Gestión de Seguridad de La Información de La Empresa Multiventas Akemi e

Sistema de Gestión de Seguridad de la Información Código: SGSI-000
Fecha:29 /10/18
Gestión de Seguridad de la Información de la empresa Versión: 0.1
MULTIVENTAS AKEMI E.I.R.L Página 1 de 32
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

DE LA EMPRESA MULTIVENTAS AKEMI E.I.R.L
Código: SGSI-001
Versión: 0.1
Fecha de la versión: 29/10/2018
Creado por: • ESPIRITU ARANDA ABDIAS ABILES
• SANTOS LUYCHO MAYKOL
• ZEGARRA MATAMOROS NOEMI LILIANA
• JUAN DAVID LOPEZ PEZO
ASI Copyright © 2018 Seguridad de la Información

Fecha:29 /10/18
• PINTO ESPINOZA ROBERT ANTONIO

• VALLES ESPINOZA BARBARA BEATRIZ
Aprobado por: ING. FREDDY FERRARI FERNANDEZ
Nombre del archivo: Sgsi-001-plan del proyecto.docx
Nivel de confidencialidad: Baja
Historial de Revisiones
Fecha Versión Modificado/Creado por Descripción

de la
modificación
29/09/2018 0.1 • ESPIRITU ARANDA ABDIAS ABILES Propuesta y
• SANTOS LUYCHO MAYKOL debate para
• ZEGARRA MATAMOROS NOEMI LILIANA la empresa
• JUAN DAVID LOPEZ PEZO en donde
• PINTO ESPINOZA ROBERT ANTONIO aplicaremos
el proyecto
05/11/2018 0.1.1 • ESPIRITU ARANDA ABDIAS ABILES Desarrollo
• SANTOS LUYCHO MAYKOL de los
• ZEGARRA MATAMOROS NOEMI LILIANA objetivos, el
• JUAN DAVID LOPEZ PEZO alcance y
• PINTO ESPINOZA ROBERT ANTONIO usuario
12/11/2018 0.1.2 • ESPIRITU ARANDA ABDIAS ABILES alcances y
• SANTOS LUYCHO MAYKOL políticas de
• ZEGARRA MATAMOROS NOEMI LILIANA

Fecha:29 /10/18
• JUAN DAVID LOPEZ PEZO seguridad

• PINTO ESPINOZA ROBERT ANTONIO del SGSI
Aprobación
Fecha Nombre Cargo Sello y Firma
ING. FREDDY FERRARI

29/10/18 DOCENTE
FERNANDEZ
ING. FREDDY FERRARI

05/11/2018 DOCENTE
FERNANDEZ
ING. FREDDY FERRARI

12/11/2018 DOCENTE
FERNANDEZ
Mejora Continua
Fecha Revisor/Auditor Resumen Observaciones
Tabla de contenido

Fecha:29 /10/18
Contenido
1. Objetivo, alcance y usuarios ................................................................................................... 5
1.1. Objetivos ............................................................................................................................ 5
1.2. Alcance............................................................................................................................... 5
1.3. Usuarios ............................................................................................................................. 5
2. Documentos de referencia ...................................................................................................... 6
3. Proyecto de implementación del SGSI ................................................................................. 7
3.1. Objetivo del proyecto ....................................................................................................... 7
3.2. Entregables del proyecto ................................................................................................. 7
3.3. Plazos ............................................................................................................................... 29
3.4. Organización del proyecto ............................................................................................ 30
3.4.1. Promotor del proyecto............................................................................................ 30
3.4.2. Gerente del proyecto.............................................................................................. 30
3.4.3. Equipo del proyecto................................................................................................ 30
3.5. Riesgos del plan ............................................................................................................. 31
3.6. Herramientas utilizadas en el proyecto ....................................................................... 31
4. Gestión de registros ............................................................................................................... 32

Fecha:29 /10/18
1. Objetivo, alcance y usuarios
1.1. Objetivos
Mantener la integridad de la información que maneja las distintas áreas y el
personal que labora en la EMPRESA MULTIVENTAS AKEMI E.I.R.L, con
una previa evaluación de análisis y política que la empresa maneja,
implementará las medidas o soluciones tecnológicas, además se redactará
los siguientes documentos necesarios para la auditoria como:
 Manual de seguridad
 Procedimientos
 Instrucciones de trabajo
 Registros
El proyecto se realizará a lo largo de los próximos 3 meses.
1.2. Alcance
Se aplica a todas las actividades que serán realizadas dentro del proyecto
de implementación del SGSI.
Que son:
 Análisis para la toma de acciones correctivas o preventivas.
 Medir el desempeño en que la empresa maneja su seguridad interna y/o
externa.
 Identificar mejoras e implementarlo (redes, sistemas, Apps, etc.).
 Proponer la idea con las partes involucradas e implementar si es necesario.
1.3. Usuarios
 Miembros de la alta dirección
Gerente Liz Mileza Diaz Panduro
Subgerente Issac Matamoros de la Cruz
Trabajadora Janet Rivera Panduro

