Tesis - Plan de Seguridad - Urrutia Lozada Ivonne

FACULTAD DE INGENIERA
ESCUELA DE SISTEMAS
PLAN DE SEGURIDAD DE LA INFORMACIN

PARA EL REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES JUVIER S.AC.
TESIS PROFESIONAL
PARA OPTAR EL TTULO PROFESIONAL DE INGENIERO DE SISTEMAS
Autor:
Br. Urrutia Lozada, Ivonne Jackeline
Asesor:
Ing. Juan Francisco, Pacheco Torres
TRUJILLO - PER
2011
El Presidente y los Miembros del Jurado Evaluador designado por la Escuela de

Ingeniera de Sistemas
Aprueban la tesis denominada:
PLAN DE SEGURIDAD DE LA INFORMACIN

PARA EL REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES JUVIER S.AC.
Presentada Por:
Ivonne Jackeline Urrutia Lozada
Aprobado Por:
Ing. Alberto Mendoza de los

Santos.
PRESIDENTE
Ing. Jos Luis Madrid

Rentera
SECRETARIO
ii
Ing. Juan Francisco

Pacheco Terrones
VOCAL
DEDICATORIA
A Dios,
Porque es l quien da a da me ha brindado la paciencia,
el conocimiento y la fuerza para continuar con mi sueo,
sin importar los obstculos que se me han presentado en la vida
en formas distintas, pero que han tenido el objetivo de dejar
mis sueos como algo inalcanzable.
Gracias a Dios todo fue posible.
A mi familia,
que con su ejemplo de vida,
han sabido infundirme aquellos valores
que hacen de m, la persona que hoy en da soy.
A mi Novio,
Por su gran amor y por
brindarme su constante apoyo.
Urrutia Lozada, Ivonne Jackeline.
iii
AGRADECIMIENTOS
En el transcurso del presente proyecto de investigacin, hubo personas que me

ayudaron en el desarrollo del proyecto, brindndome sabios consejos, conocimientos y
sobre todo su apoyo desinteresado para sobrellevar algunos momentos difciles y
tediosos durante el desarrollo, sin embargo hubo algunas personas cuyo aporte fue muy
significativo.
Por tanto mi eterna gratitud:

A la Universidad Csar Vallejo, donde la excelencia no es el fin sino una forma de
vida.
Al Dr. Jos Domingo Carrillo Verdn, docente de la Universidad Politcnica de
Madrid, que con su constante gua, apoyo y nimo mantuvo una lnea razonable y
sistemtica sobre este trabajo.
A la Sra Victoria Rodrguez Ros, Gerente General de la Empresa de Transportes
JUVIER S.A.C cuyo aporte marc el rumbo y direccin del presente trabajo
Al Ing. Juan Pacheco Terrones, asesor y amigo, por su apoyo constante y
desinteresado en el desarrollo de la presente investigacin.
A todos los docentes, gracias por compartir y transmitir no slo conocimientos, sino
valiosas experiencias que me han permitido alcanzar mi objetivo primordial: formacin
como profesional y personal.
Trujillo, 29 de Septiembre del 2011
iv
PRESENTACIN
Seores Miembros del Jurado:
En cumplimiento a lo establecido en la Ley Universitaria 23733, 26409 y RES 437 95
ANR, Ley de Creacin de la UCV 25530 as como el Reglamento General de
Evaluacin Acadmico de la Universidad Csar Vallejo como requisito para obtener el
Ttulo Profesional de Ingeniero de Sistemas, es que ponemos a vuestra disposicin la
presente investigacin denominada: Plan de Seguridad de la Informacin para el
rea de Gerencia de Operaciones de la Empresa de Transportes Juvier S.A.C
La presente investigacin pretende explicar principalmente la importancia de la cultura

y la madurez organizativa en administracin de riegos de la informacin en pequeas y
medianas empresas. Este Plan de Seguridad ayudara a gestionar el riesgo y convertirlo
en ventaja competitiva para la empresa permitindole disponer de informacin de mejor
calidad para la toma de decisiones.
Se mostrarn tcnicas y herramientas que pueden ser de gran ayuda a la hora de
identificar y gestionar los riesgos, logrando clasificar, analizar valorar los eventos que
pueden amenazar la consecucin de los objetivos. En este proyecto se explica cmo
llevar a cabo cada fase de la administracin de riesgos en la empresa y cmo crear un
proceso continuo para medir y llevar los riesgos de seguridad a un nivel aceptable. Se
propone una serie de estrategias plasmados en un plan con respuesta a los riesgos,
lo que implica tener en cuenta los tres requisitos comunes de seguridad:
Integridad, Confidencialidad y Disponibilidad.
Parte de la responsabilidad de los administradores de una organizacin es velar

por la seguridad de su negocio. De hecho, el riesgo de negocio est relacionado
con la prdida de confidencialidad de informacin sensible.
NDICE GENERAL
DEDICATORIA ................................................................................................ iii

AGRADECIMIENTOS........................................................................................ iv
PRESENTACIN...............................................................................................v
NDICE GENERAL ............................................................................................ vi
NDICE DE TABLAS...........................................................................................x
NDICE DE MATRICES ..................................................................................... xii
NDICE DE FIGURAS ...................................................................................... xiii
RESUMEN ................................................................................................... xiv
INTRODUCCIN ........................................................................................... xvi
CAPITULO I: MARCO TERICO REFERENCIAL ......................................................18
1.1.
El problema de Investigacin: ............................................................................. 18
1.1.1. Realidad Problemtica: .......................................................................................... 18

1.1.2. Formulacin del Problema ..................................................................................... 19
1.1.3. Justificacin del Estudio ......................................................................................... 19
1.1.3.1.
Estratgico - Competitivo .............................................................................. 19
1.1.3.2.
Econmica................................................................................................... 20
1.1.3.3.
Tecnolgica ................................................................................................. 20
1.1.4. Antecedentes del Problema: .................................................................................. 20
1.1.4.1.
A nivel Local: ............................................................................................... 20
1.1.4.2.
A nivel Nacional: .......................................................................................... 21
1.1.4.3.
A nivel Internacional ..................................................................................... 22
1.1.5. Objetivos ............................................................................................................. 23
1.1.5.1.
Objetivo General .......................................................................................... 23
1.1.5.2.
Objetivos Especficos .................................................................................... 23
1.2.
Marco Referencial ................................................................................................ 24
1.2.1. Marco Terico ...................................................................................................... 24

1.2.1.1.
1.2.1.2.
1.2.1.3.
1.2.1.4.
1.2.1.5.
1.2.1.6.
1.2.1.7.
1.2.1.8.
1.2.1.9.
1.2.1.10.
1.2.1.11.
1.2.1.12.
1.2.1.13.
1.2.1.14.
1.2.1.15.
1.2.1.16.
1.2.1.17.
1.2.1.18.
Plan ............................................................................................................ 24
Seguridad .................................................................................................... 24
Informacin................................................................................................. 25
Gerencia de Operaciones .............................................................................. 25
Metodologa ................................................................................................ 26
Anlisis de riesgo.......................................................................................... 26
Gestin de riesgo ......................................................................................... 27
Incidente..................................................................................................... 27
Activo ......................................................................................................... 27
Valor .......................................................................................................... 28
Amenaza..................................................................................................... 28
Salvaguardas ............................................................................................... 29
Vulnerabilidad ............................................................................................. 29
Riesgo......................................................................................................... 29
Control ....................................................................................................... 29
Datos.......................................................................................................... 29
Seguridad de la Informacin y Seguridad Informtica ........................................ 30
Auditoria ..................................................................................................... 31
vi
1.2.1.19.
1.2.1.20.
1.2.1.21.
1.2.1.22.
1.2.1.23.
1.2.1.24.
1.2.1.25.
1.2.1.26.
Proceso de Auditoria .................................................................................... 34

Comit de Informtica .................................................................................. 35
Poltica de Seguridad .................................................................................... 36
Normativas Aplicables................................................................................... 37
METODOLOGA MAGERIT.............................................................................. 38
METODOLOGA OCTAVE................................................................................ 39
METODOLOGA CRAMM ............................................................................... 39
Eleccin de la Metodologa de anlisis de riesgos ............................................. 40
1.2.2. Marco Conceptual ................................................................................................ 43

1.2.2.1.
1.2.2.2.
1.2.2.3.
1.2.2.1.
1.2.2.2.
1.2.2.3.
1.2.2.4.
1.2.2.5.
Plan de Seguridad de la Informacin ............................................................... 43

Gerencia de Operaciones .............................................................................. 43
ISO 27002:2005............................................................................................ 43
Metodologa MAGERIT.................................................................................. 44
Anlisis de riesgos ........................................................................................ 48
Gestin de riesgos ........................................................................................ 48
Seguridad de la Informacin .......................................................................... 48
Auditora Ofimtica ...................................................................................... 49
1.3.
Hiptesis ............................................................................................................... 49
1.4.
Variables............................................................................................................... 49
1.4.1.
1.4.2.
Poblacin y muestra ............................................................................................. 50
1.5.
1.5.1.
1.5.2.
1.6.
Definicin Conceptual ........................................................................................... 49

Definicin Operacional .......................................................................................... 49
Poblacin............................................................................................................. 50
Muestra por Indicador........................................................................................... 50
Diseo de Investigacin ........................................................................................ 51
1.4.1. Objeto de Estudio ................................................................................................. 51

1.4.2. Tcnicas e Instrumentos, fuentes e informantes ....................................................... 51
1.4.3. Forma de anlisis e Interpretacin de resultados ...................................................... 52
1.4.3.1.
Anlisis de contrastacin ............................................................................... 52
1.4.3.2.
Indicadores...................................................................................................... 53
1.4.4. Mtodo ............................................................................................................... 54
CAPITULO II: METODOLOGA...........................................................................56

FASE I: PLANIFICACIN ............................................................................................. 60
A1.1: Estudio de Oportunidad ............................................................................................. 60
A1.2: Determinacin del alcance del proyecto ....................................................................... 61
A1.3: Planificacin del proyecto.......................................................................................... 65
ANLISIS DE LA SITUACIN ACTUAL ..................................................................... 69
PRESENTACIN DE LA EMPRESA ................................................................................. 69

PERFIL GENERAL DE LAS UNIDADES DE LA EMPRESA...................................................... 70
DETERMINACIN DEL DOMINIO ................................................................................. 74
DESCRIPCIN DEL REA............................................................................................. 74
LUGAR GEOGRFICO DE LA EMPRESA.......................................................................... 76
LOCAL DE LA EMPRESA .............................................................................................. 76
LAY OUT DE LA EMPRESA ........................................................................................... 77
DISEO DE LA RED ACTUAL ........................................................................................ 79
RECURSOS INFORMTICOS EXISTENTES ....................................................................... 80
Revisin equipos informticos actuales de la empresa .............................................. 81
Informes por daos y averas de equipos informticos ............................................... 83
Proforma de adquisicin de nuevo equipo informtico .............................................. 83
Relacin de unidades de la Empresa que se ver afectada como permetro del dominio.
84
vii
Lista de funciones relevantes en otras unidades, a considerar para la caracterizacin del

entorno. ...................................................................................................................... 84
Dominio y Lmites establecidos por la gerencia de operaciones................................... 84
DIMENSIONES DEL PROYECTO .................................................................................... 85
A.
COSTES DEL PROYECTO.......................................................................................... 85
A.1.
Costos de Inversin ...................................................................................... 85
A.2.
Costos de Desarrollo ..................................................................................... 86
A.3.
Costos de Operacin..................................................................................... 87
B.
BENEFICIOS DEL PROYECTO.................................................................................... 89
B.1.
Beneficios Tangibles ..................................................................................... 89
B.2.
Cuadro de Flujo de Caja................................................................................. 89
C.
PLANIFICACIN DEL PROYECTO .............................................................................. 90
D. DIMENSIN DEL PROYECTO ................................................................................... 91
FASE II: ANLISIS DE RIESGOS................................................................................. 94

A2.1: Caracterizacin de los activos..................................................................................... 94
T2.1.1: Identificacin de los activos................................................................................. 94
T2.1.2: Dependencia entre activos .................................................................................. 96
T2.1.3: Valoracin de los activos ................................................................................... 98
A2.2: Caracterizacin de las amenazas ............................................................................... 102
T2.2.1: Identificacin de las amenazas ........................................................................... 102
T2.2.2: Valoracin de las amenazas ............................................................................ 106
A2.3: Caracterizacin de las salvaguardas .......................................................................... 110
T2.3.1: Identificacin de las salvaguardas existentes...................................................... 110
A2.4: Estimacin del estado de riesgo ................................................................................ 118
FASE III: GESTIN DE RIESGOS .............................................................................. 125

3.1.
Actividad A3.1: Toma de decisiones....................................................................... 125
T3.1.1: Calificacin de los riesgos .................................................................................. 125
A3.2. Elaboracin del plan de seguridad de la informacin .................................................... 128
A3.2.1 Plan de seguridad.............................................................................................. 128
CAPTULO III: CONTRASTACIN ..................................................................... 141

CAPITULO IV : DISCUSIN DE LOS RESULTADOS ............................................... 159
CAPITULO V: CONCLUSIONES Y RECOMENDACIONES ........................................ 163
CAPITULO VI: REFERENCIAS BIBLIOGRFICAS................................................... 167
CAPTULO VII ....................................................................................... 129

ANEXO 1....................................................................................................................... 171
ANEXO 2....................................................................................................................... 173
ANEXO 3....................................................................................................................... 175
ANEXO 4....................................................................................................................... 177
ANEXO 5....................................................................................................................... 193
ANEXO 6....................................................................................................................... 195
ANEXO 7....................................................................................................................... 198
ANEXO 8....................................................................................................................... 204
ANEXO 9....................................................................................................................... 207
ANEXO 10 .................................................................................................................... 214
ANEXO 11 .................................................................................................................... 216
viii
ANEXO 12 .................................................................................................................... 224

ANEXO 13 .................................................................................................................... 226
ANEXO 14 .................................................................................................................... 231
ANEXO 16 .................................................................................................................... 236
ANEXO 17 .................................................................................................................... 246
ix
NDICE DE TABLAS
Tabla N 1. 1Esquema del concepto clsico de Auditoria ................................................................. 31
Tabla N 1. 2 Escala Estndar de Likert ........................................................................................ 40
Tabla N 1. 3 Seleccin de la metodologa ..................................................................................... 42
Tabla N 1. 4 Esquema de fases MAGERIT ..................................................................................... 48
Tabla N 1. 5 Poblacin .............................................................................................................. 50
Tabla N 1. 6 Tcnicas e Instrumentos .......................................................................................... 51
Tabla N 1. 7 Indicadores ............................................................................................................ 53
Tabla N 1. 8 Descripcin de las fases de la metodologa MAGERIT................................................... 54
Tabla N 2. 1 Planificacin del Proyecto ........................................................................................ 60
Tabla N 2. 2 Determinacin de la Oportunidad ............................................................................. 60
Tabla N 2. 3 Determinacin del alcance del proyecto..................................................................... 61
Tabla N 2. 4 tcnicas e instrumentos ........................................................................................... 62
Tabla N 2. 5 Determinacin del alcance del proyecto..................................................................... 62
Tabla N 2. 6 Identificacin del entorno ........................................................................................ 63
Tabla N 2. 7 Estimacin de dimensiones y costos .......................................................................... 64
Tabla N 2. 8 Evaluacin y planificacin de entrevistas ................................................................... 65
Tabla N 2. 9 Adaptacin de los cuestionarios................................................................................ 66
Tabla N 2. 10 Criterios de evaluacin .......................................................................................... 67
Tabla N 2. 11 Recursos necesarios .............................................................................................. 68
Tabla N 2. 12 Costo total de adquisicin de hardware ................................................................... 81
Tabla N 2. 13 Informe por daos y averas de equipos informticos................................................. 83
Tabla N 2. 14 Proforma de Adquisicin de nuevos equipos informticos........................................... 83
Tabla N 2. 15 Unidades afectadas de la empresa .......................................................................... 84
Tabla N 2. 16 Lista de Dominio y Lmites ...................................................................................... 84
Tabla N 2. 17 Costos de Inversin en Hardware ............................................................................ 85
Tabla N 2. 18 Costo de Inversin en Software ............................................................................... 85
Tabla N 2. 19 Costo de Recursos Humanos ................................................................................... 86
Tabla N 2. 20 Costo de Insumos.................................................................................................. 86
Tabla N 2. 21 Costo por consumo de energa................................................................................ 87
Tabla N 2. 22 Costo por utilizacin de equipo ............................................................................... 87
Tabla N 2. 23 Costo por recursos humanos................................................................................... 88
Tabla N 2. 24 Costos por Recursos materiales............................................................................... 88
Tabla N 2. 25 Costos por Depreciacin ........................................................................................ 88
Tabla N 2. 26 Resumen de Costos ............................................................................................... 89
Tabla N 2. 27 Ahorro por los Jefes de rea ................................................................................... 89
Tabla N 2. 28 Flujo de Caja ........................................................................................................ 89
Tabla N 2. 29 Planificacin del proyecto ...................................................................................... 90
Tabla N 2. 30 Dimensin del proyecto Febrero - Mayo .................................................................. 91
Tabla N 2. 31 Dimensin del proyecto Mayo - Agosto .................................................................... 92
Tabla N 2. 32 Identificacin de los activos.................................................................................... 94
Tabla N 2. 33 Lista de activos tangibles ....................................................................................... 95
Tabla N 2. 34 Lista de activos Intangibles .................................................................................... 95
Tabla N 2. 35 Dependencia entre activos ..................................................................................... 96
Tabla N 2. 36 Valoracin de los activos........................................................................................ 98
Tabla N 2. 37 Valoracin de activos cuantitativa........................................................................... 99
Tabla N 2. 38 Valoracin segn dimensiones para activos .............................................................. 99
Tabla N 2. 39 Caracterizacin de las amenazas .......................................................................... 102
Tabla N 2. 40 Identificacin de las amenazas ............................................................................. 103
Tabla N 2. 41 Lista de amenazas para los activos intangibles ....................................................... 104
Tabla N 2. 42 Valoracin de las amenazas ................................................................................. 106
Tabla N 2. 43 Criterios para evaluacin de la frecuencia de ocurrencia .......................................... 107
Tabla N 2. 44 Criterio para evaluacin del impacto ..................................................................... 107
Tabla N 2. 45 Criterio para evaluacin de activo segn frecuencia ................................................ 107
Tabla N 2. 46 Criterio para valoracin de activos ........................................................................ 107

Tabla N 2. 47 Estimacin del impacto riesgo para activos tangibles............................................... 108
Tabla N 2. 48 Descripcin del impacto para activos intangibles..................................................... 109
Tabla N 2. 49 Clasificacin de las salvaguardas existentes............................................................ 110
Tabla N 2. 50 Salvaguarda por amenaza identificada .................................................................. 111
Tabla N 2. 51 Agrupacin de amenazas y sus respectivas salvaguardas ......................................... 111
Tabla N 2. 52 Descripcin de salvaguarda por amenazas ............................................................. 113
Tabla N 2. 53 Estimacin del riesgo........................................................................................... 118
Tabla N 2. 54 Clculo riesgo intrnseco por activo ....................................................................... 119
Tabla N 2. 55 Clculo riesgo residual por activo .......................................................................... 120
Tabla N 2. 56 Interpretacin de los resultados ............................................................................ 121
Tabla N 2. 57 Activos sometidos a mayor impacto / riesgo ........................................................... 123
Tabla N 2. 58 Clasificacin de los riesgos ................................................................................... 125
Tabla N 2. 59 Clasificacin de los impactos y riesgos .................................................................. 126
Tabla N 2. 60 Conclusin final .................................................................................................. 127
Tabla N 2. 61 Plan de seguridad ............................................................................................... 128
Tabla N 2. 62 Resumen de calificacin de impactos y riesgos ........................................................ 129
Tabla N 2. 63 Actividad 1......................................................................................................... 130
Tabla N 2. 68 Cronograma tentativo de implementacin ............................................................. 139
Tabla N 3. 1 Pre-Test vs Pos-Test Indicador 01 ............................................................................ 142
Tabla N 3. 2 Pre test con el plan actual ...................................................................................... 147
Tabla N 3. 3 Post test con el plan actual .................................................................................... 148
Tabla N 3. 4 Contrastacin Pre & Post Test ................................................................................ 149
Tabla N 3. 5 Pre test con el plan actual ...................................................................................... 153
Tabla N 3. 6 Post test con el plan actual .................................................................................... 154
Tabla N 3. 7 Contrastacin Pre & Post Test ................................................................................ 155
xi
NDICE DE MATRICES
Matriz N 2. 1 Identificacin de dependencias entre activos ............................................................ 97
Matriz N 2. 2 Matriz de amenazas por cada activo...................................................................... 105
xii
NDICE DE FIGURAS
Figura N 1. 1 Esquema del anlisis de riesgo................................................................................ 27
Figura N 1. 2 Seguridad de la Informacin y Seguridad Informtica ................................................. 30
Figura N 1. 3 Esquema de Auditoria Informtica de la gestin de las tecnologas .............................. 32
Figura N 1. 4 Esquema de implementacin de controles ................................................................ 33
Figura N 1. 5 Anlisis de Contrastacin. ....................................................................................... 52
Figura N 2. 1 Modelo MAGERIT .................................................................................................. 57
Figura N 2. 2 Organigrama Formal ............................................................................................. 70
Figura N 2. 3 Determinacin del dominio ..................................................................................... 74
Figura N 2. 4 Lugar geogrfico de la empresa............................................................................... 76
Figura N 2. 5 Plano de la empresa .............................................................................................. 77
Figura N 2. 6 Plano de las oficinas de la empresa .......................................................................... 78
Figura N 2. 7 Diseo de la red actual de Juvier .............................................................................. 79
Figura N 2. 8 Diagrama de dependencias entre activos .................................................................. 97
Figura N 2. 9 Riesgo Intrnseco por activo ................................................................................. 122
Figura N 2. 10 Riesgo Residual por activo .................................................................................. 122
Figura N 2. 11 Conclusin final ................................................................................................. 127
Figura N 3. 1 Regla de decisin para una prueba de 1 cola ........................................................... 144
Figura N 3. 2 Prueba t de Hiptesis para Dif. de Medias ............................................................... 145
Figura N 3. 3 Regla de decisin para una prueba de 1 cola ........................................................... 151
Figura N 3. 4 Reporte Estadstico .............................................................................................. 151
Figura N 3. 5 Regla de decisin Indicador 2 ................................................................................ 157
Figura N 3. 6 Reporte Estadstico .............................................................................................. 157
Figura N 4. 1 Resultados del Plan en Indicador 1 ......................................................................... 159
xiii
RESUMEN
El presente proyecto de investigacin Plan de Seguridad de la Informacin para el

rea de Gerencia de Operaciones de la Empresa de Transportes Juvier S.A.C
permitir determinar los principales riesgos de seguridad de la informacin que afronta
la empresa, con esta informacin el Gerente de Operaciones determinara cules son las
salvaguardas que reducen en mayor medida estos riesgos, y con ello, cules debe
priorizar para posteriormente implantar controles que permitan mitigarlos.
El trabajo se ha estructurado por los siguientes captulos.
CAPITULO I: Marco Terico Referencial.- Se tratan temas generales de la
Organizacin en estudio, documentacin del proyecto y la administracin del trabajo.
CAPITULO II: Metodologa.-En este captulo emplearemos la METODOLOGA
MAGERIT de anlisis y gestin de riesgos, con sus tres fases que esta tiene, cabe
mencionar que la metodologa propone el esquema del plan a implementar
CAPTULO III: Contrastacin.- En este captulo evaluaremos la contrastacin de la
hiptesis, de esta manera se detalla la definicin de variables por indicador.
CAPTULO IV: Discusin de los Resultados.- En este captulo abordaremos la
discusin de los resultados obtenidos de la metodologa
CAPTULO V: Conclusiones y Recomendaciones.- En este captulo se plasman las
conclusiones demostrado en cada indicador y sus respectivas recomendaciones.
xiv
ABSTRACT
This research project "Plan of Information Security for the area of management of
operations of the Enterprise in Transport juvier S.A. C" will allow us to identify the
major security risks of the information that is facing the company, with this information,
the operations manager will determine which are the safeguards that reduce to a greater
extent to which these risks, and with this, which should be prioritized to subsequently
implement controls to mitigate risks.
The work is structured in the following chapters.
CHAPTER I: Theoretical Framework Reference. - This overall organizational issues
under study, project documentation and administration work.
CHAPTER II: Methodologies. - In the chapters, using methodology MAGERIT
analysis and risk management, with its three phases that must be mentioned that the
methodology proposed to implement plan outline Contrasting
CHAPTER III: Contrasting.-In this chapter we will evaluate the testing of the
hypothesis, in this way is detailed the definition of variables by indicator.
CHAPTER IV: Discussion of Results. - In this chapter we discuss the results of the
methodology
CHAPTER V: Conclusions and Recommendations. - This chapter embodies the
findings demonstrated in each indicator and their respective recommendations.
xv
INTRODUCCIN
La globalizacin, el rpido cambio tecnolgico acelerado, el aumento de la

conectividad, se combinan para hacer que operen en este mundo de riesgo, complejo y
sin procedentes, en un reto para las empresas.
Los eventos mundiales recientes han generado un mayor sentido de urgencia que antes
con respecto a la necesidad de tener mayor seguridad. De esta forma, el enfoque de la
seguridad tal y como la entendamos hasta hace unos aos, ha cambiado por completo,
ha pasado a un enfoque de la seguridad ms global. Ahora tenemos en cuenta sus
aspectos organizativos, culturales, jurdicos o normativos, entre otros planteada como
un problema de negocio, impulsada por la necesidad de formalizar todas las medidas de
seguridad necesarias para proteger la informacin. La misin de cual responsable de
seguridad informtica es la gestin del riesgo sobre los activos de informacin que se
desea proteger. Las empresas pueden haber reforzado las medidas de seguridad, pero
nunca se sabe cundo o cmo puede estar expuesta. A fin de brindar la ms completa
proteccin empresarial, es vital implementar un plan de seguridad .Sin embargo,
implementar un plan proactivo que indique cmo sobrevivir a los mltiples escenarios
tambin preparar a las empresas en el manejo de las amenazas inesperadas que podran
afrontar en el futuro.
La mayora de las empresas ha invertido tiempo y dinero en la construccin de una
infraestructura para la tecnologa de la informacin que soporte su compaa, esa
infraestructura de TI podra resultar ser una gran debilidad si se ve comprometida. Para
las organizaciones que funcionan en el rea de la informtica interconectadas y con
comunicacin electrnica, las polticas de seguridad de la informacin bien
documentadas que se comunican, entienden e implementen en toda la empresa, son
herramientas comerciales esenciales en el entorno actual para minimizar los riesgos de
seguridad.
Imagine que sucedera si:
La informacin esencial fuera robada, se perdiera, estuviera en peligro, fuera
alterada o borrada.
El equipo de cmputo no funcionar durante un da o ms.
Cunto costara esta improductividad?
Prepararse para mltiples escenarios parece ser la tendencia creciente. En un informe
publicado por The World Economic Forums Global Risks 2011, Sixth Edition advierte
comprender mejor, prepararse y responder a los riesgos globales ms crticos de
seguridad de la informacin. Se espera que los ejecutivos corporativos adopten una
actitud adecuada para la mitigacin de los riesgos cada vez ms complejos.
xvi
CAPTULO I
MARCO TERICO
REFERENCIAL
UNIVERS IDAD C S AR VALLEJO
INGENIERA
DE
SISTEMAS
CAPITULO I: MARCO TERICO REFERENCIAL

1.1. El problema de Investigacin:
1.1.1. Realidad Problemtica:
La empresa se inici el 29 de octubre del 2003 siendo la propietaria la Sra.
Juliana Ros Gonzales viuda de Rodrguez, iniciando su negocio de
transportes de carga pesada, analizando una mejor opcin de brindar
servicios de carga pesada al sector minero y construccin.
El 28 de Junio del 2005 se asocia con Victoria Rodrguez Ros,
constituyendo una empresa denominada Transportes JUVIER S.A.C.
El ao 2007 concluyo con las felicitaciones de haber ocupado el primer
lugar de gestin de calidad, cuidado del medio ambiente y produccin. Y
haber tenido cero(0) accidentes.
La Gerencia est preparando a la empresa para certificarse en la norma ISO
14001 para sistemas de gestin de calidad.
De acuerdo con la entrevista realizada a la Sra. Rodrguez Ros Victoria

Elizabeth Gerente General de la empresa JUVIER S.A.C, se han
determinado los siguientes problemas: Ver anexo 4
La empresa cuenta con un plan de seguridad que contempla medidas
a llevar a cabo en caso de una emergencia, pero las medidas actuales
no se extienden a la informacin como activo de valor para Juvier, lo
cual podra ocasionar prdidas, si no se protege la informacin y los
equipos informticos de la empresa ante incidentes no deseados.
La empresa cuenta con polticas de seguridad poco detalladas y
formalmente no documentadas que indiquen los procedimientos de
seguridad a ser adoptados para salvaguardar la informacin de
posibles prdidas en la integridad, disponibilidad y confidencialidad.
Procedimientos indefinidos en todas las reas de la empresa, excepto
para gerencia, en cuanto a la concesin y administracin de usuarios,
incluyendo revisiones peridicas de los mismos, impidiendo que se
lleve un control de acceso para el personal de Juvier.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL
REA DE GERENCIA DE OPERACIONES DE LA EMPRESA
DE TRANSPORTES J UVIER S.A.C
18
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Existe deficiencias en el inventariado de software, licencias y

hardware debidamente documentados, que permitan identificar todos
los activos de informacin de la empresa, para facilitar
procedimientos de servicios, emergencia, criticidad en las unidades
del negocio que se vieran afectados por alguna prdida o dao.
El personal de Juvier tiene acceso a informacin que debera ser
reservada, as como uso de los recursos del sistema para fines no
previstos como acceso a aplicaciones y pginas web q atrasan su
labor y exponiendo informacin a ser manipulada en beneficio de
terceros.
El mantenimiento dado a los equipos de cmputo no es eficiente, se
detectaron errores de mantenimiento (software
y hardware:
desactualizado, mal configurado, errores en disco duro entre otros),

existiendo adems una documentacin no formalizada relativa a los
procedimientos de operacin de mantenimiento, ocasionando
interrupcin de actividades debido a vulnerabilidad de los programas
y fallos de los equipos de cmputo.
1.1.2. Formulacin del Problema

Cmo mejorar el plan de seguridad para el rea de Gerencia de
Operaciones de la Empresa de Transportes Juvier S.A.C?
1.1.3. Justificacin del Estudio
1.1.3.1. Estratgico - Competitivo
La implementacin del plan de seguridad beneficiar a la empresa
en la identificacin de activos relevantes, a partir del cual podrn
protegerlo, considerando el valor del activo no slo por su valor
econmico sino tambin en trminos estratgicos, de reputacin,
entre otros, de manera que le conducir a ser ms competitiva,
ofreciendo un servicio de calidad que la distinga de la competencia
y que produzca satisfaccin a sus clientes.

19
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.1.3.2. Econmica
Una eficiente administracin del riesgo permitir minimizar los
peligros adversos dentro de los lmites prcticos y econmicos
permitidos.
Por ejemplo, si en el anlisis de riesgo se detecta que un posible
corte de luz puede disminuir significativamente las ventas de una
empresa, puede justificarse la compra de un equipo electrgeno
para utilizar en caso de emergencia.
Adems que los resultados obtenidos por la investigacin tendrn
un impacto directo en la optimizacin de los recursos disponibles
(humanos, tecnolgicos, financieros, materiales, etc.) facilitando
mejores resultados (productividad y rentabilidad) traducindose en
reduccin de costos e incremento de utilidades para la
organizacin.
1.1.3.3. Tecnolgica
El proyecto utilizar recursos tecnolgicos relacionados con el
anlisis y gestin de riesgos, como las herramientas de apoyo como
Microsoft Excel 2010, ideada como herramienta de ayuda en la
realizacin de los clculos asociados al anlisis de riesgos en
sistemas complejos, facilitando la toma de decisiones en cuestin
de seguridad, permitiendo priorizar las actuaciones que deben
realizarse y optimizar el uso de los recursos.
1.1.4. Antecedentes del Problema:
1.1.4.1. A nivel Local:
Ttulo del proyecto: Sistema de Gestin de Seguridad
Informtica para minimizar las vulnerabilidades de los activos
de procesamiento de informacin de la Empresa Hardtech
Solutions S.A.C. ubicada en la ciudad de Trujillo. (Azaedo
Deza, Juan Carlos & Len Shaus, Csar Edwin, 2010)

20
IVONNE J ACKELINE,
URRUTIA LOZADA

-
INGENIERA
DE
SISTEMAS
Resumen: Su objetivo principal para ayudar a la empresa Hard

Tech Solutions S.A.C es minimizar las vulnerabilidades en los
activos de procesamiento de informacin mediante el sistema
de Seguridad Informtica, para el desarrollo de su investigacin
emplearon el crculo de Deming (PDCA): Planificar, Hacer,
Monitorear y Actuar.
Ttulo del proyecto: Planeamiento Estratgico de Sistemas de

Informacin
Tecnologas
para
mejorar
la
Gestin
administrativa en la Municipalidad Provincial de Trujillo

(Chvez Caballero, Karin & Jimnez Valderrama, Deysi, 2004)
- Resumen: Explica de manera resumida la metodologa para la

elaboracin de un planeamiento estratgico de tecnologas de la
informacin publicada por el INEI, como el anlisis FODA, y
anlisis de vulnerabilidad. Describiendo finalmente el plan de
accin.
1.1.4.2. A nivel Nacional:
Ttulo del proyecto: Auditoria a la Gestin de las Tecnologas
y Sistemas de Informacin (lvarez, Guadalupe Ramrez R. &
Ezzard, 2003)
- Resumen:
Propone una metodologa de auditoria informtica con la
finalidad de medir los riesgos y evaluar los controles en el uso
de las tecnologas de informacin, haciendo uso de tcnicas y
estrategias de anlisis.

