UPriplarzm

UNIVERSIDAD NACIONAL DE SAN AGUSTÍN DE
AREQUIPA
ESCUELA DE POSGRADO
UNIDAD DE POSGRADO DE LA FACULTAD DE INGENIERÍA DE

PRODUCCIÓN Y SERVICIOS
“Diseño de un Sistema de Gestión de la seguridad de la

información de acuerdo a la norma ISO/IEC 27001:2013. Caso
de estudio: Oficina de informática de la sede descentralizada de
una entidad pública.”
Tesis presentada por la Bachiller:

Zoila Melissa Rivas Plata Arredondo
para optar el Grado Académico de Maestra en
Ciencias: Ingeniería de Sistemas, con mención
en Gerencia en Tecnologías de la Información
Asesor: Dr. César Armando Beltrán Castañón
Arequipa, Perú
2018
AGRADECIMIENTOS
A Dios, por darme la fortaleza para afrontar los desafíos que se presentan en mi vida.
A mi familia, por brindarme siempre su apoyo incondicional.
A mi asesor, Dr. César Beltrán Castañón, por sus valiosos consejos, su guía y su
constante motivación para finalizar este proyecto.
Al Dr. Juan Carlos Gutiérrez Cáceres, quién me orientó inicialmente con este
proyecto de tesis.
2
DEDICATORIA
A mi amada hija Micaela, quién me motiva a ser cada día mejor.
3
INDICE
Contenido
INTRODUCCION ................................................................................................ 13
CAPITULO I. PLANTEAMIENTO METODOLOGICO ................................. 14
1.1 Problema de investigación ................................................................................. 14
1.1.1 Enunciado del problema ............................................................................. 14
1.1.2 Antecedentes del problema ........................................................................ 14
1.1.3 Descripción del problema............................................................................ 16
1.1.4 Formulación Interrogativa del problema ..................................................... 16
1.1.5 Justificación de la investigación ................................................................... 16
1.1.6 Limitaciones de la investigación .................................................................. 17
1.2 Objetivos............................................................................................................ 18
1.2.1 Objetivo General ......................................................................................... 18
1.2.2 Objetivos Específicos ................................................................................... 18
1.3 Tipo de investigación ......................................................................................... 18
1.4 Nivel de Investigación ........................................................................................ 18
1.5 Diseño de la Ejecución ....................................................................................... 18
1.5.1 Delimitación Espacial y Temporal ................................................................ 18
1.5.2 Método de Investigación............................................................................. 19
1.5.3 Técnicas, Instrumentos y Fuentes o Informantes ......................................... 20
1.5.4 Forma de Tratamiento de los Datos ............................................................ 20
1.5.5 Forma de Análisis de las Informaciones ....................................................... 20
1.5.6 Limitaciones de la Metodología................................................................... 20
CAPITULO II. FUNDAMENTACION TEORICA ............................................ 21
2.1 Revisión Histórica ................................................................... 21
2.2 Estado del Arte................................................................................................... 22
2.3 Conceptos .......................................................................................................... 24
2.3.1 Definiciones................................................................................................ 24
2.3.2 Enfoque de procesos .................................................................................. 26
2.3.3 MAGERIT .................................................................................................... 28
2.3.4 ISO/IEC 27002:2013 Código de prácticas para los controles de seguridad de
la información ........................................................................................................... 32
2.3.5 ISO/IEC 27005:2011 Gestión del riesgo en la seguridad de la información . 33
2.4 Antecedentes Investigativos .............................................................................. 35
4
2.4.1 Implementaciones de seguridad de la información .................................... 35
2.4.2 Implementaciones de seguridad de la información en contextos específicos
35
2.5 Marco legal ........................................................................................................ 36
2.5.1 Resolución Ministerial para implementación de un SGSI en las entidades
del estado peruano.................................................................................................... 36
2.5.2 Ley nro. 29733 - Ley de protección de datos personales ............................ 37
CAPITULO III. DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN............................................................................................ 38
3.1 Etapas del diseño ............................................................................................... 38
3.2 Diseño del SGSI .................................................................................................. 39
3.2.1 Contexto de la organización ....................................................................... 39
3.2.2 Requisitos para el SGSI ............................................................................... 39
3.2.3 Alcance del SGSI ......................................................................................... 41
3.2.4 Política del SGSI .......................................................................................... 42
3.2.5 Inventario y valoración de activos .............................................................. 42
3.2.6 Gestión de riesgos ...................................................................................... 46
3.2.7 Plan de tratamiento del riesgo ................................................................... 55
3.2.8 Declaración de aplicabilidad....................................................................... 55
3.2.9 Evaluación del desempeño ......................................................................... 56
3.2.10 Mejora continua ......................................................................................... 56
CAPITULO IV. PROPUESTA DEL SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN ............................................................. 57
4.1 Contexto de la organización ............................................................................... 57
4.1.1 Misión ........................................................................................................ 57
4.1.2 Visión ......................................................................................................... 57
4.1.3 Objetivos de la entidad .............................................................................. 57
4.1.4 Partes interesadas ...................................................................................... 57
4.1.5 Análisis del contexto externo ..................................................................... 58
4.1.6 Análisis del contexto interno ...................................................................... 58
4.1.7 Proceso de negocio .................................................................................... 59
4.1.8 Estructura organizacional ........................................................................... 60
4.2 Requisitos, necesidades y expectativas de las partes interesadas para el SGSI .. 62
4.2.1 Poder e influencia de los interesados ......................................................... 62
4.2.2 Necesidad y expectativa de los interesados ............................................... 63
5
4.2.3 Requisitos para el SGSI ............................................................................... 66
4.3 Alcance del sistema de gestión de seguridad de la información ........................ 67
4.3.1 Alcance de acuerdo al entorno organizacional y físico ............................... 67
4.3.2 Alcance de acuerdo al entorno Tecnológico ............................................... 69
4.3.3 Alcance del SGSI ......................................................................................... 70
4.4 Políticas de seguridad de la información ............................................................ 70
4.5 Identificación y valoración de activos ................................................................ 72
4.5.1 Identificación de activos ............................................................................. 72
4.5.2 Valoración de activos ................................................................................. 73
4.6 Gestión de riesgos .............................................................................................. 76
4.6.1 Establecimiento del contexto de la organización ....................................... 76
4.6.2 Identificación del riesgo ............................................................................. 77
4.6.3 Análisis del riesgo ....................................................................................... 81
4.7 Plan de tratamiento del riesgo ........................................................................... 82
4.7.1 Informe del plan de tratamiento a riesgos ................................................. 82
4.8 Declaración de aplicabilidad .............................................................................. 83
4.9 Evaluación del desempeño ................................................................................ 84
4.9.1 Umbral en los indicadores .......................................................................... 85
4.9.2 Gestión documental ................................................................................... 85
4.10 Mejora continua ................................................................................................ 86
CAPITULO V. CONCLUSIONES Y RECOMENDACIONES ......................... 87
5.1 Conclusiones ...................................................................................................... 87
5.2 Recomendaciones .............................................................................................. 88
5.3 Trabajos futuros ................................................................................................. 89
BIBLIOGRAFIA. ................................................................................................. 90
GLOSARIO DE TÉRMINOS .............................................................................. 93
ANEXOS……….. ................................................................................................. 94
6
LISTA DE FIGURAS
Figura 1 Historia ISO 27001

Figura 2 Comparativa entre ISO/IEC 27001:2005 e ISO/IEC 27001:2013
Figura 3 Modelo PDCA
Figura 4 ISO 31000 – Marco de trabajo para la gestión de riesgos
Figura 5 Gestión de riesgos
Figura 6 Proceso de gestión de riesgos
Figura 7 Tratamiento del riesgo
Figura 8 Etapas del diseño de SGSI
Figura 9 Matriz poder influencia
Figura 10 Gestión de riesgos
Figura 11 Fórmula para obtener el nivel de riesgo
Figura 12 Organigrama
Figura 13 Organigrama de la sede descentralizada
Figura 14 Proceso de la oficina de informática – Sede descentralizada
Figura 15 Estructura del SGSI
Figura 16 Porcentaje de cumplimiento de controles de seguridad
Figura 17 Cumplimiento esperado y cumplimiento actual
7
LISTA DE CUADROS
Cuadro 1 PDCA
Cuadro 2 Bitácora de resoluciones ministeriales
Cuadro 3 Relación – Valor
Cuadro 4 Clasificación de la información
Cuadro 5 Clasificación de activos
Cuadro 6 Características de los activos
Cuadro 7 Escala de valoración de activos
Cuadro 8 Escala de grado de cumplimiento del control
Cuadro 9 Dimensiones de la seguridad
Cuadro 10 Escala del impacto en la organización
Cuadro 11 Escala amenaza/vulnerabilidad
Cuadro 12 Escala probabilidad de ocurrencia de amenazas – data
Cuadro 13 Escala explotación de vulnerabilidades – data
Cuadro 14 Escala probabilidad de ocurrencia de amenazas – soporte
Cuadro 15 Escala explotación de vulnerabilidades – soporte
Cuadro 16 Escala del riesgo
Cuadro 17 Partes interesadas
Cuadro 18 Contexto externo
Cuadro 19 Contexto interno – FODA
Cuadro 20 Cadena de valor
Cuadro 21 Funciones del personal – sede descentralizada
Cuadro 22 Poder e influencia de los interesados
Cuadro 23 Necesidades y expectativas de los interesados
Cuadro 24 Requisitos para el SGSI
Cuadro 25 Lista de activos
Cuadro 26 Valoración de activos
Cuadro 27 Identificación de amenazas
Cuadro 28 Resumen del análisis de brecha
Cuadro 29 Resumen del porcentaje de cumplimiento
Cuadro 30 Porcentaje de evaluación del riesgo
Cuadro 31 Declaración de aplicabilidad
Cuadro 32 Gestión documental
8
LISTA DE ABREVIATURAS
 ISO International Organization for Standardization

 IEC International Electrotechnical Commission
 SGSI Sistema de Gestión de Seguridad de la Información
 TI Tecnología de la Información
9
LISTA DE ANEXOS
 Anexo 1 Políticas
 Anexo 2 Valoración de los activos
 Anexo 3 Análisis de brecha
 Anexo 4 Identificación de controles existentes
 Anexo 5 Identificación de las vulnerabilidades
 Anexo 6 Identificación de las consecuencias
 Anexo 7 Estimación del riesgo
 Anexo 8 Plan de tratamiento del riesgo
 Anexo 9 Declaración de aplicabilidad
 Anexo 10 Indicadores de medición
 Anexo 11 Formatos diversos
10
RESUMEN
En el presente trabajo se ha diseñado un sistema de gestión de la seguridad de la

información (SGSI) para el caso específico de la oficina de informática que se ubica
en la sede descentralizada de una entidad pública. Este diseño está basado en la
norma ISO/IEC 27001:2013. Así mismo, se han considerados como apoyo para el
desarrollo del SGSI las normas ISO/IEC 27002 y 27005.
Se inicia el proyecto con el planteamiento metodológico que viene a ser el Capítulo I

y que incluye la formulación del problema, justificación y el objetivo general y
específicos del trabajo. En el Capítulo II se realiza la fundamentación teórica
haciendo referencias a las normas utilizadas. En el Capítulo III se desarrolla todo el
diseño del sistema de gestión de seguridad de la información. En el Capítulo IV se
elabora una propuesta en base al diseño del SGSI. Los anexos muestran de manera
detallada todo el trabajo realizado. Finalmente, en el Capítulo V se indican las
conclusiones y recomendaciones.
PALABRAS CLAVE:
 Sistema de Gestión de Seguridad de la Información

 Gestión de riesgos
 Objetivos de control
 ISO 27001:2013
11
ABSTRACT
In the present work an information security management system (ISMS) has been
designed for the specific case of the IT office located in the decentralized
headquarters of a public entity. This design is based on the ISO/IEC 27001:2013
standard. Likewise, the ISO/IEC 27002 and 27005 standards have been considered as
support for the development of the ISMS.
The project begins with the methodological approach that comes to be Chapter I and
that includes the formulation of the problem, justification and the general and
specific objective of the work. In Chapter II the theoretical foundation is made
referring to the standards used. In Chapter III, the entire design of the information
security management system is developed. In Chapter IV, a proposal is prepared
based on the design of the ISMS. The annexes show in detail all the work done.
Finally, Chapter V contains conclusions and recommendations.
KEYWORDS:
 Information Security Management System

 Risk management
 Control objectives
 ISO 27001:2013
12
INTRODUCCION
Hoy en día es innegable que la información de todas las empresas públicas o

privadas, sean estas pequeñas, medianas o grandes se encuentran soportadas por
algún tipo de plataforma tecnológica, y que si alguna organización no se encuentra
del todo interconectada, no pasara mucho tiempo para que eso suceda. Esta situación
de interconexión conlleva a un aumento de los riesgos sobre la pérdida de
información si no se cuentan con los controles que permitan proteger no solo ese
recurso sino también otros activos de la empresa u organización.
Todos los activos con los que cuenta una empresa son importantes, sin embargo la
información que genera una empresa es vital, ya que el adecuado manejo de la
misma le permite tener niveles de competitividad y posibilidades de desarrollo, es
por ese motivo que año a año se incrementan los ataques a organizaciones.
Las fugas de información con mayores pérdidas de datos se están dando en estos
últimos años (RAMIREZ, 2017). Por ejemplo, en incidentes contabilizados entre los
años 2004 y 2015, se consideró que el 66% de la pérdida de datos se concentró entre
los años 2012 y 2015 y el 70% de los casos que se reportaron fueron también entre
esos años. Así mismo entre las categorías de empresas más buscadas para ser
atacadas se encontraban empresas de salud, gobierno y financieras. (GUTIERREZ,
2015)
Estas situaciones de inseguridad se presentan gracias a los esquemas ineficientes de

seguridad con los que cuentan las organizaciones, y porque muchas veces no existe
conocimiento relacionado con la planeación de un esquema de seguridad eficiente
que proteja los recursos informáticos de las actuales amenazas combinadas, teniendo
como resultado la violación de los sistemas y provocando la pérdida o modificación
de los datos sensibles de la entidad.
Se sabe también que el proponer o identificar una política de seguridad requiere un

alto compromiso de la organización, agudeza técnica para establecer fallas y
debilidades, y constancia para renovar y actualizar políticas en función del dinámico
entorno que rodea a las organizaciones.
Lo que se busca entonces es que, a través de la implementación de normas de

seguridad de la información, en este caso la norma ISO/IEC 27001:2013, las
organizaciones cuenten con una herramienta básica que contenga lineamientos que se
puedan desarrollar en base a elementos con los que cuenta la misma organización y,
a partir de ello, determinar los complementos que necesita para garantizar que sus
recursos estén disponibles para cumplir sus propósitos, es decir, que no estén
dañados o alterados por circunstancias o factores externos e internos.
En ese sentido este trabajo pretende diseñar un sistema de gestión de la seguridad de

la información, aplicando la norma ISO/IEC 27001:2013, para un caso de estudio.
13
CAPITULO I. PLANTEAMIENTO METODOLOGICO
1.1 Problema de investigación
1.1.1 Enunciado del problema
Debido a que anualmente se dan varios casos de violaciones a la seguridad

informática, es que cada vez más se requiere adoptar políticas que le permitan
a una organización continuar sus operaciones con normalidad.
Muchas entidades del estado no tienen un conocimiento claro sobre lo que

necesitan implementar con respecto a la seguridad de la información y cómo
hacerlo adecuadamente. Adoptar medidas de seguridad no es tarea fácil y
requiere de cierta inversión, por lo tanto es importante considerar la
aplicación de un marco de trabajo que refuerce las buenas prácticas que
ayuden a una interiorización de la cultura de seguridad de la información
dentro de la institución.
La institución pública a la que se hace referencia en este trabajo de

investigación es una institución que procesa mucha información crítica para
la toma de decisiones que orientan las políticas públicas del estado. Como
toda institución pública está regulada por la ley de protección de datos
personales y la PCM está impulsando la implementación de un SGSI en las
instituciones del estado. Por otro lado, esta institución tiene la particularidad
de tener sedes descentralizadas que desarrollan proyectos y que se encuentran
físicamente alejadas de la sede central, teniendo algunas de ellas oficinas de
informática propias.
El principal problema de estas sedes descentralizadas es la protección de la

información crítica que se genera en los proyectos que se desarrollan en ellas
y, siendo la oficina de informática la que procesa la información, es necesario
implementar controles que permitan minimizar los riesgos de pérdida,
deterioro o corrupción de la información, de tal manera que se pueda cumplir
adecuadamente con las obligaciones contractuales de los convenios firmados
entre las instituciones, respecto a la confidencialidad de los datos que se
generan.
1.1.2 Antecedentes del problema
Desde que la información de las organizaciones se ha convertido un activo

valioso y que se ha dado una masificación en el uso de las Tecnologías de la
Información y las Comunicaciones (TIC´s), se ha generado una serie de
riesgos para las empresas, por lo tanto los métodos de protección se han
vuelto relevantes. Es por ese motivo que año a año se incrementa el número
de empresas en el mundo que adoptan diversos sistemas de seguridad, entre
ellos una certificación ISO/IEC 27001:2013.
14
Según ISO, a través de su informe: “The ISO Survey of Management System
Standard Certifications – 2016”, la cuarta tendencia en certificación es
precisamente la de seguridad de la información con un crecimiento del 21%
con respecto al año 2015. Los países de Japón, Reino Unido e India lideran el
ranking entre 195 países, con 8945, 3367 y 2902 certificaciones
respectivamente. En Latinoamérica, México, Colombia y Brasil tienen la
mayor cantidad de empresas certificadas de la región, con 221, 163 y 117
certificaciones respectivamente.
Perú por su parte tiene una baja tendencia a adoptar políticas de seguridad de
la información, que se da por un tema de cultura y desconocimiento, por un
lado y; economía por el otro, sin tener en consideración los beneficios. En su
edición nro. 26, de Junio del 2012, la revista Strategia de Centrum Católica
menciona que en el Perú en general “falta desarrollar una cultura
empresarial que tienda masivamente a la certificación. El impulso de una
cultura de este tipo, que se someta constantemente a evaluaciones y
certificaciones, es la que nos permitirá alcanzar y mantener altos estándares
de competitividad, como pasa en otras latitudes”… “Sucede que las
empresas lo consideran como un gasto.”. Sin embargo, la certificación en
seguridad de la información se ha ido incrementando, y para el año 2016 se
cuentan con 32 empresas certificadas.
En este caso específico, la aplicación de normas de seguridad de la
información en el sector público, forma parte del llamado “Sistema Nacional
de Informática” que está fomentando el estado a través de su ente rector, la
Presidencia del Consejo de Ministros – Oficina Nacional de Gobierno
Electrónico e Informática, y que finalmente busca la creación de una
“infraestructura de gobierno electrónico”, debido a que la seguridad de la
información es parte del “Plan Nacional de Gobierno Electrónico”. ONGEI
(2017)
La problemática sobre seguridad de la información referente al robo de

información, infecciones con virus, inoperatividad de los sistemas, ataques a
redes, entre otros, se da en un contexto global y no es algo estático, ya que
debido a la evolución de las TIC’s, se da también una evolución en los
métodos para vulnerar la seguridad de las empresas.
Según el informe “The global state of information security survey 2018”, los
ejecutivos reconocen los riesgos cada vez más altos de la inseguridad
cibernética y están conscientes de los efectos negativos para sus
organizaciones. El 40% de los encuestados cita la interrupción de las
operaciones como la mayor consecuencia potencial de un ataque cibernético,
el 39% cita el compromiso de datos confidenciales y el 32% cita daños a la
calidad del producto. Sin embargo, solo el 44% de los 9,500 ejecutivos en
122 países encuestados por el GSISS 2018 dicen que no tienen una estrategia
general de seguridad de la información.
Con respecto a américa latina, el observatorio de ciberseguridad en su

“Informe ciberseguridad 2016 BID/OEA- ¿Estamos preparados en América
15
latina y el Caribe?” indica que si bien algunos gobiernos latinoamericanos
han tenido cierto grado de avance tomando medidas orientadas a la seguridad
cibernética (infraestructura tecnológica, políticas, normas legales) hay aún
mucho por hacer, sobre todo en los países de la región cuyo crecimiento del
acceso a internet es mayor. El informe analiza el estado de preparación de 32
países basado en 49 indicadores del Modelo de Madurez de Capacidad de
Seguridad Cibernética (CMM, por sus siglas en inglés) través de cinco
diferentes dimensiones de la capacidad. Las cinco dimensiones son: Políticas
y estrategia nacional de seguridad cibernética; Cultura cibernética y sociedad;
Educación, formación y competencias en seguridad cibernética; Marco
jurídico y reglamentario; y Normas, organización y tecnologías.
En lo referente al Perú, el informe indica que el 40% de la población tiene

acceso a internet y que mientras los servicios de gobierno y comercio
continúan incrementándose, la conciencia social sobre la seguridad
cibernética aún es baja. Falta desarrollar una estrategia integral y una amplia
campaña de concientización sobre la seguridad cibernética del país.
1.1.3 Descripción del problema
En la sede descentralizada de la organización, a la que refiere el caso de

estudio, se maneja mucha información sensible que puede ser mal utilizada
por personas ajenas a la institución o que se encuentren dentro de la misma.
La rotación del personal es continua y el tipo de contrato mayormente
utilizado es el de proveedor externo, por lo tanto el riesgo de fuga de
información es alto.
Existe una necesidad real para la aplicación de estrategias de seguridad de la

información, que permitan establecer controles adecuados en la plataforma
tecnológica que se maneja en la oficina de informática de la sede
descentralizada (sistemas de información, procesos), de tal manera que se
prevengan fugas de información o el tratamiento inadecuado de la
información por desconocimiento del personal.
1.1.4 Formulación Interrogativa del problema
Se plantea la siguiente interrogante:
 ¿Cómo asegurar la información en la oficina de informática de la

sede descentralizada de una entidad del Estado, de manera que
permita minimizar los diferentes riesgos que puedan afectarla?
1.1.5 Justificación de la investigación
Debido al acceso a distintos tipos de dispositivos electrónicos y la

dependencia a los diversos sistemas de información, es que las organizaciones
16
se encuentran en constante riesgo de poder ser vulneradas si no cuentan con
los mecanismos adecuados que garanticen que su información crítica este
protegida.
La fuga de información y los ataques a la seguridad son problemas frecuentes,

la sede descentralizada debe proteger y resguardar información relevante, así
como concientizar en su ámbito de jurisdicción el uso adecuado de los
recursos informáticos. La información mal utilizada es un riesgo que puede
generar muchos conflictos ya sean sociales, económicos o políticos.
Adoptar medidas de seguridad de la información en la sede descentralizada

permitirá conocer la información crítica de los procesos de negocio, pues ésta
representa un activo para la organización y es la que se tiene que proteger en
primer lugar; así mismo, con respecto a la plataforma tecnológica, nos
ayudará a determinar qué es lo que se tiene, qué es lo que hace falta y si se
utilizan adecuadamente todos los recursos tecnológicos que se han
proporcionado para el desarrollo de los proyectos de la sede descentralizada.
Por otro lado, el personal técnico y administrativo de la organización debe

conocer sobre temas de seguridad de la información y como aplicarlas en las
labores que realizan, ya que si el personal se encuentra capacitado podrá
identificar problemas referentes a la seguridad y ayudar en la propuesta de
políticas integrales. Es por ese motivo que la presente investigación tiene
relevancia, pues permitirá proponer, para un caso específico, el diseño de un
sistema de seguridad de la información, utilizando la norma ISO/IEC
27001:2013.
1.1.6 Limitaciones de la investigación
El alcance de la investigación es el diseño de un sistema de gestión de la

seguridad de la información para una determinada oficina de informática de
una sede descentralizada.
Es importante mencionar que debido al tipo de proyecto, es posible que no se

pueda obtener información muy detallada de los procesos de la sede central
de los cuales se depende o de otras áreas con políticas restrictivas de acceso.
Así mismo se precisa que tanto la norma ISO/IEC 27001 como el diseño que
se obtendrá resultado de esta investigación son afectos a cambios, debido al
desarrollo de la tecnología, a mejoras en la norma, a cambio en los procesos y
a la aparición constante de nuevas amenazas a la seguridad de la información.
17
1.2 Objetivos
1.2.1 Objetivo General
Diseñar un sistema de gestión de la seguridad de la información basada en la

norma ISO/IEC 27001:2013. Caso de estudio: oficina de informática de la
sede descentralizada de una entidad pública.
1.2.2 Objetivos Específicos
 Realizar el análisis de brecha para identificar los controles existentes.

 Analizar, clasificar y evaluar los activos de información asociados a los
procesos del caso de estudio.
 Realizar el plan de tratamiento de riesgos.
 Elaborar la propuesta del sistema de gestión de seguridad de la
información para el caso de estudio
1.3 Tipo de investigación
Investigación exploratoria, porque se analiza el caso de estudio, aplicaciones

de trabajos previos y normas especializadas para poder proponer un diseño
que se aplique a la realidad del caso de estudio. En ese sentido, la hipótesis
del trabajo está implícita.
1.4 Nivel de Investigación
Exploratoria, porque los resultados serán consecuencia de lo observado en el

caso de estudio teniendo como guía las normas de gestión que son utilizadas
para implementaciones de seguridad de la información.
1.5 Diseño de la Ejecución
1.5.1 Delimitación Espacial y Temporal
En muchas entidades del estado, la necesidad de contratar recursos humanos

especializados para desarrollar proyectos de sistemas de información nuevos o
mejorar los sistemas de información existentes es muy común. Esta situación
genera que se contraten diferentes modalidades de outsourcing:
 Consultoras externas como “fábricas de software” con paquetes de

horas anuales.
 Consultoras externas que asignan personal para desarrollar determinado
proyecto o proceso in house mediante un término de referencia (TDR)
 Contratar proveedores directos para desarrollar diferentes proyectos
(TDR) por un tiempo determinado.
18
En ocasiones, debido al poco espacio que se tiene en la sede principal, o, al tipo
de proyecto que se desarrollará, se alquilan sedes descentralizadas. Estas sedes
tienen sus propios recursos humanos y financieros, tienen una organización,
procesos y jerarquía propia, aun así dependan de la sede central.
La sede descentralizada a la que se hace referencia en este caso de estudio,

obtiene los recursos financieros de otra entidad del estado a quien le
proporciona el servicio de desarrollo de proyectos orientados a la obtención de
información y monitoreo de evaluaciones a nivel nacional. Este servicio es
“contratado” anualmente mediante convenios.
El personal que trabaja en la sede descentralizada, es contratado por proyecto.

La rotación del personal es alta. Se contratada personal para las áreas de
recursos humanos, metodología, logística, tecnología y personal de campo.
La información que se maneja en la sede descentralizada es la información de

los proyectos que se desarrollan en ella, desde la metodología y estrategias que
se utilizan en los mismos incluida la información que generan los sistemas
utilizados, hasta información del personal contratado.
En esta institución del estado existen otras sedes descentralizadas que trabajan
otros proyectos. El caso de estudio se centra en las operaciones y procesos de
la oficina de informática de una de las sedes descentralizadas.
1.5.2 Método de Investigación
De acuerdo a los objetivos específicos indicados, la investigación se realiza de

la siguiente manera:
Objetivo Realizar el análisis de brecha para identificar los controles

existentes
Importancia Este objetivo nos permite determinar cuál es la brecha entre lo
que determina la norma y los controles existentes
Actividades Entrevista con el encargado de la oficina de informática de la
sede descentralizada
Determinar los controles existentes de acuerdo a la norma
ISO/IEC 27002:2013
Producto Informe de análisis de brechas
Objetivo Analizar, clasificar y evaluar los activos de información

asociados a los procesos del caso de estudio.
Importancia Nos permite tener la lista de activos actualizada
Conocer la valoración de los activos
Actividades Obtener criterios de evaluación de acuerdo a lo indicado en la
norma ISO/IEC 27005:2013
Producto Matriz de valoración de activos de la información
19
Objetivo Realizar el plan de tratamiento de riesgos
Importancia Conocer los riesgos a los que está expuesta la oficina de
informática de la sede descentralizada
Tratar los riesgos de mayor valoración
Actividades Aplicar lo indicado en la norma ISO/IEC 27005:2013
Realizar el plan de tratamiento de riesgos identificados
Producto Plan de tratamiento de riesgos
Objetivo Elaborar la propuesta del sistema de gestión de seguridad de la

información para el caso de estudio
Importancia En base al diseño del sistema de seguridad de la información se
desarrolla la propuesta del SGSI
Conocer los controles que se tienen que aplicar
Conocer cómo medir la efectividad del SGSI
Actividades Seguir los pasos del diseño del SGSI para obtener propuesta
del SGSI aplicado al caso de estudio
Producto Propuesta del SGSI
1.5.3 Técnicas, Instrumentos y Fuentes o Informantes
Se utilizará una técnica descriptiva para analizar y consolidar información

obtenida de internet. Los documentos a tomar en cuenta para esta investigación
serán la norma ISO, tesis de maestrías, papers, manuales y otras
investigaciones referidas al tema de estudio.
Así mismo la observación, entrevistas y revisión de documentación de la
oficina de informática de la sede descentralizada.
1.5.4 Forma de Tratamiento de los Datos
Se realizará una recolección de información de diversas fuentes (maestrías,

papers, otras investigaciones, entrevistas). Todo lo obtenido se clasifica, se
procesa y se describe la información más relevante que aporta valor en el
trabajo de investigación.
1.5.5 Forma de Análisis de las Informaciones
Se revisara lo que indica la norma ISO/IEC 27001:2013 para realizar el diseño

del SGSI y otras normas de soporte.
1.5.6 Limitaciones de la Metodología
La metodología de desarrollo de la propuesta se puede ver limitada por

cambios en la aplicación de la norma, del estándar al que se hace referencia o
por la obtención de la información referente a la seguridad de la organización.
20
CAPITULO II. FUNDAMENTACION TEORICA
2.1 Revisión Histórica
La ISO/IEC 27001:2013 tecnología de la información – técnicas de seguridad –

Sistema de gestión de la seguridad de la información - Requisitos o ISO/IEC
27001:2013 information technology - security techniques -Information security
management system - Requirements, tiene sus inicios en la norma BS 7799 de
la British Standars Institution (BSI). El estándar ISO/IEC 27001 fue publicado
por ISO (the International Organization for Standardization) e IEC (the
International Electrotechnical Commission).
Para el campo de la tecnología de la información, ISO e IEC han establecido
un comité técnico, el ISO / IEC JTC 1 Information technology, Subcommittee
SC 27, IT Security techniques. (ISO27001, 2014)
Según el portal ISO27000.es la evolución se dio de la siguiente manera:
 BS 7799: El British Standard 7799 aparece en 1995. Es un estándar que

contiene un conjunto de buenas prácticas para la gestión de la
información de empresas británicas o extranjeras.
 BS 7799-1: Es la primera parte de la norma 1799 solamente como una

guía de buenas prácticas, sin esquema de certificación.
 BS 7799-2: Aparece en 1998. Establece los requisitos para certificar un

sistema de seguridad de la información (SGSI) mediante una entidad
independiente.
 BS 7799-2:1999: En 1999 se realiza una revisión conjunta de las partes

1 y 2.
 ISO/IEC 17799:2000: En el año 2000 ISO adoptó la primera parte de

la norma sin mayores cambios. En el año 2002 se revisó la parte 2 (BS
7799-2) para adecuarse a ISO.
 ISO/IEC 17799:2005: Como parte de una revisión periódica, se realiza

una revisión de la norma 17799.
 ISO/IEC 27001:2005: En el año 2005 el estándar BS7799-2, el cuál

contaba con más de 1700 empresas certificadas, fue publicado por ISO
como ISO 27001.
 ISO/IEC 27001:2013: Publicada el 25 de Septiembre de 2013. Es la

revisión de ISO/IEC 27001:2005.
21
Figura 1: Historia ISO 27001 Fuente: (ISO27000-DCTO, 2014)
2.2 Estado del Arte
De acuerdo al portal iso.org, actualmente se encuentra disponible la primera

revisión del estándar ISO/IEC 27001:2005, que ha pasado a llamarse ISO/IEC
27001:2013, la misma que se encuentra en su segunda corrección publicada en
diciembre de 2015.
En la norma ISO/IEC 27001:2013 se indican los requisitos para establecer,

implementar, mantener y mejorar de manera continua un SGSI. En tales
requisitos se describe cuál es el comportamiento que debe tener un SGSI en
funcionamiento. Se debe tener en cuenta que la norma no indica cómo
implementar paso a paso un SGSI, sin embargo, hay otras normas
correspondientes a la serie ISO/IEC 27000 que ayudan, tales como:
 ISO/IEC 27003: Information security management system

implementation guidance. (Guía de implementación del sistema de
gestión de seguridad de la información)
 ISO/IEC 27002: Code of practice for information security controls

(Código de prácticas para controles de seguridad de la información)
 ISO/IEC 27004, Information technology —Security techniques —

Information security management — Measurement
(Gestión de seguridad de la información – Medición)
22
 ISO/IEC 27005, Information technology —Security techniques —
Information security risk management.
(Gestión de riesgos de seguridad de la información)
Estas 4 guías también fueron revisadas y modificadas.
De acuerdo a la guía de transición de BSI, para realizar la revisión del estándar

ISO/IEC 27001:2005 se consideró lo siguiente:
Lo primero es un requisito de ISO de que todas las estructuras de las normas

que publica sean iguales a la estructura de alto nivel denominada “Anexo SL”,
de tal manera que todos los sistemas de gestión se integren fácilmente.
Lo segundo es el objetivo de alinear la Norma ISO/IEC 27001 con lo indicado

en la norma ISO 31000 (gestión del riesgo). De tal manera que una
organización pueda aplicar una misma metodología de evaluación del riesgo a
través de varias disciplinas.
En la norma ISO/IEC 27001:2013 se han introducido nuevos conceptos y

nuevos requerimientos y se ha dado mucho énfasis a la gestión de riesgos (BSI,
2014). De acuerdo al portal ISO27000.es, se detallan brevemente estos
cambios:
0. Introducción
La eliminación del “enfoque a procesos” (modelo PDCA) y se orienta a la
“mejora continua”.
1. Objeto y campo de aplicación

El enfoque de cumplir con todos los requisitos indicados en las cláusulas del
estándar es aún mantenida.
2. Normas para consulta

Ya no se cuenta con la referencia hacia ISO/IEC 27002, a pesar de que esta
sigue siendo una ayuda directa y útil para la determinación de controles de
seguridad. Sí se hace una referencia a ISO/IEC 27000 ya que contiene todos los
términos y definiciones necesarios para interpretar adecuadamente ISO/IEC
27001.
3. Términos y definiciones
Eliminación de todas las definiciones de la versión 2005. Las definiciones
relevantes se encuentran en el estándar ISO/IEC 27000 para consolidar todos
los mismos términos y definiciones en todas las publicaciones de la serie
27000.
4. Sistema de Gestión
Es la cláusula más afectada por la nueva versión. Algunas cláusulas de la
versión 2005 han pasado a formar parte de otras cláusulas, se han creado
algunas nuevas y otras han sido eliminadas. Entre los cambios se encuentran la
23
eliminación del “enfoque a procesos” de la versión 2005 y los nuevos
apartados sobre “4.1 Entender la organización y su contexto” y “4.2 Entender
las necesidades y expectativas de las partes interesadas” en la versión 2013.
Así mismo, la alineación de la nueva versión 27001 con el estándar ISO
31000:2009 (“Gestión de Riesgos - Guías y principios”)
5. Responsabilidad de la Dirección
La nueva versión del estándar sólo considera una “política de seguridad de la
información” y puede ser documentada bajo la denominación particular de
cada organización.
6. Auditorías internas y 7. Revisión SGSI por la Dirección

En la nueva versión, los requisitos para la auditoría interna y revisión por la
dirección, se integran a otras cláusulas de forma más detallada.
8. Mejora del SGSI

En la nueva versión, las cláusulas sobre la mejora continua y acciones
correctivas se integran a otras cláusulas. Se replantean los requisitos de las
acciones preventivas como parte de los requisitos generales de la evaluación
del riesgo.
Anexo A
El Anexo A se reorganiza en 14 dominios (11 en la versión 2005), 35 objetivos
de control (39 en versión 2005) y 114 controles (133 en versión 2005). Los
Anexos B y C (ambos de carácter informativo en la versión 2005) desaparecen
en la nueva versión del 2013.
2.3 Conceptos
2.3.1 Definiciones
Los siguientes conceptos son obtenidos de la norma ISO/IEC 27000:2018:
(ISO27000, 2018)
 Familia ISO/IEC 27000: Los estándares ISO/IEC 27000 son

conocidos como la familia de estándares del Sistema de Gestión de
Seguridad de la Información (SGSI). Mediante el uso de estas normas,
las organizaciones pueden desarrollar e implementar un marco para
gestionar la seguridad de sus activos, incluyendo información
financiera, la propiedad intelectual, y detalles de los empleados, o la
información confiada a ellos por los clientes o terceros. Estos
estándares también pueden ser usados para prepararse para una
evaluación independiente de su SGSI orientado a la protección de la
información.
 ISO/IEC 27001: Es el documento que especifica los requerimientos

para proporcionar un modelo para establecer, implementar, operar,
24
monitorear, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información formalizado (SGSI).
 Sistema de Gestión de la seguridad de la información (SGSI): Un

SGSI consiste en las políticas, procedimientos, lineamientos y
actividades y recursos, colectivamente manejados por una organización
con el propósito de proteger sus activos de información. Un SGSI es un
enfoque sistemático para establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar la seguridad de la información de la
organización, para alcanzar objetivos de negocio. Esto está basado en la
evaluación del riesgo y en los niveles de aceptación del riesgo de la
organización, diseñados para tratar y manejar de manera efectiva los
riesgos.
 Información: Es un activo que, como otros importantes activos del

negocio, es esencial para la organización y debe ser adecuadamente
protegido. La información puede ser almacenada en muchas formas,
incluyendo: formas digitales (por ejemplo medios electrónicos), formas
materiales (por ejemplo papel), así como también, información en
forma de conocimiento de los empleados. La información puede ser
transmitida por varios medios, incluyendo: courier, comunicación
electrónica o verbal. Sea cual sea la forma que tome la comunicación o
el medio mediante el cual es transmitida; siempre necesita adecuada
protección.
 Seguridad de la información: Asegura la confidencialidad, integridad

y disponibilidad de la información. La seguridad de la información
involucra la aplicación y gestión de controles apropiados que
consideren un amplio rango de amenazas, con el objetivo de asegurar el
éxito sostenido y continuidad del negocio, minimizando las
consecuencias de los incidentes de seguridad de la información.
 Gestión: En términos de un SGSI, la gestión involucra la supervisión y

toma de decisiones para alcanzar los objetivos del negocio, a través de
la protección de los activos de información de la organización.
 Sistema de gestión: Un sistema de gestión usa un marco de recursos

para alcanzar los objetivos de la organización. Incluye: estructura
organizacional, políticas, planificación de actividades,
responsabilidades, prácticas, procedimientos, procesos y recursos.
 Confidencialidad: La propiedad de que la información no está

disponible o divulgada para individuos, entidades o procesos no
autorizados.
 Integridad: La propiedad de que el activo es preciso y completo.