Fecha:29 /10/18
 Miembros del equipo del proyecto SGSI

a) Espiritu Aranda Abdías Abiles
b) Santos Luycho Maykol
c) Zegarra Matamoros Noemí Liliana
d) Valles Espinoza Bárbara Beatriz
 Oficial de Seguridad de la Información

a) Lopez Pezo Juan David
b) Pinto Espinoza Robert Antonio
2. Documentos de referencia
 NTP ISO/IEC 17799:2007
 NTP ISO/IEC 27001:2014
 ISO/IEC 27001:2013
 ISO/IEC 27002:2013
 RM 129-2012-PCM
 Ley 29773 Protección de datos personales
 SGSI-004 – Glosario del SGSI

Fecha:29 /10/18
3. Proyecto de implementación del SGSI
3.1. Objetivo del proyecto

 Implementar el Sistema de Gestión de Seguridad de la Información en
conformidad con las normas NTP ISO/IEC 27001:2013, ley 29 protección
de datos personales, SGSI-004-Glosoario del SGSI, con fecha limite al
25/01/19.
3.2. Entregables del proyecto

Durante el proyecto de implementación del SGSI, los entregables del
proyecto estarán clasificados en:
 Alcance del SGSI
Descripción: Es un documento o puede ser un capitulo dentro de otro

documento que define el alcance del SGSI considerando los procesos,
funciones, activos, ubicaciones físicas, tecnología, partes interesadas
y la determinación de los aspectos internos y externos a la
organización.
AKEMI E.I.R.L es una empresa que dedica sus esfuerzos en el proceso

de la compra y venta de accesorios de celulares, antenas de t.v,
controles remotos generales, esta se inicia con la compra de la
mercadería la cual se almacena y luego se comercializa a través de la
empresa. Se encuentra ubicado en jr. Libertad # 721 en el distrito de
Callería, provincia de Coronel Portillo, región Ucayali.
Los hallazgos descritos a continuación son resultados de un análisis

de las medidas de seguridad y la normativa que tiene la organización
en relación a la seguridad de la información, esta verificación se
Fecha:29 /10/18
centró en la revisión de los diferentes controles de las áreas del

alcance. Este análisis nos permitirá conocer de manera global el
estado actual de MULTIVENTAS AKEMI E.I.R.L en relación de la
seguridad de la información.
Se agrega un valor a cada control en base al estado en el que se

encuentra:
0- No esta implementado.
1- Esta parcialmente implementado.
2- Esta casi completamente implementado.
3- Completamente implementado.
Adjunto el documento base del “hoja de verificación.xlsx”

Norma Sección No Descripción Hallazgo positivo Hallazgos negativos (Que Falta) valor
27001-AP.4 4. Contexto 4.1 Entendiendo la No se evidencian registros o actas donde la organización 0

de la organización y su
Sistema de Gestión de Seguridad de la Información
determine los enfoques y propósitos
Código: SGSI-000
del sistema de gestión de
Fecha:29 /10/18
organización contextode la Información de la empresa
Gestión de Seguridad la información
Versión: 0.1
27001- AP.4 4. Contexto de 4.2 EntendiéndolasAKEMI E.I.R.L
MULTIVENTAS NoPágina
se 9tiene
de 32 evidencia de actas donde se demuestran las 0
la organización necesidades y partes interesadas que son relevantes en el sistema de gestión
expectativas de las de la información
27001 - AP.4 4. Contexto de 4.3 Determinando el Aunque se tiene un alcance claro no se evidencias actas 0
partes interesadas
la organización alcance del SGSI referenciando el alcance, los requerimientos, interfaces y
dependencias
27001 - AP.4 4. Contexto de 4.4 Administración del Aunque existe un fuerte compromiso de la alta dirección no se 0
la organización sistema de gestión de encuentra un registro o acta donde la organización se
seguridad de comprometa a establecer, implementar, mantener y darle
la información continuidad al sistema de información.
27001 - AP.5 5. Liderazgo 5.1 Liderazgo y compromiso La alta dirección Aunque existe un fuerte compromiso de la alta dirección no se 0
demuestra liderazgo encuentra un registro o acta donde la evidencie el
y compromiso aseguramiento de los objetivos, la integración con otros procesos
con el SGSI
27001 - AP.5 5. Liderazgo 5.2 Política Existe un documento A pesar de que existe un documento esta desactualizado, faltan 1
de política de la incluir objetivos acordes a las nuevas tecnologías y garantizar la
información y está mejora continua, igualmente no se evidencian actas o formatos
publicado en la donde se muestre la Divulgación del documento y la revisiones
27001 - AP.5 5. Liderazgo 5.3 Roles de la organización, Existenintranet

responsables periódicas
sin embargodelno
mismo
existe claramente diferenciados los roles para 1
responsabilidad y comprometidos con garantizar el cumplimiento, no existe un rol de responsable de
autoridad el SGSI seguridad especificado
27001 - AP.6 6.Planificación 6.1 Acciones para dirigir los No se evidencia procesos o documentación que evidencien 0
riesgos y oportunidades identificación de riesgos, no se identifican responsables de los
riesgos, ni evaluaciones
27001 - AP.6 6.Planificación 6.2 Objetivos y planes para Existe un documento A pesar de que existe un documento de políticas no hay 0
lograrlo. de políticas evidencias de métricas, de evaluación, de recursos involucrados,
de responsables de seguimiento de objetivos
27001 - AP.7 7. Soporte 7.1 Recursos Se cuenta con No se encuentran o actas que evidencien la disponibilidad de los 0
recurso humano recursos.
comprometido y
dispuesto,
igualmente con
presupuesto para
27001 - AP.7 7. Soporte 7.2 Competencia Hay recurso humano No se encuentran evidencias de planes de formación para 0
adquirir los recursos
interesado auditores internos
27001 - AP.7 7. Soporte 7.3 Sensibilización La política de No se evidencian actas o divulgaciones de la política, 0
seguridad esta actualizaciones de la misma, estrategia de comunicación
publicada en la
intranet la cual tiene
acceso todo el
27001 - AP.7 7. Soporte 7.4 Comunicación Existe un
personal No se evidencian actas donde se determine el que comunicar, 0
departamento de cuando, a quien, quien, como, el SGSI
comunicación
27001 - AP.7 7. Soporte 7.5 Información No hay formatos para el SGSI se deben crear, proteger, controlar 0
documentada y garantizar una retención

