BC - 4020 Ñañez Campos

UNIVERSIDAD NACIONAL
“PEDRO RUIZ GALLO”

ESCUELA DE POSTGRADO
MAESTRIA EN INGENIERÍA DE SISTEMAS
_______________________________________________________________
“MODELO DE GESTIÓN DE RIESGOS DE TI BASADOS EN LA NORMA
ISO/IEC 27005 Y METODOLOGÍA MAGERIT PARA MEJORAR LA GESTIÓN
DE SEGURIDAD DE LA INFORMACIÓN EN LA UNIVERSIDAD NACIONAL
TORIBIO RODRÍGUEZ DE MENDOZA – CHACHAPOYAS PERÚ”
TESIS
PRESENTADA PARA OPTAR EL GRADO ACADÉMICO DE MAESTRO EN
INGENIERÍA DE SISTEMAS CON MENCIÓN EN GERENCIA DE
TECNOLOGÍAS DE LA INFORMACIÓN Y GESTIÓN DEL SOFTWARE
AUTOR:
Ing. OSCAR ÑAÑEZ CAMPOS
ASESOR:
Dr. ERNESTO KARLO CELI ARÉVALO
LAMBAYEQUE – PERÚ
2019
DATOS INFORMATIVOS
Título del proyecto

Modelo de gestión de riesgos de TI basados en la norma ISO/IEC 27005 y metodología
Magerit para mejorar la gestión de seguridad de la información en la Universidad
Nacional Toribio Rodríguez de Mendoza – Chachapoyas Perú
Autor
Oscar Ñañez Campos
email: [email protected]
Asesor
Dr. Ing. Ernesto Karlo Celi Arévalo
Fecha de presentación
Junio del 2019
Presentado por
Ing. Oscar Ñañez Campos Dr. Ernesto Karlo Celi Arévalo

Autor Asesor
Pág. Nº 2
JURADO EVALUADOR
____________________________________
Dra. JESSIE BRAVO JAICO
Presidente del Jurado
____________________________________
M.Sc. PEDRO FIESTAS RODRÍGUEZ
Secretario
____________________________________
M.Sc. ROBERTO ARTEAGA LORA
Vocal
Pág. Nº 3
DEDICATORIA
A Dios, por darme la oportunidad de vivir y

estar conmigo en cada paso que doy, por
fortalecer mi corazón e iluminar mi mente
y por haber puesto en mi camino a
aquellas personas que han sido mi soporte
y compañía durante el periodo de
estudios.
A mis padres: MANUEL ÑAÑEZ

CHANCAFE y MARGARITA CAMPOS
MORALES, por ser el pilar fundamental
en todo lo que soy, en toda mi educación,
tanto académico, como de la vida, por su
incondicional apoyo perfectamente
mantenido a través del tiempo. Todo este
trabajo ha sido posible gracias a ellos.
A mis hermanos, amigos, colegas y a

todos aquellos que participaron directa e
indirectamente en la elaboración de esta
tesis. ¡Gracias a ustedes!
Pág. Nº 4
AGRADECIMIENTOS
A Dios por bendecirme para llegar hasta donde he llegado, por hacer realidad una de
mis metas anheladas.
A la UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO por darme la oportunidad de

estudiar la Maestría en Ingeniería de Sistemas con mención en Gerencia de Tecnologías
de Información y Gestión del Software.
Mi más profundo y sincero agradecimiento a todas aquellas personas que con su ayuda
han colaborado en la realización de la presente tesis, en especial al Dr. Ing. Ernesto
Karlo Celi Arévalo, por su permanente colaboración y apoyo incondicional en el
desarrollo y culminación de mi Proyecto e informe de tesis.
En general a la dirección de Tecnologías de Información y Comunicaciones de la

Universidad Nacional Toribio Rodríguez de Mendoza de Amazonas por facilitarme el
acceso a la información requerida para alcanzar los objetivos trazados en la presente
tesis.
En especial, a mis padres y hermanos, de los cuales siempre recibí su apoyo.
Finalmente, a todas aquellas personas, colegas y amigos que me brindaron su apoyo,

tiempo e información para el logro de mis objetivos.
A todos ellos muchas gracias.
Pág. Nº 5
RESUMEN
Uno de los aspectos más críticos de la administración de una organización es la gestión

de sus activos que generan valor a los procesos del negocio. La información, puede
considerarse como uno de los activos más críticos que hay que proteger, porque su
disponibilidad e integridad, no solo se utiliza como insumo para la toma de decisiones,
si no también asegura la continuidad de los procesos.
La gestión de la información no solo implica incorporar tecnologías que le den soporte

a su captura, almacenamiento, procesamiento y comunicación; si no también se debe
implementar procesos y sistemas que gestionen este recurso para lograr su seguridad.
La implementación de sistemas de gestión de la seguridad de la información (SGSI)
permite que ésta logre niveles aceptables de confidencialidad, integridad y
disponibilidad.
Un proceso de implementación de un SGSI, metodológicamente hablando, implica una

serie de actividades y tareas, que van desde la planificación de su alcance hasta la
planificación de los planes de mejora continua. Sin embargo, el aspecto más crítico que
debe considerarse en la implementación de un SGSI es la gestión de los riesgos. La
gestión de los riesgos es una estrategia preventiva que permite identificar y evaluar los
diferentes escenarios de riesgo a los que está expuesta la información, en sus diferentes
formas de expresión, y las tecnologías que le dan soporte a lo largo de su ciclo de vida.
Con esta información, se podrá implantar los controles y salvaguardas necesarias para
la mitigación de aquellos niveles de exposición al riesgo que la organización considere
no aceptables.
El propósito de este trabajo de investigación se centró en el desarrollo de un Modelo de

gestión de riesgos de TI basados en la norma ISO/IEC 27005 y metodología Magerit
para mejorar la gestión de seguridad de la información en la Universidad Nacional
Toribio Rodríguez de Mendoza (UNTRM) – Chachapoyas Perú.
Esta propuesta permitió el aumento significativo de la satisfacción de los usuarios de TI

en relación a la gestión de los servicios de TI en la UNTRM, que garantiza que los
riesgos de TI sean conocidos, asumidos, gestionados y minimizados de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptable ante los
cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Palabras clave: sistema de gestión de riesgos de TI, análisis y evaluación de riesgos,

activo de TI.
Pág. Nº 6
ABTRACT
One of the most critical aspects of managing an organization is the management of its
assets that generate value to business processes. Information can be considered as one
of the most critical assets that must be protected, because its availability and integrity is
not only used as input for decision making, but also ensures the continuity of processes.
Information management does not only involve incorporating technologies that support
its capture, storage, processing and communication; If not, you must also implement
processes and systems that manage this resource to achieve your security. The
implementation of information security management systems (ISMS) allows it to achieve
acceptable levels of confidentiality, integrity and availability.
A process of implementation of an ISMS, methodologically speaking, involves a series

of activities and tasks, ranging from the planning of its scope to the planning of
continuous improvement plans. However, the most critical aspect that should be
considered in the implementation of an ISMS is risk management. Risk management is
a preventive strategy that allows identifying and evaluating the different risk scenarios to
which the information is exposed, in its different forms of expression, and the
technologies that support it throughout its life cycle. With this information, the necessary
controls and safeguards can be implemented to mitigate those levels of risk exposure
that the organization considers not acceptable.
The purpose of this research work was focused on the development of an IT risk
management model based on the ISO / IEC 27005 standard and the Magerit
methodology to improve information security management at the Toribio Rodríguez de
Mendoza National University (UNTRM) - Chachapoyas Peru.
This proposal allowed the significant increase in the satisfaction of IT users in relation to
the management of IT services in the UNTRM, which guarantees that IT risks are known,
assumed, managed and minimized in a documented, systematic way, structured,
repeatable, efficient and adaptable to changes that occur in risks, the environment and
technologies.
Key words: IT risk management system, risk analysis and evaluation, IT asset.
Pág. Nº 7
INDICE DE CONTENIDOS
DATOS INFORMATIVOS ................................................................................................................. 2
DEDICATORIA ................................................................................................................................ 4
AGRADECIMIENTOS....................................................................................................................... 5
RESUMEN ...................................................................................................................................... 6
ABTRACT ........................................................................................................................................ 7
INDICE DE CONTENIDOS................................................................................................................ 8
INDICE DE TABLAS ....................................................................................................................... 10
INDICE DE GRÁFICOS ................................................................................................................... 11
INTRODUCCION ........................................................................................................................... 12
CAPÍTULO I. EL PROBLEMA .......................................................................................................... 14
1.1. Descripción de la problemática ......................................................................................... 14
1.2. Formulación del problema científico ................................................................................ 16
1.3. Objetivos de la investigación ............................................................................................. 16
1.3.1. Objetivo general ................................................................................................................ 16
1.3.2. Objetivos específicos ......................................................................................................... 16
CAPÍTULO II. MARCO TEÓRICO.................................................................................................... 17
2.1. La Información como activo estratégico de las organizaciones ........................................ 17
2.2. Propietario del activo de información ............................................................................... 18
2.3. Seguridad de información ................................................................................................. 18
2.4. Sistema de Gestión de Seguridad de la información......................................................... 19
2.5. Principios de la seguridad de la Información .................................................................... 20
2.6. Elemento de un SGSI ......................................................................................................... 21
2.7. Gestión de Riesgos de TI.................................................................................................... 22
2.8. Elementos evaluados en la Gestión de Riesgo de TI ......................................................... 24
2.9. Proceso de Gestión de Riesgos.......................................................................................... 25
2.10. Metodología para la Gestión de Riesgos de TI Magerit .................................................... 28
2.11. ISO/IEC 27001 – Sistema de Gestión de la Seguridad de la Información .......................... 30
Estructura de la ISO/IEC 27001:2013 .......................................................................................... 31
2.12. ISO/IEC 27002 - Código de prácticas para los controles de seguridad de la información 32
2.13. ISO/IEC 27005 EDI. Tecnología de la información. Técnicas de seguridad. Gestión del
riesgo en seguridad de la información ........................................................................................ 34
2.14. Definición de la terminología técnica básica ..................................................................... 36
CAPÍTULO III. DESARROLLO DE LA PROPUESTA .......................................................................... 38
3.1. Definición de la metodología para la implementación ..................................................... 38
3.1.1. Actividades para la Fase 1: Definición del alcance del SGR ............................................... 38
Pág. Nº 8
3.1.2. Actividades para la Fase 2: Evaluación de riesgos de TI .................................................... 40
3.1.3. Actividades para la Fase 3: Tratamiento y administración del riesgo de TI ...................... 49
3.2. Desarrollo del Modelo de Gestión del Riesgo de TI propuesto......................................... 51
3.2.1. Definición del alcance del Sistema de Gestión de Riesgos ................................................ 51
3.2.2. Identificación y evaluación de riesgos de TI ...................................................................... 72
3.2.3. Tratamiento y administración del riesgo de TI.................................................................. 90
CAPÍTULO IV. RESULTADOS ......................................................................................................... 99
4.1. Análisis de brechas POST ................................................................................................... 99
4.2. Indicadores versus objetivos de seguridad ..................................................................... 101
4.3. Resultados de indicadores PRE y POST ........................................................................... 104
4.4. Análisis por indicadores................................................................................................... 105
4.5. Beneficios obtenidos ....................................................................................................... 107
4.6. Validación del modelo de gestión de riesgos de TI propuesto ....................................... 108
CONCLUSIONES Y RECOMENDACIONES .................................................................................... 113
Conclusiones ............................................................................................................................. 113
Recomendaciones ..................................................................................................................... 115
REFERENCIAS CONSULTADAS .................................................................................................... 116
Pág. Nº 9
INDICE DE TABLAS
Tabla N° 1. Alineamiento del SGSI y del Proceso de Gestión del Riesgo en Seguridad de la
Información ............................................................................................................................................... 28
Tabla N° 2. Mapeo de las cláusulas de ISO/IEC 27001:2013 ......................................................... 32
Tabla N° 3. Formato para la evaluación de brechas de seguridad de la información ................. 40
Tabla N° 4. Clasificación de activos de TI .......................................................................................... 42
Tabla N° 5. Escalas propuestas para la valoración de los criterios de seguridad de la
información para determinar la criticidad de los activos .................................................................... 43
Tabla N° 6. Plantilla para la calificación de la criticidad de los activos de TI ................................ 43
Tabla N° 7. Niveles de valoración de la criticidad de los activos de TI .......................................... 44
Tabla N° 8. Plantilla para la identificación de amenazas por activo ............................................... 44
Tabla N° 9. Plantilla para la identificación de las vulnerabilidades por cada Activo-Amenaza .. 46
Tabla N° 10. Escala de valoración propuesta para el impacto que ocasiona una amenaza al
materializarse ........................................................................................................................................... 47
materializarse ........................................................................................................................................... 48
Tabla N° 12. Matriz de calor para la valoración del impacto y probabilidad de las amenazas ... 49
Tabla N° 13. Apetito al riesgo de TI según el nivel de exposición al riesgo .................................. 50
Tabla N° 14. Procesos de la UNTRM, según el TUPA vigente ....................................................... 52
Tabla N° 15. Número de trámites registrados por tipo de proceso ................................................. 53
Tabla N° 16. Análisis de brechas de cumplimiento de los controles de la ISO 27001/ISO 27002
.................................................................................................................................................................... 56
Tabla N° 17. Inventario de activos de TI de los procesos académicos/administrativos .............. 72
Tabla N° 18. Clasificación de los activos de TI identificados ........................................................... 73
Tabla N° 19. Valoración del nivel de criticidad de los activos de TI identificados ........................ 74
Tabla N° 20. Listado de amenazas por Activo de TI ......................................................................... 74
Tabla N° 21. Listado de vulnerabilidades por Activo de TI – Amenaza ......................................... 76
Tabla N° 22 Valoración del Nivel de Riesgo (NR) .................................................................................... 82
Tabla N° 23 Propuesta de medidas de seguridad para cada escenario de riesgo .................................. 90
Tabla N° 24. Análisis de brechas POST ............................................................................................. 99
Tabla N° 25. Objetivos de seguridad vs indicadores ...................................................................... 102
Tabla N° 26. Resultado de indicadores antes VS después ........................................................... 104
Tabla N° 27. Identificación de expertos para la valoración del modelo de gestión de riesgos de
TI basados en la norma ISO/IEC 27005 y metodología Magerit propuesto ................................. 108
Tabla N° 28. Criterios y sistema de valoración del modelo de gestión de riesgos de TI basado
en la norma ISO/IEC 27005 y metodología Magerit propuesto por juicio de expertos ............... 109
Tabla N° 29. Resultados de la validación de expertos del modelo de gestión de riesgos de TI
basado en la norma ISO/IEC 27005 y metodología Magerit propuesto por juicio de expertos . 111
Tabla N° 27. Descripción de las dimensiones de seguridad de la información que se tomarán
en cuenta en la valoración de la criticidad de los activos de TI ...................................................... 119
Tabla N° 28. Definición de escala de valoración de la criticidad de los activos de TI ............... 119
Tabla N° 29. Catálogo de amenazas por activo y dimensión se seguridad de la información . 122
Tabla N° 30. Cuestionario para la evaluación de brechas de seguridad de la información ...... 130
Pág. Nº 10
INDICE DE GRÁFICOS
Gráfico N° 1. Etapas de un SGSI.................................................................................................. 19