 Disponibilidad: La propiedad de estar disponible y utilizable cuando lo
requiera una entidad autorizada.
25
 Activo: En relación con la seguridad de la información, se refiere a
cualquier información o elemento relacionado con el tratamiento de la
misma (sistemas, soportes, edificios, personas...) que tenga valor para la
organización. (ISO27000-GLOSARIO, 2014)
2.3.2 Enfoque de procesos
En la versión ISO/IEC 27001:2013, no aparece la sección sobre el enfoque de

procesos, flexibilizando el poder escoger cualquier modelo de mejora continua.
El ciclo de Deming, es el modelo aplicado en la versión ISO/IEC 27001:2005 y
se alineaba con la estructura de aplicación de esa versión de la norma. En la
versión 2013 de la norma también se puede realizar este alineamiento. A pesar
de los cambios realizados, como se muestra en la figura 4, se puede aplicar el
mismo enfoque de procesos, ya que el contenido de la cláusula 4 ha sido
“distribuida” en otras cláusulas.
Figura 2: Comparativa entre ISO/IEC 27001:2005 e ISO/IEC 27001:2013

Fuente: https://www.pmg-ssi.com/2014/11/iso-270012015-un-cambio-en-la-integracion-de-los-
sistemas-de-gestion/
Se puede denominar “enfoque basado en procesos” a la aplicación de un

sistema de procesos. Esto incluye la identificación, interacciones y gestión de
26
tales procesos dentro de una organización. Para el enfoque basado en procesos
para la gestión de seguridad es importante: (ISO/IEC27001, 2005)
 “La comprensión de los requisitos de seguridad de la información de una

organización y la necesidad de establecer políticas y objetivos para la
seguridad de la información.
 Implementación y operación de los controles para gestionar los riesgos de
seguridad de información de una organización en el contexto de los riesgos
globales de negocios de la organización;
 El seguimiento y la revisión del rendimiento y la eficacia del SGSI
 La mejora continua basada en mediciones objetivas”
La norma 27001 adopta el modelo "Planificar - Hacer – Verificar - Actuar"

(PDCA o Ciclo de Deming), aplicado a todos los procesos del SGSI. La Figura
3 muestra cómo a las entradas se les aplica acciones y procesos, para producir
las salidas que deben cumplir con los requerimientos y expectativas de la
seguridad de la información. Y, como esos procesos interactúan entre sí.
(ISO/IEC27001, 2005)
Figura 3: Modelo PDCA Fuente: ISO27000.es
27
1.- Plan Establecer la política,
objetivos, procesos y
procedimientos relacionados
con el manejo de riesgos y la
mejora de seguridad de la
información, para conseguir
resultados de acuerdo con las
políticas y objetivos generales
de la organización.
2.- Hacer Implementar y operar las
políticas, controles, procesos
y procedimientos del sistema
de gestión.
3.- Verificar Evaluar y, donde aplique,
medir el rendimiento del
proceso frente a la política,
los objetivos y la experiencia
práctica y reportar los
resultados a la gerencia para
su revisión.
4.- Actuar Tomar las acciones
correctivas y preventivas,
basadas en los resultados de la
auditoría interna u otra
información pertinente, para
lograr la mejora continua del
sistema de gestión.
Cuadro 1: PDCA Fuente: (ISO/IEC27001, 2005)
2.3.3 MAGERIT
MAGERIT por sus siglas en español es la Metodología de Análisis y Gestión

de Riesgos de los Sistemas de Información. De acuerdo al libro I de
MAGERIT – Método (MAGERIT, 2012), “Siguiendo la terminología de la
normativa ISO 31000, Magerit responde a lo que se denomina “Proceso de
Gestión de los Riesgos”, sección 4.4 (“Implementación de la Gestión de los
Riesgos”) dentro del “Marco de Gestión de Riesgos”. En otras palabras,
MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco
de trabajo para que los órganos de gobierno tomen decisiones teniendo en
cuenta los riesgos derivados del uso de tecnologías de la información”, tal
como se muestra en la figura 4
28
Figura 4: ISO 31000 - Marco de trabajo para la gestión de riesgos
Fuente: Magerit Versión 3
Así mismo, si bien es cierto Magerit se especializa solamente en riesgos de

tecnología de la Información, los órganos de gobierno de la organización no
deben separar los riesgos de TIC y tratarlos de manera independiente, si no, se
deben incluir en un marco global de tratamiento de riesgos de toda la
organización.
“Magerit persigue los siguientes objetivos:

Directos:
 Concientizar a los responsables de las organizaciones de información de la
existencia de riesgos y de la necesidad de gestionarlos
 Ofrecer un método sistemático para analizar los riesgos derivados del uso
de tecnologías de la información y comunicaciones (TIC)
 Ayudar a descubrir y planificar el tratamiento oportuno para mantener los
riesgos bajo control
Indirectos:
 Preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso.”
2.3.3.1 Determinar si procede gestionar los riesgos
De acuerdo a Magerit, si una organización para cumplir con su misión depende

de los sistemas de información y comunicaciones, entonces es necesario un
análisis de riesgos. Este análisis se debe aplicar en cualquier entorno público o
privado donde se practique la tramitación electrónica de bienes y/o servicios.
Lo que permite el análisis de riesgos es tomar mejores decisiones de gestión,
asignando los recursos necesarios con una mejor perspectiva, sean estos
tecnológicos, humanos o financieros.
29
2.3.3.2 Gestión de riesgos: Hay dos grandes tareas a realizar:
I.- Análisis de riesgos: Determina lo que tiene la organización y estima lo

que podría suceder, en base a lo encontrado.
II.- Tratamiento de los riesgos: Se organiza la defensa, se prepara para

hacer frente a las emergencias e incidentes y poder seguir operando en las
mejores condiciones posibles, ya que se debe considerar que el riesgo se
reduce al nivel residual que desea asumir la organización.
Ambas actividades, análisis y tratamiento se combinan en el proceso

denominado Gestión de Riesgos.
Figura 5: Gestión de riesgos Fuente: Magerit Versión 3
En el análisis de riesgos se consideran los siguientes elementos:

1. activos, que son los elementos propios o relacionados con el sistema
de información de la organización.
2. amenazas, que son eventos o situaciones que pueden afectar a los
activos de la organización, causando perjuicios a la misma.
3. salvaguardas (o contra medidas), son las medidas de protección que
toma la organización para evitar que las amenazan causen “mucho”
daño.
Con estos elementos se puede estimar:

1. el impacto: que es el daño sobre el activo en base a una determinada
amenaza.
2. el riesgo: que es el impacto ponderado asociado a la tasa de ocurrencia
de una determinada amenaza. Indica lo que le podría pasar a los
activos si no están protegidos adecuadamente.
El análisis de riesgos permite el análisis de estos elementos de manera que se

pueda llegar a conclusiones fundamentadas para posteriormente proceder a la
siguiente fase que es la del tratamiento del riesgo.
La figura 6 muestra un esquema del proceso de gestión de riesgos y a
continuación se describe cada paso.
30
Figura 6: Proceso de gestión de riesgos Fuente: Magerit Versión 3
La determinación del contexto: De acuerdo a la ISO 31000 (ISO31000,

2009), Lleva a establecer el contexto de la organización tanto interno
(estructura organizacional, funciones, gobernanza, políticas,
responsabilidades, etc.) como externo (social, cultural, jurídico, regulatorio,
económico, financiero, tecnológico, etc.), que permita determinar la política
que se seguirá para gestionar los riesgos, incluyendo las relaciones con otras
organizaciones (intercambio de información, servicios, entre otros).
La identificación de los riesgos: Se busca identificar los riesgos de acuerdo

a “puntos de peligros” para poderlos analizar el la siguiente etapa. Si algún
riesgo no fuera identificado se tomara como un riesgo oculto o ignorado.
El análisis de los riesgos: Se busca calificar los riesgos de manera cualitativa

por medio de la ordenación de acuerdo a su importancia relativa, o,
cuantitativa, por medio de la cuantificación de sus consecuencias, para
obtener una visión estructurada que permita centrarse en los riesgos más
importantes.
La evaluación de los riesgos: Determina de acuerdo a las consecuencias para

el negocio, cuales riesgos se aceptan y cuales no y bajo qué circunstancias se
aceptan o no los riesgos o se trabajan en su tratamiento, de acuerdo a las
percepciones, estrategias y políticas de la organización.
31
El tratamiento de los riesgos: Son las actividades dirigidas a modificar la
situación de riesgo.
Comunicación y consulta: Es importante establecer un equilibrio entre

seguridad y productividad de la organización, ya que no se puede tener un
sistema muy seguro que no permita que la organización alcance sus objetivos
de negocio. Es por eso importante contar con la colaboración de varios
interlocutores:
 Los usuarios: Se deben tener en cuenta sus necesidades y es necesario

tenerlos informados para que puedan colaborar en la operación del
sistema dentro de los parámetros de seguridad determinados por la
Dirección.
 Los proveedores externos: Se les debe proporcionar instrucciones claras

para posteriormente exigirles el cumplimiento de los niveles de servicio
requeridos y la gestión de los incidentes de seguridad que pudieran
presentarse.
 Los órganos de gobierno: que son lo que establecerán los canales de

comunicación que consolidan la confianza de que se tendrá una
respuesta del sistema de información y que los incidentes serán tratados
de acuerdo el plan previsto.
Seguimiento y revisión: Es importante no olvidar nunca que el análisis de

riesgos es una actividad permanente, ya que el entorno de una organización es
cambiante, por lo que es necesario mejorar continuamente el conocimiento
del sistema y de su entorno para mejorar el análisis y ajustarlo a la
experiencia.
2.3.4 ISO/IEC 27002:2013 Código de prácticas para los controles de seguridad

de la información
Esta norma se utiliza como una guía para la implementación de controles de
seguridad de la información, se puede usar como complemento de la norma
ISO/IEC 27001:2013 ya que sus controles están orientados a la seguridad de
la información o de manera independiente si una organización desea
implementar controles de seguridad. La norma ISO/IEC 27002:2013 está
compuesta por 14 categorías o dominios, 35 objetivos de control y 114
controles y se puede implementar en cualquier tipo y tamaño de organización.
“La seguridad de la información se consigue mediante la implantación de un

conjunto adecuado de controles, lo que incluye políticas, procesos,
procedimientos, estructuras organizativas y funciones de software y
hardware. Estos controles se deberían establecer, implementar, supervisar,
revisar y mejorar, cuando sea necesario, para asegurar que se cumplan los
32
objetivos específicos de seguridad y de negocio de la organización.”
(ISO27002, 2013)
Para poder aplicar esta norma se recomienda identificar los requisitos de

seguridad de la organización y realizar una evaluación de riesgos de manera
que se puedan priorizar la atención de los riesgos de mayor impacto en la
seguridad de la información y se puedan implementar los controles
adecuados. Los controles a implementarse pueden elegirse de la norma o
crearse nuevos controles por necesidades específicas, cada organización debe
identificar los controles que aplicará en sus procesos de negocio.
2.3.5 ISO/IEC 27005:2011 Gestión del riesgo en la seguridad de la información

Esta norma brinda los soportes para la gestión del riesgo en la seguridad de la
información y se aplica a todo tipo de organizaciones.
En la gestión del riesgo se analiza lo que puede suceder y las posibles
consecuencias para tomar acciones con el fin de obtener un riesgo aceptable
para la organización. El proceso de gestión de riesgo es iterativo en la
valoración y tratamiento del riesgo. En cada iteración se puede profundizar en
la valoración del riesgo para obtener más detalles y el resultado sea lo más
acertado posible.
De acuerdo a la norma se lista la estructura que la conforma:
Establecimiento del contexto: El contexto de la organización nos permite

establecer el contexto de la gestión de riesgos.
Evaluación del riesgo: Con la evaluación del riesgo se determina si se debe

o no realizar una actividad y se establece la prioridad del plan de tratamiento
del riesgo.
Tratamiento del riesgo: Para tratar el riesgo se tienen las siguientes

estrategias:
 Reducir: El nivel del riesgo se debería reducir mediante la selección

de controles, de manera tal que el riesgo residual se pueda revaluar
como aceptable
 Evitar: se debería evitar la actividad o la acción que da origen al
riesgo particular.
 Transferir: el riesgo se debería transferir a otra de las partes que
pueda manejar de manera más eficaz el riesgo particular dependiendo
de la evaluación del riesgo.
 Retención: la decisión sobre la retención del riesgo sin acción
posterior se debería tomar dependiendo de la evaluación del riesgo.
Llamado “Aceptación” en la norma ISO/IEC 27001
33
Figura 7: Tratamiento del riesgo Fuente: ISO/IEC 27005:2011
Aceptación del riesgo: La organización debe establecer el criterio de

aceptación del riesgo y el riesgo residual aceptable por los directores de la
organización.
Comunicación del riesgo: Las actividades de comunicación del riesgo deben

ser continuas entre las partes involucradas. Se debe desarrollar un plan de
comunicación para los riesgos de las operaciones normales de la organización
y las situaciones de emergencia.
Monitoreo y revisión del riesgo: Se deben monitorear y revisar todos los

elementos que pueden generar un cambio en el contexto de la organización
para poder detectar los riesgos de manera oportuna.
La norma también tiene anexos adicionales que orientan sobre la aplicación

de temas específicos como las valoraciones cualitativas o cuantitativas para el
impacto del riesgo, catálogos de amenazas y vulnerabilidades, entre otras, que
sirven de guía para la gestión del riesgo (ISO27005, 2011)
34
2.4 Antecedentes Investigativos
2.4.1 Implementaciones de seguridad de la información

Las investigaciones orientadas a implementaciones de un SGSI utilizando la
norma ISO/IEC 27001 se dan en diferentes sectores de negocio. A pesar de
que actualmente se encuentra vigente la versión 27001:2013, aún se realizan
implementaciones con la anterior versión 27001:2005. Como antecedentes
investigativos el enfoque de esta investigación está basada en la versión
vigente. Adicionalmente, se debe considerar que en las investigaciones, no se
hace referencia a un solo estándar, si no, que la aplicación y utilización de
conceptos de la ISO/IEC 27001, es acompañada y complementada con el uso
de otros estándares:
 Elaboración de un modelo de gestión de seguridad para instituciones

educativas de nivel básico (BENAVIDES & BLANDON, 2017).
 Elaboración de una guía para de seguridad de información para el

proceso de una entidad pública (TERAN, 2018)
 Implementación de un sistema de gestión de seguridad de la

información para un proceso de control físico y digital de documentos
(LEMA & DONOSO, 2018)
Las metodologías utilizadas pueden tener variaciones y sobre todo

aplicaciones de otros estándares propios de la industria, dependiendo del
lugar y contexto de aplicación, ya que como se está considerando seguridad
de la información, es importante también tomar en consideración el marco
legal regulatorio y políticas internas y externas que pueden afectar a las
organizaciones de acuerdo al rubro donde se desarrollan.
2.4.2 Implementaciones de seguridad de la información en contextos

específicos
En este grupo de investigaciones se utiliza la norma de seguridad para
proponer implementaciones orientadas a determinados ámbitos.
 Elaboración de un modelo de gestión de seguridad para una empresa

de desarrollo de video juegos terapéuticos (RODAL, 2016)
 Elaboración de un modelo de gestión de seguridad para una empresa

del rubro energético (SALCEDO, 2014)
Tal como se indica en la norma 27001, esta se aplica a diversos tipos y

tamaños de empresas.
35
2.5 Marco legal
2.5.1 Resolución Ministerial para implementación de un SGSI en las entidades

del estado peruano
Desde el año 2004 se han emitido Resoluciones Ministeriales con la finalidad
de que las entidades del estado implementen un SGSI, sobre todo las
entidades integrantes del sistema nacional de informática, con la finalidad de
apoyar en el desarrollo del Gobierno Electrónico y la Digitalización del
Estado. (PCM, 2017)
Bitácora de las Resoluciones emitidas

Nro. Resolución Fecha Breve descripción de la resolución
Nº 166-2017-PCM 20/06/2017 Se requiere priorizar la implementación del
Sistema de Gestión de Seguridad de la
Información en las entidades públicas, en
procesos que resulten críticos para su
operatividad y se indica la necesidad de contar
con el rol del Oficial de Seguridad de la
Información, como responsable de coordinar la
implementación del SGSI.
N° 004-2016-PCM 08/01/2016 Se aprueba el uso obligatorio de la norma
NTP-ISO/IEC 27001:2014 2da edición, con un
plazo máximo de 2 años para implementación
y/o adecuación de la norma.
N° 129-2012-PCM 25/05/2012 Se estableció un nuevo cronograma y la
incorporación del rol del oficial de seguridad
para el proceso de implementación de la norma
técnica peruana NTP-ISO/IEC 27001:2008
N° 197-2011-PCM 21/07/2011 Se estableció el plazo para que determinadas
entidades de la administración pública
implementen el plan de seguridad de la
información
N° 246-2007-PCM 22/08/2007 Aprueban el uso de la norma “NTP-ISO/IEC
17799:2007 EDI. Tecnología de la Información.
Código de buenas prácticas para la gestión de la
seguridad de la información. 2ª Edición
Nº 395-2005-PCM 12/11/2005 Se modificaron los plazos para implementar la
Norma Técnica Peruana para las entidades
integrantes del sistema nacional de informática.
Nº 224-2004PCM 23/07/2004 Se aprobó el uso obligatorio de la Norma
Técnica Peruana “NTP-ISO/IEC 17799:2004
EDI. Tecnología de la Información. Código de
buenas prácticas para la gestión de la seguridad
de la información. 1º Edición”, en todas las
Entidades integrantes del Sistema Nacional de
Informática.
Cuadro 2: Bitácora de resoluciones ministeriales Fuente: Elaboración propia
36
2.5.2 Ley nro. 29733 - Ley de protección de datos personales
Publicada el diario el peruano el 3 de julio de 2011. El objetivo es garantizar
el derecho a la protección de los datos personales mediante un adecuado
tratamiento de los mismos. El ámbito de aplicación son los bancos de datos
personales tanto de la administración pública como de la administración
privada, cuyo tratamiento es en el territorio nacional. El incumplimiento de la
ley puede derivar en infracciones (leves, graves, muy graves) y sanciones
administrativas por parte de la Autoridad Nacional de Protección de Datos
Personales. (LEY, 2011)
37
CAPITULO III. DISEÑO DEL SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
3.1 Etapas del diseño
De acuerdo a la norma ISO 27001:2013, es obligatorio el cumplimiento de las

clausulas desde la 4 hasta la 10. Tomando en consideración esa premisa se
desarrolla el diseño en base a las siguientes etapas:
Etapas del diseño del sistema de seguridad de Información aplicando la

Contexto de
la
organización
Requisitos
para el SGSI
Alcance del
SGSI
Política del
SGSI
Inventario y
valoración de
activos
Gestión de
riesgos
Plan de
tratamiento
del riesgo
Declaración
de
aplicabilidad
Evaluación
del
desempeño
Mejora
continua
Figura 8: Etapas del diseño de SGSI Fuente: Elaboración propia
38
3.2 Diseño del SGSI
3.2.1 Contexto de la organización

Tal como se especifica en la norma ISO 27001, se debe determinar el
contexto interno y externo en el que la organización busca alcanzar sus
objetivos de seguridad de la información, entre los que se puede incluir:
 Cultura organizacional
 Normas, directrices
 Políticas
 Factores financieros, tecnológicos, sociales, etc.
Algunos de los elementos del negocio que se pueden considerar para realizar
un análisis interno y externo que nos permita conocer el contexto de la
organización son:
 Características del negocio: Rubro, productos, tipo y tamaño de la

empresa, clientes, proveedores.
 Organización: Jerarquía, objetivos, estrategias.
 Ubicación: Donde se encuentra ubicada, sede principal, sucursales,
oficinas externas.
 Activos: Lo que representa el valor de todas las propiedades de la
empresa (información, tecnología, conocimiento, bienes, etc.)
 Tecnología: Plataforma tecnológica, software, sistemas de
información, redes, base de datos, etc.
 Partes interesadas: La organización tiene partes interesadas internas
(alta dirección, gerentes, trabajadores) y externas (clientes,
proveedores).
 Estructura organizacional y funciones: Nos permite conocer la
organización interna de la institución, la división del trabajo, jerarquía
y funciones del personal.
3.2.2 Requisitos para el SGSI

Para conseguir los requisitos para el SGSI, primero nos enfocamos en
determinar que partes interesadas son las relevantes en el SGSI.
Una de las herramientas usadas para identificar a las partes interesadas es la
matriz poder/influencia (PMBOK), es decir, se evalúa el nivel de autoridad y
la participación activa de los interesados dentro del proyecto del SGSI.
Mediante esta matriz identificaremos a los interesados que nos permitirán
alcanzar los objetivos del SGSI.
39
Figura 9: Matriz poder influencia
Fuente: https://crislealblog.files.wordpress.com/2016/05/imagen-3-matriz-poder-
influencia.jpg?w=489&h=367
Determinamos cuál es el poder y la influencia de cada interesado obtenido

como parte del análisis del contexto de la organización
De acuerdo al resultado obtenido se gestionaran los requisitos de las partes

interesadas con más poder e influencia, cuyas necesidades y expectativas sean
pertinentes para el SGSI de acuerdo al cuadro de relación – valor, definido.
Relación Valor Detalle

Alta 6 Es un requerimiento de la
seguridad de la información
que podría implicar aspectos
legales o regulatorios
Media 4 Es un requerimiento de la
que no implica aspectos
legales o regulatorios
Baja 2 No es un requerimiento de
la seguridad de la
información
Ninguna 0 Es una expectativa
Cuadro 3: Relación – Valor Fuente: Elaboración propia
Finalmente se debe determinar que esperan las partes interesadas relevantes

con respecto a la seguridad de la información, en lo referente a las
“necesidades” y no a las “expectativas”.
Es importante recalcar esta diferencia de términos, ya que se considera que la
necesidad es todo aquello inherente al producto y la expectativa es la
esperanza de obtener o hacer algo. Las partes interesadas muchas veces
40
desean obtener algo adicional que no tiene que ver con el enfoque de la
seguridad de la información, es por eso que en el cuadro se debe clasificar los
requisitos.
Adicionalmente, no se debe dejar de lado las regulaciones del gobierno y las
obligaciones contractuales de acuerdo a los convenios que se firmen entre
instituciones del estado.
3.2.3 Alcance del SGSI

Si bien es cierto se puede aplicar la norma a cualquier tipo y tamaño de
organización, es necesario evaluar detalladamente las características de la
empresa y del negocio (ISO27001), esto permite conocer los recursos con los
que se cuenta y determinar de una manera realista que posibilidades se tiene
de implantar adecuadamente un sistema de seguridad de información que
cumpla con todas las cláusulas que se exigen y que además sea la que la
organización necesita.
La determinación del alcance es uno de los factores críticos de éxito cuando

se implementa un SGSI, ya que se especifica claramente los procesos a los
cuales se les implantará seguridad de la información y se indica si esta
implementación se dará en toda la empresa, en un área o áreas específicas o
sobre algunos procesos.
El Compromiso de la gerencia es otro punto importante a la que la norma

hace referencia. En la implementación de un SGSI es crucial no solo el
compromiso de la gerencia sino también evidencias de que ese compromiso
existe.
La gerencia debe comprender de que se trata este tipo de implementaciones

para poderla apoyar, conocer las implicancias a las que conlleva la aplicación
de este tipo de normas, los cambios a los cuales se tienen que someter la
organización y el personal, las restricciones a los que serán expuestos y los
beneficios que se obtendrán. Y, porque además de lo mencionado, es la
Gerencia quién participa, entre otras cosas, en el establecimiento de la política
SGSI, en los objetivos, planes, roles y responsabilidades, en la asignación de
recursos y en la posterior capacitación del personal en lo concerniente a las
políticas de la seguridad de la información implantadas en la empresa.
(ISO27001)
Así mismo, las personas, los procesos de la organización y la tecnología son

factores igual de importantes que hay que tomar en cuenta al momento de la
implementación de la seguridad de la información, ya que interactúan entre
sí. Es relevante considerar ciertos aspectos:
 Personas: Si el personal de la organización no tiene una cultura de

seguridad de la información bien definida y arraigada es difícil que las
políticas puedan tener un resultado favorable, es por eso muy
importante que en este tipo de implementaciones todas las personas
41
que trabajan en la organización se encuentren involucradas en la
medida y el nivel correspondiente.
 Organización: Internamente la organización debe implementar

políticas y procedimientos que vayan a la par con el crecimiento y
necesidades de la misma ayudando en la correcta gestión de la
Externamente debe determinar cómo hacer frente al contexto en el que
se desenvuelve.
 Tecnología: Implementar medios tecnológicos que apoyen la gestión

del SGSI de acuerdo a las necesidades que tiene la organización es de
mucha utilidad, sin embargo depende de los recursos que tengan.
3.2.4 Política del SGSI

En este punto se debe desarrollar la política del SGSI en donde debe
definirse:
 Objetivos de la política de seguridad

 El alcance de aplicación de estas políticas
 Las políticas de seguridad (controles de acceso, comunicación,
tratamiento de información, auditorias, aprobaciones, etc.)
 Estructura organizativa de la seguridad
 Roles y responsabilidades
 Procedimientos y lineamientos sobre la seguridad de la información
 Normativas y legislaciones vigentes que afecten la seguridad de la
información.
3.2.5 Inventario y valoración de activos

Se analiza cada uno de los procesos identificados en el alcance del SGSI y se
especifican los activos críticos incluidos en tales procesos, lo que da como
resultado un inventario de activos, para posteriormente determinar los riesgos
a los que pueden estar expuestos. Se debe tener en cuenta que los procesos
críticos son aquellos que puede alterar el funcionamiento de la organización e
incluso paralizarla si no se ejecutan, además son los que aportan un mayor
valor agregado a la organización.
3.2.5.1 Identificación de los activos: Se realiza un inventario de activos que

soportan los procesos críticos del negocio. De acuerdo a lo revisado en la
norma, se realiza lo siguiente:
 Clasificar el grado de acceso de los activos primarios: Los activos

primarios son los activos críticos (procesos / subprocesos e
información) que permiten que la organización lleve a cabo sus
objetivos y cumpla con los compromisos legales, regulatorios y del
negocio.
42
En la organización hay un grado de confidencialidad para la
información que es crítica de acuerdo al proyecto que se desarrolla.
Para esta clasificación se ha considerado la siguiente tabla:
Grado Detalle
Confidencial Activo con acceso restringido solo a personal
autorizado de la oficina de informática
Uso interno Activo con acceso restringido solo al personal de
la oficina de informática
Uso externo Activo con acceso restringido solo al personal del
proyecto
Público Activo con acceso para el personal pertinente de
la organización
Cuadro 4: Clasificación de la información Fuente: Elaboración propia
Esta tabla nos ayudará a establecer la valoración de los activos.
 Clasificar los activos de soporte: Los activos de soporte pueden ser

vulnerados y deteriorar los activos primarios, ya que son utilizados
para realizar algún tipo acción (transferencia, procesamiento, etc.) que
necesiten los activos primarios.
Identificador Tipo de activo Descripción

HW Hardware Elementos físicos que dan
soporte a los procesos.
SW Software Programas que contribuyen al
funcionamiento de un conjunto
de procesamiento de datos.
(Sistemas de información,
sistemas operativos, herramientas
de desarrollo, utilitarios)
RD Red Dispositivos de
telecomunicaciones utilizados
para interconectar varios
computadores remotos
físicamente o los elementos de un
sistema de información.
PE Personal Consiste en todos los grupos de
personas involucradas en el
sistema de información.
(persona a cargo de la toma de
decisiones, usuarios, personal de
operación, mantenimiento,
desarrolladores)
ST Sitio/Instalaciones Lugares que contienen el alcance
o parte de éste, y los medios
físicos que se requieren para su
43
funcionamiento.
(zonas, instalaciones, ambientes,
ubicación)
OR Organización Estructura organizacional, que
consta de todas las estructuras del
personal asignado a una labor y
los procedimientos que controlan
tales estructuras.
(autoridades, estructura de la
organización, proveedores)
DT Datos / Base de datos, documentación en
Información medios físicos, documentación
en medios de almacenamiento,
documentación en medios
electrónicos
SE Servicios Servicios que se prestan a la
institución
(Servicio de comunicación
telefónica y de red, servicios
públicos)
Cuadro 5: Clasificación de activos Fuente: Adaptado de la norma ISO/IEC 27005
 Caracterizar los activos del negocio: Cada activo tiene una serie de
características, se ha tomado en cuenta lo indicado en MAGERIT.
Identificador Detalle
Código Usualmente proviene del inventario. Se debe generar
un código del activo para poderlo identificar
Nombre Nombre del activo
Descripción Descripción larga del activo
Tipo De acuerdo a la tabla de clasificación del activo
Propietario El operador u operadores que manejan la información.
Individuo o entidad que realiza el control de la
producción, desarrollo, mantenimiento, uso y
seguridad de los activos.
Ubicación Técnica (en activos intangibles) o geográfica (en
activos materiales)
Cantidad Si procede, por ejemplo indicar la cantidad de
computadoras
Responsable Gestiona implementación de controles. Es la persona
más idónea para determinar el valor que el activo
tiene para la organización.
Acceso Es el grado de acceso al activo
Cuadro 6: Características de los activos Fuente: Adaptado de Magerit
44
3.2.5.2 Valoración de los activos: La valoración de los activos que se va a utilizar
está orientada al valor no monetario del activo, sino al valor cualitativo del
activo. Para este caso, lo valioso de los activos de soporte es lo intangible que
contienen y debido a eso, los activos de soporte pueden subir su valor. Es
pertinente indicar que la entidad pública del caso de estudio no tiene ingresos
propios como otras entidades y los activos que en ella se encuentran son para
ejecutar los proyectos que le son encargados por convenio o gobierno.
Adicionalmente a esto, hay que considerar que muchos de los activos no son
de última generación o ya están descontinuados y es complicado obtener el
valor del mercado o no se tiene la información monetaria del activo.
Para identificar los activos que tienen una mayor importancia se utilizará la
valoración en base a la confidencialidad, integridad y disponibilidad del
activo y se determinará una escala. De acuerdo a Magerit nos podemos
preguntar sobre:
 Confidencialidad: ¿qué daño causaría que lo conociera quien no

debe?
Esta valoración es típica de datos.
 Integridad: ¿qué perjuicio causaría que estuviera dañado o
corrupto?
Esta valoración es típica de los datos, que pueden estar manipulados,
ser total o parcialmente falsos o, incluso, faltar datos
 Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder
utilizarlo?
Esta valoración es típica de los servicios
La escala definida es la siguiente:
Valor Confidencialidad Integridad Disponibilidad

1 – Muy Bajo La información o El activo tiene El activo puede
activo de soporte errores o no está no estar
es de uso público completo en un disponible y no
y no representa 90%, no representa un
riesgo para los afectando los riesgo para la
procesos de la procesos de la sede
sede sede descentralizada
descentralizada descentralizada
2 - Bajo La información o El activo tiene El activo puede
es de uso externo completo en un disponible un
a la sede 75%, afectando 75% del tiempo
descentralizada y levemente a los total de uso.
puede ser utilizada procesos de la Afectaría
en otras sedes sede levemente la
descentralizadas o descentralizada. continuidad de
por la sede central las actividades en
45
para pruebas de la sede
flujo de proceso descentralizada.
3 - Medio La información o El activo tiene El activo puede
es de uso interno completo en un disponible un
de la sede 50% afectando 50% del tiempo
descentralizada y moderadamente total de uso.
puede ser utilizada a los procesos Afectaría
por otras áreas de de la sede moderadamente a
la sede descentralizada. los procesos de la
descentralizada. sede
descentralizada
4 - Alto La información o El activo tiene El activo puede
es de uso completo en un disponible un
solamente del 25%, afectando 25% del tiempo
personal del moderadamente total de uso. Su
proyecto en las a los procesos no disponibilidad
diferentes áreas de de la sede generaría retrasos
la sede descentralizada, en la entrega de
descentralizada. generando productos.
incumplimiento
o retrasos en la
entrega de
productos.
5 - Muy Alto La información o El activo no El activo tiene
activo de soporte tiene errores, que estar
es de uso está completo y disponible al
solamente para el es válido al 100% del tiempo
responsable del 100%. Las total de uso. Su
proceso en la fallas pueden no disponibilidad
oficina de afectar paralizaría las
informática y jefes gravemente los actividades del
con alto nivel de procesos de la proyecto en la
jerarquía. sede sede
descentralizada. descentralizada.
Cuadro 7: Escala de valoración de activos Fuente: Elaboración propia
3.2.5.3 Criticidad del activo: La criticidad del activo se obtendrá del promedio de
los 3 valores de confidencialidad, integridad y disponibilidad asignados al
activo.
El análisis de riesgos se hará a los activos cuyo promedio sea mayor igual a
4, activos con valor alto o muy alto.
3.2.6 Gestión de riesgos

Para la gestión de riesgos se seguirán las directrices de la norma ISO/IEC
27005:2013, debido a que da soporte a los conceptos generales de la norma
46
ISO/IEC 27001:2013 y está orientada a gestionar los riesgos que
comprometen a la seguridad de la información de una organización. El
proceso de gestión del riesgo tiene los siguientes pasos:
Figura 10: Gestión de riesgos Fuente: Adaptado de la norma ISO/IEC 27005
3.2.6.1 Establecimiento del contexto de la organización: Se considera toda la

información y el análisis obtenido de acuerdo al contexto de la organización,
requisitos y alcance del SGSI.
Hay que considerar para el establecimiento del contexto de la organización,
las restricciones que afectan a la organización y que determinan la orientación
de la seguridad de la información, por ejemplo el presupuesto o los recursos
humanos. También, las referencias regulatorias, reglamentos internos u
obligaciones contractuales y, las restricciones que pueden tener un impacto en
el alcance del SGSI.
3.2.6.2 Identificación del riesgo: Para identificar el riesgo, primero determinamos

las amenazas y vulnerabilidades que pueden afectar a los activos. Para la
primera iteración solamente se identificarán los riesgos para los activos
críticos.
47
3.2.6.2.1 Identificación de las amenazas: De acuerdo a la norma 27005, Las
amenazan pueden causar daño a los activos de la organización de una
manera deliberada, accidental o ambiental (natural). Es necesario
identificarlas realizando una categorización de las mismas. Las amenazas
pueden ser internas o externas a la organización. Se listan las amenazas de
los activos críticos identificados en el inventario de activos, en una tabla
que contendrá:
 Código del activo: Del inventario de activos.

