UNIVERSIDAD DEL VALLE DE MÉXICO

MATERIA: LEGALIDAD Y PROTECCIÓN DE LA INFORMACIÓN

ACTIVIDAD 7:

PROYECTO INTEGRADOR ETAPA 3

PROPUESTA DE IMPLEMENTACIÓN DE SEGURIDAD INFORMÁTICA

EQUIPO 4:

BENNETT CARREÑO ABRAHAM

BUSTOS HERNÁNDEZ SANTIAGO

CORONA RAMÍREZ IVONNE DIANNEY

HERNÁNDEZ GONZÁLEZ ARMANDO

RENTERÍA BALDERRAMA OMAR EFRAÍN

DOCENTE:

DRA. ALICIA GUADALUPE LUNA SALAZAR

FECHA: 11/10/2023

LUGAR: ONLINE
ÍNDICE
PROYECTO INTEGRADOR ETAPA 3....................................................................................... 2
INTRODUCCIÓN........................................................................................................................ 3
OBJETIVO.................................................................................................................................. 3
DESARROLLO........................................................................................................................... 4
1 Arquitectura de seguridad y sus beneficios........................................................................4
1. Arquitectura de datos.................................................................................................. 4
2. Arquitectura de negocio...............................................................................................4
3. Arquitectura tecnológica.............................................................................................. 5
4. Arquitectura de aplicaciones....................................................................................... 5
2 Tabla de controles físicos, administrativos y técnicos........................................................ 6
3 Responsabilidades del equipo para la administración de la seguridad..............................7
4 Políticas para la administración de la seguridad de la información....................................9
5 Importancia de los derechos ARCO.................................................................................10
CONCLUSIÓN.......................................................................................................................... 11
REFERENCIAS.........................................................................................................................12
PROYECTO INTEGRADOR ETAPA 2..................................................................................... 13
INTRODUCCIÓN...................................................................................................................... 14
OBJETIVO.................................................................................................................................14
DESARROLLO..........................................................................................................................15
1 Vulnerabilidades y riesgos a la protección de la información...........................................15
2 Tipos de riesgos que se registran en la organización...................................................... 15
3 Cuadro de riesgos detectados......................................................................................... 16
4 Mapa de riesgos Probabilidad de ocurrencia y Grado de impacto...................................18
5 Organigrama con personal encargado de la seguridad................................................... 19
Departamento de seguridad.......................................................................................... 20
6 Reflexión sobre el cuadrante de riesgos.......................................................................... 21
CONCLUSIÓN.......................................................................................................................... 23
REFERENCIAS.........................................................................................................................24
PROYECTO INTEGRADOR ETAPA 1..................................................................................... 25
INTRODUCCIÓN..........................................................................................................26
OBJETIVO.................................................................................................................... 26
DESARROLLO............................................................................................................. 27
Mapa organizacional........................................................................................................... 31
Área de seguridad informática.......................................................................................32
Información que maneja la empresa....................................................................... 33
Errores de seguridad informática y modificaciones propuestas..........................................34
Ventajas de un plan de protección y seguridad informática....................................35
CONCLUSIÓN..............................................................................................................37
REFERENCIAS............................................................................................................ 38

1
 PROYECTO INTEGRADOR ETAPA 3
Propuesta de implementación de seguridad informática

2
INTRODUCCIÓN

El presente documento corresponde con la etapa 3 del proyecto integrador de la

materia, es la parte final y presenta la propuesta de implementación de seguridad
informática para la empresa Imperquimia, muestra a grandes rasgos lo que como
equipo consideramos que la empresa debe atender para mejorar su seguridad de los
activos informáticos y datos resguardados

OBJETIVO

Realizar una propuesta de implementación de seguridad informática para la

protección de los sistemas de información que existen en la organización en la que
laboras, para cumplir este objetivo se deben contemplar los siguientes puntos:

● Describir una arquitectura de seguridad y métodos para su aplicación

● Elaborar una tabla de los controles físicos, administrativos y técnicos por
implementar
● Describir las responsabilidades del equipo encargado para la administración de
la seguridad de la información
● Establecer políticas generales para la administración de la seguridad de la
información y sus beneficios para la organización
● Redacta una reflexión sobre la importancia de los Derechos ARCO para la
protección de la información de las personas y su relación con el desarrollo de
proyectos de ciencia de datos.

3
DESARROLLO

1 Arquitectura de seguridad y sus beneficios

TOGAF – The Open Group Architecture Framework

En qué consiste:

TOGAF son las siglas de The Open Group Architecture Framework (en español,
Esquema de Arquitectura del Open Group), un marco de referencia que permite
planificar, diseñar e implementar la arquitectura empresarial de una organización.

Para tratar de comprender cómo funciona TOGAF y para qué sirve, hay que partir del
concepto de arquitectura empresarial, que consiste en optimizar dentro de la empresa
todos los elementos que apoyan la realización de la estrategia de negocio. La
arquitectura empresarial posibilita tener una visión global de la empresa, incluyendo
los procesos, la estructura organizacional y las tecnologías de la información, lo que
facilita el cumplimiento de sus objetivos estratégicos.

En el marco de la arquitectura empresarial, un entorno de referencia o framework

(como TOGAF) define los componentes especiales que actúan como base para
estructurar y ensamblar los diferentes elementos de la organización en edificaciones
más complejas.