Gráfico N° 2. Fases de Gestión de Riesgos ................................................................................. 23
Gráfico N° 3. Proceso de gestión del riesgo según la ISO 31000................................................ 26
Gráfico N° 4. Elementos del análisis de riesgos potenciales ...................................................... 29
Gráfico N° 5. Modelo PDCA aplicado a los procesos de un SGSI................................................ 31
Gráfico N° 6. Elementos y sus relaciones de un modelo de gestión de riesgos de TI ................ 41
Pág. Nº 11
INTRODUCCION
En la presente tesis, se diseña y desarrolla el modelo para implementar un sistema de

gestión de riesgos de TI basados en la norma ISO/IEC 27005 y metodología Magerit
para mejorar la gestión de seguridad de la información en la Universidad Nacional
Toribio Rodríguez de Mendoza (UNTRM) – Chachapoyas Perú.
La seguridad de información, en términos generales es entendida como todas aquellas

medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger la información, buscando de esta
manera mantener la confidencialidad, la disponibilidad e integridad de la misma. Un
activo de información es un activo que tiene un determinado valor para la organización,
sus operaciones comerciales y su continuidad.
La característica principal de un sistema de gestión de seguridad de información es

resguardar la integridad, confidencialidad e integridad de los activos de información en
la UNTRM; lo cual se logra a través de un minucioso análisis de los riesgos a los que
están expuestos los activos de información para luego implantar los controles
necesarios que ayudarán a proteger estos activos.
La problemática principal actual de las organizaciones que están en franco desarrollo y

que soportan sus procesos de negocio sobre TI, es la falta de seguridad y la poca
previsión respecto a los riesgos con la que cuentan sus activos de información. El
resultado de no tener las medidas necesarias para mitigar estos riesgos puede llevar a
la empresa a pérdidas no solo de información, sino también económica.
Es por ello, que la UNTRM se ve en la necesidad de implementar un conjunto de

herramientas, procedimientos, controles y políticas que aseguren la confidencialidad,
disponibilidad e integridad de la información; con ellos garantizar a que se acceda a la
información solo por quienes estén designados para su uso, que esté disponible cuando
requieran los que estén autorizados y permanezca tal y como fue creada por sus
propietarios, y asegurar así también la actualización de la misma.
El presente trabajo consta de cinco capítulos. Ellos son:
- En el capítulo I se presenta la descripción de la realidad problemática, el

planteamiento del problema científico, la descripción del proyecto y los objetivos.
- El capítulo II muestra el marco teórico, en el que están planteadas las bases
teóricas relacionadas con un sistema de gestión de riesgos de seguridad de la
información (SGSI), definiciones de términos básicos que sustentan el desarrollo
adecuado del trabajo y antecedentes de la investigación.
Pág. Nº 12
- En el capítulo III se especifican los materiales, métodos y herramientas utilizadas
para el desarrollo del trabajo de investigación. También se define la metodología
empleada, la cual es la resultante de un estudio de distintas metodologías y de
la investigación y aporte de los autores de este trabajo de investigación.
Adicionalmente este capítulo también contiene la etapa de desarrollo del
proyecto, en la cual se muestra el proceso seguido para la realización del mismo.
- El capítulo IV está destinado a la presentación de las pruebas y resultados del

trabajo de investigación. Así mismo, se aborda la discusión de los resultados a
manera de explicación de los mismos, teniendo en cuenta las variables
expuestas en los capítulos anteriores.
- A partir de los resultados obtenidos se han planteado las conclusiones y

recomendaciones pertinentes, y finalmente se consigna la bibliografía utilizada y
los anexos respectivos.
Pág. Nº 13
CAPÍTULO I. EL PROBLEMA
1.1. Descripción de la problemática
La importancia de la incorporación de los Sistemas y Tecnologías de Información

(TSI) en los procesos de negocio de las organizaciones son cada vez justificables,
pero también cada vez más complejas, sustentada básicamente, en lograr
diferenciación con respecto a la competencia u obtener mejoras en los procesos:
tiempos de respuesta, integración de áreas y usuarios, reducción de costos,
etcétera. No interesa el tipo y tamaño de la entidad, sólo basta que los procesos
del negocio sean soportados por TSI.
Entre las situaciones que las organizaciones deben gestionar, están los entornos
dinámicos y cambiantes a los que se enfrenta la infraestructura tecnológica; así
como las inversiones necesarias para mantener operativos los diferentes servicios
que presta el área de TI. Los especialistas de TI han comprobado que la ausencia
o carencia de procedimientos ordenados que brinden una línea de servicios de
soporte técnico (baseline) de las TI que se encuentran en la organización impacta
en su rendimiento, lo que conlleva a:
- Costos mayores.
- Tiempos de paro continuos.
- Pérdidas de información.
- Mal uso de las TI que se encuentran en la organización.
- Insatisfacción de los usuarios.
El uso de las tecnologías de la información (de ahora en adelante TI) se ha

intensificado en las organizaciones independiente de la naturaleza y actividad de
las mismas, estás se encuentran en constante evolución adaptándose a las
nuevas necesidades de las organizaciones y así mismo dando lugar a otras
relacionadas con su operación diaria. Adicionalmente su masificación las han
convertido en blanco de ataques y vías para los mismos; los riesgos asociados a
estas se intensifican y transforman y por ello se hace necesario crear y adaptar
constantemente los medios y métodos utilizados para conservar la seguridad de
la información que las organizaciones quieren proteger.
Pág. Nº 14
En este punto el desarrollo y uso de metodologías integradas y ágiles para
gestionar riesgos y en especial el tecnológico es importante con el fin de minimizar
el impacto que pueda causar la violación de alguna de las dimensiones de la
seguridad (esto corresponde a la confidencialidad, integridad, disponibilidad,
trazabilidad y autenticidad). Hasta el momento el marco existente para gestión de
riesgos lo conforman los estándares ISO 31000 (Risk management) e ISO/IEC
27005 (Information security risk management). Estos proveen lineamientos
generales pero hace falta una guía más precisa que ofrezca pautas sobre la forma
de lograr los aspectos de seguridad requeridos; adicionalmente este marco hace
referencia a la gestión sobre los riesgos como concepto global y deja de lado el
análisis de riesgos específicos como el tecnológico, lo más cercano es la
administración del riesgo operativo en el que se relaciona de forma tangencial el
riesgo tecnológico.
El riesgo de origen tecnológico puede incidir sobre las metas y objetivos

organizacionales y ser causa de otro tipo de riesgos al ser intrínseco al uso de
tecnología. Por ello el daño, interrupción, alteración o falla derivada del uso de TI
puede implicar pérdidas significativas en las organizaciones, pérdidas financieras,
multas o acciones legales, afectación de la imagen de una organización y causar
inconvenientes a nivel operativo y estratégico.
Este contexto motiva el desarrollo de una metodología, que permite la gestión de

riesgos de origen tecnológico cuya base son los estándares ISO 31000 e ISO/IEC
27005 de los cuales se realizaron las adaptaciones y especificaciones requeridas
para este tipo de riesgo. Además se puede adoptar e incorporar recomendaciones
y buenas prácticas de otras guías y metodologías para gestión de riesgos como
MAGERIT , NIST SP 800-30, NTC 5254, ISO 27001 y lo correspondiente a
seguridad en gestión de servicios de ITIL® v3. De igual forma se presenta una
forma de ajustar esta metodología a la gestión de continuidad de negocios en lo
respectivo a la definición de planes de gestión de incidentes tecnológicos.
La UNTRM en su función de formar nuevos profesionales, no escapa a este tipo

de problemas. Sus procesos académicos y administrativos funcionan bajo el
soporte de aplicaciones informáticas y de una infraestructura de tecnologías de
información en constante crecimiento. Surge entonces, la necesidad de establecer
Pág. Nº 15
una línea de soporte técnico basada en alguna metodología que permita
identificar, evaluar y tratar los riesgos de TI, y de esta manera realizar una gestión
eficiente de los controles necesarios para mitigar los potenciales escenarios de
riesgo que podrían afectar o impactar negativamente en la continuidad del
negocio.
1.2. Formulación del problema científico
¿Cuál es el impacto de la aplicación de un modelo de gestión de riesgos de TI

basados en la norma ISO/IEC 27005 y metodología Magerit, sobre la gestión de
seguridad de la información en la Universidad Nacional Toribio Rodríguez de
Mendoza – Chachapoyas Perú?
1.3. Objetivos de la investigación
1.3.1. Objetivo general
Elaborar un modelo de gestión de riesgos de TI basados en la norma

ISO/IEC 27005 y metodología Magerit, para mejorar la gestión de
seguridad de la información en la Universidad Nacional Toribio Rodríguez
de Mendoza – Chachapoyas Perú
1.3.2. Objetivos específicos
Los objetivos específicos del estudio son:
a. Identificar y evaluar los escenarios de riesgo en la seguridad de la

información en los procesos académicos y administrativos de la
Universidad Nacional Toribio Rodríguez de Mendoza.
b. Elaborar el procedimiento de evaluación y tratamiento de riesgos en la
seguridad de la información para los procesos académicos y
administrativos.
c. Establecer el apetito y las tolerancias a los niveles de exposición al
riesgo que permita evaluar las amenazas, vulnerabilidades, impactos
y frecuencias de ocurrencia de las amenazas.
d. Determinar los niveles de exposición a los riesgos de TI con la finalidad
de identificar los controles necesarios para aquellos niveles no
tolerables por la UNTRM.
e. Obtener brechas de seguridad para determinar la efectividad de los
controles.
Pág. Nº 16
CAPÍTULO II. MARCO TEÓRICO
De la revisión literaria realizada se elaboró los siguientes fundamentos teóricos, que

sirvieron de base para el desarrollo de la propuesta del Modelo de Gestión de Riesgos
de TI.
2.1. La Información como activo estratégico de las organizaciones
Los activos son los recursos que tienen valor o utilidad para la organización, sus
operaciones comerciales y su continuidad. Estos son necesarios para que la
organización funcione y alcance los objetivos que propone su dirección
(Espinoza, 2013).
Según la ISO/IEC 17799 (2007), Código de Práctica para la Gestión de

Seguridad de Información, un activo de información es: “algo a lo que una
organización directamente le asigna un valor y, por lo tanto, la organización debe
proteger”.
Por su parte, los autores Andreu, Ricart y Valor (1998) explican como la
información se convierte en un recurso estratégico para las empresas y se
integra dentro de su proceso de planificación estratégica.
Así entonces la información se ha convertido en un recurso clave para las

empresas a todos los niveles jerárquicos y para todos los departamentos ya que
las organizaciones deben conseguir, procesar, usar y comunicar información,
tanto interna como externa, en sus procesos de planificación, dirección y toma
de decisiones (Carrasco, 2010).
La NTP-ISO/IEC 27005 (2009) clasifica el activo en dos tipos:
− Los activos primarios: Son usualmente los procesos e información centrales

de la actividad en cuestión. Otros activos primarios como los procesos de la
organización también pueden considerarse, lo cual será más apropiado para
diseñar una política de seguridad de la información o un plan de continuidad
del negocio.
o Procesos y actividades de negocio
o Información
Pág. Nº 17
− Los activos de apoyo: Estos activos tienen vulnerabilidades que son
explotables por amenazas que tienen como objetivo desactivar los activos
primarios del alcance (proceso e información). Son de varios tipos:
o Hardware
o Software
o Red
o Personal
o Sitio
o Estructura de la Organización
2.2. Propietario del activo de información
Según la NTP-ISO/IEC 27005 (2009), el propietario del activo es aquel que

puede no tener derechos de propiedad sobre el activo, pero tiene
responsabilidad sobre su producción, desarrollo, mantenimiento, uso y
seguridad, según corresponda. El propietario del activo a menudo es la persona
más apropiada para determinar el valor que el activo tiene para la organización.
Se debe identificar al propietario de un activo para cada activo, para determinar
las disposiciones sobre responsabilidad y rendición de cuentas por el activo.
2.3. Seguridad de información
Se entiende por seguridad de la información a todas aquellas medidas

preventivas y reactivas del hombre, de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger la información buscando
mantener la confidencialidad, la disponibilidad e integridad de la misma (Aguirre
Freire & Palacios Cruz, 2014).
En la seguridad de la información es importante señalar que su manejo está

basado en la tecnología y debemos saber que puede ser confidencial. Puede ser
divulgada, mal utilizada, robada, borrada, saboteada, etc. La información es
poder, y según las posibilidades estratégicas que ofrece tener a acceso a cierta
información, ésta se clasifica como (Talavera Álvarez, 2015):
a. Crítica: Es indispensable para la operación de la empresa.
b. Valiosa: Es un activo de la empresa y muy valioso.
c. Sensible: Debe ser conocida por las personas autorizadas
Pág. Nº 18
Los términos de seguridad de la información, seguridad informática y garantía de
la información son usados frecuentemente como sinónimos porque todos ellos
persiguen una misma finalidad al proteger la confidencialidad, integridad y
disponibilidad de la información.
2.4. Sistema de Gestión de Seguridad de la información
Un Sistema de Gestión de Seguridad de Información (SGSI) es un conjunto de

responsabilidades, procesos, procedimientos y recursos que establece la alta
dirección con el propósito de dirigir y controlar la seguridad de los activos de
información y asegurar la continuidad de la operatividad de la empresa (ISO
17799:2005; Alexander, 2007). Un SGSI está soportado en cuatro grandes y
continuas etapas para su mantención en el tiempo, las cuales se muestran en el
gráfico siguiente:
Gráfico N° 1. Etapas de un SGSI

Fuente: http://www.iso27000.es/
Pág. Nº 19
2.5. Principios de la seguridad de la Información
Los diferentes ataques a los activos informáticos pueden provocar la pérdida de

la disponibilidad, confidencialidad o integridad de la información; lo cual
generalmente implica graves consecuencias para las empresas y en muchas
ocasiones se provocan daños irreparables (Montesino Perurena, Baluja Garcia,
& Porven Rubier, 2013).
Estos últimos tres términos constituyen la base de la seguridad de la información,

de donde se resume la explicación que se da a continuación.
a. Confidencialidad
Este principio tiene como propósito asegurar que sólo la persona o personas
autorizadas tengan acceso a cierta información. La información, dentro y
fuera de una organización, no siempre puede ser conocida por cualquier
individuo, si no por el contrario, está destinada para cierto grupo de
personas, y en muchas ocasiones, a una sola persona. Esto significa que se
debe asegurar que las personas no autorizadas, no tengan acceso a la
información restringida para ellos. La confidencialidad de la información
debe prevalecer y permanecer, por espacios de tiempo determinados, tanto
en su lugar de almacenamiento, como durante su procesamiento y tránsito,
hasta llegar a su destino final (Condori Alejo, 2012).
b. Integridad
Este principio permite garantizar que la información no sea modificada o

alterada en su contenido por personas no autorizados o de forma indebida.
Asimismo, la integridad se aplica a los sistemas, teniendo como propósito
garantizar la exactitud y confiabilidad de los mismos.
c. Disponibilidad
Este principio tiene como propósito, asegurar que la información y los

sistemas que la soportan, estén disponibles en el momento en que se
necesiten, para los usuarios autorizados a utilizarlos. Adicionalmente, la
disponibilidad hace referencia a la capacidad que deben tener los sistemas
de recuperarse ante interrupciones del servicio, de una manera segura que
Pág. Nº 20
garantice el continuo desarrollo de la productividad de la organización sin
mayores inconvenientes. (Condori Alejo, 2012)
2.6. Elemento de un SGSI
La ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio) (ISO 27000.es, 2005):
a. Alcance del SGSI: ámbito de la organización que queda sometido al

SGSI, incluyendo una identificación clara de las dependencias,
relaciones y límites que existen entre el alcance y aquellas partes que no
hayan sido consideradas (en aquellos casos en los que el ámbito de
influencia del SGSI considere un subconjunto de la organización como
delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).
b. Política y objetivos de seguridad: documento de contenido genérico que

establece el compromiso de la dirección y el enfoque de la organización
en la gestión de la seguridad de la información.
c. Procedimientos y mecanismos de control que soportan al SGSI: aquellos

procedimientos que regulan el propio funcionamiento del SGSI.
d. Enfoque de evaluación de riesgos: descripción de la metodología a

emplear (cómo se realizará la evaluación de las amenazas,
vulnerabilidades, probabilidades de ocurrencia e impactos en relación a
los activos de información contenidos dentro del alcance seleccionado),
desarrollo de criterios de aceptación de riesgo y fijación de niveles de
riesgo aceptables.
e. Informe de evaluación de riesgos: estudio resultante de aplicar la

metodología de evaluación anteriormente mencionada a los activos de
información de la organización.
f. Plan de tratamiento de riesgos: documento que identifica las acciones de

la dirección, los recursos, las responsabilidades y las prioridades para
gestionar los riesgos de seguridad de la información, en función de las
Pág. Nº 21
conclusiones obtenidas de la evaluación de riesgos, de los objetivos de
control identificados, de los recursos disponibles, etc.
g. Procedimientos documentados: todos los necesarios para asegurar la

planificación, operación y control de los procesos de seguridad de la
información, así como para la medida de la eficacia de los controles
implantados.
h. Registros: documentos que proporcionan evidencias de la conformidad

con los requisitos y del funcionamiento eficaz del SGSI.
i. Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus

siglas inglesas); documento que contiene los objetivos de control y los
controles contemplados por el SGSI, basado en los resultados de los
procesos de evaluación y tratamiento de riesgos, justificando inclusiones
y exclusiones.
2.7. Gestión de Riesgos de TI
Alcántara Torres (2015) nos dice que la gestión de riesgo es un método para
determinar, analizar, valorar y clasificar el riesgo, para posteriormente
implementar mecanismos que permitan controlarlo, es así que tenemos a los
siguientes parámetros como son los que detallaremos a continuación:
a. Análisis del Riesgo: Determina los componentes de un sistema que

requiere protección, sus vulnerabilidades que lo debilitan y las amenazas
que lo ponen en peligro, con el resultado de revelar su grado de riesgo.
b. Clasificación: Determina si los riesgos encontrados y los riesgos restantes
son aceptables.
c. Reducción: Define e implementa las medidas de protección. Además
sensibiliza y capacita los usuarios conforme a las medidas.
d. Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las
medidas, para determinar y ajustar las medidas deficientes y sancionar el
incumplimiento.
Para lograr el éxito de la gestión de riesgo, es vital tener en cuenta tanto la cultura
como la estructura de la organización, la misión y los objetivos de negocio que
Pág. Nº 22
se hayan trazado, la definición de los procesos organizacionales y el
conocimiento de marcos de buenas prácticas generalmente aceptados (Huamán
Monzón, 2014)
Huamán Monzón nos indica que en el escenario que una amenaza se

materialice, la gestión de riesgos garantizará que el impacto que se tendrá
internamente (en la organización) será manejable, es decir, que estará dentro de
los límites de costos aceptables sin perturbar la continuidad del negocio.
Sabemos que en toda actividad empresarial hay riesgo (cuando hacemos algo o
cuando dejamos de hacer algo), la gestión de Riesgos debe brindar garantía de
seguridad en cualquier actividad que emprenda la institución apoyándose en la
estrategia de seguridad que ésta esté llevando a cabo.
Gráfico N° 2. Fases de Gestión de Riesgos