21
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Ttulo del proyecto: Plan de Seguridad Informtica para una

Entidad Financiera (Crdova Rodrguez, Norma Edith, 2003)
- Resumen:
El proyecto describe como se define un Plan de Seguridad para
una entidad financiera, empieza por definir la estructura
organizacional (roles y funciones), despus pasa a definir las
polticas
para
finalmente
concluir
con
un
plan
de
implementacin o adecuacin a las polticas anteriormente

definidas.
1.1.4.3. A nivel Internacional

Ttulo del proyecto: Anlisis de Riesgos de Seguridad de la
Informacin. (Juan Manuel Matalobos Veiga, 2009)
-
Resumen:
El proyecto se enmarco en el desarrollo de un sistema de
Gestin de Seguridad de la Informacin cuyo desarrollo se
defini como parte del Plan Estratgico
Ttulo del proyecto: Methodology for evaluating usage and

comparison of risk assessment and risk management items.
(Grupo ENISA, 2007)
-
Resumen:
El grupo de trabajo especial de anuncios ENISA sobre
evaluacin y gestin (contemplados en el presente documento
como
"el Grupo de Trabajo")
ha determinado una
metodologa para permitir la comparacin directa entre los

elementos que permiten a las organizaciones para llevar a cabo
la evaluacin del riesgo y gestin del riesgo. La metodologa
22
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
considera los procesos de evaluacin de riesgos y elementos de

gestin, junto con las entradas y salidas de stos, y las
puntuaciones de estos frente a un conjunto de referencia de los
procesos, entradas y salidas, segn lo determinado por el
Grupo de Trabajo.
1.1.5. Objetivos
1.1.5.1. Objetivo General
Mejorar la seguridad de la informacin para el rea Gerencia de
Operaciones de la Empresa de Transportes Juvier S.A.C
1.1.5.2. Objetivos Especficos
Minimizar el nmero de riesgos informticos.
Incrementar el grado de satisfaccin del usuario interno.
Incrementar el grado de Capacitacin del usuario interno.

23
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2. Marco Referencial

1.2.1. Marco Terico
1.2.1.1. Plan
Un plan es un documento bsicamente conceptual que articula la
finalidad de la empresa y marca su direccin. Describe acciones
importantes para conseguir las metas y los objetivos y para
identificar y establecer un orden de prioridades en las medidas
que haya que tomar para implantar las estrategias. (Stettinius,
Wallace, 2009)
1.2.1.2. Seguridad
Se refiere a las medidas tomadas con la finalidad de preservar
los datos o informacin que en forma no autorizada, sea
accidental o intencionalmente, puedan ser modificados,
destruidos o simplemente divulgados. (Bertoln, Javier Areitio,
2008)
Objetivos Generales de la seguridad
1. Disponibilidad. Protege al sistema contra determinados
problemas como los intentos deliberados o accidentales de
realizar un borrado no autorizado de datos, de causar cualquier
tipo de denegacin del servicio o de acceso de datos para
propsitos no autorizados. La disponibilidad, frecuentemente,
es uno de los objetivos de seguridad ms importante de toda
organizacin.
2. Integridad. Se encarga de garantizar que la informacin del
sistema no haya sido alterada por usuarios no autorizados,
evitando la prdida de consistencia. Presenta dos facetas:
Integridad de datos. Es la propiedad de que los datos no hayan
sido alterados de forma no autorizada, mientras se almacenan,
procesan o trasmiten.
24
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Integridad del sistema. Es la cualidad que posee un sistema

cuanto realiza la funcin deseada, de manera no deteriorada y
libre de manipulacin no autorizada.
La integridad, normalmente, es el objeto de seguridad ms
importante despus de la disponibilidad.
3. Confidencialidad de datos y de la informacin del sistema. Es

el requisito que intenta que la informacin privada o secreta no
se revele a individuos no autorizados. La proteccin de la
confidencialidad se aplica a los datos almacenados durante sus
procesamientos, mientras se transmiten y se encuentran en
trnsito.
1.2.1.3. Informacin
La Informacin es un conjunto de datos, los mismos que sirven
para tomar una decisin; es un componente vital para el Control.
Existe informacin que debe o puede ser pblica y aquella que
debe ser privada, en esta segunda debemos maximizar nuestros
esfuerzos para preservarla de ese modo reconocindolas
siguientes caractersticas en la Informacin:
Es crtica: es indispensable para garantizar la continuidad
operativa.
Es valiosa: es un activo con valor en s misma.
Es sensitiva: debe ser conocida por las personas que la
procesan y slo por ellas. (Romero Lucero, Mnica Alexandra,
2005)
1.2.1.4. Gerencia de Operaciones
Podemos definir la Gerencia de Operaciones como el rea de la
Administracin de Empresas dedicada tanto a la investigacin
como a la ejecucin de todas aquellas acciones tendientes a
generar el mayor valor agregado mediante la planificacin,
organizacin, direccin y control en la produccin tanto de
25
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
bienes como de servicios, destinado todo ello a aumentar la

calidad, productividad, mejorar la satisfaccin de los clientes, y
disminuir los costes. (Dr. Mauricio Lefcovich, 2008)
1.2.1.5. Metodologa
Segn lo ledo en los textos de Maurice Eyssautier
concluimos que, es la gua que se sigue a fin de realizar las
acciones propias de una investigacin, es decir, es la gua que
nos va indicando qu hacer y cmo actuar en algn tipo de
investigacin. (Maurice Eyssautier de la Mora, 2006)
En s son muchas las metodologas que se podran seguir, pero
existen dos grandes grupos dentro de los que se encuentran
otras ms especficas, estas son las siguientes:
Metodologa
cuantitativa,
aquella
que
obtiene
la
informacin a partir del conteo de los datos sobre variables.

Metodologa
cualitativa,
aquella
que
evita
la
cuantificacin al producir narraciones registradas de los

fenmenos investigados. Siendo obtenidos los datos por
medio de la observacin o la entrevista.
1.2.1.6. Anlisis de riesgo
El anlisis de riesgos es una aproximacin metdica para
determinar el riesgo siguiendo unos pasos pautados:
Determinar los activos relevantes para la empresa, su
interrelacin y su valor, en el sentido de que perjuicio (coste)
supondra su degradacin.
Determinar a qu amenazas estn expuestos aquellos activos.
Determinar qu salvaguardas hay dispuestas y cun eficaces
son frente al riesgo.
Estimar el riesgo, definido como el impacto ponderado con la
tasa de ocurrencia (o expectativa de materializacin) de la
amenaza.
26
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Figura N 1. 1 Esquema del anlisis de riesgo
Fuente: (MAGERIT, 2006)

1.2.1.7. Gestin de riesgo
Segn el autor Bertoln define a la gestin de riesgos de la
seguridad como el proceso de identificar, medir, controlar y
minimizar los riesgos de seguridad en sistemas de informacin,
a un nivel proporcional al valor de los activos protegidos.
(Bertoln, Javier Areitio, 2008)
1.2.1.8. Incidente
Evento con consecuencias en detrimento de la seguridad del
sistema de informacin. (MAGERIT, 2006)
1.2.1.9. Activo
Se denomina activos a los recursos del sistema de informacin o
relacionados con este, necesarios para que la empresa funciones
correctamente y alcance los objetivos propuestos por su
organizacin.
El activo esencial es la informacin que maneja el sistema, sea

27
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
los datos., y alrededor de estos datos se pueden identificar otros

activos relevantes:
- Los servicios que pueden prestar gracias a aquellos datos, y los

servicios que necesitan para poder gestionar dichos datos.
- Las aplicaciones informticas (software) que permitan manejar
los datos.
- Los
equipos
informticos
que
son
dispositivos
de
almacenamiento de datos.
- El equipamiento auxiliar que complementa el material
informtico.
- Las redes de comunicaciones que permiten intercambiar datos.
- Las instalaciones que se acogen equipos informticos y de
comunicaciones.
- Las personas que explotan u operan todos los elementos
anteriormente citados. (MAGERIT, 2006)
1.2.1.10.Valor
De un activo. Es una estimacin del coste inducido por la
materializacin de una amenaza. (MAGERIT, 2006)
1.2.1.11.Amenaza
Las amenazas son los eventos que pueden desencadenar un
incidente en la organizacin, produciendo daos materiales o
prdidas inmateriales en sus activos.
Hay accidentes naturales (terremotos, inundaciones,..) y
desastres industriales (contaminacin, fallos elctricos,...) ante
los cuales el sistema de informacin es vctima pasiva; pero no
por ser pasivos hay que permanecer indefensos. Hay amenazas
causadas por las personas, bien errores, bien ataques
intencionados. (MAGERIT, 2006)

28
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.12.Salvaguardas
Procedimiento o mecanismo tecnolgico que reduce el riesgo. Si
no se gestiona adecuadamente permitir a la amenaza
materializarse. (MAGERIT, 2006)
1.2.1.13.Vulnerabilidad
Debilidad en un recurso de informacin que puede ser explotada
por una amenaza para causar un dao a un sistema o a la
Organizacin. (ISO 27000, 2005)
1.2.1.14.Riesgo
Posibilidad de que se produzca un impacto determinado en un
activo, en un dominio o en toda la Organizacin. (MAGERIT,
2006)
1.2.1.15.Control
Control se define como las polticas, procedimientos, prcticas y
estructuras organizacionales diseadas para mantener los riesgos
de seguridad de la informacin por debajo del riesgo asumido.
(Nota: Control es tambin utilizado como sinnimo de
salvaguarda o contramedida. (ISO 27000, 2005)
1.2.1.16. Datos
Los datos son hechos y cifras que al ser procesados constituyen
una informacin, sin embargo, muchas veces datos e
informacin se utilizan como sinnimos.
En su forma ms amplia los datos pueden ser cualquier forma de
informacin: campos de datos, registros, archivos y bases de
datos, texto (coleccin de palabras), hojas de clculo (datos en
forma matricial), imgenes (lista de vectores o cuadros de bits),
video (secuencia de tramas), etc. ( Oficina Nacional de Gobierno
Electrnico e Informtica, 1999)
29
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.17. Seguridad de la Informacin y Seguridad Informtica

En el contexto de la seguridad de la informacin los riesgos de
negocios incluyen no slo las vulnerabilidades y un aspecto de
las amenazas, sino el conjunto de factores que determinan tales
riesgos: activos, vulnerabilidades y amenazas.
Por otra parte, los riesgos de negocio que se consideran incluyen
los riesgos organizacionales, operacionales, fsicos y de
sistemas.
En el contexto de la seguridad informtica basan sus

conocimientos y experiencias solamente en el aspecto tcnico
tradicional de la seguridad, es decir slo manejan con
vulnerabilidades y en parte tambin con amenazas bajo la forma
de ataques, todo lo cual no es suficiente para hablar de los
riesgos correspondientes.
Una visin ilustrativa de tales conceptos puede visualizarse en la
figura que se acompaa. (Ing. Carlos Ormella Meyer, 2011)
Figura N 1. 2 Seguridad de la Informacin y Seguridad Informtica
Fuente: (Ing. Carlos Ormella Meyer, 2011)

30
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.18.Auditoria
Auditoria es un proceso sistemtico para obtener y evaluar de
manera objetiva, las evidencias relacionadas con informes sobre
actividades econmicas y otras situaciones que tienen una
relacin directa con las actividades que se desarrollan en una
entidad pblica o privada. El fin del proceso consiste en
determinar el grado de precisin del contenido informativo con
las evidencias que le dieron origen, as como determinar si
dichos informes se han elaborado observando principios
establecidos para el caso.
Tabla N 1. 1Esquema del concepto clsico de Auditoria
AUDITORIA
COMPARACIONES
IDEAL
REAL
DIFERENCIA
OBSERVACIONES
Fuente: (Universidad Nacional Mayor de San Marcos, 2003)

Las normas de control interno para sistemas computarizados
pertenecen a la categora 500 de las normas de control interno
para el sector pblico y se indican a continuacin:
500-01 Organizacin del rea informtica
500-02 Plan de sistemas de informacin
500-03 Controles de datos fuente, de operacin y de salida
500-04 Mantenimiento de equipos de cmputo
500-05 Seguridad de programas, de datos y equipos de cmputo
500-06 Plan de contingencia
31
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
500-08 Gestin optima de software adquirido a medida por

entidades Pblicas.
Segn Alonso Hernndez Garca, conceptualmente la auditoria
es la actividad consistente en la emisin de una opinin
profesional sobre si el objeto sometido a anlisis presenta
adecuadamente la realidad que pretende reflejar y/o cumple las
condiciones que le han sido prescritas.
De aqu se deduce la importancia de establecer una opinin
objetiva, fundada en las evidencias encontradas, sobre las
diferencias existentes entre el planteamiento del funcionamiento
de cualquier rea a auditar y su ejecucin real en la
organizacin, y comunicarlas a las personas correspondientes.
Figura N 1. 3 Esquema de Auditoria Informtica de la gestin de las tecnologas

de informacin
GESTIN DE LAS
TECNOLOGAS
COMPARACIONES
Ge stin Ideal de
las Te cnologas
de informacin
Gestin Real de
las Tecnologas
de informacin
DIFERENCIA
RIESGOS
CONTROLES

En la figura N 1.3 se muestra la estrategia utilizada para la
implementacin de las mejores prcticas de control, toma en
cuenta las mejores recomendaciones internacionales.
32
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Figura N 1. 4 Esquema de implementacin de controles
RIESGOS
CONTROLES
Cmo eliminarlos,
transferirlos reducirlo?
Proceso de Benchmarking
Estndares Internacionales
COBIT
NAGU
MAGU
Normas legales, etc
MEJORES
PRCTICAS

Los riesgos de tecnologas de informacin que afectan a las
empresas estn relacionados con 3 aspectos bsicamente:
Dependencia en el uso de tecnologa de informacin
Relacionado con el uso que efecta la empresa y la
importancia que representa para el desarrollo de sus
operaciones.
Confiabilidad en el uso de tecnologa de informacin
Relacionado con resultados del procesamiento de datos y que
no requieren trabajo manual por los usuarios para completar
la informacin.
Cambios en la tecnologa de informacin
Relacionado con la automatizacin de los procesos
principales de la empresa y la adecuacin de la empresa
motivados por la regulacin o por modernizacin para
mantenerse
competitivos
lograr
su
acreditacin.
(Universidad Nacional Mayor de San Marcos, 2003)

33
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.2.1.19.Proceso de Auditoria
1. Planeacin:
En esta fase se establecen las relaciones entre auditor y la
entidad, para determinar alcance y objetivos. Se hace un
bosquejo de la situacin de la entidad, sistema contable,
controles internos, estrategias y dems elementos que le
permitan al auditor elaborar el programa de auditoria que se
llevar a efecto.
2. Ejecucin:
En esta fase se realizan diferentes tipos de pruebas y anlisis
a los estados financieros para determinar su razonabilidad.
Se detectan los errores, si los hay, se evalan los resultados
de las pruebas y se identifican los hallazgos. Se elaboran las
conclusiones y recomendaciones y se las comunican a las
autoridades de la entidad auditada.
Las
Pruebas
de
Auditoria:
Son
tcnicas
procedimientos que utiliza el auditor para la obtencin de

evidencia comprobatoria.
Ejm:
- Prueba de Cumplimiento, es una prueba que rene
evidencia de auditoria para indicar si un control
funciona efectivamente y logra sus objetivos.
- Pruebas Sustantivas, tienen como objeto reunir
evidencias relacionadas a la existencia, integridad,
propiedad, valuacin y presentacin de la informacin.
La evidencia deber someterse a prueba para asegurarse que
cumpla con los requisitos bsicos:
- Suficiente.- Si es basta para sustentar los hallazgos,
34
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
conclusiones y recomendaciones de los auditores.

- Competente.- En la medida que sea consistente,
convincente, confiable y validada por el auditor
pblico.
- Relevante.- Cuando exista relacin en su uso para
demostrar o refutar un hecho en forma lgica y patente.
- Pertinente.- Cuando exista congruencia entre las
observaciones, conclusiones y recomendaciones de la
auditora.
3. Informe.
Consisten en obtener informacin escrita para soportar las

afirmaciones, anlisis o estudios realizados por el auditor.
(FACULTAD DE CIENCIAS CONTABLES, 2010)
1.2.1.20.Comit de Informtica
Se encarga de que el control de las actividades informticas, se
realicen cumpliendo los estndares fijados por la organizacin.
Este control debe tener carcter preventivo, detectivo y
correctivo.
1. Medidas preventivas: Son aquellas orientadas a la prevencin
de riesgos o situaciones anmalas a las fijadas por la
institucin.
2. Medidas detectivas: Son aquellas que muestran evidencia de
incumplimiento o intentos de quebrantar los estndares
fijados.
3. Medidas correctivas: Se orientan a recuperarnos ante la
vulnerabilidad de las medidas preventivas. Van a ser
evaluadas por su efectividad y tiempos de respuesta.
El comit interno informtico, suele ser un staff de la Direccin
del departamento de informtica y est dotado de las personas y
medios materiales proporcionados a los cometidos que se le
35
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
encomienden. En nuestro pas la constitucin de ese staff va a

depender de la magnitud de la organizacin.
Como principales objetivos del control interno se tiene:

Control de las actividades orientadas al cumplimiento de los
procedimientos y normas fijados por la organizacin as como
el cumplimiento de las normas legales.
Asesorar al personal de la organizacin as como el
cumplimiento de las normas.
Colaborar y apoyar el trabajo de auditora informtica.
Definir, implantar y ejecutar mecanismos y controles, as
como establece responsabilidades en la evaluacin y
ejecucin de las medidas preventivas.
Tipos de Controles
1. Controles preventivos: para tratar de evitar el hecho, como
un software de seguridad que impida los accesos no
autorizados al sistema.
2. Controles detectivos: cuando fallan los preventivos para
tratar de dar a conocer cuanto antes el evento.
3. Controles correctivos: facilitan la vuelta a la normatividad
cuando se han producido incidencias. (G.Piattini, 2000)
1.2.1.21.Poltica de Seguridad
La poltica de seguridad es la forma en que los distintos niveles
de la misma organizan, gestionan, protegen y distribuyen la
informacin tratada a cada nivel. (Romero Lucero, Mnica
Alexandra, 2005)
Dentro de los objetivos principales de una poltica de seguridad

tenemos:

36
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
Informar con el mayor nivel de detalle a
DE
SISTEMAS
los usuarios,
empleados y gerentes de las normas que se deben cumplir para

resguardar los componentes de los sistemas de la empresa u
organizacin.
Suministrar las pautas para configurar y controlar los sistemas
informticos y de redes para que estn en correlacin con la
poltica de seguridad.
Son los dirigentes junto con los expertos en tecnologas
informticas, quienes definirn los requisitos de seguridad,
identificando y dando prioridades a los distintos elementos de
las actividades realizadas, y as los procesos de mayor
importancia recibirn ms proteccin.
Las polticas de
seguridad deben ser consideradas como parte de la operatividad

habitual y no como un extra aadido.
1.2.1.22.Normativas Aplicables
El anlisis de riesgos es considerado una pieza fundamental para
la seguridad de la informacin por diversos estndares y cdigos
de buenas prcticas. Algunos ejemplos de estndares y cdigos
de buenas prcticas que prescriben la realizacin de anlisis de
riesgos son:
INTERNACIONALES
- COBIT Control Objectives for Information and related
Technology
- ISO/IEC 27005:2008, Tecnologa de la informacin Tcnicas de seguridad - Informacin de Gestin de Riesgos
de seguridad.
- ISO/IEC 27002:2005 Tecnologa de Informacin -Tcnicas
de seguridad - Cdigo para la prctica de la gestin de la
seguridad de la informacin
37
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
- ISO/IEC 27001:2005 Tecnologa de Informacin -Tcnicas

de seguridad - Sistemas de Gestin de Seguridad de la
Informacin - Requerimientos
- ITIL Information Technology Infrastructure Library
- ISO/IEC 17799 Seguridad Informtica.
NACIONALES
- Resolucin de Contralora General N 320-2006-CG
- 500, Normas de control interno para sistemas computarizados
NORMATIVA INSTITUCIONAL
- Reglamento de Organizacin y Funciones (ROF).

- Manual de Organizacin y Funciones (MOF). (Repblica,
2011)
1.2.1.23.METODOLOGA MAGERIT
Metodologa espaola de anlisis y gestin de riesgos para los
sistemas de informacin, desarrollada por el Consejo Superior
de Administracin Electrnica, como respuesta a la percepcin
de que la Administracin, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologas de la
informacin para el cumplimiento de su misin.
Objetivos de Magerit:
Directos
1. Concienciar a los responsables de los sistemas de
informacin de la existencia de riesgos y de la necesidad
de atajarlos a tiempo.
2. Ofrecer un mtodo sistemtico para analizar tales riesgos.
3. Ayudar a descubrir y planificar las medidas oportunas para
mantener los riesgos bajo control.
Indirectos
1. Preparar a la Organizacin para procesos de evaluacin,
auditora, certificacin o acreditacin, segn corresponda
38
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
en cada caso.
Magerit es una metodologa que se esfuerza por enfatizarse en
dividir los activos de la organizacin en variados grupos, para
identificar ms riesgos y poder tomar contramedidas para evitar
as cualquier inconveniente.
La razn de ser de MAGERIT est directamente relacionada con
la generalizacin del uso de las tecnologas de la informacin,
que supone unos beneficios evidentes para los ciudadanos; pero
tambin da lugar a ciertos riesgos que deben minimizarse con
medidas de seguridad que generen confianza. (Electrnica,
1997)
1.2.1.24.METODOLOGA OCTAVE
OCTAVE
(Operationally
Critical
Threat,
Asset,
and
Vulnerability Evaluation), metodologa de evaluacin de riesgos

desarrollada por el SEI (Software Engineering Institute) de la
Universidad Carnegie Mellon de Pensilvania, Estados Unidos, el
17 de septiembre del 2008.
OCTAVE est manejada por dos de los aspectos: Riesgo
Operacional y Prcticas de Seguridad. La Tecnologa es
examinada solo en relacin a las prcticas de seguridad,
permitiendo a la organizacin refinar la vista de sus prcticas de
seguridad actuales. (CERT, 2008)
1.2.1.25.METODOLOGA CRAMM
CRAMM, metodologa de anlisis y gestin de riesgos
desarrollada por el CCTA ingls.
CCTA Risk Analysis and Method Management (CRAMM), es
una metodologa creada en 1987 por la Central Agency of Data
Processing and Telecommunications del Gobierno del Reino
Unido.
39
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Esta metodologa comprende tres fases:

Fase 1: Establecimiento de objetivos de seguridad
Fase 2: Anlisis de riesgos
Fase 3: Identificacin y seleccin de salvaguardas
CRAMM es actualmente la metodologa de Anlisis de Riesgos
utilizada por la OTAN, el Ejrcito de Holanda, y numerosas
empresas de todo el mundo. (CRAMM, 1987)
1.2.1.26. Eleccin de la Metodologa de anlisis de riesgos
Para seleccionar la metodologa a utilizar y evitar la subjetividad
hemos decidido asignar valores de acuerdo a la escala de Likert
para los criterios de evaluacin.
Tabla N 1. 2 Escala Estndar de Likert
Puntaje
1
2
3
4
5
Criterio
Muy malo
Malo
Regular
Bueno
Muy bueno
Entre los tems de evaluacin tenemos:

Flexibilidad: Se refiere si la metodologa puede adaptarse e
integrarse con un sistema de gestin como por ejemplo (ISO
9001, ISO 14001) a cualquier situacin y si se puede hacer
variantes de acuerdo al problema.
Requerimientos: Aqu hacemos mencin a si la metodologa
contempla una captura de requerimientos adecuada.
Informacin: Se refiere a si existe informacin (Bibliografa,
antecedentes, etc.) de la metodologa.
Costo: Se refiere a que tanto cuesta desarrollar la
metodologa.
Escalabilidad: Capacidad del plan de seguridad para
adaptarse a las circunstancias cambiantes.
Tiempo de desarrollo: Aqu hacemos mencin de la
versatilidad
del
tiempo

que permite desarrollar la

IVONNE J ACKELINE,
40
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
metodologa en un tiempo de periodo corto y efectivo.
Despus de analizar y medir los factores de seleccin entre las

diferentes metodologas midiendo puntajes se lleg a la
conclusin de elegir la metodologa MAGERIT, para desarrollar
un plan de seguridad de la informacin que mejorara la
seguridad de la informacin del rea de Gerencia de Operaciones
de la empresa. El cual se ve reflejado en el cuadro siguiente:

41
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Criterios de Calificacin:
Excelente = 5, Bueno= 4, Regular = 3, Malo =2, Deficiente =1
Tabla N 1. 3 Seleccin de la metodologa
METODOLOGA
MAGERIT1
Flexibilidad Requerimientos
Informacin Costo Escabilidad
Tiempo
de
desarrollo
3
TOTAL
23
OCTAVE2
2
CRAMM3
15
3
4
15
1 Magerit:
Ministerio de Administraciones Pblicas, Espaa
2 Octave:
Universidad de Carnegie Mellon, Estados Unidos
3 Cramm:
CCTA - Central Computing and Telecommunications Agency23, Reino Unido
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL REA DE GERENCIA DE

OPERACIONES DE LA EMPRESA DE TRANSPORTES J UVIER S.A.C
42
IVONNE J ACKELINE,
URRUTIA LOZADA
UNIVERSIDAD CSAR VALLEJO
INGENIERA
DE
SISTEMAS
1.2.2. Marco Conceptual

1.2.2.1. Plan de Seguridad de la Informacin
La metodologa MAGERIT muestra al plan de seguridad como
un documento que describe la forma en que una organizacin
abordar las necesidades de seguridad. Incluye 3 aspectos
importantes:
1. Identificar el contenido del plan, es decir los elementos del
plan de seguridad.
2. Determinar las polticas.
3. Saber de qu forma se debera adquirir soporte para dicho
plan, tiempo, objetivos y etapas.
1.2.2.2.Gerencia de Operaciones
Para la Empresa Juvier Gerencia de operaciones es considerada un
rea principal como fuente de ventaja competitiva empresarial.
En esta rea laboran 3 personas y est conformado por:
- El Gerente de Operaciones
- El Jefe de Informtica
- El Asistente Tcnico
Estas 3 sub reas trabajan en conjunto para realizar evaluaciones
peridicas acerca del cumplimiento y desarrollo de metas a corto y
largo plazo para cada rea (Gerencia General, Secretaria,
Contabilidad, rea de supervisin, rea de seguridad) una de ellas
es mantener un alto nivel de disponibilidad de los equipos de
cmputo entre otras. Ver Anlisis de la Situacin Actual.
1.2.2.3.ISO 27002:2005
Desde el 1 de julio de 2007, es el nuevo nombre de ISO 1799:2005,
manteniendo 2005 como ao de edicin. Es una gua de buenas
prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin.

REA DE GERENCIA DE OPERACIONES DE LA
EMPRESA DE TRANSPORTES J UVIER S.A.C
43
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
No es certificable. Contiene 39 Objetivos de control y 133 controles;

agrupados en 11 dominios, la norma ISO27001 contiene un anexo
que resume los controles de ISO 27002:2005.
1.2.2.1. Metodologa MAGERIT
Magerit es la metodologa de anlisis y gestin de riesgos
elaborada por el Consejo Superior de Administracin
Electrnica, como respuesta a la percepcin de que la
Administracin, y, en general, toda la sociedad, dependen de
forma creciente de las tecnologas de la informacin para el
cumplimiento de su misin.
La primera versin se public en 1997 y la versin vigente en la
actualidad es la versin 2.0, publicada en 2006 y modificada por
ltima vez el 31 de mayo del 2011 a las 07:48 am hora espaola.
La razn de ser de Magerit est directamente relacionada con la
generalizacin del uso de las tecnologas de la informacin, que
supone unos beneficios evidentes para los usuarios; pero
tambin da lugar a ciertos riesgos que deben minimizarse
con medidas de seguridad que generen confianza.
Interesa a todos aquellos que trabajan con informacin
digital
y sistemas
informticos
para tratarla.
Si
dicha
informacin, o los servicios que se prestan gracias a ella,

son valiosos, Magerit les permitir saber cunto valor est en
juego y les ayudar a protegerlo. Conocer el riesgo al que estn
sometidos
los
elementos de trabajo es, simplemente,
imprescindible para poder gestionarlos. Con Magerit se persigue

una aproximacin metdica que
no
deje lugar a la
improvisacin, ni dependa de la arbitrariedad del analista.

44
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Descripcin General de Magerit

Magerit persigue los siguientes objetivos:
- Concientizar a los responsables de los sistemas de
informacin de la existencia de riesgos y de la necesidad de
atajarlos a tiempo.
- Ofrecer un mtodo sistemtico para analizar tales riesgos.
- Ayudar a descubrir y planificar las medidas oportunas para
mantener los riesgos bajo control.
- Preparar a la Organizacin para procesos de evaluacin,
auditora, certificacin o acreditacin, segn corresponda en
cada caso.
Organizacin de las guas:
- La versin 2 de Magerit se ha estructurado en tres
libros: El Mtodo, un "Catlogo de Elementos" y una
"Gua de Tcnicas".
El Mtodo
- Describe los pasos y las tareas bsicas para realizar un
proyecto de anlisis y gestin de riesgos, y proporciona una
serie de aspectos prcticos.
- El captulo 2 describe los pasos para realizar un anlisis del
estado de riesgo y para gestionar su mitigacin. Es una
presentacin netamente conceptual.
- El captulo 3 describe las tareas bsicas para realizar un
proyecto de anlisis y gestin de riesgos, entendiendo
que no basta con tener los conceptos claros, sino que es
conveniente pautar
roles,
actividades,
hitos
documentacin para que la realizacin del proyecto de

anlisis y gestin de riesgos est bajo control en todo
momento.
- Como complemento, el captulo 4 y 5 desgrana una serie de
aspectos prcticos, derivados de la experiencia acumulada en
el tiempo para la realizacin de un anlisis y una gestin
45
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
realmente efectivos.
Los apndices recogen material de consulta:
- Glosario
- Referencias bibliogrficas consideradas para el desarrollo
de esta metodologa
- Referencias al marco legal que encuadra las tareas de
anlisis y gestin
- El marco normativo de evaluacin y certificacin.
- Las
caractersticas
que
se
requieren
de
las
herramientas, presentes o futuras, para soportar el

proceso de anlisis y gestin de riesgos.
- Se desarrolla un caso prctico como ejemplo.
Catlogo de Elementos
Ofrece unas pautas y elementos estndar en cuanto a:
tipos de activos, dimensiones de valoracin de los
activos, criterios de valoracin de los activos, amenazas
tpicas sobre los sistemas de informacin y salvaguardas a
considerar para proteger sistemas de informacin.
Se persiguen dos objetivos:
1. Por una parte, facilitar la labor de las personas que
acometen el proyecto, en el sentido de ofrecerles
elementos estndar a los que puedan adscribirse
rpidamente, centrndose en lo especfico del sistema
objeto del anlisis.
2. Por otra, homogeneizar los resultados de los anlisis,
promoviendo una terminologa y unos criterios uniformes
que permitan comparar e incluso integrar anlisis
realizados por diferentes equipos.
Si el lector usa una herramienta de anlisis y gestin de
riesgos, este catlogo ser parte de la misma; si el anlisis se

46
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
realiza manualmente, este catlogo proporciona una amplia

base de partida para avanzar rpidamente sin distracciones ni
olvidos.
Gua de Tcnicas
- Se trata de una gua de consulta que proporciona
algunas tcnicas que se emplean habitualmente para llevar
a cabo proyectos de anlisis y gestin de riesgos:
tcnicas especficas para el anlisis de riesgos, anlisis
mediante tablas, anlisis algortmico, rboles de ataque,
tcnicas generales, anlisis coste-beneficio, diagramas de
flujo de datos, diagramas de procesos, tcnicas grficas,
planificacin
de
proyectos,
sesiones
de
trabajo
(entrevistas, reuniones y presentaciones) y valoracin Delphi.