 Nombre del activo: Del inventario de activos.
 Descripción del activo: Del inventario de activos.
 Tipo de amenaza: De acuerdo al anexo C de la norma ISO/IEC
27005:2013
 Nombre de la amenaza: De acuerdo al anexo C de la norma ISO/IEC
27005:2013
 Origen: De acuerdo al anexo C de la norma ISO/IEC 27005:2013.
“La letra D se utiliza para todas las acciones deliberadas que tienen
como objetivo los activos de la información, A se utiliza para las
acciones humanas que pueden dañar accidentalmente los activos de
información y E se utiliza para todos los incidentes que no se basa en
las acciones humanas”
3.2.6.2.2 Identificación de controles existentes: Para identificar los controles

existentes y el nivel de cumplimiento de los requisitos obligatorios de la
norma, se realiza un análisis de brecha. Se utiliza una escala del grado
cumplimiento cualitativo del control.
Grado de Valor Descripción

cumplimiento
0 No Cumplimiento La institución no es consciente de
que se trata de un problema, se
trabaja de acuerdo a lo
“acostumbrado” o “como se hace
siempre”
1 Cumplimiento La institución sabe que hay un
bajo problema, el control se hace de
forma individual, dependiendo del
conocimiento del personal que en
ese momento este a cargo, por lo
tanto el control no es efectivo, ya
que depende del conocimiento de
alguien en particular en un
determinado periodo de trabajo.
2 Cumplimiento El control se realiza por acuerdo del
48
medio personal, sin haberse hecho una
capacitación formal o existir un
procedimiento estandarizado.
Depende del conocimiento del
personal en un determinado periodo
de trabajo.
3 Cumplimiento Existe un procedimiento
alto estandarizado que es comunicado
mediante una capacitación de
inducción al personal del proyecto,
sin embargo el uso no es
monitoreado y su aplicación
depende de la iniciativa del personal.
4 Cumplimiento El control es parte de un proceso
total estandarizado, ha sido aplicado y se
puede monitorear y medir.
Cuadro 8: Escala de grado de cumplimiento del control Fuente: Elaboración propia
En el cuadro de análisis de brecha se identificará:
 Nombre del control / Objetivo de control: Nombre del requisito de

control.
 Descripción: La descripción del requisito de control.
 Aplica: Si el control aplica o no de acuerdo al alcance de la evaluación
 Justificación: Indica la justificación de porque no aplica el control
 Estado actual: Describe si se cumple o no con el requisito de control.
 Detalle de la brecha: Descripción detallada de lo que existe o como se
realiza algún proceso, para conocer el grado de cumplimiento.
 Responsable: Es el responsable de implementar el control
 Grado de cumplimiento: De acuerdo a los valores de la escala de
grado de cumplimiento.
El análisis de brecha se documenta en el informe de análisis de brecha.
3.2.6.2.3 Identificación de las vulnerabilidades: La norma 27005 indica que “La

sola presencia de una vulnerabilidad no causa daño por sí misma, dado
que es necesario que haya una amenaza presente para explotarla”. Por lo
que si una vulnerabilidad no tiene una amenaza que le corresponde
entonces no será necesario implementar un control, pero si realizar un
monitoreo para saber si las condiciones cambian. Se listan las
vulnerabilidades de los activos críticos de acuerdo al anexo D de la norma
ISO/IEC 27005:2013.
3.2.6.2.4 Identificación de las consecuencias y el impacto: Para determinar las

consecuencias (riesgos) se toma en consideración la matriz de los activos
con sus amenazas, controles existentes y vulnerabilidades y se evalúa en
49
base a las dimensiones de integridad, confidencialidad y disponibilidad
del activo y se incluyen también las consecuencias de cumplimientos
legales (convenios) y de confiabilidad de la institución (imagen).
Consecuencia Detalle
Confidencialidad Garantía de que la información es utilizada o
manipulada solo por personal autorizado
Integridad Garantía de que la información resultante no este
alterada
Disponibilidad Disponibilidad del activo de soporte o activo
primario durante el tiempo que dure el desarrollo y la
ejecución del proyecto
Cumplimiento Cumplimiento de los acuerdos del convenio para
ejecutar el proyecto en el plazo determinado, con los
recursos necesarios, cumpliendo con los hitos del
proyecto en las fechas estipuladas y manteniendo la
reserva de la información crítica.
Confiabilidad Es la confianza depositada por la entidad “cliente”
para ejecutar el proyecto de acuerdo al convenio
firmado, con el objetivo de seguir desarrollando
proyectos futuros.
Cuadro 9: Dimensiones de la seguridad Fuente: Elaboración propia
El valor del impacto se determina de acuerdo a los objetivos de la sede

descentralizada en el desarrollo y ejecución de los proyectos, razón de ser de
la misma.
Impacto
Escala Valor Descripción
Alto 3 El impacto en el desarrollo normal de las
actividades del proyecto es alto. Causa
reprogramación de actividades originando
costos adicionales al proyecto y
posiblemente la no realización de proyectos
futuros.
Medio 2 Afecta la consecución de los objetivos del
proyecto, pudiendo causar retrasos en las
fechas estimadas por reprocesamiento de
información.
Bajo 1 No afecta en las actividades críticas del
proyecto, no genera costos adicionales.
Cuadro 10: Escala del impacto en la organización Fuente: Elaboración propia
3.2.6.3 Análisis del riesgo: El análisis de riesgos se aplica a todos los activos
considerados críticos de acuerdo al nivel de criticidad definido por la
50
organización. Para el caso de estudio es lo definido por la sede
descentralizada. También se consideran, para el análisis de riesgos, las
restricciones encontradas en el análisis del establecimiento del contexto de la
organización, ya que ciertas condicionantes aplicadas a la organización
pueden ayudar a especificar las amenazas y vulnerabilidades que se deben
atacar para minimizar el impacto del riesgo y determinar un tratamiento de
riesgos que vaya más acorde a la realidad de la organización.
3.2.6.3.1 Estimación del riesgo: Para estimar los riesgos se tienen los siguientes
pasos:
3.2.6.3.1.1 Metodologías para la estimación del riesgo: Para la estimación del

riesgo se utilizará una estimación cualitativa. Esta estimación nos permite,
mediante atributos calificativos, determinar las potenciales consecuencias
de los riesgos para la organización y la probabilidad de que estas ocurran,
además que es una primera estimación y es más fácil de entender por el
personal de la organización. Las escalas que se manejan, se pueden
ajustar a nuevas circunstancias que afectan a la organización.
No se considera la estimación cualitativa, que utiliza valores numéricos

tanto para la consecuencia como para la probabilidad, ya que, en esta
primera iteración de la estimación de riesgos no se tienen datos históricos
sobre los incidentes y no se tendría una valoración exacta del riesgo. Para
posteriores iteraciones de estimaciones de riesgos se puede usar una
estimación mixta o cuantitativa.
En esta primera iteración se desea obtener los riesgos más importantes
que pueden afectar a los procesos de la sede descentralizada de acuerdo al
alcance del SGSI.
3.2.6.3.1.2 Niveles del riesgo
 Apetito del riesgo: La organización es la que determina el apetito del

riesgo y es este valor el que se utilizará para determinar las
parametrizaciones para categorizar los riesgos de la sede descentralizada
en una escala.
La cantidad de riesgo que la organización está dispuesta a asumir para

concretar sus objetivos de obtención de información es alta, considerando
que para la obtención de los datos realiza un gran despliegue logístico y
de personas a nivel nacional y muchas veces a lugares caso inaccesibles.
Como ya se analizado en el alcance del SGSI, los procesos de

manipulación de información son críticos, por lo que la pérdida de
información representa un gran impacto para la institución y para la
culminación exitosa de los proyectos que desarrolla.
51
 Aceptación del riesgo: Debido a que el apetito del riesgo es alto, entonces
el nivel de aceptación que está dispuesta a aceptar la organización en lo
que respecta a riesgos que impacten en la operatividad y ejecución de los
proyectos donde se procesa información es el nivel más bajo de la escala.
Sin embargo, como es una entidad pública que puede tener restricciones
políticas, regulatorias, económicas, entre otras, la organización estará
dispuesta a aceptar un riesgo identificado con un nivel alto de acuerdo a
las siguientes premisas:
o Si no se cuenta con presupuesto u otro tipo de recursos para
implementar el control.
o Si el tratamiento del riesgo es más costoso que la aceptación
del riesgo.
 Riesgo residual: El riesgo no desaparecerá luego del tratamiento del

riesgo, existe un riesgo que se mantiene luego de la aplicación del
tratamiento del riesgo y este es el riesgo residual y tiene el mismo nivel
que el riesgo inicialmente encontrado. Se debe determinar si este riesgo
residual se acepta o se vuelve a aplicar un tratamiento a riesgo. Se debe
tener cuidado ya que se tiene que considerar los costos en los que se
incurre para tratar los riesgos y si la organización tiene recursos para
cubrirlos
3.2.6.3.1.3 Nivel de estimación del riesgo: Para la estimación del riesgo se ha

adaptado lo indicado en el anexo E de la norma ISO/IEC 27005:2013 y se
utilizaran los valores del impacto obtenidos de la tabla de consecuencias,
el valor de los activos, la facilidad de explotación de las vulnerabilidades
y la probabilidad de ocurrencia de las amenazas identificadas por cada
activo.
Probabilidad de ocurrencia de amenaza Bajo Medio Alto

Niveles de explotación de vulnerabilidad B M A B M A B M A
Valor de la probabilidad de un escenario de
0 1 2 1 2 3 2 3 4
incidente
Cuadro 11: Escala amenaza/vulnerabilidad Fuente: ISO/IEC 27005
Los proyectos duran aproximadamente 6 meses. Se especifica la

valoración de la ocurrencia de amenazas y explotación de
vulnerabilidades dentro de ese periodo de tiempo, tomando en cuenta las
restricciones del alcance del SGSI y de la organización.
Para los activos de información (Data) tenemos las siguientes escalas:
Probabilidad de ocurrencia de amenazas

Escala Detalle
Bajo Una vez cada 2 meses
Medio Una vez al mes
52
Alto Varias veces por semana
Cuadro 12: Escala probabilidad de ocurrencia de amenazas – data
Fuente: Elaboración propia
Explotación de vulnerabilidades
Escala Detalle
Bajo Persona que no tiene ninguna motivación para
perjudicar al proyecto. Sus acciones se dan por
desconocimiento o son accidentales.
Medio Persona que se encuentra desmotivada en el trabajo o
en sus funciones dentro del proyecto y busca
perjudicar a los líderes usuarios o jefes inmediatos.
Alto Persona con altas motivaciones para causar daños o
perjuicios al proyecto, ya sea por beneficio propio o
para beneficiar a otras personas.
Cuadro 13: Escala explotación de vulnerabilidades – data Fuente: Elaboración propia
Para los activos de soporte (Soporte) tenemos las siguientes escalas:
Probabilidad de ocurrencia de amenazas

Escala Detalle
Bajo Una vez cada 2 meses
Medio Varias veces al mes
Alto Varias veces por semana
Cuadro 14: Escala probabilidad de ocurrencia de amenazas – soporte
Explotación de vulnerabilidades
Escala Detalle
Bajo No representa ninguna pérdida de información y la
operatividad no se perjudica
Medio Afecta la operatividad de las actividades del proyecto
causando retrasos en el desarrollo de los mismos.
Alto Paraliza las actividades del proyecto. Se debe
reprogramar las actividades con horarios extendidos
de trabajo.
Cuadro 15: Escala explotación de vulnerabilidades – soporte Fuente: Elaboración propia
La fórmula para obtener el nivel de riesgo es:
Nivel de Activo + Impacto + Amenaza/Vulnerabilidad

=
riesgo 3
Figura 11: Fórmula para obtener el nivel de riesgo Fuente: Elaboración propia
53
3.2.6.3.2 Evaluación del riesgo: Para evaluar el riesgo, determinamos la escala del
riesgo mediante la siguiente tabla:
Nivel del Valor del Acciones

riesgo riesgo
Muy Alto 4 Se deben implementar controles de manera
inmediata para evitar que personal externo obtenga
de manera inadecuada información crítica del
proyecto que pueda generar inconvenientes con el
cliente externo.
Alto 3 Se deben implementar controles para evitar
acciones que perjudiquen el desarrollo normal de
las actividades del proyecto.
Medio 2 Se debe evaluar la implementación de controles de
acuerdo al tiempo que tomará y a los recursos que
se necesitan para hacerlo.
Bajo 1 Se acepta el riesgo ya que las actividades de
desarrollo del proyecto se pueden realizar con
normalidad. Se debe generar un documento de
aceptación del riesgo.
Cuadro 16: Escala del riesgo Fuente: Elaboración propia
Se seleccionan los riesgos cuyo valor obtenido es “Alto” y “Muy alto”

para la fase de tratamiento del riesgo.
3.2.6.3.3 Tratamiento del riesgo: Para el tratamiento del riesgo la prioridad de

atención es para las amenazas que representan un “Muy Alto” y un “Alto”
riesgo. La atención de riesgos de nivel “Medio” podrán ser evaluados en
iteraciones posteriores y los de nivel “Bajo”, es posible que no sean
tratados, esto lo determinarán el responsable del SGSI conjuntamente con
el coordinador del SGSI.
 Aceptar: El coordinador del SGSI puede aceptar riesgos con nivel

“Bajo” u otros riesgos de acuerdo a criterios del personal competente
de la sede descentralizada, conociendo las consecuencias que genera
la aceptación del riesgo. La aceptación debe estar documentada.
 Mitigar: Para la mitigación de riesgos se seleccionarán los controles

del Anexo A de la norma ISO/IEC 27001:2013. Se incluirán en este
tratamiento los riesgos prioritarios identificados como de “Muy Alto”
y “Alto” riesgo para esta primera iteración. Posteriormente los
criterios pueden modificarse.
 Evitar: Para riesgos que tienen un costo alto y la sede no está en

capacidad de implementar controles, se puede decidir evitar el riesgo
eliminando la actividad que la genera. Esta decisión debe ser
54
contemplada cuidadosamente ya que se trata de eliminar actividades
que se realizan en la sede descentralizada.
 Compartir: Si es posible, la sede descentralizada puede compartir el

riesgo con la sede central, otra sede descentralizada u organizaciones
externas fuera del ámbito de la institución. Para este caso se tiene que
documentar detalladamente el porcentaje de riesgo que cada parte está
dispuesto a asumir y tratar.
Algunas consideraciones:
 El tratamiento escogido se debe documentar en el plan de

tratamiento de los riesgos.
 El resultado se documenta en el informe del plan de tratamiento de
riesgos.
 En la declaración de aplicabilidad se registran los controles
seleccionados para poder gestionar los riesgos, allí se incluyen los
controles existentes.
3.2.7 Plan de tratamiento del riesgo

En el plan de tratamiento de los riesgos se especifica la estrategia del
tratamiento que se aplicará a los riesgos encontrados. El Jefe del SGSI y el
coordinador de SGSI, deben determinar la responsabilidad de la
implementación de los controles que se propondrán y se debe evaluar el
riesgo residual luego de la implementación de controles. El documento del
plan de tratamiento del riesgo contiene:
 Id del riesgo: Es el código del riesgo

 Formulación del riesgo: Es la descripción del riesgo
 Nivel del riesgo: De la tabla de evaluación del riesgo
 Estrategia: Definida en el tratamiento del riesgo
 Controles propuestos: Son los objetivos de control obtenidos de la
 Responsable: Es el encargado de implementar el control
 Valor del riesgo residual: Es la suma del valor del activo, el valor
del impacto y el valor de la amenaza/vulnerabilidad dividido entre
tres.
 Nivel del riesgo residual: Es el nuevo nivel del riesgo después de
aplicar un tratamiento de riesgo.
3.2.8 Declaración de aplicabilidad

La norma ISO/IEC 27001:2013 indica que es obligatorio el desarrollo del
documento de declaración de aplicabilidad donde se indican los controles que
ya existen, los que se tienen que implementar y el detalle de su
implementación y los que no se implementaran y el motivo de esa decisión.
Se toma de referencia los controles que se encuentran en la ISO/IEC
55
27002:2013 y el análisis de brecha realizado. La declaración de aplicabilidad
contiene:
 Dominio: Nombre de dominio

 Objetivo: Nombre del objetivo de control
 Control: Nombre del control
 Descripción: Descripción del control
 Aplica: Indica si el control será aplicado o no
 Justificación: El motivo de la aplicación o no aplicación del control
3.2.9 Evaluación del desempeño

Para evaluar el desempeño de la seguridad de la información y la efectividad
del SGSI se deben indicar las necesidades a ser evaluadas, los controles y los
métodos que se utilizaran.
Adicionalmente se establece un cronograma de evaluación del desempeño

que contiene:
 Cada cuanto tiempo se debe monitorear el desempeño

 Quién es el responsable de hacerlo.
 Cuando se debe evaluar el desempeño
 Quién es el responsable de la evaluación
Los resultados se deben registrar en un acta que debe ser firmada por el
responsable del SGSI y el personal encargado de realizar la evaluación del
desempeño del SGSI. El coordinador del SGSI es el encargado de monitorear
el cumplimiento de las acciones acordadas en el acta.
3.2.9.1 Auditoras internas: De acuerdo a la política de auditoria interna de la sede

descentralizada (Anexo 1), para este caso particular las auditorías internas se
deben coordinar con el área pertinente en la sede central.
La auditoría se ajusta a los requisitos de la organización definidas en el

alcance del SGSI y a los requisitos de la norma ISO/IEC 27001:2013 o su
correspondiente en la norma técnica peruana (NTP)
3.2.9.2 Revisión por parte de la dirección: La dirección debe participar de la

revisión de la documentación del SGSI, ya que las decisiones se toman a un
alto nivel.
3.2.10 Mejora continua

Para la mejora continua se deben tomar acciones sobre las no conformidades
del SGSI encontradas producto de una revisión por parte de la dirección o de
una auditoría interna.
56
CAPITULO IV. PROPUESTA DEL SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
En este capítulo se elabora el plan de seguridad de la información para la

oficina de informática.
4.1 Contexto de la organización
4.1.1 Misión
Producir y difundir información estadística de calidad, con el propósito de
contribuir al proceso de toma de decisiones de los agentes socioeconómicos y
la comunidad en general.
4.1.2 Visión
Ser una empresa líder a nivel nacional, que utiliza los más altos estándares
metodológicos y tecnológicos para la producción y difusión de estadísticas
que contribuyan al desarrollo del país
4.1.3 Objetivos de la entidad
 Normar, planear, dirigir, coordinar y supervisar actividades estadísticas.
 Asegurar que las actividades estadísticas se desarrollen en forma integrada,

coordinada, racionalizada y bajo una normatividad.
4.1.4 Partes interesadas
Tipo de Descripción
interesado
Competidores No tiene competidores para proyectos con una logística
que involucre llegar a nivel nacional.
Para proyectos pequeños, serían las empresas
encuestadoras y las entidades contratantes de los servicios
que brinda la institución.
Reguladores Todas las entidades del estado deben implementar un SGSI
en los procesos que se consideren críticos, además de
contar con un comité de gestión de la seguridad de la
información y el rol de un Oficial de seguridad de la
información, según la resolución ministerial Nro. 166-
2017-PCM.
Está regulada también por la ley nro. 29733, ley de
protección de datos personales.
Clientes Personal de TI, de campo, de metodología de la sede
internos descentralizada.
Gerentes y jefes de proyecto de la sede descentralizada
Clientes Debido a que es una sede descentralizada, los clientes
externos externos a la sede descentralizada son:
57
Jefes de proyecto de la entidad contratante del servicio
La oficina central de informática
Oficial de seguridad de la información
Áreas de recursos humanos
Dirección de encuestas
Proveedores Personal que desarrolla proyectos, personal de campo,
empresas que proveen insumos y servicios básicos y de
telecomunicaciones
Cuadro 17: Partes interesadas Fuente: Elaboración propia
4.1.5 Análisis del contexto externo
Entorno Descripción
Entorno económico Depende de los convenios con otras instituciones para
obtener fondos. Estos convenios dependen de las
políticas públicas del gobierno de turno y la
información que se requiera obtener para desarrollar
tales políticas.
Entorno político Al ser una institución del estado, el entorno político
afecta el desenvolvimiento de las actividades de la
institución, debido a que la orientación de la
institución depende del gobierno de turno.
Entorno social Los conflictos internos, sobre todo en el interior del
país, afectan la ejecución normal de actividades en
determinados proyectos. Así mismo la delincuencia es
otro factor que merma la productividad ya que afecta
directamente la producción del personal de campo.
Entorno competitivo No tiene competencia si la logística de despliegue a
nivel nacional debe llegar a puntos geográficos muy
alejados.
Pueden competir empresas encuestadoras si el
despliegue logístico es mediano/pequeño.
Otras entidades del estado podrían ejecutar sus propios
proyectos, convirtiéndose en competencia.
Cuadro 18: Contexto externo Fuente: Elaboración propia
4.1.6 Análisis del contexto interno
Fortalezas Cobertura a nivel nacional.

Experiencia operativa de campo.
Debilidades Insuficiente infraestructura tecnológica.
Falta de capacitación a personal.
Dependencia jerárquica inadecuada.
58
Oportunidades Importancia de la información estadística.
Necesidad de contar con información actualizada para
toma de decisiones.
Amenazas Deserción de personal calificado.
Cambio permanente de tecnología debido a presupuesto
insuficiente.
Cambio de objetivos por diversos factores políticos.
Cuadro 19: Contexto interno - FODA Fuente: Elaboración propia
4.1.7 Proceso de negocio
La cadena de valor exhibe el valor total de las distintas actividades

desarrolladas por la entidad.
INFRAESTRUCTURA DE LA EMPRESA
Gestión contable, administración, logística, finanzas
RECURSOS HUMANOS
Reclutamiento, selección, bienestar social, entrenamiento y desarrollo
DESARROLLO DE TECNOLOGIA
Administración de software, hardware, seguridad, red de comunicaciones, red de telefonía
COMPRAS
Insumos, equipos de tecnología
LOGISTICA OPERACIONES LOGÍSTICA MARKETING SERVICIOS
DE ENTRADA Gestión de DE SALIDA Y VENTA POST VENTA
Convenios con información Informes Relaciones Calidad de la
entidades estadísticos públicas con información
Gestión de campo consolidados organizaciones (reprocesos,
Organismos y/o detallados nacionales e validaciones,
internacionales Gestión de la internacionales rectificaciones)
metodología
Proyectos
estadísticos
Cuadro 20: Cadena de valor Fuente: Elaboración propia
Sobre las actividades de apoyo que tiene la entidad como son la infraestructura
de la empresa, recursos humanos, tecnología y compras, éstas son el soporte
para la gestión de la captación del personal, sobre todo el de campo, que es la
base para obtener la materia prima con el que se desarrollan las actividades
primarias de la entidad. El soporte tecnológico es también una actividad vital
para procesar la información obtenida. Las compras están orientadas
especialmente a útiles de escritorio, publicidad y equipo tecnológico para la
institución.
Sobre las actividades primarias, los proyectos estadísticos se realizan

generalmente a solicitud de otras entidades. Las operaciones básicas son el
control de la actividad de campo y la manipulación de la data con el objetivo
de obtener información de calidad, la misma que se entrega en diferentes
59
formatos de informes y, dependiendo de la calidad, de acuerdo a la
metodología aplicada, se realizan actividades de reprocesos, validaciones y
rectificaciones.
El proceso de negocio estratégico es la gestión de la información debido a que

está alineado a uno de los objetivos estratégicos de la institución, que es la
satisfacción de los requerimientos de producción estadística.
La producción estadística es obtenida de la información, y parte de la gestión

de la información es la obtención y el procesamiento de los datos, que es
ejecutada por la oficina de informática, no solamente por la situada en la sede
central, sino también por las creadas en las sedes descentralizadas.
4.1.8 Estructura organizacional
La institución pública tiene la siguiente estructura organizacional
Jefatura
Secretaría
Subjefatura
general
Organo de
control
institucional
Dirección de
Administración Difusión Informática Estadística
encuestas
Sede
descentralizada
Figura 12: Organigrama de la institución Fuente: Elaboración propia
Si bien es cierto, las sedes descentralizadas no se encuentran dentro de la estructura

organizacional formal, son parte de la organización. La sede del caso de estudio es
parte de la dirección de encuestas.
El organigrama de la sede descentralizada es el siguiente:
60
Jefatura
Recursos
Informática Metodología Logística
humanos
Personal de
informática
Figura 13: Organigrama de la sede descentralizada Fuente: Elaboración propia
La sede descentralizada tiene un jefe de sede y las áreas que reportan a esta jefatura
son los coordinadores de recursos humanos, informática, metodología y logística.
Cada área tiene personal a su cargo. El personal de las áreas son mayoritariamente
proveedores externos de la institución.
A continuación se detallan las funciones del personal de la sede descentralizada:
Cargo Funciones
Jefe de sede  Es el jefe de la sede descentralizada que
pertenece a la oficina de dirección de encuestas
de la sede central.
 Ejecuta los proyectos asignados a su sede como
jefe de proyectos.
 Coordina con la sede central.
 Es el responsable de la seguridad de la sede
descentralizada.
Coordinador de recursos  Coordina con el área de recursos humanos de la
humanos sede central.
 Responsable de contratar a todo el personal de
la sede descentralizada para los proyectos que
se ejecuten en ella.
 Contrata y da de baja a personal a nivel
nacional.
 Valida los productos de los proveedores
externos contratados, de acuerdo al TDR
61
Coordinador de  Coordina con la oficina de informática de la
informática sede central.
 Ejecuta los proyectos de la sede
descentralizada.
 Elabora los TRD
 Coordina con los líderes usuarios de otras áreas
de la sede descentralizada.
 Coordina con líderes usuarios externos de las
entidades contratantes del proyecto en curso.
Coordinador de  Coordina con la oficina central de metodología.
metodología  Provee la metodología a usar en los proyectos
de la sede descentralizada.
 Coordina las actividades del personal de campo
a nivel nacional
 Realiza las capacitaciones del personal de
campo y de sede de acuerdo al proyecto en
curso.
Coordinador de logística  Coordina con la oficina central de
administración.
 Encargado de la logística de equipos
informáticos para personal de campo.
 Encargado de la distribución del material
necesario para los proyectos en curso.
Personal de la oficina de  Ejecución de actividades de acuerdo a su
informática contrato para el proyecto en curso.
 Elabora los productos entregables de acuerdo a
lo indicado en el TDR.
 No tiene una inducción sobre seguridad de la
información al iniciar sus labores.
Cuadro 21: Funciones del personal – sede descentralizada Fuente: Elaboración propia
4.2 Requisitos, necesidades y expectativas de las partes interesadas para el

SGSI
4.2.1 Poder e influencia de los interesados

De acuerdo a los interesados identificados en el contexto de la organización,
se determina que los interesados de la sede descentralizada son los agrupados
en los tipos de cliente interno, proveedores y cliente interno.
Del cuadro 22 determinamos que las partes interesadas que tienen mayor
poder e influencia son el Jefe de la sede descentralizada, quien es el que
dirige y es responsable de todas las actividades que se realizan en la sede, el
Jefe de informática de la sede central, quién es quién provee todo los recursos
de tecnología para poder desarrollar los procesos de la oficina de informática
de la sede descentralizada, y el Jefe de proyecto del cliente externo a quien se
le reporta directamente el avance del proyecto en curso y obtiene la
información resultante.
62
Interesado Tipo Poder Influencia
Personal de TI Proveedor Bajo Bajo
Usuario Líder Cliente Bajo Alto
metodología interno
Usuario líder Cliente Bajo Alto
logística interno
Jefe de la sede Cliente Alto Alto
descentralizada interno
Jefe de Informática Cliente Alto Alto
de la sede central interno
Coordinador de la Cliente Bajo Alto
oficina externo
descentralizada de
informática
Jefe de proyecto del Cliente Alto Alto
cliente externo externo
Coordinador de la Cliente Bajo Bajo
oficina Interno
descentralizada de
recursos humanos
Personal de Proveedores Bajo Bajo
desarrollo de
proyectos
Personal de campo Proveedores Bajo Bajo
Cuadro 22: Poder e influencia de los interesados Fuente: Elaboración propia
4.2.2 Necesidad y expectativa de los interesados

Después de clasificar los requisitos de las partes interesadas relevantes y, de
acuerdo a la evaluación de pertinencia que tienen las necesidades del
interesado, los requisitos se obtienen analizando las necesidades con mayor
valor de pertinencia.
Interesado Requerimientos Tipo Detalle sobre Pertinente

el al SGSI
requerimiento
Jefe de la sede Acceso por parte Necesidad No es un 2
descentralizada de los usuarios, requerimiento
(Jefe de al sistema de de la seguridad
proyecto) información de la
desarrollado por información.
el personal de
informática en el
momento que se
requiera.
Seguridad en el Necesidad De acuerdo al 6
acceso de los convenio. Se
63
sistemas de indica las
información de restricciones
acuerdo a los de acceso a la
perfiles información
definidos por el
área de
metodología.
Obtención de Necesidad El producto 6
información que se entrega
fiable desde el al cliente son
sistema de informes. De
monitoreo para acuerdo a esta
poder realizar información se
informes de alto toman
nivel. decisiones de
alto nivel.
Realizar los Necesidad No es un 2
cambios que se requerimiento
necesiten en el de la seguridad
sistema de de la
información de información.
acuerdo a
nuevos
requerimientos
de información
que se
presenten.
Seguridad en el Necesidad De acuerdo al 6
acceso a la convenio. Se
documentación indican las
del proyecto. restricciones
de acceso a la
información
Apoyo del Expectativa No es un 0
personal de requerimiento
informática en de la seguridad
otras actividades de la
fuera de las información.
designadas en el
proyecto.
Jefe de Capacitar al Necesidad No es un 2
Informática de personal de la requerimiento
la sede central sede central en de la seguridad
el uso de las de la
aplicaciones información.
desarrollas y los
procesos
64
automatizados
Uso adecuado Necesidad Las fuentes de 4
de los accesos a información
la plataforma para el
tecnológica por desarrollo de
parte de la sede los proyectos,
descentralizada pueden ser de
otros sistemas
de
información,
por lo que el
acceso a la
misma debe
ser restringido,
ya que pueden
contener datos
personales.
Obtención de Expectativa No es un 0
equipamiento requerimiento
tecnológico para de la seguridad
la sede central de la
información.
Jefe de Cumplimiento Necesidad No es un 2
proyecto del de los requerimiento
cliente externo lineamientos del de la seguridad
convenio de la
institucional en información.
las fechas
acordadas.
Disponibilidad Necesidad Por convenio 4
de información se ejecutan
fiable en el pruebas de la
momento que se operatividad
requiera. del sistema
desarrollado y
se realiza un
muestreo de la
información
obtenida en las
pruebas para
su validación.
Entrega de Necesidad No es un 2
información requerimiento
posterior al de la seguridad
cierre del de la
proyecto. información.
Seguridad en el Necesidad El cliente 6
65
acceso a la externo puede
información que entregar
se entrega para información
su crítica que
procesamiento complemente
en la sede al sistema de
descentralizada. información
del proyecto
en curso. Esta
información
puede tener
datos
personales.
Seguridad en el Necesidad El cliente 6
tratamiento de la puede requerir
información que una base de
contiene los datos
resultados personales
obtenidos en el para alimentar
proyecto en sus propios
curso procesos de
negocio que
complementan
el proyecto en
curso.
Cuadro 23: Necesidades y expectativas de los interesados Fuente: Elaboración propia
4.2.3 Requisitos para el SGSI

De lo analizado se puede determinar que, tal como se indicó en el proceso de
negocio, es importante la gestión de la información, obtenida no solamente
del sistema de información desarrollado para los diferentes proyectos de la
sede descentralizada en la oficina de informática, sino también el uso que se
dé a toda la documentación generada antes, durante y después del proyecto.
Por lo tanto tenemos los siguientes requisitos para el sistema de gestión de

Requisitos Parte interesada

Cumplir con la normativa de los Jefe informática de la sede central /
convenios y normativa legal de Jefe de proyecto del cliente externo
protección de datos. / Jefe de la sede descentralizada
Minimizar el riesgo de fuga de la Jefe de proyecto del cliente externo
información en la sede descentralizada / Jefe de la sede descentralizada
utilizando adecuadamente tanto los
medios tecnológicos como los medios
físicos
Cuadro 24: Requisitos para el SGSI Fuente: Elaboración propia
66
4.3 Alcance del sistema de gestión de seguridad de la información
4.3.1 Alcance de acuerdo al entorno organizacional y físico

La organización es una entidad pública que provee servicios de generación de
información estadística para otras entidades del estado. Tiene sedes a nivel
nacional y la actividad principal es la gestión de la información.
La entidad tiene en Lima, una sede principal y varias sedes administrativas
descentralizadas. Debido a la cantidad de proyectos que la organización
realiza y a la falta de personal e infraestructura, se crearon “extensiones” de
la oficina de informática, que están a cargo de un coordinador de proyectos
de tecnología, y se asignaron a las sedes administrativas.
Estas oficinas de informática descentralizadas tienen personal propio. La

contratación del personal de informática lo realiza la oficina descentralizada
de recursos humanos a solicitud del coordinador de la oficina.
Para el desarrollo de sus actividades la oficina de informática, de la sede del

caso de estudio, coordina con otras áreas tanto externas como internas.
El objetivo de la oficina de informática de esta sede en particular es

desarrollar solamente los proyectos asignados a la sede.
El proceso principal de la oficina de informática descentralizada es la

ejecución del proyecto en curso en lo que respecta a todas las actividades de
tecnología que realiza la oficina y que corresponden al alcance de este SGSI.
Este proceso se desarrolla de la siguiente manera:
67
•Entrega de la documentación del
proyecto con las actividades a
Metodóloga desarrollarse en todas las áreas
principal involucradas
•Dimensionamiento del proyecto a

Coordinador nivel de la oficina de informática
de
informática
•Obtención del personal de acuerdo

Coordinador al perfil requerido para el proyecto
de
informática
•Entrega de equipos al personal de

Jefe de informática
proyecto
•Configuración del ambiente para el

Asistente de desarrollo del sistema de
Soporte información
técnico
Coordinaciones (Cliente
interno, cliente externo,
oficina de informática de
•Acceso al ambiente de base de otras sedes
Jefe de datos de producción
informática descentralizadas, oficina
sede central de informática de la sede
central)
•Desarrollo del producto de Modificación del (Re)Procesos de

Personal de software sistema de archivos de datos
informática información
•Cierre del proyecto y entrega de

fuentes a la oficina de informática
Personal de Envíos a
de la sede central Pruebas
informática producción
•Entrega de información adicional

obtenida directamente de la base
Personal de de datos para metodología y para
informática el cliente externo
Figura 14: Proceso de la oficina de informática – Sede descentralizada

68
Las funciones de las áreas con las que coordina la oficina de informática son:
 Metodología
o Elabora el proyecto y entrega la documentación para que el personal
de informática empiece a realizar sus actividades.
o Indica los requisitos del sistema de información y valida la
información obtenida desde el mismo.
o Evalúa, selecciona y capacita al personal de campo con el apoyo del
personal de informática. Toda esa información debe reflejarse en el
sistema del proyecto.
 Oficina central de informática

o Provee los accesos a la plataforma tecnológica de la institución.
o Entrega los lineamientos a seguir para trabajar dentro de la plataforma
tecnológica.
 Cliente (entidad con la que se firma el convenio)

o Coordina la funcionalidad del sistema de información del proyecto.
o Entrega de datos para procesamiento
o Obtiene datos para procesamiento
 Oficina de recursos humanos

o Provee información acerca del personal de campo contratado, la
misma que posteriormente es reflejada en el sistema de información
del proyecto.
Debido a que el personal de informática tiene una alta rotación por la misma
naturaleza del contrato como proveedor externo y el acceso a todo tipo de
documentación, es que la información crítica del proyecto está expuesta a
muchos riesgos. El personal no cuenta con una inducción sobre seguridad de
la información y ésta no es exigida al momento del contrato.
4.3.2 Alcance de acuerdo al entorno Tecnológico

Con respecto a la oficina de informática de la sede descentralizada, a pesar de
que se desarrolla el sistema de información, podemos mencionar lo siguiente:
 La oficina no realiza compra de equipos de tecnología, los equipos le son

asignados por la sede central.
 La oficina no tiene una sala de servidores. Utiliza la plataforma

tecnológica que le proporciona la sede central.
 La oficina contiene una red interna para interconexión de las máquinas de

la sede descentralizada, la cual se interconecta a la red de la sede central,
de acuerdo a los accesos recibidos.
69
 Los sistemas de información son desarrollados en entorno web y
habilitados en la intranet de la organización.
 Los sistemas de información solo se desarrollan para apoyar el proyecto

en curso y no se integran a otros sistemas de información.
4.3.3 Alcance del SGSI

El alcance del SGSI es para toda la oficina de informática de la sede
descentralizada de la organización (proceso), considerando que la seguridad
se puede extender a toda la sede, se ha visto por conveniente como primer
paso para interiorizar los conceptos de un SGSI, proponer un SGSI en la
oficina de informática, que es finalmente donde se consolida, procesa y
genera información valiosa de los proyectos que se manejan. Este alcance
busca cubrir los requisitos del SGSI de cumplimiento de convenios,
protección de datos y minimización de fuga de información.
4.4 Políticas de seguridad de la información
La política es la guía que debe ser dictada por el nivel más alto de la
organización. Para el caso de estudio de una sede en particular, la política de
seguridad lo emite el jefe de la sede descentralizada.
Estos lineamientos generales deben ser aplicados a todo el proceso del
alcance del SGSI y debe estar alineado a los objetivos estratégicos del
negocio.
La política se ha establecido en base a los requerimientos de seguridad y al
contexto de la organización.
Objetivo
Preservar y proteger la información crítica (activo) que corresponde no
solamente a la sede descentralizada sino que también pertenecen a la
organización de acuerdo a las políticas establecidas (Anexo 1)
Estructura del SGSI

De acuerdo al organigrama de la sede descentralizada, la estructura
organizacional del SGSI de la sede descentralizada sería:
70
Responsable SGSI
Coordinador de SGSI
Responsable del proceso
Custodio de la información
Participante
Figura 15: Estructura del SGSI Fuente: Elaboración propia
No se considera un comité de SGSI porque es una sede pequeña.
 Responsable SGSI: Es el jefe de la sede descentralizada quién determina

las políticas de seguridad de la sede.
 Coordinador de SGSI: Aunque en las organizaciones grandes del estado

el oficial de seguridad se encuentra en una oficina independiente del área
de tecnología, para el caso de estudio, solo se tiene un coordinador de
seguridad, que es el coordinador de la oficina de informática.
 Participante: Son los usuarios de la información.
 Responsable del proceso: Es el usuario líder de la oficina de metodología

y/o cliente responsable de la información dependiendo del proyecto.
 Custodio: Es el personal de la oficina descentralizada de informática que

recibe la información para procesarla o la genera, durante la duración del
proyecto.
Roles y responsabilidades
 Responsable SGSI: Encargado de las actividades que conciernen a la

evaluación y aprobación de las políticas de la sede descentralizada.
 Coordinador de SGSI: Elaborar, evaluar, informar, capacitar y velar por

la ejecución de las políticas específicas de seguridad de la sede
descentralizada en el ámbito de aplicación de la misma. Así como registrar
incidentes de seguridad y reportarlos al responsable del SGSI. Apoyar en la
mejora continua del SGSI.
71
 Participante: Cumplen con las políticas de seguridad de la información e
informan sobre incidentes de seguridad.
 Responsable del proceso: Con la ayuda del coordinador de SGSI,

determinan la criticidad de la información, los riesgos, valoran los activos
de información, consistencian los datos, definen el tratamiento a los riesgos
y autorizan los accesos de la información. Implementan controles de
seguridad.
 Custodios de la información: Informan sobre incidentes de seguridad.
Lineamientos vigentes internos sobre seguridad de la información
Actualmente no se ha informado de ninguna política de seguridad institucional

que se tenga que cumplir en la sede descentralizada, no sugiriendo con esto que
no exista tal política de seguridad de la información dentro de la institución.
Normativa y legislaciones
 Resolución ministerial Nro. 166-2017-PCM de implementación de un SGSI

en las entidades públicas
 Ley nro. 29733, ley de protección de datos personales.
4.5 Identificación y valoración de activos

Se identifican y valoran los activos que corresponden al proceso definido en
el alcance del SGSI.
4.5.1 Identificación de activos