Fuente: (Huamán Monzón, 2014)
Pág. Nº 23
2.8. Elementos evaluados en la Gestión de Riesgo de TI
a. Amenaza
Una amenaza es todo aquello, ya sea físico o lógico que puede causar un
incidente no deseado, generando daños materiales o inmateriales a la
organización y a sus activos, como la perdida de información, o de su
privacidad, o bien un fallo en los equipos físicos (Espinoza, 2013).
Una amenaza tiene el potencial de dañar activos como la información, los

procesos y los sistemas y, por tanto, las organizaciones. Las amenazas
pueden ser de origen natural o humano y pueden ser accidentales o
deliberadas. Así mismo una amenaza puede surgir desde adentro o desde
fuera de la organización (NTP-ISO/IEC 27005, 2009).
b. Vulnerabilidad
Estado, debilidad o incapacidad de resistencia cuando se presenta un
fenómeno amenazante y que al ser explotado afecta el estado de los
activos de un proyecto, de una área u organización. Una vulnerabilidad es
un estado de debilidad que si ocurriese se materializa una o varias
amenazas que afecta diversos activos, por lo que es indispensable
identificarlas, valorarlas y priorizarlas (Reina García & Morales Ramírez ,
2014).
c. Riesgo
Según Medina (2007) riesgo se define como la probabilidad de que las
amenazas exploten los puntos débiles, causando pérdidas o daños a los
activos e impactos al negocio, es decir, afectando: La confidencialidad, la
integridad y la disponibilidad de la información.
Se considera riesgo la estimación del grado de exposición de un activo, a

que una amenaza se materialice sobre él causando daños a la
organización. El riesgo indica lo que le podría pasar a los activos si no se
protegen adecuadamente (Inteco, s/a).
Halvorson (2008) explica tres (3) naturalezas del riesgo, estos son los
riesgos estratégicos, tácticos y operacionales.
Pág. Nº 24
− Los riesgos estratégicos son los que pueden estar ligados a la
seguridad de la información; sin embargo, se encuentran más
orientados a los riesgos de las ganancias y reputación de la
organización, ya que se derivan de decisiones estratégicas que han
sido tomadas o serán tomadas en la organización.
− Los riesgos tácticos son los asociados a los sistemas que vigilan la
identificación, control y monitoreo de los riesgos que afectan a la
información, son aquellos que afectan indirectamente a la
información.
− Los riesgos operacionales son los relacionados a aquellos activos
que pueden afectar los objetivos de una empresa (tales como
presupuestos, cronogramas y tecnologías).
Para poder identificar el potencial daño o pérdida debido a un riesgo los

dueños de los activos pueden responder estas cuatro preguntas (Ozier,
2004):
− ¿Qué puede suceder? (¿Cuál es la amenaza?)

− ¿Qué tan malo puede ser? (¿Cuál es el impacto?)
− ¿Qué tan seguido puede suceder? (¿Cuál es la frecuencia?)
− ¿Qué tan ciertas son las respuestas de las tres primeras
preguntas? (¿Cuál es el grado de confianza?)
2.9. Proceso de Gestión de Riesgos
Costas Santos (2011) Establece que la gestión de los riesgos permite tener
control sobre el desarrollo, la implementación y funcionamiento de los procesos,
lo cual llevara a lograr de manera eficiente el cumplimiento de sus objetivos
estratégicos y estar preparados para enfrentar cualquier incidente que pueda
presentarse.
Sobre los procesos, se construyen controles con el objetivo de reducir la

frecuencia de las amenazas o limitar el daño causado y llevar el nivel de riesgo
a un nivel aceptable por la organización.
Dependiendo del tipo de riesgo, se puede optar por:
Pág. Nº 25
a. Evitar el riesgo: por ejemplo, eliminando el activo.
b. Mitigar el riesgo: implementando controles para reducir la probabilidad y el
impacto.
c. Transferir el riesgo: por ejemplo, contratando un seguro con cobertura para
ese riesgo. Aceptar el riesgo: reconociendo que el riesgo existe y
monitorizarlo.
Según la NTP-ISO/IEC 27005 (2009), el proceso de gestión del riesgo en

seguridad de la información consiste en establecer el contexto, evaluar el riesgo,
tratar el riesgo, aceptar el riesgo, comunicar el riesgo y monitorear y revisar el
riesgo.
Gráfico N° 3. Proceso de gestión del riesgo según la ISO 31000

Fuente: (Magerit, 2012)
Pág. Nº 26
Un enfoque iterativo para la conducción de la evaluación del riesgo puede
incrementar la profundidad y detalle de la evaluación en cada iteración. El
enfoque iterativo provee un buen balance entre minimizar el tiempo y el esfuerzo
que se emplea en identificar los controles y a la vez asegurar que se evalúe
apropiadamente los altos riesgos.
Primero se determina el contexto. Luego se realiza una evaluación del riesgo. Si

esto provee suficiente información para determinar efectivamente las acciones
requeridas para modificar los riesgos a un nivel aceptable, entonces la tarea está
completa y sigue el tratamiento del riesgo. Si la información es suficiente, se
conducirá otra iteración de la evaluación del riesgo con el contexto revisado (por
ejemplo, criterios de evaluación del riesgo, criterios de aceptación del riesgo o
criterios de impacto) posiblemente en partes limitadas del alcance total (en la
gráfica véase Decisión sobre el Riesgo Punto 1).
La eficacia en el tratamiento del riesgo depende de los resultados de la

evaluación del riesgo. Es posible que el tratamiento del riesgo no conduzca
inmediatamente a un nivel aceptable de riesgo residual. En esta situación,
podría requerirse otra iteración de la evaluación del riesgo con parámetros de
contexto cambiados (por ejemplo, evaluación del riesgo, aceptación del riesgo o
criterios de impacto), si fuera necesario, seguido de otro tratamiento del riesgo
(en la figura véase, Decisión sobre el Riesgo Punto 2).
La actividad de aceptación del riesgo tiene que asegurar que los gerentes de la
organización acepten explícitamente los riesgos residuales. Esto es
especialmente importante en una situación donde la implementación de
controles se omite o pospone, por ejemplo, debido al costo.
Durante todo el proceso de gestión del riesgo en seguridad de la información es

importante que los riesgos y su tratamiento se comuniquen a los gerentes
apropiados y al personal operativo. Incluso antes del tratamiento de los riesgos
puede ser muy valioso contar con información sobre los riesgos identificados
para administrar los incidentes y puede ayudar a reducir el daño potencial. La
conciencia de los gerentes y el personal respecto de los riesgos, la naturaleza
de los controles empleados para mitigar los riesgos y las áreas de preocupación
para la organización ayudan a tratar los incidentes y los eventos inesperados de
la manera más eficaz.
Pág. Nº 27
El Sistema de Gestión de Seguridad de la Información específica que los
controles implementados dentro del alcance, límites y contexto deben basarse
en el riesgo. La aplicación de un proceso de gestión del riesgo en seguridad de
la información puede satisfacer este requisito.
En un SGSI, determinar el contexto, evaluar el riesgo, desarrollar un plan de

tratamiento del riesgo y aceptar el riesgo son parte de la fase del “plan”. En la
fase de “hacer” del Sistema de Gestión de Seguridad de la Información, se
implementan las acciones y controles requeridos para reducir el riesgo a un nivel
aceptable de acuerdo con el plan de tratamiento del riesgo. En la fase de
“verificar” del Sistema de Gestión de Seguridad de la Información, los gerentes
de área determinarán la necesidad de revisiones de la evaluación del riesgo y el
tratamiento del riesgo a la luz de los incidentes y cambios en las circunstancias.
En la fase de “actuar”, se realizan todas las acciones requeridas, incluyendo la
aplicación adicional del proceso de gestión del riesgo en seguridad de la
información.
La tabla siguiente resume las actividades de gestión del riesgo en seguridad de

la información relevantes a las cuatro fases del proceso del Sistema de Gestión
de Seguridad de la Información:
Tabla N° 1. Alineamiento del SGSI y del Proceso de Gestión del Riesgo en Seguridad
de la Información
Proceso Sistema de Gestión
Proceso de Gestión del Riesgo en Seguridad
de Seguridad de la
de la Información
información
Determinar el contexto.
Evaluar el riesgo.
Plan
Desarrollar el plan de tratamiento del riesgo.
Aceptar el riesgo.
Hacer Implementar el plan de tratamiento del riesgo.
Verificar Monitoreo y revisión continuos de los riesgos.
Mantener y mejorar el Proceso de Gestión del
Actuar
Riesgo en Seguridad de la Información.
Fuente: (NTP-ISO/IEC 27005, 2009)
2.10. Metodología para la Gestión de Riesgos de TI Magerit
Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”,

dentro del “Marco de Gestión de Riesgos de Tecnologías de la Información”. En
Pág. Nº 28
otras palabras, MAGERIT implementa el Proceso de Gestión de Riesgos dentro
de un marco de trabajo para que los órganos de gobierno tomen decisiones
teniendo en cuenta los riesgos derivados del uso de tecnologías de la
información (Magerit - Libro 1, 2012).
Magerit, tiene como uno de sus principales objetivos, el ofrecer un método para
analizar los riesgos y ayudar a descubrir y planificar las medidas oportunas para
mantener los riesgos bajo control (Espinoza Aguinaga, 2013). Para ello Magerit
propone el siguiente modelo:
Gráfico N° 4. Elementos del análisis de riesgos potenciales

Fuente: (Magerit - Libro 1, 2012)
El análisis de riesgos propuesto por Magerit es una aproximación metódica que

permite determinar el riesgo siguiendo los siguientes pasos:
1. Determinar los activos relevantes para la empresa.

2. Determinar las amenazas a la que están expuestos aquellos activos.
3. Estimar el impacto, definido como el daño sobre el activo, si se llega a
concretar la amenaza.
Pág. Nº 29
4. Valorar dichos activos en función del coste que supondría para la empresa
recuperarse ante un problema de disponibilidad, integridad o
confidencialidad de información.
5. Valorar las amenazas potenciales.
6. Estimar el riesgo.
Esta metodología propone para el análisis de riesgos las 4 etapas siguientes:
1. La etapa 1, Planificación del análisis y gestión de riesgos, establece las

consideraciones necesarias para arrancar el proyecto de análisis y gestión
de riesgos.
2. La etapa 2, Análisis de riesgos, permite identificar y valorar las entidades
que intervienen en el riesgo.
3. La etapa 3, Gestión de riesgos, permite identificar las funciones o servicios
de salvaguarda reductores del riesgo detectado.
4. La etapa 4, Selección de salvaguardas, permite seleccionar los mecanismos
de salvaguarda que hay que implementar.
2.11. ISO/IEC 27001 – Sistema de Gestión de la Seguridad de la Información
Es la norma principal de la serie ISO 27000 y contiene los requisitos del sistema
de gestión de seguridad de la información. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002.
Este estándar brinda los requerimientos para el desarrollo y operación de SGSI

incluyendo una lista de controles para el manejo y mitigación de los riesgos
asociados a los activos de información. Se puede confirmar la eficacia de la
implementación del SGSI mediante una auditoria o certificación (Aguirre
Mollehuanca, 2014).
Este estándar internacional “proporciona un modelo para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de
Gestión de Seguridad de Información dentro de cualquier organización” (ISO/IEC
27001, 2005).
Indica las acciones que tiene que realizar una organización para poder alinearse
a los requerimientos que tiene un SGSI. Para todos los procesos dentro del
Pág. Nº 30
SGSI, la norma se basa en el modelo Plan-Do-Check-Act, el cual toma como
input las expectativas que las partes interesadas de la organización tienen con
respecto a la seguridad de información y, siguiendo este plan PDCA, produce un
output de seguridad de información que satisfacen aquellas expectativas.
Gráfico N° 5. Modelo PDCA aplicado a los procesos de un SGSI

Fuente: (ISO/IEC 27001, 2005)
La ISO/IEC 27001:2013 especifica los requerimientos para establecer,

implementar, mantener y mejorar continuamente un SGSI. Estos requerimientos
describen el comportamiento previsto de un SGSI una vez que es
completamente operacional. El estándar no es una guía paso a paso sobre cómo
construir o crear un SGSI.
Estructura de la ISO/IEC 27001:2013
La estructura de la ISO/IEC 27001:2013 se muestra en la siguiente tabla:
Pág. Nº 31
Tabla N° 2. Mapeo de las cláusulas de ISO/IEC 27001:2013
0 Introducción
1 Alcance
2 Referencias normativas
3 Términos o definiciones
4.1 Comprender la organización y su contexto
4.2 Comprender las necesidades y expectativas de las partes interesadas
4.3 Determinar el alcance del sistema de gestión de seguridad de la
información
4.4 Sistema de gestión de seguridad de la información
5.1 Liderazgo y compromiso
5.2 Políticas
5.3 Roles organizacionales, responsabilidades y autoridades
6.1.1 Acciones para hacer frente a riesgos y oportunidades – general
6.1.2 Evaluación de riesgos de seguridad de la información
6.1.3 Tratamiento de riesgos de seguridad de la información
6.2 Objetivos de seguridad de la información y planeación de los mismos
7.1 Recursos
7.2 Competencia
7.3 Conocimiento
7.4 Comunicación
7.5 Información documentada
8.1 Planeación operacional y control
8.2 Evaluación de riesgos de seguridad de la información
8.3 Tratamiento de riesgos de seguridad de la información
9.1 Monitoreo, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión de la gestión
10.1 No conformidades y acciones correctivas
10.2 Mejora continua de la información
Fuente: (BSI Group México , s/a)
2.12. ISO/IEC 27002 - Código de prácticas para los controles de seguridad de la

información
Esta norma internacional proporciona directrices para normas organizacionales

de seguridad de la información y para las prácticas de gestión de seguridad de
la información. Incluyendo la selección, implementación y gestión de los
controles, teniendo en cuenta los riesgos del entorno de seguridad de la
información de la organización (ISO/IEC 27002, 2013).
Pág. Nº 32
La ISO/IEC 27002 (2013) está diseñada para ser utilizada por las
organizaciones que pretenden:
a. Seleccionar los controles dentro del proceso de implementación del
Sistema de Gestión de seguridad de la Información basado en la Norma
ISO/IEC 27001.
b. Implementar los controles de seguridad de la información comúnmente
aceptados;
c. Desarrollar sus propias directrices de gestión de seguridad de la
información.
Esta norma nos muestra una serie de controles que buscan mitigar el
impacto de ocurrencia de los diferentes riesgos que se expone una
organización (ISO/IEC 27002, 2013).
La ISO/IEC 27002 (2013) presenta 14 dominios, 35 objetivos de control y

114 controles. Los 14 dominios mencionados previamente son:
Dominio 1: Políticas de seguridad

Dominio 2: Organización de la seguridad
Dominio 3: Seguridad de recursos humanos
Dominio 4: Gestión de activos
Dominio 5: Control de acceso lógico
Dominio 6: Cifrado
Dominio 7: Seguridad física y ambiental
Dominio 8: Seguridad en las operaciones
Dominio 9: Seguridad en las telecomunicaciones
Dominio 10: Adquisición, desarrollo y mantenimiento de los sistemas de
información
Dominio 11: Relaciones con los suministradores
Dominio 12: Gestión de incidentes
Dominio 13: Aspectos de la SI en la continuidad del negocio
Dominio 14: Cumplimiento
Pág. Nº 33
2.13. ISO/IEC 27005 EDI. Tecnología de la información. Técnicas de seguridad.
Gestión del riesgo en seguridad de la información
ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de

seguridad de información. La norma suministra las directrices para la gestión de
riesgos de seguridad de la información en una empresa, apoyando
particularmente los requisitos del sistema de gestión de seguridad de la
información definidos en ISO 27001 (ISOTools Excellence, 2014).
ISO 27005 es aplicable a todo tipo de organizaciones que tengan la intención de

gestionar los riesgos que puedan complicar la seguridad de la información de su
organización. No recomienda una metodología concreta, dependerá de una serie
de factores, como el alcance real del Sistema de Gestión de Seguridad de la
Información (SGSI), o el sector comercial de la propia organización. Los usuarios
elijen el método que mejor se adapte para, por ejemplo, una evaluación de
riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las
zonas de alto riesgo (ISOTools Excellence, 2014).
Las secciones de contenido son:

1. Prefacio.
2. Introducción.
3. Referencias normativas.
4. Términos y definiciones.
5. Estructura.
6. Fondo.
7. Descripción del proceso de ISRM.
8. Establecimiento Contexto.
9. Información sobre la evaluación de riesgos de seguridad (ISRA).
10. Tratamiento de Riesgos Seguridad de la Información.
11. Admisión de Riesgos Seguridad de la información.
12. Comunicación de riesgos de seguridad de información.
13. Información de seguridad Seguimiento de Riesgos y Revisión.
Anexo A: Definición del alcance del proceso.
Anexo B: Valoración de activos y evaluación de impacto.
Anexo C: Ejemplos de amenazas típicas.
Anexo D: Las vulnerabilidades y métodos de evaluación de la
vulnerabilidad.
Pág. Nº 34
Anexo E: Enfoques de evaluación del riesgo en seguridad de la
información
En el Anexo E: Enfoques de evaluación del riesgo en seguridad de la

información, la NTP-ISO/IEC 27005 (2009) muestra dos enfoques:
a. E.1 Evaluación del riesgo en seguridad de la información de alto nivel

(NTP-ISO/IEC 27005, 2009)
Las características de la iteración de la evaluación del riesgo del alto
nivel pueden incluir las siguientes:
− La evaluación del riesgo de alto nivel puede dirigirse a una visión

más global de la organización y de sus sistemas de información,
considerando los aspectos de la tecnología como
independientes de las cuestiones empresariales. Al hacer esto,
el análisis del contexto se concentra más en el negocio y el
entorno operativo que en los elementos tecnológicos.
− La evaluación del riesgo de alto nivel puede resolver una lista
más limitada de amenazas y vulnerabilidades agrupadas en
dominios definidos o para hacer el proceso más expeditivo,
puede centrarse en los escenarios de riesgo o ataque en vez de
sus elementos.
− Los riesgos que se presentan en una evaluación del riesgo de
alto nivel frecuentemente son dominios de riesgo más generales
que los riesgos específicos identificados.
b. E.2 Evaluación detallada del riesgo en seguridad de la información (NTP-
ISO/IEC 27005, 2009)
El proceso de evaluación detallada del riesgo en seguridad de la
información incluye una identificación y valorización profunda de los
activos, la evaluación de amenazas a esos activos y la evaluación de
vulnerabilidades. Los resultados de esas actividades se utilizan
entonces para evaluar los riesgos y luego identificar el tratamiento del
riesgo.
Se puede evaluar las consecuencias de varias maneras, incluyendo el
uso de medidas cuantitativas, por ejemplo, monetarias, y cualitativas
(las que se pueden basar en el uso de adjetivos como moderado o
grave), o una combinación de ambas.
Pág. Nº 35
2.14. Definición de la terminología técnica básica
− Aceptación del riesgo: Decisión de aceptar el riesgo

− Activo: Recursos relacionados con el sistema de información o relacionado
con éste, necesario para el correcto funcionamiento de la organización
− Amenaza: Una causa potencial de un incidente no-deseado, el cual puede
resultar dañando a un sistema o activo de TI
− Análisis de riesgo: Uso sistemático de la información para identificar
fuentes y para estimar el riesgo. Identifica los activos a proteger o evaluar.
− Control: Medios para manejar el riesgo, incluyendo políticas,
procedimientos, lineamientos, prácticas o estructuras organizacionales, las
cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.
− Declaración de aplicabilidad (SOA): Documento que describe los objetivos
del control, y los controles que son relevantes y aplicables a la organización
del SGSI.
− Evaluación del riesgo: Proceso de comparar el nivel de riesgo estimado
durante el proceso de análisis de riesgo con un criterio dado para determinar
la importancia del riesgo.
− Evento de seguridad de información: Es una ocurrencia identificada del
estado de sistema, servicio o red indicando una posible falla en la política de
seguridad de la información o falla en los controles, o una situación
previamente desconocida que puede ser relevante para la seguridad.
− Frecuencia (probabilidad de ocurrencia): Posibilidad de que una amenaza
se materialice, independientemente de las salvaguardas que existan para
contrarrestarla.
− Gestión del riesgo: Actividades coordinadas para dirigir y controlar una
organización con relación al riesgo. Normalmente incluye la evaluación,
tratamiento, aceptación y comunicación del riesgo. Estas actividades se
enfocan a manejar la incertidumbre relativa de las amenazas detectadas.
− Impacto: Medida del daño sobre el activo derivado de la materialización de
una amenaza
− Incidente de seguridad de información: Es indicado por un solo evento o
una serie de eventos inesperados de seguridad de la información que tienen
una probabilidad significativa de comprometer las operaciones comerciales
y amenazar la seguridad de la información.
Pág. Nº 36
− Política: Intención y dirección general expresada formalmente por la
gerencia.
− Políticas de Seguridad: Las políticas de seguridad son las reglas y
procedimientos que regulan la forma en que una organización previene,
protege y maneja los riesgos de diferentes daños informáticos.
− Riesgo residual: El riesgo remanente después del tratamiento del riesgo
− Riesgo: Es la combinación de la probabilidad de un evento y su ocurrencia.
− Salvaguardas o contra medidas: Son aquellos procedimientos o
mecanismos tecnológicos o administrativos que reducen el nivel de riesgo.
− Tratamiento del riesgo: Proceso de tratamiento de la selección e
implementación de salvaguardas y controles para modificar el riesgo.
− Vulnerabilidad: Son ciertas condiciones inherentes a los activos que
facilitan que las amenazas se materialicen y llevan a esos activos a ser
vulnerables.
Pág. Nº 37
CAPÍTULO III. DESARROLLO DE LA PROPUESTA
3.1. Definición de la metodología para la implementación
Tomando como referencia la ISO 27005, que es el estándar internacional que

sirve de guía para la implantación de un Sistema de Gestión de Riesgos de TI y
la metodología española Magerit v3, se plantea la siguiente metodología para el
desarrollo de la propuesta de un Sistema de Gestión de Riesgos:
Fase 1: Definición del alcance del Sistema de Gestión de Riesgos

Fase 2: Evaluación de riesgos de TI
Fase 3: Tratamiento y administración del riesgo de TI
Fase 4: Propuesta de políticas de seguridad de la información
3.1.1. Actividades para la Fase 1: Definición del alcance del SGR

La cláusula 4.2.1 del estándar ISO 27001, en relación con el alcance del
modelo de SGSI, refiere la siguiente obligación: “Definir el alcance y los
límites del SGSI en términos de las características del negocio, la
organización, su ubicación, activos, tecnología e incluyendo los detalles
de y la justificación de cualquier exclusión del alcance“ (NTP-ISO/IEC
27001, 2014).
Al definir el alcance del SGR, se busca clarificar cual es la información

a la que se quiere dar protección, con independencia de dónde se halle,
cómo se almacene o quién pueda acceder a la misma.
Para ello se debe analizar los aspectos tanto internos como externos de
la entidad en análisis, para lograr un entendimiento de la organización,
identificando partes interesadas y las interrelaciones entre los procesos
involucrados y su entorno.
Para lograr este propósito se desarrollan las siguientes tareas:
a. Identificación de procesos y activos críticos: Se identifican

primero los procesos que son considerados dentro del alcance del
SGSI, describiendo el flujo de trabajo para identificar las áreas y
usuarios intervinientes y sus interrelaciones. Para ello se modelan
los procesos seleccionados mediante la perspectiva BPM.
Pág. Nº 38
Finalmente se identifican los activos de la información y de TI que se
deben proteger en los procesos analizados.
Esta actividad también debe incluir el modelado de los procesos

seleccionados con la finalidad de identificar el flujo de la información
a través de las diferentes áreas y dependencias administrativas.
b. Definición de la política general del SGSI: Para definir la política

general del SGSI se debe tener en consideración lo siguiente:
- Debe incluir el marco referencial para establecer los objetivos,
- Debe tomar en cuenta los requerimientos comerciales, legales,
reguladores, y las obligaciones de la seguridad contractual,
- Debe estar alineada con el contexto de la gestión del riesgo
estratégico de la gerencia,
- Debe establecer el criterio con el que se evalúa el riesgo,
- Debe ser revisada y aprobada por la gerencia.
c. Análisis de brechas de seguridad de la información: El análisis

de brechas se realizó comparando el estado actual de la
organización con los requisitos establecidos en la ISO 27001.
Para dicho análisis se debe realizó un estudio a los procesos de la

organización, determinado el porcentaje de cumplimiento para cada
dominio de la ISO 27001.
Para cumplir con esta actividad se elaboró la siguiente tabla a modo

de papel de trabajo:
Pág. Nº 39
Tabla N° 3. Formato para la evaluación de brechas de seguridad de la información
Cumple Nivel de
Ítem Dominio
(S/N) cumplimiento
1 Generalidades
2 Seguridad lógica
3 Seguridad de personal
4 Seguridad física ambiental
Inventario de activos y clasificación de la
5
información
Administración de las operaciones y
6
comunicaciones
Adquisición, desarrollo y mantenimiento de
7
sistemas informáticos
8 Procedimientos de respaldo
Gestión de incidentes de seguridad de
9
información
Fuente: elaboración propia
3.1.2. Actividades para la Fase 2: Evaluación de riesgos de TI

Las actividades de la Fase 2 se plantearon en base a la ISO 27005. Para
determinar las actividades de esta fase, primero se identificaron los
componentes que deberán ser considerados para la evaluación de los
riesgos. Para ello se tomó como referencia el modelo de la ISO 27005.
En la gráfica siguiente se puede apreciar, que los elementos o

componentes que deben ser considerados para la evaluación de los
riesgos de TI son:
- Los activos de información y de TI

- El valor de los activos de TI (criticidad del activo)
- Las amenazas
- El impacto (de la materialización de una amenaza)
- La frecuencia (o probabilidad de ocurrencia de la materialización de
una amenaza)
Pág. Nº 40
Gráfico N° 6. Elementos y sus relaciones de un modelo de gestión de riesgos
de TI
Fuente: (Magerit - Libro 1, 2012)
En base al modelo de gestión de riesgos de TI utilizado para esta

investigación, las actividades consideradas para la fase de valoración de
los riesgos, fueron:
a. Definición del inventario de activos de información y de TI

relevantes
En esta tarea se identificarán los activos que dan soporte a los
procesos del alcance del SGR. Para ello, se utilizará la clasificación
propuesta por la Metodología Magerit; específicamente la
clasificación propuesta para activos de soporte de los activos
primarios (procesos e información). Se clasificarán los activos de TI,
según sus características, en los siguientes tipos:
Pág. Nº 41
Tabla N° 4. Clasificación de activos de TI
Tipo de activo Descripción del tipo de activo

Información que se genera, envía, recibe y gestionan dentro
Dato de la organización. Incluye los documentos que se gestionan
dentro de sus procesos.
Aplicación Software que se utilice como soporte en los procesos
Actores que tienen posibilidades de acceso y manejo, de una
Personal
u otra manera, de los activos de información
Servicios que alguna área de la organización suministra a otra
Servicio
área o entidades externas a la misma
Hardware donde se procesa, almacena o transmite la
Tecnología
información
Lugar donde se alojan los activos de información. Puede estar
Instalación
ubicado dentro de la entidad o fuera de ella
Equipamiento Activos que no se hallan definidos en ninguno de los
auxiliar anteriores tipos
Fuente: Elaboración propia, adaptado de (Magerit, 2012)
b. Determinación de la criticidad de los activos de información y

de TI
Una vez inventariados los activos de TI es necesario identificar y
documentar el valor que su seguridad representa para la entidad.
Para ello, se asignará un conjunto de valores a cada activo teniendo
en cuenta los diferentes requerimientos de seguridad que se
consideren relevantes.
El valor que tienen los activos de información en el ámbito de la

seguridad puede medirse desde diversos puntos de vista. Estos
puntos de vista se denominan, en el marco de este modelo,
requerimientos de seguridad o dimensiones de la seguridad, los
cuales están definidos en el Anexo N° 1.
La valoración se deberá realizar mediante la ponderación de las

pérdidas ocasionadas para la entidad en caso de que falle o caiga el
activo, debido a la materialización de una amenaza, de cada uno de
los requerimientos de seguridad definidos para los diferentes activos
de información, según las tablas de referencia del Anexo N° 4 en
relación a: disponibilidad, integridad y confidencialidad.
Las escalas y criterios que se utilizarán para calificar cada una de las
dimensiones de seguridad de TI de cada activo, se muestran en la
tabla N° 5.
Pág. Nº 42
Tabla N° 5. Escalas propuestas para la valoración de los criterios de seguridad
de la información para determinar la criticidad de los activos
Valor en
Criterio Descripción
escala
El activo debe estar disponible por lo menos 25% del tiempo que se necesite.
1 No existe riesgo operacional, reputacional, ni legal si el activo de información
Disponibilidad se ha eliminado o no está disponible.
El activo debe estar disponible por lo menos 50% del tiempo que se necesite.
Si no lo estuviera o si fuese destruido puede ocasionar daños leves en la
2 organización, que afecten los intereses legales, operacionales y
reputacionales.
El activo debe estar disponible el 100% del tiempo que se necesite. Si no lo
estuviera o si fuese destruido ocasionará daños graves o hasta catastróficos
3 para la organización, afectarán los intereses legales, operacionales o
reputacionales, y causarán pérdidas económicas.
El activo debe estar correcto y completo por lo menos el 25% de las veces que
1 se necesite. No existe pérdidas económicas, ni riesgo operacional,
reputacional, ni legal.
Integridad
El activo debe ser correcto y completo al menos el 50% de las veces que se
2 necesita. Puede ocasionar daños leves en la organización, que afecten los
intereses legales, operacionales y reputacionales.
El activo debe ser correcto y completo el 100% de las veces utilizadas. De no
cumplir con lo anterior, puede causar daños graves o hasta catastróficos para
3 la organización, y afectará los intereses legales, operacionales o
reputacionales, además de pérdidas económicas significativas.
El activo es de conocimiento del público, por lo tanto, no existe ningún riesgo
1
Confidencialidad
legal, reputacional, operacional, ni económico.

El activo podrá ser divulgado hacia los colaboradores. Si se cumple con lo
2 anterior no será perjudicial para los intereses legales, reputacional,
operacional, ni económico.
El activo contiene información altamente sensible. Su divulgación puede
3 causar daños graves o hasta catastróficos, afectando los intereses legales,
reputacionales, y económicos.
Fuente: Desarrollo propio, tomando como referencia los criterios de valoración de la
metodología Magerit (Magerit, 2012)
Para determinar la criticidad de los activos se utilizará el siguiente

formato:
Tabla N° 6. Plantilla para la calificación de la criticidad de los activos de TI
Criterios de seguridad Nivel de

N° Activo Total
Confidencialidad Integridad Disponibilidad criticidad
1
2
3
Fuente: Desarrollo propio
Los niveles de criticidad de los activos de TI se obtendrán del

producto de las calificaciones realizadas para cada criterio de
seguridad y se clasificarán de la siguiente manera:
Pág. Nº 43
Tabla N° 7. Niveles de valoración de la criticidad de los activos de TI
Rango Nivel de criticidad Descripción

1–5 1 Muy bajo
6 – 10 2 Bajo
11 – 15 3 Medio
16 – 20 4 Alto
21 – 25 5 Muy alto
c. Identificación de las amenazas y vulnerabilidades

En esta actividad caracteriza el entorno al que se enfrenta el sistema,
qué puede pasar, qué consecuencias se derivarían y cuán probable
es que pase. Es decir, describe las amenazas a los que cada uno de
los activos está expuesto.
Para la identificación de las amenazas significativas de cada activo

de TI identificado, se tomará en consideración lo siguiente:
- El tipo de activo
- Las dimensiones de seguridad con las que cada activo está
relacionado
- La experiencia de la organización
- Los reportes de incidentes de seguridad
Tomando como referencia la tabla de inventario de las amenazas por

activo y dimensión de seguridad de la información del Anexo N° 2 y
el informe de valor de los activos de la actividad anterior, se debe
obtener la relación de amenazas por cada activo de TI. Se utilizará
el siguiente formato:
Tabla N° 8. Plantilla para la identificación de amenazas por activo
N° Activo Amenaza
1
2
3
Las amenazas se materializan por la existencia de debilidades en los

mecanismos de seguridad de los activos. Por tanto, en esta actividad
Pág. Nº 44
también se deben identificar las vulnerabilidades existentes
asociadas a cada uno de los activos de información y de TI.
En esta actividad se realiza el análisis de las deficiencias, debilidades

y carencias que tiene la organización en los diferentes procesos de
TI relacionados a la protección de los activos que han sido
identificados. El resultado de esta actividad permitirá determinar
cuáles son las debilidades internas que pueden ser aprovechadas
por las amenazas para materializarse y hacer fallar o atacar a los
activos de TI.
Para realizar esta tarea se analizaron los siguientes tipos de

vulnerabilidades:
- Vulnerabilidades en la seguridad lógica
- Vulnerabilidades en la seguridad de recursos humanos
- Vulnerabilidades en la seguridad física y ambiental
- Vulnerabilidades en la seguridad gestión de operaciones y
comunicaciones
- Vulnerabilidades en el mantenimiento, desarrollo y adquisición
de sistemas de información
La identificación de las vulnerabilidades se realiza en un trabajo

colaborativo con el personal que conoce y participa en los procesos
seleccionados dentro del alcance del SGR.
Pág. Nº 45
Tabla N° 9. Plantilla para la identificación de las vulnerabilidades por cada
Activo-Amenaza
N° Activo Amenaza Vulnerabilidad
Vulnerabilidad 1.1.1
Amenaza 1.1
1 Activo 1
Amenaza 1.2
Amenaza 2.1
2 Activo 2 Vulnerabilidad 2.2.1
Amenaza 2.2 Vulnerabilidad 2.2.2
d. Estimación del impacto de la materialización de las amenazas