Cómo se implementa:

1. Arquitectura de datos
En este apartado se integran todos las tareas de almacenamiento, gestión de datos
de la entidad, tanto lógicos como físicos.

2. Arquitectura de negocio
Aquí se integra toda la información relacionada con las estrategias comerciales, las
jerarquías, la estructura organizativa y cómo adaptar nuevos procesos dentro de la
empresa.

4
3. Arquitectura tecnológica
En este punto se incluyen todas las tecnologías disponibles dentro de una entidad y
sus interrelaciones. Es decir, toda la infraestructura informática clave para hacer un
despliegue de aplicaciones comerciales (software, hardware…).

4. Arquitectura de aplicaciones
Aquí se define cómo se van a desarrollar estas aplicaciones de acuerdo a los
procesos de negocio, la estructura organizacional y los objetivos comerciales.

Beneficios y utilidad:

Optimizar los sistemas legados o heredados: Existen muchos sistemas de gestión de

documentación que fueron exportados o heredados de diferentes localidades

Documentación unificada que cubra todos los sistemas informáticos heredados, no se

tiene el control del 100% de los documentos ya que se encuentran en diferentes
aplicaciones, lo cual creo riesgo de pérdida de información

5
2 Tabla de controles físicos, administrativos y técnicos

Instrucciones: Elabora una tabla en la que establezcas y expliques brevemente los

controles físicos, administrativos y técnicos que implementarías teniendo en
consideración los resultados del mapa de riesgos elaborado en la etapa 2 de tu
Proyecto integrador.

Control Medida

Técnico Generación de una base de datos de tipo índice donde solo se

almacenen los índices con las respectivas ligas con su ubicación.

Técnico La implementación de sistemas de entrada, revisará que los datos

introducidos se guardan correctamente en el índice y su ubicación.

Técnico los encargados de seguridad empezar a almacenar la información

dentro de servidores en la nube dándoles la seguridad necesaria al
encriptar la información

Físicos implementación de perímetros de seguridad alrededor la

computadora de la empresa y asegurarse que los códigos y las
llaves solo los tengan personal autorizado para evitar el acceso a
personal no autorizado.

Administrativ impartición de seminario de seguridad informática a los empleados

os para evitar brechas de seguridad.

Tecnico Implementar respaldos de información periódicos para evitar

pérdida de información

Tabla: Tabla de controles, físicos, administrativos y técnicos

6
3 Responsabilidades del equipo para la administración de la seguridad

En la etapa dos del proyecto integrador presentamos este organigrama donde se

muestra la estructura orgnizacional de Imperquimia, podemos observar que el área de
seguridad propuesta se encuentra bajo las instrucciones de la Dirección de
Tecnologías de la Información de Imperquimia, la cual a su vez se encuentra bajo la
organización de la dirección general.

Ilustración: Organigrama Imperquimia, fuente elaboración propia

Fueron varios los roles que propusimos para resolver los problemas que se
encuentran de seguridad, al final encontramos que los mencionados a continuación
son suficientes para encargarse del correcto resguardo de los datos y deben trabajar
en conjunto con otras áreas para entender cada una de las necesidades, ya que si
bien es necesario un conjunto de políticas empresariales que apliquen para todos los
activos de Imperquimia, también entendemos que cada área por su propia forma de
trabajo y manejo de información, además de cumplir los lineamientos generales,
podría contemplar el uso de medidas de seguridad extras que sólo pudieran aplicar al
personal que se desempeña en su área.

7
● Director de seguridad: Dado que contemplamos la creación de una nueva
área, es necesaria la contratación de nuevo personal, el director estará
encargado de supervisar y dirigir el área, conocer a su personal, establecer
objetivos claros alcanzables y verificar su cumplimiento, definir las políticas
empresariales como lineamientos generales de seguridad y facilitar la
cooperación con el resto de las áreas de Imperquimia, es importante que tenga
un alto grado de especialización técnica para comprender los reportes de su
equipo y los pueda transmitir a las áreas superiores para que se atiendan los
problemas.
● Pentester: Este rol se encargará de las pruebas a los sistemas actualmente
productivos, debe presentar los resultados de su análisis al director del área, y
además trabajar en conjunto con el analista de seguridad y el ingeniero en
ciberseguridad ya que ellos conforman el área operativa y vigilarán la
seguridad de los activos informáticos de Imperquimia.
● Analista de seguridad de la información: El analista estudiará el entorno de
la organización para conocer a profundidad los comportamientos de los
usuarios y su uso de sistemas físicos y lógicos, será capaz de entender las
necesidades de otras áreas y comunicarles la importancia de respetar la
seguridad de los activos, promoverá las mejores prácticas y vigilará
constantemente que los colaboradores estén en línea con las políticas
generales y particulares.
● Ingeniero en ciberseguridad: Será el colaborador encargado de detectar las
vulnerabilidades en los activos, esto lo logrará con ayuda del pentester y del
analista de seguridad de la información, gracias al conocimiento que obtenga
del trabajo en equipo debe proponer medidas de seguridad con el objetivo de
mitigar amenazas, además debe verificar constantemente los procesos de
ciberseguridad y procurar su automatización, la elaboración de sus reportes
para el director del área es de suma importancia ya que toma los aspectos
técnicos a profundidad para comunicar efectivamente las problemáticas
detectadas.

