Académique Documents
Professionnel Documents
Culture Documents
Villa El Salvador
2017
Dedicatoria
Quiero dedicar este proyecto de
investigación de fin de carrera a
mi familia y amigos,
especialmente a mi modelo a
seguir, mi madre Mercedes,
gracias a su orientación y apoyo
en los momentos que lo
necesité.
ii
Agradecimiento
Agradezco a Dios por darme
esta oportunidad de obtener el
título profesional. Agradezco a
mis profesores, compañeros por
haberme apoyado.
iii
Índice
Listado de Figuras .................................................................................................. vi
Listado de Tablas .................................................................................................. vii
Introducción .......................................................................................................... viii
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA ................................................ 1
1.1 Descripción de la Realidad Problemática................................................... 1
1.2 Justificación del Problema .......................................................................... 2
1.3 Delimitación del Proyecto ............................................................................ 3
1.4 Formulación del Problema ........................................................................... 4
1.4.1 Problema principal .................................................................................. 4
1.4.2 Problemas específicos ............................................................................ 4
1.5 Objetivos ....................................................................................................... 4
1.5.1 Objetivo General ...................................................................................... 4
1.5.2 Objetivos Específicos ............................................................................. 4
CAPÍTULO II: MARCO TEÓRICO ............................................................................ 6
2.1 Antecedentes de la Investigación ............................................................... 6
2.1.1. Nacionales ........................................................................................... 6
2.1.2. Internacionales .................................................................................... 8
2.2. Bases Teóricas ........................................................................................... 11
2.2.1. Norma ISO/IEC 27001 ........................................................................ 11
2.2.2. Dominios de seguridad: ................................................................... 13
2.2.3. Ciclo de Deming ................................................................................ 19
2.3. Marco Conceptual ...................................................................................... 21
2.3.1. Controles: .......................................................................................... 21
2.3.2. Estándar: ........................................................................................... 22
2.3.3. Gestión: ............................................................................................. 22
2.3.4. Implementación: ............................................................................... 23
2.3.5. Información: ...................................................................................... 23
2.3.6. ISO:..................................................................................................... 23
2.3.7. ISO 27001: .......................................................................................... 24
2.3.8. Norma: ............................................................................................... 24
2.3.9. Políticas: ............................................................................................ 24
2.3.10. Políticas de seguridad de información: ....................................... 25
2.3.11. Riesgo:............................................................................................ 25
2.3.12. Seguridad: ...................................................................................... 25
2.3.13. Seguridad de información: ........................................................... 26
iv
2.3.14. Sistema: .......................................................................................... 26
2.3.15. Sistema de gestión: ....................................................................... 26
2.3.16. Software: ......................................................................................... 27
2.3.17. TIC: .................................................................................................. 27
CAPÍTULO III: DESCRIPCIÓN DEL MODELO METODOLÓGICO ........................ 28
3.1 Modelo de Análisis de riesgo ..................................................................... 28
3.1.1. Identificación de activos de la Información .................................... 29
3.1.2. Valoración de Activos de Información ............................................ 31
3.1.3. Identificación de Amenazas ............................................................. 34
3.1.4. Posibilidad de ocurrencia de amenazas.......................................... 36
3.1.5. Identificación de vulnerabilidades ................................................... 37
3.1.6. Posible explotación de Vulnerabilidades ........................................ 39
3.1.7. Estimado del Valor de los Activos en Riesgo ................................. 41
3.1.8. Posibilidad de Ocurrencia del Riesgo ............................................. 42
3.1.9. Valor del Riesgo de los Activos ....................................................... 44
3.2. Análisis de resultados ................................................................................ 48
3.3. Políticas de seguridad de información ..................................................... 50
3.3.1. Políticas Generales de Seguridad de la Información ..................... 51
3.3.2. Políticas Específicas de Seguridad de la Información ................... 53
3.4. Selección de controles para mitigar los riesgos ...................................... 57
3.4.1. Seguridad Lógica .............................................................................. 57
3.4.2. Seguridad Personal ........................................................................... 59
3.4.3. Seguridad Física y Ambiental .......................................................... 60
3.4.4. Inventario de los activos y clasificación de la información........... 61
3.4.5. Administración de las comunicaciones .......................................... 63
3.4.6. Adquisición y mantenimiento de sistemas informáticos............... 63
3.4.7. Procedimientos de respaldo ............................................................ 64
3.4.8. Gestión de incidentes de seguridad de la información. ................ 65
3.4.9. Cumplimiento Normativo y de Auditoria. ........................................ 66
3.5. Análisis Costo-Beneficio ............................................................................ 78
Conclusiones ......................................................................................................... 78
Recomendaciones ................................................................................................. 80
Anexos.................................................................................................................... 85
v
Listado de Figuras
vi
Listado de Tablas
vii
Introducción
gestión de la información.