Para esta investigación, se considera impacto a la medida del daño
sobre el activo derivado de la materialización de una amenaza.
Para la estimación del impacto que ocasiona una amenaza al

materializarse, se utilizó una escala de cinco niveles, para valorar los
siguientes criterios propuestos por la metodología Magerit (Magerit -
Libro 1, 2012): (1) Operación o interrupción de los servicios, (2)
Intereses económicos y (3) Seguridad, como se muestra en la
siguiente tabla.
Pág. Nº 46
materializarse
Nivel de Operación o interrupción

Intereses económicos Seguridad
degradación de los servicios
Probablemente cause una
Costos económicos de
interrupción Probablemente sea causa
recuperación
excepcionalmente seria de de un incidente
excepcionalmente elevados.
5: las actividades propias del excepcionalmente serio de
Constituye un incumplimiento
Catastrófico proceso con un serio impacto seguridad o dificulte la
excepcionalmente grave de
en los usuarios. investigación de incidentes
las obligaciones,
Destrucción de excepcionalmente serios.
cronogramas y planes
equipamiento/instalaciones
Probablemente sea causa
Probablemente tenga un de un serio incidente de
4:
serio impacto en las seguridad o dificulte la
Mayor
operaciones y servicios investigación de incidentes
serios.
Causa la interrupción de
actividades propias de los Genera costos de
procesos ocasionando recuperación graves.
Probablemente sea causa
condiciones operativas Causa merma de ingresos.
de un grave incidente de
3: adversas como resultado del
seguridad o dificulte la
Moderado incremento de la carga de
investigación de incidentes
trabajo o como resultado de
graves.
condiciones que impiden su
eficiencia.
Ocasionan incidentes serios
Probablemente cause la
interrupción de actividades Supondría costos de Probablemente sea causa
propias de los procesos con recuperación menores. de una merma en la
2:
interferencia en los servicios, Constituye un incumplimiento seguridad o dificulte la
Menor
y se requiera utilizar leve de obligaciones, investigación de un
procedimientos de cronogramas y planes incidente.
emergencia.
Supondría costos de Pudiera causar una merma
Probablemente cause la
1: recuperación mínimos. en la seguridad o dificultar
interrupción de actividades
Insignificante Causa incidencias de la investigación de un
propias de los procesos
pequeño valor económico incidente.
Fuente: Elaboración propia, adecuando la propuesta de Magerit
e. Estimación de la frecuencia de la materialización de las

amenazas
Para esta investigación, se considera frecuencia como la posibilidad
de que una amenaza se materialice.
Para la estimación de la frecuencia de la materialización de una

amenaza se utilizó una escala de cinco niveles, como se muestra en
la siguiente tabla:
Pág. Nº 47
Tabla N° 11. Escala de valoración propuesta para el impacto que ocasiona una
amenaza al materializarse
Nivel / clasificación Descripción del nivel

Ocurrencia diaria
La fuente de amenaza es altamente motivada y
5: Casi seguro suficientemente capaz. Los controles para
prevenir que la vulnerabilidad suceda son
ineficientes.
Ocurrencia semanal
La fuente de amenaza es altamente motivada y
4: Altamente posible suficientemente capaz. Los controles para
prevenir que la vulnerabilidad suceda son
ineficientes.
Ocurrencia mensual
La fuente de amenaza es motivada y capaz. Los
3: Posible
controles pueden impedir el éxito de que la
vulnerabilidad suceda.
Ocurrencia anual
La fuente de amenaza carece de motivación. Los
2: Raro
controles están listos para prevenir o para impedir
significativamente que la vulnerabilidad suceda.
Ocurrencia más de una vez al año
La fuente de amenaza carece de motivación. Los
1: Improbable
controles están listos para prevenir o para impedir
significativamente que la vulnerabilidad suceda.
Fuente: Elaboración propia
f. Valoración del riesgo

El objetivo del análisis del riesgo es identificar los escenarios de
riesgo y calcular los niveles de exposición riesgos a dichos
escenarios de riesgo en cada uno de los activos, en base a las
condiciones encontradas en la identificación de las amenazas y
vulnerabilidades.
El cálculo del nivel de riesgos de cada una de las amenazas

identificadas para cada activo, estará en función de la valoración y
clasificación del impacto y la probabilidad de su ocurrencia. Se
utilizará la siguiente relación:
NRI = Probabilidad de ocurrencia x Impacto (fórmula N° 1)
El producto de esta relación se ubicará en el siguiente mapa de calor,

tomando como referencia los niveles de riesgo definidos
anteriormente.
Pág. Nº 48
Tabla N° 12. Matriz de calor para la valoración del impacto y probabilidad de las
amenazas
Probabilidad de ocurrencia
Impacto en los
procesos
Raro Improbable Posible Probable Casi seguro
Catastrófico Bajo Medio Alto Muy alto Muy alto
Mayor Bajo Bajo Medio Alto Muy alto
Moderado Muy bajo Bajo Medio Medio Alto
Mínimo Muy bajo Bajo Bajo Bajo Medio
Insignificante Muy bajo Muy bajo Muy bajo Bajo Bajo
3.1.3. Actividades para la Fase 3: Tratamiento y administración del riesgo

de TI
En esta actividad se definirá e implementará los controles o salvaguardas
necesarias para tratar cada una de las amenazas en cuya evaluación se
haya obtenido niveles de riesgos no tolerantes, es decir, con el calificativo
de “Alto” o “Muy Alto”.
Esta fase contempla las siguientes actividades y tareas:

a. Plan de tratamiento de los riesgos no tolerables
b. Implementación de las medidas de seguridad
c. Identificación de la estrategia de implementación de controles
a. Plan de tratamiento de los riesgos no tolerables

Luego de definir los niveles de riesgos (NR) en cada escenario de
riesgo evaluado (Activo-Amenaza-Vulnerabilidad) que puedan
afectar la integridad, confidencialidad o disponibilidad de la
información; se debe definir el criterio de aceptación del riesgo, el
cual determina si el riesgo es aceptable o si requiere de algún
tratamiento. Esto se determina como el Apetito del Riesgo de TI.
Los NR cuya valoración sea “Muy Alta” o “Alta” son los que se
tratarán mediante controles o salvaguardas para reducir la
probabilidad que dichos riesgos identificados se materialicen o para
reducir su impacto. Para las amenazas con NR “Medio”, “Baja” o
“Muy Baja” se aplicará la estrategia de convivir con el riesgo.
Pág. Nº 49
A continuación, se presenta los criterios de aceptación o no
aceptación para dada uno de los niveles de los riesgos:
Tabla N° 13. Apetito al riesgo de TI según el nivel de exposición al riesgo
Nivel de Riesgo Política para la toma de Acciones

Muy alto Riesgo no aceptable
Alto Riesgo no aceptable
Medio Riesgo aceptable
Bajo Riesgo aceptable
Muy bajo Riesgo aceptable
Luego, se determina el plan de tratamiento para cada uno de los

riesgos encontrados no aceptables.
b. Implementación de las medidas de seguridad

Los controles que se seleccionarán para el tratamiento de los riesgos
no aceptables, se obtendrán del Catálogo de la ISO/IEC 27002, el
cual contiene una lista bastante completa de objetivos de control y
controles comúnmente relevantes para las organizaciones en
general.
Para determinar los controles que se van a implementar se

desarrollará la Declaración de la Aplicabilidad, donde se mostrarán
los controles que se implementarán, adaptados a la realidad
organizacional y capacidad instalada de UNTRM.
c. Identificación de la estrategia de implementación de controles

Seleccionado el control, con su correspondiente objetivo de control,
para cada NR no aceptable, se debe definir la estrategia de
implementación del control, que puede ser:
- Aceptar el riesgo
- Elección de controles para mitigar los riesgos
- Transferencia del riesgo a terceros
- Evitar aumento del riesgo
Pág. Nº 50
3.2. Desarrollo del Modelo de Gestión del Riesgo de TI propuesto
3.2.1. Definición del alcance del Sistema de Gestión de Riesgos
Para determinar el alcance del SGR, se realizó un análisis de los

procesos académicos y administrativos que gestionan los diferentes
servicios que se brindad a los estudiantes en la UNTRM, con la finalidad
de identificar aquellos procesos que están directamente relacionados con
los servicios que se gestionan en las facultades, que es el propósito de
esta investigación. A partir de este análisis, se seleccionó aquellos
procesos que se consideran como críticos en base a la cantidad de
trámites que se gestionan en un periodo determinado.
Posteriormente, se realizó el mapeado de los procesos seleccionados

para identificar el flujo de trabajo y las áreas/usuarios involucradas. Esta
información será utilizada como insumo para la identificación de los
activos de TI que serán considerados en la evaluación de riesgos de TI
con el modelo propuesto.
a. Identificación y selección de procesos críticos

La primera tarea de para determinar el alcance del SGR, fue el
análisis de la gestión de trámite documentario que actualmente se
desarrolla en la UNTRM para identificar y seleccionar los principales
procesos que gestionan los diferentes servicios.
De acuerdo al Texto Único de Procesos Administrativos (TUPA)

vigente (2018), los procesos de la UNTRM que requieren trámite
académico/administrativo, son los que se muestran en el Anexo N° 1,
los cuales se resumen a continuación:
Pág. Nº 51
Tabla N° 14. Procesos de la UNTRM, según el TUPA vigente
Nro. de
N° Unidad orgánica Observación
procesos
1 Oficina General de Admisión 14
2 Facultades 39
3 Oficina General de Asuntos Académicos 8
Los procesos son los mismos en la Biblioteca Central
4 Oficina General de Biblioteca 6
como en las bibliotecas especializadas
Oficina General de Bienestar
5 7
Universitario
Oficina General de Tecnologías de
6 2
Información Administrativos
Oficina General de Responsabilidad Los procesos son los mismos en la Oficina Central
7 7
Social Universitaria como en las oficinas de cada Facultad
Los procesos que figuran en el TUPA son 3, pero
durante la ejecución de la presente tesis, se aprobó
8 Oficinas de Investigación – Facultades 3
un nuevo reglamento con nuevos procesos de
acuerdo a la nueva ley universitaria
9 Dirección General de Administración 5
10 Secretaria general 14
11 Oficina General de Recursos Humanos 10
12 Escuela de Postgrado 17
Fuente: TUPA 2018 - UNTRM
Para la selección de los procesos que se tomaron como casos de

análisis se utilizaron los siguientes criterios:
− posibilidad de acceso a la información
− mayor demanda
En el caso de los procesos que tienen mayor demanda, la siguiente

tabla muestra los resultados del análisis cuantitativo que se realizó, a
partir de la información registrada en los cuadernos de registro de
trámite documentario en las diferentes oficinas de la UNTRM, durante
el periodo del 22 de agosto al 30 de noviembre del 2018. No se
consideraron los trámites requeridos que no figuran como proceso en
el TUPA vigente. Adicionalmente se observó que los procesos que
son los más requeridos (mayor demanda), son los realizados por los
estudiantes como parte de los trámites que realizan durante toda su
vida universitaria, desde su admisión a la universidad hasta la
obtención del título profesional.
Pág. Nº 52
Tabla N° 15. Número de trámites registrados por tipo de proceso
Nro. de
N° Denominación del proceso trámites Observación
registrados
No se consideró porque no requiere de trámite
administrativo. Los llamados matrículas por casos
1 Matricula ---
especiales no están formalmente
procedimentados como procesos
Adicional por asignatura Proceso obsoleto, por cuanto está considerado
2 ---
desaprobada como parte del proceso de matrícula
No se consideró porque no requiere de trámite
3 Matricula de ingresantes ---
administrativo
Proceso incluido como parte del proceso de
4 Matricula extemporánea ---
matrícula
En el periodo de recopilación de la información,
5 Reactualización de matricula 17
sólo se abarcó el proceso de matrícula 2018- II
6 Reserva de matricula 11
Incluye a las Escuelas Profesionales de Ingeniería
7 Matricula por traslado interno 7
de Sistemas y Mecánica Eléctrica
Matricula de ingresantes por
8 traslado externo - cambio de 3
universidad
Carnet de biblioteca
9 1
especializada
10 Duplicado de carnet 0
Carnet de biblioteca a
11 0
terceros
12 Multas por día y por libro 13
Constancias académicas de
13 187
cualquier tipo
14 Certificado de estudios 321
Expedición y Visación de Incluye a las Escuelas Profesionales de Ingeniería
15 13
sílabos de Sistemas y Mecánica Eléctrica
Convalidación y equivalencia Incluye a las Escuelas Profesionales de Ingeniería
16 22
de asignatura de Sistemas y Mecánica Eléctrica
17 Curso dirigido 51
18 Examen extraordinario 39
19 Traslado interno 16
No se consideró porque solo requiere de ingresar
Carta de presentación
20 112 una solicitud y la espera de la respuesta como
practicas pre profesionales
parte del trámite
21 Grado académico 97
Presentación del proyecto de No se incluyó a las Oficinas de Investigación por
22 ---
tesis no tener la posibilidad de acceso a la información
Anulación o cambio del No se incluyó a las Oficinas de Investigación, por
23 ---
proyecto de tesis no tener la posibilidad de acceso a la información
Modalidad de obtener título - No se incluyó a las Oficinas de Investigación, por
24 ---
Con sustentación de tesis no tener la posibilidad de acceso a la información
25 ---
Experiencia profesional no tener la posibilidad de acceso a la información
Pág. Nº 53
26 Examen de suficiencia --- no tener la posibilidad de acceso a la
profesional información
27 Título profesional 87
Concurso de admisión Este proceso solo se realiza en la Escuela
28 ---
residentado médico Profesional de Medicina Humana.
Matricula residentado médico Este proceso solo se realiza en la Escuela
29 ---
y titulación Profesional de Medicina Humana.
Rectificación de nombres y
30 2
apellidos
Revalidaciones de grados y
31 títulos provenientes del 2
extranjero
Fuente: Desarrollo propio, tomando como referencia cuaderno de registro de trámites de las diferentes
oficinas de la UNTRM
Los procesos seleccionados fueron:

1. Emisión de Constancias académicas de cualquier tipo
2. Emisión de Certificado de estudios
3. Convalidación y equivalencia de asignatura
4. Atención a solicitudes de curso dirigido
5. Atención a solicitudes de examen extraordinario
6. Evaluación de solicitudes de Traslado interno
7. Otorgamiento de Grado académico de bachiller o Título
profesional
b. Identificación de los procesos de TI de soporte a los procesos

académicos/administrativos
Los procesos de TI considerados son los que dan soporte a los
procesos académicos/administrativos seleccionados para garantizar
su capacidad, seguridad, continuidad y disponibilidad.
Los procesos de TI identificados son los siguientes:
- Procesos para las funciones de Desarrollo de software

- Procesos para la función de Producción y Soporte de TI
- Procesos para la función de Gestión de Centros de Cómputo
Dado que estos procesos de TI no están formalmente establecidos y

documentados, para el propósito de la investigación se tomaron como
funciones que realiza la Oficina General de Tecnologías de
Información y la Oficina General de Asuntos Académicos, para el
Pág. Nº 54
caso de los procesos de Desarrollo de software y, Producción y
Soporte de TI.
c. Definición de la política general del SGSI

La OGTI, consciente de la importancia que la seguridad de la
información en los procesos académicos/administrativos de la
UNTRM, suscribe en la presente política general de seguridad de la
información.
− La OGTI define y revisa los objetivos del SGSI, enfocados a la

conservación de la confidencialidad, disponibilidad e integridad
de los activos de información, considerados como documentos,
software, dispositivos físicos, personas, imagen, reputación y
servicios. Cumpliendo todos los requisitos legales,
reglamentarios y de servicios que le sean de aplicación, que
incrementa de esta manera, la confianza de nuestros usuarios y
otras partes interesadas.
− El diseño, implantación y mantenimiento del SGSI se apoya en

los resultados de un proceso continuo de análisis y gestión de
riesgos, del que se derivan las acciones a desarrollar en materia
de seguridad dentro del Alcance del SGSI.
− La OGTI establece los criterios de evaluación del riesgo de

manera que todos aquellos escenarios que impliquen un nivel de
riesgo inaceptable sean tratados adecuadamente.
− Se debe implantar las medidas requeridas para la formación y

concientización del personal en materia de seguridad de la
información. Asimismo, en caso de que los trabajadores
incumplan las políticas de seguridad, la Oficina General de
Administración podrá ejecutar las medidas disciplinarias que se
encuentren dentro del marco legal aplicable.
− La Jefatura de la OGTI se compromete con la implantación,

mantenimiento y mejora del SGSI facilitando los medios y
recursos que sean necesarios.
Pág. Nº 55
− Es responsabilidad del oficial de seguridad de Información
asegurar el buen funcionamiento del SGSI.
− La presente política es de aplicación a todo el personal y

recursos que se encuentran dentro del Alcance del SGSI. Se
pone en su conocimiento y es comunicada a todas las partes
interesadas.
d. Análisis de brechas de seguridad de la información

