proveedor de servicio de valor agregado de internet, para aplicar la lista
de verificación y en este caso a la empresa Megafastnet. Los resultados del análisis fue el
siguiente:
Tabla 2 –GAD Análisis de evaluación y cumplimiento

No
Items Dominio Cumple Cumple
5 Política de seguridad 0,00% 100,00%
6 Organización de la seguridad de la información 80,00% 20,00%
7 Gestión de Activos 60,00% 40,00%
8 Seguridad en Recursos humanos 27,27% 72,73%
9 Seguridad física y ambiental 37,50% 62,50%
10 Gestión de Comunicaciones y operaciones 53,13% 46,88%
11 Control de acceso 76,92% 23,08%
Adquisición, desarrollo y mantenimiento de
12 sistemas de información 37,50% 62,50%
Gestión de incidencias de la seguridad de la
13 información 40,00% 60,00%
14 Gestión de la continuidad del negocio 40,00% 60,00%
15 Cumplimiento 63,64% 36,36%
PROMEDIO 46,91% 53,09%
Los resultados fueron validados por un juicio de expertos, conformado por cinco profesionales
con experiencia mínima de cinco años en gestión de sistemas de información y con la formación
profesional en tecnologías de la información y comunicaciones y/o ramas afines.
Metodología propuesta
Esta metodología, proporciona lineamientos prácticos y sencillos para que las empresas
proveedoras de internet puedan gestionar la seguridad de información. Los resultados
demuestran, que estas empresas deben reestructurar varios de sus procesos y actividades
operativas, de tal manera que los activos sensibles estén protegidos según el alcance establecido
por este sistema, las fases que contempla la propuesta son:
Fase I: Planificación. El objetivo es identificar la situación actual de la ISP, desde el punto de
vista de la seguridad y establecer el alcance del SGSI, que involucra políticas de seguridad y
metodologías de evaluación. Se establece con la gerencia los requerimientos de la norma ISO
27001, se seleccionan los departamentos que manejan la información crítica y conocer las áreas
que se van a involucrar en el cambio. Se identifica los activos de información sensible, se evalúan
los riesgos, amanezas, vulnerabilidades, impactos y se seleccionan los controles, con apoyo de la
metodología Magerit y herramienta Pilar, Se obteniene como resultado: Compromiso de la
gerencia para la implementación de la norma ISO 27001, determinación del alcance de la norma,
identificación de activos de seguridad de la información y documento con la política de seguridad
de información.
Fase II: Implementación. Cuyo fin es establecer los controles de seguridad de información
especificados en la fase I. Se identifican, clasifican y valoran los activos, amenazas y
salvaguardas de información en la empresa. Se valora el impacto y riesgos de la información.

Posteriormente, se seleccionan los objetivos de control a implantarse. Se aplica la metodología
Magerit y la herramienta Pilar. Finalmente se obteniene el Plan de continuidad del negocio.
La Fase III: Verificación y Fase IV: Monitoreo. La metodología propuesta no abarca la fase de
verificación y monitoreo, puesto que la investigación se enfoca en la planificación y no en la
evaluación de los controles implantados.
ISO/IEC
Requerimientos y expectativas de seguridad de información
27001
CONTROLES DE INTEGRIDAD - CONFIDENCIALIDAD – DISPONIBILIDAD

SEGURIDAD
SERVICIOS
PLANFICAR SGSI
PROVEEDORES
DE INTERNET
ISP
ACTUAR
Mejorar el 1. Alcance
2. Políticas
SGSI 3. Metodología
4. Riesgos,
SOPORTE TÉCNICO
amenazas,
ATENCIÓN AL vulnerabilidades,
CLIENTE impactos.
VENTAS
5. Controles de
ISO/IEC seguridad
27002
VERIFICAR el CONTA BILIDAD