Se puede decir que ahora el activo más importante que posee una
por ello se dan espacios que son aprovechados ilícitamente por agentes
viii
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA
desempeñan.
alrededor del 60% de estas presentan una oportunidad de ingresos ya sea por
1
sin embargo el personal de soporte con la información disponible solo
conveniente para las otras áreas de la organización debido a que las políticas y
2
en el uso de los activos de información de cada área y la reducción de riesgos.
de la información.
Delimitación de tiempo:
Delimitación de espacio:
Empresariales S.A.C.
Delimitación temporal:
27001.
3
1.4 Formulación del Problema
información?
1.5 Objetivos
Empresariales S.A.C.
de información.
4
Analizar y desglosar los procesos de la organización involucrados con la
Definir las políticas y controles necesarios para afrontar los riesgos y reducir
5
CAPÍTULO II: MARCO TEÓRICO
2.1.1. Nacionales
Barrantes Porras, Carlos Eduardo, Diseño e implementación de un
activos de información.
6
3. El factor humano es crítico para la implementación de cualquier sistema de
siguientes conclusiones:
continua.
a los objetivos de negocio. De nada sirve contar con los últimos adelantos
7
1. El apoyo de la alta gerencia para el diseño de este sistema de gestión
a que los recursos actuales no se dan abasto para atender los requerimientos
2.1.2. Internacionales
Tola Franco, Diana Elizabeth, Implementación de un sistema de gestión
8
auditoría aplicando la norma ISO/IEC 27001, Guayaquil: la investigación
materialicen los riesgos y de esta manera poder establecer controles que nos
ayuden a prevenirlos.
procedimientos para el monitoreo y revisión del sistema, los mismos que deben
estado del mismo y aplicar acciones correctivas, si fuera el caso, que permitan
9
integrado que facilite la implantación de estos estándares reduciendo esfuerzos
y duplicidades.
prácticas de los procesos del ciclo de vida del software de la norma ISO/IEC
los procesos del ciclo de vida del software de la norma ISO/IEC 15504-5. Este
conclusiones:
10
Igualmente se hace seguimiento a la perspectiva del cliente y se busca la
mejora continua de los procesos sin dejar de un lado los indicadores financieros
a) ISO/IEC 27001:2013
mejoras.
estándares de la ISO.
11
o Considerables cambios en los controles establecidos en el Anexo A,
de controles a 114.
b) Beneficios
comercial.
información es primordial.
de la información.
la seguridad de la información.
12
2.2.2. Dominios de seguridad:
seguridad de información en relación con los requisitos del negocio y las leyes
reguladoras relevantes.
organización.
13
c) Seguridad en los Recursos Humanos
o Selección
o Contratación
o Formación de empleados
d) Gestión de Activos
2014)
e) Control de Accesos
14
Incluye las consideraciones para el manejo de ordenadores y portátiles.
o Registro de usuarios
o Responsabilidad de usuario
o Gestión de contraseñas
f) Criptografía
Las instalaciones que estén involucradas con los activos de información deben
cumplir con las normas de seguridad física y ambiental, para garantizar que la
15
físicos por parte de personal no autorizado o por factores ambientales que no
se puedan controlar.
Las normas sobre seguridad física deben contener los controles de acceso
información.
o Intercambio de información
o Monitoreo.
16
o Evitar la divulgación, modificación, retiro o destrucción de activos no
o Intercambio de la información
sistemas de información.
o Registro de proveedores.
o Reabastecimiento colaborativos.
17
o Conectividad con proveedores.
debilidades.
siempre van a existir y están siempre acompañadas de un riesgo por ello todos
organización
seguridad de la información.
negocio.
18
n) Cumplimiento
a) Definición:
b) Etapas:
o Plan(Planificar)
o Establecer el contexto.
o Alcance y Limites.
o Definir Política.