- Es una gua de consulta.
Evaluacin, Certificacin, Auditora y Acreditacin

- El anlisis de riesgos es una piedra angular de los
procesos
de
evaluacin,
certificacin, auditora y
acreditacin que formalizan la confianza que merece un

sistema de informacin. Dado que no hay dos sistemas de
informacin iguales, la evaluacin de cada sistema concreto
requiere amoldarse a los componentes que lo constituyen. En
anlisis de riesgos proporciona una visin singular de cmo
es cada sistema, qu valor posee, a qu amenazas est
expuesto y de qu salvaguardas se ha dotado. Es pues el
anlisis de riesgos paso obligado para poder llevar a cabo
todas las tareas mencionadas, que se relacionan segn el
siguiente esquema:

47
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 1. 4 Esquema de fases MAGERIT
D
E
R
E
C
H
O
S
D
DERECHOS DE UTILIZACIN
- Magerit
es
una
metodologa
de
carcter
pblico,
perteneciente al Ministerio de la Presidencia de Espaa; su

utilizacin no requiere autorizacin previa del mismo.
1.2.2.2. Anlisis de riesgos
Proceso sistemtico para estimar la magnitud de los riesgos a
que est expuesta una Organizacin. (MAGERIT, 2006)
1.2.2.3. Gestin de riesgos
Seleccin e implantacin de salvaguardas para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados.
(MAGERIT, 2006)
1.2.2.4. Seguridad de la Informacin
La seguridad de la informacin, segn ISO 27001, consiste en la
preservacin de su confidencialidad, integridad y disponibilidad,
as como de los sistemas implicados en su tratamiento, dentro de
una organizacin. As pues, estos tres trminos constituyen la
base sobre la que se cimienta todo el edificio de la seguridad de
la informacin:
48
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Confidencialidad: la informacin no se pone a disposicin ni

se revela a individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la
informacin y sus mtodos de proceso.
Disponibilidad: acceso y utilizacin de la informacin y los
sistemas de tratamiento de la misma por parte de los
individuos, entidades o procesos autorizados cuando lo
requieran.
1.2.2.5. Auditora Ofimtica

Mario G.Piattini la define a la ofimtica como los programas o
aplicaciones que en conjunto sirven de herramienta para
generar, procesar, almacenar, recuperar, comunicar y presentar
la informacin en un lugar de trabajo, as como de forma
domstica.
1.3.Hiptesis
El Plan de Seguridad de la Informacin mejora los procesos del rea de Gerencia
de Operaciones de la empresa Transportes Juvier S.A.C?
1.4.Variables
1.4.1. Definicin Conceptual
Variable dependiente
Riesgos de la Informacin en la Empresa de Transportes Juvier S.A.C.
Variable independiente
Plan de Seguridad de la Informacin para el rea de Gerencia de
Operaciones
1.4.2. Definicin Operacional
Metodologa MAGERIT

49
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.5. Poblacin y muestra
1.5.1. Poblacin
La poblacin objeto de estudio est conformada por el total de personal
que labora en el rea de Gerencia de Operaciones de la Empresa de
Transportes Juvier.
Tabla N 1. 5 Poblacin
Empleados
Cantidad
Gerente General
Gerente de Operaciones
Jefe de Informtica
Asistente tcnico
Total
1.5.2. Muestra por Indicador

I1 = El nmero de riesgos informticos.
El nmero de incidentes que ocurren mensualmente.
Dnde:
N= 10 incidentes ocurridos * 3 meses
n= 30 incidentes
I2 = El grado de satisfaccin del usuario interno
El plan de seguridad est dirigido a 4 usuarios finales los cuales
constituyen mi muestra
Dnde:
n= 4 personas

50
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
I3 = el grado de capacitacin del usuario interno

El plan de seguridad est dirigido a 4 usuarios finales los cuales
constituyen mi muestra
Dnde:
n= 4 personas
1.6. Diseo de Investigacin
1.4.1. Objeto de Estudio
Breve descripcin de la Empresa
Empresa de transportes JUVIER S.A.C se dedica a la prestacin de
servicio de transporte de carga pesada (volquetes, excavadora) para
la minera y construccin, todas sus actividades depende de la
administracin del rea Contable y de la Gerencia de Operaciones.
Finalidad
La finalidad del rea de gerencia de operaciones es planificar,
organizar, dirigir, controlar los medios de seguridad informticos
dentro de la empresa.
1.4.2. Tcnicas e Instrumentos, fuentes e informantes
Tabla N 1. 6 Tcnicas e Instrumentos
Tcnicas
Entrevista
Instrumentos
Cuestionario

Informantes
Gerente General, Gerente
de Operaciones, Jefe de
informtica
51
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.4.3. Forma de anlisis e Interpretacin de resultados

1.4.3.1. Anlisis de contrastacin
Para la contratacin de la hiptesis se tomar en cuenta el
mtodo de diseo longitudinal conocido tambin como PreTest y Post -Test. Este diseo consiste en los siguientes pasos:
Medir previamente variable dependiente a ser utilizada
(pre-test).
Aplicar variable independiente a los sujetos del grupo.
Volver a medir la variable dependiente en los sujetos del
grupo (post-test).
Este diseo de contrastacin se puede representar de la siguiente
manera.
Figura N 1. 5 Anlisis de Contrastacin.
O1
O2
Dnde:
O1: El anlisis y gestin de riesgos en el rea de gerencia de
operaciones de Transportes Juvier S.A.C antes de la
implementacin del Plan de Seguridad de la informacin.
X: Plan de seguridad de la informacin
O2: El anlisis y gestin de riesgos de Transportes Juvier
S.A.C despus de la implementacin del Plan de Seguridad
de la informacin.
Al final el proyecto establece las diferencias entre el O1 y el
O2 para determinar si hay mejoramiento en los resultados
obtenidos

52
IVONNE J ACKELINE,
URRUTIA LOZADA

1.4.3.2.
INGENIERA
DE
SISTEMAS
Indicadores
Tabla N 1. 7 Indicadores
Indicador
Frecuencia
El nmero de
riesgos
informticos
Mensualmente
durante el
periodo 2011
El grado de
satisfaccin del
usuario interno
Mensualmente
durante el
periodo 2011
El grado de
capacitacin del
usuario interno
Mensualmente
durante el
periodo 2011
Tcnica
Encuesta
Encuesta
Encuesta
Instrumento
Encuesta
Encuesta
Encuesta
Formula
NUS =
Descripcin
=1
Tp = Tiempo promedio
Retraso por incidente.
n = Muestra de tomas
de
los
incidentes
realizados.
TI= Total de Incidentes
=1
Nmero de
Incidentes.
Psu = Promedio de
satisfaccin del usuario. Nmero de
nu = Numero de Usuarios.
usuarios encuestados.
NUS=
numero
de
usuarios satisfechos
TP = Total Personas
NPC = Nmero de
Personas Capacitadas.
GC=
Grado
de
Capacitacin
NPC
GC
%
TP
PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL REA DE GERENCIA DE OPERACIONES

DE LA EMPRESA DE TRANSPORTES J UVIER S.A.C
Unidad de
Medida
53
Nmero de
Usuarios.
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.4.4. Mtodo
Para el presente proyecto utilizaremos la metodologa MAGERIT
Metodologa de Anlisis y Gestin de Riesgos con la herramienta de
soporte Excel, en el cual se identificarn los activos, las dimensiones de
valoracin con criterios de una escala estndar, se identificarn las
amenazas por tipo de activo, y finalmente salvaguardas para cada tipo
de activo a proteger segn los catlogos de elementos que proporciona
la metodologa.
Metodologa de Anlisis y Gestin de Riesgos (MAGERIT)
Tabla N 1. 8 Descripcin de las fases de la metodologa MAGERIT
Fase 1: Planificacin del anlisis y gestin de riesgos

Se establecen las consideraciones necesarias para arrancar el
proyecto AGR.
Se investiga la oportunidad de realizarlo.
Se definen los objetivos que ha de cumplir y el dominio (mbito)
que abarcar.
Se planifican los medios materiales y humanos para su
realizacin.
Se procede al lanzamiento del proyecto.
Fase I1: Anlisis de riesgos
Se identifican los activos a tratar, las relaciones entre ellos y la
valoracin que merecen.
Se identifican las amenazas significativas sobre aquellos activos y
se valoran en trminos de frecuencia de ocurrencia y degradacin
que causan sobre el valor del activo afectado.
Se identifican las salvaguardas existentes y se valora la eficacia de
su implantacin.
Se estima el impacto y el riesgo al que estn expuestos los activos
del sistema.
Se interpreta el significado del impacto y el riesgo.
Fase II1: Gestin de riesgos
Se elige una estrategia para mitigar impacto y riesgo.
Se determinan las salvaguardas oportunas para el objetivo
anterior.
Se determina la calidad necesaria para dichas salvaguardas.
Se disea un plan de seguridad (plan de accin o plan) para llevar
el impacto y el riesgo a niveles aceptables.

54
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO II
METODOLOGA
INGENIERA
DE
SISTEMAS
CAPITULO II: METODOLOGA

El desarrollo del presente trabajo de investigacin titulado Anlisis y Gestin de
riesgos de seguridad de la informacin para el rea de gerencia de operaciones de la
Empresa de Transportes Juvier.S.A.C se ha basado en la metodologa MAGERIT, la
cual consta de las siguientes fases de desarrollo:
Fase I: PLANIFICACIN: La planificacin del proyecto se focaliza en las

estimaciones iniciales de los riesgos que puede afectar al sistema de informacin as
como del tiempo y los recursos que su tratamiento conllevar.
Fase II: ANLISIS DE RIESGOS: Se estima el impacto que tendrn los riesgos en
la organizacin, cuestin muy importante, puesto que si bien la seguridad es
fundamental, su uso desproporcionado puede afectar gravemente el rendimiento del
sistema por lo que es necesario establecer un umbral de riesgo deseable (tole rable)
que debe superar un determinado riesgo para ser objeto de tratamiento.
Dentro del anlisis se identifica a las salvaguardas, y entran en el clculo del riesgo
de dos formas:
Reduciendo la frecuencia de las amenazas.

Se llaman salvaguardas preventivas. Las ideales llegan a impedir que la amenaza
se materialice.
Limitando el dao causado.

Hay salvaguardas que directamente limitan la posible degradacin, mientras
otras permiten detectar inmediatamente el ataque para frenar la degradacin del
avance. Incluso algunas salvaguardas se limitan a permitir la pronta
recuperacin del sistema cuando la amenaza lo destruye. En cualquiera de las
versiones, la amenaza se materializa; pero las consecuencias se limitan.

56
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Fase III: GESTIN DE RIESGOS: Se seleccionan posibles soluciones para cada

riesgo.
Figura N 2. 1 Modelo MAGERIT
Impacto residual
Medida del estado presente, entre la inseguridad potencial (sin salvaguarda
alguna) y las medidas adecuadas que reducen impacto y riesgo a valores
despreciables.
Riesgo residual
Es el nivel de riesgo esperado despus de implementar y evaluar la
salvaguarda. Si se han hecho todos los deberes a la perfeccin, el riesgo
residual debe ser despreciable. Si el valor residual es despreciable ya est.
Esto no quiere decir descuidar la guardia; pero si afrontar el da a da con
confianza.

57
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Es importante saber que un valor residual es solo un nmero. Para su correcta

interpretacin debe venir acompaado de la relacin de lo que se debera
hacer.

58
IVONNE J ACKELINE,
URRUTIA LOZADA
FASE I
PLANIFICACIN
INGENIERA
DE
SISTEMAS
FASE I: PLANIFICACIN
Tabla N 2. 1 Planificacin del Proyecto
1. Planificacin del proyecto de anlisis y gestin de riesgos

1. Oportunidad
2. Alcance
3. Planificacin
4. Lanzamiento
En esta primera fase del proceso, nos reunimos con el responsable del rea de Gerencia
de Operaciones, se recolectaron las respectivas muestras de informacin para nuestro
estudio de oportunidad y se concluy lo siguiente: El resultado de esta actividad es el
informe denominado preliminar. Ver Anexo N 4
A1.1: Estudio de Oportunidad
Tabla N 2. 2 Determinacin de la Oportunidad
P1: Planificacin
A1.1: Estudio de Oportunidad
T1.1.1: Determinar la Oportunidad
Objetivos:
Suscitar a la gerencia general de la empresa que requiere de un plan de seguridad
de la informacin.
Sensibilizar a la direccin para el apoyo de la obtencin de informacin.
Producto de entrada
Carta de aceptacin de la Empresa. Ver Anexo 2
Solicitud de acceso a la Informacin de la Empresa. Ver Anexo 3
Producto de salida
Informe preliminar recomendando la elaboracin de un plan de seguridad de la
informacin. Ver Anexo 4
Creacin del comit de informtica. Ver Anexo 5
Tcnicas, prcticas y pautas
Observacin.
Reunin.
Participante
La promotora del proyecto.
PLAN DE SEGURIDAD DE LA INFORMACIN PARA
EL REA DE GERENCIA DE OPERACIONES DE LA
60
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS

1. Oportunidad
2. Alcance
4. Lanzamiento
3. Planificacin
En esta actividad se definen los objetivos finales del proyecto y su dominio. Se realiza
una primera identificacin del entorno y de las restricciones generales a considerar.
El resultado de esta actividad es un perfil del plan de seguridad de la Informacin.
A1.2: Determinacin del alcance del proyecto
Tabla N 2. 3 Determinacin del alcance del proyecto
P1: Planificacin
T1.2.1: Objetivos Generales
Objetivo
Suscitar a la gerencia general de la empresa que requiere de un plan de seguridad
de la informacin.
Producto de entrada
Recopilacin de la documentacin pertinente de la Organizacin. Ver situacin
actual de la empresa
Producto de salida
Perfil general de las unidades incluidas en el dominio del proyecto.
Lista de funciones relevantes en la unidades incluidas en el dominio.
Encuesta. Ver anexo 6 -01
Participante
El comit de informtica

61
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 4 tcnicas e instrumentos
Tcnicas
Entrevista
Instrumentos
Cuestionario
Informantes
Gerente General, Gerente
de Operaciones, Jefe de
informtica
Esta tarea permite identificar las unidades objeto del anlisis y gestin de riesgos, y
especificar las caractersticas generales de dichas unidades en cuanto a responsables,
servicios proporcionados y ubicaciones geogrficas.
Tabla N 2. 5 Determinacin del alcance del proyecto
P1: Planificacin
T1.2.2: Determinacin del dominio y lmites
Objetivos
Identificar las principales relaciones de las diversas reas referente a la seguridad
de la informacin.
Identificar mejores polticas de seguridad para la informacin en todas las reas.
Identificar los incidentes que generan prdidas de la informacin en las reas
Producto de entrada
Recopilacin de la documentacin pertinente de la Organizacin.
Entrevistas no formal al personal de la empresa
Perfil general de las unidades incluidas en el dominio del proyecto
Producto de salida
Relacin de unidades de la empresa que se vern afectadas como parte del
dominio del proyecto.
Lista de funciones relevantes en la unidades incluidas en el dominio
Designacin del proyecto. Ver situacin actual de la empresa
Entrevista no formal
Participante
62
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Esta tarea identifica las unidades objeto del proyecto seguridad de la informacin y
especifica las caractersticas generales de dichas unidades en cuanto a responsables,
servicios proporcionados y ubicaciones geogrficas.
Tabla N 2. 6 Identificacin del entorno
P1: Planificacin
T1.2.3: Identificacin del entorno
Objetivos
Revisar los equipos informticos actuales de la empresa
Revisar y analizar presupuestos de inversin de equipos informticos a nivel de
todas las reas.
Presentar informes por daos y averas de equipos informticos.
Revisar proformas de adquisicin de nuevos equipos informticos, para emitir un
informe a la Gerencia General.
Productos de entrada
Resultados de la tarea T1.2.2, Determinacin del dominio y lmites
Revisar y analizar presupuestos de inversin de equipos informticos a nivel de
todas las reas.
Productos de salida
Revisin equipos informticos actuales de la empresa. Ver anexo 8
Informes por daos y averas de equipos informticos.
Proforma de adquisicin de nuevo equipo informtico.
Relacin de unidades de la empresa que se ver afectada como permetro del
proyecto. Ver situacin actual de la empresa
Entrevistas no formal
Participantes

63
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Esta tarea realiza un estudio global de los sistemas de informacin de las unidades
incluidas en el dominio del proyecto, El perfil general de las unidades, producto
obtenido en la tarea anterior, se ampla en sta con la informacin proporcionada por los
responsables de las diversas reas de dichas unidades.
Tabla N 2. 7 Estimacin de dimensiones y costos
P1: Planificacin
T1.2.4: Estimacin de dimensiones y coste
Objetivos
Establecer un presupuesto para mejorar la respuesta frente a problemas de

equipos informticos que puedan daar la informacin.
Relacin de unidades de la empresa que se ver afectada como permetro del
dominio.
El dominio y lmites establecidos por la gerencia de operaciones.
Productos de salida
Relacin de unidades de la Empresa que se ver afectada como permetro del
dominio.
Lista de funciones relevantes en otras unidades, a considerar para la
caracterizacin del entorno.
Dominios y lmites establecidos por la Gerencia
Dimensin y coste del proyecto. Ver situacin actual de la empresa.
Planificacin de proyecto: Diagrama de Gantt.
Participantes

64
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
2. Alcance
1. Oportunidad
4. Lanzamiento
3. Planificacin
En las entrevistas debe detallar a qu persona se va a entrevistar, cundo y con qu

objetivo.
Permite determinar la carga que el proyecto va a suponer para las unidades afectadas,
bien del dominio o bien del entorno.
A1.3: Planificacin del proyecto
Tabla N 2. 8 Evaluacin y planificacin de entrevistas
P1: Planificacin
A1.3: Planificacin del proyecto
T1.3.1: Evaluacin y planificacin de entrevistas
Objetivos
Definir los grupos de interlocutores : usuarios afectados en cada unidad
Planificar las entrevistas de recogida de informacin.
El alcance del proyecto es viable mediante el flujo de caja establecido en la tarea
T1.2.4: Estimacin de dimensiones y coste.
Productos de salida
Cuestionarios adaptados Ver anexo 7.1
Encuesta. Ver anexo 6.1
Participantes
El promotor del proyecto

65
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS

1. Oportunidad
2. Alcance
3. Planificacin
4. Lanzamiento
Se adaptan los cuestionarios para la recogida de informacin adaptndolos al proyecto

presente. Se eligen las tcnicas principales de evaluacin de riesgo a utilizar y se
asignan los recursos necesarios para el comienzo del proyecto. Tambin se realiza una
campaa informativa de sensibilizacin a los afectados sobre las finalidades y
requerimientos de su participacin.
A1.4: Lanzamiento del proyecto
Tabla N 2. 9 Adaptacin de los cuestionarios
P1: Planificacin
T1.4.1: Adaptar cuestionarios
Objetivos
Identificar la informacin relevante a obtener, agrupada de acuerdo a la estructura
de unidades y roles de los participantes.
Resultados de la actividad A1.3, Planificacin del proyecto.
Productos de salida
Cuestionarios adaptados. Ver anexo 7.2
Encuesta Ver anexo 6.2
Participantes

66
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Esta tarea nos permite identificar los activos de la empresa, determinando el tipo,
dimensin de valoracin (confidencialidad, integridad y disponibilidad), valoracin de
activos y amenazas, haciendo uso del catlogo de activos que proporciona la
metodologa.
Tabla N 2. 10 Criterios de evaluacin
P1: Planificacin
T1.4.2: Criterios de evaluacin
Objetivos
Determinar el catlogo de tipos de activos
Determinar las dimensiones de valoracin de los activos
Determinar el catlogo de amenazas
Catalog de elementos de la metodologa Magerit.
Fichas de identificacin de activos.
Productos de salida
Identificacin de activos. Ver anexo 09
Catlogo de activos. Ver anexo 10
Catlogo de amenazas. Ver anexo 12
Catlogo de elementos Ver anexo 11
Participantes

67
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
En esta tarea identificamos los recursos necesarios a utilizar durante el desarrollo del
proyecto y el costo que este ocasionara para que se lleve a cabo el desarrollo.
Tabla N 2. 11 Recursos necesarios
P1: Planificacin
T1.4.3: Recursos necesarios
Objetivos
Asignar los recursos necesarios (materiales, sala de juntas, equipo, etc.) para la
realizacin del proyecto.
Productos de salida
Comunicacin al personal participante de su asignacin al proyecto. Ver anexo 5
Disponibilidad de los medios materiales necesarios Ver situacin actual de la
empresa.
Dimensin del Proyecto.
Diagrama de Gantt. Ver situacin actual de la empresa.
Participantes
El comit de Informtica

68
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANLISIS DE LA SITUACIN ACTUAL
PRESENTACIN DE LA EMPRESA
GIRO DEL NEGOCIO
Empresa de transporte JUVIER S.A.C se dedica a la prestacin de servicios de
transporte de carga pesada por carretera contado con volquetes para la minera
y construccin. Presta sus servicios a la CIA MINERA SANTA LUISA S A
DIRECCIONAMIENTO ESTRATGICO ACTUAL
Misin
Al ser una empresa de servicio, nuestro negocio principal ha sido atender y dar
al cliente servicio de transporte de carga pesada (mineral y materiales de
construccin).
Ayudando a nuestros clientes a explorar sus necesidades y les ofrecemos
alternativas con un alto valor agregado considerando las diferentes alternativas
de transporte de materiales, el objetivo que se persigue con el uso de nuestros
servicios es trasladar la cantidad requerida de materiales, a tiempo y
eficientemente, haciendo que nuestros clientes se dediquen a su actividad
principal. Fuente: JUVIER S.A.C
Visin
Ser en los prximos cinco aos una empresa lder en prestacin de servicio
de carga pesada al sector minero y construccin, proyectndose a adquirir
unidades cero (0) kilmetros, para llegar a ser una de las mejores empresas
brindando servicios, garanta, cumplimiento, seguridad, motivado por la
calidad humana de su personal, y desarrollando su proyecto de certificar con
SGS DEL PERU S.A y en un lapso prudencial el ISO-14001, y OHSAS 18001 a travs de empresas especializadas en este tema.
Fuente: JUVIER S.A.C

69
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ORGANIGRAMA FORMAL
El siguiente organigrama fue proporcionado por la Empresa de Transportes
Juvier.
Figura N 2. 2 Organigrama Formal
Fuente: JUVIER S.A.C
PERFIL GENERAL DE LAS UNIDADES DE LA EMPRESA

Gerencia General
El encargado de Gerenciar la empresa es la Sra Victoria Rodrguez Ros, el
cual se encarga de las decisiones respectivas al rea y controlar la correcta
labor de los operarios.
Funciones
-
Crear y mantener buenas relaciones con los clientes, trabajadores,

contristas y proveedores para mantener el buen funcionamiento de la
empresa.
Coordinar con las oficinas administrativas para asegurar que los registros
y sus anlisis se estn llevando correctamente.
Poner atencin a las operaciones diarias, haciendo recomendaciones
Supervisa y mantiene planes de remuneracin para todos los empleados.

Cantidad de empleados : 1

70
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Gerencia de Operaciones
Se encarga de realizar evaluaciones peridicas acerca del cumplimiento y
desarrollo de metas a corto y largo plazo para cada departamento (esto incluye
los departamentos administrativos (maquinarias, herramientas y talleres de
servicios).
Dentro delas responsabilidades que debe cumplir estn las siguientes:
-
Situar los gastos en los lmites establecidos en el presupuesto de

operaciones
Preparar la informacin diaria de la situacin bancaria, que incluya

saldos, depsitos y egresos.
Hacer un seguimiento del desempeo del personal.
Captar nuevos clientes y negocios.
Mantener la informacin de gastos de mantenimiento de maquinarias.
Mantener un alto nivel de prestacin de servicios por horas a empresas

mineras.
Responsable: Antonio Fernndez Quispe
Jefe de Informtica:
Se encarga de administrar los equipos de cmputo, la redes de comunicaciones,
y asistir inmediatamente al gerente de operaciones cuando lo requiera.
-
Reportes de averas de equipos de cmputo.
Mantener un alto nivel de disponibilidad de los equipos de cmputo
Preparar la informacin diaria de la situacin informtica, que incluya

hardware, software, redes de comunicaciones, entre otras.
Reporte de gastos y caja chica.

Responsable: Ricardo Gonzales Ros

71
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Asistente tcnico:
Logra que el usuario trabaje con su computadora de forma ptima mediante
soporte tcnico y asesoramiento sobre funcionamiento de sistema y redes.
-
Instalacin de software
Solucin de virus, fallas de hardware y software
Configuracin de internet
Solucin de problemas de red
Orientacin sobre la utilizacin y funcionamiento de los programas que utiliza

la compaa.
Soporte a usuario
Responsable: Juan Abanto Colinas
Secretaria (Asistente Contable)

Manejo administrativo contable de las operaciones en el tiempo adecuado y de
acuerdo a los requerimientos y prioridades
-
Administrar las comunicaciones telefnicas entrantes y salientes.
Atender a las personas que lleguen a la Empresa
Elaborar cartas, oficios, entre otros
Reporte de gastos y caja chica
Mantener al da los archivos generales de la empresa.
Organizar la mensajera diariamente
Elaborar los documentos para exportacin.
Elaborar formatos para pagos de seguridad social (Salud, Pensin,

Riesgos profesionales, Caja de compensacin, entre otros).
Contabilizar las facturas, filtrar las llamadas, atender a los proveedores,

archivar facturas
Responsable: Ingrid Lizzeth Esparza

72
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Contabilidad
Dentro de esta rea se maneja una oficina ms que es ocupada por el
practicante de contabilidad, la razn de ser de la empresa se enfoca en esta
rea, ya que se trata de proteger una activo importante para la empresa, como
lo es la informacin y datos manejados en este departamento.
-
Las aperturas de los libros de contabilidad.
Declaracin del PDT a la Sunat
Estudios de estados financieros y sus anlisis.
Certificacin de planillas para pago de impuestos.
Aplicacin de beneficios y reportes de dividendos.
La elaboracin de reportes financieros para la toma de decisiones.

Responsable: Cecilia Beltram
rea de Supervisin
-
Contabilizar las horas hombre de las programaciones de equipos de

transporte
Programar al rea de personal en cada estacin vehicular
Informar las inasistencias, tardanzas del personal

Responsable: Luis Barros Alayo
rea de Seguridad
-
Programar charlas a conductores
Capacitacin al personal en materia de seguridad al transporte de carga

pesada
Responsable: Jerson Alcalde Chapa

73
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
DETERMINACIN DEL DOMINIO

rea de la empresa que ser afectada como parte del dominio del proyecto
Figura N 2. 3 Determinacin del dominio
DESCRIPCIN DEL REA

Se encarga de realizar evaluaciones peridicas acerca del cumplimiento y
desarrollo de metas a corto y largo plazo para cada departamento (esto incluye
los departamentos administrativos (maquinarias, herramientas y talleres de
servicios).
-
Situar los gastos en los lmites establecidos en el presupuesto de

operaciones
Preparar la informacin diaria de la situacin bancaria, que incluya

saldos, depsitos y egresos.
Hacer un seguimiento del desempeo del personal.
Captar nuevos clientes y negocios.

74
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Mantener la informacin de gastos de mantenimiento de maquinarias.
Mantener un alto nivel de prestacin de servicios por horas a empresas

mineras.
Responsable: Antonio Fernndez Quispe
Jefe de Informtica:
Se encarga de administrar los equipos de cmputo, la redes de comunicaciones,
y asistir inmediatamente al gerente de operaciones cuando lo requiera.
-
Reportes de averas de equipos de cmputo.
Mantener un alto nivel de disponibilidad de los equipos de cmputo
Preparar la informacin diaria de la situacin informtica, que incluya

hardware, software, redes de comunicaciones, entre otras.
Reporte de gastos y caja chica.

Responsable: Ricardo Gonzales Ros
Asistente tcnico:
Logra que el usuario trabaje con su computadora de forma ptima mediante
soporte tcnico y asesoramiento sobre funcionamiento de sistema y redes.
-
Instalacin de software
Solucin de virus, fallas de hardware y software
Configuracin de internet
Solucin de problemas de red
Orientacin sobre la utilizacin y funcionamiento de los programas que utiliza

la compaa.
Soporte a usuario
Responsable: Juan Abanto Colinas

75
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
LUGAR GEOGRFICO DE LA EMPRESA

Figura N 2. 4 Lugar geogrfico de la empresa
LOCAL DE LA EMPRESA

76
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
LAY OUT DE LA EMPRESA

Por cuestiones de espacio el plano se diagram en secciones que se explican
brevemente en la pgina siguiente
Figura N 2. 5 Plano de la empresa
3 Seccin
2 Seccin
1 Seccin

77
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1 Seccin
Se encuentra la puerta y portn de entrada principal que da salida a la calle los
cedros, esta primera planta corresponde a la vivienda de los propietarios.
2 Seccin
Se encuentra las habitaciones correspondientes a la puerta y portn de entrada
principal que da salida a la calle los cedros, esta primera planta corresponde a la
vivienda de los propietarios.
3 Seccin
Se encuentran las oficinas donde se realizan las mayoras de actividades, las reas
gerenciales, el rea de contabilidad, el rea de supervisin, el rea de seguridad.
Figura N 2. 6 Plano de las oficinas de la empresa
Oficina Contable
Oficina Asistente Contable
Oficina Supervicin
1 m cuadr
1 m cuadr
Oficina de Seguridad
1 m cuadr
PC
PC
Bao
1 m cuadr
PC
Oficina Gerente de Operaciones y Jefe de Iformtica

PC
2 m cuadr
PC
Oficina Gerente General

3 m cuadr
Porttil

78
IVONNE J ACKELINE,
URRUTIA LOZADA
PC
3 m cuadr
INGENIERA
DE
SISTEMAS
DISEO DE LA RED ACTUAL

Figura N 2. 7 Diseo de la red actual de Juvier
Hallazgos:
- Modem Zte Zxv10 W300: La navegacin es directa a internet, no se maneja un
proxy que gestione el acceso a pginas web.
- Router Cisco 1841 / Switch Cisco Catalyst 2950 : Carecen de medidas de
seguridad, solo tienen parmetros de fbrica.
- Wirelles activa sin seguridad.
- Todos los equipos de cmputo estn en el segmento de red 192.168.1.x

79
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Desventajas a Nivel Fsico Hardware

-
Segn el modelo conexin directa a internet

Los equipos de cmputo conectados estn expuestos a ataques (a travs
de troyanos, gusanos) por algn puerto abierto en el Modem/ Router
ADSL.
La velocidad de transmisin se ve afectada, ya que si en nuestra red

contamos con un Host con una tarjeta 10mbps y los dems de 100mbps, la
velocidad se reducir a 10mbps.
No se est aprovechando las capacidades de los equipos de comunicaciones

como son: VLan y Enrutamiento para distribuir mejor el trfico en la red.
Desventaja a Nivel Lgico

Todos los usuarios tienen privilegio de administrador de red para navegar
por internet sin restricciones, modificar, compartir archivos e instalar
aplicaciones.
La informacin que es compartida por cada rea de la empresa puede ser
accesada por cualquier otra rea.
Ejm, El rea de contabilidad, Gerencia debe contar con permisos de
seguridad.
Los equipos de cmputo estn expuesto a ser accedidos remotamente por
terceros, externo a la empresa
RECURSOS INFORMTICOS EXISTENTES

Sistemas informticos (SOFTWARE)
La empresa no posee un sistema contable, todos los procesos contables y
actividades de otras reas se mantienen en una planilla de Excel, en la cual
consiste en el registro de clientes, horas trabajadas por hombre, entre otras .Sus
clientes, proveedores son almacenados en una base de datos desarrollada en
Access.