SISTEMAS
SGSI
HACER
GUÍA Implementar el
SGSI
MEDIDAS DE
CONTROLES REGISTROS DE
SEGURIDAD
SEGURIDAD
Figura 4 – Propuesta metodológica para la implementar un SGSI en una ISP

Fuente: Elaboración propia
En la figura 4, se muestra la metodología propuesta, la cual reconfigura los procesos de una
empresa proveedora de servicios de internet, además establece nuevas funciones para cada uno de
los usuarios que tendrán como responsabilidad manejar el recurso información. La síntesis de la
realidad problemática muestra a la empresa y a su medio ambiente y cómo funcionan las
relaciones entre sus diversos componentes. Se utiliza la metodología PDCA que busca siempre la
mejora continua de los procesos, en este sentido incorpora actividades de planificación, captura
de información, verificación de cumplimientos y acciones de mejora.
Validación de los resultados
Finalmente se validan los resultados con la opinión de 5 expertos en el tema de gestión de la
seguridad de la información, todos son profesionales con más de cinco años de experiencia en
tareas similares. La evaluación fue en forma independiente y para determinar el grado de
pertinencia se usó una escala bipolar (Hernández, Fernández, & Baptista, 2010). Los expertos
mostraron su aceptación a los resultados y consideraron además que es necesario una
metodología para gestionar la seguridad de información. El modelo proporciona un esquema
metodológico para facilitar la planificación, ejecución, control y retroalimentación del sistema de
gestión de información. En la tabla 3 se muestran los resultados obtenidos por los expertos.
Tabla 2 –GAD Análisis de evaluación y cumplimiento
Promedio Porcentaje
Atributos de la
según escala de
Ítem metodología
bipolar aceptación
1 Coherencia lógica de 74,29%
5,2
los procesos
2 Aseguramiento de la 77,14%
5,4
disponibilidad
5,2
integración
5,2
confidencialidad
5 Enfoque a la mejora 65,71%
continua y al
4,6
mantenimiento del
sistema
Promedio 5,12 73,14%
De acuerdo a los resultados obtenidos mediante el juicio de expertos se tiene una media de
73.14%, lo que evidencia una aceptación moderada en términos generales a las consideraciones
explicitadas de cada ítem; la última fase en particular representa un porcentaje por debajo de 70%
que es el umbral de aceptación. Por lo que se pueden obtener más consideraciones no examinadas
en este criterio, como por ejemplo las que corresponden al mantenimiento, la capacitación, la
infraestructura de respaldo que apoye tareas de seguimiento y estimación de costos relativos a
obtener mejores niveles de gestión de seguridad.
CONCLUSIONES
La metodología propuesta incorpora los procesos del ciclo PDCA que incluye actividades de:
planificación, captura de información, verificación de procesos y acciones de mejora. Así mismo,
contempla los lineamientos de la norma ISO/IEC 27001 y 27002 y políticas de seguridad de
acuerdo a los dominios de la norma aplicada. A través del estudio de caso se logró reconfigurar
algunos procesos que realizan las empresas proveedoras de servicios de internet y se establecen
nuevas funciones para cada uno de los usuarios que tendrán como responsabilidad manejar
información sensible. Los resultados de la investigación revelan que la gestión de seguridad de la
información en las empresas proveedoras de internet es baja, por la falta de controles internos de
seguridad. De acuerdo al juicio de expertos se obtuvo el 73,14% de aceptación de la metodología
propuesta, lo que garantiza la coherencia, en su lógica de construcción y funcionalidad.
La metodología propuesta puede parecer simple, esto se debe a que engloba específicamente
actividades para empresas proveedoras de internet y bajo este esquema se adaptan los estándares
de la norma aplicadas. Se debe tener presente que este modelo es totalmente perfectible y
ajustable a otras empresas conforme a las particularidades y tamaño. Como trabajo futuro, se
recomienda la validación de la motodología en empresas proveedoras de servicios de internet
públicas que ya hallan implementado un SGSI.
REFERENCIAS BIBLIOGRÁFICAS
Abril, A., Pulido, J., & Bohada, J. A. (2013). Risk analysis in security of information, 39–53.
Aguilera, A., & Riascos, S. (2009). Direccionamiento estratégico apoyado en las TICs. Estudios Gerenciales, 25(111), 127–143.
https://doi.org/0123-5923
Aguilera, L., Salgado, M., & Hernández, O. (2013). PROCESSES TO ENHANCE COMPETITIVENESS IN SMALL AND MEDIUM-SIZED,
5(1), 40–68.
Arora, V. (n.d.). Comparing different information security standards: COBIT v s. ISO 27001.
Baumann, R., Cavin, S., & Schmid, S. (2006). Voice Over IP - Security and SPIT, 31. Retrieved from
http://www.rainer.baumann.info/public/voip.pdf
