Escuela Militar de Ingeniería

“Mariscal Antonio José de Sucre”

Bolivia

PERFIL DE TESIS DE MAESTRÍA

DISEÑO DE UN SISTEMAS DE GESTION DE LA SEGURIDAD DE

LA INFORMACIÓ (SGSI) PARA MITIGAR LOS RIESGOS DE UNA
CORPORACION, BASADO EN LA NORMA ISO 27001:2013

ALEJANDRO LEANDRO BOBARIN BALCAS

TARIJA, 2024
DISEÑO DE UN SISTEMAS DE GESTION DE LA SEGURIDAD DE
LA INFORMACIÓ (SGSI) PARA MITIGAR LOS RIESGOS DE UNA
CORPORACION, BASADO EN LA NORMA ISO 27001:2013

ALEJANDRO LEANDRO BOBARIN BALCAS

Modalidad: Tesis de Grado presentado

como requisito parcial para optar al título de
Magister Scientiarum en la Maestría en
Seguridad de Tecnologías de la Información

TUTOR: M.SC……

TARIJA, 2024
 TABLA DE CONTENIDOS

CAPÍTULO 1............................................................................................................ 7

1. GENERALIDADES............................................................................................7

1.1 INTRODUCCION........................................................................................7

1.2 ANTECEDENTES DEL PROBLEMA DE INVESTIGACIÓN.......................7

1.3 IDENTIFICACIÓN, PLANTAMIENTO Y FORMULACIÓN DEL PROBLEMA

7

1.3.1 FORMULACION DEL PROBLEMA..........................................................7

1.4 PLANTEAMIENTO DE OBJETIVOS..............................................................7

INDICE DE TABLAS
ÍNDICE DE FIGURAS
 CAPÍTULO 1
1. GENERALIDADES
1.1 INTRODUCCION

A medida que van creciendo y evolucionando las tecnologías de la información,

las telecomunicaciones y redes, incrementan los riesgos de seguridad a los que
están expuestos los activos de información de las empresas y corporaciones, las
cuales pueden afectar negativamente a los procesos del negocio y/o expansión de
esta.

Según (Claudio Martinelli, 2024) Una de cada 8 empresas de América Latina ha

sufrido incidentes digitales por baja inversión en ciberseguridad.
Una investigación de la compañía de seguridad digital reveló que, en la región, el
27% de los ataques se dirigen a industrias de infraestructura crítica.
Con lo anterior se ve cómo los riesgos aumentan, lo que puede dejar expuesto a
las líneas de negocio de una organización, por eso muchas empresas han creado
políticas y procedimientos que les permitan garantizar la seguridad de la
información, preservar la imagen corporativa y la continuidad del negocio, ya sea a
corto, mediano y largo plazo.

En Bolivia Mediante un comunicado, Hacking Bolivia advirtió un ataque de

denegación de servicio (DDos) a diversos servidores gubernamentales desde el
pasado 25 de abril en horas de la mañana, los cuales ocasionaron la interrupción
de su funcionamiento y la necesidad de realizar mantenimiento. (EL DIARIO,
2024), lo que deja en evidencia como en Bolivia se tienen varios ataques
informáticos que pueden llegar a afectar el estado de las empresas tanto privadas
como públicas y se debe tener un enforque en la seguridad de la información.Lo
que deja en evidencia como en Bolivia se tienen varios ataques informáticos que
pueden llegar a afectar el estado de las empresas tanto privadas como públicas y
se debe tener un enforque en la seguridad de la información.

1
La empresa ESAM es una empresa privada, dedicada al desarrollo de programas
de posgrado como ser Diplomados, Maestría y cursos de las áreas de: Derecho,
Salud, Ingeniería, Social y Empresarial a nivel nacional. Además, la empresa
ESAM está en proceso de expansión internacional, proyectándose como una
empresa de alcance internacional.

Este documento pretende lograr un sistema de gestión de seguridad de la

información que le permita a la empresa ESAM contar con las buenas prácticas de
seguridad de la información, políticas y procedimientos de esta.