8
4 Políticas para la administración de la seguridad de la información

A lo largo del documento se ha demostrado que se es necesario que se implementen

nuevas medidas de seguridad dentro de la empresa, entre las cuales se encuentran la
implementación de los nuevos puestos de trabajo con relación a la ciberseguridad,
además de protocolos en donde se analizan las vulnerabilidades cada cierto periodo
de tiempo.

También hay que implementar políticas de administración de seguridad de la

información, como la implementación de cursos de capacitación para los empleados
para la prevención de vulnerabilidades, también la actualización periódica de las
contraseñas para los empleados proporcionadas por el departamento de seguridad.

Otra política a implementar es que el departamento de seguridad dedique parte de

sus esfuerzos a mantener la integridad y la seguridad de los datos, aplicando ya sea
revisiones manuales o por medio de automatización, también con la actualización y
mantenimiento de los formatos de donde se recolecta la información.

Combinando las políticas anteriores revisiones periódicas, revisiones de malware por

procesos automatizados y el respaldo de las bases de datos, permitirá que la
empresa esté atenta a la seguridad informática y el dado caso de sufrir de algún tipo
de ataque informático la empresa pueda recuperarse de manera rápida y eficiente
para no afectar a sus actividades.

9
5 Importancia de los derechos ARCO

El derecho arco es uno de los más importantes para el manejo de los datos por que
es en el cual el usuario dueño de la información autoriza o no el uso de sus datos, el
correcto manejo de los mismos es responsabilidad de cada empresa al igual que su
correcto respaldo de la información.

Por más que las empresa quieran tener la información de alguno de sus clientes y
trabajar con estas para poder hacer estudios de mercado o algún estudio relacionado
con su clientela no es tan sencillo, primero la empresa tiene la obligación de
proporcionarle al cliente la información de lo que se planea hacer con su información y
este tiene el derecho a denegar el uso por parte de la empresa en cualquier momento.

También es importante recalcar que los derechos arco dependen de la persona quien
los quiera ejercer sin embargo existen ciertas limitaciones que se tienen que tener en
cuenta de acuerdo a la ley y que se puede y debe hacer con estos datos.

Ilustración: Acrónimo de ARCO

10
CONCLUSIÓN

El uso del Modelo de Arquitectura de Seguridad de la Información (MASI) ofrece una

serie de beneficios para las empresas y organizaciones. A continuación, se presentan
algunos de los más importantes:

Mejora la seguridad de la información. MASI proporciona una estructura y un marco

para la implementación de controles de seguridad de la información. Esto puede
ayudar a las empresas a identificar y mitigar los riesgos de seguridad.

Mejora la eficiencia de la gestión de la seguridad. MASI puede ayudar a las empresas

a organizar y automatizar las tareas de seguridad. Esto puede liberar recursos para
que las empresas se centren en otras prioridades.

Mejora la transparencia y la confianza. MASI proporciona una visión general de la

postura de seguridad de la información de una empresa. Esto puede ayudar a las
empresas a demostrar su compromiso con la seguridad.

En resumen, MASI es una herramienta valiosa que puede ayudar a las empresas y
organizaciones a mejorar su seguridad de la información.

La colaboración de pentesters, analistas de seguridad e ingenieros de ciberseguridad

es clave para mejorar la seguridad de nuestra empresa. Detectan vulnerabilidades y
responden a amenazas de manera efectiva, proporcionando una defensa completa y
proactiva. Esta estrategia nos mantiene seguros y protege la confianza de nuestros
clientes.

Los derechos ARCO son fundamentales para proteger la privacidad de las personas
en México. Los pentesters, analistas de seguridad e ingenieros de ciberseguridad
desempeñan un papel esencial al garantizar que estos derechos se respeten, al
proteger los datos personales de amenazas cibernéticas y al mantener la seguridad
de la información. Esto no solo cumple con la ley, sino que también crea un entorno
de confianza para nuestros clientes y usuarios.

11
REFERENCIAS

Arsis, (2021). Estos son los principales roles en la ciberseguridad. Recuperado de

https://www.arsys.es/blog/principales-roles-ciberseguridad

DocuSign, (2023), Conoce qué son los derechos ARCO y cómo ejercerlos.
Recuperado de https://www.docusign.mx/blog/derechos-arco

Iebs, (2022). ¿Qué es un CISO?: Conoce sus funciones principales. Recuperado de

https://www.iebschool.com/blog/que-es-un-ciso-tecnologia/

Imperquimia, (s.f.). ¿Quiénes somos?. Recuperado de

https://imperquimia.mx/quienes-somos

Unir (2021), ¿Qué es la metodología TOGAF?. Recuperado de

https://www.unir.net/empresa/revista/togaf-que-es/

12
PROYECTO INTEGRADOR ETAPA 2
Mapa de riesgos

13
INTRODUCCIÓN

El presente documento corresponde con la segunda etapa del proyecto integrador

para la materia Legalidad y protección de la información, presenta los riesgos que
detectamos en la empresa organizandolos en listas y cuadros para su mejor
exposición, con esto en mente perfilamos el proyecto para la etapa final que es la
propuesta de implementación.