19
o Definir Enfoque de Evaluación de Riesgos.
o Identificación de riesgos.
o Aceptación de riesgos.
o Declaración de Aplicabilidad.
o Do(Hacer)
para utilizar en las siguientes etapas. Teniendo el plan bien definido, hay que
o Check(Verificar)
20
Se recomienda seguir los siguientes procesos:
información.
o Act(Actuar)
de información.
2.3.1. Controles:
21
rendimiento esperado y un rendimiento observado, para verificar si se están
2.3.2. Estándar:
2.3.3. Gestión:
(2015, ¶ 1)
22
2.3.4. Implementación:
2.3.5. Información:
2.3.6. ISO:
ISO. Cada organismo miembro interesado en una materia para la cual se haya
23
2.3.7. ISO 27001:
Acevedo (2011, ¶ 3)
2.3.8. Norma:
económica.”AENOR (2010, ¶ 3)
2.3.9. Políticas:
(2008, ¶ 2)
24
2.3.10. Políticas de seguridad de información:
2.3.11. Riesgo:
2.3.12. Seguridad:
¶ 1)
25
2.3.13. Seguridad de información:
deseadas.
momento requerido.
2.3.14. Sistema:
así establecer políticas de tal modo que todos cumplan sus objetivos. La
interesados.
26
2.3.16. Software:
2.3.17. TIC:
27
CAPÍTULO III: DESCRIPCIÓN DEL MODELO METODOLÓGICO
riesgo.
28
3.1.1. Identificación de activos de la Información
1 PC de escritorio Hardware
2 Impresora-Escaner Hardware
1 Laptops Hardware
2 Servidor Hardware
3 Impresoras-Ticketeras Hardware
4 Tablets Hardware
29
5 Disco Duro externo Hardware
1 Laptops Hardware
2 Teléfono Hardware
30
3.1.2. Valoración de Activos de Información
VALOR CRITERIO
o Confidencialidad
o Integridad
o Disponibilidad
ACTIVO DE
INFORMACIÓN
Nº Confidencialidad integridad Disponibilidad TOTAL
Hardware
1 PC de escritorio 4 4 4 4
2 Laptops 4 4 4 4
3 Impresora-Escaner 2 1 2 2
31
4 Servidor 5 5 5 5
5 Ticketeras 2 1 2 2
6 Tablets 3 1 2 2
8 Teléfono 2 3 3 3
ACTIVO DE
INFORMACIÓN
Nº Confidencialidad integridad Disponibilidad TOTAL
Software
Programa fuente
1 5 5 5 5
Quipu-Escritorio
Programa fuente
2 5 5 5 5
Quipu-Web
Microsoft Office
3 2 3 3 3
2010
Antivirus Eset
4 3 3 3 3
Smart Security 9
Microsoft Windows
5 2 3 4 3
Seven
Microsoft SQL-
6 4 5 5 5
SERVER 2014
Microsoft Windows
7 5 5 4 5
Server 2012
8 Team Viewer 11 3 2 3 3
32
Tabla N° 7 Valoración del Documentos/Archivos
ACTIVO DE INFORMACIÓN
Nº Confidencialidad integridad Disponibilidad TOTAL
Documentos/Archivos
1 Registros de caja 5 5 4 5
2 Registros de planilla 5 5 4 5
3 Documentos de compras 4 5 4 4
4 Documentos de ventas 4 5 4 4
5 Registros PDT 4 5 4 4
6 Cotizaciones 4 5 3 4
7 Contratos de Venta 4 5 3 4
8 Registros de RRHH 5 5 3 4
9 Registros de cobranza 4 5 4 4
10 Actas de Requerimientos 4 3 3 3
11 Historial de Modificaciones 4 2 3 3
12 Actas de Implementación 4 3 3 3
13 Backups 4 5 4 4
14 Historial de Soportes 3 3 2 3
15 Historial de Actualizaciones 3 3 2 3
16 Solicitudes de Cambio 3 3 2 3
17 Agenda Telefónica 3 3 3 3
33
3.1.3. Identificación de Amenazas
definir controles.
o Amenazas Lógicas
o Amenazas físicas
o Fallos Técnicos
o Errores Humanos
activo de información.
GRUPOS DE ACTIVOS
Nº AMENAZAS
DE INFORMACION
Control de cambios.