80
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Manejan el software PDT - El Programa de Declaracin Telemtica, cuyo sistema

informtico es desarrollado por la Superintendencia Nacional de Administracin
Tributaria (SUNAT) con la finalidad de facilitar la elaboracin de las
declaraciones juradas bajo condiciones de seguridad del registro de la
informacin, ayudndoles as al cumplimiento de sus obligaciones tributarias.
Equipamiento informtico (HARDWARE)

Se detallan los equipos de computacin, as como los equipos de impresin
existentes en la empresa. (Ver anexo 8 Inventario de equipos informticos).
Revisin de equipos informticos actuales de la empresa
Tabla N 2. 12 Costo total de adquisicin de hardware
Descripcin
- COMPAQ 15 CRT
- Pentium IV
- Procesador Intel d915gav
- 512 MB en Memoria
- Disco duro de 80GB
- Mouse Genius PS2
- Nestscroll
- -Teclado Genius PS/2
KB- 06x
- Parlante Genius SP-Q06
- Tarjeta red D-Link DFE530TX.
- Floppy 3.5 HD
- CD-ROM 52x
- Toshiba Satellite A40
SP151
- Procesador Mobile Intel
Pentium 4 a 2.80Ghz
- Memoria RAM 256MB
- DVD-ROM + cd-rw 24x
- Pantalla TFT de 15 Pulg
Cantidad
Unidad de
Valorizado
Medida
S/.
Unidad
1,750.00
Unidad

2,100.00
81
Total S/.
1,750.00
2,100.00
IVONNE J ACKELINE,
URRUTIA LOZADA

- Modem 56k
- Red 10/100Mbps
- Red inalmbrica 802.11g
- Clon:
- Procesador Intel Dual
Core E22200 2.20 ghz
- Monitor LG LCD 17
1742 1280 x 1024
- Memoria Ramn DDR2 de
2Gb Kingston Bus
800Mhz
- Disco duro Samsung
160gb
- DVD-ROM + CD RW
- Lector de memoria
- Tarjeta de video Intel
- Regulador de voltaje CDP
220V
- Clon:
- Procesador Intel
Core2Duo 2.2 Ghz
- Monitor Samsung LCD
17 1742 1280 x 1024
- Memoria RAM 3 GB
DDR2
250gb
- DVD-ROM + CD RW
- Lector de memoria
220V
- Impresora hp 2160
INGENIERA
DE
SISTEMAS
Unidad
1,764.00
5,292.00
Unidad
2,200.00
6,600.00
Unidad
Impresora hp 2330
Unidad
Impresora Matricial
Epson lx300
Router Cisco 1841
Unidad
350
350.00
Unidad
899.00
899.00
Switch Cisco Catalyst

2950
Unidad
750.00
750.00
Costo Total de Hardware
S/. 17,741.00
Estos son los equipos actuales con los que cuenta la empresa y como se observa en el
cuadro su precio en el cual estn valorizado y la inversin que represento su compra.
82
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Informes por daos y averas de equipos informticos

Tabla N 2. 13 Informe por daos y averas de equipos informticos
Descripcin
- COMPAQ
- (Intel d915gav)
- Procesador Pentium IV
- 2.5 Ghz con 512 Mb de
Cache, Memoria RAM
512 GB, con Disco Duro
de 120 GB IDE, Tarjeta
de Video Intel, Grabador
de CD de 20X,
disquetera
Cantidad
rea
Daos
Contabilidad
En la fuente y en el
disco duro
Proforma de adquisicin de nuevo equipo informtico

Tabla N 2. 14 Proforma de Adquisicin de nuevos equipos informticos
Descripcin
Clon:
Core E22200 2.20
ghz
- Monitor LG LCD 17
1742 1280 x 1024
- Memoria Ramn
DDR2 de 2Gb
Kingston Bus
800Mhz
160gb
- DVD-ROM + CD
RW
- Lector de memoria
- Regulador de voltaje
CDP 220V
UPS
Tarjeta de red
Cantidad
Unidad
de
Medida
Efectivo S/.
Total S/.
Unidad
1,764.00
1,764.00
Unidad
170.00
170.00
Unidad
30.00
60.00
83
IVONNE J ACKELINE,
URRUTIA LOZADA

INGENIERA
DE
SISTEMAS
inalmbrica
S/. 1,994.00
Relacin de unidades de la Empresa que se ver afectada como permetro del

dominio.
Tabla N 2. 15 Unidades afectadas de la empresa
rea
Dominio
Aprueba las nuevas polticas de seguridad a ser
Gerencia
implantadas
Establece
polticas
de
Seguridad
de
la
Informacin para un mejor manejo y desempeo

de los procesos en la empresa
Lista de funciones relevantes en otras unidades, a considerar para la

caracterizacin del entorno.
Archivar los documentos de contratos, resoluciones, u otros tipos de
documentos.
Copia de informes y reportes en digital.
Dominio y Lmites establecidos por la gerencia de operaciones

Tabla N 2. 16 Lista de Dominio y Lmites
rea
Lmites
Dominio
Gerencia de Operaciones Establece normas o polticas de

seguridad de la informacin.
Gerencia general
La gerencia de
operaciones.
Aprueba las normas o polticas

Todas las reas de la
propuestas por el rea de gerencia empresa.
de operaciones.

84
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
DIMENSIONES DEL PROYECTO

A. COSTES DEL PROYECTO
A.1. Costos de Inversin
Tabla N 2. 17 Costos de Inversin en Hardware
Descripcin
Cantidad
Unidad de
Efectivo S/.
Total S/.
1,764.00
Medida
Clon:
Core E22200 2.20 ghz
- Monitor LG LCD 17
1742 1280 x 1024
- Memoria Ramn DDR2 de
2Gb Kingston Bus
800Mhz
160gb
- DVD-ROM + CD RW
- Lector de memoria
220V
UPS
Unidad
1,764.00
Unidad
170.00
170.00
Unidad
30.00
60.00
Tarjetas de red inalmbrica

D-Link Dfe 520tx
S/. 1,994.00
Tabla N 2. 18 Costo de Inversin en Software
Licencias
Sistema
Operativo
Nombre
Windows
7
Windows
2008
server
Herramientas Microsoft
Ofimticas
Office
Keiro
Wnroute
Versin
Profesional
Estndar
$
300
Valorizado
300.00
Total S/.
840.00
789
789.00
2,209.20
850.00
850.00
2010
6.5.2
35

35.00
85
112.00
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
Costo Total de Software
SISTEMAS
S/ 4,011.20
Total de inversin inicial = S/ 6,005.20

A.2. Costos de Desarrollo
Tabla N 2. 19 Costo de Recursos Humanos
Descripcin
Administrador de
Proyecto
Cantidad
1
Costo x Mes S/.

0.00
N Meses
10
Total S/.
0.00
Total de Recursos Humanos
S/. 0.00
Tabla N 2. 20 Costo de Insumos
Descripcin
Cantidad
Unidad
Precio
de
Unitario
Valorizad
Medida
S/.
N Meses
Tota
l S/.
DVD s
Unidad
1.00
2.00
Papel A4
Millar
13.00
13.00
Varios
Unidad
20.00
20.00
Unidad
15.00
10
30.00
Movilidad
40
Unidad
1.00
Memoria
Unidad
35.00
Unidad
60.00
75 g
Fotocopias
tiles de
Escritorio
4
35
40.00
35.00
10
120.00
USB 4 GB
Cartuchos
de Tinta
Costo Total de Insumos

S/. 260.00
86
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 21 Costo por consumo de energa
Consumo
Artefacto
Watts
Kw
Cantidad
Horas/Da
Das/Mes
Mensual
Kw/h
Computadora
330
0.33
24
126.72
Impresora
200
0.2
24
19.2
145.92
Consumo Total Kw/h
Costo Total Mensual
S/. 50.14
Costo Total x 4 meses
S/. 200.56
S/.
Costo S/. Por Kw/h
0.3436
COSTO TOTAL DE DESARROLLO = S/. 460.56
A.3. Costos de Operacin
Tabla N 2. 22 Costo por utilizacin de equipo
Consumo
Artefacto
Watts
Kw
Cantida
Horas/
Da
Das/Mes
Mensual
Kw/h
Computadora
330
0.33
24
126.72
Impresora
200
0.2
24
19.2
Consumo Total Kw/h

Costo S/. Por Kw/h
145.92 Costo Total Mensual

S/. 0.3436 Costo Total al Ao

87
S/. 50.14
S/. 601.66
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 23 Costo por recursos humanos
Costo
Descripcin
Costo Mes
Directo
N Veces
Personas
Total (S/.)
Al Ao
Servicio tcnico
S/. 30.00
S/. 30.00
90.00
Contingencia
S/.200.00
S/. 200.00
400.00
Otros
S/.100.00
S/. 100.00
200.00
Costo Anual de Recursos Humanos
s/. 690.00
Tabla N 2. 24 Costos por Recursos materiales
Descripcin
Cantidad
Mensual
1
DVD s
Unidad
de
Medida
Unidad
N Veces
Al Ao
3
Precio
Unitario
S/.
1.00
Total
S/.
3.00
Papel A4 75 gr
Millar
20.00
40.00
tiles de Escritorio
Otros
30.00
150.00
Memoria USB 2 GB
Unidad
30.00
120.00
Cartuchos de Tinta N 40
Unidad
40.00
240.00
Cartuchos de Tinta N 41
Unidad
40.00
240.00
Costo Total de Insumos
s/. 793.00
Tabla N 2. 25 Costos por Depreciacin
Concepto
Inversin Inicial
Dep. Ao 1
Dep. Ao 2
Dep. Ao 3
Hardware
1,944.00
1,850.00
1,600.00
1,500.00
Software
4,011.20
3,911.20
3,911.20
3,911.20
S/ 5,955.20
S/ 5,761.20
S/ 5,511.20
S/ 5,411.20
Total

88
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Resumen de Costos:
Tabla N 2. 26 Resumen de Costos
Periodo Inicial (0)

Costo de Inversin
Anual
6,005.20
Costo de Desarrollo
460.56
Costo de Operacin
2,084.66
Total
S/. 6,465.76
S/. 2,084.66
B. BENEFICIOS DEL PROYECTO

B.1. Beneficios Tangibles
Tabla N 2. 27 Ahorro por los Jefes de rea
N
Descripcin
Cantidad
Unidad
Compras
Costo
Subtotal
Mensual
Medida
Por Ao
Mensual
Anual
Ahorro en compra de
Millar
15
20.00
300.00
12
Otros
12
50.00
600.00
papel
Ahorro en horas
extras
Total de Beneficios Tangibles
S/. 900.00
B.2. Cuadro de Flujo de Caja

Tabla N 2. 28 Flujo de Caja
Descripcin
1.-Costos de Inversin
A.- Costos de Hardware
B.- Costos de Software
Ao 0
2011
Ao 1
2012
Ao 2
2013
Ao 3
2014
1,944.00
4,011.20
Total Costo de Inversin S/. 6,005.20

2.- Costos de Desarrollo
A.- Recursos Humanos
B.- Recursos Insumos
C.- Consumo Energa
0.00
260.00
200.56

89
IVONNE J ACKELINE,
URRUTIA LOZADA

Total Costos de Desarrollo
INGENIERA
DE
SISTEMAS
S/. 460.56
3.- Costos de Operacin

A.- Operacin de
Equipos
B.-Mantenimiento de
Equipos
C.- Recursos Materiales
D.- Depreciacin
Costos de Operacin
4.- Beneficios
A.- Ahorro en compra de
papel
B.- Ahorro en espacio
fsico
BENEFICIO TOTAL
601.66
601.66
601.66
690.00
793.00
S/. 1,850.00
690.00
793.00
1,850.00
690.00
793.00
1,500.00
S/. 3,934.66 S/. 3,684.66
S/. 3,584.66
300.00
600.00
300.00
600.00
300.00
600.00
S/. 900.00
S/. 900.00
S/. 900.00
BENEFICIO NETO
S/. 6,465.76
S/. 3,034.66
S/. 2,784.66
S/.2,684.66
Flujo de Caja
Acumulado
S/. 6,465.76
S/. 3,034.66
S/. 2,784.66
S/.2,684.66
C. PLANIFICACIN DEL PROYECTO

Tabla N 2. 29 Planificacin del proyecto
Cargo
Encuestados
Gerente general
Rodrguez Ros Victoria
Gerente de operaciones
Fernndez Antonio
Contabilidad
Beltran Cecilia
Supervisin
Ramos Alayo Luis

90
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
D. DIMENSIN DEL PROYECTO

Tabla N 2. 30 Dimensin del proyecto Febrero - Mayo

91
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 31 Dimensin del proyecto Mayo - Agosto

92
IVONNE J ACKELINE,
URRUTIA LOZADA
FASE II
ANLISIS DE RIESGOS
INGENIERA
DE
SISTEMAS
FASE II: ANLISIS DE RIESGOS

2. Anlisis de riesgos
1.Activos
2.Amenazas
3. Salvaguardas
4.Estado de riesgo
Esta segunda fase del proceso es el ncleo central de Magerit y su correcta aplicacin
condiciona la validez y utilidad de todo el proyecto. La identificacin y estimacin de
los activos y de las posibles amenazas que les acechan representa una tarea compleja.
A2.1: Caracterizacin de los activos
El punto de partida de este proceso es la documentacin del anterior referente a
los objetivos del proyecto, los planes de entrevistas, la composicin y reglas de
actuacin del equipo de participante (comit de informtica) y el plan de trabajo
mostrado de la situacin actual de la empresa.
T2.1.1: Identificacin de los activos
Tabla N 2. 32 Identificacin de los activos
P2: Anlisis de riesgos

T2.1.1: Identificacin de los activos
Objetivos
Identificar los activos que componen el dominio, determinando su
descripcin, categora y cdigo en los tipos determinados.
Producto de entrada
Inventarios de datos manejados por la empresa
Procesos de negocio de las diversas reas de la empresa
Caracterizacin funcional de los puestos de trabajo.
Fichas de activos. Ver anexo 9
Producto de salida
Identificacin y relacin de activos a considerar
Caracterizacin de los activos
Observacin y Entrevista
Participante
94
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Esta tarea es crtica. Una buena identificacin es importante desde varios

puntos de vista:
materializa con precisin el alcance del proyecto
permite que el personal se involucre con la actividad y as todos hablan el
mismo lenguaje.
permite determinar las dependencias precisas entre activos
permite valorar los activos con precisin
permite identificar y valorar las amenazas con precisin
Tabla N 2. 33 Lista de activos tangibles
Tangibles
Categoria
Descripcin
Lptop
Equipos
Equipos de sobremesa
Informticos Impresoras
Scanners
Equipo de red (router)
CDS DVDS
Soportes de
Dispositivo USB
informacin
Documentos impresos
Diskette
Equipamiento Instalaciones
Auxiliar
Corriente elctrica
Cdigo
LAP
PCS
IMP
SCA
EQR
CDV
USB
DOI
DIS
INS
COE
Tabla N 2. 34 Lista de activos Intangibles
Intangibles
Descripcin
Internos
A clientes
Servicios/Personal A terceros
Correo electrnico
Intercambio electrnico de
datos
Vitales
De inters comercial
Datos/Informacin De inters administrativo
Confidenciales
De difusin limitada
Software ofimtico
Aplicaciones
Sistema PDT
Categora

95
Cdigo
INT
CLI
TER
EMA
EDI
VIT
COM
ADM
CON
DDL
SOF
PDT
IVONNE J ACKELINE,
URRUTIA LOZADA
Redes
INGENIERA
Navegadores web
Antivirus
Telefnica / Internet
Red privada virtual
DE
SISTEMAS
BRO
ANT
INT
VPN
T2.1.2: Dependencia entre activos

En esta tarea se pretende mostrar la identificacin de las dependencias entre
activos segn entrevistas no formales y opinin del comit de informtica
Tabla N 2. 35 Dependencia entre activos

T2.1.2: Dependencia entre activos
Objetivos
Identificar de las dependencias entre activos, es decir la medida en que un
activo de orden superior se puede ver perjudicado por una amenaza
materializada sobre un activo de orden inferior.
Producto de entrada
Resultados de la tarea T1.2.1, Identificacin de los activos
Procesos de negocio
Producto de salida
Diagrama de dependencia entre activos
Entrevistas no formales Fichas de Identificacin de activos
Participante
Teniendo en cuenta las dependencias para operar (disponibilidad) y el

almacenamiento de datos (integridad y confidencialidad), se ha determinado la
siguiente matriz de dependencias entre activos:

96
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Matriz N 2. 1 Identificacin de dependencias entre activos
LAP
PCS
IMP
SCA
EQR
CDV
USB
DOI
DIS
INS
COE
LAP PCS IMP SCA EQR CDV USB DOI DIS INS COE
Estas tablas se pueden representar grficamente as:
Figura N 2. 8 Diagrama de dependencias entre activos
LAP
PCS
IMP
CD
V
SCA
EQ
R
DIS
US
B
DO
I
IN
S
CO
E

97
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Una vez identificados los activos, as como tambin las relaciones de dependencias
entre los mismos, fue necesario identificar y documentar el valor que su seguridad
representa para JUVIER. Para ello, se asign un conjunto de valores para cada
activo teniendo en cuenta las diferentes dimensiones de seguridad (Disponibilidad,
Integridad, Confidencialidad. La valoracin se ha realizado a travs de una
ponderacin de las prdidas ocasionadas para la entidad en caso de que se pierda,
debido a la realizacin de una amenaza, cada una de los dimensiones de seguridad
definidos para los diferentes activos de informacin.
T2.1.3: Valoracin de los activos

Tabla N 2. 36 Valoracin de los activos

T2.1.3: Valoracin de los activos
Objetivo
Identificar en qu dimensin es valioso el activo
Producto de entrada
Resultados de la tarea T1.4.2, Criterios de evaluacin (catlogo tipos
activos)
Resultados de la tarea T2.1.1, Identificacin de los activos
Resultados de la tarea T2.1.2, Dependencias entre activos
Producto de salida
Informe de valor de los activos
Encuesta no formal
Catlogo de criterio de valoracin. Ver anexo 11
Participante

98
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
En el presente anlisis, se utiliza una valoracin de activos cuantitativa, segn la que se

presenta a continuacin:
Tabla N 2. 37 Valoracin de activos cuantitativa
10
7-9
4-6
1-3
0
valor
muy alto
alto
medio
bajo
despreciable
criterio
dao muy grave a la organizacin
dao grave a la organizacin
dao importante a la organizacin
dao menor a la organizacin
Irrelevante a efectos prcticos
Tabla N 2. 38 Valoracin segn dimensiones para activos
Activos
Laptop
Equipos de sobremesa
Impresoras
Scanners
Equipos de red(router)
CDS DVDS
dimensiones de
seguridad
[D]
[I]
[C]
(1)
(2)
[5]
[5]
[6](3)
[5](4)
[5](5)
[6](6)
(7)
[3]
[3](8)
[5](9) [6](10 ) [6](11 )
[4](12 )
[4](13 )
Dispositivo USB
Documentos impresos
[3](14 )
[5](15 )
Diskette
Instalaciones
[3](18 )
[5](19 )
Corriente elctrica
[6](20 )
[5](16 )
[6](17 )
(1) [5.da] Informacin personal: probablemente afecte a un grupo de individuos.

(2) [5.lbl] Datos clasificados como de difusin limitada.
(4) [5.da] Informacin personal: probablemente afecte a un grupo de individuos.
(7) [3.da] Probablemente cause la interrupcin de actividades propias de la
Organizacin
(8) [3.da] Probablemente cause la interrupcin de actividades propias de la
Organizacin
(9) [5.adm] Administracin y gestin: probablemente impedira la operacin
efectiva de ms de una parte de la organizacin.
(10)[6.lbl] Datos clasificados como de difusin limitada.
99
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS

(15)[5.iio] Probablemente cause algn dao menor a misiones importantes de
inteligencia o informacin.
(19) [5.adm] Administracin y gestin: probablemente impedir la operacin
efectiva de ms de una parte de la organizacin.
(20)[6.ps] Seguridad de las personas: probablemente cause daos menores a varios
individuos
Informe de valor de activos
Cabe mencionar que el informe est considerado solo para los activos tangibles para
identificar en que dimensin es valioso el activo segn dependencia mostrada.
Se mostr mayor dependencia en los siguientes activos:
Laptop: [C]
- Se ha valorado con un valor medio [6](3) lo que ocasionara un dao importante
para la empresa si una amenaza se materializa en este recurso, bien si la
informacin fuera manipulada por terceros, o por algn incidente ocasionado
(robo, entre otros), desde el hecho de que los datos son de difusin limitada
Equipos de sobremesa: [C]
- Se ha valorado con un valor medio [6](6) lo que ocasionara un dao importante
para la empresa si una amenaza se materializa en este recurso, bien si la
informacin fuera manipulada por terceros, o por algn incidente ocasionado
(robo, entre otros), desde el hecho de que los datos son de difusin limitada
Impresoras: [D]
- Se ha valorado con un valor bajo [3](7) lo que ocasionara un dao menor para la
empresa si este recurso no estuviera disponible para su uso en el momento
solicitado, o en el caso de que se sufriera una prdida, ya que probablemente
solo cause la interrupcin de actividades propias de la Organizacin
Scanners: [D]
- Se ha valorado con un valor bajo [3](7) lo que ocasionara un dao menor para la
empresa si este recurso no estuviera disponible para su uso en el momento
solicitado, o en el caso de que se sufriera una prdida, ya que probablemente
solo cause la interrupcin de actividades propias de la Organizacin
Equipos de red(router): [I], [C]
- [I] Se ha valorado con un valor medio [6](10) lo que ocasionara un dao
importante para la empresa si el equipo de red fuera manipulada por terceros su
configuracin, o por algn incidente ocasionado (robo, entre otros).
- [C] Se ha valorado con un valor medio [6](11) lo que ocasionara un dao
importante para la empresa si el equipo de red fuera vulnerable a ataques desde
el hecho de que los datos de la red no fueran confiables.
100
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
CDS DVDS: [D], [C]

- [D]Se ha valorado con un valor medio [4](12) lo que ocasionara un dao
importante para la empresa si una amenaza se materializa en este recurso, bien
si la informacin almacenada fuera difundida por terceros, o por algn incidente
ocasionado (robo, entre otros), desde el hecho de que los datos son de difusin
limitada.
si la informacin almacenada fuera trasportada de una oficina a otra, desde el
hecho de que los datos son de difusin limitada.
Dispositivo USB [D]
- [D] Se ha valorado con un valor bajo [3](14) lo que ocasionara un dao menor
para la empresa si este recurso no estuviera disponible para su uso en el
momento solicitado, o en el caso de que se sufriera una prdida, desde el hecho
de que los datos son de difusin limitada.
Documentos impresos [C]
si la informacin fuera manipulada por terceros, o por algn incidente
ocasionado (robo, entre otros), desde el hecho de que los datos son de difusin
limitada
Diskette: [D]
- [D] Se ha valorado con un valor bajo [3](18) lo que ocasionara un dao menor
para la empresa si este recurso no estuviera disponible para su uso en el
momento solicitado, o en el caso de que se sufriera una prdida, desde el hecho
de que los datos son de difusin limitada
Instalaciones: [D]
- [D] Se ha valorado con un valor medio [5](19) lo que ocasionara un dao
importante para la empresa si la Seguridad de las personas, seguridad de los
cableados de red, entre otros sea vulnerable a amenazas.
Corriente elctrica: [D]
- [D] Se ha valorado con un valor bajo [6](20) lo que ocasionara un dao
importante para la empresa si no se encuentra disponible este recurso, ya que
interrumpira las actividades normales de la empresa.

101
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.Activos
2.Amenazas
4.Estado de riesgo
3.Salvaguardas
En esta actividad se identifican las amenazas significativas sobre los activos

identificados, tomando en consideracin:
El tipo de activo
Las dimensiones en que el activo es valioso
La experiencia de la Empresa
A2.2: Caracterizacin de las amenazas
T2.2.1: Identificacin de las amenazas
Para cada amenaza sobre cada activo conviene registrar la siguiente informacin:
Tabla N 2. 39 Caracterizacin de las amenazas

T2.2.1: Identificacin de las amenazas
Objetivos
Identificar las amenazas relevantes sobre cada activo
Producto de entrada
Resultados de la tarea A2.1, Caracterizacin de cada activo
Producto de salida
Relacin de amenazas posibles
Caracterizacin de Activos Intangibles. Ver anexo 13

Catlogos de amenazas. Ver anexo 12
Observacin
Participante
La promotora del proyecto
Una amenaza es cualquier causa potencial, ya sea intencional o fortuita, de un dao a
un activo de la entidad.
102
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 40 Identificacin de las amenazas
Activos Tangibles
Categora
Descripcin
Cdigo
Incendio
DNI
Desastres
Inundaciones
DNN
Naturales
Derrumbes
DND
Terremotos
DNT
Variacin en la tensin de la
OIV
Origen Industrial
corriente
Corte del suministro elctrico
OIE
Polvo
OIP
Errores y Fallos
Errores del Administrador
EFA
no Intenciones
Cada del sistema por
ECS
agotamiento de recursos
Errores de Mantenimiento de
EMH
equipos de hw
Fallos en los equipos
EFE
Ataques
Robo
AIR
Intencionados
Uso no previsto
AIU
Si se desea conocer la caracterizacin de los activos intangibles frente a las amenazas

se puede apreciar en el Anexo 13

103
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
A continuacin se presenta el catlogo de amenazas que se ha elaborado, a fin de

desarrollar el presente anlisis de riesgos.
Tabla N 2. 41 Lista de amenazas para los activos intangibles
Activos Intangibles
Categora
Errores y
Fallos no
Intencionados
Ataques
Descripcin
Cdigo
Errores de los
usuarios/administrador
Deficiencias en la organizacin
EUA
Escapes de informacin
EEI
Alteracin de la informacin.
EAI
Errores de mantenimiento/
actualizacin de programas
(Software)
Cada del sistema por agotamiento
de recurso
Indisponibilidad del personal
EMS
Manipulacin de programas no
autorizados
Suplantacin de la identidad del
usuario
Difusin de software daino
AMU
Intencionados Uso no previsto

Divulgacin de informacin
EDO
ECS
EIP
ASI
ADS
AUN
ADI
Robo de informacin
ARO
Ingeniera social
AISO
Manipulacin de la configuracin
AMC

104
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Matriz N 2. 2 Matriz de amenazas por cada activo
AMENAZAS
DNI
DNN
DND
DNT
OIV
LAP
X
X
X
X
PCS
X
X
X
X
X
IMP
X
X
X
X
X
SCA
X
X
X
X
X
EQR
X
X
X
X
X
CDV
X
X
X
X
X
USB
X
X
X
X
X
DOI
X
X
X
X
X
DIS
X
X
X
X
X
INS
X
X
X
X
X
COE
X
X
X
X
X
X
OIE
OIP
EFA
ECS
EMH
EFE
AIR
AIU
DNI
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X

105
X
X
X
X
X
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Sabiendo que existen una serie de posibles agravantes, como se describe en la Matriz n
2.2. Para cada amenaza sobre cada activo conviene registrar la siguiente informacin:
estimacin de la frecuencia de la amenaza
estimacin del dao (degradacin) que causara su materializacin
entrevistas realizadas de las que se han deducido las anteriores estimaciones
T2.2.2: Valoracin de las amenazas
Tabla N 2. 42 Valoracin de las amenazas

T2.2.2: Valoracin de las amenazas
Objetivos
Estimar la frecuencia de ocurrencia de cada amenaza sobre cada activo.
Estimar el impacto
Estimar el riesgo
Producto de entrada
Resultados de la tarea T2.1.3 Valoracin de los activos.
Resultados de la tarea T2.2.1 Identificacin de las amenazas.
Antecedentes de incidentes de la empresa
Producto de salida
Criterios para evaluacin de salvaguardas.
Informe de salvaguardas desplegadas, ver Anexo 12
Caracterizacin de activos intangibles , ver Anexo 13
Participante

106
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Establecimiento de Parmetros:
Tabla N 2. 43 Criterios para evaluacin de la frecuencia de ocurrencia
MF
F
N
PF
Criterios de Evaluacin
Frecuencia
Criterio
Muy frecuente
1
Semanal
Frecuente
0,1
Mensualmente
Normal
0,01
Una vez al ao
Poco frecuente
0,001
Cada varios aos
Tabla N 2. 44 Criterio para evaluacin del impacto
A
M
B
Criterios de Evaluacin
Impacto
Alta
90
Media
50
Baja
10
Criterio
Semanal
Mensualmente
Una vez al ao
Tabla N 2. 45 Criterio para evaluacin de activo segn frecuencia
A
M
B
Tabla de Costos de Activos

Frecuencia
Criterio
Alta
S/.5000
Media
S/.2500
Baja
S/.500
Estos son el total de activos con los que se est trabajando

Tabla N 2. 46 Criterio para valoracin de activos
Cdigo
Activos
90
50
50
50
90
50
10
Valor
Equipos Informticos
Soportes de informacin
Equipamiento Auxiliar
Servicios/Personal
Datos/Informacin
Aplicaciones
Redes
Total
5000
1000
2500
1000
5000
2500
1000
S/.18,000
En la tabla N 2.43 Se muestra la valoracin de los activos segn impacto de ocurrencia

y el valor que este tiene, por lo tanto se lleg a la conclusin que el valor total de
107
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
activos con que cuenta la empresa estn valorizados en s/.18,000 no se excede a los
ingresos mensuales, sino equipara el valor de su ganancia mensual, entonces estas
seran las perdidas si no se resguardaran dichos activos, en caso de estar propenso a un
tipo de amenaza.
Tabla N 2. 47 Estimacin del impacto riesgo para activos tangibles
Cdigo
Amenazas
Vulnerabilidades Impacto
A1
A2
A3
A4
A5
Incendio
Inundaciones
Derrumbes
Terremotos
Variacin en la tensin de
la corriente
Corte del suministro
elctrico
Polvo
Errores del Administrador
Errores de Mantenimiento
de equipos de hw
Robo de equipos
informticos
Uso no previsto
Total
PF
PF
PF
PF
N
0,001
0,001
0,001
0,001
0,01
A
A
A
A
B
90
90
90
90
10
18000
18000
18000
18000
18000
Riesgo
Intrnseco
16,2
16,2
16,2
16,2
18
PF
0,001
10
18000
1,8
N
PF
PF
0,01 M
0,001 A
0,001 M
50
90
50
18000
18000
18000
90
16,2
9
0,01 M
50
18000
90
A6
A7
A8
A9
A10
A11
A12
A13
Activos
F
PF
0,1
0,001
A
A
90
90
18000
18000
1620
16,2
PF
0,001
10
18000
s/234000
1,8
s/1,927,8
En la Tabla N 2.47 se hace el anlisis de amenazas y la frmula utilizada para calcular

el Riesgo Intrnseco es:
Valor de los activos * Vulnerabilidad * (Impacto/100) = Riesgo Intrnseco
Se toma el total de la valoracin de activo de 18,000 para cada impacto de amenaza, ya

que cada activo puede estar expuesto a las diferentes amenazas identificadas, mostrando
as el valor que implica que estas amenazas se materialicen en cada activo.
108
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
El riesgo intrnseco es el estudio que se realiza sin tener en consideracin las diferentes
medidas de seguridad que puedan ser implementadas en la empresa.
Se obtiene una valoracin total de s/1,927.80, lo que quiere decir esa suma sera la
prdida econmica de la empresa si no se implementar controles adecuados para llevar
las amenazas identificadas a un nivel de riesgo asumible.
Tabla N 2. 48 Descripcin del impacto para activos intangibles
Cdigo
Amenazas
A14
A15
PF
A16
PF
A17
Errores de mantenimiento/
actualizacin de programas (Software)
A18
Cada del sistema por agotamiento de

recurso
PF
MF
A19
Vulnerabilidad
Impacto
A20
Manipulacin de programas no
autorizados
MF
A21
PF
A22
Suplantacin de la identidad del

usuario
MF
A23
Uso no previsto
MF
A24
PF
A25
A26
Robo de informacin/ datos

Ingeniera social
PF
PF
A
M
A27

109
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.Activos
2.Amenazas
3.Salvaguardas
4.Estado de riesgo
A2.3: Caracterizacin de las salvaguardas

En esta actividad se clasifican las salvaguardas existentes de la metodologa
Magerit para contrarrestar la amenaza identificada en la actividad A2.2
T2.3.1: Identificacin de las salvaguardas existentes
Tabla N 2. 49 Clasificacin de las salvaguardas existentes

A2.3: Caracterizacin de las salvaguardas
T2.3.1: Identificacin de las salvaguardas
Objetivos
Identificar salvaguardas
Determinar la eficacia de las salvaguardas desplegadas
Producto de entrada
Resultados de la tarea T2.2.2: Valoracin de las amenazas
Producto de salida
Descripcin de salvaguardas identificada por amenaza.
Descripcin de salvaguarda por amenaza
Catlogo de salvaguardas [ISO27002.05]. ver anexo 14
Participante

110
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Ahora relacionamos cada amenaza con su respectivo control/ salvaguardas y asignamos

un valor de disminucin de la vulnerabilidad como disminucin del impacto por cada
control/salvaguarda asignado.
Al implantar las salvaguardas o controles se quiere lograr disminuir el impacto que
ocasiona la amenaza al activo.
Se determina la eficacia valorada con parmetros de A = alto, lo que indica que
semanalmente se dan los incidentes, y
estn valorizados en s/5,000 soles, esta
calificacin se tom en cuenta por decisin del comit de informtica ,se quiere evitar
esta prdida y lograr disminuir el impacto a M=medio que dicho incidente como
mnimo ocurra mensualmente.
Tabla N 2. 50 Salvaguarda por amenaza identificada
Amenazas
Control
A1
A2
A3
A4
A5
A6
A7
A8
A9
A10
A11
A12
A13
S1
S1
S1
S1
S2
S2
S2
S3
S4
S5
S5
S6
S7
Vulnerabilidad
Criterio
Impacto
A
90
A
90
A
90
A
90
M
50
M
50
M
50
B
10
B
10
A
90
A
90
A
90
B
10
Dism. Impacto
Criterio
Impacto
M
50
M
50
M
50
M
50
B
10
B
10
B
10
B
10
B
10
B
10
B
10
M
50
B
10
Agrupacin de amenazas segn impacto a considerar por la empresa.