OBJETIVO

Examinar los riesgos que pueden presentar los sistemas informáticos en la

organización mientras se cumplen los siguientes requisitos:

● Retomar la etapa 1 y centra tu atención en los errores de seguridad informática

para profundizar en las vulnerabilidades y riesgos a la protección de la
información de tu organización
● Elabora una lista de los tipos de riesgos que se registran en tu organización
clasificándolos en: negocio, estratégico, operativo u operacional, legal,
financiero y describe la forma en la que algunos vectores de ataque en
ciberseguridad han afectado la seguridad informática y protección de la
información
● Elaborar un cuadro señalando los riesgos detectados y organizarlos de
acuerdo a la información que se presentan en las tablas de valoración
● Llena el mapa de riesgos Probabilidad de ocurrencia y grado de impacto en el
que se muestre de forma integral la detección de los riesgos relacionados con
la seguridad informática y protección de la información de tu organización
● Modifica el organigrama organizacional señalando el personal que operaría la
seguridad informática y protección de la información
● Elabora una breve reflexión sobre el cuadrante de riesgos en el que puedes
intervenir para reducirlos y evitar que afecten directamente las actividades que
realizas

14
DESARROLLO

1 Vulnerabilidades y riesgos a la protección de la información

La vulnerabilidad más grande que tiene la empresa es la falta de personal que sepa o
pueda localizar las vulnerabilidades de la empresa, ya que cualquier vulnerabilidad a
la que se le puede generar un protocolo de prevención deja de ser una vulnerabilidad,
sin embargo si estas no se identifican la empresa deja al descubierto.

Por lo anterior se tiene que considerar la posibilidad de contratar a alguna persona

capacitada para poder desempeñar el papel de la seguridad informática de la
empresa sin importar a cuál de las áreas de TI se incorpore.

Al incorporar al especialista, se puede implementar los protocolos de mantenimiento y

de control donde se localizan errores, al igual que la incorporación de protocolos
automáticos para la reducción de la inversión en horas de supervisión manual por
parte de los empleados de TI.

2 Tipos de riesgos que se registran en la organización

Riesgo Operacional

● Procesos automáticos: Faltan mecanismos de prueba para reducir la

posibilidad de ingresar información inconsistente dentro del sistema

Riesgo Operacional

● Procesos de reconciliación de la información: No se cuenta con un índice de

información que pueda servir como un mecanismo de búsqueda y acceso
rápido.

Riesgo Operativo

● Flujo de la información: Un error de seguridad que se puede presentar es que

la empresa se concentra mucho en el tema del flujo de la información, más no

15
 detalla medidas de seguridad como criptografía, derivación de roles, o incluso
factores de autorización y autenticación.

Riesgo Operativo

● Replicación de los datos y respaldo: No se cuenta con la un sistema de gestión

en la nube o de un servicio dedicado de co-ubicación

Riesgo Negocio

● El riesgo de negocio es que el robo de los datos personales, su uso indebido,

copia no autorizada o acceso indebido, expone a los titulares a daños,
patrimoniales, mala imagen pública, daño a su honor, e incluso a su integridad
física.

3 Cuadro de riesgos detectados

Valoración Probabilidad de Valoración de Grado de

Riesgo
de riesgo ocurrencia impacto impacto
Falta de mecanismo
de pruebas para
ingresar información 10 Recurrente 6 Serio
consistente en los
sistemas
No se cuenta con
un índice de
información que
pueda servir como 9 Recurrente 4 Moderado
un mecanismo de
búsqueda y acceso
rápido.

16
Un error de
seguridad que se
puede presentar es
que la empresa se
concentra mucho en
el tema del flujo de
la información, más
8 Probable 9 Catastrófico
no detalla medidas
de seguridad como
criptografía,
derivación de roles,
o incluso factores
de autorización y
autenticación.
No se cuenta con
un sistema de
gestión en la nube o
6 Posible 10 Catastrófico
de un servicio
dedicado de
co-ubicación.
El riesgo de negocio
es que el robo de
los datos
personales, su uso
indebido, copia no
autorizada o acceso
indebido, expone a
3 Inusual 10 Catastrófico
los titulares a
daños,
patrimoniales, mala
imagen pública,
daño a su honor, e
incluso a su
integridad física.
Tabla 1. Cuadro de riesgos detectados

17
4 Mapa de riesgos Probabilidad de ocurrencia y Grado de impacto.

Ilustración 1. Mapa de riesgos - Probabilidad de ocurrencia y Grado de impacto

18
5 Organigrama con personal encargado de la seguridad

Ilustración 2. Mapa organizacional Imperquimia, propuesta de seguridad, fuente: elaboración propia

19
Departamento de seguridad

El organigrama que presentamos en esta etapa dos del proyecto integrador

contempla la creación de un departamento de seguridad que se especialice en los
temas de seguridad informática, que proponga normativas empresariales y vigile su
cumplimiento, cumplir con sus objetivos es esencial para la empresa debe trabajar en
conjunto con su dirección de Tecnologías de la Información para que sus propuestas
toquen base en la dirección general y a su vez en el consejo administrativo, solo de
esta manera podrá asignarse un presupuesto para especialistas en seguridad que
contemplen el manejo y resguardo de los activos.