Los activos identificados en el proceso del alcance del SGSI se muestran en
la siguiente tabla:
ID Activo Cantidad
DT_01 Documentación del proyecto (Metodología) -
DT_02 Documentación técnica del proyecto -
(Informática)
DT_03 Archivos de datos (Cliente externo) -
DT_04 Archivos de datos (Metodología) -
DT_05 Archivos de datos (RH) -
DT_06 Archivos de datos (Logística) -
DT_07 Archivos de datos (informática) -
ST_01 Sede descentralizada 1
SE_01 Servicio de electricidad -
SE_02 Servicio de internet -
72
SE_03 Servicio de alquiler de sede 1
SE_04 Servicio de correo electrónico -
SE_05 Servicio de conexión Fibra óptica (mediante 1
VPN)
SE_06 Servicio de servidor de archivos -
PE_01 Desarrolladores 4
PE_02 Funcionales 1
PE_03 Metodólogos 5
PE_04 Personal de campo (Jefes con acceso al 60
sistema)
PE_05 Personal de logística 2
PE_06 Personal soporte técnico 2
PE_07 Personal de seguridad de la sede 2
RD_01 Red local -
HW_01 Computadoras de la sede (Informática) 6
HW_02 Impresoras (informática) 2
HW_03 Dispositivos de almacenamiento externo -
(memorias externas, USB)
HW_04 Switch Core para centralizar los puntos de 1
red, en un gabinete
HW_05 UPS (sistema de alimentación 1
ininterrumpida)
SW_01 Cliente de base de datos 1
SW_02 Paquetes de desarrollo de software 1
SW_03 Sistema operativo 1
SW_04 Antivirus 1
SW_05 Sistema de información de recursos 1
humanos
SW_06 Aplicación para verificación de datos 1
personales
SW_07 Software de ofimática 1
SW_08 Página web 1
SW_09 Acceso a la red interna -
SW_10 Aplicación desarrollada para el proyecto 1
Cuadro 25: Lista de activos Fuente: Elaboración propia
4.5.2 Valoración de activos

En el resultado de la valoración de activos, se muestran los activos críticos.
Se consideran activos críticos a aquellos activos cuya valoración es 4 que
corresponde a la calificación de “Muy Alta” con respecto a la disponibilidad,
integridad y confidencialidad del activo evaluado. La lista completa de la
valoración de activos se encuentra en el Anexo 2.
73
ID Nombre Descripción Tipo Propietario Ubicación Responsable Dependencia Acceso Valor
C I D Final
DT_03 Archivos de datos Archivos en Excel enviados por el Datos Cliente externo Virtual Responsable HW_01,
(Cliente externo) cliente para su procesamiento en la del proceso de RD_01, SE_04
base de datos, contiene data que se la data en
debe utilizar en el proceso del informática
proyecto que se está desarrollando. 5 5 2 4
DT_07 Archivos de datos Archivos en Excel enviados al Datos Responsable del Virtual Responsable HW_01,
(Informática) cliente externo del proyecto, luego proceso de la del proceso de RD_01, SE_04
de realizar un proceso. data en la data en
informática informática 5 5 2 4
SE_06 Servicio de Servicio de carpetas de red para Servicio Jefe de la oficina Sede Desc. Coordinador RD_01,
servidor de compartir información dentro de la de informática de la oficina de HW_01,
archivos sede descentralizada. sede central informática de SW_03
la sede
descentralizada 4 4 4 4
PE_01 Desarrolladores Equipo de desarrolladores de los Personal Equipo de Sede Desc. Coordinador
aplicativos de la sede desarrolladores de la oficina de
descentralizada informática de
la sede
PE_03 Metodólogos Equipo de metodólogos que realiza Personal Metodólogos Sede Desc. Jefe de
la planificación, ejecución y cierre metodología
de los proyectos de la sede
HW_01 Computadoras de Estaciones desktop de trabajo Hardware Equipo de Sede Desc. Coordinador SE_01
la sede asignadas al personal de desarrolladores de la oficina de
(Informática) informática de la sede informática de 4 4 4 4
74
descentralizada. la sede
descentralizada
SW_01 Cliente de base de Para la conexión desde la sede Software Jefe de Virtual Coordinador SE_05,
datos descentralizada a los diferentes informática de la de la oficina de HW_01
ambientes de la base de datos sede central informática de
ubicada en la sede central. la sede
SW_10 Aplicación Es la aplicación que utilizan los Software Equipo de Virtual Coordinador SE_02,
desarrollada para usuarios del proyecto en curso a desarrolladores de la oficina de HW_01,
el proyecto nivel nacional de acuerdo a los informática de PE_01,
perfiles establecidos la sede SW_01,
descentralizada SW_02 3 4 4 4
Cuadro 26: Valoración de activos Fuente: Elaboración propia
75
4.6 Gestión de riesgos
Se siguen los pasos indicados en el diseño de la gestión de riesgos
4.6.1 Establecimiento del contexto de la organización
4.6.1.1 Contexto: Se evaluó el contexto interno y externo de la organización, así

como los requisitos de las partes interesadas, estructura y estrategias de la
organización. De acuerdo a ese análisis se determinó el alcance del SGSI. La
gestión de riesgos tendrá el mismo alcance.
4.6.1.2 Restricciones que afectan a la organización: Se debe tener en cuenta como

restricción de la organización las restricciones:
 Presupuestales: Los presupuestos asignados a la entidad son para

desarrollar proyectos que generen información, y no para realizar
reestructuraciones que permitan generar un cambio en la organización
y colocar controles adecuados a las necesidades de la misma.
 Políticas: Algunas decisiones estratégicas u operativas parten del

gobierno, ya que es una entidad pública, tiene que seguir y aplicar
ciertos lineamientos.
 Culturales: No está inculcado dentro de la cultura organizacional lo

que significa seguridad de la información. Es importante que por lo
menos el personal de planta tenga una inducción respecto a conceptos
relacionados con la seguridad y luego esto sea replicado a todo el
personal mediante
 Territoriales: La institución tiene sedes a nivel nacional y también

sedes descentralizadas. El trabajo y la organización interna no es el
mismo en todas las sedes.
4.6.1.3 Referencias reglamentarias: Ver el punto 2.5 Marco legal, donde se indica
las referencias normativas aplicadas a instituciones del estado.
4.6.1.4 Restricciones que afectan el alcance: Son las restricciones de:
 Tiempo: Se deben tener en cuenta controles de seguridad cuyos

tiempos de implementación no sean prolongados, ya que el desarrollo
de proyectos es por periodos cortos de menos de 1 año.
 Técnicas: Siendo una sede descentralizada no se cuenta con toda la

infraestructura de la sede central. Se depende de los recursos
tecnológicos que se asignen de acuerdo al presupuesto de la sede
descentralizada (software, hardware, red) y de una infraestructura de
edificación no adecuada para una oficina de informática, ya que el
ambiente de trabajo no está adecuadamente acondicionado, ni es
independiente de otras áreas.
76
4.6.2 Identificación del riesgo
4.6.2.1 Identificación de las amenazas: Los activos están expuestos a factores que
pueden degradar su contenido o su operatividad, es por eso necesario
identificar las amenazas a los que son propensos para más adelante obtener el
impacto y la probabilidad de ocurrencia de que esas amenazas se “disparen”.
Las amenazas se obtienen de un catálogo de amenazas y se consideran las que
aplican a los activos identificados. Las amenazas pueden tener un origen
accidental, deliberado o ambiental (A/D/E).
Origen
ID Nombre Descripción Tipo Amenaza
A D E
Compromiso
Archivos en Excel de las Error en el uso X
enviados por el funciones
cliente para su
Compromiso
procesamiento en
Archivos de de la Divulgación X
la base de datos,
DT_03 datos (Cliente información
contiene data que
externo) Compromiso
se debe utilizar en
el proceso del de la Espionaje remoto X
proyecto que se información
está desarrollando. Acciones no Procesamiento ilegal
X
autorizadas de los datos
Compromiso
de las Error en el uso X
funciones
Archivos en Excel
Compromiso
enviados al cliente
Archivos de de la Divulgación X
externo del
DT_07 datos información
proyecto, luego de
(Informática) Compromiso
realizar un
proceso. de la Espionaje remoto X
información
Acciones no Procesamiento ilegal
X
Pérdida de los
Falla del equipo de
Servicio de servicios X X
telecomunicaciones
carpetas de red esenciales
Servicio de
para compartir Compromiso Datos provenientes
SE_06 servidor de
información dentro de la de fuentes no X
archivos
de la sede información confiables
descentralizada. Acciones no Acceso no autorizado
X
autorizadas a carpetas de red
Equipo de Compromiso Incumplimiento en la
PE_01 Desarrolladores desarrolladores de de las disponibilidad del X X
los aplicativos de funciones personal
77
la sede Compromiso
descentralizada de las Error en el uso X
funciones
Equipo de Compromiso Incumplimiento en la
metodólogos que de las disponibilidad del X X
realiza la funciones personal
planificación,
PE_03 Metodólogos
ejecución y cierre Compromiso
de los proyectos de de las Error en el uso X
la sede funciones
descentralizada
Estaciones desktop
Fallas técnicas Falla del equipo X
de trabajo
Computadoras asignadas al
HW_01 de la sede personal de Mal funcionamiento
(Informática) informática de la Fallas técnicas X
del equipo
sede
descentralizada. Acciones no Uso no autorizado
X
autorizadas del equipo
Para la conexión
desde la sede Acciones no Acceso no autorizado
descentralizada a autorizadas X
a la Base de Datos
Cliente de base los diferentes
SW_01
de datos ambientes de la
base de datos Acciones no Procesamiento ilegal
ubicada en la sede autorizadas X
de los datos
central.
Es la aplicación
que utilizan los Acciones no Acceso no autorizado
Aplicación usuarios del X
autorizadas a la aplicación
desarrollada proyecto en curso
SW_10
para el a nivel nacional de
proyecto acuerdo a los Compromiso
perfiles de la Divulgación
establecidos información X
Cuadro 27: Identificación de amenazas Fuente: Elaboración propia
4.6.2.2 Identificación de los controles existentes: La lista de controles existentes, se

obtiene de un análisis de brecha entre lo que indica la norma y la situación en
la que se encuentra la sede descentralizada con respecto a la seguridad. Esta
lista evitará implementar controles que actualmente son utilizados y reforzar
con otros controles si es pertinente hacerlo. Ver Anexo 4.
4.6.2.3 Informe del análisis de brecha: En este informe se detalla el estado

situacional en que se encuentra la sede descentralizada con respecto al
cumplimiento de los objetivos de control de la seguridad de la información.
La cantidad de controles que se pueden aplicar en la sede descentralizada de
acuerdo a las restricciones indicadas en la definición del alcance del SGSI y
78
en el punto 4.6.1. son 66, quedando 48 controles sin aplicar de un total de 114
que se indican en la norma ISO/IEC 27002:2013. Ver Anexo 3.
De los 66 controles, solo 3 controles se cumplen adecuadamente, los 63

restantes tienen un cumplimiento parcial o no se cumplen.
Del análisis se obtuvo que solo 3 controles tienen un “cumplimiento total”,

existe un procedimiento, se aplica, se monitorea y se mide; 6 controles tienen
un “cumplimiento alto”, existe un procedimiento, se aplica pero no se
monitorea ni se mide y su aplicación depende de la iniciativa del personal del
proyecto; 15 controles tienen un “cumplimiento medio”, se cumplen por
acuerdos del personal, no porque exista un procedimiento formal; 5 controles
tienen un “cumplimiento bajo”, el control se realiza de manera individual; 37
controles tienen un “no cumplimiento”, la institución no es consciente de que
existe un problema de seguridad de la información.
Nivel Cantidad Porcentaje

No cumplimiento 37 56,06
Cumplimiento bajo 5 7,58
Cumplimiento medio 15 22,73
Cumplimiento alto 6 9,09
Cumplimiento total 3 4,55
Totales 66 100,00
Cuadro 28: Resumen del análisis de brecha Fuente: Elaboración propia
Figura 16: Porcentaje de cumplimiento de controles de seguridad Fuente: Elaboración propia
El nivel de cumplimiento esperado por objetivo de control es del 100%, se

muestra de manera gráfica el nivel de cumplimiento de cada control y la
brecha para alcanzar el nivel esperado.
79
Figura 17: Cumplimiento esperado y cumplimiento actual Fuente: Elaboración propia
Por otro lado, el nivel de cumplimiento de los objetivos de control en la sede

descentralizada es de 24% y el porcentaje de cumplimiento por objetivo se
lista en la tabla:
%
Control de seguridad Aplica cumplimiento
5 Políticas de seguridad de la información SI 0,00
6 Organización de la seguridad de la
información SI 28,13
7 Seguridad relativa a los recursos humanos SI 50,00
8 Gestión de activos SI 4,17
9 Control de acceso SI 32,50
10 Criptografía NO No aplica
11 Seguridad física y del entorno SI 16,67
12 Seguridad de las operaciones SI 12,50
13 Seguridad de las comunicaciones SI 0,00
14 Adquisición, desarrollo y mantenimiento de
los sistemas de información SI 43,75
15 Relación con proveedores NO No aplica
16 Gestión de incidentes de seguridad de la 50,00
80
información SI
17 Aspectos de seguridad de la información
para la gestión de la continuidad del negocio NO No aplica
18 Cumplimiento SI 25,00
Cumplimiento Promedio 23,88
Cuadro 29: Resumen del porcentaje de cumplimiento Fuente: Elaboración propia
Como podemos observar, no hay políticas de seguridad de la información en

la sede descentralizada y es por ese motivo que todos los controles de
seguridad tienen un bajo porcentaje de cumplimiento.
4.6.2.4 Identificación de las vulnerabilidades: Para listar las vulnerabilidades se

identifican las amenazas y su procedencia. Los controles existentes nos
permiten conocer que ya se utilizan mecanismos que reducen el efecto de las
amenazas. Las vulnerabilidades están asociadas a las amenazas identificadas
en los activos. Ver Anexo 5
4.6.2.5 Identificación de las consecuencias: Las consecuencias son los riesgos que
se identifican a partir de amenazas y vulnerabilidades que pueden afectar a
los activos. Para determinar el valor del impacto se han definido criterios de
integridad, disponibilidad, confidencialidad, cumplimiento de convenios de la
institución y confiabilidad en el desarrollo de las actividades que la
institución ofrece a los “clientes” para quienes desarrolla los proyectos. Cada
amenaza se convierte en un riesgo que afecta al activo. Ver anexo 6
4.6.3 Análisis del riesgo
4.6.3.1 Estimación del riesgo: Para la estimación del riesgo se listan los activos y la
valoración obtenida del activo, el impacto de los activos de acuerdo a
criterios de confidencialidad, integridad y disponibilidad, la matriz de
amenaza y vulnerabilidad. En el Anexo 7 se tiene la matriz de estimación del
riesgo.
4.6.3.2 Evaluación del riesgo: En la evaluación del riesgo comparamos lo obtenido

en la tabla de estimación con los criterios definidos por la sede
descentralizada.
La información que se obtuvo es que de los 39 riesgos identificados, 14 son
de nivel “Medio”, 23 son de nivel “Alto”, 2 de nivel “Muy Alto” y ninguno
tiene el nivel “Bajo”, esto debido a que se estimaron los riesgos de los activos
considerados críticos debido a que la sede descentralizada tiene restricciones
organizacionales, de tiempo y recursos.
Para el tratamiento de riesgos se considerarán 25 riesgos entre los niveles alto
y muy alto, que representan el 64% de los riesgos identificados.
81
Nivel Cantidad %
Bajo 0 0
Medio 14 35,90
Alto 23 58,97
Muy Alto 2 5,13
Total 39 100,00
Cuadro 30: Porcentaje de evaluación del riesgo Fuente: Elaboración propia
4.7 Plan de tratamiento del riesgo

Se obtiene el plan de tratamiento del riesgo con las estrategias aplicadas para
los riesgos seleccionados de acuerdo al criterio de aplicación definido. En el
Anexo 8 se detalla todo el plan de tratamiento del riesgo.
4.7.1 Informe del plan de tratamiento a riesgos

En este informe se presentan las acciones aplicadas en el plan de riesgos. Es
importante recalcar que los riesgos encontrados corresponden a los activos
catalogados como activos críticos dentro del proceso del alcance del SGSI. Se
obtuvieron un total de 39 riesgos.
En el plan de riesgos se trataron 25 riesgos, 23 con nivel de riesgo “Alto” y 2

con nivel de riesgo “Muy Alto”, esta cantidad corresponde a la mayor parte
de los riesgos ya que representa el 64% del total de riesgos identificados.
Las consideraciones para el tratamiento del riesgo en esta primera iteración

son las siguientes:
 Riesgos a mitigar: Los riesgos a tratar son los riesgos considerados

“Altos” y “Muy altos”
 Riesgos a aceptar: Los riesgos a aceptar son los riesgos cuyos controles
tienen un costo de implementación que la sede descentralizada no puede
asumir. También se aceptan los riesgos considerados “Bajos” o “Medios”.
La sede descentralizada tiene fechas límites para el desarrollo de los
proyectos, debido a eso no puede derivar recursos y tiempo a implementar
todos los controles de seguridad, es por eso que solo se atenderán los
riesgos altos. Se debe considerar que esta situación puede cambiar
dependiendo del alcance del SGSI, que en este caso son los procesos de la
oficina de informática de la sede descentralizada, cuya razón de ser es el
desarrollo de los proyectos de la sede.
 Riesgos a compartir: Hay riesgos cuya a atención debe ser coordinada

con la sede central, debido a que el activo no se encuentra en la sede
descentralizada o la administración del mismo no depende del personal de
la sede descentralizada.
82
 Riesgos a evitar: La sede descentralizada no puede eliminar ninguna de
las actividades que realiza, todas son necesarias para el normal
funcionamiento y ejecución de las tareas propias de la sede.
Se encontraron 9 controles que están implementados, sin embargo no se tiene

información sobre el uso adecuado de los mismos y si son siempre aplicados.
Se han propuesto nuevos controles de acuerdo a la norma ISO/IEC

27002:2013 y las acciones que corresponde realizar de acuerdo al control, así
como el responsable de la implementación
Es importante dejar en claro que no se ha valorizado la implementación, ni se

ha realizado el análisis de factibilidad, ni el tiempo de implementación de los
controles propuestos. Sin embargo, la mayoría de ellos se pueden
implementar como parte de las actividades diarias.
4.8 Declaración de aplicabilidad

En el Anexo 9 se tiene la declaración de aplicabilidad, de ella se obtiene el
siguiente resumen:
Tipo Cantidad Motivos generales

Controles que se 66  Los controles son fácilmente aplicables
aplican  Se puede capacitar al personal para que
tengan conocimiento sobre el control
 No necesitan un tiempo de más de 6
meses para su implementación.
 Se puede asignar un responsable no
exclusivo para la implementación de los
controles que sería el coordinador de la
oficina de informática de la sede
descentralizada
 Se puede solicitar apoyo a la sede central
para el monitoreo y supervisión de los
controles implementados
Controles que no 48  Los controles deben aplicarse mediante
se aplican la sede central o por la organización
 No se tiene presupuesto para la
implementación de controles
 No se puede implementar controles que
necesiten tiempos de implementación de
más de 6 meses
 La sede descentralizada no cuenta con
personal que realice exclusivamente
actividades de control.
Total de 114
83
controles
Cuadro 31: Declaración de aplicabilidad Fuente: Elaboración propia
4.9 Evaluación del desempeño

Para evaluar el desempeño es necesario contar con indicadores que nos
permitan medir los componentes implementados en el SGSI. Se listarán los
indicadores más relevantes para evaluar los objetivos de control de la sede
descentralizada de acuerdo al alcance del SGSI y de la declaración de
aplicabilidad. Ver Anexo 10.
El coordinador del SGSI apoyará en la medición y evaluación interna de los
controles y finalizando el resultado emitirá un informe al Jefe del SGSI
firmando ambos un acta (Ver Anexo 11). La información de la evaluación
debe estar contenida en documentos que nos permitan llevan un orden
adecuado de los resultados obtenidos.
Por otro lado de acuerdo a la norma, la evaluación del desempeño nos

permitirá tomar medidas para la optimización del SGSI, pudiendo generar las
siguientes acciones:
 Ingreso de nuevos requisitos

 Cambios en el alcance del SGSI
 Ajuste de las políticas de seguridad de la información y políticas
detalladas.
 Ajustes en la gestión de riesgos
 Ajustes en el plan de tratamiento a riesgos
Con respecto a las auditorías internas, solo se indicaran algunos lineamientos

que, de acuerdo a la norma, la sede descentralizada tiene que considerar al
momento de coordinar con la sede central. Este trabajo no incluye actividades
fuera de la sede descentralizada por considerarlos no accesibles. Entre lo que
se debe considerar se encuentra:
 Un plan de auditoría, indicando la frecuencia de realización, los

procesos a auditar, los métodos a aplicar y los responsables de los
procesos.
 Documentación de auditorías anteriores
 El alcance de la auditoría
 Responsable de la auditoría
 Un repositorio de la documentación generada antes, durante y después
de la auditoría
 Si es pertinente, se debe determinar el tiempo de almacenamiento de
la documentación de auditoría antes de su eliminación.
Con respecto a las revisiones por parte de la dirección, en este caso el Jefe de
la sede descentralizada con el apoyo del coordinador del SGSI, debe
determinar la frecuencia de la revisión y durante la revisión se deben incluir:
84
 Las acciones que fueron implementadas producto de revisiones
anteriores, la efectividad de las mismas y su cumplimiento (Ver
Anexo 11 bitácora de evaluaciones)
 Cambios en el entorno que podrían afectar el SGSI; para las nuevas
iteraciones del SGSI
 Cambios en el SGSI; para las nuevas iteraciones del SGSI
 El estado del tratamiento del riesgo, después de aplicar el plan del
tratamiento del riesgo.
 Las no conformidades encontradas en la auditoría interna o externa,
dependiendo de lo coordinado con la sede central.
 Las incidencias reportadas (Ver Anexo 11 Registro de incidencias)
 Oportunidades de mejora
 Retroalimentación de las partes interesadas
4.9.1 Umbral en los indicadores

En la lista de indicadores, no se han considerado umbrales, ya que como se
mencionó en la declaración de aplicabilidad, los controles se insertan
fácilmente en las actividades diarias del personal de la oficina de informática
de la sede descentralizada, motivo por el cual el cumplimiento de los
indicadores debe ser al 100%.
4.9.2 Gestión documental

Todos los SGSI se apoyan de un sistema de gestión documental. Para el
desarrollo de este trabajo se consideró el siguiente esquema de documentos y
se propone algunos formatos que pueden ayudar en la gestión documental de
la sede descentralizada:
Nombre del documento Nuevo Ubicación

documento
Política de seguridad de la SI
seguridad de la información Anexo 1
Políticas detalladas SI Anexo 1
Indicadores SI Anexo 10
Estimación de riesgo SI Anexo 7
Plan de tratamiento del riesgo SI Anexo 8
Declaración de aplicabilidad SI Anexo 9
Contexto de la organización SI Propuesta de
SGSI
Requisitos de SGSI SI Propuesta de
SGSI
Roles y responsabilidades del SI Propuesta de
SGSI SGSI
Formato de Políticas detalladas SI Anexo 11
85
Formato de Acta para la SI Anexo 11
evaluación de desempeño
Formato de bitácora de SI Anexo 11
evaluaciones de controles
Formato de registro de SI Anexo 11
incidencias
Cuadro 32: Gestión documental Fuente: Elaboración propia
4.10 Mejora continua

La propuesta desarrollada abarca las etapas del modelo Planificar - Hacer –
Verificar – Actuar. Se ha realizado la planificación del SGSI, se ha indicado
como realizar el plan de tratamiento del riesgo y se han determinado las
políticas de seguridad de la información y las métricas para su evaluación de
acuerdo al caso de estudio. Todos estos elementos nos permiten obtener
información para realizar una mejora continua que de acuerdo a la norma
debe incluir:
 La determinación de las causas del incumplimiento de los requisitos

(no conformidad); de acuerdo a una auditoría o en este caso de
estudio, de acuerdo a una revisión por parte de la dirección.
 La implementación de nuevas acciones correctivas; para esto nos
ayudará tener una bitácora del resultado de la evaluación del
desempeño, ya que los registros pueden indicar deficiencias en los
controles implementados inicialmente.
 La implementación de cambios en el SGSI; para esto es necesario
evaluar permanentemente los cambios en todos los elementos que
afectan el SGSI.
86
CAPITULO V. CONCLUSIONES Y RECOMENDACIONES
5.1 Conclusiones
Del trabajo realizado se puede concluir lo siguiente:
Sobre el desarrollo del trabajo en una institución pública:

La cultura organizacional de una institución puede determinar el éxito o el
fracaso de nuevos proyectos que busquen la mejora o la reestructuración de
procesos internos, inclusive si estos son parte de una regulación
gubernamental. Durante el desarrollo del proyecto, el personal de la sede
descentralizada, se ha mostrado indiferente sobre procesos de seguridad de la
información, y es por eso que para la norma ISO/IEC 27001:2013 la
participación y compromiso de la alta dirección es vital, pues ello garantiza
en gran medida la participación del personal. Aunque la percepción del
común de las personas sobre los empleados públicos no es la mejor, y,
pareciera que en las instituciones públicas hay muchas personas inconformes
con el trabajo que realizan, es cierto también que hay grupos de empleados
que desean que los procesos y la institución en general mejoren. Me parece
que lo interesante a concluir no es sobre el personal inconforme que significa
un riesgo alto de filtro o pérdida de información, o sobre el personal que
desea obtener algún beneficio indebido, sino sobre las condiciones que hacen
que una persona esté inconforme y dispuesta a realizar acciones en perjuicio
de la institución (exceptuando empleados que tienen un perfil totalmente
inmoral). Lamentablemente en las instituciones públicas, y también en
muchas privadas, el bienestar del personal no es una prioridad, sin embargo,
el que un empleado se sienta satisfecho con su trabajo y considerado en la
institución donde labora, ahorraría mucho esfuerzo de tiempo y dinero en la
implementación de controles de seguridad de la información, pues un gran
porcentaje de violaciones a la seguridad de la información que son hechas
dentro de las instituciones las realizan los empleados.
Sobre el análisis de la seguridad realizado en la sede descentralizada:

El análisis situacional evidenció que hay una brecha bastante grande en lo
referido a la seguridad de la información en la sede descentralizada, con
solamente un 24% de cumplimiento de los objetivos de control, a pesar de
haber considerado varios controles como no aplicables. Analizando la
situación de la sede descentralizada, afecta en gran medida la seguridad de la
información, el hecho de que el personal tenga una alta rotación, y es también
por ese motivo que la implementación de proyectos referidos a la seguridad
resulta importante.
Sobre el apoyo clave en la implementación del SGSI en la sede

descentralizada:
Si bien es cierto, para que la implementación de un SGSI tenga un mayor
impacto positivo dentro de la sede descentralizada se necesita el apoyo de
toda la sede, hay personas o áreas cuyo apoyo es clave para generar ese
mayor impacto en beneficio de la seguridad de la información. Para el caso
87
específico del proceso de la oficina de informática que es donde se enfocó
este proyecto, se necesita el apoyo clave de: Recursos humanos;
proporcionando y controlando los acuerdos de confidencialidad. El
coordinador de la oficina de informática; controlando la asignación,
manipulación y desasignación de activos del personal, propiciando un
desarrollo de software orientado a principios de seguridad, controlando el
ingreso del personal autorizado al ambiente de informática, apoyando en la
capacitación de seguridad y otras actividades de seguridad de la oficina de
informática de acuerdo a los controles implementados; soporte técnico, para
el apoyo en la seguridad de las estaciones de trabajo, la red interna y el
mantenimiento preventivo y el compromiso inequívoco del jefe de la sede
descentralizada.
Sobre la gestión y el plan de tratamiento de riesgos:

La gestión de riesgos es el núcleo alrededor del cual se desarrollan las
actividades indicadas en la norma ISO/IEC 27001:2013. Del alcance del
SGSI se obtienen los activos críticos para gestionarles los riesgos que
terminan en un plan de tratamiento del riesgo y una declaración de
aplicabilidad de controles de la seguridad de la información. Si la gestión de
riesgos no es correcta todas las demás actividades no generan valor y se
convierten en una pérdida de tiempo y dinero. Por lo tanto, el responsable de
la gestión de riesgos debe tener el conocimiento suficiente sobre la institución
o sobre los procesos que se desarrollan en ella y la experiencia necesaria para
visualizar posibles escenarios que le permitan realizar un plan de tratamiento
del riesgo adecuado. Por otro lado, ayuda mucho en la madurez del SGSI que
se aplique de manera iterativa a través del ciclo de Deming, lo que permite ir
ajustando tanto la gestión como el plan del tratamiento de riesgos, no
justificando por ello, que de las iteraciones iniciales no se obtengan los
beneficios de seguridad buscados.
Sobre la cooperación entre la sede descentralizada y la sede central:

La sede descentralizada pareciera tener autonomía propia y por esta situación
el personal no se siente con la obligación de seguir algunos lineamientos de la
institución que la rige, ya sea por desconocimiento o por el manejo interno
dentro de la sede. El que no exista una supervisión por parte de la sede central
alimenta esta percepción. Esta situación afecta a la sede descentralizada en la
medida en que se necesite una cooperación fluida para el desarrollo de los
proyectos que se ejecutan y afecta particularmente a la oficina de informática,
que ha resultado perjudicada con algunas medidas tomadas por la sede central
imposibilitando el normal ejercicio de sus actividades por algunos periodos
de tiempo.
5.2 Recomendaciones
Se presentan las siguientes recomendaciones:
Para una institución cuya misión es la producción de información de calidad,

es pertinente formar un comité de seguridad de la información en la sede
88
central, que incluya representantes de las sedes descentralizadas, para
priorizar proyectos a favor de la protección de los datos y trabajar en conjunto
las medidas de seguridad que beneficien a toda la institución.
La implementación de proyectos de seguridad de la información, no

solamente debe implicar un compromiso por la alta dirección firmado en un
documento formal para posteriormente realizar la implantación del mismo,
sino que es necesario se induzca hacia una cultura de la seguridad desde la
base de la organización y se invierta en cambios pequeños para generar poco
a poco un cambio en el paradigma de los empleados, para que ellos puedan
visualizar porque es tan importante la seguridad y cómo se puede afectar su
propio trabajo. Es recomendable desarrollar un plan de capacitación por áreas
de la institución y mostrar a los empleados el impacto negativo que tiene la
falta de seguridad de la información en sus áreas de trabajo específicas y de
manera general en la institución.
El área de recursos humanos de la sede descentralizada en coordinación con

el jefe de la sede y el coordinador de la oficina de informática podría redactar
el manual de procedimientos especial para proveedores externos, enfocado en
la seguridad de la información dentro la sede descentralizada, el mismo que
se entregaría a la firma del contrato y el acuerdo de confidencialidad.
5.3 Trabajos futuros

Debido a que un SGSI está en continuo cambio, se pueden realizar varios
trabajos futuros en base al realizado:
 Propuesta de formatos y documentación adicional que se necesita para

la gestión documental (manual del SGSI, procedimientos de las
políticas, etc.)
 Diseño de escalas cuantitativas o escalas mixtas
 Implementación de la propuesta de SGSI y posteriormente la
realización de una auditoría al SGSI
89
BIBLIOGRAFIA
 BENAVIDES A. & BLANDON C. (2017). “Modelo de Sistema de Gestión

de Seguridad de la Información Basado en la Norma NTC ISO/IEC 27001
para Instituciones Públicas de Educación Básica de la Comuna Universidad
de la Ciudad de Pereira”. Tesis Maestría. Universidad Autónoma de
Manizales.
[Documento en PDF] recuperado de:
http://repositorio.autonoma.edu.co/jspui/bitstream/11182/1117/1/INFORME
%20FINAL%20ALEJANDRA%20%26%20CARLOS%20V5.pdf
 BID-OEA (2016). “Ciberseguridad: ¿Estamos preparados en América Latina

y el Caribe”
https://publications.iadb.org/handle/11319/7449?locale-attribute=es&
 BSI (2014). “Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013”

https://www.bsigroup.com/LocalFiles/en-GB/iso-iec-27001/resources/BSI-
ISO27001-transition-guide-UK-EN-pdf.pdf
 BSI-AnexoSL (2015): “Documento Técnico Introducción al Anexo SL”

https://www.bsigroup.com/LocalFiles/es-
ES/Documentos%20tecnicos/Revisiones%20ISO/ISO%209001/BSI-
Anexo%20SL-ISO-9001-2015.pdf
 CEMTRUM (2012) Revista Strategia Año 7 Nro. 26 CEMTRUM Católica.

“ISO, falta cultura empresarial para masificar certificaciones”
http://revistas.pucp.edu.pe/index.php/strategia/article/view/3951/3925
 GUTIERREZ C. (2015). “10 años de fuga de información: conoce los

incidentes para no repetir la historia”.
[Documento en HTML] recuperado de:
http://www.welivesecurity.com/la-es/2015/01/08/10-anos-fuga-de-
informacion/
 ISO27001 (2014). “ISO/IEC 27001:2013(en)”

[Documentos en HTML] recuperados de:
https://www.iso.org/obp/ui#iso:std:iso-iec:27001:ed-2:v1:en
 ISO27000 (2018). “ISO/IEC 27000:2018(en)”

[Documentos en HTML] recuperados de:
http://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_2
7000_2018_E.zip
90
 ISO27000-DCTO (2014). “ISO 27000”
http://www.iso27000.es/download/doc_iso27000_all.pdf
 ISO27000-GLOSARIO (2014). “ISO 27000”

http://www.iso27000.es/glosario.html
 ISO/IEC27001 (2005). “Estándar Internacional ISO/IEC 27001 primera

edición”
https://jmpovedar.files.wordpress.com/2011/03/iso-27001-2005-espanol.pdf
 ISO27002 (2013). “Norma ISO/IEC 27002:2013 en español”

[Documento en PDF]
 ISO27005 (2011). “Norma ISO/IEC 27005:2011 en español”

[Documento en PDF]
 ISO31000 (2009). “ISO 31000:2009”

http://gestion-calidad.com/wp-
content/uploads/2016/09/iso_31000_2009_gestion_de_riesgos.pdf
 ISO-SURVEY (2016). “The ISO Survey of Management System Standard

Certifications 2016”
https://isotc.iso.org/livelink/livelink/fetch/-
8853493/8853511/8853520/18808772/00._Executive_summary_2016_Survey.p
df?nodeid=19208898&vernum=-2
 LEMA R. & DONOSO D. (2018). “Implementación de un sistema de gestión

de seguridad de información basado en la Norma ISO 27001:2013 para el
control físico y digital de documentos aplicado a la empresa LOCKERS
S.A.”. Tesis Maestría. Universidad de Fuerzas Armadas ESPE
http://repositorio.espe.edu.ec/handle/21000/14397
 LEY (2011). “Ley de protección de datos personales”. Congreso de la

República. Normas Legales
http://www.leyes.congreso.gob.pe/Documentos/Leyes/29733.pdf
 MAGERIT (2012). “MAGERIT – versión 3.0Metodología de Análisis y

Gestión de Riesgos de los Sistemas de Información”. Libro I Método. Libro.
Ministerio de Hacienda y Administraciones Públicas.
91
https://www.administracionelectronica.gob.es/pae_Home/pae_Documentacio
n/pae_Metodolog/pae_Magerit.html#.WsArbkxFyP8
 ONGEI (2017). “Plan Nacional de Gobierno Electrónico 2013-2017”

http://www2.congreso.gob.pe/sicr/cendocbib/con4_uibd.nsf/54A7FF44FD2D
F7F605257C1200108C2B/$FILE/10492a55-a315-453e-8fdc-
2c908b422d18.pdf
 PCM (2017) Resoluciones Ministeriales de la Presidencia del Consejo de

Ministros
http://www.gobiernodigital.gob.pe/banco/segdi_BUSQ_NORMAS.asp
 PWC (2018). “The Global State of Information Security® Survey 2018”

https://www.pwc.com/us/en/cybersecurity/assets/pwc-2018-gsiss-
strengthening-digital-society-against-cyber-shocks.pdf
 RAMIREZ F. (2017). “Las mayores fugas de datos de la historia reciente”

http://blog.elevenpaths.com/2017/07/las-mayores-fugas-de-datos-de-la.html
 RODAL P. (2016). “Implementation Plan for an ISMS according to ISO/IEC

27001:2013”
Tesis Maestría. Universidad Oberta de Catalunya.
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/59325/8/prodalTFM1
216mem%C3%B2ria.pdf
 SALCEDO R. (2014). “Plan de implementación del SGSI basado en la norma

ISO 27001:2013”
Tesis Maestría. Universidad Oberta de Catalunya.
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTF
C1214memoria.pdf
 TERAN K. (2018). “Guía para la implantación del SGSI con base en la NTE
ISO/IEC 27000 para el servicio de agendamiento de citas del Contact Center
del Ministerio de Salud Pública del Ecuador”
Tesis Maestría. Universidad de las Fuerzas Armadas.
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/40412/7/rbojorqueTF
M0115memoria.pdf
92
GLOSARIO DE TÉRMINOS
 Familia ISO/IEC 27000: Los estándares ISO/IEC 27000 son

conocidos como la familia de estándares del Sistema de Gestión de
Seguridad de la Información (SGSI).
 ISO/IEC 27001: Es el documento que especifica los requerimientos

para proporcionar un modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información formalizado (SGSI).
 Sistema de Gestión de la seguridad de la información (SGSI): Un

SGSI es un enfoque sistemático para establecer, implementar, operar,
monitorizar, revisar, mantener y mejorar la seguridad de la información
de la organización, para alcanzar objetivos de negocio.
 Seguridad de la información: La seguridad de la información

involucra la aplicación y gestión de controles apropiados que
consideren un amplio rango de amenazas, con el objetivo de asegurar el
éxito sostenido y continuidad del negocio, minimizando las
consecuencias de los incidentes de seguridad de la información.
 Gestión: En términos de un SGSI, la gestión involucra la supervisión y

toma de decisiones para alcanzar los objetivos del negocio, a través de
la protección de los activos de información de la organización.
 Sistema de gestión: Un sistema de gestión usa un marco de recursos

para alcanzar los objetivos de la organización. Incluye: estructura
organizacional, políticas, planificación de actividades,
responsabilidades, prácticas, procedimientos, procesos y recursos.
 Confidencialidad: La propiedad de que la información no está

disponible o divulgada para individuos, entidades o procesos no
autorizados.
 Integridad: La propiedad de que el activo es preciso y completo.
 Disponibilidad: La propiedad de estar disponible y utilizable cuando lo

requiera una entidad autorizada.
93
ANEXOS
Anexo 1: Políticas
Política de seguridad de la información
Generalidad
La administración de la seguridad de la información está basada en las cláusulas de
la norma ISO/IEC 27001:2013, por lo que es importante evaluar periódicamente los
cambios en la norma.
La información es al activo más valioso con lo que cuenta la institución, ya que el
servicio que brinda a otras entidades es la entrega de información estadística, la
misma que debe ser veraz e integra.
La políticas que se incluyen en el documento son la guía para la definición de
controles necesarios para soportar el SGSI, sin embargo, esto no es una garantía de
que la seguridad funcione adecuadamente, para que esto suceda se tienen que
realizar evaluaciones periódicas del funcionamiento de controles, monitorear los
riesgos, capacitar al personal y adecuar las políticas de seguridad a la estrategia del
negocio.
Alcance
El ámbito de aplicación es para la oficina de informática de la sede descentralizada.
Objetivos de la seguridad de la información