Tabla N 2. 51 Agrupacin de amenazas y sus respectivas salvaguardas
Amenazas
A1
A2
A3
A4
Control
Incendio
Inundacin
Derrumbes
Terremotos
Justificacin
Impacto
A
A
A
A

Frecuencia
PF
PF
PF
PF
111
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
amenaza, incendio
de oficina.
A5
Variacin en la tensin
de la corriente
Elctrico
Polvo
Errores del
administrador
PF
N
PF
Errores por
mantenimiento de hw
A12
Robo de Equipos
Informticos
PF
A13
A14
Uso no previsto
Deficiencias en la
organizacin
Alteracin de la
informacin.
Errores de
mantenimiento/
actualizacin de
programas (Software)
agotamiento de recurso
Indisponibilidad del
personal
Manipulacin de
programas no
autorizados
B
M
PF
F
M
M
PF
PF
PF
MF
MF
Suplantacin de la
identidad del usuario
Difusin de software
PF
MF
A6
A7
A8
A9
A10
A11
A15
A16
A17
A18
A19
A20
A21
A22
B
PF
M

112
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
IVONNE J ACKELINE,
URRUTIA LOZADA
A23
A24
A25
A26
A27
daino
Uso no previsto
INGENIERA
MF
Divulgacin de
informacin
Robo de Informacin
PF
PF
Ingeniera social
Manipulacin de la
configuracin
M
A
PF
F
DE
SISTEMAS
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
Como resultado de
la reunin con el
comit
de
informtica se tom
en prioridad esta
amenaza
El control identificado S1 por amenaza identificada A1.

Tabla N 2. 52 Descripcin de salvaguarda por amenazas
Cdigo
amenaza
A1
A2
Amenazas
Incendio
Inundaciones
Cdigo Descripcin
control
S1
Este control exige que se proteja la
informacin sensible mediante un
almacenamiento seguro, el depsito
de copias de respaldo fuera de las
instalaciones de la organizacin, los
medios de almacenamiento
separables, y los procesos de
eliminacin de informacin sensible o
de sus medios de almacenamiento.
S1

113
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
A3
Derrumbes
S1
A4
Terremotos
S1
A5
Variacin en la
tensin de la corriente
S2
A6

elctrico
S2
A7
Polvo
S2
A8
Errores del
Administrador
S3
A9

agotamiento de
recursos
Errores de
Mantenimiento de
equipos de hw
S4
S5
A10
A11
S5
DE
SISTEMAS

Este control exige que se implemente
procedimientos para salvaguardar la
informacin referente a cortes de
energas.
informacin referente a cortes de
energas.
informacin referente a fallos u otras
anomalas.
Este control exige que los miembros del
rea de gerencia de operaciones sigan
los procedimientos correctos al
publicar, modificar y anular
contraseas, cuentas y privilegios de
usuario.
Este control exige que haya
Comunicacin de eventos y debilidades
en la seguridad de la informacin
Este control exige que las actividades
de mantenimiento de la tecnologa se
realicen de manera peridica, y que las
vulnerabilidades se traten cuando sean
detectadas.
Este control exige que las actividades
de mantenimiento de la tecnologa se
realicen de manera peridica, y que las

114
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
A12
Robo de Equipos
Informticos
S6
A13
Uso no previsto
S7
A14
Deficiencias en la
organizacin
S8
A15
Escapes de
informacin
S9
A16
Alteracin de la
informacin.
S10
DE
SISTEMAS
vulnerabilidades se traten cuando sean

detectadas.
Este control exige que se debe proteger
las instalaciones. Y existan polticas y
procedimientos documentados para la
gestin de visitantes, incluidos los
relativos a la firma al acceso, el
acompaamiento, los registros de
acceso, la recepcin y los servicios de
hospitalidad.
Este control exige que se utilicen los
controles de acceso y la autentificacin
de usuario pertinentes, y coherentes
con las polticas establecidas al
respecto, con el fin de restringir el
acceso de los usuarios a la
informacin, las utilidades del
sistema, aplicaciones y servicios
especficos, conexiones de red en la
organizacin y conexiones de red con
origen fuera de sta.
Este control exige que exista un plan de
copias de respaldo de datos
documentado que se actualiza de
manera rutinaria y se comprueba
peridicamente, y exige la
realizacin de copias de respaldo
programadas regularmente, tanto del
software como de los datos, as como la
comprobacin y verificacin peridicas
de la capacidad para restaurar a partir
de tales copias.
Este control exige que existan
procedimientos documentados para
autorizar y supervisar a aqullos que
manejan informacin sensible. Esta
condicin atae a empleados,
contratistas, socios, colaboradores y
personal de organizaciones terceras, as
como al personal de mantenimiento de
instalaciones.
Este control exige que haya
polticas y procedimientos de uso
de la informacin documentados
respecto al acceso individual y
colectivo, con el fin de fijar las
normas para la concesin de niveles

115
IVONNE J ACKELINE,
URRUTIA LOZADA
A17
INGENIERA
Errores de
mantenimiento/
actualizacin de
programas (Software)
agotamiento de
recurso
Indisponibilidad del
personal
S11
Manipulacin de
programas no
autorizados
Suplantacin de la
identidad del usuario
S14
A22
Difusin de software
daino
S16
A23
Uso no previsto
S17
A24
Divulgacin de
informacin
S18
A25
Robo de Informacin
S19
Ingeniera social
S20
Manipulacin de la
configuracin
S21
A18
A19
A20
A21
S12
S13
S15
A26
A27
DE
SISTEMAS
de acceso apropiados, establecer un

derecho inicial de acceso, modificar el
derecho de acceso, suspender el
derecho de acceso, y revisar y
comprobar peridicamente los derechos
de acceso.
Este control exige que los cambios del
software de las TI se planifiquen,
supervisen y documenten.
Este control exige que los cambios del
hardware y el software de las TI se
planifiquen, supervisen y documenten.
Este control exige que todo el
personal, a todas las escalas de
responsabilidad, desempee las
funciones que se le han asignado y
asuma sus responsabilidades en lo que
atae a la seguridad de la informacin.
Este control exige que se compruebe
regularmente la integridad del software
instalado.
de usuario pertinentes
Este control exige que todos los
equipos se encuentren actualizados
respecto a revisiones, parches, y
recomendaciones en documentos
consultivos sobre seguridad.
Este control exige que el personal haga
uso apropiado a los recursos
Este control exige que se utilicen
controles de seguridad apropiados
para proteger la informacin sensible
contra su revelacin.
Este control exige que se cifren todo
archivos digitales.
Este control exige que los miembros
del personal deben abstenerse de
divulgar informacin sensible a
terceros.
de usuario pertinentes (p. ej.,
permisos de archivo, configuracin
de redes) y coherentes con las

116
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
polticas establecidas al respecto, con

el fin de restringir el acceso de los
usuarios a la informacin, las
utilidades del sistema, el cdigo
fuente de programas, sistemas
sensibles, aplicaciones y servicios
especficos, conexiones de red en la
organizacin y conexiones de red con
origen fuera de sta.
Se han identificado controles para cada amenaza existente, con el fin de implantar en la
empresa dichos controles y se lleven el impacto del riesgo a niveles asumibles por la
empresa.
Utilizando
los
estndares
de

las
117
normas
ISO
27002.
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
1.Activos
2.Amenazas
3.Salvaguardas
4.Estado de riesgo
A2.4: Estimacin del estado de riesgo

Tabla N 2. 53 Estimacin del riesgo

T2.4.1: Estimacin del riesgo
Objetivos
Determinar el riesgo intrnseco por amenaza y por activo.
Determinar el impacto residual al que est sometido los activos
Producto de entrada
Resultados de la actividad A2.1, Caracterizacin de los activos
Resultados de la actividad A2.2, Caracterizacin de las amenazas
Resultados de la actividad A2.3, Caracterizacin de las salvaguardas
Producto de salida
Informe de impacto residual por activo
Anlisis mediante tablas
Participante
El riesgo intrnseco es aquel riesgo que est sometido los activos de la empresa, y se
calcula una estimacin aproximada para reflejar lo que perderamos si se materializan
los activos.
El riesgo residual, es aquel riesgo esperado despus de implementar y evaluar la
salvaguarda.
Ahora calculamos el riesgo efectivo por las 4 principales amenazas elegidas y por el
nmero total de activos a proteger:

118
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Riesgo Intrnseco por Activo

Tabla N 2. 54 Clculo riesgo intrnseco por activo
Activos
A1
Amenazas
Incendios de
oficina
Valor del Descripcin

Vulnerabilidad (%)
activo
del activo
Impacto (%)
Disminucin de
vulnerabilidad (%)
Disminucin de
impacto (%)
90
5000 Equipos Informticos
50
1000 Soportes de informacin
50
2500 Equipamiento Auxiliar
50
1000 Servicios/Personal
90
5000 Datos/Informacin
50
2500 Aplicaciones
10
1000 Redes
Riesgo intrnseco por Amenaza
Riesgo Efectivo = vulnerabilidad *activo(valor) * impacto/100
cdigo
A2
0,001
90
A3
A4
Manipulacin
Fallas en
de programas Indisponibilidad
los
no
del personal
equipos
autorizados
Riesgo
intrnseco
0,1
0,01
0,01
por activo
90
50
90
90
90
50
90
50
10
10
10
4,5
0,9
2,25
0,9
4,5
2,25
0,9
16,2
450
90
225
90
450
225
90
1620
25
5
12,5
20
25
12,5
5
105
45
9
22,5
9
45
22,5
9
162

119
524,5
104,9
262,25
119,9
524,5
262,25
104,9
1,903.2
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Riesgo Residual por Activo

Tabla N 2. 55 Clculo riesgo residual por activo
Activos
Amenazas
cdigo
90
50
50
50
90
50
10
Valor
del
activo
Descripcin del activo
Vulnerabilidad
(%)
Impacto (%)
Disminucin de
vulnerabilidad
(%)
Disminucin de
impacto (%)
5000 Equipos Informticos

1000 Soportes de informacin
2500 Equipamiento Auxiliar
1000 Servicios/Personal
5000 Datos/Informacin
2500 Aplicaciones
1000 Redes
Riesgo residual por Amenaza
A1
A2
A3
A4
Incendios
de oficina
Fallas en Manipulacin
Indisponibilidad
los
de programas no
del personal
equipos autorizados
0,001
0,1
0,01
0,01
90
90
50
90
90
90
50
90
50
10
10
10
2,5
0,5
1,25
0,5
2,5
1,25
0,5
9
50
10
25
10
50
25
10
180
5
1
2,5
1
5
2,5
1
18
5
1
2,5
1
5
2,5
1
18

120
Riesgo residual
por activo
62,5
12,5
31,25
12,5
62,5
31,25
12,5
225
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Aproximacin Metdica, tabla N 2.54 y tabla N 2.55

-
El Riesgo Intrnseco por activo, es la estimacin calculada para reflejar lo que

perderamos, si se materializan todos las amenazas potenciales sobre ese activo,
en el supuesto caso de que no hubiramos dispuesto de ninguna Salvaguarda.
El Riesgo Residual por activo, es la estimacin calculada para reflejar lo que

perderamos si se materializan todas las amenazas potenciales sobre este activo,
en el supuesto caso de que funcionen las salvaguardas previstas, con el grado de
implantacin previsto.
Tabla N 2. 56 Interpretacin de los resultados

T2.4.2: Interpretacin de los resultados
Objetivos
Interpretar los resultados anteriores de impacto y riesgo.
Establecer relaciones de prioridad por activos o grupos de activos, bien por orden
de impacto o por orden de riesgo.
Producto de entrada
Resultados de la actividad A2.1, Caracterizacin de los activos
Resultados de la actividad A2.2, Caracterizacin de las amenazas
Resultados de la actividad A2.3, Caracterizacin de las salvaguardas
Producto de salida
Estado de riesgo: informe resumen del impacto y riesgo potencial y residual a que
est sometido cada activo del dominio.
Tcnicas graficas
Participante
El comit de seguimiento

121
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Figura N 2. 9 Riesgo Intrnseco por activo
Riesgos
Riesgo Intrnseco por Activo

80
60
40
20
0
Equipos Informticos
Servicios/Personal
Datos/Informacin
Aplicaciones
Redes
Activos
Figura N 2. 10 Riesgo Residual por activo
Riesgo
Riesgo Residual por Activo

80
60
40
20
0
Equipos Informticos
Servicios/Personal
Datos/Informacin
Aplicaciones
Redes
Activos

122
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Informe de activos sometidos a mayor impacto / riesgo
Tabla N 2. 57 Activos sometidos a mayor impacto / riesgo
Activos
Equipos Informticos
Datos/Informacin
Aplicaciones
Servicios/Personal
Redes
A mayor Impacto
A mayor Riesgo
A1
A2
A3
A4
90
90
50
90
4,5
450
25
45
524,5
0,9
90
5
9
104,9
2,25 225 12,5 22,5
262,25
0,9
90
20
9
119,9
4,5
450
25
45
524,5
2,25 225 12,5 22,5
262,25
0,9
90
5
9
104,9
Leyenda:
A1: Incendios de oficina
A2: Fallas en los equipos
A3: Manipulacin de programas no autorizados
A4: Indisponibilidad del personal
90: valor s/. 5,000
50: valor s/.1,000
Resultados:
El grupo de activos Equipos Informticos y Datos / Informacin presentan la
estimacin de costos de lo que se perdera si se materializan las amenazas en los
mencionados grupos de activos.
Equipos Informticos identifica un riesgo total de s/524,5 en caso de que las 4
amenazas identificadas como prioritarias en caso que se materialicen en las
diferentes amenazas, dependiendo del momento en que se origine y de la
severidad de los daos, a mayor impacto ms prdidas para la empresa.
Datos/informacin identifica un riesgo de s/104,9 el cual se pueda ver
perjudicada la empresa en caso de que se materialicen las diferentes amenazas,
dependiendo del momento en que se origine y de la severidad de los daos, a
mayor impacto ms prdidas para la empresa.
123
IVONNE J ACKELINE,
URRUTIA LOZADA
FASE III
GESTIN DE RIESGOS
INGENIERA
DE
SISTEMAS
FASE III: GESTIN DE RIESGOS

1. toma de decisiones
2. plan de seguridad
Se procesan los impactos y riesgos identificados en el proceso anterior, bien

asumindolos, bien afrontndolos. Para afrontar los riesgos que se consideren se llevar a
cabo un plan de seguridad que corrija la situacin actual.
3.1. Actividad A3.1: Toma de decisiones
Esta actividad consta de una sola tarea:
T3.1.1: Calificacin de los riesgos
Tabla N 2. 58 Clasificacin de los riesgos
P3: Gestin de riesgos

A3.1: Toma de decisiones
Objetivos
Calificar los riesgos en una escala: crtico, grave, apreciable o asumible
Producto de entrada
Resultados del proceso P2, Anlisis de riesgos
Legislacin aplicable, leyes, estndares
Reglamento Interno
Acuerdos y contratos
Informes medioambientales
Producto de salida
Informe de calificacin de impactos y riesgos.
Reuniones
Participante

125
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 59 Clasificacin de los impactos y riesgos
Activos
A mayor Impacto
A1
90
Equipos Informticos
4,5
Datos/Informacin
0,9
Equipamiento
2,25
Auxiliar
Aplicaciones
0,9
Soportes de
4,5
informacin
Servicios/Personal
2,25
Redes
0,9
A2 A3
A4
90
50
90
450 25
45
90
5
9
225 12,5 22,5
90
450
20
25
A mayor
Riesgo
524,5
104,9
262,25
C
C
A
119,9
524,5
A
A
262,25
104,9
A
A
9
45
225 12,5 22,5

90
5
9
Calificacin
riesgo
C= Es critico en el sentido de que requiere atencin urgente y hay que reducir el riesgo.
G=Es grave en el sentido de que requiere atencin.
A=Es apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento.
AS=Es asumible en el sentido de que no se van a tomar acciones para atajarlos.
Todas las decisiones son propuestas por el comit de informtica, oda la opinin de la
Gerente General. Todas las decisiones son adoptadas por el comit de informtica.

126
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Anlisis y Gestin de Riesgos
Tabla N 2. 60 Conclusin final
Conclusin Final
Valor Activo
Riesgo Intrnseco
s/.18,000
s/ 1,903.2
s/.18,000
s/ 1,903.2
Total
Riesgo Residual
s/ 225
s/ 225
Figura N 2. 11 Conclusin final
Conclusin Final
Total
18,000
Valor Activo
1,903.2
225,00
Riesgo Intrnseco
Riesgo Residual
En esta tabla podemos apreciar el total de valores activos que representan a la empresa
en los cuales nos hemos basados para hacer el presente trabajo, el cual expresa los activos
con que cuenta la empresa un valor activo de s/.18, 000 mientras que el riesgo intrnseco,
aquel riesgo al que se expone la empresa es de s/ 1,903.2y a su vez el riesgo residual,
aquel riesgo esperado despus de la implementar controles es s/ 225 que muestra de ello
minimiza los riesgos informticos de la empresa.

127
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
A3.2. Elaboracin del plan de seguridad de la informacin

A3.2.1 Plan de seguridad
Tabla N 2. 61 Plan de seguridad
P3: Gestin de riesgos

A3.2: Elaboracin del plan de seguridad de la informacin
T3.2.1: Plan de seguridad
Objetivos
Ordenar temporalmente las actividades de seguridad
Producto de entrada
Conocimientos de estrategias de seguridad de la informacin
Producto de salida
Elaboracin del plan de seguridad de la informacin, tiempo, etapas y objetivos.
Reuniones
Participante
Especialista en Seguridad
1. Es crtico en el sentido de que requiere atencin urgente.

2. Es grave en el sentido de que pueda ser objeto de estudio para su tratamiento
3. Es asumible en el sentido de que no se van a tomar acciones para atajarlo

128
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
PLAN DE IMPLEMENTACIN DE ALTO NIVEL

Luego de la identificacin de riesgos, amenazas y vulnerabilidades se pudo
determinar el conjunto de actividades ms importantes a ser realizadas por la
empresa, las cuales permitan alinear las medidas de seguridad existentes con las
exigidas por las Polticas de Seguridad elaboradas.
Estas actividades han sido agrupadas en un plan de implementacin, el cual contiene
las amenazas ms relevantes segn anlisis de riesgo intrnseco por activo, se detallara
el tiempo estimado de ejecucin y las etapas a ser cubiertas en cada actividad
identificada.
Para cada actividad se ha elaborado una breve descripcin (objetivo), las tareas a
ser desarrolladas (etapas), la relacin de activos, un tiempo estimado de duracin ,un
alcance de posible solucin, y el control(poltica) . El tiempo estimado para el
desarrollo de cada etapa debe ser revisado antes de iniciar la misma y puede sufrir
variaciones de acuerdo a dicha evaluacin final.
Segn los datos establecidos en la Tabla N 2.62 Calificacin de impactos y riesgos:
Tabla N 2. 62 Resumen de calificacin de impactos y riesgos
Activos
Equipos
Informticos
Datos/Informacin
A mayor Impacto
A1
90
4,5
0,9
A2 A3
90
50
450 25
90
A mayor
Riesgo
Calificacin
riesgo
A4
90
45
524,5
104,9
Nos vamos a basar en actividades que nos permitan minimizar el impacto de riesgo para
esos 2 grupos de activos principales ya que son de carcter crtico, es decir de que se
requiere atencin urgente.

129
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 2. 63 Actividad 1
Proteccin de las Instalaciones

Descripcin: Grupo de Activos Equipamiento Informtico - Datos/Informacin
Dependencia de Amenazas: A1, A12
Actividad 1: Proteccin contra amenazas externas
Usuario Interno : Personal rea de Seguridad
Tiempo
4 - 8 semanas
estimado
Control
Objetivo
Exige que se incorpore nuevas medidas de seguridad en el Plan

de Prevencin de Incidentes para asegurar a la informacin de
incidentes no deseados. Formacin(comit)
Concienciacin(capacitacin).
Con el objetivo de proteger los activos de informacin de
manera adecuada, y los equipos informticos, se debe adecuar
y dar seguimiento al plan de prevencin de incidentes que cuenta
actualmente la empresa para prevenir que se originen prdidas o
interrupcin de las actividades.
Los criterios a ser empleados son:
- Establecimiento del plan de accin que se debe enfatizar:
-
Acciones antes del desastre

Acciones durante el desastre
Acciones despus del desastre
PROTECCIN A EQUIPOS INFORMTICOS DATOS/ INFORMACIN

Etapas
Plan de Recuperacin.
- Actividades antes del desastre
- Formacin de equipos operativos, mediante la
designacin de responsables de seguridad de la
informacin en cada rea.
- Formacin de equipos de evaluacin para realizar la
auditoria de procedimiento de seguridad.
- Actividades durante el desastre
- Plan de emergencias
- Formacin de equipos

130
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
- Actividades despus del desastre
Estndar ISO
27002
Procedimientos
Existentes
Politicas ,
Normas y
procedimientos
- Evaluacin de los daos

- Priorizar las actividades del plan de accin
- Ejecucin de actividades
Control de acceso lgico
Poltica de control de acceso
Seguridad Fsica y del Entorno
Control de activos
- Inventario de activos
Ingreso a las instalaciones controlado
Plan de prevencin de Incidentes
Polticas de la Empresa
Responsabilidades
El Gerente de operaciones, es responsable de implantar y tambin es
responsable de evaluar, adquirir e implantar productos de seguridad
informtica, As mismo promover constantemente la importancia de la
seguridad a todos los usuarios de los sistemas de informacin.
Artculo 12.- Los jefes de rea responsables de la informacin contenida

en los departamentos a su cargo, delimitarn las responsabilidades de s us
subordinados y determinarn quien est autorizado a efectuar operaciones
emergentes con dicha informacin tomando las medidas de seguridad
pertinentes.
Buenas Prcticas
Normas NAGU - 5005-06 Plan de contingencias

01. El plan de contingencias es un documento de
carcter confidencial que describe los procedimientos
que debe seguir la oficina de Informtica para actuar en
caso de una emergencia que interrumpa la operatividad
del sistema de cmputo.
Adecuar el Plan de Incidentes de tal manera que proteja a

los equipos informticos de la empresa y a la informacin
como activo principal.
Manual de Contingencia

131
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Fallas de Equipos de Cmputo

Descripcin: Grupo de Activos Equipamiento Informtico
Dependencia de Amenazas: A6, A7, A8, A9, A10, A11, A17, A22, A27
Actividad 2: Fallas de equipos de cmputo
Usuario Interno : Personal (rea de Gerencia de Operaciones)
Tiempo
5 9 semanas
estimado
Control
Objetivo
Etapas
Este control exige que las actividades de mantenimiento de los

equipos informticos se realicen de manera peridica, y que las
vulnerabilidades se traten cuando sean detectadas.
Para evitar manipulacin de los equipos de comunicaciones por
personal no autorizado y garantizar que la configuracin que
poseen brinde mayor seguridad y eficiencia a las
comunicaciones, se requiere que los equipos que soportan
dicho servicio, se encuentren adecuadamente configurados.
- Elaboracin de procedimientos para salvaguardar la
informacin referente a cortes de energa, fallos u otras
anomalas, debe estar contemplado en el manual de
contingencia.
- Documentacin de procedimientos Operativos al (publicar,
modificar y anular contraseas, cuentas y privilegios de
usuarios)
- Revisin y reporte de debilidades de la seguridad e
integridad de los equipos de cmputo.
- Se deberan mantener adecuadamente los equipos para
garantizar su continua disponibilidad e integridad.
- Mantenimiento de equipos de cmputo
. Actualizacin respecto a revisiones, parche, entre otros.
. Gestin de privilegios de usuarios
- Establecimiento de actividades peridicas
- Planificacin,
supervisin
y
documentacin
de
procedimientos Operativos en cambios de software.
Estndar ISO
27002
-

- Poltica de control de acceso
- Gestin de privilegios
Instalacin y proteccin de equipos
Control de empleados

132
IVONNE J ACKELINE,
URRUTIA LOZADA
Politicas ,
Normas y
procedimientos
INGENIERA
DE
SISTEMAS
Funcionamiento de los equipos de cmputo
Artculo 20.- Los empleados de la empresa al usar el equipo de
cmputo, se abstendrn de consumir alimentos, fumar o realizar actos
que perjudiquen el funcionamiento del mismo o deterioren la
informacin almacenada en medios magnticos, pticos, o medios de
almacenamiento removibles de ltima generacin.
Artculo 21.- Por seguridad de los recursos informticos se deben
establecer seguridades:
- Fsicas
- Sistema Operativo
- Software
- Comunicaciones
- Base de Datos
- Proceso
- Aplicaciones
Buenas Prcticas
Normas NAGU Mantenimiento de equipos de computo

5005-03 Controles de datos fuente, de operacin y de salida.
01.El mantenimiento de equipos tiene por finalidad
optimizar el funcionamiento de los dispositivos
informticos y proteger la informacin que estn en ellos.
Existen dos clases de mantenimiento que deben
considerarse: el correctivo y el mantenimiento preventivo.
Mantenimiento correctivo:
- Asistencia del rea de Gerencia de Operaciones :
Asistente Tcnico
- Directorio de proveedores especializados que puedan
resolver el respecto en menor tiempo posible
Mantenimiento preventivo:
- Debe darse mantenimiento a los equipos de cmputo en
una periodicidad (semanal o quincenal)
- Adquisicin de un sistema de alimentacin
ininterrumpido (UPS)

133
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Manipulacin de programas no autorizados

Dependencia de Amenazas: A17, A22
Actividad 3: Manipulacin de programas no autorizados / Caracterizacin de la
informacin
Tiempo estimado 5 9 semanas
Control
Objetivo
Etapas
Exige que se compruebe regularmente la integridad del

software instalado.
Con el objetivo de proteger los activos de informacin de
manera adecuada, se quiere evitar la alteracin intencionada
del funcionamiento de los programas.
- - Elaboracin
Elaboracindedeununinventario
inventariode
de activos
activos de
de informacin
incluyendo
incluyendo
informacin
informacin
almacenada
almacenada
enen
medios
mediosdigitales
digitalese
informacin
impresa.
e informacin
impresa.
. Inventario de activos de informacin y/o aplicaciones
- -Registro
Registro
de activos
de activos
de informacin
de informacin
- -Identificacin
Identificacin
deldel
propietario
propietario
(persona
(persona
responsable)
responsable)
- Revisin
peridica
del
inventario
- Revisin peridica del inventario
. Inventario de aplicaciones
- Registro de aplicaciones
- Registro de sistemas operativos y software de base
- Identificacin del propietario (persona responsable)
- Revisin peridica del inventario
- Para cada activo se debe identificar a su propietario, as
como su valor e importancia en trminos cuantitativos o
cualitativos, en funcin de los requisitos de, integridad,
confidencialidad y disponibilidad que le son aplicables. Esta
informacin es crucial, pues facilita el anlisis y gestin de
riesgos y, por tanto sirve, para determinar las medidas de
seguridad proporcionadas.
. En relacin con los activos de tipo informacin, se debe
documentar a qu usuarios se autoriza el acceso y los
atributos relacionados con el referido acceso

134
IVONNE J ACKELINE,
URRUTIA LOZADA

Estndar ISO
27002
Politicas ,
Normas y
procedimientos
INGENIERA
DE
SISTEMAS

- Poltica de control de acceso
Control de activos
- Inventario de activos
Artculo 22.- Toda salida de informacin (en soportes informticos o
por correo electrnico) slo podr ser realizada por personal autorizado
y ser necesaria la autorizacin formal del responsable del rea del que
proviene.
Artculo 23.- Adems, en la salida de datos especialmente protegidos
(como son los datos de carcter confidencial para los que el reglamento
requiere medidas de seguridad de nivel alto), se debern cifrar los
mismos o utilizar cualquier otro mecanismo que garantice que la
informacin no sea inteligible ni manipulada durante su transporte.
Buenas Prcticas
Normas NAGU - 5005-03 Controles de datos fuente, de operacin y de

salida.
03. Los controles de salida de datos deben proteger la
Integridad de la informacin.
Desarrollo de un Inventario en Excell.

Cumplimiento Normativo
Capacitacin al personal
Designacin de funciones
Implementacin de una Vlans

135
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS

Dependencia de Amenazas: A19
Actividad 4: Caracterizacin de la informacin
Tiempo
5 9 semanas
estimado
Control
Este control exige que todo el personal, a todas las escalas

de responsabilidad, desempee las funciones que se le han
asignado y asuma sus responsabilidades en lo que atae a la
Objetivo
Lograr que las actividades de la empresa no se interrumpan o

alteren por la ausencia accidental del puesto de trabajo del
empleado ya sea por motivos de enfermedad, alteraciones del
orden pblico, entre otras.
Lograr mediante las capacitaciones que todo el personal de la
empresa tenga previo conocimiento tcnico con respecto a la
seguridad y riesgos de la seguridad de la informacin
-
Etapas
Estndar ISO
27002
Se deben definir y documentar las funciones y obligaciones

del personal
Dar a conocer al personal las medidas de seguridad que
afecten al desarrollo de sus funciones y que en su caso
deban aplicar, as como las consecuencias en que pudiera
incurrir en caso de incumplimiento.
Control de empleados
Trminos y condiciones de la relacin laboral
Procedimiento disciplinario
Formacin y concienciacin

136
IVONNE J ACKELINE,
URRUTIA LOZADA

Politicas ,
Normas y
procedimientos
INGENIERA
DE
SISTEMAS
Artculo 22.- Toda salida de informacin (en soportes informticos o por
correo electrnico) slo podr ser realizada por personal autorizado y s er
necesaria la autorizacin formal del responsable del rea del que proviene.
Artculo 23.- Adems, en la salida de datos especialmente protegidos
(como son los datos de carcter personal para los que el Reglamento
requiere medidas de seguridad de nivel alto), se debern cifrar los mismos
o utilizar cualquier otro mecanismo que garantice que la informacin no
sea inteligible ni manipulada durante su transporte.
Buenas
Prcticas
Normas NAGU
- 5005-01 Organizacin del rea de Informtica
06. Corresponde a la direccin de la entidad aprobar
polticas que permitan organizar apropiadamente el rea de
informtica y asignar los recursos cualificados y equipos de
computacin necesarios que apoyen los procesos de gestin
institucional, a costos razonables.
Se deben definir y documentar las funciones y obligaciones

del personal
- Puestos de trabajo
- Dar a conocer al personal las medidas de seguridad que
afecten al desarrollo de sus funciones y que en su caso
deban aplicar, as como las consecuencias en que pudiera
incurrir en caso de incumplimiento.
- Trminos y condiciones de la relacin laboral
- Procedimiento disciplinario
- Formacin y concienciacin

137
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Revisin y adaptacin de procedimientos complementarios

Dependencia de Amenazas: A19
Actividad 5: Revisin y adaptacin de procedimientos complementarios
Tiempo
8 semanas
estimado
Objetivo:
Adaptar los procedimientos y controles complementarios de la

empresa de acuerdo a lo estipulado en las polticas de seguridad
Etapas
-
Revisin y adaptacin de controles y estndares de

desarrollo del plan de seguridad
Elaboracin de procedimientos de monitoreo.
Establecimiento de controles para la informacin
trasmitida a usuarios internos.