Para el análisis de brechas, se realizó una evaluación de
cumplimiento de cada uno de los controles determinados por la ISO
27001, con la finalidad de determinar el Nivel de aplicabilidad de la
norma (SOA) en la UNTRM. La evaluación del cumplimiento de los
controles se realizó tomando como base los resultados del análisis
de potenciales riesgos de los principales activos de la empresa que
se muestra en el anexo N° 01. Los controles que no han sido
evaluados se deben a que la UNTRM no los aplica.
La tabla siguiente muestra los resultados de ese análisis:
Tabla N° 16. Análisis de brechas de cumplimiento de los controles de la ISO 27001/ISO

27002
Control Requerimiento ¿Se Nivel de

Control
ISO Objetivo de control cumple? cumplimiento
5. Política de seguridad
5.1 Política de Seguridad de la Información
Un documento de política de
Se tiene documento de la seguridad de la información debería
5.1.1 política de seguridad de la ser aprobado por la Dirección y NO
Información debería ser publicado y comunicado a
todos los empleados y terceras partes.
La política de seguridad de la
información se debería revisar a
Se hace revisión y intervalos planificados o en el caso de
5.1.2 evaluación de este que se produzcan cambios NO
documento y se promulga significativos para asegurar la
su lectura y aplicación. idoneidad, adecuación y la eficiencia
de la continuidad.
6. Organización de la Seguridad de la Información
Pág. Nº 56
6.1 Organización Interna
La Dirección deberá dar un activo

soporte a la seguridad dentro de la
Compromiso de las
organización a través de directivas
Dirección con la
6.1.1 claras, compromiso demostrado, SI 45%
seguridad de la
asignación explícita y reconocimiento
información
de las responsabilidades de seguridad
de la información
Las actividades relativas a la

seguridad de la información deberían
Coordinación de la
ser coordinadas por representantes de
6.1.2 Seguridad de la SI 50%
las diferentes partes de la
Información
organización con los correspondientes
roles y funciones de trabajo
Asignación de
Debería definirse claramente todas las
responsabilidades sobre
6.1.3 responsabilidades de seguridad de la SI 40%
la seguridad de la
información
información
Proceso de Autorización
Debería definirse e implantarse un
de recursos para el
proceso de autorización para la
6.1.4 procesamiento/ SI 35%
gestión de cada nuevo recurso de
tratamiento de
tratamiento de la información
información
Debería identificarse y revisarse de
una manera regular los requisitos de
Acuerdos de los acuerdos de confidencialidad o no
6.1.5 NO
confidencialidad revelación que refleje las necesidades
de la organización para la protección
de la información
Se debería mantener contactos
Contacto/Cooperación
6.1.6 adecuados con las autoridades que NO
con las autoridades
corresponda
Se deberían mantener contactos
Contacto con apropiados con grupos de interés
6.1.7 grupos de especial u otros foros especialistas en NO
especial interés seguridad y asociaciones
profesionales.
El enfoque de la organización para la
gestión de la seguridad de la
Se realiza Auditoría
información y su implantación debería
interna y Revisiones
revisarse de una manera
6.1.8 independientes de la NO
independiente a intervalos
seguridad de la
planificados o cuando se producen
información
cambios significativos en la
implantación de la seguridad.
6.2 Seguridad de acceso de terceras partes
Cuando el negocio requiera de partes

externas, deberían identificarse los
riesgos de la información de la
Identificación de riesgos
organización y de los dispositivos de
6.2.1 de acceso de terceras SI 40%
tratamiento de la información, así
partes
como la implantación de los controles
adecuados antes de garantizar el
acceso.
Todos los requisitos de seguridad que
Consideraciones de se hayan identificado deberían ser
6.2.2 seguridad en contratos dirigidos antes de dar acceso a los SI 60%
con clientes/usuarios clientes/usuarios a los activos o a la
información de la seguridad.
Pág. Nº 57
Los acuerdos que comparten el
acceso de terceros a recurso de
tratamiento de información de la
organización deben basarse en un
contrato formal que tenga o se refiera
a todos los requisitos de la seguridad
Consideraciones de
que cumpla con las políticas y normas
6.2.3 seguridad en contratos NO
de seguridad de la organización.
con terceros
El contrato debe asegurar que no hay
malentendidos entre la organización y
los terceros.
Las organizaciones deben verse
compensadas hasta la indemnización
de sus suministradores.
7. Gestión de activos
7.1 Responsabilidad sobre los activos
Inventario de
Todos los activos deberían ser
activos
claramente identificados y deberían
7.1.1 tecnológicos y SI 70%
prepararse y mantenerse un inventario
de la
de todos los activos importantes
información
Toda la información y los activos
Responsables/ asociados con los recursos para el
7.1.2 Propietarios de los tratamiento de la información deberían SI 40%
activos tecnológicos ser propiedad de una parte designada
de la organización
Las reglas de uso aceptable de la
información y los activos asociados
Uso aceptable de los
7.1.3 con el tratamiento de la información SI 30%
activos tecnológicos
deberían ser identificadas,
documentadas e implantadas
7.2 Clasificación de la información
La información debería estar

Normas y directrices para
clasificada, según su valor, los
7.2.1 clasificación de la NO
requisitos legales, su sensibilidad y
información
criticidad para la organización
Debería desarrollarse un conjunto
Identificación, adecuado de procedimientos para
marcar y tratar la información de
7.2.2 etiquetado y manejo NO
acuerdo con el esquema de
de la información clasificación adoptado por la
organización
8. Seguridad ligada a los Recursos Humanos
8.1 Seguridad en actividades previas en la contratación
Las funciones y responsabilidades de

seguridad para los empleados,
Inclusión de la seguridad
contratistas y usuarios de tercera parte
en las funciones y
8.1.1 deberían ser definidas y NO
responsabilidades del
documentadas de acuerdo con la
trabajo
política de seguridad de la información
de la organización
Pág. Nº 58
La comprobación de los antecedentes
de todos los candidatos al puesto de
trabajo, los contratistas o los usuarios
de tercera parte deberían ser llevadas
Investigación del
a cabo de acuerdo con la legislación
8.1.2 personal que va a ser NO
aplicable, las reglamentaciones y
contratado
éticas de manera proporcional a los
requisitos del negocio, la clasificación
de la información a la que se accede y
los riesgos considerados
Como parte de las obligaciones
contractuales, los empleados,
contratistas y usuarios de tercera parte
Términos y deberían aceptar y firmar los términos
8.1.3 condiciones y condiciones de su contrato de NO
laborales trabajo, que deberían establecer sus
responsabilidades, así como las de la
organización en lo relativo a la
seguridad de la información
8.2 Seguridad en actividades durante el desempeño de las funciones
La Dirección debería requerir a los

empleados, contratistas y de tercera
Responsabilidades parte, el aplicar la seguridad de
8.2.1 NO
de la Dirección acuerdo a lo establecido en las
políticas y procedimientos de la
organización.
Todos los empleados de la
Conciencia y organización y, cuando corresponda,
formación sobe la los contratistas y los usuarios de
seguridad de la tercera parte, deberían recibir una
8.2.2 NO
información: formación y concientización
educación y adecuadas y actualizadas de las
entrenamiento políticas y procedimientos, según
corresponda a su puesto de trabajo.
Debería existir un proceso disciplinario
formal para los empleados que hayan
8.2.3 Procesos disciplinarios NO
provocado alguna brecha de
seguridad.
8.3 Fin de contrato o cambio de funciones
Las responsabilidades para llevar a

Responsabilidades en la cabo la finalización o cambio de
8.3.1 NO
terminación del contrato puesto de trabajo deberían estar
claramente definidas y asignadas.
Todos los empleados, contratistas y
usuarios de tercera parte deberían
Devolución/restitución de devolver los activos de la organización
8.3.2 NO
activos tecnológicos que tengan en posesión a la
finalización de su empleo, contrato o
acuerdo.
Los derechos de acceso a la
información y a los recursos de
tratamiento de la información de todos
Eliminación de permisos los empleados, contratistas y usuarios
8.3.3 NO
sobre los activos de tercera parte, debería ser retirada a
la finalización de la contratación o del
acuerdo, o adaptados según los
cambios.
9. Seguridad física y del entorno
Pág. Nº 59
9.1 Áreas seguras/restringidas
Debería usarse perímetros de

seguridad (barreras tales como muros,
puertas de entrada con control a través
Perímetro de Seguridad
9.1.1 de tarjeta o mesas de recepción SI 30%
Física
tripuladas) para proteger las áreas que
contienen la información y los recursos
de tratamiento de la información.
Las áreas seguras deberías estar

protegidas por controles de entrada
Controles físicos de
9.1.2 adecuados para asegurar que SI 40%
entrada
únicamente se permita el acceso al
personal autorizado
Aseguramiento de Se debería diseñar y aplicar la

9.1.3 oficinas, cuartos e seguridad física para las oficinas, SI 70%
instalaciones despachos y recursos
Se debería diseñar y aplicar una

protección física contra el daño por
Protección contra
fuego, inundación, terremoto,
9.1.4 amenazas externas y SI 40%
explosión, malestar social y otras
ambientales
formas de desastres naturales o
provocadas por el hombre
Se debería diseñar e implantar la

Trabajo en áreas
9.1.5 protección física y las directrices para NO
restringidas
trabajar en las áreas seguras.
Deberían controlarse los puntos de

acceso tales como las áreas de carga
y descarga y otros puntos donde
pueda acceder personal no
Acceso público, envíos y
9.1.6 autorizado, y si es posible, dichos NO
áreas de carga
puntos deberías estar aislados de los
recursos de tratamiento de la
información para evitar accesos no
autorizados
9.2 Seguridad de los equipos
Los equipos deberías estar situados o

Ubicación, instalación y protegidos para reducir los riesgos de
las amenazas y los riesgos del
9.2.1 protección de equipos SI 70%
entorno, así como de las
tecnológicos oportunidades de acceso no
autorizado
Seguridad en el Los equipos deberías estar protegidos
suministro de de los fallos de energía y de otras
9.2.2 SI 60%
electricidad y servicios interrupciones causadas por fallos en
(utilities) las instalaciones de suministro
El cableado eléctrico y de
telecomunicaciones que transmiten
Seguridad en el
9.2.3 datos a los servicios de soporte de la SI 60%
cableado información debería estar protegido de
interceptación o de daños
Pág. Nº 60
Los equipos deberías ser mantenido
Mantenimiento de de una manera correcta para asegurar
9.2.4 SI 60%
equipos su continuidad, disponibilidad e
integridad
Se debería aplicar medidas de

Seguridad de equipos seguridad a los equipos fuera de los
locales de la organización, teniéndose
9.2.5 fuera de las áreas SI 50%
en cuenta los diferentes riesgos de
seguras trabajar fuera de los locales de la
organización
Todos los elementos del equipo que
contengan medios de almacenamiento
deberían ser comprobados para
Destrucción y
9.2.6 asegurar que todo dato sensible y NO
reutilización de equipos software bajo licencia se ha borrado o
sobrescrito, previamente a su
utilización
Los equipos, la información o el
Traslado de activos software no deberían sacarse fuera de
9.2.7 NO
fuera de la organización las instalaciones sin previa
autorización
10. Gestión de las comunicaciones y las operaciones
10.1 Procedimientos y responsabilidades operativas
Se debería implantar, mantener

Documentación de procedimientos operacionales y estar
10.1.1 SI 35%
procesos operativos disponibles para todos los usuarios
que lo necesiten
Se deberían controlar los cambios en

10.1.2 Control de Cambios los recursos y sistemas de NO
Las tareas y áreas de responsabilidad
deberían segregarse para reducir la
Segregación de posibilidad de modificaciones no
10.1.3 NO
funciones y tareas autorizadas y no intencionadas o el
mal uso de los activos de la
organización
Separación de los Deberían separarse los recursos para
ambientes de el desarrollo, las pruebas y operación,
10.1.4 para reducir los riesgos de acceso no SI 60%
Desarrollo, prueba y
autorizado o los cambios del sistema
producción operativo
10.2 Gestión de la provisión de servicios contratados con terceros
Deberían asegurarse de que los

controles de seguridad, los niveles de
entrega y definiciones del servicio
10.2.1 Entrega de servicios incluido en el acuerdo de entrega del NO
servicio por tercera parte se implantan,
se ponen en funcionamiento y son
mantenidos por la tercera parte
Los servicios, informes y registros

Monitoreo y
proporcionados por las terceras partes
revisión de
10.2.2 deberían ser controlados y revisados NO
servicios de
regularmente, y también se deberían
terceros
llevar a cabo auditorías regularmente
Pág. Nº 61
Se deberían gestionar los cambios en
la provisión de los servicios,
incluyendo el mantenimiento y la
Administración de mejora de las políticas, procedimientos
10.2.3 cambios a servicios de y controles de seguridad de la NO
terceros información existentes, teniendo en
cuenta la criticidad de los procesos y
sistemas de negocio implicados y la
revalorización de los riesgos
10.3 Planificación y aceptación de sistemas
La utilización de los recursos debería

controlarse y ajustarse y se deberían
10.3.1 Gestión de capacidades hacer proyecciones de los requisitos NO
de capacidad futura para asegurar el
comportamiento requerido del sistema
Debería establecerse un criterio e

aceptación para los nuevos sistemas,
las actualizaciones y las nuevas
10.3.2 Aceptación de sistemas versiones; así como llevarse a cabo NO
las pruebas adecuadas del (de los)
sistema(s) durante el desarrollo y
previamente a la aceptación
10.4 Protección contra software malicioso y código móvil
Se debería implantar procedimientos

de concienciación del usuario
Controles contra código
10.4.1 adecuados; así como controles de SI 60%
malicioso
detección, prevención y recuperación
para proteger contra código malicioso
Cuando se autoriza el uso de código

ambulante, la configuración debería
asegurar que está operando un código
Controles contra código ambulante autorizado de acuerdo a
10.4.2 NO
móvil una política de seguridad claramente
definida, y debería prevenirse la
ejecución de código ambulante no
autorizado
10.5 Copias de seguridad
Se debería hacer copias de seguridad

de la información y del software y ser
Copias de respaldo de la
10.5.1 comprobadas regularmente de SI 70%
información
acuerdo con la política de copias de
seguridad acordadas
10.6 Gestión de la seguridad de red
Las redes deberían estar

adecuadamente gestionadas y
controladas, para estar protegidas de
10.6.1 Controles de la Red amenazas y para mantener la SI 60%
seguridad de los sistemas y
aplicaciones que usan estas redes,
incluyendo la información en tránsito
Pág. Nº 62
Las características de seguridad, los
niveles de servicio, los requisitos de
gestión para todos los servicios de red
Seguridad de los deberían estar identificadas e incluidas
10.6.2 SI 60%
Servicios de Red en todo acuerdo de servicio de red,
aunque estos servicios se
proporcionen desde dentro de la
organización o sean subcontratados
10.7 Utilización de los soportes de información
Administración de Debería haber procedimientos para la

10.7.1 NO
medios removibles gestión de los soportes desmontables
Debería deshacerse de los soportes

de una manera segura y fuera de
10.7.2 Destrucción de medios peligro cuando no se vaya a requerir NO
su uso durante más tiempo, mediante
procedimientos formales
Se debería establecer procedimientos
para el tratamiento y el
Procedimientos de
10.7.3 almacenamiento de la información NO
manejo de la información
para proteger esta información de
revelación no autorizada o mal uso
Seguridad de la El sistema de documentación debería

10.7.4 documentación de los estar protegido contra accesos no NO
sistemas autorizados
10.8 Intercambio de información
Se debería establecer políticas de

Políticas y intercambio formal, procedimientos y
procedimientos del controles para proteger el intercambio
10.8.1 NO
intercambio de de la información mediante el uso de
información todos los tipos de servicios de
comunicación
Se debería establecer acuerdos para

Acuerdos para el
el intercambio de información y
10.8.2 intercambio de NO
software entre la organización y las
información
partes externas
Los recursos que contienen
información deberían estar protegidos
Medios físicos en contra el acceso no autorizado, el mal
10.8.3 NO
movimiento uso o corrupción durante el transporte
fuera de los límites físicos de la
organización
La información implicada en el envío
10.8.4 Mensajería electrónica de mensajes electrónicos debería NO
estar adecuadamente protegida
Se debería desarrollar e implantar

políticas y procedimientos para
Sistemas de información
10.8.5 proteger la información asociada a la NO
de negocios
interconexión de sistemas de
información entre organizaciones
10.9 Servicios de comercio electrónico
Pág. Nº 63
La información implicada en el
comercio electrónico realizado a
través de rede públicas debería
protegerse de las actividades
10.9.1 Comercio electrónico NO
fraudulentas, los litigios contra
contratos, y la revelación o
modificación no autorizada de la
información
La información implicada en las
transacciones online debería estar
protegida para evitar la transmisión
incompleta, las rutas erróneas, la
10.9.2 Transacciones en línea NO
alteración no autorizada del mensaje,
la revelación no autorizada, la
duplicación no autorizadas del
mensaje
La integridad de la información que se

hace disponible en el sistema
Información de difusión
10.9.3 públicamente disponible debería estar NO
pública
protegida para prevenir la modificación
no autorizada
10.10 Seguimiento/Monitoreo
Se debería efectuar registros de

auditoría de las actividades del
usuario, excepciones e incidencias de
información, y mantenerse durante un
10.10.1 Registros de auditoría SI 40%
periodo acordado para ayudar en
investigaciones futuras y en el
seguimiento y monitorización del
control de accesos
Se debería establecer procedimientos
para el seguimiento del uso de los
Seguimiento del uso de recursos de tratamiento de la
10.10.2 NO
los sistemas información y revisarse regularmente
los resultados del seguimiento de
estas actividades
Los dispositivos de registro y el diario