Burgos, J., & Campos, P. (2008). Modelo Para Seguridad de la Información en TIC. Ceur-Ws.Org, 20.
Carpentier, J.-F. (2016). La seguridad informática en la PYME: Situación actual y mejores prácticas. (Eni, Ed.). Barcelona. Retrieved from
https://books.google.com.ec/books?id=LKE5_6gzBmgC&printsec=frontcover#v=onepage&q&f=false
Carvajal, A. (n.d.). ANALISIS Y GESTION DE RIESGOS RIESGOS, BASE FUNDAMENTAL DEL SGSI Caso: METODOLOGIA
MAGERIT.
CISCO. (2016, January). Resumen Ejecutivo. Informe Anual de Seguridad 2016, pp. 1–87. Estados Unidos. Retrieved from
http://www.cisco.com/c/dam/m/es_es/internet-of-everything-ioe/iac/assets/pdfs/security/cisco_2016_asr_011116_es-es.pdf
Díaz, M., De Liz, Y., & Rivero, S. (2009). El factor humano como elemento dinamizador del proceso empresarial en la gestión de la información
y conocimiento The human factor as catalyst for the enterprises process in the information and knowledge management. Acimed, 20(5), 42–55.
Retrieved from http://scielo.sld.cu
Farias-Elinos, M., Mendoza-Díaz, Gómez-Velazco, L. (2003). Las políticas de Seguridad como apoyo a la Falta de Legislación Informática .
Techno-Legal Aspects of Information Society and New Economy: An Overview. Information Society Book Series, 1. Retrieved from
http://mario.elinos.org.mx/publication/papers/2003/002.pdf
García, L., Sánchez, N., Ortega, A., Santiago, D., & Zamora, F. (n.d.). Pequeña y mediana empresa a través de la administración de la tecnología
de información (TI) para el desarrollo de la administración del conocimiento. Universidad ITESO, 1–10. Retrieved from http://www.bvs.hn/cu-
2007/ponencias/CAL/CAL064.pdf
Gaspar, J. (2004). Planes de contingencia la continuidad del negocio en las organizaciones. (D. de Santos, Ed.) (Primero). Madrid.
Gonzálvez, N., Soto, P., Trigo, A., Molina, J., & Varajão, F. (2010). El papel de las TIC en el rendimiento de las cadenas de suministro: el caso de
las grandes empresas de España y Portugal. (Spanish). ICT Effect on Supply Chain Performance: An Empirical Approach to Spanish and
Portuguese Large Companies. (English), (28), 102–115. Retrieved from
http://search.ebscohost.com/login.aspx?direct=true&db=a9h&AN=59252191&lang=es&site=ehost-live
Heras Saizarbitoria, I., Bernardo, M., & Casadesús, M. (2007). La integración de sistemas de gestión basados en estándares internacionales:
resultados de un estudio empírico realizado en la CAPV. Revista de Dirección Y Administracion de Empresas - España, 14, 155–174.
Hernández, R., Fernández, C., & Baptista, M. del P. (2010). Metodología de la Investigación (Quinta). México.
ISO/IEC. (2011). ISO/IEC 27005 Information security risk management.
Kenneth Laudon, J. P. (2004). Sistemas de información gerencial: administración de la empresa digital. (Octava). México.
Ladino, M. I., Villa, P., & López, A. M. (2011). 1177-725-1-Pb, (47), 334–339.
María del Pilar García-Cervigón, A. A. (2011). Seguridad Informática. (Paraninfo, Ed.) (Primera). España. Retrieved from
https://books.google.com.ec/books?id=c8kni5g2Yv8C&printsec=frontcover#v=onepage&q&f=false
Porter, M. (1984). Estrategia competitiva: Técnicas para el análisis de los sectores industriales y de la competencia. (Continental, Ed.). México.
R. Montesino, S. F. (2011). Information Security Automation: How Far Can We Go? In 2011 Sixth International Conference on Availability,
Reliability and Security (pp. 280–285). https://doi.org/10.1109/ARES.2011.48
Royal, P. F. (1988). Seguridad de los sistemas informáticos. (D. de Santos, Ed.). Madrid.
Ruíz, E., & Ruíz, J. L. (2010). Sistemas de información de las organizaciones. (C. de E. R. Areces, Ed.) (Primera). España.
Sánchez, M., Vargas, M., Reyes, B., & Vidal, B. (2011). Sistema de Información para el Control de Inventarios del Almacén del ITS. Conciencia
Tecnológica, (41), 41–46. Retrieved from http://www.redalyc.org/articulo.oa?id=94419100007
Sattarova, Y., & Kim, T. H. (2007). IT security review: Privacy, protection, access control, assurance and system security. International Journal
of Multimedia and Ubiquitous Engineering, 2(2), 17–32.
SNAP. Acuerdo 166 (2013). Ecuador. Retrieved from http://www.educarecuador.gob.ec/anexos/correo/Acuerdo_166.pdf
Solarte, F. N. S., Rosero, E. R. E., & Benavides, M. del C. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad
informática y de información bajo la norma ISO/IEC 27001. Revista Tecnológica - ESPOL, 28(5), 492–507. Retrieved from
http://learningobjects2006.espol.edu.ec/index.php/tecnologica/article/view/456
Velasco, A. (2008). Derecho INFORMATICO Y LA GESTION DE LA SEGURIDAD DE LA INFORMACION UNA PERSPECTIVA CON
BASE EN LA NORMA ISO 27001. REvista de Derecho, 29, 333–366.
Whitman, M., & Mattord, H. (2012). Principles of information security (I.S. Profe). Boston.