Entrega incorrecta
2 DOCUMENTOS FISICOS
Falsificación
34
Error en el mantenimiento de hardware
Suplantación identidad
Error de operador
Falla de equipo
Falla de operador
Backup no autorizado
Robo de licencias
Uso no autorizado.
Error de Actualización
35
3.1.4. Posibilidad de ocurrencia de amenazas
VALOR CRITERIO
Definitivamente va a ocurrir, es cuestión de
5 MUY ALTO tiempo
2 BAJO Probable
POSIBILIDAD
GRUPOS DE ACTIVOS
Nº AMENAZAS DE
DE INFORMACION
OCURRENCIA
Control de cambios. 4
Entrega incorrecta 4
2 DOCUMENTOS FÍSICOS
Falsificación 3
36
Error en el mantenimiento de hardware 3
Suplantación identidad 5
Error de operador 3
Falla de equipo 2
Falla de operador 3
Backup no autorizado 5
Robo de licencias 5
Uso no autorizado. 5
Error de Actualización 3
siguientes tipos:
o Física
o Natural
37
o Hardware
o Software
o Red
o Factor Humano
GRUPOS DE ACTIVOS
Nº VULNERABILIDADES
DE INFORMACION
Inadecuada ubicación
Falta de cortafuegos
Inadecuada ubicación
38
Falta de manual de usuario
5 DATA ALMACENADA
Falta de equipos de respaldo
una condición o conjunto de condiciones que pueden hacer que una amenaza
VALOR CRITERIO
2 BAJO Probable
39
Tabla N° 13 Evaluación de posibilidad de explotación de vulnerabilidades
GRUPOS DE
POSIBILIDAD
Nº ACTIVOS DE VULNERABILIDADES
EXPLOTACIÓN
INFORMACION
Política de control de cambios
4
inexistentes
Políticas de control de usuarios
PROGRAMAS inexistentes 3
1
FUENTE
Política de backup inexistentes 4
Inadecuada ubicación 5
Falta de cortafuegos 3
Inadecuada ubicación 2
Políticas de control de usuarios
4
inexistentes
40
Configuración de perfiles deficiente 4
V. ACTIVO
GRUPOS DE POSIBILIDAD POSIBILIDAD
DE
Nº ACTIVOS DE AMENAZAS DE EXPLOTACIÓ
INFORMACI
INFORMACION OCURRENCIA N
ÓN
Control de
4 4
cambios.
Daño intencionado
4 3
por internos.
PROGRAMAS
1 FUENTE Error de 5
herramienta de 2 4
programación
Software malicioso
3 4
y virus.
Alteración y/o
3 5
plagio
41
Error de operador 3 3
Error en el
mantenimiento de 3 3
hardware
Suplantación
4 EQUIPOS 5 4 4
identidad
Abuso de los
recursos del 4 4
sistema y repudio
Falla de equipo 2 4
Falla de operador 3 3
DATA Falla en dispositivo
5 ALMACENADA de almacenamiento 2 4 4
Backup no
5 5
autorizado
Robo de licencias 5 3
Software malicioso
3 4
y virus
6 SOFTWARE Error de usuario 3 3 3
Uso no autorizado. 5 4
Error de
3 3
Actualización
Fuente: Elaboración Propia
explotadas.
V.
POSIBL
GRUPOS DE ACTIVO
E
Nº ACTIVOS DE AMENAZAS VULNERABILIDADES DE
OCURR
INFORMACION INFORM
ENCIA
ACIÓN
Política de control
Control de
de cambios
cambios.