2.- ANTECEDENTES
2.1 ANTECEDENTE INTERNACIONAL

2.2 ANTECEDENTE NACIONAL

3. IDENTIFICACION Y PLANTEAMIENTO DEL PROBLEMA

3.1 ANTECEDENTES DEL PROBLEMA DE INVESTIGACIÓN

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de

procedimientos utilizados para identificar los riesgos y definir los pasos de
mitigación de riesgos a realizar en la empresa, lo que garantizará que la empresa
tome las medidas necesarias para mantener la seguridad de los datos y la
información. Esto puede ser cualquier tipo de información, como ser datos de
personas, procesos internos o detalles de pago. Hoy en día en Bolivia algunas
empresas cuentan con la certificación ISO/IEC 27001:2022 para el sistema de
gestión de seguridad de la información como ser la FGR (Fiscalía General del
Estado Boliviano), Ministerio Publico, Minera San Cristóbal S.A. entre otros.

Para lograr un excelente un sistema de gestión de seguridad de la información se

usa la norma ISO/IEC 27001 que es la norma internacional que define cuales

2
deben ser los componentes y como deben utilizarse. Estos estándares describen
las medidas de protección de seguridad de la información que deben considerarse
para su implementación, llamados controles.

Según el informe del (Centro de Gestión de Incidentes Informáticos , 2024)

“Durante el primer trimestre del 2024, se gestionaron 239 incidentes y
vulnerabilidades que corresponden a reportes nuevos y abiertos en meses
anteriores” y (Centro de Gestión de Incidentes Informáticos, 2024) “Durante el
segundo trimestre del 2024, se gestionaron 215 incidentes y vulnerabilidades que
corresponden a reportes nuevos y abiertos en meses anteriores.”
Como se pudo observar en los informes es preocupante la cantidad de incidentes
que existen en el país solo los registrados lo cual revela la inseguridad que se
tiene en el país y las empresas. También existe los incidentes no reportados así lo
dice (EL DIARIO Decano de la Prensa Nacional, 2024) “La vergüenza, la
desconfianza en los operadores de justicia y el desconocimiento en temas de
ciberseguridad, son tres causas principales por las que las personas no suelen
denunciar delitos cibernéticos, según analizó el abogado penalista, Erick Iriarte.”
Esto solo demuestro lo inseguros que se encuentran las empresas en Bolivia y la
necesidad de protegernos de los ciberdelincuentes y ciberataques para prevenir el
robo de información para esto las empresas diseñan un SGSI para que puedan
estructurar, documentar y cumplir con sus propias medidas de seguridad,
identificación de forma independiente, en función de los controles sugeridos de la
norma ISO/IEC 27001.

3.2 PLANTAMIENTO DEL PROBLEMA

Teniendo en cuenta el tipo de información que se almacena y procesa en los

registros de posgraduantes y docentes, y el aumento de casos de ciberataque en
Bolivia, se puede destacar la preocupación por la seguridad digital de la empresa.
Según (Sucre/CORREO DEL SUR, 2024) “Cada vez se conocen más ataques
cibernéticos a cuentas en redes sociales y sitios web en Bolivia, aunque es difícil

3
cuantificarlos y diferenciarlos en un contexto en el que faltan acciones
encaminadas a una mayor seguridad digital, señala el coordinador de Tecnología
y Seguridad de la Fundación InternetBolivia.org, Guillermo Movia”

La empresa actualmente enfrenta serias deficiencias en sus prácticas de

seguridad de la información.
Estas deficiencias incluyen la ausencia de una manuela de buenas prácticas y la
falta de políticas de seguridad de la información claramente definidas.
La organización no cuenta con un manual que establezca directrices claras sobre
el manejo seguro de la información, esto puede resultar en prácticas inconsistente
e inseguras entre los empleados, lo que aumentaría el riesgo de la exposición de
datos sensibles.
La falta de la estandarización en las buenas prácticas de la información puede
llevar a errores humanos, vulnerabilidades explotables y una gestión ineficaz de la
información, lo que pone en riesgo la integridad y confidencialidad de los datos de
estudiantes y docentes.

También la empresa no cuenta con políticas formales de seguridad de la

información que definan las responsabilidades y procedimientos adecuados para
proteger los datos sensibles. Esta carencia puede crear una falta de claridad y
responsabilidad en la protección de la información.
Ya que, sin estas políticas de seguridad de la información, lo que incrementa la
probabilidad de brechas de seguridad, perdida de datos y compromisos de
integridad. Esto también afecta la capacidad de la empresa para responder
adecuadamente a incidentes de seguridad.

Todo lo mencionado anterior mente puede resultar en consecuencias potenciales

para la empresa como el compromiso de la información sensible como los
registros de los posgraduantes, docente y empleados de la empresa. Daño a la
reputación como ser la pérdida de confianza de los estudiantes y aliados

4
internacionales. Impacto financiero lo que puede ser costos de por interrupción de
operaciones y posibles demandas legales.