Protección de registros de información deberán estar
10.10.3 NO
de monitoreo protegidos contra la manipulación y los
accesos no autorizados
Registros de monitoreo Las actividades de administrador del

10.10.4 de administradores y sistema y del operador del sistema NO
operadores deberán ser registradas.
Los fallos deberían ser registrados,

Registro de fallas y
10.10.5 analizados y tomar las acciones NO
errores
adecuadas
Los relojes de todos los sistemas de

tratamiento de la información dentro
10.10.6 Sincronía de relojes de una organización o dominio de NO
seguridad deberían estar
sincronizados con una precisión de
tiempo acordada.
11. Control de accesos
11.1 Requerimientos de negocio para control de acceso
Pág. Nº 64
Se debería establecer, documentar y
Política de Control de revisar una política de control de
11.1.1 SI 90%
Acceso acceso basada en los requisitos de
negocio y de seguridad para el acceso.
11.2 Gestión de acceso de los usuarios
Debería haber un procedimiento de

registro formal de usuarios y de
11.2.1 Registro de usuarios retirada del registro para conceder y SI 70%
revocar el acceso a todos los sistemas
y servicios de información
La asignación y el uso de privilegios
Administración de
11.2.2 deberían estar restringidos y SI 70%
privilegios
controlados
Administración de La asignación de contraseñas debería

11.2.3 contraseñas de usuario ser controlada a través de un proceso SI 100%
(passwords) formal de gestión
La Dirección debería revisar los

Revisión de los
derechos de acceso de los usuarios a
11.2.4 permisos asignados a NO
intervalos regulares y utilizando un
los usuarios
procedimiento formal
11.3 Responsabilidad de los usuarios
Se debería requerir a los usuarios el

seguir las buenas prácticas de
11.3.1 Uso de las contraseñas SI 50%
seguridad en la selección y el uso de
contraseñas
Los usuarios deberían asegurarse que
11.3.2 Equipos desatendidos el equipo desatendido tiene la NO
protección adecuada
Debería adoptarse una política de

puesto de trabajo despejado de
Política de escritorios y papeles y medios de almacenamiento
11.3.3 NO
pantallas limpias desmontables y una política de
pantalla limpia para los recursos de
11.4 Control de acceso a la red
Únicamente se debería proporcionar a

Políticas para el uso de
los usuarios el acceso a los servicios
11.4.1 los servicios de la red SI 80%
para los que específicamente se les
de datos
haya autorizado el uso
Se debería utilizar los métodos

Autenticación de
apropiados de autenticación para el
11.4.2 usuarios para NO
control de acceso a los usuarios en
conexiones externas
remoto
Debería considerarse la identificación
automática del equipo como un medio
Identificación de
11.4.3 de autenticación de las conexiones SI 80%
equipos en la red
para las posiciones y equipos
específicos
Diagnóstico remoto y
Se debería controlar acceso físico y
protección de la
11.4.4 lógico al diagnóstico y configuración SI 40%
configuración de
de los puertos
puertos
Pág. Nº 65
Los grupos de servicio de información,
de usuarios y de sistema de
11.4.5 Segregación en la red SI 70%
información deberían estar
segregados en redes
Se debería restringir la capacidad de
los usuarios a conectarse a la red en
el caso de redes compartidas,
Control de conexión a la especialmente para aquellas que
11.4.6 SI 40%
red traspasan las fronteras de la
organización, en línea con la política
de control de acceso y los requisitos
de las aplicaciones de negocio
Los controles de direccionamiento
deberían estar implantados para las
redes, para asegurar que las
Control de enrutamiento
11.4.7 conexiones de las computadoras y los SI 50%
de la red
flujos de información no violen la
política de control de acceso a las
aplicaciones del negocio
11.5 Control de acceso a los sistemas operativos
Procedimientos para Se debería controlar el acceso al

11.5.1 inicio de sesión de las sistema operativo mediante un NO
estaciones de trabajo procedimiento de entrada seguro
Todos los usuarios deberían tener un

identificador de usuario (ID) para su
Identificación y
uso personal y único. Se debería elegir
11.5.2 autenticación de los NO
una técnica adecuada de
usuarios
autenticación para la conformación de
la identidad de un usuario
Sistema de Los sistemas para la administración de

11.5.3 administración de contraseñas deberían ser interactivos NO
contraseñas y asegurar la calidad de la contraseña
El uso de los programas que pueden

ser capaces de invalidar los controles
Uso de las utilidades
11.5.4 del sistema y de la aplicación, NO
del sistema
deberían estar restringidos y
estrictamente controlados
Las sesiones interactivas deberían

Desconexión
11.5.5 cerrase después de un periodo de NO
automática de sesión
inactividad definido
Limitación en los Se debería usar restricciones en los

periodos de tiempo de tiempos de conexión para
11.5.6 NO
conexión a servicios y proporcionar una seguridad adicional
aplicaciones a las aplicaciones de alto riesgo
11.6 Control de acceso a la información y aplicaciones
Debería restringirse el acceso de los

usuarios y del personal de apoyo a la
Restricción de acceso a
información y a las funciones del
11.6.1 los sistemas de NO
sistema de aplicación, de acuerdo con
información
la política de control de acceso
definida
Los sistemas sensibles deberían tener
Aislamiento de sistemas
11.6.2 un entorno de computadores NO
sensibles
dedicados y aislados
Pág. Nº 66
11.7 Computación móvil y teletrabajo
Debería implantarse una política

formal y debería adoptarse las
Computación y
apropiadas medidas de seguridad
11.7.1 comunicaciones NO
para proteger contra los riesgos de la
móviles
utilización de computadores y
comunicaciones móviles
Se deberían desarrollar e implantar
procedimientos, planes operacionales
11.7.2 Teletrabajo NO
y una política para las actividades de
teletrabajo
12. Adquisición, desarrollo y mantenimiento de sistemas de información
12.1 Requisitos de seguridad de los sistemas de información
Análisis y
especificaciones de los
12.1.1 NO
requerimientos de
seguridad
12.2 Procesamiento correcto en aplicaciones
La introducción de datos en las

Validación de los datos aplicaciones debería validarse para
12.2.1 SI 80%
de entrada garantizar que dichos datos son
correctos y adecuados
Debería incorporarse comprobaciones
de validación a las aplicaciones para
Control del
12.2.2 detectar cualquier corrupción de la NO
procesamiento interno
información debida a errores de
procesamiento o actos intencionados
Debería identificarse los requisitos
para garantizar la autenticidad y
Integridad de los proteger la integridad de los mensajes
12.2.3 NO
mensajes en las aplicaciones y deberían
identificarse e implantarse controles
adecuados
Los datos resultantes de una

aplicación deberían ser validados para
Validación de los datos
12.2.4 garantizar que el procesamiento de la NO
de salida
información almacenada es correcto y
resulta adecuado a las circunstancias
12.3 Controles criptográficos
Debería desarrollarse e
Política para el uso de implementarse una política acerca del
12.3.1 NO
controles criptográficos uso de controles criptográficos para
proteger la información
Debería existir una gestión de las
Administración de claves que apoye el uso de técnicas
12.3.2 NO
claves/llaves criptográficas por parte de la
organización
12.4 Seguridad de los ficheros del sistema
Pág. Nº 67
Control del software Deberían existir procedimientos para
12.4.1 operacional (en controlar la instalación de software en SI 70%
producción) los sistemas operativos
Los datos de prueba deberían

Protección de los datos
12.4.2 seleccionarse atentamente, NO
en sistemas de prueba
protegerse y controlarse
Control de acceso a las

Debería restringirse el acceso al
12.4.3 librerías de código SI 70%
código fuente de los programas
fuente
12.5 Seguridad en los procesos de desarrollo y soporte
La implementación de cambios
Procedimientos para el debería estar controlada mediante el
12.5.1 NO
control de cambios uso de procedimientos formales de
control de cambios
Cuando se realizan cambios en los

Revisión técnica de sistemas debería revisarse y probarse
aplicaciones después las aplicaciones, sobre todas las
12.5.2 NO
de cambios al sistema críticas, para garantizar que no existen
operativo efectos adversos en las operaciones
organizativas o la seguridad
No debería estimularse las
modificaciones a los paquetes de
Restricciones a
software, debería limitarse a los
12.5.3 cambios en paquetes SI 50%
cambios necesarios y todos los
de software
cambios deberían estar estrictamente
controlados
Debería evitarse la oportunidad de
12.5.4 Fuga de información NO
fuga de información
Desarrollo de software La externalización del desarrollo del
12.5.5 por parte de software debería ser supervisada y NO
Outsourcing monitorizada por la organización
12.6 Gestión de vulnerabilidades técnicas
Debería obtenerse información

oportuna a cerca de las
vulnerabilidades técnicas de los
Control de
sistemas de información que se estén
12.6.1 vulnerabilidades NO
utilizando. Asimismo, deberían
técnicas evaluarse la exposición de la
organización a dichas vulnerabilidades
y deberían adoptarse medidas
adecuadas para afrontar el riesgo
13. Gestión de incidentes de seguridadasociado.
de la información
13.1 Comunicación de eventos y debilidades de seguridad de la información
Los eventos de seguridad de la

Reporte de eventos de
información deberían comunicarse
13.1.1 Seguridad de la SI 40%
mediante canales adecuados de
información
gestión lo antes posible
Todos los trabajadores, contratistas y
usuarios terceros de los sistemas y
servicios de comunicación deberían
Reporte de debilidades
13.1.2 estar obligados a anotar y comunicar NO
de seguridad
cualquier punto débil que hayan
observado o que sospechen que
exista en los sistemas o servicios
Pág. Nº 68
13.2 Gestión de incidentes de seguridad de la información y de su mejoramiento
Debería establecerse
responsabilidades y procedimientos
Responsabilidades y de gestión para garantizar una
13.2.1 SI 50%
procedimientos respuesta rápida, efectiva y adecuada
a los incidentes de seguridad de la
información
Deberían existir mecanismos para
Aprendizaje a partir de permitir que los tipos, volúmenes y
13.2.2 los incidentes de costes de los incidentes de seguridad NO
seguridad de la información se cuantifiquen y se
supervisen
Cuando una acción contra una
persona u organización después de un
incidente de seguridad de la
información implique medidas legales
Recolección de (tanto civiles como penales), deberían
13.2.3 NO
evidencia recopilarse pruebas, que deberían
conservarse y presentarse de manera
que se ajusten a las normas
establecidas en la jurisdicción
pertinente con respecto a las pruebas
14. Gestión de la continuidad del negocio
14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio
Debería desarrollarse y mantenerse

Inclusión de seguridad un proceso controlado para la
de la información en el continuidad del negocio en toda la
14.1.1 proceso de organización que trate los requisitos NO
administración de la de seguridad de la información
continuidad del negocio necesarios para la continuidad del
negocio de la organización
Deberían identificarse los eventos que
provocan interrupciones en los
Continuidad del negocio procesos del negocio; así como la
14.1.2 y análisis de impacto probabilidad y los efectos de dichas NO
(BIA) interrupciones y sus consecuencias
con respecto a la seguridad de la
información
Debería desarrollarse e implantarse

planes para mantener o restaurar las
Desarrollo e actividades y garantizar la
14.1.3 implementación de disponibilidad de la información en el NO
planes de continuidad nivel y la escala temporal requeridos
después de una interrupción o un fallo
de los procesos críticos de un negocio
Se debería mantener un único marco

de referencia para los planes de
continuidad del negocio, para
Marco de planeación asegurar que todos los planes son
14.1.4 para la continuidad del consistentes, para dirigir de una NO
negocio manera coherente los requisitos de
seguridad de la información, y para
identificar prioridades para las pruebas
y el mantenimiento
Pág. Nº 69
Pruebas,
Los planes de continuidad del negocio
mantenimiento y
deberían probarse y actualizarse
14.1.5 revisión de los planes NO
periódicamente para garantizar que
de continuidad del
están al día y que son efectivos
negocio
15. Conformidad
15.1 Cumplimiento con requerimientos legales
Todos los requisitos pertinentes, tanto

legales como reglamentarios o
contractuales, y el enfoque de la
Identificación de la organización para cumplirlos,
15.1.1 NO
legislación aplicable deberían definirse explícitamente,
documentarse y mantenerse
actualizados para cada sistema de
información y la organización
Deberían implantarse procedimientos

adecuados para garantizar el
cumplimiento de los requisitos legales,
Derechos de autor y reglamentarios y contractuales acerca
15.1.2 NO
propiedad intelectual del uso de materiales con respecto a
los cuales puedan existir derechos de
propiedad intelectual y acerca del uso
de productos de software exclusivo
Los registros importantes deberían

estar protegidos contra la pérdida,
Salvaguardar los
destrucción y falsificación de acuerdo
15.1.3 registros de la NO
con los requisitos legales,
organización
reglamentarios contractuales y
empresariales
Debería garantizarse la protección de

Protección de los datos datos y la privacidad según se requiera
15.1.4 y privacidad de la en la legislación, las normativas y, si NO
información personal fuera aplicable, las cláusulas
contractuales pertinentes
Debería impedirse que los usuarios
Prevención del mal uso
utilizaran las instalaciones de
15.1.5 de los componentes NO
procesamiento de la información para
tecnológicos
fines no autorizados.
Los controles criptográficos deberían
Regulación de controles utilizarse de acuerdo con todos los
15.1.6 NO
criptográficos contratos, leyes y normativas
pertinentes.
15.2 Conformidad con políticas y normas de seguridad y conformidad técnica
Cumplimiento de los Los gestores deberían asegurarse de

diferentes que todos los procedimientos de
requerimientos y seguridad, dentro de su área de
15.2.1 NO
controles establecidos responsabilidad, se realicen con el fin
por la política de de cumplir las políticas y normas de
seguridad seguridad
Debería comprobarse periódicamente

Chequeo del que los sistemas de información
15.2.2 NO
cumplimiento técnico cumplan las normas de
implementación de seguridad
Pág. Nº 70
15.3 Consideraciones sobre la auditoría de sistemas de información
Los requisitos y actividades de la

auditoría que impliquen
comprobaciones en los sistemas
Controles para auditoría
15.3.1 operativos, deberían planificarse NO
del sistema
cuidadosamente y acordarse, para
minimizar los riesgos de interrupciones
de los procesos.
El acceso a las herramientas de

Protección de las auditoría de los sistemas de
15.3.2 herramientas para información debería estar protegidos NO
auditoría del sistema para evitar cualquier posible peligro o
uso indebido.
Pág. Nº 71
3.2.2. Identificación y evaluación de riesgos de TI
Para el análisis y evaluación de los riesgos de TI se aplicó la metodología

de gestión de riesgos descrita en el ítem 3.1.2.
a. Inventario de activos de TI
El inventario de los activos de TI relacionados con los procesos
académicos/administrativos analizados se muestra a continuación:
Tabla N° 17. Inventario de activos de TI de los procesos académicos/administrativos
N° ACTIVO
1 Servidor de dominio (DNS)

2 Servidores: base de datos y aplicaciones
Red de comunicaciones
3
Incluye: Firewall, gabinetes de comunicación, switch central, switchs de borde
4 Sala de servidores
5 Bases de Datos (de las diferentes aplicaciones)
Personal de TI. Incluye: Jefatura de Oficina General de Tecnologías de Información (OGTI),
6
Personal especialista en desarrollo y producción que labora en la OGTI
Aplicaciones informáticas: Sistema de Matrícula y Control de Notas, Sistema de Calificación
7
Admisión
8 Correo electrónico institucional
Equipos de cómputo terminales en las diferentes oficinas y dependencias que participan en los
9
procesos académicos/administrativos evaluados
10 Equipos de cómputo del Área de Desarrollo (Ubicados en OGTI)
Código fuente de aplicaciones
11
Incluye: biblioteca de versiones, librerías
Backups o respaldos de base de datos y aplicaciones
12
Incluye: código fuente, librerías
Herramientas de desarrollo
13
Incluye: base de datos, software de desarrollo
Herramientas de ofimática
14
Incluye: Licencias Campus Agreement
Registros de control de cambios de las aplicaciones. Incluye: scripts, cambios en estructuras de
15
datos, carga de datos, manuales de usuario, pruebas realizadas
Documentos de gestión
16
Incluye: oficios, actas, certificados, solicitudes, reglamentaciones y procedimientos, etc.
Pág. Nº 72
Utilizando la clasificación propuesta por la ISO 27005:2008, se tiene
el siguiente resultado:
Tabla N° 18. Clasificación de los activos de TI identificados
N° Tipo de activo Activo