138
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Cronograma tentativo de implementacin

Las actividades, tareas y procedimientos antes mencionados deben ser liderados por el rea de Gerencia de Operaciones y sus r esponsables deben
ser definidos individualmente. To mesto es posible con consentimiento del rea de Gerencia General. A continuacin se presenta un cronograma
sugerido para la realizacin de las actividades correspondientes al presente plan de implementacin para las amenazas con carcter crtico en la
empresa JUVIER S.A.C
Tabla N 2. 68 Cronograma tentativo de implementacin
ACTIVIDAD
MES
1
MES
2
MES
3
MES
4
MES
5
MES
6
MES
7
MES
8
MES
9
MES
10
Proteccin de
Instalaciones
Seguridad de
equipos de
cmputo
Manipulacin de
programas no
autorizados
Indisponibilidad
del personal
Revisin y
adaptacin de
procedimientos
complementarios
Nota: La duracin de los proyectos est sujeta a variacin de la situacin existente y el anlisis realizo previo a cada actividad.
IVONNE J ACKELINE,
139
URRUTIA LOZADA
CAPTULO III
CONTRASTACIN
INGENIERA
DE
SISTEMAS
CAPTULO III: CONTRASTACIN

Indicador 01: El nmero de riesgos informticos.
a) Definicin de variables
: El nmero de riesgos informticos de las reas involucradas en la empresa
JUVIER S.A.C Con el plan actual de riesgos informticos.
: El nmero de riesgos informticos de las reas involucradas en la empresa
JUVIER S.A.C. Con el plan propuesto de riesgos informticos.
b) Hiptesis Estadsticas:
Hiptesis : El nmero de riesgos de la informacin en la empresa JUVIER
S.A.C con el plan actual es menor que el nmero de riesgos de la informacin
en la empresa JUVIER S.A.C con el plan propuesto.
=
Hiptesis : El nmero de riesgos de la informacin en la empresa JUVIER
S.A.C con el plan propuesto es menor que el nmero de riesgos de la
informacin en la empresa JUVIER S.A.C con el plan actual.
= >
c) Nivel de Significancia:
El nivel de significancia de significancia () escogido para la prueba de la
hiptesis ser del 5%. Por lo tanto el nivel de confianza (1 = 0.95) ser
del 95%.
d) Estadgrafo de Contraste:
Puesto que n=30 es pequeo, usaremos la distribucin normal (T student) para
la presente toma de datos se utiliz los reportes de los cuadros de distribucin
de la empresa JUVIER S.A.C

141
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 3. 1 Pre-Test vs Pos-Test Indicador 01

0
1
1
1
1
0
1
2
1
1
0
1
3
1
0
0
1
4
1
0
0
1
5
1
0
1
0
6
1
0
0
1
7
1
0
0
1
8
1
0
0
1
9
1
0
0
1
10
1
0
1
0
11
1
0
0
1
12
1
0
0
1
13
1
1
0
1
14
1
1
0
1
15
1
1
0
1
16
1
1
1
0
17
1
0
0
1
18
1
0
0
1
19
1
0
1
0
20
1
0
0
1
21
1
1
0
1
22
1
1
0
1
23
1
0
0
1
24
1
0
0
1
25
1
0
0
1
26
1
0
0
1
27
1
1
0
1
28
1
1
0
1
29
1
0
1
0
30
1
0
30
10
5
25
=
Definicin de Variables del Indicador 01
: Total incidencias Actual
: Total incidencias Propuesto
: Promedio de Total de incidencias Actual
: Promedio de Total de incidencias Propuesto

142
)
(

1
1
1
1
1
0
1
1
1
1
0
1
1
1
1
1
0
1
1
0
1
1
1
1
1
1
1
1
1
0
25
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Resultados de la Hiptesis Estadstica

Clculo de la Diferencia Promedio
= ,
Clculo de la Desviacin Estndar
()
= .
()
Clculo T
. ()
.
.
= .
.
e) Regin de Rechazo:
Para la = 0.05, en la Fig N 3.2 encontramos = 1.97.
Entonces la regin crtica de la prueba c =< 1.97, >

143
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
f) Conclusin:
En la figura N 3.1 podemos ver la regin de aceptacin y rechazo para la
prueba de hiptesis: El nmero de riesgos informticos en la empresa JUVIER
S.A.C
Figura N 3. 1 Regla de decisin para una prueba de 1 cola
Anlisis estadstico
Para comprobar la conformidad de los valores obtenidos en la contrastacin del
indicador 1 se realiz la comprobacin con el Excel.
En conclusin se rechaza la hiptesis nula y se acepta la alternativa.

144
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
REPORTE ESTADSTICO
Figura N 3. 2 Prueba t de Hiptesis para Dif. de Medias

145
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Indicador 02: El grado de satisfaccin de los usuarios internos

a) Definicin de variables
: El nivel de satisfaccin de los usuarios con el plan de seguridad actual de la
informacin en la empresa JUVIER S.A.C.
: El nivel de satisfaccin de los usuarios con el plan de seguridad propuesto
de la informacin en la empresa JUVIER S.A.C.
b) Hiptesis Estadsticas:
Hiptesis : El nivel de satisfaccin de los usuarios con el plan actual
seguridad de la informacin es mayor que el nivel de satisfaccin de los usuarios
con el plan propuesto de seguridad de la informacin.
=
Hiptesis : El nivel de satisfaccin de los usuarios con el plan propuesto de
seguridad de la informacin es mayor que el nivel de satisfaccin de los usuarios
con el plan actual de seguridad de la informacin.
= <
En conclusin se muestra que la satisfaccin del usuario con el plan actual es
menor que la satisfaccin que el plan propuesto
c) Nivel de Significancia:
El nivel de significancia de significancia () escogido para la prueba de la
hiptesis ser del 5%. Por lo tanto el nivel de confianza (1 = 0.95) ser del
95% y 1 = 4 es el grado de libertad que tiene el valor critico de T student.
Valor critico
Como = 0.05 y 1 = 4 grado de libertad de la regin de rechazo
Consiste en aquellos valores que son menores que = 1.97.

146
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 3. 2 Pre test con el plan actual
M Puntaje Puntaje
Total
Promedio
niveles de seguridad de 0
1.25
1.25
1.5
1.25
Preguntas
Como se siente con los
Manejo de la
Informacin
la informacin
2
la
informacin
que 0
usted utiliza es
3
Requerimientos del plan de seguridad de la

Informacin
El plan de seguridad de
Como
considera
tu
desempeo con el plan 0

actual
para
salvaguardar
la
informacin
4
como
consideras
eficiencia
de
controles
salvaguardar
la
los 0
para
la
informacin
5
Como considera
el
nivel de trabajo con el 0

plan de seguridad de la
informacin
Definir variables del indicador

E: excelente (4)
B: bueno (3)
R: Regular (2)
M: malo (1)
147
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 3. 3 Post test con el plan actual
M Puntaje Puntaje
Total
Promedio
niveles de seguridad de 1
12
14
3.5
13
3.25
14
3.5
13
3.25
Preguntas
Como se siente con los
Manejo de a la
Informacin
la informacin
2
El plan de seguridad de
la
informacin
que 2
usted utiliza es
3
Como
considera
tu
Requerimientos del plan de seguridad de la

Informacin
actual
para
salvaguardar
la
informacin
4
como
consideras
eficiencia
de
controles
salvaguardar
la
los 2
para
la
informacin
5
Como considera
el
nivel de trabajo con el 1

plan de seguridad de la
informacin

E: excelente (4)
B: bueno (3)
R: Regular (2)
M: malo (1)
148
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 3. 4 Contrastacin Pre & Post Test
PA
PP
1.25
-175
3.06
1.25
3.5
-2.25
5.06
1.5
3.25
-1.75
3.06
1.25
3.5
-2.25
5.06
3.25
-1.25
1.56
7.25
16.5
9.5
17.08
Preguntas
Requerimientos del plan

de seguridad de la
Informacin
Manejo de a la
Informacin

PA: Puntuacin con el sistema Actual
PP: Puntuacin con el Sistema Propuesto
D: Diferencia del Pre test y el Post Test
D2: Diferencia al cuadrado del Pre test y el Post Test

149
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Calculo de la Diferencia Promedio
.
= .
Calculo de la Desviacin Estndar
(. ) . .
=
= .
()
Calculo T
=
. ()
.
.
= .
.
a) Regin de Rechazo:
Para la = 0.05, en la figura 3.3 encontramos = 1.9.
Entonces la regin critica de la prueba c =< 1.9678, >
b) Conclusin:
En el grfico podemos ver la regin de aceptacin y rechazo para la prueba de
hiptesis: el nivel de satisfaccin del usuario en la empresa JUVIER S.A.C.

150
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Figura N 3. 3 Regla de decisin para una prueba de 1 cola
En conclusin se opta por rechazar la hiptesis nula y se acepta la alternativa.

Figura N 3. 4 Reporte Estadstico

151
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Indicador 03: El grado de capacitacin de los usuarios internos

d) Definicin de variables
: El nivel de capacitacin de los usuarios con el plan de seguridad actual de la
informacin en la empresa JUVIER S.A.C.
: El nivel de capacitacin de los usuarios con el plan de seguridad propuesto
de la informacin en la empresa JUVIER S.A.C.
e) Hiptesis Estadsticas:
Hiptesis : El nivel de capacitacin de los usuarios con el plan actual
seguridad de la informacin es mayor que el nivel capacitacin de los usuarios
con el plan actual seguridad de la informacin.
=
Hiptesis : El nivel de capacitacin de los usuarios con el plan propuesto de
seguridad de la informacin es mayor que el nivel de capacitacin de los
usuarios con el plan actual .
= <
f) Nivel de Significancia:
El nivel de significancia () escogido para la prueba de la hiptesis ser del
5%. Por lo tanto el nivel de confianza (1 = 0.95) ser del 95% y 1 = 4
es el grado de libertad que tiene el valor critico de T student
Valor critico
Como = 0.05 y 1 = 4 grado de libertad de la regin de rechazo
Consiste en aquellos valores que son menores que = 1.97.

152
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 3. 5 Pre test con el plan actual
M Puntaje
Total
Promedio
te 0
1.5
Preguntas
Como
1
consideras
informacin
Manejo de a la
Informacin
brindan
Puntaje
la
que
en
las
capacitaciones
2
las
estrategias
orientas
que
en
la 0
capacitacin son
3
Como
considera
tu

actual
despus de la
Requerimientos de la capacitacin
capacitacin
como
consideras
eficiencia
prcticos
los
la
casos 0
en
la
capacitacin
5
Como considera que la

capacitacin
cubre 0
ampliamente los puntos

del plan de seguridad

E: excelente (4)
B: bueno (3)
R: Regular (2)
M: malo (1)

153
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 3. 6 Post test con el plan actual
M Puntaje Puntaje
Total
Promedio
te 1
13
3.25
16
13
3.25
14
3.5
13
3.25
Preguntas
Como
1
consideras
informacin
que
brindan
Manejo de a la
Informacin
la
en
las
capacitaciones
2
las
estrategias
orientas
que
en
la 4
capacitacin son
3
Como
considera
tu
Requerimientos de la capacitacin
actual
despus de la
capacitacin
4
como
consideras
eficiencia
los
prcticos
la
casos 2
en
la
capacitacin
5
Como considera que l a

capacitacin
cubre 1
ampliamente los puntos

del plan de seguridad

E: excelente (4)
B: bueno (3)
R: Regular (2)
M: malo (1)

154
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Tabla N 3. 7 Contrastacin Pre & Post Test
PA
PP
3.25
-2.25
5.06
-3
1.5
3.25
-1.75
3.06
3.5
-2.5
6.25
3.25
-1.25
1.56
6.5
17.25 10.75
Preguntas
Manejo de a la
Informacin
Requerimientos de la
capacitacin
5
=
24.93

PA: Puntuacin con el sistema Actual
PP: Puntuacin con el Sistema Propuesto
D: Diferencia del Pre test y el Post Test
D2: Diferencia al cuadrado del Pre test y el Post Test

155
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Calculo de la Diferencia Promedio
.
= .
Calculo de la Desviacin Estndar
(. ) . .
=
=
= .
()
Calculo T
. ()
.
.
= .
.
c) Regin de Rechazo:
Para la = 0.05, en la figura 3.6 encontramos = 1.9.
Entonces la regin critica de la prueba c =< 1.9678, >
d) Conclusin:
En el grafico podemos ver la regin de aceptacin y rechazo para la prueba de
hiptesis: el nivel de capacitacin del usuario en la empresa JUVIER S.A.C.
156
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Figura N 3. 5 Regla de decisin Indicador 2
En conclusin se rechaza la hiptesis nula y se acepta la alternativa.

Figura N 3. 6 Reporte Estadstico

157
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO IV
DISCUSIN DE LOS
RESULTADOS
INGENIERA
DE
SISTEMAS
CAPITULO IV : DISCUSIN DE LOS RESULTADOS

Indicador 1: El nmero de riesgos informticos de la empresa.
Tabla N 4. 1 Comparacin del nmero de riesgos informticos de la empresa
Total
Porcentaje Total
Porcentaje
incidencias (%)
incidencias (%)
(Unid.)
(Unid.)
30
100%
5
6%
Decremento
Total
Porcentaje
incidencias (%)
(Unid.)
25
94%
Se puede observar que el indicador los riesgos informticos de empresa JUVIER

S.A.C con el plan actual es 30 incidencias y el tiempo promedio realizado con el plan
propuesto es 5 incidencias lo que representa un decrecimiento de 24 incidencias y en
porcentaje 94%
Figura N 4. 1 Resultados de la ejecucin del Plan en Indicador 1

159
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Indicador 2: El grado de satisfaccin de los usuarios internos

Tabla N 4. 2 Comparacin del Nivel Promedio de Satisfaccin de Usuario Interno
Incremento
Puntaje
Porcentaje Puntaje
Porcentaje Puntaje
Porcentaje
(1-4)
(%)
(1-4)
(%)
(1-4)
(%)
1.45
36.25%
3.3
82.5%
1.85
46.25%
Se puede observar que el indicador del nivel del promedio de satisfaccin del usuario
final con el plan actual es de 1.45 y el nivel del promedio del usuario final con el
plan propuesto es de 3.3 sobre una escala 1 a 4 puntos. Lo que representa un
incremento de 1.85 puntos y en porcentaje 46.25 %
Figura N 4. 2 Resultados de la ejecucin del Plan en Indicador 2
3.5
Nivel de Satisfaccin del Usuario

Interno
3.3
Nivel de satisfaccion
3
2.5
2
1.5
1.45
0.5
0
Plan Actual

Plan Propuesto
160
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Indicador 3: El grado de capacitacin de los usuarios internos

Tabla N 4. 3 Comparacin del Nivel Promedio de Capacitacin del Usuario
Puntaje
Porcentaje Puntaje
Porcentaje
(1-4)
(%)
(1-4)
(%)
1.3
27.37%
3.45
72.63%
Incremento
Puntaje
Porcentaje
(1-4)
(%)
2.15
45.26%
Se puede observar que el indicador del nivel del promedio de Capacitacin

del usuario final con el plan actual es de 1.3 y el nivel del promedio del
usuario final con el plan propuesto es de 3.45 sobre una escala 1 a 4 puntos.
Lo que representa un incremento de 2.15 puntos y en porcentaje 45.26 %
Figura N 4. 3 Resultados del Plan en Indicador 2

161
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO V
CONCLUSIONES Y
RECOMENDACIONES
INGENIERA
DE
SISTEMAS
CAPITULO V: CONCLUSIONES Y RECOMENDACIONES
1. La utilizacin de la metodologa MAGERIT seleccionada para llevar a cabo este

proyecto ha resultado de gran utilidad en diferentes aspectos.
La Fase inicial
Planificacin del Anlisis y Gestin de Riesgos permite estructurar actividades y

tareas. La Fase II: Anlisis y Gestin de Riesgos ayuda a formalizar los informes
emitidos. La Fase III : Gestin del riesgo se identifican las salvaguardas para
implementarlas en un Plan de Seguridad.
2. Se mejor la seguridad de la Informacin para el rea de Gerencia de Operaciones

de la Empresa de Transportes JUVIER S.A.C los cuales se ha demostrado en los
indicadores.
3. El plan de seguridad de la informacin reducir el nmero de riesgos informticos

en la empresa, con el plan anterior el nmero de incidentes era 30 que representan
el 100 % y con el plan actual es de 5 incidentes que representa el 6 % de nmero
de incidentes lo que equivale a una disminucin de 25 incidentes (94%) debido a
tener controles de seguridad establecidos.
4. El nivel de satisfaccin promedio de los usuarios con una escala del (1-4), con el
plan actual es de 1.45 (36.25%), con el plan propuesto es de 3.3 (82.5%) por lo
tanto se obtiene un incremento 1.85 (46.25%) puntos.
5. El nivel de capacitacin promedio de los usuarios con una escala del (1-4), con el
plan actual es de 1.3 (27.37%), con el plan propuesto es de 3.45 (72.63%) por lo
tanto se obtiene un incremento 2.15 (45.26%) puntos.

163
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO V
RECOMENDACIONES
INGENIERA
DE
SISTEMAS
Debido a que el plan de seguridad de la informacin mejora de manera notable la

eficacia de los procesos para salvaguardar la informacin se recomienda la
implantacin del presente plan que facilita no solo el trabajo sino el uso mismo por
parte de los usuarios de la empresa.
Se recomienda realizar peridicamente los trabajos de extraccin de copias de
seguridad (BACKUP) as como el seguimiento a los controles de seguridad que se
establezcan en el plan de seguridad de la informacin y sus respectivos documentos
con la finalidad de mantener salvaguardada la informacin relevante de la empresa.
Se recomienda capacitar constantemente al personal en relacin a los riesgos que
amenazan la informacin, y en nuevas tcnicas para lograr que los servicios
brindados sean de calidad
Se recomienda Autoridad definida para realizar cambios en las polticas.

165
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO VI
REFERENCIAS
BIBLIOGRFICAS
INGENIERA
DE
SISTEMAS
CAPITULO VI: REFERENCIAS BIBLIOGRFICAS

INFORME DE INVESTIGACIONES
A Nivel Local
Azaedo Deza, Juan Carlos & Len Shaus, Csar Edwin. 2010. Sistema de Gestin
de Seguridad Informtica para minimizar las vulnerabilidades de los activos de
procesamiento de informacin de la Empresa Hardtech Solutions S.A.C. ubicada en la
ciudad de Trujillo.. Trujillo : s.n., 2010.
Chvez Caballero, Karin & Jimnez Valderrama, Deysi. 2004. Planeamiento
Estratgico de Sistemas de Informacin y Tecnologas para mejorar la Gestin
administrativa en la Municipalidad Provincial de Trujillo . Trujillo : s.n., 2004.
A Nivel Nacional
lvarez, Guadalupe Ramrez R. & Ezzard. 2003. Auditoria a la Gestin de las
Tecnologas y Sistemas de Informacin. Lima : s.n., 2003.
Crdova Rodrguez, Norma Edith. 2003. Plan de Seguridad Informtica para una
Entidad Financiera (2003). Lima : s.n., 2003.
A Nivel Internacional:
Juan Manuel Matalobos Veiga. 2009. Anlisis de Riesgos de Seguridad de la
Informacin. Espaa : s.n., 2009.
Grupo ENISA. 2007. Methodology for evaluating usage and comparison of risk
assessment and risk management items. . Espaa : s.n., 2007.

167
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
LIBROS
Bertoln, Javier Areitio. 2008. Seguridad de la Informacin. Madrid : Paraninfo, 2008.
CERT. 2008. CERT. [En lnea] Software Engineering Institute, 17 de 09 de 2008.
[Citado el: 28 de Abril de 2011.] http://www.cert.org/octave/.
CRAMM. 1987. CRAMM. [En lnea] 1987. [Citado el: 28 de Abril de 2011.]
www.cramm.com.
Electrnica, Administracin. 1997. Administracin Electrnica. [En lnea] 1997.
[Citado el: 28 de Abril de 2011.] http://administracionelectronica.gob.es.
FACULTAD DE CIENCIAS CONTABLES, ECONMICAS Y FINANCIERAS.
2010. scribd. [En lnea] 15 de Febrero de 2010.
http://es.scribd.com/doc/26901848/Manual-de-Auditoria-de-Sistemas.
G.Piattini, Mario. 2000. Auditoria Informtica un enfoque prctico. Espaa : Editorial
Microinformtica, 2000.
Informtica, Oficina Nacional de Gobierno Electrnico e. 1999. ONGEI. [En lnea]
1999. [Citado el: 28 de Abril de 2011.]
http://www.ongei.gob.pe/publica/metodologias/Lib5007/21.htm.
INTECO. 2008. INTECO. [En lnea] 28 de 04 de 2008. [Citado el: 28 de abril de
2011.] http://www.inteco.es.
IS027001. 2005. [En lnea] 2005. [Citado el: 2008 de Abril de 2011.]
http://www.iso27000.es/.
ISO, 27000. 2005. ISO 27000. [En lnea] 2005. [Citado el: 28 de Abril de 2011.]
http://www.iso27000.es/glosario.html#section10chttp://www.iso27000.es/glosario.html
#section10c.
MAGERIT. 2006. MAGERIT - versin 2. [En lnea] 2008 de 06 de 2006. [Citado el:
28 de Abril de 2011.] http://publicaciones.administracion.es.
Marcos, Universidad Nacional Mayor de San. 2003. AUDITORA A LA GESTIN
DE LAS TECNOLOGAS Y SISTEMAS DE INFORMACIN. . [En lnea] 2003.
[Citado el: 28 de Abril de 2011.] http://redalyc.uaemex.mx.
Meyer, Ing. Carlos Ormella. 2011. ISO27000. [En lnea] 28 de 04 de 2011. [Citado el:
28 de Abril de 2011.]
http://www.iso27000.es/download/seguridad%20informaticavsinformacion.pdf.
Mora, Maurice Eyssautier de la. 2006. Metodologa de la investigacin: desarrollo de
la inteligencia. mexico : International Thomsom Editores, 2006.
168
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Razo, Carlos Muoz. 2000. Auditoria en Sistemas Computacionales. Auditoria en

Sistemas Computacionales. Mxico : Pearson Educacin de Mxico, S.A. de C.V.,
2000.
Repblica, Contraloria General de la. 2011. Contraloria. [En lnea] Repblica del
Per, 2011. [Citado el: 28 de Abril de 2011.]
http://www.unmsm.edu.pe/ogp/ARCHIVOS/NORMAS_TECNICAS_DE_CONTROL_
INTERNO.htm#normas500.
Romero Lucero, Mnica Alexandra. 2005. Repositorio Digital ESPE. [En lnea] 23 de
mayo de 2005. [Citado el: 28 de 04 de 2011.]
http://www3.espe.edu.ec:8700/handle/21000/501.
Stettinius, Wallace. 2009. Plan de Negocio. EEUU : PROFIT, 2009.

169
IVONNE J ACKELINE,
URRUTIA LOZADA
CAPTULO VII
ANEXOS
INGENIERA
DE
SISTEMAS
ANEXO 1
Formato Seleccin de metodologa

171
IVONNE J ACKELINE,
URRUTIA LOZADA
EXPERTO N
INGENIERA
DE
SISTEMAS
Nombres y Apellidos:
Cargo
Empresa
Aos de Experiencia:
Ttulo Profesional :
METODOLOGA
Flexibilidad
Requerimientos
Informacin
Costo
Estabilidad
Tiempo de
desarrollo
TOTAL
Metodologa
MAGERIT
Metodologa
OCTAVE
Metodologa
CRAMM
Criterios de Calificacin:
Excelente = 5, Bueno= 4, Regular = 3, Malo =2, Deficiente =1
Firma del Experto
172
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 2
Carta de aceptacin de la empresa

173
IVONNE J ACKELINE,
URRUTIA LOZADA

INGENIERA
174
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 3
Solicitud de acceso a la Informacin

175
IVONNE J ACKELINE,
URRUTIA LOZADA

INGENIERA
176
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 4
Informe Preliminar recomendando la elaboracin del Plan de
Seguridad de la Informacin

177
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
INFORME PRELIMINAR RECOMENDANDO

LA ELABORACIN DEL PROYECTO DE
AGR (ANLISIS Y GESTIN DE RIESGOS)
11/05/11
Este reporte se present a la Gerente General
de la Empresa de Transportes JUVIER S.A.C
1. Antecedentes
La Gerente General Sra. Victoria Rodrguez Ros confirm que no se haba real izado
ningn tipo de auditoria en la institucin y contaba con un Plan de Seguridad pero no
abarcaba la seguridad de la Informacin. Hace 1 ao sufri la empresa un robo a causa
de la mala gestin de seguridad, que perjudico sus actividades diarias.
Durante la reunin se enfatiz la importancia de la seguridad de la informacin y los
factores a tener en cuenta. Se hizo mencin de la necesidad de implementar en su
empresa un plan de seguridad de la Informacin, que de beneficios a la empresa,
mejorando la gestin actual, identificando riesgos, y reduciendo los incidentes para
evitar posteriores prdidas y situaciones lamentables que muchas veces son
irrecuperables, as como tambin, evitar un gasto innecesario de dinero, obligaciones
penales desagradables, y la desaparicin del prestigio, ganando una mala reputacin
dentro del mundo de los negocios.
2. Alcance de la Auditoria y objetivos (considerar el perodo cubierto)
2.1 Alcance
La auditora se realiz por la promotora del proyecto, alumna de la Escuela de
Ingeniera de Sistemas de la Universidad Cesar Vallejo; a la empresa JUVIER S.A.C.,
se realiz en las reas de gerencia, contabilidad, secretaria, seguridad y supervisin.
La auditora que comprende este informe es la auditoria de la ofimtica; a travs de la
cual se evaluar el funcionamiento del Software y Hardware.
2.2 Objetivos
Comprobar si el plan de seguridad protege a la informacin.

Comprobar si existe un inventario ofimtico, y si este refleja con exactitud los
equipos y aplicaciones existentes en la empresa.
Determinar y evaluar los procedimientos y adquisiciones de equipos y
aplicaciones en la empresa.
Comprobar si existen accesos restringidos para proteger la informacin reservada
de la empresa y la integridad de la misma.
Verificar si existen copias de seguridad de la informacin.
Determinar si est garantizado el acceso ininterrumpido de las aplicaciones.

178
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Determinar qu tan expuesta esta la informacin ante la posibilidad de intrusin

de virus.
3. Tcnicas y Herramientas
3.1 Tcnicas
Entrevistar, Al personal de la empresa, para conocer las actividades que realizan

cada uno de ellos y verificar si lo estn cumpliendo en tu totalidad.
Examen (encuesta), para analizar y poner a prueba la calidad y el cumplimiento
de las funciones, actividades y operaciones que se realizan cotidianamente en la
empresa.
Inspeccin, Examen fsico de los bienes materiales o de los documentos, con el
objeto de cerciorarse de la existencia de un activo o de una operacin registrada.
Observacin, Presencia fsica de cmo se realizan ciertas operaciones o hechos. el
auditor se cerciora de la forma como se realizan ciertas operaciones.
3.2 Herramientas
Cmara Digital
Lapiceros y lpiz
Papel
4. Perfil general de las unidades a incluir en la auditoria
Director del Proyecto Gerente General

Responsable de planificar, coordinar y establecer con la promotora del proyecto,
las fechas de visita a la empresa. Responsable de dar a conocer las decisiones
tomadas para el desarrollo de la auditoria, determinando para ello el cumplimiento
de las actividades programadas.
Responsable de la Planificacin Asistente Contable

Encargados de coordinar con cada uno de los integrantes del grupo las fechas de
reunin de trabajo, verificar el avance de las actividades asignadas a los
integrantes del equipo de trabajo, garantizando que se cumpla con lo establecido.
Responsable de la Ejecucin - Promotora del Proyecto

Encargadas de la presentacin el diagnstico de la situacin actual de la empresa,
adems brinda alternativas de soluciones a las problemticas que se presenten.
Responsable del Informe - Contadora

Responsable en el cumplimiento de las tareas asignadas y de verificar el formato
del cuestionario y entrevistas aplicados al desarrollo de la auditora verificando
que las preguntas a realizar sean relevantes y las ms concretas al objetivo
establecido.
Responsable del Seguimiento Gerente Operaciones

179
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Encargado de coordinar las funciones asignadas, y dar fe del cumplimiento de las

tareas asignadas, antes, durante y despus de la auditora realizada.
Asignacin de Roles
Apellidos y Nombres
Rodrguez Ros Victoria
Cargo
Formacin Profesional
Gerente General
Administracin
Gerente de Operaciones
Administracin
Elizabeth.
Antonio Fernndez
Quispe
Cecilia Beltram
Contadora
Contabilidad Financiera
Ingrid Esparza
Asistente Contable
Secretariado Ejecutivo
Urrutia Lozada, Ivonne
Promotora del Proyecto
Estudiante de Ing. de
Sistemas
Lista de Personas a Entrevistar
Gerente General: Rodrguez Ros Victoria Elizabeth

Gerente de Operaciones: Antonio Fernndez Quispe
Contadora: Cecilia Beltram
Asistente Contable: Ingrid Esparza
Suplente: Jefe de Informtica
Nota: Se tom en cuenta a 4 representantes de diversas reas, se excluy a

algunas reas por dificultad de horario, reuniones y/o imprevistos.
Esfuerzo de la Auditoria
El tiempo estimado de la auditoria fue de 1 da, y el plazo de entrega del
diagnstico de la situacin se realiz en 1 semana hbil despus de haber
concluido la auditoria.

180
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
5. Resultado del examen:
Verificar la existencia de un plan de seguridad

Opinin favorable porque se encontr la documentacin requerida
Opinin desfavorable debido a que no se encontr documentacin que
contemple medidas a llevar a cabo para salvaguardar la informacin.
Verificar la existencia de polticas de seguridad
Opinin desfavorable debido a que cuenta con polticas de seguridad poco
detalladas y formalmente no documentadas.
Verificar si estn definidos los permisos de acceso a programas y sitios no
autorizado
Opinin desfavorable debido a que no cuenta con restricciones de accesos a
programas y sitios no autorizados.
Verificar la existencia del inventario ofimtico
Opinin desfavorable porque no se obtuvo la informacin correcta
Verificar la existencia de un plan de mantenimiento de los equipos de
cmputo.
Opinin con salvedad porque se obtuvo la informacin incompleta
Verificar la existencia de documentos de adquisicin de los equipos de
cmputo, software y antivirus
Opinin favorable porque se encontr la documentacin requerida
(adquisicin de equipos de cmputo.)
Opinin desfavorable debido a que no se encontr la documentacin de
licencias de antivirus y software utilizados.
6. Hallazgos:
Cuenta con un plan de seguridad que ayude a superar cualquier

eventualidad.
Polticas de seguridad poco detalladas y formalmente no documentadas.
Procedimientos indefinidos en todas las reas de la empresa, excepto para
gerencia.
Existe deficiencias en el inventariado de software, licencias y hardware
Los permisos dados para el personal son fcilmente incumplidos.
El plan de mantenimiento a los equipos de cmputo carece de un debido
registro de los mantenimientos dados.

181
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Se ha observado que anteriormente no se ha llevado a cabo ningn proceso

de auditora informtica, careciendo de documentos necesarios para una
correcta evaluacin y estudio de futuras auditorias.
Formato de Prueba de Cumplimiento y Sustantivas

Empresa :Transporte JUVIER S.A.C
Fecha: 04 /05 /11
Objetivo de Control
Verificar la existencia de un plan de mantenimiento de los equipos de
cmputo
Prueba de Cumplimiento
1.
2.
3.
4.
5.
Preguntas
De acuerdo a la entrevista a la gerente General nos respondi
La empresa realiza mantenimiento a los equipos de
cmputo?
Si
Hay un personal encargado para realizar dicho
mantenimiento?
Si, personal capacitado
El encargado de dar el mantenimiento es un trabajador de l a
empresa o un tercero?
El asistente tcnico de la empresa.
Cada qu tiempo se realizan los mantenimiento?
Espordicamente(cuando el equipo lo requiera)
Se mantiene un registro permanente
de todos los
mantenimientos realizados?
No
Norma NAGU 500-04 Mantenimiento de Equipos

Prueba Sustantiva

182
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Plan de Mantenimiento de los Equipos de Cmputo.
Auditor Responsable
Sra. Rodrguez Ros Victoria

183
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS

Empresa :Transporte JUVIER S.A.C
Fecha: 04 /05 /11
Objetivo de Control
Verificar la existencia del inventario ofimtico
Prueba de cumplimiento
Preguntas
Si No
1. La empresa tiene un inventario detallado de los equipos
de cmputo, software y antivirus?