PROGRAMAS inexistentes
1 5 4
FUENTE Daño Políticas de control
intencionado por de usuarios
internos. inexistentes
42
Error de
Política de backups
herramienta de
inexistentes
programación
Software Falta de antivirus
malicioso y virus. licenciado
Alteración y/o Inadecuada
plagio ubicación
Política de
Entrega
confidencialidad
incorrecta
inexistente
DOCUMENTOS
2 Política de 4 3
FISICOS
Falsificación integridad
inexistente
Incendio, Falta de
desastres implementos de
naturales seguridad
Error en el
Falta de manual de
mantenimiento
mantenimiento
de hardware
Daño
Falta de
intencionado por
cortafuegos
externos
Falla de servicio Falta de equipos de
de red y otros red de respaldo
servicios
Falla de software
de aplicación o Antivirus
SERVIDORES Software inadecuado 5 4
malicioso
Incendio,
Inadecuada
desastres
ubicación
naturales
Políticas de control
Suplantación
de usuarios
identidad
inexistentes
Abuso de los
recursos del Configuración de
sistema y perfiles deficiente
repudio
Error de Falta de manual de
operador usuario
Error en el
Falta políticas de
mantenimiento
4 EQUIPOS mantenimiento 4 3
de hardware
Políticas de control
Suplantación
de usuarios
identidad
inexistentes
43
Abuso de los
recursos del Configuración de
sistema y perfiles deficiente
repudio
Falta de equipos de
Falla de equipo
respaldo
Falla de Falta de manual de
operador usuario
Falla en
DATA Falta de equipos de
5 dispositivo de 4 2
ALMACENADA respaldo
almacenamiento
Backup no Políticas de backup
autorizado inexistente
Robo de Falta control de
licencias activos
Software Falta de licencias
malicioso y virus vigentes
Falta de manual de
Error de usuario
6 SOFTWARE usuario 2 3
Uso no Configuración de
autorizado. perfiles deficiente
Política de
Error de
actualizaciones
Actualización
inexistente
Fuente: Elaboración Propia
debido a que una o varias amenazas en las que se hayan explotado sus
riesgo.
44
o Análisis cuantitativo: Las métricas asociadas con el impacto causado por
VALOR CRITERIO
45
Tabla N° 17 Valoración del impacto
VALOR CRITERIO
3 M Deficienciadetectada,implicaun
MODERADO Procedimiento para su corrección.
ACTIVO DE PROBABILIDAD DE
Nº IMPACTO
INFORMACIÓN OCURRENCIA
1 PC de escritorio 3 M 4 A
2 Laptops 3 M 4 A
Impresora-
3 3 M 3 M
Escaner
4 Servidor 4 A 5 MA
5 Ticketeras 3 M 3 M
6 Tablets 3 M 3 M
Disco Duro
7 3 M 3 M
externo
8 Teléfono 3 M 3 M
46
Programa fuente
9 4 A 5 MA
Quipu-Escritorio
10 Programa fuente 4 A 5 MA
Quipu-Web
11 Microsoft Office 3 M 2 B
2010
Antivirus Eset
12 Smart Security 9 3 M 2 B
Microsoft
13 3 M 2 B
Windows Seven
Microsoft SQL-
14 3 M 4 A
SERVER 2014
Microsoft
15 Windows Server 3 M 4 A
2012
16 Team Viewer 11 3 M 1 MB
Visual Studio
17 3 M 3 M
2012
18 Registros de caja 3 M 4 A
Registros de
19 3 M 4 A
planilla
Documentos de
20 3 M 4 A
compras
Documentos de
21 3 M 4 A
ventas
22 Registros PDT 3 M 4 A
23 Cotizaciones 3 M 3 M
Contratos de
24 3 M 4 A
Venta
Registros de
25 3 M 4 A
RRHH
Registros de
26 3 M 4 A
cobranza
Actas de
27 3 M 3 M
Requerimientos
Historial de
28 2 B 4 A
Modificaciones
Actas de
29 3 M 3 M
Implementación
30 Backups 2 B 4 A
Historial de
31 2 B 3 M
Soportes
Historial de
32 2 B 3 M
Actualizaciones
47
Solicitudes de
33 3 M 3 M
Cambio
Agenda
34 2 B 3 M
Telefónica
Estado de
35 soporte del 2 B 3 M
cliente
Fuente: Elaboración Propia
riesgos.
48
Tabla N° 19 Riesgo de los Activos de Información
ACTIVO DE
Nº RIESGO
INFORMACIÓN
1 PC de escritorio M
2 Laptops M
3 Impresora-Escaner M
4 Servidor A
5 Ticketeras M
6 Tablets M
8 Teléfono M
16 Team Viewer 11 MB
18 Registros de caja M
19 Registros de planilla M
20 Documentos de compras M
21 Documentos de ventas M
22 Registros PDT M
23 Cotizaciones M
49
24 Contratos de Venta M
25 Registros de RRHH M
26 Registros de cobranza M
27 Actas de Requerimientos M
28 Historial de Modificaciones B
29 Actas de Implementación M
30 Backups B
31 Historial de Soportes B
32 Historial de Actualizaciones B
33 Solicitudes de Cambio M
34 Agenda Telefónica B
o Aumento de personal
o Rotación de personal
50
3.3.1. Políticas Generales de Seguridad de la Información
51
4. El acceso a los sistemas de Quipu Soluciones Empresariales S.A.C.
para los fines de la empresa, no deberá ser usada para provecho personal,
etc.