4.FORMULACION DEL PROBLEMA

¿De qué manera se puede identificar y optimizar los procesos críticos, basándose
en un estándar de seguridad de la información como guía de documentación de
buenas prácticas de seguridad en la Ciudad de Tarija, año 2024?

5. PLANTEAMIENTO DE OBJETIVOS

5.1 OBJETIVO GENERAL

Diseñar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en

la norma ISO 27001:2013, que permita la identificación de los riesgos de
seguridad existentes sobre los procesos críticos y la formulación de
procedimientos para el control de estos.

5.2 OBJETIVOS ESPECÍFICOS

 Realizar un análisis de vulnerabilidades, amenazas y riesgos actuales en

los activos de información seleccionados con base en la metodología de
gestión de riesgos seleccionada.
 Definir el tratamiento de los riesgos encontrados sobre los procesos críticos
de la organización y seleccionar controles de seguridad de la norma ISO
27001:20213 para el tratamiento de los riesgos identificados.
 Crear las políticas de seguridad de la información para la organización, con
base en el modelo de seguridad y privacidad de la información y, los
controles de seguridad y recomendados por la norma ISO 27001:2013.

5
6. JUSTIFICACION
6.1 JUSTIFICACIÓN SUBJETIVA

La presente investigación busca fortalecer las competencias de la seguridad de la

información, contribuir al crecimiento profesional y aporta un valor significativo a la
empresa. Además, la mejora en la seguridad de la información beneficiara
directamente a los empleados y posgraduantes al garantizar la protección de sus
datos personales y la continuidad del servicio posgradual de alta calidad.

6.2 JUSTIFICCACIÓN TEÓRICA

Usando la norma ISO 27001:2022, la presente investigación busca proporcionar

un marco teórico robusto que guie la identificación, evaluación y mitigación de
riesgos. Este enfoque no solo alineará a la empresa con las mejores prácticas de
la seguridad de la información, sino que también contribuirá a la literatura existente
sobre el diseño de un sistema de gestión de seguridad de la información em
contextos corporativos, especialmente en empresas de educación superior en
Bolivia.

6.3 JUSTIFICACIÓN METODOLÓGICA

La presente investigación adoptara una combinación de métodos cualitativos y

cuantitativos para garantizar una comprensión completa de los riesgos y las
medidas de mitigación necesarias. Se utilizarán encuestas, entrevistas y análisis
de datos para identificar vulnerabilidades específicas y evaluar la eficacia de las
soluciones según la norma ISO 27001:2022.

6.4 JUSTIFICACIÓN SOCIAL

El diseño de un Sistema de Gestión de Seguridad de la Información tendra en la

comunidad y en la sociedad en general. Al mejorar la seguridad de la información,

6
la empresa podrá proteger mejor los datos sensibles de los estudiantes y
empleados, lo que contribuirá a generar confianza y reputación positiva, además,
la adopción de mejores prácticas en seguridad de la información puede servir
como modelo para otras instituciones educativas y corporativas en Bolivia,
fomentando a la cultura de la seguridad de la información y protección de los
datos.

6.5 JUSTIFICACIÓN TÉCNICA

El diseño de un Sistema de Gestión de Seguridad de la Información tiene ciertos

beneficios que aportara a la infraestructura tecnológica de la empresa. Al adoptar
los controles y procedimientos establecidos por la norma ISO 27001:2022, la
empresa podrá identificar y mitigar de manera más eficaz las amenazas a la
seguridad de sus sistemas de información. Esto no solo disminuirá el riesgo a
incidentes de seguridad, sino que también podrá mejorar la eficiencia operativa y
garantizará la continuidad del negocio, alineándose con los objetivos estratégicos
de expansión internacional de la empresa.

7.DESTERMINACION DE LOS ALCANCES

7.1 ALCACE TEMATICO

7.1.1 Área de investigación

El área de investigación del presente trabajo está en el contexto de la seguridad

de la información, con énfasis en el diseño de un Sistema de Gestión de
Seguridad de la información tomando como referencia la Norma ISO 27001:2022.

7.1.2 Tema Especifico

7
El tema Específico de la investigación está basado en el desarrollo de un modelo
de un Sistema de Gestión de Seguridad de la Información basado en la norma
internacional ISO 27001:2022 e ISO 27002:2017, a ser aplicado por empresas de
posgrado que demanden el diseño de un SGSI en la infraestructura tecnológica en
Bolivia.