Norma NAGU 500-08 gestin optima de software adquirido a
medida por entidades pblicas
Prueba Sustantiva
Documento del inventario ofimtico
Facturas de las compras de los equipos de computo
Auditor Responsable
Sra. Cecilia Beltram

184
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS

Fecha: 04 / 05 /11
Empresa : Transporte JUVIER S.A.C
Objetivo de Control
Verificar la existencia de documentos de adquisicin de los equipos de
cmputo, software y antivirus
Preguntas
Si No
1. Existe un informe tcnico en el que se justifique la
X
adquisicin de los equipos de cmputo?
X
adquisicin del software?
X
adquisicin de los antivirus?
4. Hay algn responsable de cotizar la adquisicin de los X
equipos de cmputo, software y antivirus?
Norma NAGU 500-08 gestin optima de software adquirido a
medida por entidades pblicas
Prueba Sustantiva
- Documentos de adquisicin de los equipos de cmputo, software y
antivirus

185
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
- Informe tcnico para la adquisicin de los equipos de cmputo
Auditor Responsable
Sra. Rodrguez Ros Victoria

186
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS

Empresa : Transporte JUVIER S.A.C Fecha: 04/ 05/11
Objetivo de Control
Verificar si estn definidos los permisos de acceso a programas y sitios
no autorizado
tems tems
Si
No
1. Los empleados tiene acceso solo al software que
X
implique con sus labores.
2. Las computadoras tiene claves de acceso a la red
X
3. Los empleados pueden bajar e instalar programas X
con total libertad.
4. Los empleados pueden manipular la configuracin X
de las computadoras.
Normativa Institucional : Reglamentos (MOF)
Prueba Sustantiva
Captura de Pantallas de las PCs de las Diferentes reas
rea de Gerencia
**Cuenta con contrasea(solo el equipo del rea de Gerencia

General)

187
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
rea: Contabilidad
Ingresa Windows Live Messenger
rea de Supervisin
Pgina de Hi5

188
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Secretara
gpedit.msc
Auditor Responsable

189
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
a) Formatos de control de cambios al plan de auditora

** Este formato es para realizar la actividad en una nueva fecha
Aplicacin de la Auditoria Ofimtica

Formulario de control de cambios de la actividad : Anlisis con
respecto a la seguridad y respaldo de informacin
Responsable: Promotora del Proyecto
Estado: Activo
Fecha : 04/05/11 Hora: 4 pm
Justificacin del cambio:

El seor Jerson Alcalde Chapa no se encontr en la empresa, tuvo que
salir a coordinar el mantenimiento de las unidades vehiculares
Nueva fecha para realizar la Actividad: 11/05/11
Consecuencias del cambio:

Retrasara la interpretacin de los resultados obtenidos a travs de las
entrevistas que se realizaron al personal
Aprobar cambio
Auditor Responsable
Si
No
Tec. Jerson Alcalde Chapa

190
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Aplicacin de la Auditoria Ofimtica

Formulario de control de cambios de la actividad : Anlisis con
respecto a la seguridad y respaldo de informacin
Responsable: Promotora del Proyecto
Estado: Activo
Fecha : 04/05/11 Hora: 4 pm
Justificacin del cambio:

El seor Antonio Fernndez no se encontr en la empresa, se encontr
fuera de la Ciudad de Trujillo.
Nueva fecha para realizar la Actividad: 11/ 05/ 09
Consecuencias del cambio:

Retrasara la interpretacin de los resultados obtenidos a travs de las
entrevistas que se realizaron al personal
Aprobar cambio
Auditor Responsable
Si
No
Antonio Fernndez
Gerente de Operaciones.

191
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Principales observaciones de auditora (Considerar por cada observacin la respuesta del

auditado)
Seguridad de la informacin: La Gerente de la empresa JUVIER SAC
nos afirm q las
amenazas contra la informacin de la empresa es necesaria gestionarla.

Las funciones especificadas en el reglamento (MOF) son ejecutadas por cada uno de sus
responsables, presentando algunas debilidades.
Agradecimientos por el apoyo a la auditoria

A la Gerente de la Empresa de Trasportes JUVIER Sra. Rodrguez Ros Victoria Elizabeth,
por brindarnos la informacin pertinente al caso de estudio.
Al Ing. Alberto Mendoza de los Santos, Docente de la UCV Trujillo, por brindarnos el
asesoramiento necesario para poder llevar a cabo el estudio y/o evaluacin de auditora la
empresa de trasportes JUVIER SAC.
Calificacin del proceso de auditoria

En el caso de evaluacin a la ofimtica de la empresa de trasportes JUVIER SAC no se ha
podido ejecutar al 100% de lo deseado, debido a que no se pudo contar con la totalidad de la
informacin que nos fue brindada por esta institucin, imposibilitndonos el correcto
desarrollo del trabajo de auditora.

192
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 5
Comit de Informtica

193
IVONNE J ACKELINE,
URRUTIA LOZADA

INGENIERA
194
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 6
Formato de encuestas

195
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ENCUESTA 01 : A GERENTE GENERAL, GERENTE DE OPERACIONES, JEFE

DE INFORMTICA
Objetivo : Suscitar a la gerencia general de la empresa que requiere de un plan de
Cargo al que Ud. Pertenece: Fecha..

Indicaciones: Marque con un aspa (x) la alternativa segn la pregunta.
1. Cmo considera usted el desempeo de las capacidades tcnicas o especializadas

en sistemas y redes de TI del personal?
Excelente
Bueno
Regular
Malo
2. El manejo de la seguridad de la informacin es?

Excelente
Bueno
Regular
Malo
3. Cmo califica usted la infraestructura de tecnologa de la informacin con la que

trabaja?
Excelente
Bueno
Regular
Malo
4. Consideras que las normativas y procedimientos de uso, conocidos y empleados

son:
Excelente
Bueno
Regular
Malo
5. Cmo consideras al plan de contingencias implantado en la empresa?

Excelente
Bueno
Regular

Malo
196
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ENCUESTA 02 : A GERENTE GENERAL, GERENTE DE OPERACIONES, JEFE

DE INFORMTICA
Objetivo: Reconocer
Informacin.
procesos
de
gestin
de
seguridad
de
la
Cargo al que Ud. Pertenece: ..Fecha ..

Indicaciones: Marque con un aspa (x) la alternativa segn la pregunta.
1. Cmo consideras la forma de manejar la informacin en la empresa?

Excelente
Bueno
Regular
Malo
2. Ud. conoce los procedimientos para salvaguardar la informacin?

Si
No
3. Las propuestas para salvaguardar la informacin en la empresa son?

Backup
Antivirus
Polticas de seguridad
4. La empresa cuenta con un tipo de seguridad establecido para que otros usuarios
que no sean encargados a los equipos informticos puedan acceder?
Uso de contraseas
Polticas de seguridad

197
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 7
Encuestas

198
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ENCUESTA 01: A GERENTE GENERAL, GERENTE DE OPERACIONES, JEFE

DE INFORMTICA
1. Cmo considera usted el desempeo de las capacidades tcnicas o

especializadas en sistemas y redes de TI del personal?
CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
Conclusin: De la siguiente grfica consideramos que el 67 % de los

entrevistados consideran que las capacidades o especialidades en sistemas y
TI del personal es malo
2. El manejo de la seguridad de la informacin es?
CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
Conclusin: La gran mayora de encuestados manifiesta que el manejo de la

seguridad de la informacin en las diversas reas no es el indicado.

199
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
3. Cmo clasifica usted la infraestructura de tecnologa de la informacin con l a

que trabaja?
CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
Conclusin: En su mayora los entrevistados consideran que la infraestructura

de tecnologa con la que trabaja es regular.
4. Consideras que las normativas y procedimientos de uso, conocidos y empleados

para
la
seguridad
de
la
informacin son:
CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
Conclusin: Existe un porcentaje considerable que manifiesta que las

normativas y procedimientos de uso conocido y empleado para proteger la
informacin es mala, ya que no se han implantado normas para salvaguardar la
informacin

200
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
5. Como considera al plan de contingencia implantado en la empresa?

CALIFICACIN
N CIU
Excelente
Bueno
Regular
Malo
Conclusin: En su mayora el personal de la empresa considera que el actual

plan de contingencia implantado es regular, porque salvaguarda peligros
latentes en la industria y transporte de carga en el personal minero, mientras
que el 33 % considera que es malo, ya que no salvaguarda la informacin con
la que trabaja.

201
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ENCUESTA 02: A GERENTE GENERAL, GERENTE DE OPERACIONES, JEFE

DE INFORMTICA
1. Cmo consideras la forma de manejar la informacin en la empresa?
CALIFICACIN
0% 0%
N CIU
Excelente
Bueno
Bueno
Regular
Regular
Malo
Excelente
25%
75%
Malo
Conclusin: El personal encuestado opina que la forma de manejar la

informacin en la empresa no es la adecuada
2. Ud. conoce los procedimientos para salvaguardar la informacin?
CALIFICACIN
SI
N CIU
1
NO
3
2.5
2
75%
1.5
Series1
1
0.5
25%
0
si
no
Conclusin: En su mayora los empleados opinan que la empresa no

cuenta con procedimientos para salvaguardar la informacin

202
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
3. Las propuestas para salvaguardar la informacin en la empresa son?
CALIFICACIN
Backup
N CIU
3
Antivirus
Polticas de
0%
politicas de seguridad
25%
antivirus
Series2
Series1
seguridad
75%
Backup
Conclusin: El 75 % considera que la propuesta ms establecida para

salvaguardar la informacin es Backup.
4. La empresa cuenta con un tipo de seguridad establecido para que otros

usuarios que no sean encargados a los equipos informticos puedan acceder?
CALIFICACIN
Uso de
N CIU
4
4
3.5
contraseas
Polticas de
4.5
seguridad
Politicas de
seguridad
2.5
2
100%
1.5
Solo uso de
contraseas
1
0.5
0
1
Conclusin: Todo el personal encuestado considera que el nico tipo de

seguridad establecido para no acceder a la informacin de sus quipos es
usando usan contrasea.

203
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 8
Inventario de Equipos Informticos

204
IVONNE J ACKELINE,
URRUTIA LOZADA
CANT
1
EQUIPO
Monitor
1
1
2
1
Mouse
Teclado
Parlantes
CPU
Impresora
Laptop
1
1
1
3
Impresora
Switch
Router
Monitor
1
1
6
3
Mouse
Teclado
Parlantes
CPU
INGENIERA
DE
SISTEMAS
DESCRIPCIN
DEPARTAMENTO
- Samsung 17 LCD 1742 1280 Gerencia General
x 1024
Jefe de seguridad
Asistente Contable
- Multimedia ptico genius ps/2
- Genius SP-Q06
- Pentium IV
- Procesador Intel Core2Duo 2.2
Ghz
- Memoria RAM 3 GB DDR2
- Disco duro Samsung 250gb
- DVD-ROM + CD RW
- Lector de memoria
220V
- Matricial Epson lx300
Gerente General
- Toshiba Satellite A40 SP151
Gerencia
de
Operaciones
- Procesador Mobile Intel
Pentium 4 a 2.80Ghz
- 256MB en Memoria
- DVD-ROM + cd-rw 24x
- Pantalla TFT de 15 Pulg
- Modem 56k
- Red 10/100Mbps
- Red inalmbrica 802.11g
- hp 2330
- Cisco Catalyst 2950
- Cisco 1841
- LG LCD 17 1742 1280 x Jefe de Informtica
1024
Asistente Tcnico
Jefe de Supervisin
- Genius SP-Q06
- Procesador Intel Dual Core
E2200 2.20 ghz
- Memoria Ramn DDR2 de 2Gb
Kingston Bus 800Mhz
- Disco duro Samsung 160gb
- DVD-ROM + CD RW

205
IVONNE J ACKELINE,
URRUTIA LOZADA
1
1
1
6
1
1
INGENIERA
DE
SISTEMAS

- Lector de memoria
220V.
Monitor - COMPAQ 15 CRT
Contadora
Mouse
- Genius PS2 Nestscroll
Teclado
- Genius PS/2 KB-06x
Parlantes - Genius SP-Q06
CPU
- Pentium 4
- Procesador Intel d915gav
- 512 MB en Memoria
- Tarjeta red D-Link DFE530TX
- Floppy 3.5 HD
- CD-ROM 52x
impresora - hp 2160

206
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 9
Fichas de Identificacin de activos

207
IVONNE J ACKELINE,
URRUTIA LOZADA
cdigo:
descripcin:
INGENIERA
DE
SISTEMAS
Servicios/Personal
nombre:
responsa ble:
tipo (marque todos los adjetivos que procedan):

( ) [ANO] annimos (sin requerir identificacin del usuario)
( ) [CLI] a clientes (con relacin actual)
( ) [INT] interno (usuarios y medios de la propia organizacin)
( ) [TER] contratado a terceros (se presta con medios ajenos)
( ) world wide web
( ) [AEC] acceso remoto a cuenta local
( ) [EMA] correo electrnico
( ) [TFC] transferencia de ficheros
( ) [IED] intercambio electrnico de datos
( ) [SDR] servicio de directorio
( ) [GID] gestin de identidades
( ) [GPI] gestin de privilegios
( ) [PKI infraestructura de clave pblica

208
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Datos / Informacin
cdigo:
nombre:
descripcin:
propietario:
responsa ble:

( ) [VIT] datos vitales
( ) [COM] datos de inters comercial
( ) [ADM] datos de inters administrativo
( ) [GIN] datos de gestin interna
( ) [DCF] cdigo fuente
( ) [DCE] cdigo ejecutable
( ) datos clasificados
( ) [DSE]
( ) [DRE]
( ) [CON]
( ) [DDL]
( ) [DSC]
secreto
reservado
confidencial
difusin limitada
sin clasificar

209
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Aplicaciones (software)
cdigo:
descripcin:
nombre:
responsa ble:
( ) [DPR] desarrollo propio (in house)
( ) [DME] desarrollo a medida (subcontratado)
( ) estndar (off the shelf)
( ) [BRO] navegador web
( ) [SPR] servidor de presentacin
( ) [CEM] cliente de correo electrnico
( ) [SAP] servidor de aplicaciones
( ) [SEF] servidor de ficheros
( ) [SGB] sistema de gestin de bases de datos
( ) [SOF] ofimtica
( ) [ANT] antivirus
( ) [BAC] sistema de backup
( ) [SSO] sistema operativo
( ) [OOO] otros
.

210
IVONNE J ACKELINE,
URRUTIA LOZADA
cdigo:
descripcin:
INGENIERA
DE
SISTEMAS
Equipamiento informtico (hardware)

nombre:
responsa ble:
ubicacin:
nmero:
( ) [SER] servidores
( ) [PCS] equipos de sobremesa
( ) [LAP] lptop
( ) perifricos
( ) [IMP] medios de impresin
( ) [SCA] escneres
( ) [DSC] dispositivos criptogrficos
( ) Equipo de la red
( ) [MODEM] mdems
( ) [HUB] concentradores
( ) [SWI] conmutadores
( ) [EQR] router
( ) [BRI] pasarelas
( ) [FIR] cortafuegos
( ) centralita telefnica

211
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
cdigo:
nombre:
descripcin:
responsa ble:
ubicacin:
nmero:
( ) electrnicos
( ) [DIS] discos
( ) [USB] disquetes
( ) [CDV] CD`S DVD`S
( ) [USB] dispositivos USB
( ) [USB] DVD
( ) [TAP] cinta magntica
( ) [ETM] tarjetas de memoria
( ) [ETI] tarjetas inteligentes
( ) no electrnicos
( ) [DOI] documento impreso
( ) [TAP] cinta de papel
( ) [FIL] microfilm

212
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Redes de comunicaciones
cdigo:
nombre:
descripcin:
responsa ble:
ubicacin:
nmero:
( ) [INT] red telefnica
( ) [RDS] (red digital)
( ) [RDA] X25 (red de datos)
( ) [ADS] ADSL
( ) [PP] punto a punto
( ) [RII] red inalmbrica
( ) [RST] satlite
( ) [LAN] red local
( ) [MAN] red metropolitana
( ) [INT] Internet
( ) [VPN] red privada virtual

213
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 10
Catlogo de Activos

214
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
En este anexo se detallan los activos de informacin incluidos en el inventario de base

de datos dela metodologa de anlisis y gestin de riesgos. ( MAGERIT, 2006)
Activos Tangibles
Equipamiento informtico
- Lptop
- Equipos de sobremesa
- Impresoras
- Scanners
- Equipos de red (router)
- CDS DVDS
- Dispositivo USB
- Documentos impresos
- Diskette
- Instalaciones (oficinas)
- Corriente elctrica
Activos Intangibles
Procesos y Servicios
- Procesos
- Servicios internos
- Servicios externos
Personas
- Usuarios internos
- Clientes
- Terceros
Aplicaciones
- Software ofimtico
- Sistema PDT
- Navegadores web
- Antivirus
Redes
- Internet
- Red privada virtual

215
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 11
Criterios de Valoracin
Dimensin de seguridad del activo

216
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Escala estndar
valor
criterio
[olm] Probablemente cause un dao excepcionalmente serio a la eficacia o
seguridad de la misin operativa o logstica
[iio] Probablemente cause daos excepcionalmente graves a misiones
extremadamente importantes de inteligencia o informacin
[si]
Seguridad: probablemente sea causa de un incidente excepcionalmente

serior de seguridad o dificulte la investigacin de incidentes
excepcionalmente serios
[ps]
Seguridad de las personas: probablemente suponga gran prdida de vidas

humanas
[po]
Orden pblico: alteracin sera del orden constitucional
[ir]
Probablemente cause un impacto excepcionalmente grave en llas

relaciones internacionales
[lbl]
[da]
Datos
clasificados
como
secretos
Probablemente
cause
una
interrupcin excepcionalmente seria de las
actividades propias de la Organizacin con un serio impacto en otras
organizaciones
[adm]
Administracin y gestin: probablemente impedira seriamente la

operacin efectiva de la organizacin, pudiendo llegar a su cierre
[lg]
Probablemente causara causara una publicidad negativa generalizada

por afectar de forma excepcionalmente grave a las relaciones ...
10
[lg.a] a las relaciones con otras organizaciones

[lg.b] a las relaciones con el pblico en general
9
[lg.c] a las relaciones con otros paises
[olm] Probablemente cause un dao serio a la eficacia o seguridad de la misin
operativa o logstica
[iio] Probablemente cause serios daos a misiones muy importantes de
inteligencia o in formacin
[cei] Intereses comerciales o econmicos:
[cei.a] de enorme inters para la competencia
[cei.b] de muy elevado valor comercial

217
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[cei.c] causa de prdidas econmicas excepcionalmente elevadas

[cei.d] causa de muy significativas ganancias o ventajas para individuos
u organizaciones
[cei.e] constituye un incumplimiento excepcionalmente grave de las
obligaciones contractuales relativas a la seguridad de la
informacin proporcionada por terceros
[lro] Obligaciones legales: probablemente cause
excepcionalmente grave de una ley o regulacin
un
incumplimiento
[si] Seguridad: probablemente sea causa de un serio incidente de seguridad o

dificulte la investigacin de incidentes serios
[ps] Seguridad de las personas: probablemente suponga la muerte de uno o
ms individuos
[po] Orden pblico: alteracin sera del orden pblico
[ir]
Probablemente cause un serio impacto en las relaciones internacionales
[lbl] Datos clasificados como reservados

[ps]
8
Seguridad de las personas: probablemente cause dao a la seguridad o

libertad individual (por ejemplo, es probable que llegue a amenazar la vida
de uno o ms individuos)
[crm] Impida la investigacin de delitos graves o facilite su comisin

[lbl] Datos clasificados como confidenciales
[da]
Probablemente cause una interrupcin seria de las actividades propias de

la Organizacin con un impacto significativo en otras organizaciones
[adm] Administracin y gestin: probablemente impedira la operacin efectiva

de la organizacin
[lg]
Probablemente causara una publicidad negativa generalizada
[lg.a] por afectar gravemente a las relaciones con otras organizaciones

7
[lg.b] por afectar gravemente a las relaciones con el pblico en general

[lg.c] por afectar gravemente a las relaciones con otros pases
[olm] Probablemente cause perjudique la eficacia o seguridad de la misin
operativa o logstica
[iio] Probablemente cause serios daos a misiones importantes de inteligencia
o informacin

218
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS

[cei.a] de alto inters para la competencia
[cei.b] de elevado valor comercial
[cei.c] causa de graves prdidas econmicas
[cei.d] proporciona ganancias o ventajas desmedidas a individuos u
organizaciones
[cei.e] constituye un serio incumplimiento de obligaciones contractuales
relativas a la seguridad de la informacin proporcionada por terceros
[lro] Obligaciones legales: probablemente cause un incumplimiento grave de
una ley o regulacin
[si]
Seguridad: probablemente sea causa de un grave incidente de seguridad

o dificulte
la investigacin de incidentes graves
[ps]
Seguridad de las personas: probablemente cause daos de cierta

consideracin a varios individuos
[ir]
Probablemente cause un impacto significativo en las relaciones

internacionales
[pi1] Informacin personal: probablemente afecte gravemente a un grupo de
[lbl] Datos
clasificados como confidenciales
individuos
[pi2] Informacin personal: probablemente quebrante seriamente la ley o
algn reglamento de proteccin de informacin personal
6
[ps]
Seguridad de las personas: probablemente cause daos de cierta

consideracin, restringidos a un individuo
[po]
Orden pblico: probablemente cause manifestaciones, o presiones

significativas
[lbl]
Datos clasificados como de difusin limitada

219
IVONNE J ACKELINE,
URRUTIA LOZADA

[da]
INGENIERA
DE
SISTEMAS
Probablemente cause la interrupcin de actividades propias de la

Organizacin con impacto en otras organizaciones

de ms de una parte de la organizacin
[lg]
Probablemente sea causa una cierta publicidad negativa
[lg.a] por afectar negativamente a las relaciones con otras organizaciones

[lg.b] por afectar negativamente a las relaciones con el pblico
[olm] Probablemente merme la eficacia o seguridad de la misin operativa o

logstica ms all del mbito local
[iio] Probablemente dae a misiones importantes de inteligencia o
informacin
[pi1] Informacin personal: probablemente afecte gravemente a un individuo
[pi2] Informacin personal: probablemente quebrante seriamente leyes o
regulaciones
[lro] Obligaciones legales: probablemente sea causa de incumplimiento de
una ley o regulacin
[ir]
Probablemente tenga impacto en las relaciones internacionales
[lbl]
[pi1] Informacin personal: probablemente afecte a un grupo de individuos

[pi2] Informacin personal: probablemente quebrante leyes o regulaciones
4
[ps]
Seguridad de las personas: probablemente cause daos menores a varios

individuos
[crm] Dificulte la investigacin o facilite la comisin de delitos
[lbl]
[da]
Probablemente cause la interrupcin de actividades propias de la

Organizacin

de una parte de la organizacin
[lg]
Probablemente afecte negativamente a las relaciones internas de la

Organizacin
[olm] Probablemente merme la eficacia o seguridad de la misin operativa o

logstica (alcance local)
220
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[iio] Probablemente cause algn dao menor a misiones importantes de

inteligencia o informacin
[cei.a] de cierto inters para la competencia
[cei.b] de cierto valor comercial
[cei.c] causa de prdidas financieras o merma de ingresos
[cei.d] facilita ventajas desproporcionadas a individuos u organizaciones
[cei.e] constituye un incumplimiento leve de obligaciones contractuales para
mantener la seguridad de la informacin proporcionada por terceros
[pi1] Informacin personal: probablemente afecte a un individuo
[pi2] Informacin personal: probablemente suponga el incumplimiento de una
ley o regulacin
[lro] Obligaciones legales: probablemente sea causa de incumplimiento leve o
tcnico de una ley o regulacin
[si]
Seguridad: probablemente sea causa de una merma en la seguridad o

dificulte la investigacin de un incidente
[ps]
Seguridad de las personas: probablemente cause daos menores a un

individuo
[po]
Orden pblico: causa de protestas puntuales
[ir]
Probablemente cause un impacto leve en las relaciones internacionales
[lbl]
[lg]
Probablemente cause una prdida menor de la confianza dentro de la

Organizacin

[cei.a] de bajo inters para la competencia
2
[cei.b] de bajo valor comercial
[pi1] Informacin personal: pudiera causar molestias a un individuo
[pi2] Informacin personal: pudiera quebrantar de forma leve leyes o
regulaciones
[ps]
Seguridad de las personas: pudiera causar dao menor a varios individuos

221
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[lbl]
Datos clasificados como sin clasificar
[da]
Pudiera causar la interrupcin de actividades propias de la Organizacin
[adm] Administracin y gestin: pudiera impedir la operacin efectiva de una

parte de la organizacin
1
[lg]
Pudiera causar una prdida menor de la confianza dentro de la

Organizacin
[olm] Pudiera mermar la eficacia o seguridad de la misin operativa o logstica

(alcance local)
[iio] Pudiera causar algn dao menor a misiones importantes de inteligencia
o informacin
[cei.a] de pequeo inters para la competencia
[cei.b] de pequeo valor comercial
[pi1] Informacin personal: pudiera causar molestias a un individuo
[lro] Obligaciones legales: pudiera causar el incumplimiento leve o tcnico de
una ley o regulacin
[si]
Seguridad: pudiera causar una merma en la seguridad o dificultar la

investigacin de un incidente
[ps]
Seguridad de las personas: pudiera causar daos menores a un individuo
[po]
Orden pblico: pudiera causar protestas puntuales
[ir]
Pudiera tener un impacto leve en las relaciones internacionales
[lbl]
Datos clasificados como sin clasificar

222
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
[1]
no afectara a la seguridad de las personas
[2]
sera causa de inconveniencias mnimas a las partes afectadas
[3]
supondra prdidas econmicas mnimas
[4]
no supondra dao a la reputacin o buena imagen de las personas u

organizaciones

223
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 12
Catlogo de Amenazas

224
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
En este anexo se detallan las amenazas incluidas en el inventario base de la

metodologa de anlisis de riesgos.( MAGERIT, 2006)
Desastres Naturales
Incendio
Inundaciones
Daos por agua
Derrumbes
Terremotos
Origen Industrial
Cortes de corriente
Variacin en la tensin de la corriente
Cortes en las comunicaciones
Polvo
Errores y Fallos no Intenciones
Fallas en la operacin de equipos
Ataques Intencionados
Robos
Errores y Fallos no Intencionados
Errores de los usuarios/administrador
Errores de mantenimiento/ actualizacin de programas (Software)
Cada del sistema por agotamiento de recurso
Ataques intencionados
Suplantacin de la identidad del usuario
Uso no previsto
Robo
Extorsin
Ingeniera social

225
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 13
Caracterizacin de Activos Intangibles

226
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ERRORES Y FALLOS NO INTENCIONADOS

Errores de los usuarios/administrador
Tipos de activos:
Servicios
Datos/informacin
Aplicaciones (Software)
Dimensiones:
1. [I] Integridad
2. [D]Disponibilidad
3. [C] confidencialidad
Descripcin:
Equivocaciones de las personas cuando usan los servicios, datos, etc.
Equivocaciones de personas con responsabilidades de instalacin y operacin.
Introduccin de datos errneos.
Prcticamente todos los activos dependen de su configuracin y est de la diligencia
del administrador: privilegios de acceso, etc.
Deficiencias en las organizacin

Tipos de activos:
Dimensiones:
Personal
1. [D] Disponibilidad
Descripcin:
Cuando no est claro quin tiene que hacer exactamente qu y cundo, incluyendo
tomar medidas sobre activos o informar a la jerarqua de gestin.
Acciones descoordinadas ,errores por omisin,etc.
Tipos de activos:
Dimensiones:
Datos/informacin
1. [C] Confidencialidad
Aplicaciones(software)
Descripcin:
La informacin llega accidentalmente al conocimiento de persona que no debera
tener conocimiento de ella, sin que la informacin en s misma se ve alterada.
Alteracin de informacin
Tipos de activos:
Dimensiones:
Datos/informacin
1. [I] Integridad
Descripcin:
Alteracin accidental de la informacin.
Esta amenaza slo se identifica sobre los datos en general, pues cuando la informacin
est en algn soporte informtico, hay amenazas especficas.

227
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Errores de mantenimiento/ actualizacin de programas (Software)

Tipos de activos:
Dimensiones:
Aplicaciones(Software)
1. [I] integridad
2. [D] disponibilidad
Descripcin:
Defectos en los procedimientos o controles de actualizacin del sistema que
permitan que sigan utilizndose programas con defectos conocidos y reparados por
el fabricante.
Cada del sistema por agotamiento de recurso

Tipos de activos:
Dimensiones:
Servicios
Equipamiento informtico (hardware)
Descripcin:
La carencia de recursos suficientes provoca la cada del sistema cuando la carga de
trabajo es desmesurada.

Tipos de activos:
Dimensiones:
Personal interno
Descripcin:
Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden
pblico, etc.

228
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ATAQUES INTENCIONADOS
Manipulacin de programas no autorizados
Tipos de activos:
Dimensiones:
2. [I] Integridad
Descripcin:
Alteracin intencionada del funcionamiento de los programas, persiguiendo un
beneficio indirecto cuando una persona autorizada lo utilizada.
Suplantacin de la identidad del usuario

Tipos de activos:
Dimensiones:
Servicios
2. [I] Integridad
Descripcin:
Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de
los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la
empresa o por personal contratado temporalmente.

Tipos de activos:
Dimensiones:
2. [I] Integridad
Descripcin:
Propagacin intencionada de virus, espas (spyware),gusanos, troyanos, etc.
Uso no previsto
Tipos de activos:
Dimensiones:
Servicios
2. [I] Integridad
Equipos informticos(hadware)
Equipamiento auxiliar
instalaciones
Descripcin:
Utilizacin de los recursos del sistema para fines no previstos, tpicamente de inters
personal: juegos, consultas personales en internet, programas personales,
almacenamiento de datos personales, etc.
229
IVONNE J ACKELINE,
URRUTIA LOZADA
Divulgacin de la informacin
Tipos de activos:
Datos/informacin
INGENIERA
DE
SISTEMAS
Dimensiones:
Descripcin:
Revelacin de informacin
Robo
Tipos de activos:
Equipamiento informtico
Equipamiento auxiliar.
Dimensiones:
Descripcin:
La sustraccin de equipamiento provoca directamente la carencia de un medio para
prestar los servicios, es decir una indisponibilidad.
El robo puede afectar a todo tipo de equipamiento, siendo el robo de equipos y el robo
de soportes de informacin los ms habituales.
El robo puede efectuarlo personal interno, personas ajenas a la empresa contratadas de
forma temporal, lo que establece diferentes grados de facilidad para acceder al objeto
sustrado
Ingeniera social
Tipos de activos:
Personal interno
Dimensiones:
2. [I] Integridad
Descripcin:
Abuso de la buena fe de las personas para que realicen actividades que interesan a un
tercero.