De acuerdo a los principios de la seguridad de la información:
 Confidencialidad de la base de conocimientos de los proyectos que se

desarrollan en la sede principal y los datos personales.
 Disponibilidad de la información procesada a todo el personal que lo requiera
de acuerdo a los niveles de acceso y en el momento que se solicite.
 Integridad de la información recibida para procesamiento y obtenida como
resultado final.
Medios de difusión
 Mediante correo interno de la institución para el personal de la sede
descentralizada.
 Desde una carpeta compartida dentro de la red interna de la sede
descentralizada.
Descripción
 La sede debe determinar si la evaluación de los riesgos será anual o al inicio
de cada proyecto, de acuerdo a la naturaleza de este.
 Se debe determinar el apetito del riesgo de la sede descentralizada y esta debe
ser reflejada en el plan de tratamiento de riesgos.
 La concientización sobre seguridad de la información debe incluir a todos los
trabajadores de la sede descentralizada independientemente de su modalidad
de contrato.
94
 Se disponen de políticas detalladas sobre acciones específicas.
Compromisos
 El coordinador del SGSI debe elaborar un manual de seguridad de la
información, el mismo que será distribuido a los participantes del proyecto
con el objetivo de crear conciencia sobre la importancia de la seguridad
dentro de la sede descentralizada.
 Debido a los tiempos cortos de desarrollo de proyectos de la sede, el
coordinador del SGSI debe realizar al menos 1 charla sobre seguridad de la
información antes del inicio de cada proyecto.
 El responsable del SGSI debe fomentar una cultura de seguridad, motivando
la inclusión de tareas de seguridad de la información en los proyectos que
realiza la sede descentralizada.
 Los participantes deben comprometerse a cumplir los lineamientos de las
políticas detalladas de seguridad de la información.
 Los dueños del proceso y clientes también deben conocer las políticas de
 Para casos en que se requiera auditoría externa para evaluar y medir el
cumplimiento de las políticas de seguridad de la información de acuerdo a los
controles de seguridad implementados, el responsable del SGSI debe solicitar
el apoyo de la sede central.
 El coordinador y responsable del SGSI deben determinar si modifican, crean
o eliminan los controles de seguridad que son pertinentes aplicar en la sede
descentralizada de acuerdo a las necesidades de la misma
Políticas detalladas de la seguridad de la información
Generalidades de las políticas detalladas

 El ámbito de aplicación es para todas las áreas de la sede descentralizada que
se identifiquen con el uso de los elementos mencionados en la política.
 Todas las personas independientemente de su condición contractual deben
seguir los lineamientos de las políticas de seguridad.
 El personal de campo asignado temporalmente a la sede descentralizada debe
seguir los lineamientos de las políticas de seguridad.
1.- Política de control de acceso
Objetivo: Asegurar que el acceso a la información, dispositivos y servicios sea solo

para personas autorizadas.
Compromisos:
 Se entrega usuarios y contraseñas para el acceso a medios físicos y lógicos
autorizados. Es responsabilidad del usuario el correcto uso de los mismos.
Las contraseñas son personales e intransferibles.
95
 Los accesos a los sistemas de información deben será autorizados por el jefe
inmediato.
 Los accesos a utilitarios o software en la estación de trabajo deben ser
adecuados a las funciones que realiza la persona.
 El acceso a internet debe ser autorizado por el jefe inmediato previa
justificación de la utilización en las funciones que realiza el personal.
 Los accesos a mensajería deben ser autorizados por el jefe inmediato. No está
permitido uso de cuentas de mensajería personales para comunicaciones
relacionadas al trabajo.
 No está permitido el transporte de la información mediante dispositivos
externos a la estación de trabajo, a menos que sea necesario y autorizado por
el jefe inmediato.
 Los accesos a carpetas compartidas deben ser autorizados por el jefe
inmediato
2.- Política de teletrabajo
Objetivo: Asegurar que el acceso remoto a la información, dispositivos y servicios

sea solo para personas autorizadas.
Compromisos:
 Solo se puede hacer uso del teletrabajo en periodos determinados del
proyecto. Estos periodos son establecidos por el jefe del proyecto.
 Se debe habilitar solo una estación de trabajo para conexión remota. Ningún
tipo de información crítica debe ser almacenada.
 Se hace uso del teletrabajo solamente si la actividad que se tiene que realizar
tiene carácter de urgencia y soluciona incidentes que pueden perjudicar el
normal desarrollo de las actividades del proyecto.
 El personal asignado para teletrabajo se hace responsable de la contraseña
asignada, la misma que es personal e intransferible.
 Se debe realizar el informe respectivo de las actividades atendidas por
teletrabajo.
 Se deshabilita la estación de trabajo al término de los periodos establecidos
de uso.
3.- Política de protección de información
Objetivo: Asegurar que la información crítica de los proyectos esté protegida.
Compromisos:
 La información crítica del proyecto (documentación técnica, documentación
del proyecto, objetos fuentes, archivos de datos, etc.) no debe ser almacenada
en carpetas de la estación de trabajo.
 La información crítica debe ser clasificada y agrupada de acuerdo a su
contenido.
96
 La información crítica que cambie constantemente debe ser versionada y la
versión debe ser parte del nombre del archivo o carpeta que la contenga.
 Se habilitan carpetas de red para guardar la información crítica de los
proyectos.
 Se generan backups de las carpetas con información crítica, en carpetas
compartidas en la red de la sede central destinadas para tal fin.
 Se debe etiquetar la información como confidencial o no confidencial.
 Toda información etiquetada como confidencial debe tener un único
responsable que se encargue de la manipulación de la misma.
 La distribución de la información confidencial debe ser solamente para
personal de alto nivel o personal autorizado por el jefe de la sede
descentralizada mediante un documento de autorización.
4.- Política de incidentes de la seguridad de la información
Objetivo: Asegurar que los incidentes de la seguridad de la información no impacten

en el desarrollo de las actividades de la sede descentralizada.
Compromisos:
 Informar al coordinador del SGSI sobre cualquier incidente de seguridad de
la información.
 Habilitar una carpeta donde se registren los incidentes de seguridad de la
información, de manera que se pueda documentar y posteriormente tener
referencias de cómo fueron tratados.
 Evaluar la implementación de controles para mitigar los riesgos de seguridad
de la información
5.- Política de desarrollo de aplicaciones web
Objetivo: Asegurar que se implementen controles de seguridad de la información en

el desarrollo de las aplicaciones web.
Compromisos:
 Desarrollar aplicaciones que tengan los principios de ingeniería de sistemas
seguros, en lo que corresponda.
 Mantener las versiones de los aplicativos en carpetas que solo sean accedidas
por personal autorizado.
 Utilizar software de versiones para evitar duplicidad y uso errado de objetos.
 Los aplicativos deben validar la data de entrada de acuerdo a las necesidades
del usuario
6.- Política de uso de la base de datos
Objetivo: Asegurar la integridad de los datos de la base de datos
97
Compromisos:
 El acceso a la base de datos debe ser autorizado por el jefe inmediato.
 Utilizar ambientes de desarrollo, calidad y producción separados.
 Utilizar perfiles para el acceso de los objetos de la base de datos.
 Los accesos de personal de otras sedes a las bases de datos del proyecto
deben ser solicitadas y autorizadas por el jefe de la sede descentralizada.
7.- Política de uso de contraseñas
Objetivo: Asegurar que las contraseñas sean lo suficientemente seguras
Compromisos:
 Se cambian una vez al mes.
 Tienen como mínimo 8 dígitos.
 Tienen al menos un caracter especial, un número y una letra en mayúscula.
 No deben ser iguales a contraseñas anteriores.
 No deben ser escritas en papeles, archivos ni otro lugar visible o de fácil
acceso.
 Son personales e intransferibles y el usuario es responsable de mantenerla
secreta.
 Debe ser oculta al momento de escribirse en algún sistema, formulario o
estación de trabajo.
 No debe ser guardada por ningún navegador
 Se debe cerrar las sesiones al momento de salir de sistemas, aplicaciones,
estaciones de trabajo, accesos remotos.
8.- Política de seguridad en las estaciones de trabajo
Objetivo: Asegurar que la información este segura en las estaciones de trabajo.
Compromisos:
 Realizar mantenimientos preventivos a las estaciones de trabajo.
 La información crítica no debe ser almacenada en las estaciones de trabajo.
9.- Política de uso de la mensajería electrónica
Objetivo: Asegurar el uso correcto de la mensajería electrónica
Compromisos:
 El acceso a la mensajería electrónica es personal.
 El uso de la mensajería electrónica es netamente laboral.
 Se asignar una cuenta de correo solamente si las funciones que realiza el
personal lo justifica.
98
 No se debe transferir información crítica mediante mensajería electrónica.
 No se permite envío de cadenas o contenido que denigre a otras personas.
10.- Política de escritorio y pantalla limpia
Objetivo: Asegurar que la información crítica no sea accedida por personal no

autorizado.
Compromisos:
 Se debe configurar el bloqueo de pantalla automático cuando la estación de
trabajo se encuentre inactiva.
 El personal debe bloquear su pantalla cuando no se encuentre cerca.
 Se debe mantener el escritorio limpio de documentación crítica.
 Se debe evitar colocar adhesivos en la pantalla de la estación de trabajo.
11.- Política del uso de activos
Objetivo: Asegurar el uso adecuado de los activos asignados al personal.
Compromisos:
 El personal es responsable de los activos que le son asignados (hardware,
software, información).
 Al finalizar el vínculo laboral se deben devolver los activos físicos asignados
en el mismo estado que le fueron asignados, considerando el desgasto por el
uso.
 El uso de los activos de información y físicos se debe dar en el ámbito laboral
dentro de las instalaciones de la sede descentralizada.
 No está permitido instalar software adicional, salvo autorización del jefe
inmediato.
 El personal debe respaldar los activos de información críticos en las carpetas
de red asignadas para tal fin
 La sede descentralizada es propietaria de todos los activos de información
físicos y lógicos independientemente de los medios que lo contienen.
12.- Política sobre proveedores externos
Objetivo: Asegurar que los proveedores externos estén alineados a la seguridad de la

información
Compromisos:
 Seguir las normas y políticas sobre seguridad de la información establecidas
en la sede descentralizada
99
 Responsabilizarse por acciones que impacten negativamente en la seguridad
de la información. Las sanciones por incumplimiento son determinadas por el
jefe inmediato.
13.- Política de uso del software
Objetivo: Asegurar que el software no ponga en riesgo la seguridad de la

información
Compromisos:
 El software instalado en las estaciones de trabajo debe estar licenciado
 No se deben realizar instalaciones del software en equipos que no sean de la
institución
14.- Política de auditoría interna
Objetivo: Asegurar el cumplimiento de controles y la mejora continua del SGSI
Compromisos:
 Determinar las no conformidades y las conformidades del uso de controles de
la norma ISO/IEC 27001:2013 o su similar en la norma técnica peruna (NTP)
para la seguridad de la información.
 Informar las observaciones u oportunidades de mejora.
 Coordinar con la sede central la realización de la auditoría interna
100
Anexo 2: Valoración de los activos
Acceso Valor
ID Nombre Descripción Tipo Propietario Ubicación Responsable Dependencia C I D Final
DT_01 Documentación Documentación del proyecto Datos Metodología Virtual Metodología SE_06,
del proyecto elaborado por el área de HW_01,
(Metodología) metodología. RD_01, SE_04 4 4 2 3
DT_02 Documentación Documentación técnica del Datos Coordinador de Virtual Coordinador SE_06,
técnica del proyecto elaborado por la oficina de proyecto de de proyecto de HW_01,
proyecto informática de la sede central Informática Informática RD_01, SE_04
(Informática) 4 4 2 3
DT_03 Archivos de datos Archivos en Excel enviados por el Datos Cliente externo Virtual Responsable HW_01,
(Cliente externo) cliente para su procesamiento en la del proceso de RD_01, SE_04
base de datos, contiene data que se la data en
debe utilizar en el proceso del informática
proyecto que se está desarrollando. 5 5 2 4
DT_04 Archivos de datos Archivos en Excel enviados por el Datos Metodología Virtual Responsable SE_06,
(Metodología) área de metodología, contiene del proceso de HW_01,
información personal de la data en RD_01, SE_04
postulantes. informática 4 4 2 3
DT_05 Archivos de datos Archivos en Excel enviados por el Datos Recursos Virtual Responsable SE_06,
(RH) área de recursos humanos para humanos del proceso de HW_01,
realizar validaciones. Contiene la data en RD_01, SE_04
información personal. informática 2 4 2 3
DT_06 Archivos de datos Archivos en Excel enviados por el Datos Logística Virtual Responsable SE_06,
(Logística) área de logística. Contiene del proceso de HW_01,
información de equipos a utilizarse la data en RD_01, SE_04
en el proyecto. informática 3 4 2 3
101
DT_07 Archivos de datos Archivos en Excel enviados al Datos Responsable del Virtual Responsable HW_01,
(Informática) cliente externo del proyecto, luego proceso de la del proceso de RD_01, SE_04
de realizar un proceso. data en la data en
informática informática 5 5 2 4
ST_01 Sede Es la sede del caso de estudio en la Sitio Dueño de la Sede Desc. Jefe de la sede SE_03
descentralizada que se encuentra la oficina de sede descentralizad
informática de la sede a
descentralizada. 0 4 4 3
SE_01 Servicio de Servicio de energía eléctrica de la Servicio Dueño del Sede Desc. Jefe de la sede
electricidad sede. servicio descentralizad
a 0 4 4 3
SE_02 Servicio de Servicio de internet de la sede. Servicio Dueño del Sede Desc. Jefe de la sede
internet servicio descentralizad
a 1 3 3 2
SE_03 Servicio de Servicio de alquiler de la sede Servicio Dueño del Sede Desc. Jefe de la sede
alquiler de sede descentralizada. servicio descentralizad
a 0 4 4 3
SE_04 Servicio de correo Servicio de asignación de correo Servicio Dueño del Sede Desc. Jefe de la sede RD_01,
electrónico electrónico institucional para el servicio descentralizad HW_01,
personal de la sede descentralizada a SW_03 2 3 4 3
SE_05 Servicio de Servicio de conexión a fibra óptica Servicio Dueño del Sede Desc. Jefe de la sede
conexión Fibra mediante VPN (red privada virtual) servicio descentralizad
óptica con la sede central de la a
organización. 1 4 4 3
SE_06 Servicio de Servicio de carpetas de red para Servicio Jefe de la oficina Sede Desc. Coordinador RD_01,
servidor de compartir información dentro de la de informática de la oficina de HW_01,
archivos sede descentralizada. sede central informática de SW_03
la sede
descentralizad
a 4 4 4 4
PE_01 Desarrolladores Equipo de desarrolladores de los Personal Equipo de Sede Desc. Coordinador 4 4 4 4
102
aplicativos de la sede desarrolladores de la oficina de
la sede
descentralizad
a
PE_02 Funcionales Persona que realiza la Personal Funcional Sede Desc. Coordinador
documentación funcional en la sede de la oficina de
la sede
descentralizad
a 3 3 3 3
PE_03 Metodólogos Equipo de metodólogos que realiza Personal Metodólogos Sede Desc. Jefe de
la planificación, ejecución y cierre metodología
de los proyectos de la sede
PE_04 Personal de Personal de apoyo que realiza Personal Metodólogos Sede Desc. Jefe de
campo labores de campo. Se incluyen solo metodología
los que tienen acceso al sistema de
información desarrollado para el
proyecto 2 3 3 3
PE_05 Personal de Personal que se encarga de la Personal Personal de Sede Desc. Jefe de
logística planificación y ejecución de las logística logística
actividades logísticas del proyecto. 2 3 3 3
PE_06 Personal soporte Personal que se encarga de la Personal Personal de Sede Desc. Jefe de la sede
técnico configuración de equipos y acceso a soporte descentralizad
los equipos de cómputo de la sede a
PE_07 Personal de Personal que se encarga de la Personal Jefe de la sede Sede Desc. Jefe de la sede
seguridad de la seguridad de ingreso y salida del descentralizada descentralizad
sede personal que labora en la sede a
103
RD_01 Red local Red de conexión interna entre los Red Personal de Sede Desc. Jefe de la
equipos de la sede descentralizada. soporte oficina de
informática de
la sede central 1 4 4 3
HW_01 Computadoras de Estaciones desktop de trabajo Hardware Equipo de Sede Desc. Coordinador SE_01
la sede asignadas al personal de desarrolladores de la oficina de
(Informática) informática de la sede informática de
descentralizada. la sede
descentralizad
a 4 4 4 4
HW_02 Impresoras Impresoras asignadas al personal de Hardware Personal de Sede Desc. Coordinador SE_01,
(informática) informática de la sede soporte de la oficina de RD_01
la sede
descentralizad
a 1 1 1 1
HW_03 Dispositivos de Son las memorias USB asignados al Hardware Equipo de Sede Desc. Coordinador
almacenamiento personal de la oficina de desarrolladores de la oficina de
externo informática informática de
la sede
descentralizad
a 1 1 1 1
HW_04 Switch Core Hardware para centralizar los Hardware Personal de Sede Desc. Jefe de SE_01,
puntos de la red interna de la sede soporte informática de HW_05
descentralizada, en un gabinete la sede central 1 4 4 3
HW_05 UPS Es el hardware de sistema de Hardware Personal de Sede Desc. Jefe de SE_01
alimentación ininterrumpida soporte informática de
conectado al Switch Core de la sede la sede central
SW_01 Cliente de base de Para la conexión desde la sede Software Jefe de Virtual Coordinador SE_05,
datos descentralizada a los diferentes informática de la de la oficina de HW_01 2 4 5 4
104
ambientes de la base de datos sede central informática de
ubicada en la sede central. la sede
descentralizad
a
SW_02 Paquetes de Software utilizado para el Software Jefe de Virtual Coordinador HW_01
desarrollo de desarrollo de las aplicaciones web informática de la de la oficina de
software en la sede descentralizada. sede central informática de
la sede
descentralizad
a 1 4 4 3
SW_03 Sistema operativo Software instalado en las estaciones Software Personal de Virtual Coordinador HW_01
de trabajo de la sede soporte de la oficina de
descentralizada. informática de
la sede
descentralizad
a 1 4 4 3
SW_04 Antivirus Software de protección instalado en Software Personal de Virtual Coordinador HW_01
las estaciones de trabajo de la sede soporte de la oficina de
descentralizada. informática de
la sede
descentralizad
a 1 4 4 3
SW_05 Sistema de Sistema de información de consulta Software Recursos Virtual Recursos SE_02,
información de de procesos de selección. humanos humanos HW_01
recursos humanos 2 4 1 2
SW_06 Aplicación para Aplicación que se conecta a Software Recursos Virtual Recursos SE_02,
verificación de RENIEC para validación de DNI y humanos humanos HW_01
datos personales otros datos personales. 2 3 2 2
SW_07 Software de Software para realizar actividades Software Personal de Virtual Personal de HW_01
ofimática de ofimática. soporte soporte 1 3 4 3
SW_08 Página web Para poder incluir las URL’s de Software Jefe de Virtual Coordinador SE_02, 3 3 3 3
105
manera que los usuarios se puedan informática de la de la oficina de HW_01
conectar a los aplicativos sede central informática de
desarrollados por la oficina de la sede
informática de la sede descentralizad
descentralizada a
SW_09 Acceso a la red Credencial para la red interna de la Software Personal de Virtual Coordinador RD_01,
interna sede descentralizada soporte de la oficina de HW_04,
informática de HW_05,
la sede HW_01,
descentralizad SW_03
a 4 3 3 3
SW_10 Aplicación Es la aplicación que utilizan los Software Equipo de Virtual Coordinador SE_02,
desarrollada para usuarios del proyecto en curso a desarrolladores de la oficina de HW_01,
el proyecto nivel nacional de acuerdo a los informática de PE_01,
perfiles establecidos la sede SW_01,
descentralizad SW_02
a 3 4 4 4
106
Anexo 3: Análisis de brecha de acuerdo a la norma ISO/IEC 27002:2013
Control /
Objetivo de Detalle de la Valor de
control Descripción Aplica Justificación Estado actual brecha Responsable cumplimiento
5 Políticas de seguridad de la información
5.1 Directrices de gestión de la seguridad de la información
5.1.1 Políticas para Un conjunto de políticas
la seguridad de la para la seguridad de la No se sigue
información información debería ser No se conoce una ningún
definido, aprobado por la política de lineamiento sobre
dirección, publicado y seguridad de la seguridad de la Jefe de la
comunicado a los información que información sede
empleados y partes provenga de la sede dentro de la sede descentraliza
externas relevantes. SI central descentralizada da 0
5.1.2 Revisión de Las políticas de seguridad
las políticas para de la información deberían
la seguridad de la revisarse a intervalos No se sigue
información planificados o siempre que No se conoce una ningún
se produzcan cambios política de lineamiento sobre
significativos, a fin de seguridad de la seguridad de la Jefe de la
asegurar que se mantenga información que información sede
su idoneidad, adecuación y provenga de la sede dentro de la sede descentraliza
eficacia. SI central descentralizada da 0
6 Organización de la seguridad de la información
6.1 Organización interna
107
6.1.1 Roles y Deberían definirse y El coordinador de
responsabilidades asignarse todas las proyectos de No existe un
en seguridad de la responsabilidades relativas informática es quién responsable de la
información a la seguridad de la a su criterio da seguridad de la Jefe de la
información ciertas indicaciones información en la sede
sobre seguridad al sede descentraliza
SI personal a su cargo descentralizada da 1
6.1.2 Segregación Las funciones y áreas de
de tareas responsabilidad deberían Existen roles Los roles se
segregarse para reducir la definidos para pueden cambiar de
posibilidad de que se ejecución de acuerdo a la
produzcan modificaciones proyectos, sin necesidad del
no autorizadas o no embargo no con proyecto, dándose
intencionadas o usos respecto a la casos de
indebidos de los activos de seguridad de la segregación de Coordinador
la organización SI información funciones SGSI 2
6.1.3 Contacto con Deberían mantenerse los Los contactos
las autoridades contactos apropiados con con
las autoridades autoridades de
otras
instituciones a
alto nivel debe
coordinarse
con la sede
NO central
108
6.1.4 Contacto con Deberían mantenerse los El personal de
grupos de interés contactos apropiados con informática de la No existe interés
especial grupos de interés especial, sede descentralizada por contactar con
u otros foros y asociaciones no tiene contactos grupos
profesionales con grupos de especializados de
especializados en seguridad interés sobre seguridad de la Coordinador
SI seguridad información SGSI 0
6.1.5 Seguridad de La seguridad de la El personal trata
la información en información debería temas de seguridad
la gestión de tratarse dentro de la gestión del proyecto sobre
proyectos de proyectos, todo con niveles
independientemente de la de acceso a
naturaleza del proyecto documentación y
aplicaciones de
El personal del acuerdo a niveles
proyecto desconoce de jerarquía
sobre temas de establecida en la
seguridad de la sede Coordinador
SI información descentralizada SGSI 2
6.2 Los dispositivos móviles y el teletrabajo
109
6.2.1 Política de Se debería adoptar una Se utilizan tablets
dispositivos política y unas medidas de que tienen acceso
móviles seguridad adecuadas para la a aplicaciones. Se
protección contra los ha incorporado el
riesgos de la utilización de uso de acuerdos de
dispositivos móviles. confidencialidad
para el personal de
campo del
proyecto, que hace
uso de tablets y se
configura la
seguridad dentro
de la tablet. No es
No existe una una política Coordinador
SI política formal institucional. SGSI 2
6.2.2 Teletrabajo Se debería implementar una El personal de
política y unas medidas de informática hace
seguridad adecuadas para uso de teletrabajo.
proteger la información Sin embargo los
accedida, tratada o accesos a las
almacenada en estaciones de
emplazamientos de trabajo pueden ser
teletrabajo fácilmente
vulneradas, ya que
las contraseñas son
compartidas entre
el personal y no
No existe una hay una política de Coordinador
SI política formal contraseñas SGSI 0
110
seguras.
7 Seguridad relativa a los recursos humanos

7.1 Antes del empleo
7.1.1 Investigación La comprobación de los
de antecedentes antecedentes de todos los
candidatos al puesto de
trabajo se debería llevar a
cabo de acuerdo con las Para la
leyes, normas y códigos contratación del
éticos que sean de personal el área de
aplicación y debería ser recursos humanos
proporcional a las de la sede central
necesidades del negocio, la verifica los
clasificación de la antecedentes del
información a la que se personal a Jefe de
accede y los riesgos Existe una política contratar con el recursos
percibidos SI formal estado humanos 4
111
7.1.2 Términos y Cómo parte de sus
condiciones del obligaciones contractuales,
empleo los empleados y
contratistas deberían La sede
establecer los términos y descentralizad
condiciones de su contrato a está alineada
de trabajo en lo que a los
respecta a la seguridad de procedimiento
la información, tanto hacia s de recursos
el empleado como hacia la humanos de la
organización. NO sede central
7.2 Durante el empleo
7.2.1 La dirección debería exigir La sede
Responsabilidades a los empleados y descentralizad
de gestión contratistas, que apliquen la a cumple con
seguridad de la información los
de acuerdo con las políticas lineamientos
y procedimientos establecidos
establecidos en la por la sede
organización NO central
7.2.2 Todos los empleados de la
Concienciación, organización y, cuando La sede
educación y corresponda, los descentralizad
capacitación en contratistas, deberían a cumple con
seguridad de la recibir una adecuada los
información educación, concienciación lineamientos
y capacitación con establecidos
actualizaciones periódicas por la sede
sobre las políticas y NO central
112
procedimientos de la
organización, según
corresponda a su puesto de
trabajo
7.2.3 Proceso Debería existir un proceso La sede

disciplinario disciplinario formal que descentralizad
haya sido comunicado a los a cumple con
empleados, que recoja las los
acciones a tomar ante lineamientos
aquellos que hayan establecidos
provocado alguna brecha por la sede
de seguridad NO central
7.3 Finalización del empleo o cambio en el puesto de trabajo
7.3.1 Las responsabilidades en
Responsabilidades seguridad de la información
ante la finalización y obligaciones que siguen Cada proveedor que
o cambio vigentes después del contrata la
cambio o finalización del organización En el contrato no
empleo se deberían definir, solamente tiene el se especifican
comunicar al empleado o compromiso durante ítems sobre
contratista y se deberían la vigencia del seguridad de la Coordinador
cumplir SI contrato información SGSI 0
8 Gestión de activos
8.1 Responsabilidad sobre los activos
113
8.1.1 Inventario de La información y otros
activos activos asociados a la
información y a los
recursos para el tratamiento
de la información deberían
estar claramente La institución tiene No se tiene Jefe de la
identificados y debería un inventario físico inventario de sede
elaborarse y mantenerse un llevado a cabo por activos de descentraliza
inventario. SI control patrimonial información da 0
8.1.2 Propiedad de Todos los activos que Para la sede
los activos figuran en el inventario descentralizada se
deberían tener un asignan todos los
propietario activos físicos al No se tiene un
jefe de la sede inventario donde
descentralizada y se figure el
asigna a cada propietario de los
empleado los activos de Jefe de la
activos físicos que información, ni los sede
utilizan sin un activos físicos por descentraliza
SI documento formal. cada empleado da 0
8.1.3 Uso Se deberían identificar, Se desconoce
aceptable de los documentar e implementar sobre los temas de
activos las reglas de uso aceptable uso de activos, los
de la información y de los activos se utilizan
activos asociados con los de acuerdo a lo
recursos para el tratamiento que se indica en el Jefe de la
de la información. momento y a las sede
No existen reglas de costumbres de uso descentraliza
SI uso de la sede da 1
114
descentralizada
8.1.4 Devolución Todos los empleados y El personal

de activos terceras partes deberían devuelve los
devolver todos activos de la activos físicos de
organización que estén en gran volumen, sin
su poder al finalizar su embargo muchas
empleo, contrato o acuerdo veces no se
devuelven activos
pequeños y no hay
un inventario de
los activos de
información que se
han generado o Jefe de la
No existe un trabajado durante sede
procedimiento la vigencia de su descentraliza
SI formal contrato da 1
8.2 Clasificación de la información
8.2.1 Clasificación La información debería ser
El personal tiene
de la información clasificada en términos de
No existe un conocimiento del
la importancia de su
procedimiento de tipo de
revelación frente a
clasificación de la información que Coordinador
requisitos legales, valor,
SI información maneja pero no se SGSI 0
115
sensibilidad y criticidad clasifica de
ante revelación o manera formal
modificación no
autorizadas
8.2.2 Etiquetado Debería desarrollarse e La organización

de la información implantarse un conjunto no ha
adecuado de proporcionado a la
procedimientos para sede
etiquetar la información, de No existe un descentralizada un
acuerdo con el esquema de procedimiento de procedimiento de
clasificación adoptado por etiquetado de la etiquetado de la Coordinador
la organización SI información información SGSI 0
8.2.3 Manipulado Debería desarrollarse e
de la información implantarse un conjunto La organización
adecuado de no ha
procedimientos para la proporcionado a la
manipulación de la sede
información, de acuerdo No existe un descentralizada un
con el esquema de procedimiento de procedimiento de
clasificación adoptado por manipulación de la manipulación de la Coordinador
la organización SI información información SGSI 0
8.3 Manipulación de los soportes
8.3.1 Gestión de Se deberían implementar
Al personal se le
soportes extraíbles procedimientos para la
entrega un USB, Coordinador
gestión de los soportes
No existe un sin la firma de de la oficina
extraíbles, de acuerdo con
procedimiento ningún de
el esquema de clasificación
SI formal documento, para el informática 0
116
adoptado por la uso en la sede
organización. descentralizada
8.3.2 Eliminación Los soportes deberían Los soportes no se

de soportes eliminarse de forma segura eliminan y en
cuando ya no vayan a ser algunos casos no Coordinador
necesarios, mediante No existe un se devuelven a la de la oficina
procedimientos formales procedimiento sede de
SI formal descentralizada informática 0
8.3.3 Soportes Durante el transporte fuera
físicos en tránsito de los límites físicos de la
organización, los soportes El personal puede
que contengan información extraer
deberían estar protegidos información en un Coordinador
contra accesos no No existe un soporte físico y de la oficina
autorizados, usos indebidos procedimiento sacarlo de la sede de
o deterioro SI formal descentralizada informática 0
9 Control de acceso
9.1 Requisitos de negocio para el control de acceso
9.1.1 Política de Se debería establecer,
control de acceso documentar y revisar una La política lo
política de control de determina la
acceso basada en los oficina de
requisitos de negocio y de informática de
seguridad de la información NO la sede central
117
9.1.2 Acceso a las Únicamente se debería Para el acceso a la
redes y a los proporcionar a los usuarios Existe una política red se tiene que
servicios de red el acceso a las redes y a los formal de la llenar una solicitud
servicios en red para cuyo institución para el de acceso firmada Jefe de la
uso hayan sido acceso a los y autorizada por el oficina
específicamente servicios de la red jefe de la sede central de
autorizados SI de la sede central descentralizada informática 4
9.2 Gestión de acceso de usuario
9.2.1 Registro y Debería implantarse un Se solicitan los
baja de usuario procedimiento formal de accesos sin ningún
registro y retirada de tipo de documento
usuarios que haga posible y no hay bajas de
la asignación de los No existe un usuario registradas Coordinador
derechos de acceso. procedimiento en ningún de soporte
SI formal documento técnico 0
9.2.2 Provisión de Debería implantarse un Los usuarios
acceso de usuario procedimiento formal para pueden reutilizar
asignar o revocar los los equipos y
derechos de acceso para acceder a ellos con
todos los tipos de usuarios No existe un los accesos de una Coordinador
de todos los sistemas y procedimiento persona que está de soporte
servicios SI formal de baja técnico 0
118
9.2.3 Gestión de La asignación y el uso de Todo el personal
privilegios de privilegios de acceso de informática
acceso debería estar restringida y tiene el mismo
controlada perfil de acceso
sin importar las
funciones que
realiza. Para las
demás áreas no se
No existe un crean perfiles de Coordinador
procedimiento acceso ni de soporte
SI formal restricciones técnico 0
9.2.4 Gestión de la La asignación de la Cuando se entrega
información información secreta de la contraseña al
secreta de autenticación debería ser usuario, esta no es
autenticación de controlada a través de un secreta, ya que
los usuarios proceso formal de gestión puede ser
No existe un escuchada por Coordinador
procedimiento todo el personal de soporte
SI formal del área técnico 0
9.2.5 Revisión de Los propietarios de los Como no se cuenta
los derechos de activos deberían revisar los con accesos
acceso de usuario derechos de acceso de privilegiados, el
usuario a intervalos personal que
regulares. accede a la
estación de trabajo
puede tener acceso
No existe un a toda la Coordinador
procedimiento documentación de soporte
SI formal que alli se guarda técnico 0
119
9.2.6 Retirada o Los derechos de acceso de
reasignación de los todos los empleados y
derechos de acceso terceras partes, a la
información y a los
recursos de tratamiento de
la información deberían ser Al finalizar el
retirados a la finalización empleo toda la
del empleo, del contrato o No existe un información se Coordinador
del acuerdo, o ajustados en procedimiento queda dentro de la de soporte
caso de cambio. SI formal estación de trabajo técnico 0
9.3 Responsabilidades del usuario
9.3.1 Uso de la Se debería requerir a los No existe dentro de
información usuarios que sigan las la sede Para efectos
secreta de prácticas de la organización descentralizada prácticos las
autenticación en el uso de la información lineamientos ni personas entregan Coordinador
secreta de autenticación capacitación sobre sus contraseñas de la oficina
el uso de la por temas de
SI autenticación laborales. informática 0
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción Se debería restringir el
del acceso a la acceso a la información y a
información las funciones de las El acceso se da
aplicaciones, de acuerdo Existe un control de previa Coordinador
con la política de control de acceso a la red y a autorización del de soporte
acceso definida SI las aplicaciones jefe inmediato técnico 3
120
9.4.2 Cuando así se requiera en
Procedimientos la política de control de
seguros de inicio acceso, el acceso a los
de sesión sistemas y a las Existe un control de Las estaciones de
aplicaciones se debería acceso a las trabajo y las
controlar por medio de un estaciones de aplicaciones tienen Coordinador
procedimiento seguro de trabajo y las un proceso de de soporte
inicio de sesión SI aplicaciones inicio de sesión técnico 3
9.4.3 Sistema de Los sistemas para la gestión El sistema de
gestión de de contraseñas deberían ser contraseñas no es
contraseñas interactivos y establecer robusto, acepta
contraseñas seguras y contraseñas
robustas. No existe un sistema básicas como Coordinador
de gestión de 12345 y nunca de soporte
SI contraseñas vence técnico 0
9.4.4 Uso de Se debería restringir y
utilidades con controlar rigurosamente el
privilegios del uso de utilidades que Los usuarios
sistema puedan ser capaces de tienen acceso a Coordinador
invalidar los controles del No existe un control todo dentro de la de soporte
sistema y de la aplicación SI de uso de utilidades estación de trabajo técnico 0
9.4.5 Control de Se debería restringir el El acceso al Coordinador
acceso al código acceso al código fuente de código fuente lo de la oficina
fuente de los los programas No existe un control tienen todos los de
programas SI de acceso formal programadores informática 0
10 Criptografía
10.1 Controles criptográficos
121
10.1.1 Política de Se debería desarrollar e
uso de los implementar una política
controles sobre el uso de los
criptográficos controles criptográficos La decisión la
para proteger la toma la sede
información. NO central
10.1.2 Gestión de Se debería desarrollar e
claves implementar una política de
sobre el uso, la protección y
la duración de las claves de La decisión la
cifrado a lo largo de todo su toma la sede
ciclo de vida NO central
11 Seguridad física y del entorno
11.1 Áreas seguras
11.1.1 Perímetro Se deberían utilizar Se debe
de seguridad perímetros de seguridad evaluar si es
para proteger las áreas que factible
contienen información modificar la
sensible así como los infraestructura
recursos de tratamiento de del local
la información donde se
ubica la sede.
Ya que es un No hay un real
local alquilado interés por contar
se necesita de con una
un contrato infraestructura Jefe de la
que incluya adecuada para las sede
cláusulas de No existen políticas oficinas donde descentraliza
NO modificación para áreas seguras labora el personal da
122
de la
infraestructura
del local.
11.1.2 Controles Las áreas seguras deberían Se debe

físicos de entrada estar protegidas mediante evaluar si es
controles de entrada factible
adecuados, para asegurar modificar la
que únicamente se permite infraestructura
el acceso al personal del local
autorizado donde se
ubica la sede.
Ya que es un
local alquilado
se necesita de
un contrato
que incluya No hay protección
cláusulas de para áreas
modificación específicas, Jefe de la
de la solamente se tiene sede
infraestructura No existen políticas la seguridad en la descentraliza
NO del local. integrales de acceso entrada al edificio. da
11.1.3 Seguridad Para las oficinas, despachos Se debe No hay áreas
de oficinas, y recursos, se debería evaluar si es seguras ya que la Jefe de la
despachos y diseñar y aplicar la factible infraestructura no sede
recursos seguridad física modificar la No existe aplicación está preparada descentraliza
NO infraestructura de seguridad física para ser utilizada da
123
del local como oficinas de
donde se trabajo
ubica la sede.
Ya que es un
local alquilado
se necesita de
un contrato
que incluya
cláusulas de
modificación
de la
infraestructura
del local.
11.1.4 Protección Se debería diseñar y aplicar Se debe
contra las una protección física contra evaluar si es
amenazas externas desastres naturales, ataques factible
y ambientales provocados por el hombre o modificar la
accidentes. infraestructura
del local
donde se No existe
ubica la sede. protección contra
Ya que es un desastres naturales
local alquilado ni contra amenazas
se necesita de humanas ya que
un contrato no se revisa al
que incluya personal externo Jefe de la
cláusulas de No existe protección que ingresa a la sede
modificación contra amenazas sede descentraliza
NO de la ambientales descentralizada. da
124
infraestructura
del local.
11.1.5 El trabajo Se deberían diseñar e Se debe