El director de este departamento además de trabajar en conjunto con el resto de los

directores estará en contacto con el personal encargado de atender las necesidades
de una empresa como imperquimia, es por tal motivo que sugerimos la siguiente lista
de personal para arrancar este departamento:

● Director de seguridad: encargado de supervisar y dirigir el área, establecer

objetivos alcanzables y verificar su cumplimiento.
● Pentester: se encargará de realizar pruebas a los sistemas actualmente
instalados para presentar los resultados de su análisis con el director del área
● Analista de seguridad de la información: este rol analizará el entorno de la
organización para conocer a profundidad los comportamientos de los usuarios
y su uso de sistemas físicos y lógicos.
● Ingeniero en ciberseguridad: colaborador encargado de detectar las
vulnerabilidades en los activos, proponer medidas de seguridad, mitigar
amenazas y verificar constantemente los procesos de ciberseguridad.

20
6 Reflexión sobre el cuadrante de riesgos

Tal cómo podemos apreciar en las secciones anteriores, tenemos identificados 5

riesgos en la organización, los cuales, para bien o para mal, tenemos clasificados de
acuerdo a la ponderación con respecto a su posibilidad de ocurrencia e impactos que
dicho riesgo puede provocar.

Después de desarrollar y analizar el cuadrante de riesgos, podemos concluir que las

medidas que tenemos implementadas en la organización en tema de seguridad
informática no son suficientes para tener bajo control ninguno de ellos, por otro lado, 3
de los 5 riesgos detectados requieren atención inmediata, lo cual quiere decir que
dentro de nuestro plan deben ser los primeros en los que debemos trabajar / mitigar
dedo que representan un gran riesgo para la organización, los otros 2 riegos faltantes
quedaron en los cuadrantes de atención periódica y seguimiento, lo cual nos indica
que no son prioritarios en este momento pero los tenemos que tener en consideración
para reducir al máximo es un riesgo de seguridad informática.

Para atender los riesgos se hacen las siguientes sugerencias para los diferentes
riesgo en el cuadrante:

- Atención inmediata
- Implementar un sistema de validación de información para mejorar su
consistencia. Sea a través de un sistema propietario como Smart Data
Validation de Amazon, o una solución personalizada cuya base pueda
ser Elastic o Airflow. De esta manera, las pruebas se hacen al momento
de ingresar la información.
- Para asegurar el cifrado y digestión correcto de los datos, se pueden
utilizar sistemas de llaves que aprovechan las ventajas de GPG y
herramientas como Bitwarden, para documentos y comunicaciones.
Además de algoritmos de llaves asíncronas para sistemas de datos
crudos, como SSH, SSL y Bcrypt.
- Contratar un servicio similar al de Microsoft Azure, Google Cloud o
Amazon Web Services, con el fin de asegurar el respaldo y
disponibilidad de la información.

21
 - Atención periódica
- Para indexar y acceder de manera adecuada a la búsqueda de la
información, a través de Airflow para información multiforma, o
DynamoDB si tenemos información con identificadores bien definidos.
- Seguimiento
- A modo de garantizar la seguridad física de la información, es necesario
implementar un sistema con base en permisos y autorizaciones para
acceder a ciertos espacios, sean virtuales o físicos, para consultar la
información, así cómo alguien responsable para distinguir cuando existe
la posibilidad de dar autorizaciones temporales o de aumentar el nivel de
autorización.

De esta manera, aunque de alto nivel y sin detallar, comenzamos una reflexión inicial
sobre cómo atajar las posibles externalidades de los riesgos a los que está expuesta
la compañía.

22
CONCLUSIÓN

En el presente trabajo pudimos observar como la propuesta del departamento de

seguridad para la empresa imperquimia es viable debido a varios puntos, primero a
que es una organización de gran tamaño que requiere profesionales que se
encarguen de su seguridad, segundo porque actualmente maneja los activos de una
manera controlada pero no óptima, sobrecarga a su departamento de sistemas y su
personal no se especializa en seguridad informática, tercero porque no cuenta con las
políticas empresariales que un departamento como el propuesto se encargaría de
realizar y vigilar su cumplimiento y por último pero no menos importante porque un
departamento especializado en el área de seguridad apuntaría a reducir la
probabilidad y el grado de impacto que se analizaron en el mapa de riesgos.

Cuando analizamos los tipos de riesgos tanto operativos como de negocio

encontramos que son vastos, sin embargo no es de extrañar debido a que como lo
mencionamos anteriormente la empresa no cuenta con personal especializado, esta
es otra razón que justifica la creación de un departamento de seguridad, un elemento
que consideramos muy importante son los procesos automáticos que nos ayuden a
verificar y lanzar alertas cuando se detecta alguna inconsistencia, todo esto sin
intervención humana en la detección, pero mantiene al tanto al personal de la
ejecución.

Solo para finalizar queremos apuntar que la teoría nos indica que un departamento de
seguridad disminuye las vulnerabilidades sin embargo eso no garantiza que sea un
ambiente cien por ciento seguro, de tal manera que este análisis de seguridad debe
ser un estado permanente y en constante evolución.

23
REFERENCIAS

Euroinnova, (s.f.). Beneficios de tener una buena seguridad informática. Recuperado

de
https://www.euroinnova.mx/beneficios-de-tener-una-buena-seguridad-informatica

Imperquimia, (s.f.). ¿Quiénes somos?. Recuperado de

https://imperquimia.mx/quienes-somos

Welivesecurity, (13 nov 2022). Perfiles profesionales en la seguridad informática.