Tipos de activos:
Dimensiones:
Personal interno
Descripcin:
Accin deliberada del puesto de trabajo: huelgas, absentismo laboral, faltas no
justificadas, bloqueo de los accesos, etc

230
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 14
Inventario de salvaguardas [ISO27002.05]

231
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
En este anexo se detallan las salvaguardas incluidas en el inventario base de la metodologa de anlisis
de riesgos. [ISO27002.05]
Polticas, normas y procedimientos
5.1.1 Poltica de seguridad de la informacin
5.1.2 Revisin de la poltica de seguridad de la informacin
Organizacin y estructura
6.1.1 Compromiso de la direccin con la seguridad de la informacin
6.1.2 Coordinacin de la seguridad de la informacin
6.1.3 Asignacin de las responsabilidades de la seguridad de la informacin
6.1.4 Proceso de la autorizacin para las instalaciones de tratamiento de la
informacin
6.1.5 Acuerdos de confidencialidad
6.1.6 Contacto con autoridades
6.1.7 Contacto con los grupos de inters especial
6.1.8 Revisin independiente de la seguridad de la informacin
6.2.1 Identificacin de los riesgos relacionados con externos
6.2.2 Abordando la seguridad al tratar con clientes
6.2.3 Abordando la seguridad en acuerdos con terceros
Control de activos
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.1.3 Uso aceptable de los activos
7.2.1 Guas de clasificacin
7.2.2 Etiquetado y tratamiento de la informacin
8. Control de empleados
8.1.1 Roles y responsabilidades
8.1.2 Investigacin
8.1.3 Trminos y condiciones de la ocupacin
8.2.1 Responsabilidades de la direccin
8.2.2 Conocimiento, educacin, y entrenamiento en la seguridad de la informacin
8.2.3 Proceso disciplinario
8.3.1 Responsabilidades de la terminacin
8.3.2 Devolucin de activos
8.3.3 Retirada de los derechos de acceso
9. Seguridad Fsica y del Entorno
9.1.1 Permetro de seguridad fsica
9.1.2 Controles de entrada fsica
9.1.3 Asegurar oficinas, salas, e instalaciones
9.1.4 Proteccin contra amenazas externas y ambientales
9.1.5 Trabajo en reas seguras
9.1.6 Acceso pblico, entrega, y reas de carga
9.2.1 - Localizacin y proteccin de equipos
9.2.2 Mantenimiento de suministros
9.2.3 Seguridad del cableado

232
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
9.2.4 Mantenimiento de los equipos

9.2.5 Seguridad de equipos fuera de los locales de la organizacin
9.2.6 Eliminacin y re-utilizacin segura de equipos
9.2.7 Extraccin de propiedades
Control de las operaciones de los sistemas de informacin
10.1.1 Procedimientos operacionales documentados
10.1.2 Gestin del cambio
10.1.3 Segregacin de tareas
10.1.4 Separacin de los entornos de desarrollo, pruebas, e instalaciones
operacionales
10.2.1 Entrega de servicio
10.2.2 Supervisin y revisin de los servicios de terceros
10.2.3 Gestin de cambios en servicios de terceros
10.3.1 Gestin de capacidades
10.3.2 Aceptacin de sistemas
10.4.1 Controles contra cdigo malicioso
10.4.2 Controles contra cdigo mvil
10.5.1 Copia de seguridad de la informacin
10.7.1 Gestin de soportes extrables
10.7.2 Eliminacin de soportes
10.7.3 Procedimientos de utilizacin de la informacin
10.7.4 Seguridad de la documentacin de sistemas
10.8.1 Procedimientos y polticas de intercambio de informacin
10.8.2 Acuerdos de intercambio
10.8.3 Soportes fsicos en trnsito
10.8.4 Mensajera electrnica (Correo Electrnico, EDI, etc.)
10.8.5 Sistemas de informacin de negocio
10.9.1 Comercio electrnico
10.9.2 Transacciones On-line
10.9.3 Informacin pblica disponible
10.10.1 Registros de auditora
10.10.2 Monitorizacin de uso de sistemas
10.10.3 Proteccin de informacin de registros
10.10.4 Registros de administrador y operadores
10.10.5 Registro de fallos
10.10.6 Sincronizacin de relojes
11. Control de acceso lgico
11.1.1 Poltica de control de acceso
11.2.1 Registro de usuario
11.2.2 Gestin de privilegios
11.2.3 Gestin de contraseas de usuarios
11.2.4 Revisin de los derechos de usuario
11.3.1 Uso de contraseas
11.3.2 Equipo informtico de usuario desatendido
11.3.3 Poltica de puesto de trabajo vaco
11.5.1 Procedimientos de inicio de sesin segura
11.5.2 Identificacin y autenticacin del usuario
11.5.3 Sistema de gestin de contraseas
11.5.4 Uso de las utilidades del sistema
11.5.5 Sesiones inactivas

233
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
11.5.6 Limitacin del tiempo de conexin

11.6.1 Restriccin de acceso a la informacin
11.6.2 Aislamiento de sistemas sensibles
11.7.1 Informtica mvil
11.7.2 Teletrabajo
10-11 Control de las comunicaciones

10.6.1 Controles de red
10.6.2 Seguridad de servicios de red
11.4.1 Poltica de uso de servicios de red
11.4.2 Autenticacin de usuarios por conexiones externas
11.4.3 Identificacin de equipos en red
11.4.4 Proteccin de los puertos de diagnstico remoto
11.4.5 Segregacin de redes
11.4.6 Control de conexin a redes
11.4.7 Control de encaminamiento de la red
Control de la adquisicin, desarrollo y mantenimiento de aplicaciones
12.1.1 Anlisis y especificacin de requerimientos de seguridad
12.2.1 Validacin de los datos de entrada
12.2.2 Control del proceso interno
12.2.3 Integridad de mensajes
12.2.4 Validacin de los datos de salida
12.3.1. Poltica de uso de los controles criptogrficos
12.3.2 Gestin de claves
12.4.1 Control del software en produccin
12.4.2 Proteccin de los datos de prueba de sistema
12.4.3 Control de acceso al cdigo de fuente del programa
12.5.1 Procedimientos de control de cambios
12.5.2 - Revisin tcnica de las aplicaciones tras cambios en el sistema
operativo
12.5.3 Restricciones en cambios de paquetes de software
12.5.4 - Fuga de informacin
12.5.5 Desarrollo externalizado del software
12.6.1 Control de vulnerabilidades tcnicas
Gestin de los incidentes de seguridad
13.1.1 Comunicacin de eventos de seguridad de la informacin
13.1.2 Comunicacin de vulnerabilidades
13.2.1 Responsabilidades y procedimientos
13.2.2 Aprendiendo de las incidencias de seguridad de la informacin
13.2.3 Recogida de pruebas
Gestin de la continuidad
14.1.1 Inclusin de la seguridad de la informacin en el proceso de la gestin de la
continuidad del negocio
14.1.2 Continuidad del negocio y valoracin del riesgo
14.1.3 Desarrollo e implementacin de planes de continuidad incluyendo la
seguridad de la informacin

234
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
14.1.4 Marco de planificacin para la continuidad del negocio

14.1.5 Prueba, mantenimiento y reevaluacin de los planes de continuidad
Cumplimiento regulatorio
15.1.1 Identificacin de la legislacin aplicable
15.1.2 Derechos de propiedad intelectual (IPR)
15.1.3 Salvaguarda de los registros de la Organizacin
15.1.4 Proteccin de datos de carcter personal y de la intimidad de las personas
15.1.5 - Evitar el mal uso de los recursos de tratamiento de la informacin
15.1.6 Reglamentacin de los controles de cifrado
15.2.1 Cumplimiento con polticas y estndares de seguridad
15.2.2 Comprobacin del cumplimiento tcnica
15.3.1 Controles de auditora de sistemas de informacin
15.3.2 Proteccin de las herramientas de auditora de sistemas

235
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 16
Polticas de Seguridad

236
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
POLTICAS DE SEGURIDAD DE LA INFORMACIN

Se elaboraran las polticas de seguridad con el propsito de proteger la informacin de la empresa,
estas servirn de gua para la implementacin de medidas de seguridad que contribuyan a mantener
la integridad, confidencialidad y disponibilidad de los datos e informacin, redes, instalaciones de
cmputo y procedimientos manuales.
El documento de polticas de seguridad ha sido elaborado tomando como base la siguiente
informacin:
- Estndar de seguridad de la informacin ISO 27002
- Reglamento Interno de la Empresa
1. ALCANCE DE LAS POLTICAS

Este manual de polticas de seguridad es elaborada de acuerdo al anlisis de riesgos y de
vulnerabilidades de JUVIER S.A.C por consiguiente el alcance de estas polticas, se encuentran
sujeto a la empresa.
2.
OBJETIVOS
Desarrollar un plan de seguridad de la informacin lo que significa planear, organizar, dirigir y
controlar actividades para mantener y garantizar la integridad fsica de los recursos informticos,
as como resguardar los activos de la empresa
Los objetivos que se desea alcanzar luego de implantar nuestro plan de seguridad de la
informacin son los siguientes:
Establecer un esquema de seguridad con perfecta claridad y trasparencia bajo la responsabilidad
de JUVIER en la administracin del riesgo.
Compromiso con todo el personal de la empresa con el proceso de seguridad, agilizando la
aplicacin de controles con dinamismo y armona.
Todos los empleados se convierten en interventores del plan de seguridad de la informacin.
3. DEFINICIN
Una poltica de seguridad es un conjunto de reglas aplicadas a todas las actividades relacionadas
al manejo de la informacin de una entidad, teniendo el propsito de proteger la informacin,
los recursos y la reputacin de la misma.
4. PROPSITO
El propsito de las polticas de seguridad de la informacin es proteger la informacin y los
activos de datos de la empresa. Siendo guas para asegurar la proteccin y la integridad de los
datos dentro de los equipos de cmputo, redes, instalaciones y procedimientos manuales.
5. RESPONSABILIDADES
Los siguientes entes son responsables, en distintos grados, de la seguridad en el Plan:
5.1. El comit de informtica est compuesto por las reas principales de la empresa Gerente de
Operaciones, el Gerente General, la secretaria y la contadora. Este comit est encargado de
elaborar y actualizar polticas, normas pautas y procedimientos relativos a seguridad de la
informacin, y telecomunicaciones.
Tambin es responsable de coordinar el anlisis de riesgo, gestionar el plan de seguridad de
informacin. Durante sus reuniones trimestrales, el Comit efectuar la evaluacin y revisin

237
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
de la situacin de la empresa en cuanto a seguridad informtica, incluyendo el anlisis de

incidentes ocurridos y que afecten la seguridad de la informacin.
5.2. El Gerente de operaciones, es responsable de evaluar, adquirir e implantar productos de
seguridad informtica, As mismo promover constantemente la importancia de la seguridad a
todos los usuarios de los sistemas de informacin.
5.3. Los usuarios son responsables de cumplir con todas las polticas del Plan relativas a la seguridad
de la informacin y en particular:
Conocer y aplicar las polticas y procedimientos apropiados en relacin al manejo de la
informacin y de los sistemas informticos.
No divulgar informacin confidencial de datos y/o informacin a personas no autorizadas.
No permitir y no facilitar el uso de los equipos informticos a personas no autorizadas.
No utilizar los recursos informticos (hardware, software o datos) y de telecomunicaciones
(telfono, internet) para otras actividades que no estn directamente relacionadas con el
trabajo.
Proteger meticulosamente su contrasea y evitar que sea vista por otros en forma inadvertida.
Seleccionar una contrasea que contengan caracteres alfanumricos con una longitud mnima
de 6 caracteres para usuarios y 8 para administradores.
Reportar inmediatamente a su jefe o al asistente del rea de gerencia de operaciones,
cualquier evento que pueda comprometer la seguridad de la empresa, como por ejemplo
contagio de virus, intrusos, modificacin o prdida de datos y otras actividades pocos usuales.
6. DISPOSICIONES GENERALES
Artculo 1.- El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo
informtico de las diferentes reas de Empresa de Transportes Juvier S.A.C
Artculo 2.- Para los efectos de este instrumento se entender por:
Comit
Al equipo integrado la Gerencia, los Jefes de rea y el personal administrativo (ocasionalmente)
convocado para fines como:
Adquisiciones de Hardware y Software

Elaborar y Actualizar Polticas
Coordinar el Anlisis de Riesgos
Gestionar el Plan de Seguridad.
Est integrada por el Gerente del rea, el Jefe de Informtica, y Asistente Tcnico los cules son
responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice en las diferentes reas.
Elaborar y efectuar seguimiento del Plan de seguridad de la informacin
Definir estrategias y objetivos a corto, media y largo plazo.
Mantener la Arquitectura tecnolgica.
Controlar la calidad del servicio brindado.
Velar por el cumplimiento de las polticas, normas, pautas y procedimientos de seguridad
establecidos.

238
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Artculo 3.- Las Polticas en Informtica son el conjunto de ordenamientos y lineamientos

enmarcados en el mbito jurdico y administrativo de JUVIER. Estas normas inciden en la adquisicin y
el uso de los bienes y servicios Informticos, las cuales se debern de acatar invariablemente, por
aquellas instancias que intervengan directa y/o indirectamente en ello.
Artculo 4.- La instancia rectora de los sistemas de informtica de JUVIER es la Gerencia, y el organismo
competente para la aplicacin de este ordenamiento, es el Comit.
7. LINEAMIENTOS PARA LA ADQUISICIN DE BIENES INFORMTICOS

Artculo 5.- Todo proyecto de adquisicin de bienes de informtica, debe sujetarse al anlisis,
aprobacin y autorizacin del Comit.
Artculo 6.- Para la adquisicin de Hardware se observar lo siguiente:

Los equipos de cmputo debern tener una garanta mnima de un ao y debern contar con
el servicio tcnico correspondiente en el pas, previamente evaluados por el Comit.
Las impresoras debern apegarse a los estndares de Hardware y Software vigentes en el
mercado y en JUVIER, corroborando que los suministros (cintas, papel, etc.) se consigan
fcilmente en el mercado y no estn sujetas a un solo proveedor.
Los equipos adquiridos deben contar, de preferencia con asistencia Tcnica durante la
instalacin de los mismos.
En lo que se refiere a los servidores, equipos de comunicaciones, Concentradores de medios
(HUBS) y otros equipos que se justifiquen por ser de operacin crtica y/o de alto costo, deben
de contar con un programa de mantenimiento preventivo y correctivo que incluya el
suministro de refacciones al vencer su perodo de garanta.
En lo que se refiere a los computadores denominados personales, al vencer su garanta por
adquisicin, deben de contar por lo menos con un programa de servicio de mantenimiento
correctivo.
Artculo 7.- Para la adquisicin de Software base y utilitarios, el Comit dar a conocer peridicamente
las tendencias con tecnologa de punta vigente, siendo la lista de productos autorizados la siguiente:
Plataformas de Sistemas Operativos
Windows 7
Utilitarios de oficina
Microsoft Office 2010
Star Office
Programas antivirus
Norton Antivirus
McAfee
Manejador de correo electrnico
Microsoft Outlook
Navegadores de Internet
Internet Explorer
Mozilla
Comprimidores de archivos
Winzip
Winrar
En casos excepcionales, slo se adquirirn las ltimas versiones liberadas de los productos
seleccionados, salvo situaciones especficas que se debern justificar ante el Comit. Todos los

239
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
productos de Software que se adquieran debern contar con su licencia de uso, documentacin y
garanta respectivas.
Artculo 08.- Todos los productos de Software que se utilicen a partir de la fecha en que entre en vigor
el presente ordenamiento, debern contar con su licencia de uso respectiva; por lo que se promover la
regularizacin o eliminacin de los productos ya instalados que no cuenten con el debido
licenciamiento.
8. INSTALACIONES DE LOS EQUIPOS DE CMPUTO

Artculo 09.- La instalacin del equipo de cmputo, quedar sujeta a los siguientes lineamientos:
Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y trfico de
personas.
El rea de Gerencia de Operaciones, as como las dems reas debern contar con un
croquis actualizado de las instalaciones elctricas y de comunicaciones del equipo de cmputo
en red.
Las instalaciones elctricas y de comunicaciones, estarn de preferencia fijas o en su
defecto resguardadas del paso de personas o mquinas, y libres de cualquier interferencia
elctrica o magntica.
Las instalaciones se apegarn estrictamente a los requerimientos de los equipos, cuidando las
especificaciones del cableado y de los circuitos de proteccin necesarios.
En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.
Artculo 10.- La supervisin y control de las instalaciones se llevar a cabo en los plazos y mediante los
mecanismos que establezca el Comit.
9. LINEAMIENTOS EN INFORMTICA: INFORMACIN

Artculo 11.- La informacin almacenada en medios magnticos se deber inventariar, anexando la
descripcin y las especificaciones de la misma, clasificndola en tres categoras:
Informacin histrica para auditorias.

Informacin de inters de la Empresa
Informacin de inters exclusivo de alguna rea en particular.
Artculo 12.- Los jefes de rea responsables de la informacin contenida en los departamentos a su
cargo, delimitarn las responsabilidades de sus subordinados y determinarn quien est autorizado a
efectuar operaciones emergentes con dicha informacin tomando las medidas de seguridad
pertinentes.
Artculo 13.- Se establecen tres tipos de prioridad para la informacin:
Informacin vital para el funcionamiento del rea;

Informacin necesaria, pero no indispensable en el rea.
Informacin ocasional o eventual.
Artculo 14.- En caso de informacin vital para el funcionamiento del rea, se debern tener procesos
colaborativos, as como tener el respaldo diario de las modificaciones efectuadas, rotando los
dispositivos de respaldo y guardando respaldos histricos semanalmente.

240
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Artculo 15.- La informacin necesaria pero no indispensable, deber ser respaldado con una
frecuencia mnima de una semana, rotando los dispositivos de respaldo y guardando respaldos
histricos mensualmente.
Artculo 16.- El respaldo de la informacin ocasional o eventual queda a criterio del rea.
Artculo 17.- La informacin almacenada en medios magnticos, de carcter histrico, quedar
documentada como activos del rea y estar debidamente resguardada en su lugar de almacenamiento.
Es obligacin del responsable del rea, la entrega conveniente de la informacin, a quien le suceda en el
cargo.
Artculo 18.- Los sistemas de informacin en operacin, como los que se desarrollen debern contar
con sus respectivos manuales. Un manual del usuario que describa los procedimientos de operacin y el
manual tcnico que describa su estructura interna, programas, catlogos y archivos.
Artculo 19.- Ningn colaborador en proyectos de software y/o trabajos especficos, deber poseer,
para usos no propios de su responsabilidad, ningn material o informacin confidencial de JUVIER tanto
ahora como en el futuro
10. FUNCIONAMIENTO DE LOS EQUIPOS DE CMPUTO

Artculo 20.- Los empleados de la empresa al usar el equipo de cmputo, se abstendrn de consumir
alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la
informacin almacenada en medios magnticos, pticos, o medios de almacenamiento removibles de
ltima generacin.
Artculo 21.- Por seguridad de los recursos informticos se deben establecer seguridades:
Fsicas
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso
Aplicaciones
Por ello se establecen los siguientes lineamientos:
Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello.
Verificar la informacin que provenga de fuentes externas a fin de corroborar que est
libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos.
Mantener plizas de seguros de los recursos informticos en funcionamiento.
Debe respetarse y no modificar la configuracin de hardware y software establecida por el rea
de gerencia de operaciones.
Deben protegerse los equipos informticos del medioambiente (por ejemplo, polvo, incendio y
agua).
Deben usarse protectores contra transitorios (tensin) de energa elctrica y en el servidor
debe usarse fuente de poder interrumpibles.(UPS).
Cualquier falla en los equipos informticos o en la red deben reportarse inmediatamente ya
que podra causar problemas serios como prdida de la informacin o indisponibilidad de los
servicios.
Deben protegerse los equipos para disminuir el riesgo de robo, destruccin, y mal uso
Las medidas que se recomiendan incluye el uso de vigilantes y cerradura con llave.

241
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Los equipos deben marcarse para su identificacin y control de inventario. Los registros de
inventario deben mantenerse actualizados.
No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo fuera de
JUVIER se requiere una autorizacin escrita.
La prdida o robo de cualquier componente de hardware o programa de software debe ser
reportada inmediatamente
Para prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseas
alfanumrico
Si un Pcs tiene acceso a datos confidenciales, deben poseer un mecanismo de control de acceso
especial, preferiblemente por hardware.
Para ayudar a restaurar los programas originales no daados o infectados, deben hacerse
copias de todo software nuevo antes de su uso, y deben guardarse tales copias en un lugar
seguro.
Peridicamente debe hacerse el respaldo de los datos guardados en PCs y servidores y las
copias de respaldo deben guardarse en un lugar seguro, a prueba de hurto, incendio e
inundaciones. Los programas y datos vitales para la operacin del Programa debe guardarse en
otra sede, lejos del edificio.
Los usuarios de PCs son responsables de proteger los programas y datos contra prdida o dao.
El Administrador de cada uno de esos computadores es responsable de hacer copias de
respaldo peridicas. Los jefes de las distintas unidades son responsables de definir qu
informacin debe respaldarse, as como la frecuencia del respaldo (por ejemplo: diario,
semanal) y el mtodo de respaldo (por ejemplo: incremental, total).
Siempre que sea posible, deba eliminarse informacin confidencial de los computadores y
unidades de disco duro antes de que les mande a reparar. Si esto no es posible, se debe
asegurar que la reparacin sea efectuada por empresas responsables, con las cuales se
haya firmado un contrato de confidencialidad. Alternativamente, debe efectuarse la
reparacin bajo la supervisin de una representante del Programa.
Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse
actualizada. Si se detecta la presencia de un virus u otro agente potencialmente
peligroso, se debe notificar inmediatamente al Asistente tcnico y poner la PC en cuarentena
hasta que el problema sea resuelto.
11. SALIDA DE INFORMACIN

Artculo 22.- Toda salida de informacin (en soportes informticos o por correo electrnico) slo podr
ser realizada por personal autorizado y ser necesaria la autorizacin formal del responsable del rea
del que proviene.
Artculo 23.- Adems, en la salida de datos especialmente protegidos (como son los datos de carcter
confidencial para los que el reglamento requiere medidas de seguridad de nivel alto), se debern cifrar
los mismos o utilizar cualquier otro mecanismo que garantice que la informacin no sea inteligible ni
manipulada durante su transporte.
12. USO APROPIADO DE LOS RECURSOS

Queda prohibido
Artculo24.- Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o
cualquier otro dispositivo lgico o secuencia de caracteres que causen o sean susceptibles de causar
cualquier tipo de alteracin o dao en los Recursos Informticos. El personal contratado por JUVIER
tendr la obligacin de utilizar los programas antivirus y sus actualizaciones para prevenir la entrada en
los Sistemas de cualquier elemento destinado a destruir o corromper los datos informticos.

242
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Artculo 25.- Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos, programas o
documentos electrnicos.
Artculo 26.- Albergar datos de carcter personal en las unidades locales de disco de los computadores
de trabajo.
Artculo 27.- Los usuarios no deben copiar a un medio removible (como un diskette), el software o los
datos residentes en las computadoras de la empresa, sin la aprobacin previa de la Gerente General.
No debe utilizarse software bajado de Internet y en general software que provenga de una
fuente no confiable, a menos que se haya sido comprobado en forma rigurosa y que est
aprobado su uso por Informtica.
13. SOFTWARE
Artculo 28.-Todo el personal tiene prohibido instalar copias ilegales de cualquier programa.
Artculo 29.-Tambin tiene prohibido borrar cualquiera de los programas instalados legalmente.
14. RECURSOS DE RED

De forma rigurosa, ninguna persona debe:
Artculo 30.- Conectar a ninguno de los Recursos, ningn tipo de equipo de comunicaciones (Ej.
mdem) que posibilite la conexin a la Red Corporativa.
Artculo 31.- Conectarse a la Red Corporativa a travs de otros medios que no sean los definidos.
Artculo 32.- Intentar obtener otros derechos o accesos distintos a aquellos que les hayan sido
asignados.
Artculo 33.- Intentar descifrar las claves, sistemas o algoritmos de cifrado y cualquier otro elemento de
seguridad que intervenga en los procesos telemticos.
Artculo 34. Poseer, desarrollar o ejecutar programas que pudieran interferir sobre el trabajo de otros
Usuarios, ni daar o alterar los Recursos Informticos.
Artculo 35. Otorgar cuentas a tcnicos de mantenimiento ni permitir su acceso remoto a menos que
el Gerente de operaciones determine que es necesario. En todo caso esta facilidad slo debe habilitarse
para el periodo de tiempo requerido para efectuar el trabajo (como por ejemplo, el mantenimiento
remoto).
15. CONECTIVIDAD A INTERNET

243
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Artculo 36.- La autorizacin de acceso a Internet se concede exclusivamente para actividades de

trabajo. Todos los colaboradores de JUVIER tienen las mismas responsabilidades en cuanto al uso de
Internet.
Artculo 37.- Internet es una herramienta de trabajo. Todas las actividades en Internet deben estar en
relacin con tareas y actividades del trabajo desempeado.
Artculo 38.- Slo puede haber transferencia de datos de o a Internet en conexin con actividades
propias del trabajo desempeado.
Artculo 39.- En caso de tener que producirse una transmisin de datos importante, confidencial o
relevante, slo se podrn transmitir en forma encriptada.
16. CONTROL DE ACCESO

Artculo 40.- Advertencias para los usuarios:
No debe guardar su contrasea en una forma legible en archivos en disco, y tampoco
debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Si hay razn para
creer que
una
contrasea
ha
sido
comprometida, debe cambiarla
inmediatamente.
No deben usarse contraseas que son idnticas o substancialmente similares a

contraseas previamente empleadas. Siempre que sea posible, debe impedirse que los
usuarios vuelvan a usar contraseas anteriores.
Nunca debe compartirse la contrasea o revelarla a otros. El hacerlo expone al usuario a las
consecuencias por las acciones que los otros hagan con esa contrasea.
Las contraseas predefinidas que traen los equipos nuevos tales como routers deben
cambiarse inmediatamente al ponerse en servicio el equipo.
Para el acceso remoto a los recursos informticos de la empresa, la combinacin del ID de
usuario y una contrasea fija no proporciona suficiente seguridad, por lo que se recomienda
el uso de contraseas alfanumricas.
Los usuarios no deben intentar violar los sistemas de seguridad y de control de acceso.
Acciones de esta naturaleza se consideran violatorias de las polticas de la empresa
pudiendo ser causal de resolucin de contrato.
Para tener evidencias en casos de acciones disciplinarias y judiciales, cierta clase de
informacin debe capturarse, grabarse y guardarse cuando se sospeche que se est
llevando a cabo abuso, fraude u otro crimen que involucre los sistemas informticos.
Los archivos y los registros de auditora que graban los eventos relevantes sobre la
seguridad de los sistemas informticos y las comunicaciones, deben revisarse peridicamente y
guardarse durante un tiempo prudencial de por lo menos tres meses. Dicho archivos son
importantes para la deteccin de intrusos, brechas en la seguridad, investigaciones, y otras
actividades de auditora. Por tal razn deben protegerse para que nadie los pueda alterar y que
slo los pueden leer las personas autorizadas.
El servidor de red y los equipos de comunicacin (router, etc.) deben estar ubicados en
locales apropiados, protegidos contra daos y robo. Debe restringirse severamente el
acceso a estos locales y a los cuartos de cableado a personas no autorizadas mediante
el uso de cerraduras y otros sistemas de acceso (por ejemplo, tarjetas de proximidad).
17. ACTUALIZACIONES DE LA POLTICA DE SEGURIDAD

Artculo 41.- Debido a la propia evolucin de la tecnologa y las amenazas de seguridad, y a las nuevas
aportaciones legales en la materia, JUVIER se reserva el derecho a modificar esta Poltica cuando sea
necesario. Los cambios realizados en esta Poltica sern divulgados a todos los colaboradores de JUVIER.

244
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Artculo 42.- Es responsabilidad de cada uno de los colaboradores de JUVIER la lectura y conocimiento
de la Poltica de Seguridad ms reciente.
Artculo 43.- Para aquellas personas que incumplan con estas polticas sern sancionados con un
18. DISPOSICIONES TRANSITORIAS

Artculo primero.- Las disposiciones aqu enmarcadas, entrarn en vigor a partir del da siguiente de su
difusin.
Artculo segundo.- Las normas y polticas objeto de este documento, podrn ser modificadas o
adecuadas conforme a las necesidades que se vayan presentando, mediante acuerdo del Comit
Tcnico de Informtica de la Empresa JUVIER; una vez aprobadas dichas modificaciones o adecuaciones,
se establecer su vigencia.
Artculo cuarto.- La falta de conocimiento de las normas aqu descritas por parte de los colaboradores
no los libera de la aplicacin de sanciones y/o penalidades por el incumplimiento de las mismas.
19. BENEFICIOS DE IMPLANTAR POLTICAS DE SEGURIDAD INFORMTICA

Los beneficios de un plan de seguridad con polticas claramente concebidas bien elaboradas son
inmediatos, ya que JUVIER trabajar sobre una plataforma confiable, que se refleja en los siguientes
puntos:
Minimizar el nmero de riesgos informticos.

Incrementar el grado de satisfaccin del usuario interno.
Incrementar el grado de Capacitacin del usuario interno.

245
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
ANEXO 17
Implementacin del Plan

246
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Actividad N 1

247
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Actividad N 2

248
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Actividad N 3

249
IVONNE J ACKELINE,
URRUTIA LOZADA

INGENIERA
250
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Servidor Proxy:
Se ha implementado con la herramienta Kerio Winroute Firewall 6.5.2 con la finalidad
de proteger la informacin de la organizacin de ataques externos mediante el internet y
tambin aumentar la productividad de empleados con controles personalizados de
acceso y supervisin de la navegacin aprovechando de la mejor manera el Ancho de
Banda de la lnea ADSL.
Configuracin del Servidor Proxy:
Limitador de Ancho de Banda
En la descarga de archivos extensos se ha definido limitar un ancho de banda a 100

KB/s que representa el 20% de la velocidad real de la lnea ADSL el porcentaje restante
quedara disponible para la navegacin de las dems reas, y tambin con la finalidad de
no sobrecargar la lnea de internet.

251
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Cach:
Servicio que nos permite incrementar la velocidad de acceso a Internet al mantener
localmente las pginas ms consultadas por los usuarios de la organizacin, evitando las
conexiones directas con los servidores remotos.
Polticas de Filtrado de Contenido

Regla de URL
Se han establecido polticas para la navegacin en internet negando el acceso hacia
paginas (entretenimiento, redes sociales) que puedan afectar en el rendimiento del
personal bloqueando sitios no relacionados con el trabajo.

252
IVONNE J ACKELINE,
URRUTIA LOZADA
INGENIERA
DE
SISTEMAS
Se est denegando el acceso a sitios web, .Esta operacin se realiz a las 5 equipos de
cmputo, excepto para Gerencia.
Palabras Prohibidas:
Para el caso de los motores de bsqueda se han creado limitaciones en cuanto a los
resultados segn las palabras que se digiten en la busca de resultados y se consiga
acceso a pginas que puedan afectar el rendimiento del personal bloqueando sitios no
relacionados con el trabajo.

253
IVONNE J ACKELINE,
URRUTIA LOZADA

INGENIERA
254
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA

INGENIERA
255
DE
SISTEMAS
IVONNE J ACKELINE,
URRUTIA LOZADA

Tesis - Plan de Seguridad - Urrutia Lozada Ivonne

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tesis - Plan de Seguridad - Urrutia Lozada Ivonne

Uploaded by

Copyright:

Available Formats

FACULTAD DE INGENIERA

PLAN DE SEGURIDAD DE LA INFORMACIN

El Presidente y los Miembros del Jurado Evaluador designado por la Escuela de

Aprueban la tesis denominada:

PLAN DE SEGURIDAD DE LA INFORMACIN

Ivonne Jackeline Urrutia Lozada

Ing. Alberto Mendoza de los

Ing. Jos Luis Madrid

Ing. Juan Francisco

Urrutia Lozada, Ivonne Jackeline.

En el transcurso del presente proyecto de investigacin, hubo personas que me

Por tanto mi eterna gratitud:

Trujillo, 29 de Septiembre del 2011

La presente investigacin pretende explicar principalmente la importancia de la cultura

Parte de la responsabilidad de los administradores de una organizacin es velar

DEDICATORIA ................................................................................................ iii

El problema de Investigacin: ............................................................................. 18

1.1.1. Realidad Problemtica: .......................................................................................... 18

Marco Referencial ................................................................................................ 24

1.2.1. Marco Terico ...................................................................................................... 24

Proceso de Auditoria .................................................................................... 34

1.2.2. Marco Conceptual ................................................................................................ 43

Plan de Seguridad de la Informacin ............................................................... 43

Poblacin y muestra ............................................................................................. 50

Definicin Conceptual ........................................................................................... 49

Diseo de Investigacin ........................................................................................ 51

1.4.1. Objeto de Estudio ................................................................................................. 51

CAPITULO II: METODOLOGA...........................................................................56

ANLISIS DE LA SITUACIN ACTUAL ..................................................................... 69

PRESENTACIN DE LA EMPRESA ................................................................................. 69

Lista de funciones relevantes en otras unidades, a considerar para la caracterizacin del

FASE II: ANLISIS DE RIESGOS................................................................................. 94

FASE III: GESTIN DE RIESGOS .............................................................................. 125

CAPTULO III: CONTRASTACIN ..................................................................... 141

CAPTULO VII ....................................................................................... 129

ANEXO 12 .................................................................................................................... 224

Tabla N 2. 46 Criterio para valoracin de activos ........................................................................ 107

El presente proyecto de investigacin Plan de Seguridad de la Informacin para el

La globalizacin, el rpido cambio tecnolgico acelerado, el aumento de la

UNIVERS IDAD C S AR VALLEJO

CAPITULO I: MARCO TERICO REFERENCIAL

De acuerdo con la entrevista realizada a la Sra. Rodrguez Ros Victoria

UNIVERS IDAD C S AR VALLEJO

Existe deficiencias en el inventariado de software, licencias y

desactualizado, mal configurado, errores en disco duro entre otros),

1.1.2. Formulacin del Problema

PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL

UNIVERS IDAD C S AR VALLEJO

PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL

UNIVERS IDAD C S AR VALLEJO

Resumen: Su objetivo principal para ayudar a la empresa Hard

Ttulo del proyecto: Planeamiento Estratgico de Sistemas de

administrativa en la Municipalidad Provincial de Trujillo

- Resumen: Explica de manera resumida la metodologa para la

PLAN DE SEGURIDAD DE LA INFORMACIN PARA EL

UNIVERS IDAD C S AR VALLEJO

Ttulo del proyecto: Plan de Seguridad Informtica para una

implementacin o adecuacin a las polticas anteriormente

1.1.4.3. A nivel Internacional

Ttulo del proyecto: Methodology for evaluating usage and

"el Grupo de Trabajo")

metodologa para permitir la comparacin directa entre los

UNIVERS IDAD C S AR VALLEJO