en áreas seguras implementar evaluar si es
procedimientos para factible
trabajar en las áreas modificar la
seguras. infraestructura
del local
donde se
ubica la sede.
Ya que es un
local alquilado
se necesita de
un contrato No hay áreas
que incluya seguras ya que la
cláusulas de infraestructura no
modificación está preparada Jefe de la
de la para ser utilizada sede
infraestructura No existen como oficinas de descentraliza
NO del local. procedimientos trabajo da
125
11.1.6 Áreas de Deberían controlarse los Se debe
carga y descarga puntos de acceso tales evaluar si es
como las áreas de carga y factible
descarga y otros puntos, modificar la
donde pueda acceder infraestructura
personal no autorizado a las del local
instalaciones, y si es donde se
posible, aislar dichos ubica la sede.
puntos de los recursos de Ya que es un
tratamiento de la local alquilado
información para evitar se necesita de
accesos no autorizados un contrato Personal externo a
que incluya la institución
cláusulas de accede por el
modificación mismo punto que Jefe de la
de la accede el personal sede
infraestructura No hay áreas de interno. Solo hay descentraliza
NO del local. carga y descarga un punto de acceso da
11.2 Seguridad de los equipos
11.2.1 Los equipos deberían Se dispone
Emplazamiento y situarse o protegerse de los equipos en
protección de forma que se reduzcan los lugares no
equipos riesgos de las amenazas y adecuados. Se
los riesgos ambientales así han
como las oportunidades de acondicionado Personal externo
que se produzcan accesos ambientes accede al ambiente Jefe de la
no autorizados. para de la oficina de sede
utilizarlos No existe protección informática y otras descentraliza
NO como oficinas. de equipos áreas da
126
11.2.2 Los equipos deberían estar No se cuenta
Instalaciones de protegidos contra fallos de con grupo
suministro alimentación y otras electrógeno.
alteraciones causadas por La sede
fallos en las instalaciones descentralizad No hay protección Jefe de la
de suministro a no tiene contra fallas en el sede
planes de suministro de No se cuenta con descentraliza
NO adquirir uno. energía grupo electrógeno da
11.2.3 Seguridad El cableado eléctrico y de
del cableado telecomunicaciones que En la sede
transmite datos o que sirve descentralizada
de soporte a los servicios hay cableado que
de información debería cuelga de las Jefe de la
estar protegido frente a paredes y no se sede
interceptaciones, No hay seguridad de percibe como algo descentraliza
interferencias o daños. SI cableado inseguro da 0
11.2.4 Los equipos deberían
Mantenimiento de recibir un mantenimiento Jefe de la
los equipos correcto que asegure su oficina
disponibilidad y su central de
integridad continuas SI informática 0
11.2.5 Retirada de Sin autorización previa, los Para movilización
materiales equipos, la información o el de equipos se
propiedad de la software no deberían requiere de
empresa sacarse de las instalaciones Existe un autorización Jefe de la
procedimiento para formal del jefe de sede
la movilización de la sede descentraliza
SI equipos descentralizada da 4
127
11.2.6 Seguridad Deberían aplicarse medidas
de los equipos de seguridad a los equipos la movilización de
fuera de las situados fuera las equipos no
instalaciones instalaciones de la contempla la
organización, teniendo en seguridad de los
cuenta los diferentes Existe un mismos fuera de Jefe de la
riesgos que conlleva procedimiento para las instalaciones sede
trabajar fuera de dichas la movilización de de la sede descentraliza
instalaciones. SI equipos descentralizada da 0
11.2.7 Todos los soportes de
Reutilización o almacenamiento deberían
eliminación segura ser comprobados para Es una
de equipos confirmar que todo dato política que lo
sensible y software bajo determina la
licencia se ha eliminado de oficina de
manera segura, antes de informática de
deshacerse de ellos NO la sede central
11.2.8 Equipo de Los usuarios deberían Los equipos sin
usuario asegurarse que el equipo uso no son
desatendido desatendido tiene la atendidos y están
protección adecuada dentro de las
oficinas hasta que
se usen
nuevamente o los
necesiten en algún
otro lugar dentro o Coordinador
No existe fuera de la sede de soporte
SI procedimiento descentralizada técnico 0
128
11.2.9 Política de Debería adoptarse una
puesto de trabajo política de puesto de Muchos usuarios
despejado y trabajo despejado de tienen gran
pantalla limpia papeles y medios de cantidad de
almacenamiento documentación en
desmontables y una política sus escritorios. No Jefe de la
de pantalla limpia para los se tiene una sede
recursos de tratamiento de No existe cultura de puesto descentraliza
la información SI procedimiento de trabajo limpio da 0
12 Seguridad de las operaciones
12.1 Procedimientos y responsabilidades operacionales
12.1.1 Deberían documentarse y No existe
Documentación de mantenerse procedimientos documentación de
procedimientos de de operación y ponerse a procedimientos de
los operación disposición de todos los la oficina de Coordinador
usuarios que los necesiten No existe informática de la de la oficina
procedimiento sede de
SI documentado descentralizada informática 0
12.1.2 Gestión de Los cambios en la Cada proyecto
cambios organización, los procesos es
de negocio, instalaciones de independiente
tratamiento de la de otro. Cada
información y los sistemas año se
que afectan a la seguridad desarrollan
de información deberían ser aplicaciones
controlados independiente
s que no
interactúan
NO con
129
aplicaciones
anteriores
12.1.3 Gestión de Se debería supervisar y La

capacidades ajustar la utilización de los proyecciones
recursos, así como realizar de requisitos
proyecciones de los futuros de
requisitos futuros de crecimiento y
capacidad, para garantizar necesidad de
el rendimiento requerido recursos es
del sistema determinado
por la oficina
central de
informática de
acuerdo a la
estrategia de
la
NO organización
12.1.4 Separación Deberían separarse los Se utilizan los En muchas
de los recursos de recursos de desarrollo, ambientes oportunidades se Coordinador
desarrollo, prueba pruebas y operación, para habilitados por la ha desarrollado de la oficina
y operación reducir los riesgos de oficina central de aplicaciones en un de
acceso no autorizado o los SI informática. solo ambiente de informática 0
130
cambios del sistema en trabajo
producción.
12.2 Protección contra el software malicioso (malware)

12.2.1 Controles Se deberían implementar Los usuarios
contra el código los controles de detección, tienen acceso a
malicioso prevención y recuperación páginas de internet
que sirvan como protección sin ningun tipo de
contra el código malicioso, restricción y
así como procedimientos pueden instalar
adecuados de cualquier software Coordinador
concienciación al usuario en la estación de de soporte
SI No existe control trabajo técnico 0
12.3 Copias de seguridad
12.3.1 Copias de Se deberían realizar copias La copias de
seguridad de la de seguridad de la seguridad no se
información información, del software y guardan en un
del sistema y se deberían repositorio
verificar periódicamente de confiable, se Coordinador
acuerdo a la política de encuentran en la de la oficina
copias de seguridad Existen copias de máquina de un de
acordada SI seguridad solo usuario informática 0
12.4 Registros y supervisión
12.4.1 Registro de Se deberían registrar, Se debe
eventos proteger y revisar evaluar la
periódicamente las factibilidad de
actividades de los usuarios, NO contar con
131
excepciones, fallos y herramientas
eventos de seguridad de la que registren
información. conexiones y
desconexiones
, fechas y
tiempos. La
sede
descentralizad
a no
contempla la
adquisición de
ese tipo de
software
12.4.2 Protección Los dispositivos de registro No se tiene
de la información y la información del herramientas
de registro registro deberían estar para
protegidos contra monitorear los
manipulaciones indebidas y registros del
accesos no autorizados sistema
operativo ni
los ficheros de
registro. La
sede
descentralizad
a no
contempla la
adquisición de
ese tipo de
NO software
132
12.4.3 Registros Se deberían registrar, No se tiene
de administración proteger y revisar personal que
y operación regularmente las realice este
actividades del tipo de
administrador del sistema y actividades.
del operador del sistema Ya que el
mismo
personal de
soporte
técnico sería
juez y parte en
las revisiones
de las
actividades
del
administrador
de las
estaciones de
NO trabajo
12.4.4 Los relojes de todos los No se tiene
Sincronización del sistemas de tratamiento de acceso a este
reloj información dentro de una tipo de
organización o de un registros
dominio de seguridad, desde la sede
deberían estar descentralizad
sincronizados con una a. Todo se
única fuente precisa y supervisa en
acordada de tiempo la oficina
NO central de
133
informática
12.5 Control del software en explotación

12.5.1 Instalación Se deberían implementar Como la
del software en procedimientos para aplicación es
explotación controlar la instalación del accesada
software en explotación. mediante
página web,
no se necesita
instalación en
la máquina de
usuarios
finales. El
acceso es
restringido
mediante
usuarios y
NO perfiles
12.6 Gestión de la vulnerabilidad técnica
134
12.6.1 Gestión de Se debería obtener El personal de la
las información oportuna oficina de
vulnerabilidades acerca de las informática de la
técnicas vulnerabilidades técnicas sede
de los sistemas de descentralizada no
información utilizados, está capacitado
evaluar la exposición de la para tratar
organización a dichas vulnerabilidades Coordinador
vulnerabilidades y adoptar No se cuenta con un técnicas de las de la oficina
las medidas adecuadas para registro de aplicaciones de
afrontar el riesgo asociado SI vulnerabilidades desarrolladas informática 1
12.6.2 Restricción Se deberían establecer y Como la
en la instalación aplicar reglas que rijan la aplicación es
de software instalación de software por accesada
parte de los usuarios mediante
página web,
no se necesita
instalación en
la máquina de
usuarios
finales. El
acceso es
restringido
mediante
usuarios y
NO perfiles
12.7 Consideraciones sobre la auditoria de sistemas de información
135
12.7.1 Controles Los requisitos y las
de auditoría de actividades de auditoría que Las auditorías
sistemas de impliquen comprobaciones son
información en los sistemas operativos autorizadas
deberían ser por la sede
cuidadosamente central en
planificados y acordados coordinación
para minimizar el riesgo de con la oficina
interrupciones en los central de
procesos de negocio NO informática
13 Seguridad de las comunicaciones
13.1 Gestión de la seguridad de redes
13.1.1 Controles Las redes deberían ser
de red gestionadas y controladas No se tiene
para proteger la No contemplado en personal que Coordinador
información en los sistemas la sede realice este tipo de de soporte
y aplicaciones. SI descentralizada actividades técnico 0
13.1.2 Seguridad Se deberían identificar los
de los servicios de mecanismos de seguridad,
red los niveles de servicio, y
los requisitos de gestión de
todos los servicios de red y
se deberían incluir en
cualquier acuerdo de
servicios de red, tanto si Gestionado
estos servicios se prestan por la oficina
dentro de la organización central de
como si se subcontratan NO informática
136
13.1.3 Los grupos de servicios de
Segregación en información, los usuarios y Gestionado
redes los sistemas de información por la oficina
deberían estar segregados central de
en redes distintas. NO informática
13.2 Intercambio de información
13.2.1 Políticas y Deberían establecerse
procedimientos de políticas, procedimientos y La mensajería
intercambio de controles formales que es un servicio
información protejan el intercambio de administrado
información mediante el por la oficina
uso de todo tipo de recursos central de
de comunicación. NO informática
13.2.2 Acuerdos Deberían establecerse La mensajería
de intercambio de acuerdos para el es un servicio
información intercambio seguro de administrado
información del negocio y por la oficina
software entre la central de
organización y terceros NO informática
13.2.3 Mensajería La información que sea La mensajería
electrónica objeto de mensajería es un servicio
electrónica debería estar administrado
adecuadamente protegida. por la oficina
central de
NO informática
137
13.2.4 Acuerdos Deberían identificarse, La mensajería
de documentarse y revisarse es un servicio
confidencialidad o regularmente los requisitos administrado
no revelación de los acuerdos de por la oficina
confidencialidad o no central de
revelación NO informática
14 Adquisición, desarrollo y mantenimiento de los sistemas de información
14.1 Requisitos de seguridad en sistemas de información
14.1.1 Análisis de Los requisitos relacionados Solo consideran El personal de
requisitos y con la seguridad de la requisitos básicos informática no
especificaciones información deberían como perfiles de conoce si hay
de seguridad de la incluirse en los requisitos acceso a usuarios, mayor seguridad
información para los nuevos sistemas de contraseñas, tablas de la que ya aplica
información o mejoras a los de auditoría para a los procesos
sistemas de información transacciones y automatizados
existentes validación de los dentro del sistema Coordinador
SI datos de entrada. que desarrolla SGSI 2
14.1.2 Asegurar La información involucrada
los servicios de en aplicaciones que pasan a
aplicaciones en través de redes públicas
redes públicas debería ser protegida de
cualquier actividad
fraudulenta, disputa de Competencia
contrato, revelación y de la oficina
modificación no central de
autorizadas. NO informática
138
14.1.3 Protección La información involucrada
de las en las transacciones de
transacciones de servicios de aplicaciones
servicios de debería ser protegida para
aplicaciones prevenir la transmisión
incompleta, errores de
enrutamiento, alteración no
autorizada del mensaje, Competencia
revelación, duplicación, o de la oficina
reproducción de mensaje central de
no autorizadas NO informática
14.2 Seguridad en el desarrollo y en los procesos de soporte
14.2.1 Política de Se deberían establecer y No han sido
desarrollo seguro aplicar reglas dentro de la proporcionadas
organización para el reglas para el
desarrollo de aplicaciones y desarrollo de
sistemas aplicaciones, el Coordinador
personal desarrolla de la oficina
No existen políticas de acuerdo a su de
SI de desarrollo seguro experiencia informática 0
14.2.2 La implantación de Durante el
Procedimiento de cambios a lo largo del ciclo desarrollo del
control de cambios de vida del desarrollo aplicativo los
en sistemas debería controlarse cambios son
mediante el uso de constantes de
procedimientos formales de acuerdo a lo que Coordinador
control de cambios determine el de la oficina
No existe control de usuario y no se de
SI cambios lleva una informática 0
139
documentación de
los mismos
14.2.3 Revisión Cuando se modifiquen los El área de calidad

técnica de las sistemas operativos, las realiza pruebas
aplicaciones tras aplicaciones de negocio básicas del
efectuar cambios críticas deberían ser funcionamiento de
en el sistema revisadas y probadas para la aplicación pero
operativo garantizar que no existen sin ningún Responsable
efectos adversos en las conocimiento del de calidad en
operaciones o la seguridad Las aplicaciones se proceso de la oficina
de la organización. prueban antes de negocio de lo que central de
SI entrar en producción está probando informática 3
14.2.4 Se deberían desaconsejar
Restricciones a los las modificaciones en los
cambios en los paquetes de software,
paquetes de limitándose a los cambios No se
software necesarios, y todos los modifican
cambios deberían ser objeto paquetes de
de un control riguroso. NO software
140
14.2.5 Principios Principios de ingeniería de No se aplican
de ingeniería de sistemas seguros se todos los
sistemas seguros deberían establecer, principios de
documentar, mantener y Se aplican los ingeniería de
aplicarse a todos los principios de sistemas seguros
esfuerzos de implantación ingeniería de (no se cifran las
de sistemas de información sistemas seguros comunicaciones,
más conocidos no se determinan
(validar acceso por puntos vulnerables Coordinador
usuario de acuerdo a del sistema, no se de la oficina
perfiles, limpiar el valida toda la de
SI código) entrada de data) informática 2
14.2.6 Entorno de Las organizaciones Debido al tiempo
desarrollo seguro deberían establecer y de desarrollo y a
proteger adecuadamente los las limitantes de
entornos de desarrollo recursos, se utiliza
seguro para el desarrollo solo un ambiente
del sistema y los esfuerzos para desarrollar Coordinador
de integración que cubren No se utilizan sistemas y es el de la oficina
todo el ciclo de vida de ambientes ambiente de de
desarrollo del sistema SI diferenciados producción informática 0
14.2.7 El desarrollo de software El personal
Externalización externalizado debería ser El trabajo del externo no es
del desarrollo de supervisado y controlado personal externo es supervisado, pero
software por la organización. independiente pero si coordina Coordinador
entrega productos a actividades con la de la oficina
la sede sede central de de
SI descentralizada informática informática 3
141
14.2.8 Pruebas Se deberían llevar a cabo Los cambios al
funcionales de pruebas de la seguridad aplicativo son
seguridad de funcional durante el constantes y las
sistemas desarrollo modificaciones y
No se realizan pruebas son Coordinador
pruebas de realizadas sobre la de la oficina
seguridad funcional marcha por el de
SI con el usuario usuario informática 3
14.2.9 Pruebas de Se deberían establecer Los cambios al
aceptación de programas de pruebas de aplicativo son
sistemas aceptación y criterios constantes y las
relacionados para nuevos modificaciones,
sistemas de información, validaciones y
actualizaciones y nuevas No se realizan aceptaciones son Coordinador
versiones. pruebas de realizadas sobre la de la oficina
aceptación de marcha por el de
SI manera formal usuario informática 3
14.3 Datos de prueba
14.3.1 Protección Los datos de prueba se No se
de los datos de deberían seleccionar con determinan
prueba cuidado y deberían ser casos de
protegidos y controlados prueba. Se
realiza un
periodo de
prueba en el
ambiente de
producción,
por un periodo
NO de tiempo
142
determinado y
luego se
limpia la data
para empezar
a utilizar el
sistema
15 Relación con proveedores

15.1 Seguridad en las relaciones con proveedores
15.1.1 Política de Los requisitos de seguridad
seguridad de la de la información para la
información en las mitigación de los riesgos
relaciones con los asociados con el acceso del
proveedores proveedor a los activos de Los acuerdos
la organización deberían los realizan a
acordarse con el proveedor nivel
y quedar documentados. NO institucional
15.1.2 Requisitos Todos los requisitos
de seguridad en relacionados con la
contratos con seguridad de la información
terceros deberían establecerse y
acordarse con cada
proveedor que puede
acceder, tratar, almacenar, Los acuerdos
comunicar, o proporcionar los realizan a
componentes de la nivel
infraestructura IT. NO institucional
143
15.1.3 Cadena de Los acuerdos con
suministro de proveedores deberían
tecnología de la incluir requisitos para hacer
información y de frente a los riesgos de
las seguridad de la información
comunicaciones relacionados con las
tecnologías de la
información y las Los acuerdos
comunicaciones y con la los realizan a
cadena de suministro de nivel
productos NO institucional
15.2 Gestión de la provisión de servicios del proveedor
15.2.1 Control y Las organizaciones
revisión de la deberían controlar, revisar Los acuerdos
provisión de y auditar regularmente la los realizan a
servicios del provisión de servicios del nivel
proveedor proveedor NO institucional
15.2.2 Gestión de Se deberían gestionar los
cambios en la cambios en la provisión del
provisión del servicio, incluyendo el
servicio del mantenimiento y la mejora
proveedor de las políticas, los
procedimientos y controles
de seguridad de la
información existentes,
teniendo en cuenta la Los acuerdos
criticidad de los procesos y los realizan a
sistemas de negocio nivel
afectados así como la NO institucional
144
reapreciación de los riesgos
16 Gestión de incidentes de seguridad de la información

16.1 Gestión de incidentes de seguridad de la información y mejoras
16.1.1 Se deberían establecer las
Responsabilidades responsabilidades y
y procedimientos procedimientos de gestión
para garantizar una Para los incidentes
respuesta rápida, efectiva y hay un tratamiento
adecuada a los incidentes No existe escalable, sin
de seguridad de la procedimiento embargo no se Coordinador
información SI formal registran SGSI 2
16.1.2 Los eventos de seguridad Los incidentes se
Notificación de los de la información se reportan vía
eventos de deberían notificar por los telefónica o por
seguridad de la canales de gestión correo al momento
información adecuados lo antes posible que ocurren
aunque no sean
No existe canales indicados
procedimiento en un Coordinador
SI formal procedimiento SGSI 2
145
16.1.3 Todos los empleados,
Notificación de contratistas, terceras partes
puntos débiles de usuarias de los sistemas y
la seguridad servicios de información
deberían ser obligados a Los incidentes se
anotar y notificar cualquier reportan vía
punto débil que observen o No existe telefónica o por
que sospechen que exista, procedimiento correo al momento Coordinador
en los sistemas o servicios SI formal que ocurren SGSI 2
16.1.4 Evaluación Los eventos de seguridad Los incidentes se
y decisión sobre de la información deberían atienden de
los eventos de ser evaluados y debería acuerdo a una
seguridad de decidirse si se clasifican prioridad implícita
información como incidentes de No existe pero no han sido
seguridad de la información procedimiento clasificados Coordinador
SI formal formalmente SGSI 2
16.1.5 Respuesta a Los incidentes de seguridad No existen
incidentes de de la información deberían procedimientos
seguridad de la ser respondidos de acuerdo No existe que indiquen cómo
información con los procedimientos procedimiento dar respuesta a un Coordinador
documentados SI formal incidente. SGSI 2
16.1.6 Aprendizaje El conocimiento obtenido a
de los incidentes partir del análisis y la
de seguridad de la resolución de incidentes de
información seguridad de información
debería utilizarse para No se guarda en
reducir la probabilidad o el No existe ninguna bitácora la
impacto de los incidentes procedimiento solución de los Coordinador
en el futuro SI formal incidentes. SGSI 2
146
16.1.7 La organización debería Se recopila
Recopilación de definir y aplicar información de
evidencias procedimientos para la evidencia para
identificación recogida, atender un
adquisición y preservación incidente, pero no
de información que puede hay un repositorio
servir de evidencia. formal para
guardar toda la
No existe información de
procedimiento atención de la Coordinador
SI formal incidencia SGSI 2
17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio
17.1 Continuidad de la seguridad de la información
17.1.1 La organización debería La
Planificación de la determinar sus necesidades planificación
continuidad de la de seguridad de la es a un alto
seguridad de la información y de nivel de la
información continuidad para la gestión organización.
de seguridad de la La no
información en situaciones continuidad de
adversas, por ejemplo, operaciones
durante una crisis o de la sede
desastre. descentralizad
a no generaría
la no
continuidad de
NO la institución
147
17.1.2 La organización debería
Implementar la establecer, documentar,
continuidad de la implementar y mantener
seguridad de la procesos, procedimientos y
información controles para asegurar el La
nivel requerido de implementaci
continuidad de la seguridad ón es a nivel
de la información durante de la sede
una situación adversa NO central
17.1.3 La organización debería
Verificación, comprobar los controles
revisión y establecidos e
evaluación de la implementados a intervalos
continuidad de la regulares para asegurar que
seguridad de la son válidos y eficaces La evaluación
información durante situaciones es a nivel de
adversas NO la sede central
17.2 Redundancias
17.2.1 Los recursos de tratamiento Las
Disponibilidad de de la información deberían aplicaciones
los recursos de ser implementados con la son diferentes
tratamiento de la redundancia suficiente para para cada
información satisfacer los requisitos de proyecto así
disponibilidad que no es
necesario
sistemas de
información
NO redundantes
18 Cumplimiento
148
18.1 Cumplimiento de los requisitos legales y contractuales
18.1.1 Todos los requisitos
Identificación de pertinentes, tanto legales
la legislación como regulatorios,
aplicable y de los estatutarios o contractuales,
requisitos y el enfoque de la
contractuales organización para
cumplirlos, deberían
definirse de forma
explícita, documentarse y
mantenerse actualizados
para cada sistema de Es un
información de la lineamiento
organización. NO institucional
18.1.2 Derechos Deberían implementarse
de propiedad procedimientos adecuados
intelectual (DPI) para garantizar el
cumplimiento de los
requisitos legales, No todas las
regulatorios y contractuales copias del sistema
sobre el uso de materiales, operativo cuentan
con respecto a los cuales con licencia. Se
puedan existir derechos de utiliza software
propiedad intelectual y Se conocen pero no libre para el
sobre el uso de productos se cumple desarrollo de Coordinador
de software patentados. SI totalmente aplicaciones SGSI 2
149
18.1.3 Protección Los registros deberían estar
de los registros deprotegidos contra la Al terminar el
la organización pérdida, destrucción, proyecto la
falsificación, revelación o información
acceso no autorizados de permanece en la
acuerdo con los requisitos estación de trabajo
legales, regulatorios, No existe un del empleado y no Coordinador
contractuales y de negocio SI procedimiento se elimina. SGSI 2
18.1.4 Protección Debería garantizarse la En la sede
y privacidad de la protección y la privacidad descentralizada no
información de de los datos, según se se maneja de
carácter personal requiera en la legislación y Existe una política forma segura los
la reglamentación de protección de datos personales Coordinador
aplicables SI datos personales de las personas. SGSI 2
18.1.5 Regulación Los controles criptográficos No se cuenta
de los controles se deberían utilizar de con software o
criptográficos acuerdo con todos los hardware que
contratos, leyes y realice
regulaciones pertinentes. funciones
NO criptográficas
18.2 Revisiones de la seguridad de la información
150
18.2.1 Revisión El enfoque de la
independiente de organización para la Se puede
la seguridad de la gestión de seguridad de la proponer una
información información y su revisión
implantación (es decir, independiente
objetivos de control, de la
controles, políticas, seguridad de
procesos y procedimientos la información
para la seguridad de la en la sede
información), debería descentralizad
someterse a una revisión a, sin embargo
independiente a intervalos la factibilidad
planificados o siempre que de realizar
se produzcan cambios auditorías está
significativos en la determinada
implantación de la por la sede
seguridad. NO central
18.2.2 Los directivos deberían
Cumplimiento de asegurarse de que todos los
las políticas y procedimientos de
normas de seguridad dentro de su área
seguridad de responsabilidad se
realizan correctamente con
el fin de cumplir las
políticas y normas de No se tienen
seguridad y cualquier otro políticas y normas
requisito de seguridad No se cuenta con un de seguridad Coordinador
aplicable SI SGSI implementado implementados SGSI 0
151
18.2.3 Debería comprobarse
Comprobación del periódicamente que los
cumplimiento sistemas de información
técnico cumplen las políticas y No se tienen
normas de seguridad de la políticas y normas
información de la No se cuenta con un de seguridad Coordinador
organización SI SGSI implementado implementados SGSI 0
152
Anexo 4: Identificación de los controles existentes
Origen Controles
ID Nombre Descripción Tipo Amenaza Existentes
A D E
Compromiso de las
Error en el Uso X
funciones
Archivos en Excel enviados
por el cliente para su Compromiso de la
Divulgación X
Archivos de procesamiento en la base de información
DT_03 datos (Cliente datos, contiene data que se  Validación de datos de entrada
externo) debe utilizar en el proceso Compromiso de la  Validación para evitar
Espionaje remoto X
del proyecto que se está información inyección de código en el link
desarrollando. de acceso al sistema
X
Compromiso de las
Error en el Uso X
funciones
Compromiso de la
Archivos en Excel enviados Divulgación X
Archivos de información
al cliente externo del
DT_07 datos
proyecto, luego de realizar  Validación de datos de entrada
(Informática)
un proceso.
Compromiso de la  Validación para evitar
Espionaje remoto X
información inyección de código en el link
de acceso al sistema
X
153
Pérdida de los servicios Falla del equipo de
X X
esenciales telecomunicaciones
Servicio de carpetas de red
Servicio de
para compartir información
SE_06 servidor de Compromiso de la Datos provenientes de
dentro de la sede X
archivos información fuentes no confiables
descentralizada.
Acciones no Acceso no autorizado  Validación de acceso a la red
X
autorizadas a carpetas de red
 Contrato del personal
Incumplimiento en la especificando el tiempo de
Compromiso de las
Equipo de desarrolladores disponibilidad del X X servicio y el compromiso de
funciones
PE_01 Desarrolladores de los aplicativos de la sede personal participación hasta acabar el
descentralizada proyecto
Compromiso de las
Error en el uso X
funciones
 Contrato del personal
Equipo de metodólogos que Incumplimiento en la especificando el tiempo de
Compromiso de las
realiza la planificación, disponibilidad del X X servicio y el compromiso de
funciones
PE_03 Metodólogos ejecución y cierre de los personal participación hasta acabar el
proyectos de la sede proyecto
descentralizada Compromiso de las
Error en el uso X
funciones
Fallas técnicas Falla del equipo X

Estaciones desktop de
Computadoras
trabajo asignadas al personal
HW_01 de la sede Mal funcionamiento
de informática de la sede Fallas técnicas X
(Informática) del equipo
descentralizada.
Acciones no Uso no autorizado del  Validación de acceso a
X estación de trabajo
autorizadas equipo
154
Para la conexión desde la Acciones no Acceso no autorizado  Validación de acceso a la base
sede descentralizada a los X de datos
Cliente de base autorizadas a la Base de Datos
SW_01 diferentes ambientes de la
de datos Acciones no Procesamiento ilegal  Respaldo de la información de
base de datos ubicada en la X
sede central. autorizadas de los datos la aplicación en la BD
 Validación de acceso a la
Es la aplicación que utilizan Acciones no aplicación
Acceso no autorizado
Aplicación los usuarios del proyecto en autorizadas X  Acceso a opciones de la
a la aplicación
SW_10 desarrollada curso a nivel nacional de aplicación mediante perfiles de
para el proyecto acuerdo a los perfiles usuario
establecidos Compromiso de la
Divulgación
información X
155
Anexo 5: Identificación de las vulnerabilidades
Origen Controles
ID Nombre Descripción Tipo Amenaza Existentes Vulnerabilidades
A D E
 Error en el uso de versiones de archivos
Compromiso
 Destrucción parcial o total del contenido
de archivos por desconocimiento
funciones
 Copias de archivo no controlada
 Entrega de los archivos a personas no
Archivos en autorizadas dentro o fuera de la sede
Excel enviados Compromiso descentralizada
por el cliente de la Divulgación X  Uso de mensajería para distribución de
para su información los archivos indebidamente
procesamiento  Ausencia de contratos con acuerdos de
Archivos de
en la base de niveles de servicio y/o confidencialidad
datos
DT_03
(Cliente
datos, contiene  Validación de  Ingreso de datos falsos o corruptos
data que se datos de  Acceso no autorizado al sistema por
externo)
debe utilizar en entrada entrega de credenciales autorizadas
el proceso del Compromiso  Validación
proyecto que se de la Espionaje remoto X para evitar
está información inyección de
desarrollando. código en el
link de acceso
al sistema
Procesamiento  Procesamiento por el personal de otras
Acciones no
ilegal de los X sedes mediante accesos a la base de
autorizadas
datos datos
156
 Error en el uso de versiones de archivos
Compromiso
 Destrucción parcial o total del contenido
de archivos por desconocimiento
funciones
 Copias de archivo no controlada
 Entrega de los archivos a personas no
autorizadas dentro o fuera de la sede
Compromiso descentralizada
de la Divulgación X  Uso de mensajería para distribución de
Archivos en información los archivos indebidamente
Excel enviados  Ausencia de contratos con acuerdos de
Archivos de al cliente niveles de servicio y/o confidencialidad
DT_07 datos externo del  Validación de  Ingreso de datos falsos o corruptos
(Informática) proyecto, luego datos de  Acceso no autorizado al sistema por
de realizar un entrada entrega de credenciales autorizadas
proceso. Compromiso  Validación
de la Espionaje remoto X para evitar
información inyección de
código en el
link de acceso
al sistema
Procesamiento  Procesamiento por el personal de otras
Acciones no
ilegal de los X sedes mediante accesos a la base de
autorizadas
datos datos
Falla del equipo  Conexión deficiente de los cables
Servicio de Pérdida de los
de
carpetas de red servicios X X
telecomunicacion
Servicio de para compartir esenciales
es
SE_06 servidor de información
archivos dentro de la
Datos  Corrupción de archivos disponibles en el
Compromiso
sede provenientes de servidor de archivos
de la X
fuentes no
descentralizada. información
confiables
157
Acceso no  Validación de  Transferencia de contraseñas autorizadas
Acciones no
autorizado a X acceso a la red para obtención de información del
autorizadas
carpetas de red proyecto
 Contrato del  Ausencia del personal
personal
especificando
Incumplimiento el tiempo de
Compromiso
en la servicio y el
de las X X
Equipo de disponibilidad compromiso
funciones
desarrolladores del personal de
Desarrollador de los participación
PE_01 hasta acabar el
es aplicativos de
la sede proyecto
descentralizada  Entrenamiento insuficiente en seguridad
de la información
Compromiso
 Uso incorrecto de software y hardware
debido a falta de políticas de uso.
funciones
 Falta de conciencia acerca de seguridad
de la información
 Contrato del  Ausencia del personal
personal
Equipo de
especificando
metodólogos Incumplimiento el tiempo de
que realiza la Compromiso
en la servicio y el
planificación, de las X X
disponibilidad compromiso
PE_03 Metodólogos ejecución y funciones
del personal de
cierre de los participación
proyectos de la hasta acabar el
sede
proyecto
descentralizada
Compromiso  Entrenamiento insuficiente en seguridad
Error en el uso X
de las de la información
158
funciones  Uso incorrecto de software y hardware
debido a falta de políticas de uso.
 Falta de conciencia acerca de seguridad
de la información
 Falla del equipo por variaciones de
Fallas voltaje en el suministro de energía
Falla del equipo X
técnicas eléctrica
Estaciones
desktop de  Mal funcionamiento del equipo por virus
Computadora
trabajo Mal  Mal funcionamiento del equipo por
asignadas al Fallas
HW_01 s de la sede funcionamiento X instalación de software innecesario
personal de técnicas
(Informática) del equipo  Falta de mantenimiento preventivo del
informática de equipo
la sede
 Validación de  Falta de revisiones regulares por parte
descentralizada. Uso no
Acciones no acceso a de la oficina de informática de la sede
autorizado del X
autorizadas estación de descentralizada.
equipo
trabajo
Para la Acceso no  Validación de  Transferencia de contraseñas autorizadas
conexión desde Acciones no acceso a la para el ingreso a la base de datos del
autorizado a la X
la sede autorizadas base de datos proyecto
Base de Datos
descentralizada
SW_01
Cliente de
a los diferentes  Respaldo de la  Habilitación de servicios innecesarios a
base de datos Procesamiento información personal no autorizado fuera del
ambientes de la Acciones no
base de datos ilegal de los X de la proyecto
autorizadas aplicación en
ubicada en la datos
sede central. la BD
Es la aplicación  Validación de  Inadecuada asignación de perfiles de
Aplicación
que utilizan los Acceso no acceso a la usuario
desarrollada Acciones no
SW_10 usuarios del autorizado a la X aplicación  Transferencia de contraseñas autorizadas
para el autorizadas
proyecto
proyecto en aplicación  Acceso a para el ingreso al sistema
curso a nivel opciones de la
159
nacional de aplicación
acuerdo a los mediante
perfiles perfiles de
establecidos usuario
Compromiso  Entrega de información obtenida del

de la Divulgación sistema a personas ajenas al proyecto.
información X
160
Anexo 6: Identificación de las consecuencias
Consecuencias Valor
ID Controles
del
Nombre Riesgo Tipo Amenaza Existentes Vulnerabilidades Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad impacto
Los resultados
Archivos de Compromiso Error en el uso de del Falta en el
datos (Cliente R01 de las Error en el uso versiones de procesamiento Retraso en la cumplimiento de
externo) funciones archivos de información entrega por acuerdos del
no son reprocesos no convenio (fechas Pérdida de
correctos programados límite) imagen Alto
Los resultados
Destrucción parcial
del Falta en el
Archivos de Compromiso o total del
procesamiento Retraso en la cumplimiento de
datos (Cliente R02 de las Error en el uso contenido de
de información entrega por acuerdos del
externo) funciones archivos por
no son reprocesos no convenio (fechas Pérdida de
desconocimiento
correctos programados límite) imagen Alto
Falta en el
Archivos de Compromiso Retraso en la cumplimiento de
Copias de archivo Fuga de
datos (Cliente R03 de las Error en el uso entrega por acuerdos del
no controlada información
externo) funciones reprocesos no convenio (fechas
programados límite) Medio
Entrega de los
archivos a personas Falta en el
Archivos de Compromiso
no autorizadas Fuga de Retraso en la cumplimiento de
datos (Cliente R04 de la Divulgación
dentro o fuera de la información entrega por acuerdos del
externo) información
sede reprocesos no convenio (fechas
descentralizada programados límite) Medio
Uso de mensajería Falta en el