Fecha:29 /10/18
27001 - AP.8 8. Operación 8.1 Planificación y control No se evidencian implementación de planes para alcance de 0
operativo objetivos, la claridad de los procesos externalizados,
27001 - AP.8 8. Operación 8.2 Evaluación riesgos No se evidencia análisis de riesgos. 0

Seguridad de la
información
27001 - AP.8 8. Operación 8.3 Tratamiento riesgos No se evidencia el plan de tratamiento de riesgos 0
Seguridad de la
27001 - AP.9 9. Evaluación de 9.1 información

Seguimiento, medición, Existen procesos de A pesar de que existen procesos de monitoreo no están 1
desempeño análisis y evaluación monitoreo, análisis claramente definidos para el SGSI se necesita estructurar que
monitorear, cuando, quien, métodos, cuando analizar, quien
analizara
27001 - AP.9 9. Evaluación De 9.2 Auditoria Interna No está definido ni estructurado el plan de auditorías internas 0
desempeño para el SGSI y los auditores lideres
27001- AP.9 9.Evaluación de 9.3 Revisión de la Dirección No existe un proceso de revisión por la dirección para considerar 0
desempeño el estado de acciones, cambios, retroalimentación, resultados,
oportunidades de mejora
27001- AP.10 10. Mejoras 10.1 No- conformidades y Existe un aplicativo No esta definidos un proceso para el tratamiento de no
acciones correctivas desarrollado para el conformidades y acciones correctivas para el SGSI se debe asociar
tratamiento de las buenas practicas que ya se tienen en los procesos de la
acciones correctivas, organización a raíz de ISO 9000 para complementarlas con el SGSI
mejorativas por iso iso 27001
9000
27001 - AP.9 10. Mejoras 10.2 Mejora continua No hay definido un plan para la vigencia, adecuación y efectividad 0
del SGSI
27001 - A.5 5. Políticas de la 5.1 Orientación de la

Seguridad de la dirección Para la
Información gestión de la seguridad
27001 - A.5 5. Política de 5.1.1 de la información

Políticas para la Las políticas se No se tiene evidencia de los entrenamientos realizados a todos los 2
Seguridad de la seguridad de la publican en la empleados Específicamente en las políticas de seguridad. No se
Información información intranet, se han incluye en todos los planes de entrenamiento las políticas e
divulgado a todos seguridad.
los empleados, se
han hecho campaña
de conciencia de
estas políticas, se
tienen
controles para
monitorizar el
cumplimiento de las
políticas.
Dentro de los
hallazgos positivos se
tiene el portal de
informática las
evidencias de los
tipos de seguridad
mes a mes como
parte del proceso de
sensibilización al
usuario
Fecha:29 /10/18
27001 - A.5 5. Política de 5.1.2 Revisión de las políticas las políticas se encuentran desactualizadas, no existe un tiempo 1
Seguridad de la de seguridad de la estimado para la revisión de las mismas.
Información información
27001 - A.6 6.organización de 6.1 Organización Interna Hallazgo positivo Hallazgosnegativos (Que Falta)
la Información
27001 - A.6 6. Organización 6.1.1 Funciones de No se tiene un rol específico para el responsable del SGSI 1
de la Seguridad seguridad de La
de la Información y las
27001 -A.6 6.Organización
Información 6.1.2 responsabilidades
La segregación existen roles y cargos 3
de la Seguridad de funciones definidos
de la
Información

Fecha:29 /10/18
Roles y responsabilidades del SGSI - es responsable de la seguridad de

la información. Adicionalmente existen los siguientes roles y
responsabilidades específicas dentro del SGSI.
a. Área de desarrollo administrativo

- Definir estrategias y la dirección de la gestión de la seguridad
de la información.
- Aprobar política de seguridad y privacidad de información
- Promover la gestión de la seguridad de la información
mediante el compromiso de la dirección y la asignación de los
recursos adecuados.
- Estudiar y aprobar las iniciativas de seguridad de la
información que le sean propuestas.
b. Responsable del funcionamiento del SGSI
- Asegurar la disponibilidad de los recursos necesarios para la

definición, la implementación y el mantenimiento del SGSI.
- Analizar los incidentes de seguridad que le sean escalados y
ponerse en contacto con las autoridades correspondientes.
- Revisar periódicamente los documentos y controles del SGSI para
asegurar que el SGSI logre los resultados previstos.
c. Oficial de seguridad de la información
- Coordinar con los propietarios de los activos de información y

los dueños de procesos las acciones para el cumplimiento del
SGSI.
- Hacer el seguimiento a la implementación y el cumplimiento de
los controles de seguridad
d. Propietario de los activos de información