52
9. Es responsabilidad del usuario ejecutar las acciones necesarias para que
de Seguridad de Información.
53
políticas son aplicables a todo el personal de Quipu Soluciones Empresariales
S.A.C.
de datos, software), así como los accesos a los equipos deberán ser
54
3.1. Todo el software cargado en las computadoras de la empresa
Empresariales S.A.C.
área correspondiente.
5.1. Cada alto cargo, debe conocer las responsabilidades del personal
55
organización, se debe contar con una descripción formal del puesto y
responsable y ubicación.
56
10. Políticas sobre las auditorias
apropiadamente.
tomando en cuenta:
y regulaciones.
o Objetivos de la organización.
requerimientos y restricciones.
57
1. Los usuarios del sistema informático tienen un firme compromiso de
5. Cada usuario de la entidad tendrá una sola clave de acceso, válida para el
de Información.
7. Los usuarios tendrán acceso a Internet limitado solo a las páginas definidas
Seguridad de Información.
58
3.4.2. Seguridad Personal
Seguridad de Información.
así como las normas y procedimientos para el uso de las aplicaciones y los
59
en la información proporcionada inicialmente, tales como domicilio, estado
Jefes de área.
Jefes de área.
de Información.
60
Controles para prevenir pérdidas, daños o robos de los activos. Esto incluye la
adecuado.
61
3. Todo documento clasificado como “Confidencial” o “Restringido” debe
Seguridad de Información.
Información.
con la firma y sello del responsable del Área. Responsable: Jefes de área.
9. Al retirarse de las oficinas, dejar con llave los escritorios y estantes que
10. A la hora de entrada, verificar que los escritorios y estantes permanezcan con
62
3.4.5. Administración de las comunicaciones
Jefes de área.
Seguridad de Información.
información.
63
3. Los sistemas aplicativos deben ser probados en forma exhaustiva, antes de
Desarrollo.
Desarrollo.
Soporte.
Empresariales S.A.C.
64
estas existieran. Responsable: Jefe del área de Seguridad de
considerando lo siguiente:
recuperación de la información.
información de la empresa
área de Desarrollo.
una manera que permita que se realice una acción correctiva a tiempo.
medidas correctivas.
65
3. Se debe mantener intacta la evidencia que prueba la ocurrencia de una
Información indicando la severidad del incidente, para que este tome las
seguridad.
parte del usuario que comete dicha falta. Responsable: Jefes de área.
66
análisis de auditoría, se obtenga la conclusión y sean tomadas las acciones
Las siguientes tablas muestran la relación de las políticas propuestas con sus
respectivos controles.
67
Tabla N° 22Controles de Política General 3
68
Tabla N° 25 Controles de Política General 6
69
Tabla N° 28 Controles de Política General 9
70
Tabla N° 31 Controles de Política General 12
71
Inventario de los Todo documento que presente información
activos y clasificada como “Confidencial” o “Restringida”, debe
clasificación de la 2 ser etiquetado en la parte superior e inferior de cada
información página con la clasificación correspondiente.
Inventario de los Todo documento clasificado como “Confidencial” o
activos y “Restringido” debe contar con una carátula en la
3
clasificación de la cual se muestre la clasificación de la información que
información contiene.