Archivos de Compromiso Retraso en la cumplimiento de
para distribución Fuga de
datos (Cliente R05 de la Divulgación entrega por acuerdos del
de los archivos información
externo) información reprocesos no convenio (fechas
indebidamente
programados límite) Medio
161
Ausencia de Falta en el
Archivos de Compromiso contratos con cumplimiento de
datos (Cliente R06 de la Divulgación acuerdos de niveles acuerdos del
externo) información de servicio y/o convenio (fechas
confidencialidad límite) Medio
Validación de
datos de entrada
Los resultados
Espionaje Validación para Ingreso de datos del Falta en el
datos (Cliente R07 de la
remoto evitar inyección falsos o corruptos procesamiento Retraso en la cumplimiento de
de código en el de información entrega por acuerdos del
link de acceso al no son reprocesos no convenio (fechas Pérdida de
sistema correctos programados límite) imagen Alto
Acceso no
Archivos de Compromiso autorizado al Falta en el
Espionaje Fuga de
datos (Cliente R08 de la sistema por entrega cumplimiento de
remoto información
externo) información de credenciales acuerdos del
autorizadas convenio Medio
Los resultados
Procesamiento por
del
Archivos de Procesamiento el personal de otras
Acciones no procesamiento
datos (Cliente R09 ilegal de los sedes mediante
autorizadas de información
externo) datos accesos a la base
no son Pérdida de
de datos
correctos imagen Alto
Los resultados
del
Archivos de Compromiso Error en el uso de
procesamiento
datos R10 de las Error en el uso versiones de
de información
(Informática) funciones archivos
no son Pérdida de
Destrucción parcial
Archivos de Compromiso o total del
Retraso en la
datos R11 de las Error en el uso contenido de
entrega por
(Informática) funciones archivos por
reprocesos no Pérdida de
desconocimiento
programados imagen Alto
162
Falta en el
Archivos de Compromiso cumplimiento de
Copias de archivo Fuga de
datos R12 de las Error en el uso acuerdos del
no controlada información
(Informática) funciones convenio
(confidencialidad
) Medio
Entrega de los
archivos a personas Falta en el
no autorizadas Fuga de
datos R13 de la Divulgación acuerdos del
dentro o fuera de la información
(Informática) información convenio
sede
descentralizada (confidencialidad
) Medio
Uso de mensajería Falta en el

para distribución Fuga de
datos R14 de la Divulgación acuerdos del
de los archivos información
(Informática) información convenio
indebidamente
(confidencialidad
) Medio
Los resultados
Ausencia de
del
Archivos de Compromiso contratos con
procesamiento
datos R15 de la Divulgación acuerdos de niveles
de información
(Informática) información de servicio y/o
no son Pérdida de
confidencialidad
Validación de
datos de entrada
Archivos de Compromiso Falta en el
Espionaje Validación para Ingreso de datos Fuga de cumplimiento de
datos R16 de la
remoto evitar inyección falsos o corruptos información acuerdos del
(Informática) información
de código en el convenio
link de acceso al (confidencialidad
sistema ) Medio
163
Falta en el
Acceso no
cumplimiento de
Archivos de Compromiso autorizado al
Espionaje Fuga de acuerdos del
datos R17 de la sistema por entrega
remoto información convenio
(Informática) información de credenciales
(confidencialidad
autorizadas
) Medio
Procesamiento por Falta en el

Archivos de Procesamiento el personal de otras cumplimiento de
Acciones no Fuga de acuerdos del
datos R18 ilegal de los sedes mediante
autorizadas información convenio
(Informática) datos accesos a la base
de datos (confidencialidad
) Medio
Falla del
Servicio de Pérdida de Conexión
equipo de No se puede
servidor de R19 los servicios deficiente de los
telecomunicaci acceder al
archivos esenciales cables
ones servicio Bajo
Corrupción de Uso de
Datos
Servicio de Compromiso archivos información
provenientes de
servidor de R20 de la disponibles en el errada para el
fuentes no
archivos información servidor de desarrollo del
confiables
archivos proyecto Alto
Transferencia de
contraseñas
Servicio de Acceso no
Acciones no Validación de autorizadas para Fuga de
servidor de R21 autorizado a
autorizadas acceso a la red obtención de información
archivos carpetas de red
información del
proyecto Medio
Contrato del
personal
especificando el
Incumplimient
Compromiso tiempo de
o en la Ausencia del
Desarrolladores R22 de las servicio y el Falta en el
disponibilidad personal
funciones compromiso de cumplimiento de
del personal
participación Falla en la acuerdos del
hasta acabar el entrega de convenio (fechas Pérdida de
proyecto productos límite) imagen Alto
164
Entrenamiento
Compromiso
insuficiente en
Desarrolladores R23 de las Error en el uso
seguridad de la Pérdida de
funciones
información imagen Bajo
Uso incorrecto de
Compromiso software y Falla en el
Desarrolladores R24 de las Error en el uso hardware debido a soporte para
funciones falta de políticas de desarrollar el
uso. producto de
informática Bajo
Falta de conciencia
Compromiso
acerca de
Desarrolladores R25 de las Error en el uso
seguridad de la Pérdida de
funciones
información imagen Bajo
Contrato del
personal
especificando el Genera
Incumplimient
Compromiso tiempo de cambios
o en la Ausencia del
Metodólogos R26 de las servicio y el parciales o Falta de Falta en el
funciones compromiso de totales del continuidad del cumplimiento de
del personal
participación contenido de proceso para la acuerdos del
hasta acabar el los resultados obtención del convenio (fechas
proyecto obtenidos producto final límite) Alto
Entrenamiento
Compromiso
insuficiente en Fuga de
Metodólogos R27 de las Error en el uso
funciones
información Medio
Uso incorrecto de
Compromiso software y Falla en el
Metodólogos R28 de las Error en el uso hardware debido a soporte para
funciones falta de políticas de desarrollar el
uso. producto de
metodología Bajo
Falta de conciencia
Compromiso
acerca de Fuga de
Metodólogos R29 de las Error en el uso
funciones
información Medio
165
Falla del equipo
Computadoras de por variaciones de
Fallas Falla del
la sede R30 voltaje en el Pérdida de
técnicas equipo
(Informática) suministro de información
energía eléctrica crítica Alto
Computadoras de Mal Mal
Fallas
la sede R31 funcionamiento funcionamiento del Equipo en mal
técnicas
(Informática) del equipo equipo por virus estado Bajo
Mal
funcionamiento del
Computadoras de Mal
Fallas equipo por
la sede R32 funcionamiento
técnicas instalación de
software Equipo en mal
innecesario estado Bajo
Falta de
Computadoras de Mal
Fallas mantenimiento
la sede R33 funcionamiento
técnicas preventivo del Equipo en mal
equipo estado Bajo
Falta de revisiones
regulares por parte
Computadoras de Uso no Validación de
Acciones no de la oficina de Fuga de
la sede R34 autorizado del acceso a estación
autorizadas informática de la información
(Informática) equipo de trabajo
sede Corrupción de
descentralizada. datos Alto
Transferencia de
Acceso no Validación de contraseñas
Cliente de base Acciones no Fuga de
R35 autorizado a la acceso a la base autorizadas para el
de datos autorizadas información
Base de Datos de datos ingreso a la base de
datos del proyecto Alto
Habilitación de
Respaldo de la servicios
Procesamiento
Cliente de base Acciones no información de la innecesarios a
R36 ilegal de los
de datos autorizadas aplicación en la personal no
datos
BD autorizado fuera Corrupción de
del proyecto datos Alto
166
Aplicación Acceso no Validación de Inadecuada
Acciones no Fuga de
desarrollada para R37 autorizado a la acceso a la asignación de
autorizadas información
el proyecto aplicación aplicación perfiles de usuario Medio
Acceso a
Transferencia de
Aplicación Acceso no opciones de la
Acciones no contraseñas Fuga de
desarrollada para R38 autorizado a la aplicación
autorizadas autorizadas para el información
el proyecto aplicación mediante perfiles
ingreso al sistema
de usuario Medio
Entrega de
Aplicación Compromiso información
Fuga de
desarrollada para R39 de la Divulgación obtenida del
información
el proyecto información sistema a personas
ajenas al proyecto. Medio
167
Anexo 7: Estimación del riesgo
Tipo de Valores Nivel

Escala ID Probabilidad Explotación de
Activo Tipo Amenaza Vulnerabilidades Impacto escala Amenaza / del
activo riesgo de amenaza vulnerabilidad
A/V Activo Impacto Vulnerabilidad riesgo

Error en el
datos (Cliente Alto R01 de las versiones de
uso
externo) funciones archivos
Alto Data Alto Bajo 4 3 2 3
Destrucción
Archivos de Compromiso parcial o total del
Error en el
datos (Cliente Alto R02 de las contenido de
uso
externo) funciones archivos por
desconocimiento Alto Data Bajo Bajo 4 3 0 2
Error en el Copias de archivo
datos (Cliente Alto R03 de las
uso no controlada
externo) funciones
Medio Data Alto Medio 4 2 3 3
Entrega de los
archivos a
personas no
datos (Cliente Alto R04 de la Divulgación
autorizadas dentro
o fuera de la sede
descentralizada Medio Data Alto Medio 4 2 3 3
Uso de mensajería
para distribución
de los archivos
indebidamente Medio Data Alto Medio 4 2 3 3
168
Ausencia de
contratos con
acuerdos de
niveles de servicio
y/o
confidencialidad Bajo Data Bajo Bajo 4 1 0 2
Espionaje Ingreso de datos
datos (Cliente Alto R07 de la
remoto falsos o corruptos
Alto Data Medio Medio 4 3 2 3
Acceso no
autorizado al
Espionaje sistema por
datos (Cliente Alto R08 de la
remoto entrega de
credenciales
autorizadas Medio Data Alto Alto 4 2 4 3
Procesamiento por
Archivos de Procesamient el personal de
Acciones no
datos (Cliente Alto R09 o ilegal de los otras sedes
autorizadas
externo) datos mediante accesos a
la base de datos Alto Data Alto Alto 4 3 4 4
Error en el
datos Alto R10 de las versiones de
uso
(Informática) funciones archivos Alto Data Alto Medio 4 3 3 3
Destrucción
Archivos de Compromiso parcial o total del
Error en el
datos Alto R11 de las contenido de
uso
(Informática) funciones archivos por
desconocimiento Alto Data Bajo Bajo 4 3 0 2
Error en el Copias de archivo
datos Alto R12 de las
uso no controlada
(Informática) funciones Medio Data Alto Medio 4 2 3 3
169
Entrega de los
archivos a
personas no
datos Alto R13 de la Divulgación
autorizadas dentro
o fuera de la sede
descentralizada Medio Data Alto Medio 4 2 3 3
Uso de mensajería
para distribución
de los archivos
indebidamente Bajo Data Bajo Medio 4 1 1 2
Ausencia de
contratos con
acuerdos de
niveles de servicio
y/o
confidencialidad Alto Data Alto Bajo 4 3 2 3
Espionaje Ingreso de datos
datos Alto R16 de la
remoto falsos o corruptos
(Informática) información Medio Data Medio Medio 4 2 2 3
Acceso no
autorizado al
Espionaje sistema por
datos Alto R17 de la
remoto entrega de
credenciales
autorizadas Medio Data Medio Alto 4 2 3 3
Procesamiento por
Archivos de Procesamient el personal de
Acciones no
datos Alto R18 o ilegal de los otras sedes
autorizadas
(Informática) datos mediante accesos a
la base de datos Medio Data Alto Alto 4 2 4 3
170
Falla del
Servicio de Pérdida de los Conexión
equipo de
servidor de Alto R19 servicios deficiente de los
telecomunica
archivos esenciales cables
ciones Bajo Soporte Bajo Medio 4 1 1 2
Corrupción de
Datos
Servicio de Compromiso archivos
provenientes
servidor de Alto R20 de la disponibles en el
de fuentes no
archivos información servidor de
confiables
archivos Alto Data Bajo Bajo 4 3 0 2
Transferencia de
Acceso no contraseñas
Servicio de
Acciones no autorizado a autorizadas para
servidor de Alto R21
autorizadas carpetas de obtención de
archivos
red información del
proyecto Alto Data Medio Medio 4 3 2 3
Incumplimien
Compromiso
Desarrollador to en la Ausencia del
Alto R22 de las
es disponibilidad personal
funciones
del personal
Alto Soporte Bajo Medio 4 3 1 3
Entrenamiento
Compromiso
Desarrollador Error en el insuficiente en
Alto R23 de las
es uso seguridad de la
funciones
información Bajo Soporte Bajo Bajo 4 1 0 2
Uso incorrecto de
Compromiso software y
Desarrollador Error en el
Alto R24 de las hardware debido a
es uso
funciones falta de políticas
de uso. Bajo Soporte Bajo Medio 4 1 1 2
Falta de conciencia
Compromiso
Desarrollador Error en el acerca de
Alto R25 de las
es uso seguridad de la
funciones
información Bajo Soporte Bajo Bajo 4 1 0 2
171
Incumplimien
Compromiso
to en la Ausencia del
Metodólogos Alto R26 de las
funciones
del personal
Alto Soporte Medio Medio 4 3 2 3
Entrenamiento
Compromiso
Error en el insuficiente en
uso seguridad de la
funciones
información Bajo Soporte Medio Bajo 4 1 1 2
Uso incorrecto de
Compromiso software y
Error en el
Metodólogos Alto R28 de las hardware debido a
uso
funciones falta de políticas
de uso. Bajo Soporte Medio Bajo 4 1 1 2
Falta de conciencia
Compromiso
Error en el acerca de
uso seguridad de la
funciones
información Bajo Soporte Medio Bajo 4 1 1 2
Falla del equipo
Computadora por variaciones de
Fallas Falla del
s de la sede Alto R30 voltaje en el
técnicas equipo
(Informática) suministro de
energía eléctrica Alto Soporte Bajo Alto 4 3 2 3
Mal
Computadora Mal
Fallas funcionamiento
s de la sede Alto R31 funcionamien
técnicas del equipo por
(Informática) to del equipo
virus Bajo Soporte Bajo Medio 4 1 1 2
Mal
funcionamiento
Computadora Mal
Fallas del equipo por
técnicas instalación de
software
innecesario Bajo Soporte Bajo Medio 4 1 1 2
172
Falta de
Computadora Mal
Fallas mantenimiento
técnicas preventivo del
equipo Bajo Soporte Alto Bajo 4 1 3 3
Falta de revisiones
regulares por parte
Computadora Uso no
Acciones no de la oficina de
s de la sede Alto R34 autorizado del
autorizadas informática de la
(Informática) equipo
sede
descentralizada. Alto Soporte Alto Bajo 4 3 3 3
Transferencia de
Acceso no contraseñas
Cliente de Acciones no autorizado a autorizadas para el
Alto R35
base de datos autorizadas la Base de ingreso a la base
Datos de datos del
proyecto Alto Data Medio Alto 4 3 3 3
Habilitación de
servicios
Procesamient
Cliente de Acciones no innecesarios a
Alto R36 o ilegal de los
base de datos autorizadas personal no
datos
autorizado fuera
del proyecto Alto Data Alto Alto 4 3 4 4
Aplicación
Acceso no Inadecuada
desarrollada Acciones no
Alto R37 autorizado a asignación de
para el autorizadas
la aplicación perfiles de usuario
proyecto Bajo Data Alto Alto 4 1 4 3
Aplicación Transferencia de
Acceso no
desarrollada Acciones no contraseñas
Alto R38 autorizado a
para el autorizadas autorizadas para el
la aplicación
proyecto ingreso al sistema Bajo Data Alto Alto 4 1 4 3
173
Entrega de
Aplicación
Compromiso información
desarrollada
Alto R39 de la Divulgación obtenida del
para el
información sistema a personas
proyecto
ajenas al proyecto. Bajo Data Alto Alto 4 1 4 3
174
Anexo 8: Plan de tratamiento del riesgo
Riesgo Tratamiento del riesgo

Tipo
Amenaza / Valor Nivel
ID Formulación Nivel de Controles Controles propuestos / Acciones de
Estrategia Responsable Activo Impacto Vulnerabili riesgo riesgo
riesgo del riesgo riesgo existentes a tomar escala
dad residual residual
A/V
8.2.1 Clasificación de la Coordinador de
información la oficina de
La información debe ser informática de la
clasificada y versionada para evitar sede
confusiones. Se debe incluir una descentralizada
bitácora que contenga la fecha de
envío del archivo
Error en el uso 8.2.2 Etiquetado de la

de versiones de información
archivos que La información debe estar
R01 Mitigar etiquetada de acuerdo a su 4 2 Data 0 2 Medio
envía el cliente
para su clasificación y versión
procesamiento
8.2.3 Manipulado de la
información
La información solo debe ser
manipulada por personal
autorizado
Alto
175
Copias de Coordinador de
9.1.2 Acceso a las redes y a los
archivos del la oficina de
servicios de red
cliente no informática de la
Se debe crear un repositorio de
R03 controlados por Mitigar sede 4 2 Data 0 2 Medio
archivos único con acceso
estar en descentralizada
restringido solo para el personal
diferentes
autorizado
repositorios Alto
Coordinador de
8.3.1 Gestión de soportes la oficina de
Entrega de los extraíbles informática de la
archivos Solo personas autorizadas deben sede
confidenciales tener acceso a soportes extraíbles descentralizada
del cliente
externo a 8.3.2 Eliminación de soportes
R04 Mitigar 4 2 Data 0 2 Medio
personas no Se debe eliminar los soportes
autorizadas extraíbles para el personal de la
dentro o fuera sede, salvo que exista una
de la sede necesidad real y justificada del uso
descentralizada de soportes extraíbles para
determinado personal
Alto
Coordinador de
9.2.3 Gestión de privilegios de la oficina de
acceso informática de la
Uso de
Restringir el acceso a mensajería sede
mensajería para
personal descentralizada
distribución
Restringir la mensajería como uso
indebida de los
R05 Mitigar interno dentro de la sede 4 2 Data 0 2 Medio
archivos
Personas con cuentas de correo
confidenciales
autorizadas puedan recibir
enviados por el
información externa y la
cliente externo
distribuyan al personal de manera
interna si es pertinente
Alto
176
14.2.1 Política de desarrollo Coordinador de
Ingreso de datos seguro la oficina de
Validación de
falsos o Los desarrolladores deben informática de la
datos de entrada
corruptos en la programar aplicaciones robustas sede
Validación para
data del cliente Se deben realizar pruebas de las descentralizada
R07 evitar inyección Mitigar 4 3 Data 0 2 Medio
externo aplicaciones para determinar su
de código en el
mediante nivel de seguridad
link de acceso al
espionaje
sistema
remoto
Alto
9.3.1 Uso de la información

secreta de autenticación
Capacitar sobre la información
secreta de autenticación y sus
consecuencia en la seguridad de la
información
El usuario se debe responsabilizar
Acceso no
por el manejo correcto de sus
autorizado al
credenciales de acceso, bajo pena
sistema por Coordinador de
de sanción
entrega de la oficina de
R08 credenciales Mitigar informática de la 4 1 Data 2 2 Medio
9.2.5 Revisión de los derechos de
autorizadas sede
acceso de usuario
(Data entregada descentralizada
Se deben revisar los derechos de
por cliente
acceso al menos 1 vez al mes
externo)
9.2.3 Gestión de privilegios de
acceso
Los accesos deben estar
restringidos y controlados a ciertas
personas especificando la
necesidad del acceso
Alto
177
Oficina central
de informática:
Responsable de
9.2.3 Gestión de privilegios de los accesos a la
acceso BD. Envío del
Procesamiento
Los accesos deben estar log de accesos a
por el personal
restringidos y controlados a ciertas la base de datos
de otras sedes
personas especificando la 1 vez al mes
mediante
R09 Compartir necesidad del acceso Coordinador de 4 2 Data 1 2 Medio
accesos a la
Se debe dejar constancia al la oficina de
base de datos
administrador de base de datos informática de
(data de cliente
sobre el uso la manipulación de la sede
externo)
datos realizada por personal descentralizada:
externo al proyecto Responsable de
solicitar los
accesos a la base
Muy Alto de datos
178
8.2.1 Clasificación de la Coordinador de
información la oficina de
La información debe ser informática de la
clasificada y versionada para evitar sede
confusiones. Se debe incluir una descentralizada
bitácora que contenga la fecha de
envío del archivo
Error en el uso 8.2.2 Etiquetado de la
de versiones de
información
archivos La información debe estar
R10 generados por Mitigar etiquetada de acuerdo a su 4 3 Data 0 2 Medio
informática para clasificación y versión
el cliente
externo 8.2.3 Manipulado de la
información
La información solo debe ser
manipulada por personal
autorizado
Alto
Copias de Coordinador de
archivos la oficina de
9.1.2 Acceso a las redes y a los
generados para informática de la
servicios de red
el cliente sede
Se debe crear un repositorio de
R12 externo no Mitigar descentralizada 4 2 Data 0 2 Medio
archivos único con acceso
controladas
restringido solo para el personal
debido al uso de
autorizado
diferentes
repositorios Alto
179
Coordinador de
la oficina de
8.3.1 Gestión de soportes informática de la
extraíbles sede
Solo personas autorizadas deben descentralizada
tener acceso a soportes extraíbles
8.3.2 Eliminación de soportes

Se debe eliminar los soportes
extraíbles para el personal de la
Entrega de los
sede, salvo que exista una
archivos
necesidad real y justificada del uso
generados por
de soportes extraíbles para
informática a
determinado personal
R13 personas no Mitigar 4 2 Data 0 2 Medio
autorizadas
dentro o fuera
acceso
de la sede
Restringir el acceso a mensajería
descentralizada
personal
interno dentro de la sede
Alto
180
Ausencia de 13.2.4 Acuerdos de Recursos
contratos del confidencialidad o no revelación humanos de la
personal con En los contratos deberían incluir sede
acuerdos de acuerdos de confidencialidad y no descentralizada
niveles de divulgación bajo pena de sanción
R15 confidencialidad Mitigar 4 2 Data 1 2 Medio
con penalidades
para evitar el
mal uso de
archivos
confidenciales Alto
14.2.1 Política de desarrollo Coordinador de
Ingreso de datos
seguro la oficina de
falsos o Validación de
Los desarrolladores deben informática de la
corruptos en la datos de entrada
programar aplicaciones robustas sede
data generada Validación para
Se deben realizar pruebas de las descentralizada
R16 por procesos de evitar inyección Mitigar 4 2 Data 1 2 Medio
aplicaciones para determinar su
informática de código en el
nivel de seguridad
mediante link de acceso al
espionaje sistema
remoto
Alto
181
Coordinador de
9.3.1 Uso de la información la oficina de
secreta de autenticación informática de la
Capacitar sobre la información sede
secreta de autenticación y sus descentralizada
información
Acceso no
autorizado al
credenciales de acceso, bajo pena
sistema por
de sanción
entrega de
R17 credenciales Mitigar 4 2 Data 0 2 Medio
9.2.5 Revisión de los derechos de
autorizadas para
acceso de usuario
obtener (data
Se deben revisar los derechos de
generada por
informática)
acceso
Alto
182
Oficina central
de informática:
Responsable de
9.2.3 Gestión de privilegios de los accesos a la
acceso BD. Envío del
Procesamiento
Los accesos deben estar log de accesos a
por el personal
restringidos y controlados a ciertas la base de datos
de otras sedes
personas especificando la 1 vez al mes
mediante
R18 Compartir necesidad del acceso Coordinador de 4 2 Data 1 2 Medio
accesos a la
Se debe dejar constancia al la oficina de
base de datos
administrador de base de datos informática de
(data generada
sobre el uso la manipulación de la sede
por informática)
datos realizada por personal descentralizada:
externo al proyecto Responsable de
solicitar los
accesos a la base
Alto de datos
Coordinador de
13.1.3 Segregación en redes la oficina de
Los grupos de usuarios deben estar informática de la
Transferencia en diferentes redes sede
de contraseñas descentralizada
autorizadas para Validación de 9.2.3 Gestión de privilegios de
obtención de acceso a la red acceso
información del Los accesos deben estar
proyecto restringidos y controlados a ciertas
Alto
183
7.1.1 Investigación de Recursos
antecedentes humanos de la
Conocer el personal que se sede
Contrato del contrata para desarrollar las descentralizada
personal actividades del proyecto
Ausencia del
especificando el Contar con referencias personal
personal de
tiempo de
desarrollo por
R22 servicio y el Mitigar 7.1.2 Términos y condiciones del 4 3 Soporte 0 2 Medio
motivos
compromiso de empleo
personales o
participación Se debe incluir una cláusula de no
contractuales
hasta acabar el movilidad durante el tiempo que
proyecto dure el proyecto
Alto
7.1.1 Investigación de Recursos
antecedentes humanos de la
Conocer el personal que se sede
Contrato del contrata para desarrollar las descentralizada
personal actividades del proyecto
Ausencia del
especificando el Contar con referencias personal
personal de
tiempo de
metodología por
R26 servicio y el Mitigar 7.1.2 Términos y condiciones del 4 3 Soporte 0 2 Medio
motivos
compromiso de empleo
personales o
participación Se debe incluir una cláusula de no
contractuales
hasta acabar el movilidad durante el tiempo que
proyecto dure el proyecto
Alto
184
11.2.2 Instalaciones de Jefe de la sede
suministro descentralizada:
Utilizar UPS en cada estación de Implementar
trabajo UPS genera un
costo que no se
tiene incluido
Falla de las dentro del
estaciones de presupuesto del
trabajo por proyecto, por lo
variaciones de que se acepta el
voltaje en el riesgo. Se pone
R30 suministro de Aceptar de conocimiento 4 3 Soporte 2 3 Alto
energía eléctrica al coordinador de
ocasionando SGSI y se indica
pérdida de la que toda
información información de
parcial o total la estación de
trabajo se debe
guardar en una
carpeta de red
para evitar
pérdida de
Alto información
Falta de 11.2.4 Mantenimiento de los Coordinador de
mantenimiento equipos soporte técnico
preventivo en Se debe contar con un cronograma
las estaciones de de revisión de equipos de trabajo
trabajo
R33 Mitigar 4 1 Soporte 2 Medio
ocasionando
fallas y pérdida
de la
información
parcial o total Alto
185
Falta de 10.1.2 Gestión de claves Coordinador
revisiones Elaborar política de sobre el uso, la SGSI
regulares de protección y la duración de las
acceso a claves
Validación de
estaciones de
R34 acceso a estación Mitigar 4 3 Soporte 2 Medio
trabajo por parte
de trabajo
de la oficina de
informática de
la sede
descentralizada. Alto
9.2.3 Gestión de privilegios de Oficina central
acceso de informática:
Los accesos deben estar Responsable de
restringidos y controlados a ciertas los accesos a la
Transferencia personas especificando la BD. Envío del
de contraseñas necesidad del acceso log de accesos a
autorizadas para la base de datos
el ingreso a la Validación de 1 vez al mes
R35 base de datos acceso a la base Compartir Coordinador de 4 3 Data 2 Medio
del proyecto al de datos la oficina de
personal de informática de
otras sedes o la sede
externos descentralizada:
Responsable de
solicitar los
accesos a la base
Alto de datos
186
Oficina central
de informática:
Responsable de
los accesos a la
BD. Envío de
acceso
accesos por
Habilitación de Los accesos deben estar
perfiles de la BD
servicios Respaldo de la restringidos y controlados a ciertas
1 vez al mes
innecesarios a información de la personas especificando la
R36 Mitigar Coordinador de 4 2 Data 1 2 Medio
personal no aplicación en la necesidad del acceso
la oficina de
autorizado fuera BD Se debe dejar constancia al
informática de
del proyecto administrador de base de datos
la sede
sobre el uso de servicios realizada
descentralizada:
por personal externo al proyecto
Responsable de
solicitar los
accesos a la base
Muy Alto de datos
Inadecuada 9.4.1 Restricción del acceso a la Coordinador de
asignación de información la oficina de
perfiles de Validación de Evaluar periódicamente los informática de la
R37 usuario para el acceso a la Mitigar accesos al sistema para validarlos sede 4 1 Data 1 2 Medio
acceso al aplicación descentralizada
aplicativo del
proyecto Alto
187
Coordinador de
9.3.1 Uso de la información la oficina de
secreta de autenticación informática de la
Capacitar sobre la información sede
secreta de autenticación y sus descentralizada
información
Transferencia credenciales de acceso, bajo pena
Acceso a
de contraseñas de sanción
opciones de la
autorizadas para
R38 aplicación Mitigar 4 1 Data 0 2 Medio
el ingreso al 9.2.5 Revisión de los derechos de
mediante perfiles
aplicativo del acceso de usuario
de usuario
proyecto Se deben revisar los derechos de

acceso
Alto
188
Coordinador de
la oficina de
8.3.1 Gestión de soportes informática de la
extraíbles sede
Solo personas autorizadas deben descentralizada
tener acceso a soportes extraíbles
8.3.2 Eliminación de soportes