Fecha:29 /10/18
- Cumplir con la política de seguridad de la información aprobada

por el comité de seguridad de la información.
- Identificar, establecer el alcance y el valor o criticidad de los activos de
información de los cuales es propietario.
- Definir los requerimientos de seguridad de los activos de información
en relación con su confidencialidad, integridad y disponibilidad.
e. Custodio de los activos de información
- Implementar y mantener los controles requeridos en los

contenedores donde estén almacenados los activos de
información que se encuentren a su cargo.
- Proteger los activos de información presentes en los
contenedores a su cargo en la situación que corresponda:
almacenamiento, transporte y procesamiento.
f. Dueño de procesos
- Apoyar la identificación de los activos de información que

intervienen en el proceso correspondiente.
- Apoyar y validar la identificación y designación de los
propietarios de los activos de información de su proceso.
g. Usuario de la información
- Conocer la clasificación de los activos de información que

maneja.
- Preservar la seguridad de la información utilizada en el
desempeño de sus funciones y obligaciones.
- Procurar el buen manejo de todos los activos, buscando
protegerlos en relación con los principios de seguridad.

Fecha:29 /10/18
 Política de seguridad de la información

Descripción: Es un documento o puede ser un capitulo dentro de otro documento
que define la forma en que la dirección controla la gestión de la seguridad de la
información.
MULTIVENTAS AKEMI E.I.R.L Es una empresa que dedica sus esfuerzos en el

proceso productivo en la compra y venta de accesorios de celulares, antenas y
controles de tv, esto se inicia con la compra de accesorios de celulares por vía
telefónica y pago vía banco a lima y su posterior envío a la ciudad de Pucallpa como
también se compra en la misma ciudad de Pucallpa antenas y controles la cual se
almacena y luego se comercializa a través de MULTIVENTAS AKEMI E.I.R.L.
 Con la implementación de la Ley 29773 Protección de datos personales se busca

garantizar la confidencialidad, disponibilidad e integridad de la información,
salvaguardándola contra amenazas internas y externas, mediante la identificación,
valoración, selección e implementación de controles, monitoreo y seguimiento de los
niveles de riesgo.
La organización se compromete a cumplir con las disposiciones constitucionales,

contractuales, legales y reglamentarias relacionadas con la seguridad de la
información, además de preservar en todo momento la seguridad de la información
como parte de la mejora continua, apoyando el logro de sus objetivos y el
cumplimiento de los compromisos organizacionales con la confidencialidad de la
información, el manejo y divulgación adecuada de la información. La alta dirección
se compromete a brindar las herramientas necesarias para que sus empleados y
contratistas cumplan con los lineamientos de la seguridad de la información.
 La Organización se compromete a cumplir con los requisitos especificados en la Ley

29773 Protección de datos personales, y a gestionar cada oportunidad que se
presente como marco de referencia para mejorar continuamente.

Fecha:29 /10/18
GERENCIA ADMINISTRATIVA
La gerencia administrativa se encarga de gerenciar los gastos de manera

ordenada de la cual se hace más fácil los controles del dinero como también la
discreción del dinero como parte de la seguridad para la empresa.
 Procedimiento para control de documentos y registros (Documentos Plantilla

SGSI-001): Detallar la forma de redactar los documentos, títulos, tipo de letra,
cabecera, pie de página, entre otros.
Tiene como objetivo de estandarizar la estructura, forma, gestión, presentación,
difusión y registro de documentación que genere la empresa, con el objetivo de
transmitir una imagen sólida, documentación homogénea y de calidad que pueda
ser identificada claramente siendo de fácil consulta, y sobre todo asegurar que se
está trabajando con la última versión.
Todo documento tendrá la siguiente estructura:
 Encabezado: Todas las hojas deberán tener el mismo encabezado que
tendrá una tabla donde se encuentra el logo de la empresa, tipo de
documento, el código, entre otros datos, como se ilustra.
SISTEMA DE GESTION Código<Código>

DE SEGURIDAD DE LA Nivel de
IMFORMACION confidencialidad
<Nivel>
Aprobado por<Nombre Autorizado por
y apellido> <Nombre Apellido>
Aprobado Autorización
<AAAAMMDD>
<AAAAMMDD>
Tabla 2 encabezado del Manual de documentación

Pie de página: Todas las hojas deberán tener el mismo pie de página donde
se indicará el número de página y el título del documento, como se aprecia
en la ilustración 1

Fecha:29 /10/18
<TITULO DEL DOCUMENTO>

Ilustración 1 Pie de página del manual de documentación.
Portada: En la segunda hoja se incluyen dos tablas que registrarán:
Registro de cambios y Registro de Firmas, como se ve las Tablas 3 y tabla 4
Nro. Motivación del cambio Fecha del Cambio Elaborado por
Cambio
<Motivo 1> <AAAA/MM/DD> <Nombe Apellido>
<Nro 1>
Tabla 3 Registro de Cambios del Manual de Documentación
Elaborado Aprobado Autorizado
<Nombre Apellido> <Nombre Apellido> <Nombre Apellido>

<Cargo> <Cargo> <Cargo>
Tabla 4 Registro de Firmas del Manual de Documentación
 En la tercera hoja se incluirá el indice de contenido, índice de Figuras

e Indice de Tablas.
 En la cuarta hoja se va a desarrollar el documento, mediante las
siguientes secciones:
 Introducción: Esta seccion es obligatoria y debe contener una
breve descripción del documento, indicando las
consideraciones mas importantes que ayudarám al lector para
que tenga una idea del resto del documento.
 Alcance: En esta sección se debe indicar a quien va a afectar
el desarrollo del documento o el nivel al que a abaracar.
 Objetivos: : En esta sección se debe indicar los objetivos que
se esperan alcanzar con el desarrollo del docuemento.