Recuperado de
https://www.welivesecurity.com/la-es/2020/11/13/perfiles-profesionales-en-segurid
ad-informatica-que-camino-elegir/

24
 PROYECTO INTEGRADOR ETAPA 1
Análisis de la organización en materia de seguridad

25
INTRODUCCIÓN

El presente documento corresponde con la primer etapa del proyecto integrador para
la materia Legalidad y protección de la información, expondremos el contexto de la
empresa para conocer su organización interna, el tipo de información que maneja así
como el panorama actual en su seguridad informática y las ventajas que un plan de
protección y seguridad informática pudiera ofrecer a la organización.

OBJETIVO

Identificar errores relacionados con el manejo de información mientras se desarrollan

los siguientes puntos:

● Descripción del contexto de la empresa

● Mapa organizacional
● Lista de información que se maneja
● Situación de posibles errores de seguridad informática
● Ventajas de la implementación de un plan de protección y seguridad
informática

26
DESARROLLO

Descripción de empresa

HISTORIA

Imperquimia® es una empresa 100% mexicana fundada en 1967, certificada bajo la

norma ISO-9001:2015, que ofrece al mercado de la construcción productos de la más
alta calidad divididos en cinco líneas: Impermeabilizantes,Pinturas, Recubrimientos,
Productos para Concreto, Selladores.

Desde su fundación, Imperquimia® se ha distinguido con la innovación y el desarrollo

de nuevos productos, por tal razón sus avances tecnológicos fueron reconocidos con
el Premio Nacional de Ciencias y Artes 2004, en el campo de Tecnología y Diseño,
siendo una de las pocas empresas mexicanas con patentes propias en la industria de
la construcción.

Durante estas 5 décadas en Imperquimia® hemos desarrollado una plataforma

confiable y garantizada de comercialización a través de nuestra planta y 19 tiendas de
fábrica; además contamos con más de 150 distribuidores e instaladores profesionales
en todo el país, que, mediante la comunicación estrecha y el trabajo en equipo,
ofrecemos en conjunto las soluciones instaladas con máxima calidad, desempeño y
economía.

● Tangibles e intangibles del producto.

Actualmente Grupo Imperquimia fabrica la línea más completa en el mercado de

productos químicos para la Industria de la Construcción y Renovación de Inmuebles
con casi 200 productos, agrupados en cinco grandes Familias:

IMPERQUIMIA: Mantos Prefabricados Impermeables, Impermeabilizantes Térmicos

Elastoméricos, Impermeabilizantes Asfalticos en Frio y Caliente, Cementos Selladores
Plásticos y Elásticos, Membranas para Impermeabilizar, Impermeabilizantes
Cementicios y Transparentes y Adhesivos para impermeabilizar.

27
ESPACIOS: Pinturas Acrílicas, Esmaltes Alkidales, Texturizados, Selladores,

Recubrimientos Primarios, pintura impermeable.

GUARDQUIM: Recubrimientos Industriales, Recubrimiento para pisos,

Niveladores, Endurecedores y Texturizados de Pisos, Adhesivos para recubrimientos

Cerámicos, Naturales y losetas Vinilicas, Productos para Pavimentos, Productos para
Áreas Deportivas, Productos para Reparación de Superficies, Recubrimientos contra
Fuego, Línea de Recubrimientos Anticorrosivos.

QUIMICRET: Aditivos para Concreto, Grouts libres de Contracción de Alta

Resistencia, Morteros Poliméricos, Curadores y Desmoldantes. Adhesivos para

Concreto y Mortero.

SELLAQUIM: Selladores Acrílicos y de Poliuretano.

● Análisis del medio ambiente de tu producto o servicio.

Para determinar una vez obtenidos los resultados del mercado meta, buscando
principalmente las ventas al mayoreo para tiendas que vendan al menudeo, se
propone son las constructoras, ferreterías, tiendas de materiales de construcción y
supermercados, cadenas de conveniencia, o en el caso de las constructoras que se
dedican principalmente a la vivienda en la ciudad.

Misión:

Nuestra misión es ser líderes en el mercado de productos químicos para la Industria

de la Construcción y Renovación de Inmuebles, ofreciendo soluciones innovadoras y
de alta calidad que satisfagan las necesidades de nuestros clientes. A través de la
investigación y el desarrollo constante para disminuir el daño ambiental en nuestros
productos químicos, así mismo trabajamos en colaboración con nuestros clientes,

28
brindándoles asesoramiento técnico y un excelente servicio al cliente y
convirtiéndonos en su proveedor preferido.

Visión:

Nuestra visión es ser reconocidos como la marca líder a nivel nacional e internacional
en el sector de productos químicos para la Industria de la Construcción y Renovación
de Inmuebles. Nos esforzamos por ser reconocidos en innovación y calidad brindando
soluciones que superen las expectativas de nuestros clientes. Buscamos expandir
nuestra presencia en nuevos mercados y fortalecer nuestra posición como
proveedores confiables y de confianza. Nuestra visión es seguir creciendo y siendo
una empresa líder, contribuyendo al éxito y la satisfacción de nuestros clientes.

Objetivos de la empresa:

Algunos de los objetivos que debemos tener en cuenta son:

● Calidad del producto: Garantizar la producción y comercialización de productos

químicos para la Industria de la Construcción y Renovación de Inmuebles de
alta calidad que cumplan con los estándares de rendimiento y durabilidad
exigidos por los clientes.
● Innovación y desarrollo de productos: Realizar investigaciones y desarrollar
constantemente nuevos productos y tecnologías para mantenerse a la
vanguardia del mercado y satisfacer las necesidades cambiantes de los
clientes.
● Satisfacción del cliente: Establecer altos estándares de servicio al cliente y
trabajar para superar las expectativas de los clientes, brindando asesoramiento
técnico, soporte y soluciones personalizadas.
● Rentabilidad y crecimiento financiero: Lograr una gestión financiera sólida y
rentable, estableciendo objetivos de crecimiento de ventas, rentabilidad y
participación en el mercado que garanticen la viabilidad a largo plazo de la
empresa.