Fuente: Elaboración Propia
72
Inventario de los
Al retirarse de las oficinas, dejar con llave los
activos y
9 escritorios y estantes que contienen documentos
clasificación de la
confidenciales
información
Inventario de los
A la hora de entrada, verificar que los escritorios y
activos y
10 estantes permanezcan con llave y que no hayan sido
clasificación de la
manipulados
información
Fuente: Elaboración Propia
73
Tabla N° 38 Controles de Política Específica 4.1
Dominio N° Control
Cuando el personal se aleje de su estación de trabajo
Seguridad Física y momentáneamente, deberá asegurarse de activar el
2
Ambiental “protector de pantalla” protegido con una contraseña
personal
Apagar los equipos de cómputo cuando se dejen de
Seguridad Física y
4 usar por un prolongado tiempo, en especial cuando
Ambiental
se disponga de feriados largos
Fuente: Elaboración Propia
74
Tabla N° 40 Controles de Política Específica 4.4
75
Todo participante en el proceso de selección se
Seguridad Personal 5
someterá a la revisión de su documentación original
Fuente: Elaboración Propia
76
Tabla N° 45 Controles de Política Específica 9
77
3.5. Análisis Costo-Beneficio
ANALISIS COSTO-BENEFICIO
Detalle de
Detalle de costos Costos Beneficios económicos
beneficios
Personal para
Renovación
implementación y S/. 12,000.00
de licencia
seguimiento
Software y equipos 1er mes S/. 2,010.00
Licencias Microsoft
S/. 1,980.00 2do mes S/. 7,537.50
Office 2016
Licencia Antivirus Eset
S/. 1,150.00 3er mes S/. 7,537.50
Smart Security
Instalación de cámaras
S/. 670.00 4to mes S/. 7,537.50
de seguridad
Licencia Team Viewer S/. 3,700.00 5to mes S/. 7,537.50
Otros
Archivadores (2) S/. 600.00
Modificación de MOF S/. 200.00
Total S/. 20,300.00 Total S/. 32,160.00
Fuente: Elaboración Propia
seguimiento del plan y los ingresos que percibirá la empresa durante los 5
segundo mes.
78
Conclusiones
para toda empresa dedicada a este rubro, sin importar el tamaño de esta.
riesgo existentes.
caso.
79
Recomendaciones
organización.
Ciclo de Deming que permite trabajar con los estándares de la norma ISO
27001.
80
Bibliografía
Http://qualitytrends.squalitas.com/index.php/item/186-principales-cambios-de-
la-nueva-version-de-iso-27001.
Limusa; 1994.
la-prevencion-de-riesgos-laborales.
81
Consultado el 15 de noviembre de 2015.
Disponible en http://www.zonaeconomica.com/control.
Disponible en http://www.itmplatform.com/es/blog/la-gestion-riesgos.
Disponible en https://es.wikipedia.org/wiki/Implementaci%C3%B3n.
Disponible en http://www.promonegocios.net/mercadotecnia/que-es-
informacion.html.
Disponible en http://www.degerencia.com/articulo/calidad_que_es_la_iso.
Disponible en http://www.magazcitum.com.mx/?p=1574#.VkzX4_kvfIV.
http://www.aenor.es/aenor/normas/normas/quees_norma.asp#.Vkz4DfkvfIU.
Disponible en http://www.mailxmail.com/curso-empresa-metodos-
procedimientos/empresa-politicas-normas.
82
17. UNISDR (2004). Programa de prevenciones. En UNISDR.
Disponible en http://www.unisdr.org/2004/campaign/booklet-spa/page9-spa.
Disponible en http://www.definicionabc.com/social/seguridad.php
https://www.academia.edu/6159440/TEOR%C3%8DA_DE_SISTEMAS_APLIC
ADA_A_LA_INGENIER%C3%8DA_INDUSTRIAL.
http://es.wikipedia.org/wiki/Seguridad de la informaci%C3B3n.
Disponible en http://www.gnu.org/philosophy/free-sw.es.html.
Disponible en http://www.serviciostic.com/las-tic/definicion-de-tic.html.
Disponible en http://www.bajacalifornia.gob.mx/registrocivilbc/iso_informa2.htm.
83
25. Gonzales, D. (2013) ISO-27001:2013 ¿Qué hay de nuevo? En
Disponible en http://www.iso27000.es/iso27000.html.
Explorable.com: https://explorable.com/es/investigacion-cuantitativa-
y-cualitativa
84
Anexos
información relacionada.
riesgo.
eventos internos y externos que pueden tener un impacto negativo sobre los
85
interdependencia entre eventos, así como los factores influyentes que los
determinan.
distribuida y almacenada.
disponibilidad.
86
16. PDT: Programa de Declaración Telemática, sistema informático
87
Anexo 2: Entrevista para el Gerente General
.-
empresa?
.-
.-
información?
.-
.-
6. ¿Qué tan significativos son los ingresos obtenidos por el área de soporte?
.-
.-
88
Anexo 3: Entrevista para el personal
.-
.-
.-
.-
.-
.-
.-
89