Fecha:29 /10/18
 Anexos: Los anexos se usarán para proporcionar información

adicional a la documentacion obligatoria del documento, no es
obligatorio, solo se incluirán en caso de considerando
oportuno.
- Memorando:
Comunicación escrita de carácter interno de una empresa,
que se utiliza para transmitir información, orientación y
pautas a las dependencias locales, regionales, nacionales
o internacionales.
Anexos: Documento o elemento que acompaña al

memorando.

Fecha:29 /10/18
Asunto: Síntesis del documento del memorando.

Copia: Fiel reproducción de un docum,ento.
Despedida: Palabra o frase final de cortisía.
Destinatario: Persona a quién va dirigida la comunicación.
Encabezado: Línea de identificación para indicar la
continuidad del documento.
Encabezamiento: Palabras fijas que sirve de guía para
establecer el inicio del documento.
Espacio: Distancia horizontal de escritura.
Estilo: Orden en la distribución de las diferentes líneas que
conforman el memorando.
Fecha: Lugar de origen del documento, dia, mes y año de
envío.
Interlinea: Distancia vertical entre dos reglones.
Líneas Especiales: Anexos, copia o indentificación del
transcriptor.
Logotipo: Simbolo que indentifica a una empresa.
Membrete: Inscripción impresa del conjunto de datos que
indentifica a una empresa natural o jurídica.
Modelo: Esquema de distribución de zonas que le permite
a la empresa la diagramación de su papelería.
Numero o Referencia: Identificación consecutiva del
docuemnto.
Razón social: Nombre que identifica a una empresa.
Remitente: Nombre y apellido del firmante.
Reglón:
Serie de palabras o caracteres escritos en sentido
horizontal.

Fecha:29 /10/18
Texto: Cuerpo del mensaje.

Transcriptor: Persona responsable de digitar un
documento.
Zona de espacio: Predominando para unicación de un
conjunto de datos imprersos o escritos.
Zona1: Espacio destinado a los menbretes, logotipos.
Zona2: Espacio libre para el distinatario estampe el sello
del registro o fecha de recibido del documento.
 Procedimiento para identificación de requisitos: Detallar el procedimiento donde

se debe consignar las obligaciones legales, normativas, contractuales, entre otras.
Para cada uno de estos documentos tenemos la misma estructura con el fin de
conservar una consistencia en toda la documentación, la estructura del documento
contendrá además de un encabezado en donde se registra título del procedimiento,
código establecido por manual de calidad y administración documental, un título, un
responsable, un número de edición, un campo de aprobación, una fecha, total de
páginas y anexos si contiene.
Además de un control de cambios del documento.
- Procedimiento de auditorías internas:
Verificar si el sistema de gestión de seguridad de la información opera de acuerdo
con los planes, procedimientos, registros y controles establecidos y es conforme
con los requisitos de la norma ISO 27001:2013 y es eficaz para satisfacer los
requisitos relacionados con seguridad de la información.
- Gestión de indicadores:
El Sistema de Gestión de Seguridad de la Información contempla una evaluación
periódica, sistemática y estructurada a cargo de la Alta Dirección que permite
asegurar una adecuada planeación y la corrección de las desviaciones en el
cumplimiento de los objetivos y como tal, incluye la toma de decisiones sobre
acciones necesarias, que dentro de un marco de conveniencia razonable para la
organización, promueva el mejoramiento de productos, procesos y capacidades

Fecha:29 /10/18
organizacionales que permitan alcanzar resultados de eficiencia, eficacia y

efectividad.
- Gestión de Roles y Responsabilidades:
El Sistema de Gestión de Seguridad de la Información define los diferentes roles y
funciones. Entre estas definiciones de roles y responsabilidades se podrán identificar
alguno de los siguientes ítems:  Quien es el responsable de la ejecución de cada hito .
 Quien toma las decisiones, solo o conjuntamente con otros.
 Quien gestiona los recursos y controla el progreso del trabajo.
 Quien debe ser informado.
 Quien debe ser consultado.
 Quien debe participar.
 Quien debe dar apoyo o dotar de infraestructura al equipo.
 Quien asegura la calidad de los resultados.
 Metodología de evaluación y tratamiento de riesgos: Describe en un documento
la metodología para gestionar los riesgos de la información. La Metodología puede
ser una existente o puede ser creada por la institución.
De las diferentes metodologías existentes en el mercado, se optó por utilizar,
Magerit.
MAGERIT.- Es un instrumento para facilitar la implementación y aplicación del
esquema nacional de seguridad proporcionando los principios básicos y requisitos
mínimos para la protección adecuada de la información.
Permite:
Estudiar los riesgos que soporta un sistema de información y el entorno asociado a
él. Magerit propone la realización de un análisis de los riesgos que implica la
evaluación del impacto que una violación de la seguridad tiene que acechar al
sistema de información, y determina la vulnerabilidad del sistema de prevención de
dichas amenazas, obteniendo unos resultados.
Los resultados del análisis de riesgos permiten a la gestión de riesgos recomendar
las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir,