7.1.3 Nivel de Investigación

La investigación inicialmente es explicativa/exploratoria/ para abordar el problema

de la seguridad de la información desde múltiples perspectivas, garantizando un
análisis comprensivo y el diseño de soluciones efectivas y fundamentadas para
guiar a un descriptivo para representar clara y detalladamente la seguridad de la
empresa y documentar los riesgos y practica actuales.
7.2 ALCANCE ESPACIAL

La investigación está dirigida a empresas privadas dedicadas al desarrollo de

programas de posgrado, como diplomados, maestrías y cursos en las distintas
áreas a nivel nación y con miras o procesos de expansión internacional de la
ciudad de Tarija.

7.3 ALCANCE TEMPORAL

La recolección y análisis de los datos considerados para este trabajo de

investigación propuesto alcanzó o en el periodo de cinco (5) meses (agosto,
septiembre, noviembre y diciembre) la gestión 2024.

8
Cuestionario

Fecha:
Nombre del entrevistado:
Área / dpto.:
Cargo:
Empresa:
Objetivo: Conocer el estado actual de los procesos sobre la seguridad de la
información para definir el alcance y límites del SGSI.
PREGUNTAS
1. ¿Qué equipos informáticos tiene asignados para el desarrollo de sus
funciones?
_Computador de escritorio
_ Computador portátil
_ Celular
_ Servidor
_ Otro. ____________________
2. ¿Quién es el responsable de instalar y mantener el software actualizado en
los equipos informáticos?
_ Cada colaborador
_ Personal de TI
_ Gerente general
_ Otro. _____________________
3. ¿Qué versión de Windows utiliza en los equipos asignados?

9
_ Windows 11
_ Windows 10
_ Windows 7
_ Otro. _____________________
4. ¿Su equipo exige usuario y contraseña para iniciar sesión?
_ Si
_ No
_ No sabe

5. ¿Sabe usted si sus contraseñas son seguras?

_ Si
_ No
_ No sabe

6. ¿Qué navegador web utiliza normalmente?

_ Chrome
_ Mozilla
_ Safari
_ Otro. ______________________

7. ¿Puede usted navegar libremente por internet en el computador

asignado?
_ Si
_ No
_ No sabe

8. ¿Tiene software antivirus instalado en su equipo de cómputo?

_ Si
_ No
_ No sabe
9. SI la respuesta anterior es afirmativa. ¿Qué antivirus está instalado?

10
_ Avast
_ McAfee
_ Kaspersky
_ otro. _______________________
10. ¿Utiliza un firewall en su equipo de cómputo?
_ Si
_ No
_ No sabe
11. ¿Sabe usted si la empresa monitorea cada uno de los equipos
informáticos?
_ Si
_ No
_ No sabe
12. ¿Utiliza memorias o discos externos USB en su computadora?
_ Si
_ No
_ No sabe
13. ¿Dónde almacena y gestiona la información importante de su cargo?
_ Discos Duros
_ Memorias USB
_ Carpetas de Escritorio / Mis Documentos / Imágenes
_ Servidor de almacenamiento NAS
_ Otro. _______________________
14. ¿Utiliza alguna herramienta o solución informática para el desarrollo y
cumplimiento de las actividades propias del cargo?

15. ¿Realiza usted copias de seguridad de su información?

_ Si
_ No
_ No sabe

11
16. Si la respuesta a la pregunta anteriores No, ¿indicar el por qué? Y si es SI
describir el proceso realizado.

17. ¿Cree usted que el activo más valioso para cualquier empresa es la
información?
_ Si
_ No
_ No sabe
18. ¿Ha sido víctima de infección por virus, robo de datos y/o fuga de
información?
_ Si
_ No
_ No sabe
19. Si su respuesta anterior es SI, describir lo sucedido.

20. ¿Sabe usted si la empresa cuenta con política de seguridad

informática?
_ Si
_ No
_ No sabe
21. ¿Utiliza correo electrónico corporativo?
_ Si
_ No
_ No sabe
22. ¿Tiene usted contacto frecuente con clientes y/o proveedores?
_ Si
_ No
_ No sabe

12
23. ¿Comparte o recibe información sensible por correo electrónico?
_ Si
_ No
_ No sabe
24. ¿Sabe usted detectar y/o reconocer un correo sospechoso?
_ Si
_ No
_ No sabe
25. ¿La empresa cuenta con un departamento de seguridad informática?
_ Si
_ No
_ No sabe

13