29
Contexto y posicionamiento actual de la organización en el mercado:

Grupo Imperquimia se ha distinguido con la innovación y el desarrollo de nuevos

productos, por tal razón sus avances tecnológicos fueron reconocidos con el Premio
Nacional de Ciencias y Artes 2004, en el campo de Tecnología y Diseño, siendo una
de las pocas empresas mexicanas con patentes propias en la industria de la
construcción.

Ofrece al mercado de la construcción productos de la más alta calidad divididos en

cinco líneas: Impermeabilizantes, Pinturas y Esmaltes, Recubrimientos Especiales,
Productos para Concreto y Selladores Elásticos.

30
Mapa organizacional

Imagen 1. Mapa organizacional Imperquimia, fuente: elaboración propia

31
Área de seguridad informática

Actualmente en Imperquimia los departamentos que se encuentran bajo la dirección

de tecnologías de la información llevan un buen control de los sistemas y datos, sin
embargo la empresa actualmente no cuenta con un departamento dedicado
exclusivamente al área de seguridad tecnológica, si bien existe una Dirección de
Tecnologías de la Información con dos departamentos que son soporte y sistemas,
ninguno de ellos se especializa en la seguridad tecnológica, en ocasiones brindan
recomendaciones a los usuarios pero no llegan a implementar políticas empresariales
que tengan el peso suficiente para lograr un impacto a nivel empresa.

Como consultores sugerimos que el departamento de seguridad tecnológica debe

estar a cargo de la dirección de tecnologías de la información y trabaje en conjunto
con su dirección y la dirección general para lograr implementar las políticas
necesarias que convengan al contexto de la organización.

Entre los objetivos que debe perseguir el departamento de seguridad informática se

encuentran:

● Conservar los activos antes ataques o situaciones malintencionadas

● Proporcionar y mantener un ambiente seguro para los activos institucionales
● Asegurar la integridad, confidencialidad y disponibilidad de los datos
● Analizar los riesgos mediante el uso de políticas empresariales
● Definir y aplicar procedimientos empresariales para las políticas se seguridad
● Promover y preparar auditorías enfocadas a la seguridad
● Atender las solicitudes de los departamentos en materia de seguridad
● Supervisar permanentemente las herramientas y procedimientos
implementados
● Definir políticas de seguridad informática a nivel empresarial

32
Información que maneja la empresa.

Imagen 2. Clasificación de la información.

La información que la empresa maneja lo hacen de una manera adecuada, los datos
se guardan celosamente y se mantienen en buen estado por medio de respaldos
guardados en duros físicos en caso de corrupción de los datos de los servidores en
donde se almacenan las bases de datos que se actualizan dia con dia.

Los datos se ingresan de forma automática por medio de un formato que varía
dependiendo del área de la empresa en la que se realicen las ventas, sin embargo los
perfiles de los clientes se guardan una base datos distinta de la de ventas asegurando
la velocidad de respuesta de respuesta del sistema.

El formato recolecta información para poder generar las facturas de las ventas de las
empresas, entre la información recolectada se encuentra: nombre completo del
cliente, nombre de la empresa, dirección, código postal, ciudad, entidad federativa,
teléfono de contacto, importe, datos de facturación y dirección de correo electrónico.
Además, se recolecta la información del producto que sale de la empresa para ser

33
cotejada con la base de datos de los almacenes y se reemplacen los productos que
están por agotarse.

La información de las ventas se almacena y analiza de una forma periódica para

identificar anomalías, tendencias, identificar productos obsoletos y estadísticas
generales que se presenten en la empresa para garantizar el correcto funcionamiento
de la empresa evitando que se presente escasez de producto.

Aparte de la información que la empresa maneja por medio de las ventas y por
marketing , también generan información de comunicación interna, con proveedores y
clientes, por medio de llamadas, mensajes y comunicación electrónica. El área de
investigación genera bases de datos en las cuales por sus desarrollos y el
performance de estos. El área de recursos humanos maneja toda la información
personal de los empleados con un formato similar al que se usa para el área de
ventas.

Errores de seguridad informática y modificaciones propuestas

Cómo puede notarse en el gráfico de la sección anterior, vemos que partimos de

varios estadíos dentro de la gestión de la información de la empresa, estadíos que
parten desde cuestiones meramente técnicas, hasta cuestiones directamente
relacionadas con como el negocio acostumbra manejar la información.

Uno de los primeros riesgos que se ven es en los procesos automáticos, estos deben
tener mecanismos de prueba para reducir la posibilidad de ingresar información
inconsistente dentro del sistema; es aquí donde viene la primera propuesta, incluir
mecanismos de pruebas automatizadas para monitorizar la consistencia.

Los procesos de reconciliación de la información pueden escalar de manera

inesperada. Por esa razón es que es necesario revisar e intentar actualizar la manera
de tener un índice de información que pueda servir como un mecanismo de búsqueda
y acceso rápido, además que permita liberar los recursos de información que es
consultada de manera esporádica.