Fecha:29 /10/18
reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad

a sus posibles perjuicios.
Se considera los siguientes elementos:
1. Activos: Son los recursos del sistema de información o relacionados con este,
necesarios para que funcione correctamente y alcance los objetivos propuestos
por la dirección.
2. Amenazas: Son las situaciones o hechos que pueden producir daño y que les
pueden pasar a los activos causando un perjuicio a la organización.
3. Vulnerabilidad: Potencialidad o posibilidad de ocurrencia de la materialización
de una amenaza sobre un activo de la información.
4. Impacto: Daño causado sobre el activo de la información una vez se materializa
una de las vulnerabilidades, conociendo el valor de los activos es mas sencillo
estimar el valor del impacto.
5. Riesgo: Es la probabilidad de que una amenaza se materialice y afecte a los
activos de la información.
6. Salvaguardas: Mecanismo de protección frente a las amenazas.
 Matriz de evaluación de riesgos: Es el resultado de la evaluación de riesgos
realizado con la metodología que la institución eligió. En la nueva norma no es
obligatorio considerar las amenazas y vulnerabilidades de los activos, sin embargo,
si es obligatorio asignar el responsable del riesgo.
Al análisis de riesgos es una aproximación metódica para determinar el riesgo
siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la organización, su interrelación y su

valor, en el sentido de que perjuicio (coste) supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
3. Determinar que salvaguardas hay dispuestas y cuan eficaces son frente al
riesgo.
4. Estimar el impacto, definido como el daño sobre el activo de la materialización
de la amenaza.

Fecha:29 /10/18
5. Estimar el riesgo, definido como impacto ponderado con la tasa de ocuurencia

(o expectativa de materialización) de la amenaza.
Están expuesto a
Activos
Amenazas Interesan por su
Valor
Degradación
Causa una cierta
Impacto
Probabilid Riesgo
Con una cierta ad
 Plan de tratamiento de riesgos (RTP): Es un documento donde se detallan los

controles de seguridad adecuados para cada riesgo inaceptable de tal forma que se
evidencia su tratamiento.

Fecha:29 /10/18
Para la organización la seguridad de la información de los sistemas que se gestionan

y/o operan es de vital importancia y se protegerá de cualquier pérdida en su
confidencialidad, integridad y disponibilidad. Con su divulgación se busca que toda
la organización incluyendo empleados, contratistas, terceros y directivos conozcan
ese marco normativo y de forma individual y colectiva brinden su apoyo para que la
organización administre, utilice y disponga de información con niveles adecuados
de seguridad.
MULTIVENTAS AKEMI E.I.R.L, ha definido la política institucional y una serie de

políticas específicas de seguridad de la información las cuales hacen parte del SGSI.
Como parte de la documentación del Sistema de Gestión de Seguridad de la

Información tenemos entre otros los siguientes documentos, considerados
procedimientos de seguridad
 Procedimientos de Auditorías Internas

 Gestión de Indicadores
 Procedimiento de Revisión por la Dirección
 Gestión de Roles y Responsabilidades
 Metodología de Análisis de Riesgos
Un Procedimiento de seguridad es la definición detallada de los pasos a ejecutar

para llevar a cabo unas tareas determinadas. Los Procedimientos de Seguridad
permiten aplicar e implantar las Políticas de Seguridad que han sido aprobadas por
la organización. Se describe cómo se implementan, en las áreas a proteger, las
políticas generales que han sido definidas para toda la entidad, en correspondencia
con las necesidades de protección en cada una de ellas, atendiendo a sus formas
de ejecución, periodicidad, personal participante y medios.
Para cada uno de estos documentos tenemos la misma estructura con el fin de
conservar una consistencia en toda la documentación, la estructura del documento
contendrá además de un encabezado en donde se registrara título del
procedimiento, código establecido por manual de calidad y administración

Fecha:29 /10/18
documental, un subtítulo, un responsable, un numero de edición, un campo de

aprobación, una fecha, total de páginas y anexos si contiene.
Además de un control de cambios del documento
 Procedimientos de Auditorías Internas:
Verificar si el sistema de gestión de seguridad de la información opera de acuerdo

con los planes, procedimientos, registros y controles establecidos y es conforme con
los requisitos de la norma ISO 27001:2013 y es eficaz para satisfacer los requisitos
relacionados con seguridad de la información
 Gestión de Indicadores:
Se implementarán indicadores de gestión para mantener monitorizado y actualizado

del SGSI, los cuales permitirán controlar el funcionamiento de las medidas de
seguridad implementadas, eficacia y eficiencia.
 Procedimiento de Revisión por la Dirección:
El Sistema de Gestión de Seguridad de la Información contempla una evaluación

periódica, sistemática y estructurada a cargo de la Alta Dirección que permite
asegurar una adecuada planeación y la corrección de las desviaciones en el
cumplimiento de los objetivos y como tal, incluye la toma de decisiones sobre
acciones necesarias, que dentro de un marco de conveniencia razonable para la
organización, promueva el mejoramiento de productos, procesos y capacidades
organizacionales que permitan alcanzar resultados de eficiencia, eficacia y
efectividad.
 Gestión de Roles y Responsabilidades:

El Sistema de Gestión de Seguridad de la Información define los diferentes roles y
funciones.
Entre estas definiciones de roles y responsabilidades se podrán identificar alguno
de los siguientes ítems:

Fecha:29 /10/18
 Quien es el responsable de la ejecución de cada hito

 Quien toma las decisiones, solo o conjuntamente con otros
 Quien gestiona los recursos y controla el progreso del trabajo
 Quien debe ser informado
 Quien debe ser consultado
 Quien debe participar
 Quien debe dar apoyo o dotar de infraestructura al equipo
 Quien asegura la calidad de los resultados
 Metodología de Análisis de Riesgos

La realización del análisis de riesgos tiene como fin identificar de manera clara los
riesgos a los cuales está expuesta la organización, y basados en esta identificación
de los riesgos determinar cuáles medidas de seguridad serán las adecuadas para
los diferentes activos de seguridad de la información, de igual manera permite
establecer los planes de contingencia, para este caso realizaremos un análisis de
riesgo residual, que es un tipo de análisis que se realiza teniendo en cuentas las
medidas de seguridad que la organización ya tiene planteadas, como resultado de
este tipo de análisis se obtiene el riesgo real al cual están expuestos los diferentes
activos de la información que tiene la organización.
De las diferentes metodologías existentes en el mercado, se optó por utilizar,
Magerit.
MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema
Nacional de Seguridad proporcionando los principios básicos y requisitos mínimos
para la protección adecuada de la información.

Fecha:29 /10/18
Ilustración 1: Magerit
MAGERIT permite:
 Estudiar los riesgos que soporta un sistema de información y el entorno asociado a
él. MAGERIT propone la realización de un análisis de los riesgos que implica la
evaluación del impacto que una violación de la seguridad tiene en la organización;
señala los riesgos existentes, identificando las amenazas que acechan al sistema
de información, y determina la vulnerabilidad del sistema de prevención de dichas
amenazas, obteniendo unos resultados.
 Los resultados del análisis de riesgos permiten a la gestión de riesgos recomendar
las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad
o sus posibles perjuicios.
El análisis de riesgos considera los siguientes elementos:
a) Activos: Son los recursos del sistema de información o relacionados con
este, necesarios para que funcione correctamente y alcance los objeticos
propuestos por la dirección.

Fecha:29 /10/18
b) Amenazas: Son las situaciones o hechos que pueden producir daño y

que les pueden pasar a los activos causando un perjuicio a la
organización.
c) Vulnerabilidades: Potencialidad o posibilidad de ocurrencia de la
materialización de una amenaza sobre un activo de la información.
d) Impacto: Daño causado sobre el activo de la información una vez se
materializa una de las vulnerabilidades, conociendo el valor de los activos
es más sencillo estimar el valor del impacto.
e) Riesgo: Es la probabilidad de que una amenaza se materialice y afecte a
los activos de la información.
f) Salvaguardas: Mecanismo de protección frente a las amenazas.
Al análisis de riesgos es una aproximación metódica para determinar el riesgo

siguiendo unos pasos pautados:
a) Determinar los activos relevantes para la organización, su interrelación y
su valor, en el sentido de que perjuicio (coste) supondría su degradación.
b) Determinar a qué amenazas están expuestos aquellos activos
c) Determinar que salvaguardas hay dispuestas y cuan eficaces son frente
al riesgo.
d) Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza.
e) Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza.

Fecha:29 /10/18
Ilustración 2:Elementos de análisis riesgos potenciales
 Declaración de aplicabilidad (SOA): Es un documento que determina los objetivos

y la aplicabilidad de cada control establecido en el Anexo A de la norma ISO 27001.
 Procedimiento para acciones correctivas: Descripción detallada de las

actividades realizadas como parte de las correctivas
Nota.- Analizar en detalle según cada institución para determinar algunos entregables
adicionales

Fecha:29 /10/18
3.3. Plazos

Fecha:29 /10/18
3.4. Organización del proyecto
3.4.1. Promotor del proyecto

Cada proyecto tiene asignado un "promotor", que no participa activamente en el
mismo. El gerente del proyecto debe informar regularmente al promotor acerca
del estado del mismo; éste interviene si el proyecto está paralizado.
Promotor: Sra. Zegarra Matamoros Noemí Liliana
3.4.2. Gerente del proyecto

La función del gerente del proyecto es coordinar el proyecto, garantizar los
recursos necesarios para su implementación del proyecto, informar al promotor
sobre el progreso del proyecto y realizar trabajos administrativos relacionados
con el mismo.
a) Gerente del Proyecto: Espiritu Aranda Abdías Abiles.
3.4.3. Equipo del proyecto

La función del equipo del proyecto es participar en la implementación del
proyecto, realizar tareas preestablecidas y tomar decisiones sobre el SGSI
Unidad
Nombre Cargo Teléfono Correo electrónico
organizativa
Espiritu Aranda
Abdías Abiles GERENCIA AUDITOR 935910983 Aespiritu1995@gmail.com
Santos Luycho
ADMINITRADOR AUDITOR 930345854 maykol15-2014@hotmail.com
Maykol
Zegarra Matamoros
CONTABILIDAD AUDITOR 999977855 noemi_z04@hotmail.com
Noemí Liliana
Valles Espinoza
SECRETARIA AUDITOR 938845491 barbara1996_leo@hotmail.com
Bárbara Beatriz