Navira Angulo@uleam Edu Ec

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Navira Angulo@uleam Edu Ec

Cargado por

Copyright:

Formatos disponibles

Mikarimin.

Revista Científica Multidisciplinaria ISSN 2528-7842

PROPUESTA METODOLÓGICA DE SEGURIDAD DE INFORMACIÓN PARA

SAFETY MODEL OF INFORMATION FOR PROVIDERS OF INTERNET SERVICES

Estratégica de las Tecnologías de la Información y Comunicación en la universidad Nacional de Piura – Ecuador.

Figura 1 – Sistema de Gestión de Seguridad de la Información

Ítems Permisario Nombre Dirección

8 Mananet Mananet Calle 16 y 17, Av. 24.

SECRETARIA NACIONAL DE PROVEEDORES DE

Figura 2 – Esquema general de la cadena de valor de un ISP

ABONADOS ABONADOS ABONADOS

Figura 3 – Esquema de red de un ISP

Tabla 2 –GAD Análisis de evaluación y cumplimiento

salvaguardas de información en la empresa. Se valora el impacto y riesgos de la información.

CONTROLES DE INTEGRIDAD - CONFIDENCIALIDAD – DISPONIBILIDAD

VERIFICAR el CONTA BILIDAD

Figura 4 – Propuesta metodológica para la implementar un SGSI en una ISP

También podría gustarte