34
Un error de seguridad que se puede presentar es que la empresa se concentra mucho
en el tema del flujo de la información, más no detalla medidas de seguridad como
criptografía, derivación de roles, o incluso factores de autorización y autenticación.
Por lo que la implementación de un sistema SSO que sea como un Auth Wall detrás
de toda su información pareciera una alternativa viable y útil para esos fines.

Finalmente, la replicación de los datos y los respaldos. Es necesario pensar en

sistemas de coubicación para que el riesgo de tener los datos en un solo lugar físico
desaparezca, a través de la gestión de un sistema en la nube o de un servicio
dedicado de coubicación, podríamos evitar que en un ataque se perdiese la
información de meses o incluso años de trabajo y que un simple switch, evite que la
replicación ocurre hacia otros servidores y almacenes de datos coubicados.

Ventajas de un plan de protección y seguridad informática

Los beneficios de la implementación de un sistema de seguridad informática en la

empresa son los siguientes:

● Proteger a la empresa: - Los principales beneficios es que las soluciones de

seguridad cibernética de TI pueden servir de protección digital integral del
negocio.
● Proteger la información personal: - uno de los puntos más valiosos en la era
digital es la información personal. Si algún virus ataca sobre la información
personal de los empleados o clientes, son capaces de vender esa información,
o incluso utilizarla para robar todo su dinero.
● Permite que todos los empleados trabajen con seguridad: - sin la
ciberseguridad la empresa no puede hacer que sus datos estén seguros, así
que los empleados siempre están en riesgo de un ciberataque. Si alguna de las
computadoras se infectan eso puede reducir la productividad e incluso obligar a
cambiar de computadora.
● Inspirará confianza en los clientes- Al demostrar que la empresa está protegida
contra cualquier amenaza cibernética, crecerá la confianza de los clientes ya
que se tendrá la certeza de que sus datos no correrán riesgo de ser robados.

35
Los beneficios de la implementación de un sistema de seguridad informática en los
proyectos de ciencia de datos son los siguientes:

● Las ventajas de contar con un sistema de seguridad en los proyectos de

ciencia de datos son la detección proactiva de los ataques, el análisis
automático de amenazas y el descubrimiento asistido de vulnerabilidades.

36
CONCLUSIÓN

Al estudiar el caso de imperquimia encontramos que es una empresa mexicana que

brinda al mercado productos de alta calidad y que respeta la norma ISO para sus
productos, si bien su giro principal no es la tecnología de la información, en una
empresa tan grande como esta que genera y maneja datos de todos sus clientes y
personal, es de suma importancia que cuente con las políticas internas necesarias
para la gobernanza de la seguridad informática, actualmente sus departamentos
manejan adecuadamente la información, sin embargo ninguna de las áreas se
especializa directamente en la seguridad de los datos, por lo que concluimos que es
requerido un departamento que pueda encargarse de generar las políticas necesarias
y vigilar su cumplimiento en toda la organización, al implementar estas políticas la
confianza que tienen de sus clientes podría verse incrementada lo que se traduciría
directamente en los ingresos que la empresa genera.

Vemos que es importante que un departamento de seguridad informática tenga un

alto puesto en el organigrama para que le sea posible sugerir e implementar los caso
de uso necesarios para la organización, además porque para esto debe contar con el
presupuesto y respaldo de la dirección general y en el caso de imperquimia del
consejo administrativo.

37
REFERENCIAS

Euroinnova, (s.f.). Beneficios de tener una buena seguridad informática. Recuperado

de
https://www.euroinnova.mx/beneficios-de-tener-una-buena-seguridad-informatica

Imperquimia, (s.f.). ¿Quiénes somos?. Recuperado de

https://imperquimia.mx/quienes-somos

Instituto Politécnico Nacional, (s.f.). Departamento de seguridad informática.

Recuperado de https://www.seguridad.ipn.mx/objetivos.html

Grabeljsek, S. (2016). KPI para medir la contribución de IT a los objetivos de negocio.

Linkedin [sitio web]. Recuperado de
https://es.linkedin.com/pulse/kpi-para-medir-la-contribuci%C3%B3n-de-los-objetiv
os-sergio-grabeljsek

Redacción Computing (2008). La optimización de TI: un nuevo reto estratégico [sitio

web].
http://www.computing.es/infraestructuras/informes/1029096001801/optimizacion-r
eto-estrategico.1.html

Yong, N. (2018). ¿Cómo transformar el modelo operativo de tecnología para afrontar

cambios en el modelo de negocio?, Gestión [sitio web].
https://gestion.pe/blog/brujula-de-gestion-empresarial/2018/05/como-transformar-
el-modelo-operativo-de-tecnologia-para-afrontar-cambios-en-el-modelo-de-negoci
o.html

Zermeño, R. y Ahumada, S. (2007). Impacto de las tecnologías de información y

comunicaciones en el desempeño de las empresas mexicanas [archivo PDF].
http://www.imef.org.mx/publicaciones/boletinestecnicosorig/BOL_29_07_CTN_CC
.PDF

Urcuqui, C. , García M. , Osorio, J. , Navarro, A. , (2018) Ciberseguridad: un enfoque

desde la ciencia de datos [archivo PDF].
navarro_ciberseguridad_ciencia_2018.pdf (comsoc.org)

38