Fecha:29 /10/18
Lopez Pezo Juan

David ÁREA DE VENTAS AUDITOR 961991724
david_tj119@hotmail.com
Pinto Espinoza ÁREA DE

AUDITOR 942477716 robertantonio.pinto@gmail.com
Robert Antonio ALMACEN
3.5. Riesgos del plan

 Falta de compromiso del equipo del proyecto
 Falta de recursos asignados al proyecto
 Ampliación de los plazos en los entregables
 Cambios en los integrantes del equipo del proyecto
 Inadecuada definición del alcance
 Selección de demasiados controles y/o muy caros.
Nota.- Para los riegos propuestos presentar las opciones de mitigación de los
mismos.
3.6. Herramientas utilizadas en el proyecto

 El contenedor de los documentos del SGSI estarán en una red local que tiene
una carpeta compartida que incluye todos los documentos generados
durante el proyecto.
 Todos los miembros del equipo del proyecto tendrán acceso a esos
documentos. Sólo el gerente del proyecto y miembros del equipo del
proyecto estarán autorizados a realizar modificaciones y a borrar archivos.
Nota.- Aquí puede explicar otras herramientas como intranet o software CMS
que podría usar como herramienta de repositorio de los documentos.

Fecha:29 /10/18
4. Gestión de registros
 La mejora continua de este documento el cual es consignado en la segunda
página del mismo en la tabla Mejora Continua.
 Los informes parciales de la implementación del proyecto
Las incidencias producto de cambios o mejoras al proyecto

Gestión de Seguridad de La Información de La Empresa Multiventas Akemi e

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gestión de Seguridad de La Información de La Empresa Multiventas Akemi e

Uploaded by

Copyright:

Available Formats

Sistema de Gestión de Seguridad de la Información Código: SGSI-000

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

ASI Copyright © 2018 Seguridad de la Información

• PINTO ESPINOZA ROBERT ANTONIO

Fecha Versión Modificado/Creado por Descripción

ASI Copyright © 2018 Seguridad de la Información

• JUAN DAVID LOPEZ PEZO seguridad

Fecha Nombre Cargo Sello y Firma

ING. FREDDY FERRARI

ING. FREDDY FERRARI

ING. FREDDY FERRARI

Fecha Revisor/Auditor Resumen Observaciones

ASI Copyright © 2018 Seguridad de la Información

1.1. Objetivos ............................................................................................................................ 5

1.3. Usuarios ............................................................................................................................. 5

2. Documentos de referencia ...................................................................................................... 6

3. Proyecto de implementación del SGSI ................................................................................. 7

3.1. Objetivo del proyecto ....................................................................................................... 7

3.2. Entregables del proyecto ................................................................................................. 7

3.3. Plazos ............................................................................................................................... 29

3.4. Organización del proyecto ............................................................................................ 30

3.4.1. Promotor del proyecto............................................................................................ 30

3.4.2. Gerente del proyecto.............................................................................................. 30

3.4.3. Equipo del proyecto................................................................................................ 30

3.5. Riesgos del plan ............................................................................................................. 31

3.6. Herramientas utilizadas en el proyecto ....................................................................... 31

4. Gestión de registros ............................................................................................................... 32

ASI Copyright © 2018 Seguridad de la Información

1. Objetivo, alcance y usuarios

El proyecto se realizará a lo largo de los próximos 3 meses.

ASI Copyright © 2018 Seguridad de la Información

 Miembros del equipo del proyecto SGSI

 Oficial de Seguridad de la Información

ASI Copyright © 2018 Seguridad de la Información

3. Proyecto de implementación del SGSI

3.1. Objetivo del proyecto

3.2. Entregables del proyecto

 Alcance del SGSI

Descripción: Es un documento o puede ser un capitulo dentro de otro

AKEMI E.I.R.L es una empresa que dedica sus esfuerzos en el proceso

Los hallazgos descritos a continuación son resultados de un análisis

centró en la revisión de los diferentes controles de las áreas del

Se agrega un valor a cada control en base al estado en el que se

1- Esta parcialmente implementado.

2- Esta casi completamente implementado.

Adjunto el documento base del “hoja de verificación.xlsx”

ASI Copyright © 2018 Seguridad de la Información

27001-AP.4 4. Contexto 4.1 Entendiendo la No se evidencian registros o actas donde la organización 0

27001 - AP.5 5. Liderazgo 5.3 Roles de la organización, Existenintranet

ASI Copyright © 2018 Seguridad de la Información

27001 - AP.8 8. Operación 8.2 Evaluación riesgos No se evidencia análisis de riesgos. 0

27001 - AP.9 9. Evaluación de 9.1 información

27001 - A.5 5. Políticas de la 5.1 Orientación de la

27001 - A.5 5. Política de 5.1.1 de la información

ASI Copyright © 2018 Seguridad de la Información

Roles y responsabilidades del SGSI - es responsable de la seguridad de

a. Área de desarrollo administrativo

b. Responsable del funcionamiento del SGSI

- Asegurar la disponibilidad de los recursos necesarios para la

c. Oficial de seguridad de la información

- Coordinar con los propietarios de los activos de información y

d. Propietario de los activos de información

ASI Copyright © 2018 Seguridad de la Información