Se debe eliminar los soportes
extraíbles para el personal de la
sede, salvo que exista una
Entrega de necesidad real y justificada del uso
información de soportes extraíbles para
obtenida del determinado personal
sistema a
personas ajenas 9.2.3 Gestión de privilegios de
al proyecto. acceso
Restringir el acceso a mensajería
personal
interno dentro de la sede
Alto
189
Anexo 9: Declaración de aplicabilidad
Dominio/ Objetivo
/Control Descripción Aplica Justificación
5 Políticas de seguridad de la información
5.1 Directrices de gestión de la seguridad de la información
5.1.1 Políticas para la Un conjunto de políticas para la seguridad de la
seguridad de la información información debería ser definido, aprobado por
Es necesario una política de seguridad de la información de la sede
la dirección, publicado y comunicado a los
descentralizada. No hay lineamientos específicos sobre la seguridad
empleados y partes externas relevantes.
SI de la información de la sede que provenga de la sede central.
5.1.2 Revisión de las Las políticas de seguridad de la información
políticas para la seguridad deberían revisarse a intervalos planificados o
de la información siempre que se produzcan cambios
significativos, a fin de asegurar que se mantenga
Si se implementa una política de seguridad de la información esta
su idoneidad, adecuación y eficacia.
SI necesita revisarse y actualizarse periódicamente
6 Organización de la seguridad de la información
6.1 Organización interna
6.1.1 Roles y Deberían definirse y asignarse todas las No existe un responsable de la seguridad de la información en la
responsabilidades en responsabilidades relativas a la seguridad de la sede descentralizada porque no se realizan actividades orientadas a
seguridad de la información información la seguridad de la información. Es necesario contar con el apoyo de
SI la sede central.
6.1.2 Segregación de tareas Las funciones y áreas de responsabilidad
deberían segregarse para reducir la posibilidad Es necesario no segregar las tareas con personal que tenga más de un
de que se produzcan modificaciones no rol, sin embargo se tiene que evaluar la factibilidad de contratar
autorizadas o no intencionadas o usos indebidos personal para realizar netamente labores de seguridad de acuerdo al
de los activos de la organización presupuesto que se maneja en la sede descentralizada, o solicitar
apoyo desde la sede central para obtener el personal que realice
SI labores de seguridad de la información
6.1.3 Contacto con las Deberían mantenerse los contactos apropiados Los contactos con autoridades de otras instituciones a alto nivel debe
autoridades con las autoridades NO coordinarse con la sede central
190
6.1.4 Contacto con grupos Deberían mantenerse los contactos apropiados
El personal de informática de la sede descentralizada no tiene
de interés especial con grupos de interés especial, u otros foros y
contactos con grupos de interés sobre seguridad. Se puede destinar
asociaciones profesionales especializados en
seguridad actividades de contacto para obtener algunas buenas prácticas sobre
seguridad que se puedan implementar en las actividades diarias de la
SI oficina de informática
6.1.5 Seguridad de la La seguridad de la información debería tratarse
información en la gestión dentro de la gestión de proyectos,
de proyectos independientemente de la naturaleza del proyecto Se pueden incluir actividades de seguridad de la información en la
planificación de tareas en los proyectos que desarrolla la sede
SI descentralizada
6.2 Los dispositivos móviles y el teletrabajo
6.2.1 Política de Se debería adoptar una política y unas medidas Se utilizan tablets que tienen acceso a aplicaciones. Se ha
dispositivos móviles de seguridad adecuadas para la protección contra incorporado el uso de acuerdos de confidencialidad para el personal
los riesgos de la utilización de dispositivos de campo del proyecto, que hace uso de tablets y se configura la
móviles. SI seguridad dentro de la tablet. No es una política institucional.
6.2.2 Teletrabajo Se debería implementar una política y unas
medidas de seguridad adecuadas para proteger la El personal de informática hace uso de teletrabajo. Sin embargo los
información accedida, tratada o almacenada en accesos a las estaciones de trabajo pueden ser fácilmente vulneradas,
emplazamientos de teletrabajo ya que las contraseñas son compartidas entre el personal y no hay
SI una política de contraseñas seguras.
7 Seguridad relativa a los recursos humanos
7.1 Antes del empleo
7.1.1 Investigación de La comprobación de los antecedentes de todos
antecedentes los candidatos al puesto de trabajo se debería
llevar a cabo de acuerdo con las leyes, normas y
códigos éticos que sean de aplicación y debería
ser proporcional a las necesidades del negocio, la
clasificación de la información a la que se accede Es un control que ya existe por parte de la oficina de recursos
y los riesgos percibidos humanos de la sede central, ya que personal con antecedentes no
SI puede contratar con el estado.
191
7.1.2 Términos y Cómo parte de sus obligaciones contractuales,
condiciones del empleo los empleados y contratistas deberían establecer
los términos y condiciones de su contrato de
trabajo en lo que respecta a la seguridad de la
información, tanto hacia el empleado como hacia
la organización. La sede descentralizada está alineada a los procedimientos de
NO recursos humanos de la sede central
7.2 Durante el empleo
7.2.1 Responsabilidades de La dirección debería exigir a los empleados y
gestión contratistas, que apliquen la seguridad de la
información de acuerdo con las políticas y La sede descentralizada cumple con los lineamientos establecidos
procedimientos establecidos en la organización NO por la sede central
7.2.2 Concienciación, Todos los empleados de la organización y,
educación y capacitación cuando corresponda, los contratistas, deberían
en seguridad de la recibir una adecuada educación, concienciación
información y capacitación con actualizaciones periódicas
sobre las políticas y procedimientos de la
organización, según corresponda a su puesto de La sede descentralizada cumple con los lineamientos establecidos
trabajo NO por la sede central
7.2.3 Proceso disciplinario Debería existir un proceso disciplinario formal
que haya sido comunicado a los empleados, que
recoja las acciones a tomar ante aquellos que
hayan provocado alguna brecha de seguridad La sede descentralizada cumple con los lineamientos establecidos
NO por la sede central
7.3 Finalización del empleo o cambio en el puesto de trabajo
7.3.1 Responsabilidades Las responsabilidades en seguridad de la
ante la finalización o información y obligaciones que siguen vigentes
cambio después del cambio o finalización del empleo se
deberían definir, comunicar al empleado o
En el contrato no se deben especificar ítems sobre seguridad de la
contratista y se deberían cumplir
SI información
8 Gestión de activos
8.1 Responsabilidad sobre los activos
192
8.1.1 Inventario de activos La información y otros activos asociados a la
información y a los recursos para el tratamiento
de la información deberían estar claramente
identificados y debería elaborarse y mantenerse
Se ha realizado el inventario de los activos solo de la oficina de
un inventario.
SI informática. Esto se puede extender a toda la sede
8.1.2 Propiedad de los Todos los activos que figuran en el inventario Se ha realizado el inventario de los activos solo de la oficina de
activos deberían tener un propietario SI informática. Esto se puede extender a toda la sede
8.1.3 Uso aceptable de los Se deberían identificar, documentar e
activos implementar las reglas de uso aceptable de la
información y de los activos asociados con los
Los activos se deben usar adecuadamente y el personal debe conocer
recursos para el tratamiento de la información.
SI las reglas de uso
8.1.4 Devolución de activos Todos los empleados y terceras partes deberían
devolver todos activos de la organización que
estén en su poder al finalizar su empleo, contrato
o acuerdo
SI Es necesario procedimientos de devolución de activos
8.2 Clasificación de la información
8.2.1 Clasificación de la La información debería ser clasificada en
información términos de la importancia de su revelación
frente a requisitos legales, valor, sensibilidad y
criticidad ante revelación o modificación no
autorizadas
SI Se deben clasificar los activos con criterios fáciles de entender
8.2.2 Etiquetado de la Debería desarrollarse e implantarse un conjunto
información adecuado de procedimientos para etiquetar la
información, de acuerdo con el esquema de
clasificación adoptado por la organización
SI Es necesario etiquetar la información, actualmente no se realiza.
8.2.3 Manipulado de la Debería desarrollarse e implantarse un conjunto
información adecuado de procedimientos para la
manipulación de la información, de acuerdo con
el esquema de clasificación adoptado por la
Es necesario que el personal manipule adecuadamente la
organización
SI información
8.3 Manipulación de los soportes
193
8.3.1 Gestión de soportes Se deberían implementar procedimientos para la
extraíbles gestión de los soportes extraíbles, de acuerdo con No existe un procedimiento formal. Al personal se le entrega un
el esquema de clasificación adoptado por la
USB, sin la firma de ningún documento, para el uso en la sede
organización.
SI descentralizada
8.3.2 Eliminación de Los soportes deberían eliminarse de forma
soportes segura cuando ya no vayan a ser necesarios, No existe un procedimiento formal. Los soportes no se eliminan y en
mediante procedimientos formales SI algunos casos no se devuelven a la sede descentralizada
8.3.3 Soportes físicos en Durante el transporte fuera de los límites físicos
tránsito de la organización, los soportes que contengan
información deberían estar protegidos contra
accesos no autorizados, usos indebidos o
No existe un procedimiento formal. El personal puede extraer
deterioro
SI información en un soporte físico y sacarlo de la sede descentralizada
9 Control de acceso
9.1 Requisitos de negocio para el control de acceso
9.1.1 Política de control de Se debería establecer, documentar y revisar una
acceso política de control de acceso basada en los
requisitos de negocio y de seguridad de la
información
NO La política lo determina la oficina de informática de la sede central
9.1.2 Acceso a las redes y a Únicamente se debería proporcionar a los
Existe una política formal de la institución para el acceso a los
los servicios de red usuarios el acceso a las redes y a los servicios en
servicios de la red de la sede central. Para el acceso a la red se tiene
red para cuyo uso hayan sido específicamente
que llenar una solicitud de acceso firmada y autorizada por el jefe de
autorizados
SI la sede descentralizada
9.2 Gestión de acceso de usuario
9.2.1 Registro y baja de Debería implantarse un procedimiento formal de
usuario registro y retirada de usuarios que haga posible
la asignación de los derechos de acceso. SI Es necesario un procedimiento de bajas de usuario.
9.2.2 Provisión de acceso Debería implantarse un procedimiento formal
de usuario para asignar o revocar los derechos de acceso
para todos los tipos de usuarios de todos los
Es necesario un procedimiento de solicitud de accesos y bajas de
sistemas y servicios
SI usuario.
194
9.2.3 Gestión de privilegios La asignación y el uso de privilegios de acceso No se controlan accesos a través de perfiles para poder asignar
de acceso debería estar restringida y controlada SI privilegios
9.2.4 Gestión de la La asignación de la información secreta de
información secreta de autenticación debería ser controlada a través de
autenticación de los un proceso formal de gestión Se debe firmar un documento de mantenimiento secreto de las
usuarios SI autenticaciones entregadas al personal
9.2.5 Revisión de los Los propietarios de los activos deberían revisar
derechos de acceso de los derechos de acceso de usuario a intervalos Falta un procedimiento de revisión de derechos de acceso
usuario regulares. SI periódicamente
9.2.6 Retirada o Los derechos de acceso de todos los empleados y
reasignación de los terceras partes, a la información y a los recursos
derechos de acceso de tratamiento de la información deberían ser
retirados a la finalización del empleo, del
contrato o del acuerdo, o ajustados en caso de
cambio.
SI No existen políticas de retiro o reasignación e accesos
9.3 Responsabilidades del usuario
9.3.1 Uso de la información Se debería requerir a los usuarios que sigan las Falta campañas de concientización del uso correcto del secreto de
secreta de autenticación prácticas de la organización en el uso de la autenticación. El usuario tiene que hacerse responsable de la
información secreta de autenticación SI protección de sus contraseñas
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso Se debería restringir el acceso a la información y
a la información a las funciones de las aplicaciones, de acuerdo Existe un control de acceso a la red y a las aplicaciones. El acceso se
con la política de control de acceso definida SI da previa autorización del jefe inmediato
9.4.2 Procedimientos Cuando así se requiera en la política de control
seguros de inicio de sesión de acceso, el acceso a los sistemas y a las
Existe un control de acceso a las estaciones de trabajo y las
aplicaciones se debería controlar por medio de
aplicaciones. Las estaciones de trabajo y las aplicaciones tienen un
un procedimiento seguro de inicio de sesión SI proceso de inicio de sesión
9.4.3 Sistema de gestión de Los sistemas para la gestión de contraseñas Es necesario un sistema de gestión de contraseñas seguras. El
contraseñas deberían ser interactivos y establecer contraseñas sistema de contraseñas no es robusto, acepta contraseñas básicas
seguras y robustas. SI como 12345 y nunca vence
195
9.4.4 Uso de utilidades con Se debería restringir y controlar rigurosamente el
privilegios del sistema uso de utilidades que puedan ser capaces de
invalidar los controles del sistema y de la
aplicación
SI Los accesos a utilitarios deben ser autorizados por jefes inmediatos
9.4.5 Control de acceso al Se debería restringir el acceso al código fuente
código fuente de los de los programas Solo personal autorizado debe tener acceso al código fuente de los
programas SI programas
10 Criptografía
10.1 Controles criptográficos
10.1.1 Política de uso de Se debería desarrollar e implementar una política
los controles criptográficos sobre el uso de los controles criptográficos para
proteger la información. NO Es una decisión de la sede central
10.1.2 Gestión de claves Se debería desarrollar e implementar una política
de sobre el uso, la protección y la duración de las
claves de cifrado a lo largo de todo su ciclo de
vida NO Es una decisión de la sede central
11 Seguridad física y del entorno
11.1 Áreas seguras
11.1.1 Perímetro de Se deberían utilizar perímetros de seguridad para
Se debe evaluar si es factible modificar la infraestructura del local
seguridad proteger las áreas que contienen información
donde se ubica la sede. Ya que es un local alquilado se necesita de
sensible así como los recursos de tratamiento de
un contrato que incluya cláusulas de modificación de la
la información NO infraestructura del local.
11.1.2 Controles físicos de Las áreas seguras deberían estar protegidas Se debe evaluar si es factible modificar la infraestructura del local
entrada mediante controles de entrada adecuados, para donde se ubica la sede. Ya que es un local alquilado se necesita de
asegurar que únicamente se permite el acceso al
personal autorizado
NO infraestructura del local.
11.1.3 Seguridad de Para las oficinas, despachos y recursos, se Se debe evaluar si es factible modificar la infraestructura del local
oficinas, despachos y debería diseñar y aplicar la seguridad física donde se ubica la sede. Ya que es un local alquilado se necesita de
recursos
196
11.1.4 Protección contra las Se debería diseñar y aplicar una protección física Se debe evaluar si es factible modificar la infraestructura del local
amenazas externas y contra desastres naturales, ataques provocados donde se ubica la sede. Ya que es un local alquilado se necesita de
ambientales por el hombre o accidentes.
11.1.5 El trabajo en áreas Se deberían diseñar e implementar
Se debe evaluar si es factible modificar la infraestructura del local
seguras procedimientos para trabajar en las áreas seguras.
donde se ubica la sede. Ya que es un local alquilado se necesita de
11.1.6 Áreas de carga y Deberían controlarse los puntos de acceso tales
descarga como las áreas de carga y descarga y otros
puntos, donde pueda acceder personal no
autorizado a las instalaciones, y si es posible,
aislar dichos puntos de los recursos de Se debe evaluar si es factible modificar la infraestructura del local
tratamiento de la información para evitar accesos donde se ubica la sede. Ya que es un local alquilado se necesita de
no autorizados un contrato que incluya cláusulas de modificación de la
11.2 Seguridad de los equipos
11.2.1 Emplazamiento y Los equipos deberían situarse o protegerse de
protección de equipos forma que se reduzcan los riesgos de las
amenazas y los riesgos ambientales así como las
oportunidades de que se produzcan accesos no
Se disponen los equipos en lugares no adecuados. Se han
autorizados.
NO acondicionado ambientes para utilizarlos como oficinas.
11.2.2 Instalaciones de Los equipos deberían estar protegidos contra
suministro fallos de alimentación y otras alteraciones
causadas por fallos en las instalaciones de No se cuenta con grupo electrógeno. La sede descentralizada no
suministro NO tiene planes de adquirir uno.
11.2.3 Seguridad del El cableado eléctrico y de telecomunicaciones
cableado que transmite datos o que sirve de soporte a los
servicios de información debería estar protegido
En la sede descentralizada hay cableado que cuelga de las paredes y
frente a interceptaciones, interferencias o daños.
SI no se percibe como algo inseguro.
197
11.2.4 Mantenimiento de Los equipos deberían recibir un mantenimiento
los equipos correcto que asegure su disponibilidad y su El personal de soporte técnico debe tener un cronograma de
integridad continuas SI mantenimiento de las estaciones de trabajo
11.2.5 Retirada de Sin autorización previa, los equipos, la Existe un procedimiento para la movilización de equipos. Para
materiales propiedad de la información o el software no deberían sacarse de movilización de equipos se requiere de autorización formal del jefe
empresa las instalaciones SI de la sede descentralizada
11.2.6 Seguridad de los Deberían aplicarse medidas de seguridad a los
equipos fuera de las equipos situados fuera las instalaciones de la
instalaciones organización, teniendo en cuenta los diferentes
Existe un procedimiento para la movilización de equipos. La
riesgos que conlleva trabajar fuera de dichas
movilización de equipos no contempla la seguridad de los mismos
instalaciones.
SI fuera de las instalaciones de la sede descentralizada
11.2.7 Reutilización o Todos los soportes de almacenamiento deberían
eliminación segura de ser comprobados para confirmar que todo dato
equipos sensible y software bajo licencia se ha eliminado Es una política que lo determina la oficina de informática de la sede
de manera segura, antes de deshacerse de ellos
NO central
11.2.8 Equipo de usuario Los usuarios deberían asegurarse que el equipo Los equipos sin uso no son atendidos y están dentro de las oficinas
desatendido desatendido tiene la protección adecuada hasta que se usen nuevamente o los necesiten en algún otro lugar
SI dentro o fuera de la sede descentralizada
11.2.9 Política de puesto de Debería adoptarse una política de puesto de
trabajo despejado y pantalla trabajo despejado de papeles y medios de
limpia almacenamiento desmontables y una política de
Es necesario implementar este procedimiento. Muchos usuarios
pantalla limpia para los recursos de tratamiento
tienen gran cantidad de documentación en sus escritorios. No se
de la información
SI tiene una cultura de puesto de trabajo limpio
12 Seguridad de las operaciones
12.1 Procedimientos y responsabilidades operacionales
12.1.1 Documentación de Deberían documentarse y mantenerse
procedimientos de los procedimientos de operación y ponerse a
operación disposición de todos los usuarios que los Es necesario para conocer los procesos que tiene la oficina de
necesiten
SI informática de la sede descentralizada
198
12.1.2 Gestión de cambios Los cambios en la organización, los procesos de
negocio, instalaciones de tratamiento de la
información y los sistemas que afectan a la
seguridad de información deberían ser Cada proyecto es independiente de otro. Cada año se desarrollan
aplicaciones independientes que no interactúan con aplicaciones
controlados
NO anteriores
12.1.3 Gestión de Se debería supervisar y ajustar la utilización de
capacidades los recursos, así como realizar proyecciones de La proyecciones de requisitos futuros de crecimiento y necesidad de
los requisitos futuros de capacidad, para
recursos es determinado por la oficina central de informática de
garantizar el rendimiento requerido del sistema
NO acuerdo a la estrategia de la organización
12.1.4 Separación de los Deberían separarse los recursos de desarrollo,
recursos de desarrollo, pruebas y operación, para reducir los riesgos de Se utilizan los ambientes habilitados por la oficina central de
prueba y operación acceso no autorizado o los cambios del sistema informática. En muchas oportunidades se ha desarrollado
en producción.
SI aplicaciones en un solo ambiente de trabajo
12.2 Protección contra el software malicioso (malware)
12.2.1 Controles contra el Se deberían implementar los controles de
código malicioso detección, prevención y recuperación que sirvan
como protección contra el código malicioso, así
Los usuarios tienen acceso a páginas de internet sin ningún tipo de
como procedimientos adecuados de
restricción y pueden instalar cualquier software en la estación de
concienciación al usuario
SI trabajo. No hay una política del uso de internet
12.3 Copias de seguridad
12.3.1 Copias de seguridad Se deberían realizar copias de seguridad de la
de la información información, del software y del sistema y se
deberían verificar periódicamente de acuerdo a la Debe existir un repositorio en la sede central. La copias de seguridad
política de copias de seguridad acordada no se guardan en un repositorio confiable, se encuentran en la
SI máquina de un solo usuario
12.4 Registros y supervisión
12.4.1 Registro de eventos Se deberían registrar, proteger y revisar
periódicamente las actividades de los usuarios,
excepciones, fallos y eventos de seguridad de la Se debe evaluar la factibilidad de contar con herramientas que
información. registren conexiones y desconexiones, fechas y tiempos. La sede
NO descentralizada no contempla la adquisición de ese tipo de software
199
12.4.2 Protección de la Los dispositivos de registro y la información del
información de registro registro deberían estar protegidos contra No se tiene herramientas para monitorear los registros del sistema
manipulaciones indebidas y accesos no operativo ni los ficheros de registro. La sede descentralizada no
autorizados NO contempla la adquisición de ese tipo de software
12.4.3 Registros de Se deberían registrar, proteger y revisar
No se tiene personal que realice este tipo de actividades. Ya que el
administración y operación regularmente las actividades del administrador
mismo personal de soporte técnico sería juez y parte en las
del sistema y del operador del sistema
revisiones de las actividades del administrador de las estaciones de
NO trabajo
12.4.4 Sincronización del Los relojes de todos los sistemas de tratamiento
reloj de información dentro de una organización o de
un dominio de seguridad, deberían estar
No se tiene acceso a este tipo de registros desde la sede
sincronizados con una única fuente precisa y
descentralizada. Todo se supervisa en la oficina central de
acordada de tiempo
NO informática
12.5 Control del software en explotación
12.5.1 Instalación del Se deberían implementar procedimientos para Como la aplicación es accesada mediante página web, no se necesita
software en explotación controlar la instalación del software en instalación en la máquina de usuarios finales. El acceso es
explotación. NO restringido mediante usuarios y perfiles
12.6 Gestión de la vulnerabilidad técnica
12.6.1 Gestión de las Se debería obtener información oportuna acerca
vulnerabilidades técnicas de las vulnerabilidades técnicas de los sistemas
de información utilizados, evaluar la exposición
de la organización a dichas vulnerabilidades y
El personal de la oficina de informática de la sede descentralizada
adoptar las medidas adecuadas para afrontar el
puede apoyar en el tratamiento de las vulnerabilidades técnicas de
riesgo asociado
SI las aplicaciones desarrolladas
12.6.2 Restricción en la Se deberían establecer y aplicar reglas que rijan Como la aplicación es accesada mediante página web, no se necesita
instalación de software la instalación de software por parte de los instalación en la máquina de usuarios finales. El acceso es
usuarios NO restringido mediante usuarios y perfiles
12.7 Consideraciones sobre la auditoria de sistemas de información
200
12.7.1 Controles de Los requisitos y las actividades de auditoría que
auditoría de sistemas de impliquen comprobaciones en los sistemas
información operativos deberían ser cuidadosamente
planificados y acordados para minimizar el
riesgo de interrupciones en los procesos de
negocio Las auditorías son autorizadas por la sede central en coordinación
NO con la oficina central de informática
13 Seguridad de las comunicaciones
13.1 Gestión de la seguridad de redes
13.1.1 Controles de red Las redes deberían ser gestionadas y controladas
para proteger la información en los sistemas y
aplicaciones. SI Solo se gestiona la red local de la sede descentralizada
13.1.2 Seguridad de los Se deberían identificar los mecanismos de
servicios de red seguridad, los niveles de servicio, y los
requisitos de gestión de todos los servicios de red
y se deberían incluir en cualquier acuerdo de
servicios de red, tanto si estos servicios se
prestan dentro de la organización como si se
subcontratan NO Gestionado por la oficina central de informática
13.1.3 Segregación en Los grupos de servicios de información, los
redes usuarios y los sistemas de información deberían
estar segregados en redes distintas. NO Gestionado por la oficina central de informática
13.2 Intercambio de información
13.2.1 Políticas y Deberían establecerse políticas, procedimientos y
procedimientos de controles formales que protejan el intercambio
intercambio de información de información mediante el uso de todo tipo de
recursos de comunicación. La mensajería es un servicio administrado por la oficina central de
NO informática
13.2.2 Acuerdos de Deberían establecerse acuerdos para el
intercambio de información intercambio seguro de información del negocio y
software entre la organización y terceros La mensajería es un servicio administrado por la oficina central de
NO informática
201
13.2.3 Mensajería La información que sea objeto de mensajería
electrónica electrónica debería estar adecuadamente
protegida. La mensajería es un servicio administrado por la oficina central de
NO informática
13.2.4 Acuerdos de Deberían identificarse, documentarse y revisarse
confidencialidad o no regularmente los requisitos de los acuerdos de
La mensajería es un servicio administrado por la oficina central de
revelación confidencialidad o no revelación
NO informática
14 Adquisición, desarrollo y mantenimiento de los sistemas de información
14.1 Requisitos de seguridad en sistemas de información
14.1.1 Análisis de Los requisitos relacionados con la seguridad de
Solo consideran requisitos básicos como perfiles de acceso a
requisitos y la información deberían incluirse en los
usuarios, contraseñas, tablas de auditoría para transacciones y
especificaciones de requisitos para los nuevos sistemas de
validación de los datos de entrada. El personal de informática no
seguridad de la información información o mejoras a los sistemas de
conoce si hay mayor seguridad de la que ya aplica a los procesos
información existentes
SI automatizados dentro del sistema que desarrolla
14.1.2 Asegurar los La información involucrada en aplicaciones que
servicios de aplicaciones en pasan a través de redes públicas debería ser
redes públicas protegida de cualquier actividad fraudulenta,
disputa de contrato, revelación y modificación no
autorizados.
NO Competencia de la oficina central de informática
14.1.3 Protección de las La información involucrada en las transacciones
transacciones de servicios de servicios de aplicaciones debería ser protegida
de aplicaciones para prevenir la transmisión incompleta, errores
de enrutamiento, alteración no autorizada del
mensaje, revelación, duplicación, o reproducción
de mensaje no autorizadas NO Competencia de la oficina central de informática
14.2 Seguridad en el desarrollo y en los procesos de soporte
14.2.1 Política de Se deberían establecer y aplicar reglas dentro de
desarrollo seguro la organización para el desarrollo de aplicaciones No han sido proporcionadas reglas para el desarrollo de
y sistemas SI aplicaciones, el personal desarrolla de acuerdo a su experiencia
202
14.2.2 Procedimiento de La implantación de cambios a lo largo del ciclo
control de cambios en de vida del desarrollo debería controlarse Durante el desarrollo del aplicativo los cambios son constantes de
sistemas mediante el uso de procedimientos formales de
acuerdo a lo que determine el usuario y no se lleva una
control de cambios
SI documentación de los mismos
14.2.3 Revisión técnica de Cuando se modifiquen los sistemas operativos,
las aplicaciones tras las aplicaciones de negocio críticas deberían ser
efectuar cambios en el revisadas y probadas para garantizar que no
El área de calidad realiza pruebas básicas del funcionamiento de la
sistema operativo existen efectos adversos en las operaciones o la
aplicación pero sin ningún conocimiento del proceso de negocio de
seguridad de la organización.
SI lo que está probando
14.2.4 Restricciones a los Se deberían desaconsejar las modificaciones en
cambios en los paquetes de los paquetes de software, limitándose a los
software cambios necesarios, y todos los cambios
deberían ser objeto de un control riguroso.
NO No se modifican paquetes de software
14.2.5 Principios de Principios de ingeniería de sistemas seguros se
Se aplican los principios de ingeniería de sistemas seguros más
ingeniería de sistemas deberían establecer, documentar, mantener y
conocidos (validar acceso por usuario de acuerdo a perfiles, limpiar
seguros aplicarse a todos los esfuerzos de implantación
el código). No se aplican todos los principios de ingeniería de
de sistemas de información
sistemas seguros (no se cifran las comunicaciones, no se determinan
SI puntos vulnerables del sistema, no se valida toda la entrada de data)
14.2.6 Entorno de Las organizaciones deberían establecer y
desarrollo seguro proteger adecuadamente los entornos de
desarrollo seguro para el desarrollo del sistema y
los esfuerzos de integración que cubren todo el No se utilizan ambientes diferenciados. Debido al tiempo de
desarrollo y a las limitantes de recursos, se utiliza solo un ambiente
ciclo de vida de desarrollo del sistema
SI para desarrollar sistemas y es el ambiente de producción
14.2.7 Externalización del El desarrollo de software externalizado debería El personal externo no es supervisado, pero si coordina actividades
desarrollo de software ser supervisado y controlado por la organización. con la sede central de informática. El trabajo del personal externo es
SI independiente pero entrega productos a la sede descentralizada
14.2.8 Pruebas funcionales Se deberían llevar a cabo pruebas de la seguridad Los cambios funcionales al aplicativo son constantes y las
de seguridad de sistemas funcional durante el desarrollo SI modificaciones no se documentan detalladamente
203
14.2.9 Pruebas de Se deberían establecer programas de pruebas de
aceptación de sistemas aceptación y criterios relacionados para nuevos
sistemas de información, actualizaciones y
Las validaciones y aceptaciones son realizadas sobre la marcha por
nuevas versiones.
SI el usuario
14.3 Datos de prueba
14.3.1 Protección de los Los datos de prueba se deberían seleccionar con
datos de prueba cuidado y deberían ser protegidos y controlados
No se determinan casos de prueba. Se realiza un periodo de prueba
en el ambiente de producción, por un periodo de tiempo determinado
NO y luego se limpia la data para empezar a utilizar el sistema
15 Relación con proveedores
15.1 Seguridad en las relaciones con proveedores
15.1.1 Política de seguridad Los requisitos de seguridad de la información
de la información en las para la mitigación de los riesgos asociados con el
relaciones con los acceso del proveedor a los activos de la
proveedores organización deberían acordarse con el
proveedor y quedar documentados.
NO Los acuerdos los realizan a nivel institucional
15.1.2 Requisitos de Todos los requisitos relacionados con la
seguridad en contratos con seguridad de la información deberían
terceros establecerse y acordarse con cada proveedor que
puede acceder, tratar, almacenar, comunicar, o
proporcionar componentes de la infraestructura
IT. NO Los acuerdos los realizan a nivel institucional
15.1.3 Cadena de Los acuerdos con proveedores deberían incluir
suministro de tecnología de requisitos para hacer frente a los riesgos de
la información y de las seguridad de la información relacionados con las
comunicaciones tecnologías de la información y las
comunicaciones y con la cadena de suministro de
productos
15.2 Gestión de la provisión de servicios del proveedor
204
15.2.1 Control y revisión Las organizaciones deberían controlar, revisar y
de la provisión de servicios auditar regularmente la provisión de servicios del
del proveedor proveedor NO Los acuerdos los realizan a nivel institucional
15.2.2 Gestión de cambios Se deberían gestionar los cambios en la
en la provisión del servicio provisión del servicio, incluyendo el
del proveedor mantenimiento y la mejora de las políticas, los
procedimientos y controles de seguridad de la
información existentes, teniendo en cuenta la
criticidad de los procesos y sistemas de negocio
afectados así como la reapreciación de los
riesgos
16 Gestión de incidentes de seguridad de la información
16.1 Gestión de incidentes de seguridad de la información y mejoras
16.1.1 Responsabilidades y Se deberían establecer las responsabilidades y
procedimientos procedimientos de gestión para garantizar una
respuesta rápida, efectiva y adecuada a los
No existe procedimiento formal. Para los incidentes hay un
incidentes de seguridad de la información
SI tratamiento escalable, sin embargo no se registran.
16.1.2 Notificación de los Los eventos de seguridad de la información se No es un procedimiento formal. Los incidentes se reportan via
eventos de seguridad de la deberían notificar por los canales de gestión telefónica o por correo al momento que ocurren aunque no sean
información adecuados lo antes posible SI canales indicados en un procedimiento
16.1.3 Notificación de Todos los empleados, contratistas, terceras partes
puntos débiles de la usuarias de los sistemas y servicios de
seguridad información deberían ser obligados a anotar y
notificar cualquier punto débil que observen o
que sospechen que exista, en los sistemas o
servicios Los incidentes se reportan vía telefónica o por correo al momento
SI que ocurren, pero no se documentan como puntos débiles
16.1.4 Evaluación y Los eventos de seguridad de la información
decisión sobre los eventos deberían ser evaluados y debería decidirse si se
de seguridad de clasifican como incidentes de seguridad de la
Los incidentes se atienden de acuerdo a una prioridad implícita pero
información información
SI no han sido clasificados formalmente
205
16.1.5 Respuesta a Los incidentes de seguridad de la información
incidentes de seguridad de deberían ser respondidos de acuerdo con los No existen procedimientos que indiquen cómo dar respuesta a un
la información procedimientos documentados SI incidente.
16.1.6 Aprendizaje de los El conocimiento obtenido a partir del análisis y
incidentes de seguridad de la resolución de incidentes de seguridad de
la información información debería utilizarse para reducir la
probabilidad o el impacto de los incidentes en el
futuro
SI No se guarda en ninguna bitácora la solución de los incidentes.
16.1.7 Recopilación de La organización debería definir y aplicar
evidencias procedimientos para la identificación recogida, No existe procedimiento formal pero sí se recopila información de
adquisición y preservación de información que evidencia para atender un incidente, pero no hay un repositorio
puede servir de evidencia. SI formal para guardar toda la información de atención de la incidencia
17 Aspectos de seguridad de la información para la gestión de la continuidad del negocio
17.1 Continuidad de la seguridad de la información
17.1.1 Planificación de la La organización debería determinar sus
continuidad de la seguridad necesidades de seguridad de la información y de
de la información continuidad para la gestión de seguridad de la La planificación es a un alto nivel de la organización. La no
información en situaciones adversas, por continuidad de operaciones de la sede descentralizada no generaría
ejemplo, durante una crisis o desastre. NO la no continuidad de la institución
17.1.2 Implementar la La organización debería establecer, documentar,
continuidad de la seguridad implementar y mantener procesos,
de la información procedimientos y controles para asegurar el nivel
requerido de continuidad de la seguridad de la
información durante una situación adversa
NO La implementación es a nivel de la sede central
17.1.3 Verificación, La organización debería comprobar los controles
revisión y evaluación de la establecidos e implementados a intervalos
continuidad de la seguridad regulares para asegurar que son válidos y
de la información eficaces durante situaciones adversas
NO La evaluación es a nivel de la sede central
17.2 Redundancias
206
17.2.1 Disponibilidad de Los recursos de tratamiento de la información
los recursos de tratamiento deberían ser implementados con la redundancia
de la información suficiente para satisfacer los requisitos de Las aplicaciones son diferentes para cada proyecto así que no es
disponibilidad NO necesario sistemas de información redundantes
18 Cumplimiento
18.1 Cumplimiento de los requisitos legales y contractuales
18.1.1 Identificación de la Todos los requisitos pertinentes, tanto legales
legislación aplicable y de como regulatorios, estatutarios o contractuales, y
los requisitos contractuales el enfoque de la organización para cumplirlos,
deberían definirse de forma explícita,
documentarse y mantenerse actualizados para
cada sistema de información de la organización.
NO Es un lineamiento institucional
18.1.2 Derechos de Deberían implementarse procedimientos
propiedad intelectual (DPI) adecuados para garantizar el cumplimiento de los
requisitos legales, regulatorios y contractuales
sobre el uso de materiales, con respecto a los
cuales puedan existir derechos de propiedad
intelectual y sobre el uso de productos de
software patentados. No todas las copias del sistema operativo cuentan con licencia. Se
SI utiliza software libre para el desarrollo de aplicaciones
18.1.3 Protección de los Los registros deberían estar protegidos contra la
registros de la organización pérdida, destrucción, falsificación, revelación o
acceso no autorizados de acuerdo con los
Al terminar el proyecto la información permanece en la estación de
requisitos legales, regulatorios, contractuales y
trabajo del empleado y no se elimina. Debería existir un
de negocio
SI procedimiento que indique que se debe hacer con la información.
18.1.4 Protección y Debería garantizarse la protección y la
privacidad de la privacidad de los datos, según se requiera en la Existe una política de protección de datos personales. En la sede
información de carácter legislación y la reglamentación aplicables
descentralizada no se maneja de forma segura los datos personales
personal
SI de las personas.
18.1.5 Regulación de los Los controles criptográficos se deberían utilizar
controles criptográficos de acuerdo con todos los contratos, leyes y
regulaciones pertinentes. No se cuenta con software o hardware que realice funciones
NO criptográficas
207
18.2 Revisiones de la seguridad de la información
18.2.1 Revisión El enfoque de la organización para la gestión de
independiente de la seguridad de la información y su implantación
seguridad de la información (es decir, objetivos de control, controles,
políticas, procesos y procedimientos para la
seguridad de la información), debería someterse
a una revisión independiente a intervalos
planificados o siempre que se produzcan
cambios significativos en la implantación de la Se puede proponer una revisión independiente de la seguridad de la
seguridad. información en la sede descentralizada, sin embargo la factibilidad
NO de realizar auditorías está determinada por la sede central
18.2.2 Cumplimiento de las Los directivos deberían asegurarse de que todos
políticas y normas de los procedimientos de seguridad dentro de su
seguridad área de responsabilidad se realizan correctamente
con el fin de cumplir las políticas y normas de
seguridad y cualquier otro requisito de seguridad
aplicable Los jefes pueden asegurarse que la política de seguridad se cumpla
SI dentro de su área
18.2.3 Comprobación del Debería comprobarse periódicamente que los
cumplimiento técnico sistemas de información cumplen las políticas y
normas de seguridad de la información de la Se tendría que tener personal que realice esa actividad. Se puede
organización
SI coordinar con la sede central para validar el cumplimiento
208
Anexo 10: Indicadores de medición
Responsable Frecuencia Responsable

Frecuencia de Resultado
Objetivo Indicador Descripción del Fórmula de de la
monitoreo esperado
monitoreo evaluación evaluación
Documentación existente
5 Políticas de sobre seguridad de la
Políticas se seguridad
seguridad de la información de acuerdo a lo Cantidad de políticas de acuerdo a la
aprobadas
información indicado en la declaración de Responsable declaración de aplicabilidad - Coordinador
aplicabilidad SGSI Anual Cantidad de políticas existentes 0 Anual SGSI
Cantidad de proyectos con
Seguridad de la
información incluida Actividades de seguridad de 1 vez por cada actividades de seguridad de la
6 Organización en los proyectos la información incluidos en Coordinador proyecto información - Cantidad de proyectos Coordinador
de la seguridad los proyectos desarrollados SGSI desarrollado desarrollas en la sede 0 Anual SGSI
de la información Capacitaciones sobre 1 capacitación al personal 1 vez por cada
seguridad de la que trabaja en el proyecto al Coordinador proyecto Cantidad de proyectos - Cantidad de Coordinador
información inicio de cada proyecto SGSI desarrollado charlas realizadas 0 Anual SGSI
7 Seguridad Firmas de acuerdos de
relativa a los Acuerdos de confidencialidad como parte
recursos confidencialidad de los contratos con Coordinador Cantidad de contratos – cantidad de Coordinador
humanos proveedores SGSI Mensual contratos con firma de acuerdo 0 Anual SGSI
Control de los activos
Cantidad de activos entregados al personal del Coordinador Cantidad de activos entregados - Coordinador
proyecto SGSI Trimestral cantidad de activos devueltos 0 Anual SGSI
8 Gestión de
activos Verificación de que la
Documentación segura documentación del proyecto Cantidad de estaciones de trabajo -
no se encuentre en las Coordinador Cantidad de estaciones de trabajo Coordinador
estaciones de trabajo SGSI Mensual con documentación del proyecto 0 Anual SGSI
209
Clasificación de Verificación que los archivos Coordinador Cantidad total de archivos - cantidad Coordinador
información
estén clasificados SGSI Mensual de archivos no clasificados 0 Semestral SGSI
Verificación que los archivos
Etiquetado de
estén de acuerdo a su Coordinador Cantidad total de archivos - cantidad Coordinador
información
clasificación SGSI Mensual de archivos no etiquetados 0 Semestral SGSI
Verificación de los accesos a
Accesos de usuario la red, a la estación de Coordinador Cantidad de accesos - Cantidad de Coordinador
trabajo y a la base de datos SGSI Mensual personas 0 Semestral SGSI
Validar que las personas
9 Control de tengan solamente los
Privilegios de usuario
acceso privilegios que les Coordinador Cantidad de personas - cantidad de Coordinador
corresponden SGSI Mensual formatos de autorización 0 Semestral SGSI
Verificar que no existan
Usuarios de baja accesos a personas que se Coordinador Cantidad de a accesos - Cantidad de Coordinador
encuentran de baja SGSI Mensual usuarios de baja 0 Semestral SGSI
Verificar que los equipos
Mantenimiento de
equipos tengan un mantenimiento Coordinador Cantidad de mantenimientos recibos Coordinador
11 Seguridad preventivo SGSI Semestral al año Mayor a 0 Anual SGSI
física y del
entorno Verificar que el personal
Política de escritorio cumple con la política de Coordinador Cantidad de incidentes registrados Coordinador
escritorio y pantalla limpia SGSI Mensual incumpliendo la política 0 Semestral SGSI
Verificar que los ambientes 1 vez por cada Cantidad de incidentes
12 Seguridad de Separación de
las operaciones ambientes de desarrollo y producción Coordinador proyecto incumpliendo la política de uso de la Coordinador
estén separados SGSI desarrollado base de datos 0 Semestral SGSI
13 Seguridad de Verificar que las estaciones Cantidad de estaciones de trabajo -
las Protección de equipos de trabajo tienen protección Coordinador cantidad estaciones de trabajo con Coordinador
comunicaciones contra código malicioso SGSI Mensual antivirus instalado 0 Semestral SGSI
14 Adquisición, Verificar que cada usuario
desarrollo y Acceso a la aplicación tenga un acceso autorizado Coordinador Cantidad de usuarios - Cantidad de Coordinador
mantenimiento para ingresar a la aplicación SGSI Mensual autorizaciones de acceso firmadas 0 Semestral SGSI
210
de los sistemas Verificar que las
de información modificaciones de la data de
Auditoria de tablas
críticas las tablas transaccionales
críticas son registradas en Coordinador Cantidad de tablas críticas - cantidad Coordinador
tablas de auditoria SGSI Mensual de tablas de auditoria 0 Semestral SGSI
Verificar que el usuario tiene
Perfiles de usuario perfiles de acceso a la
aplicación acuerdo a su Coordinador Cantidad de usuarios con perfiles Coordinador
funciones SGSI Mensual que no les corresponden 0 Semestral SGSI
Verificar que la aplicación se
desarrolla de acuerdo a los Cantidad de observaciones de no
Desarrollo de
aplicaciones principios de ingeniería de aplicación de principios de ingeniería
sistemas seguros que son Coordinador Después del de sistemas seguros enviadas por Coordinador
pertinentes SGSI pase a calidad calidad 0 Semestral SGSI
16 Gestión de
incidentes de Gestión de incidentes Verificación de la respuesta
seguridad de la de seguridad a incidentes de seguridad de Coordinador Cantidad de incidentes reportados - Coordinador
información la información SGSI Mensual cantidad de incidentes atendidos 0 Semestral SGSI
Determinar la cantidad de
Licenciamiento de estaciones de trabajo que Cantidad total de estaciones de
18 Cumplimiento
software cuentan con software no Coordinador trabajo - cantidad de estaciones de Coordinador
licenciado SGSI Trimestral trabajo con licencia 0 Semestral SGSI
211
Anexo 11: Formatos diversos
NOMBRE DE LA POLITICA DETALLADA
Datos del documento:

Código Código asignado al documento
Versión Versión del documento
Creado por Quién creó el documento
Fecha de creación Fecha de creación del documento
Aprobado por Quién aprobó el documento
Fecha de
aprobación Fecha de aprobación del documento
Grado de acceso Ver punto 3.2.5.1
Historial de modificaciones:
Fecha Versión Tipo Nombre Descripción
Nombre de la
persona que
Fecha de Versión del Creación / modificó o creó el Detalle de lo
modificación documento Modificación documento modificado
Objetivos de la política:
Ámbito de aplicación:
Otros documentos de referencia:
Compromisos:
212
ACTA
Siendo las ______ del día ___ , se reunieron en _________, con el objetivo
de_________, las siguientes personas:
Apellidos Nombres Cargo Firma aceptación acuerdos
Invitados
Apellidos Nombres Cargo Firma aceptación acuerdos
Agenda
Hora Inicio Asunto a tratar Responsable
Documentos
Acuerdos
213
BITÁCORA DE EVALUACIÓN DE CONTROLES
Resultado Resultado
Nombre Fecha de de la de la Nombre del Resultado
del control Indicador implementación medición evaluación Hallazgos responsable Sugerencia final
Indicar la Sugerencias Determinar
cantidad de que pueden si el control
Nombre del Nombre Fecha de veces que se Indicar el Descripción incluir a las continua, se
objetivo de del implementación realizó la valor de la de lo Nombre del partes optimiza, se
control indicador del control medición evaluación encontrado evaluador interesadas elimina
REGISTRO DE INCIDENCIAS
Activo Fecha de
Nro. Origen Fecha Hora afectado Criticidad Repetitivo Responsable atención
Si la
incidencia
Número de Indicar el De acuerdo ya se Responsable
la Origen de la Fecha de Hora de valor de la a escalas de informó inmediato de Fecha de
incidencia incidencia incidencia incidencia evaluación impacto antes la atención atención
Atendido
por Causa Estado
Atendido,
Derivado,
En espera
Quien lo Causa que lo por falta de
Continúa atendió generó recursos
214

UPriplarzm

Cargado por

Copyright:

Formatos disponibles

UPriplarzm

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

UPriplarzm

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL DE SAN AGUSTÍN DE

UNIDAD DE POSGRADO DE LA FACULTAD DE INGENIERÍA DE

“Diseño de un Sistema de Gestión de la seguridad de la

Tesis presentada por la Bachiller:

Asesor: Dr. César Armando Beltrán Castañón

A mi familia, por brindarme siempre su apoyo incondicional.

A mi amada hija Micaela, quién me motiva a ser cada día mejor.

Figura 1 Historia ISO 27001

 ISO International Organization for Standardization

En el presente trabajo se ha diseñado un sistema de gestión de la seguridad de la

Se inicia el proyecto con el planteamiento metodológico que viene a ser el Capítulo I

 Sistema de Gestión de Seguridad de la Información

 Information Security Management System

Hoy en día es innegable que la información de todas las empresas públicas o

Estas situaciones de inseguridad se presentan gracias a los esquemas ineficientes de

Se sabe también que el proponer o identificar una política de seguridad requiere un

Lo que se busca entonces es que, a través de la implementación de normas de

En ese sentido este trabajo pretende diseñar un sistema de gestión de la seguridad de

1.1 Problema de investigación

1.1.1 Enunciado del problema

Debido a que anualmente se dan varios casos de violaciones a la seguridad

Muchas entidades del estado no tienen un conocimiento claro sobre lo que

La institución pública a la que se hace referencia en este trabajo de

El principal problema de estas sedes descentralizadas es la protección de la

1.1.2 Antecedentes del problema

Desde que la información de las organizaciones se ha convertido un activo

La problemática sobre seguridad de la información referente al robo de

Con respecto a américa latina, el observatorio de ciberseguridad en su

En lo referente al Perú, el informe indica que el 40% de la población tiene

1.1.3 Descripción del problema

En la sede descentralizada de la organización, a la que refiere el caso de

Existe una necesidad real para la aplicación de estrategias de seguridad de la

1.1.4 Formulación Interrogativa del problema

Se plantea la siguiente interrogante:

 ¿Cómo asegurar la información en la oficina de informática de la

1.1.5 Justificación de la investigación

Debido al acceso a distintos tipos de dispositivos electrónicos y la

La fuga de información y los ataques a la seguridad son problemas frecuentes,

Adoptar medidas de seguridad de la información en la sede descentralizada

Por otro lado, el personal técnico y administrativo de la organización debe

1.1.6 Limitaciones de la investigación

El alcance de la investigación es el diseño de un sistema de gestión de la

Es importante mencionar que debido al tipo de proyecto, es posible que no se

1.2.1 Objetivo General

Diseñar un sistema de gestión de la seguridad de la información basada en la

1.2.2 Objetivos Específicos

 Realizar el análisis de brecha para identificar los controles existentes.

1.3 Tipo de investigación

Investigación exploratoria, porque se analiza el caso de estudio, aplicaciones

1.4 Nivel de Investigación

Exploratoria, porque los resultados serán consecuencia de lo observado en el

1.5 Diseño de la Ejecución

1.5.1 Delimitación Espacial y Temporal

En muchas entidades del estado, la necesidad de contratar recursos humanos

 Consultoras externas como “fábricas de software” con paquetes de

La sede descentralizada a la que se hace referencia en este caso de estudio,

El personal que trabaja en la sede descentralizada, es contratado por proyecto.

La información que se maneja en la sede descentralizada es la información de

1.5.2 Método de Investigación