Aplicaciones informáticas: sistema de matrícula y control de
1 Aplicaciones
notas, Admisión
2 Aplicaciones Herramientas de desarrollo
3 Aplicaciones Herramientas de ofimática
4 Comunicaciones Red de comunicaciones
5 Datos o documentos Código fuente de aplicaciones
6 Datos o documentos Registros de control de cambios de las aplicaciones
Equipos de cómputo terminales en las diferentes oficinas y
7 Equipos informáticos dependencias que participan en los procesos
académicos/administrativos evaluados
8 Equipos informáticos Equipos de cómputo del Área de Desarrollo
9 Información Bases de Datos
10 Información Backups de documentos de gestión
11 Instalaciones Sala de servidores
12 Personal Personal de área de TI
13 Servicios Servidor de dominio
14 Servicios Servidores: de base de datos y aplicaciones
15 Servicios Correo electrónico institucional
16 Soporte de información Backups o respaldos de desarrollo y mantenimiento
b. Definición de la criticidad de los activos de TI identificados

Una vez inventariados los activos de TI se ha valorado y clasificado
su nivel de importancia o criticidad, tomando como base la calificación
dada a cada característica o dimensión de seguridad de la
información, de acuerdo a las escalas de valoración propuestas,
obteniéndose los siguientes resultados:
Pág. Nº 73
Tabla N° 19. Valoración del nivel de criticidad de los activos de TI identificados
Criterios de
seguridad Nivel de
N° Activo Total
criticidad
C I D
1 Servidor de dominio (DNS) 4 5 5 4 Alto
2 Servidores: base de datos y aplicaciones 5 5 5 5 Muy Alto
3 Red de comunicaciones 4 1 5 3 Medio
4 Sala de servidores 4 1 5 3 Medio
5 Bases de Datos (de las diferentes aplicaciones) 5 5 5 5 Muy Alto
6 Personal de TI 4 1 5 3 Medio
Aplicaciones informáticas: sistema de matrícula y control
7 4 4 5 4 Alto
de notas, Admisión
8 Correo electrónico institucional 4 4 5 4 Alto
Equipos de cómputo terminales en las diferentes oficinas
9 y dependencias que participan en los procesos 5 5 5 5 Muy Alto
académicos/administrativos evaluados
Equipos de cómputo del Área de Desarrollo (Ubicados en
10 4 5 5 4 Alto
OGTI)
11 Código fuente de aplicaciones 4 5 5 4 Alto
12 Backups o respaldos de base de datos y aplicaciones 4 5 5 4 Alto
13 Herramientas de desarrollo 4 4 4 4 Alto
14 Herramientas de ofimática 4 4 4 4 Alto
15 Registros de control de cambios de las aplicaciones 3 3 5 3 Medio
16 Documentos de gestión 3 3 5 3 Medio
c. Identificación de las amenazas de los Activos de TI

Para cada activo de TI se han identificado las siguientes amenazas:
Tabla N° 20. Listado de amenazas por Activo de TI
N° Activo Amenaza
Paralización parcial o total de los procesos académicos/
1 Servidor de dominio (DNS)
administrativos. No se accede a los servicios y recursos de red
Servidores: base de datos y Paralización parcial o total de los sistemas o aplicaciones
2
aplicaciones informáticas. No se accede a los sistemas.
3 Red de comunicaciones Paralización de servicios de comunicación
Sabotaje a las instalaciones
4 Sala de servidores Pérdida de Activos de TI en la sala de servidores y paralización de
Operaciones
Pág. Nº 74
Continúa Tabla N° 20
N° Activo Amenaza
Perdida o modificación de información sensible de los procesos
Bases de Datos (de las académicos/ administrativos debido a accesos no autorizados
5
diferentes aplicaciones)
Falta de espacio de almacenamiento
Retraso en las actividades, paralización de procesos, pérdida de
6 Personal de TI información debido a fuga de talentos
Modificación, divulgación y destrucción de la información
Paralización de procesos debido a problemas en el
procesamiento de transacciones a nivel de usuario/cliente o en
Aplicaciones informáticas: la conectividad a la base de datos.
7 sistema de matrícula y
control de notas, Admisión Información brindada por los sistemas o aplicaciones
informáticas es inexacta debido errores en la integridad de los
datos
Retraso de actividades debido a caídas del servicio de correo
Correo electrónico electrónico
8
institucional Pérdida de datos por gestión inadecuada del servidor de correo
electrónico
Equipos de cómputo
terminales en las diferentes Pérdida de información sensible debido a fallas de equipos de
oficinas y dependencias que cómputo que soportan las operaciones del negocio
9
participan en los procesos Paralización parcial o total de las operaciones en puesto de
académicos/administrativos trabajo
evaluados
Equipos de cómputo del
Pérdida de información sensible debido a fallas de equipos de
10 Área de Desarrollo
cómputo que soportan las tareas de desarrollo
(Ubicados en OGTI)
Pérdida de la correlación del código fuente de la versión
Código fuente de existente en producción
11
aplicaciones Perdida o modificación de código fuente por acciones mal
intencionadas de usuarios
Backups o respaldos de No continuidad de los procesos por imposibilidad de
12 base de datos y recuperación de la información y/o aplicaciones ante la caída o
aplicaciones pérdida de la base de datos o aplicaciones en producción
Paralización de las actividades de desarrollo o falta de atención
13 Herramientas de desarrollo
oportuna de las solicitudes de requerimientos de cambio
Paralización de continuidad de tareas en procesos
14 Herramientas de ofimática
académicos/administrativos
Registros de control de
15 No poder determinar el origen de los cambios en código Fuente
cambios de las aplicaciones
Pérdida de información por no cumplir con el requerimiento de
16 Documentos de gestión
información histórica por parte de ente supervisor
Pág. Nº 75
d. Identificación de las vulnerabilidades de los Activos de TI
Para cada relación de activo de TI - amenaza se han identificado las
siguientes vulnerabilidades, el cual es el resultado del análisis de los
datos recopilados en el levantamiento de la información de las
brechas de seguridad.
Tabla N° 21. Listado de vulnerabilidades por Activo de TI – Amenaza
N
Activo Amenaza Vulnerabilidad
°
Falta de personal especializado, para dar
el mantenimiento necesario al servidor
de dominio
Paralización parcial o total de Falla en los componentes físicos
los procesos académicos/
Servidor de Fallas en el sistema operativo, falta de
1 administrativos. No se
dominio (DNS) actualización de parches
accede a los servicios y
recursos de red No se cuenta con un plan de
mantenimiento de los servidores
Sistema antivirus deficiente en la
actualización de firmas
Administrador tiene acceso total a la
base de datos y puede realizar
Paralización parcial o total de modificaciones
Servidores: base de los sistemas o aplicaciones
2 Deficiencia en el diseño de base datos
datos y aplicaciones informáticas. No se accede a
(normalización de BD).
los sistemas.
Usuarios acceden a servidor de base de
datos por canales no autorizados
Falla de la línea principal de
comunicaciones
Falla de la red de comunicaciones con
Red de Paralización de servicios de otras agencias
3
comunicaciones comunicación Fallas eléctricas que generen la
interrupción de los procesos y servicios
No se cuenta con servidor de firewall a
nivel de hardware
Pág. Nº 76
N Vulnerabilidad
Activo Amenaza
°
Acceso de Personal no autorizado
(interno/externo) a la sala de servidores.
Sabotaje a las instalaciones Falta de un sistema de vigilancia y de
seguridad del equipamiento en la sala de
servidores.
No se mantiene un control o registro de
acceso a las áreas restringidas
4 Sala de servidores Falta de un registro de acceso a la sala de

servidores
Pérdida de Activos de TI en la No se tiene una política y procedimiento
sala de servidores y para el personal que realiza
paralización de Operaciones mantenimiento en la institución
Personal de vigilancia no lleva un control

de los equipos de entrada / salida
(personal de mantenimiento) y revisión
de maletines.
Falta de un adecuado procedimiento
para la asignación de perfiles para
accesos a la BD
Existencia de password no adecuados
para usuarios locales y de red
Perdida o modificación de Privilegios para los usuarios de acceso a
información sensible de los las aplicaciones no son revisados
procesos académicos/ periódicamente
administrativos debido a
Acceso a la BD desde otras aplicaciones
accesos no autorizados
Bases de Datos (de Sistema antimalware obsoleto o
5 las diferentes deficiente
aplicaciones) Realización de copias no autorizadas de
la Base de Datos
Modificación no autorizada de BD
Falta de monitoreo de incremento de
transacciones
No existe un procedimiento de
Falta de espacio de
mantenimiento de a BD
almacenamiento
Sistema antimalware deficiente para
monitorear incremento de espacio por
virus.
Pág. Nº 77
N Vulnerabilidad
Activo Amenaza
°
Inadecuada segregación de funciones
No existe un plan de capacitación
Retraso en las actividades,
adecuado
paralización de procesos,
pérdida de información Indisponibilidad del personal
debido a fuga de talentos (enfermedad, accidente y/o otros actos
que impiden al personal realizar sus
actividades)
6 Personal de TI Abuso de privilegios de accesos
Falta de control y seguimiento de accesos
Modificación, divulgación y Falta de acuerdos de confidencialidad
destrucción de la
Acciones mal intencionadas de los
información
usuarios de TI
Falta de procedimiento de
mantenimiento de usuarios
Paralización de procesos Errores operativos por parte del usuario
debido a problemas en el (registro de información errada)
procesamiento de
Fallas en las conexiones de red o en
transacciones a nivel de
equipo de computo
Aplicaciones usuario/cliente o en la
informáticas: conectividad a la base de Fallas eléctricas (a partir de 2 horas).
7 sistema de datos.
matrícula y control Falta de soporte y mantenimiento de los
de notas, Admisión Información brindada por los
sistemas y aplicaciones informáticas en
sistemas o aplicaciones
producción
informáticas es inexacta
debido a errores en la No llevar un control de la historia del
integridad de los datos código fuente
Retraso de actividades
Problemas de conexión o servidor del
debido a caídas del servicio
servicio que brinda el proveedor
de correo electrónico
No generación de copias de respaldo
(cuentas creadas, permisos y
configuración)
Correo electrónico
8 Capacidad de almacenamiento limitada
institucional Pérdida de datos por gestión
inadecuada del servidor de Borrado de cuentas por accesos no
correo electrónico autorizados por personal que administra
el correo
Bajo nivel de complejidad de las
contraseñas de correo vía acceso-página
web
Pág. Nº 78
N° Activo Amenaza Vulnerabilidad
Personal no capacitado para el
mantenimiento de equipos de computo
No se ha determinado la vida útil de los
equipos
Equipos de
cómputo Incumplimiento del plan de
Pérdida de información
terminales en las mantenimiento de equipos
sensible debido a fallas de
diferentes
equipos de cómputo que Fallas en sistema de alimentación
oficinas y
soportan las operaciones del eléctrica
9 dependencias
negocio
que participan en Errores de configuración de los equipos
Paralización parcial o total de
los procesos
las operaciones en puesto de Mal uso del equipo por parte del usuario
académicos/admi
trabajo Condiciones de ambientes inadecuadas
nistrativos
evaluados
No se tienen identificados los equipos
críticos en caso de incidentes
El personal guarda información sensible
en sus equipos y genera respaldos
Incumplimiento del plan de
mantenimiento de equipos
Equipos de Pérdida de información Fallas en sistema de alimentación
cómputo del Área sensible debido a fallas de eléctrica
10 de Desarrollo equipos de cómputo que
Errores de configuración de los equipos
(Ubicados en soportan las tareas de
OGTI) desarrollo Mal uso del equipo por parte del usuario
El personal guarda información sensible
en sus equipos y genera respaldos
No se realizan copias de seguridad
Pérdida de la correlación del
código fuente de la versión Falta de control para accesos no
existente en producción autorizado a la PC de integración de
Software
Accesibilidad a todo el código fuente sin
restricción por parte del personal de
Desarrollo (no se tiene restricción de
Código fuente de acceso al personal de desarrollo).
11
aplicaciones
Perdida o modificación de No se realiza una revisión minuciosa de
código fuente por acciones los controles de cambios entregado por
mal intencionadas de el analista de sistema
usuarios No complejidad de contraseñas en el
respaldo de código fuente
Falta de control para la manipulación del
código fuente que puede alterar el
desarrollo normal de un proceso
Pág. Nº 79
N Vulnerabilidad
Activo Amenaza
°
Fallas en los dispositivos de
almacenamiento (disco duro del
servidor)
No continuidad de los
procesos por imposibilidad Falta de un lugar adecuado para su
Backups o
de recuperación de la resguardo y protección de las copias de
1 respaldos de base
información y/o aplicaciones respaldo
2 de datos y
ante la caída o pérdida de la
aplicaciones Errores en el proceso de generación de
base de datos o aplicaciones
backups
en producción
No se lleva un registro de la generación
de backups
Paralización de las
actividades de desarrollo o
1 Herramientas de No se cuenta con copias en sitios alternos
falta de atención oportuna
3 desarrollo seguros
de las solicitudes de
requerimientos de cambio
No se cuenta con copias en sitios alternos
Paralización de continuidad
1 Herramientas de seguros
de tareas en procesos
4 ofimática
académicos/administrativos Personal mal capacitado
Registros de control No poder determinar el

1 No se cuenta con un mecanismo de
de cambios de las origen de los cambios en
5 control de cambios
aplicaciones código Fuente
No se ha establecido la periodicidad para
Pérdida de información por la generación de backups de la
no cumplir con el documentación histórica
1 Documentos de
requerimiento de
6 gestión
información histórica por No se ha identificado un lugar adecuado
parte de ente supervisor para el resguardo de los respaldos de la
documentación de gestión.
Pág. Nº 80
e. Valoración del impacto y probabilidad de ocurrencia de las
amenazas; y la estimación del nivel de riesgo
Para la valoración del impacto y probabilidad de ocurrencia, y en
consecuencia, para obtener el nivel de riesgo al que está expuesto
cada activo de TI de los procesos académicos/administrativos, se
realizó un levantamiento de información para evaluar los controles
existentes actualmente y la efectividad de su implementación. Esta
información se registra en el Anexo N° 04 y fue obtenida a través de
entrevistas (en la medida que fue permitido).
Los resultados de las valoraciones para los impactos y probabilidad

de ocurrencia de cada amenaza para cada activo de TI; así como la
obtención del nivel de riesgo intrínseco (usando los formatos y niveles
de valoración de las tablas N° 10, 11, 12, 13), se muestran en la
siguiente tabla:
Pág. Nº 81
Tabla N° 22 Valoración del Nivel de Riesgo (NR)
Probabilidad de que
Impacto estimado
la amenaza explote Nivel de Riesgo Intrínseco (NRI)
N° Activo Amenaza Vulnerabilidad en los procesos
la vulnerabilidad
Nivel Categoría Nivel Categoría Id Riesgo Nivel Categoría
Falta de personal especializado, para dar el

mantenimiento necesario al servidor de 3 Moderado 2 Improbable R1 2 Bajo
dominio
Paralización parcial o
Falla en los componentes físicos 4 Mayor 3 Posible R2 3 Medio
total de los procesos
Servidor de
académicos/ Fallas en el sistema operativo, falta de
1 dominio 5 Catastrófico 4 Probable R3 5 Muy alto
administrativos. No se actualización de parches
(DNS)
accede a los servicios y
No se cuenta con un plan de mantenimiento de
recursos de red 3 Moderado 2 Improbable R4 2 Bajo
los servidores
Sistema antivirus deficiente en la actualización
2 Menor 2 Improbable R5 2 Bajo
de firmas
Administrador tiene acceso total a la base de
4 Mayor 4 Probable R6 4 Alto
Paralización parcial o datos y puede realizar modificaciones
Servidores:
total de los sistemas o
base de Deficiencia en el diseño de base datos
2 aplicaciones 2 Menor 3 Posible R7 2 Bajo
datos y (normalización de BD).
informáticas. No se
aplicaciones
accede a los sistemas. Usuarios acceden a servidor de base de datos
5 Catastrófico 4 Probable R8 5 Muy alto
por canales no autorizados
Pág. N° 82
Probabilidad de que
Impacto estimado
la vulnerabilidad
Falla de la línea principal de comunicaciones 5 Catastrófico 3 Posible R9 4 Alto
Falla de la red de comunicaciones 4 Mayor 4 Probable R10 4 Alto

Red de
Paralización de servicios
3 comunicaci Fallas eléctricas que generen la interrupción
de comunicación 4 Mayor 3 Posible R11 3 Medio
ones de los procesos y servicios
Debilidades en el servidor de firewall 3 Moderado 2 Improbable R12 2 Bajo
Acceso de Personal no autorizado

5 Catastrófico 2 Improbable R13 3 Medio
(interno/externo) a la sala de servidores.
Sabotaje a las
instalaciones Falta de un sistema de vigilancia y de seguridad
2 Menor 3 Posible R14 2 Bajo
Sala de del equipamiento en la sala de servidores.
4
servidores
Pérdida de Activos de TI No se mantiene un control o registro de acceso
en la sala de servidores y a las áreas restringidas
paralización de Falta de un registro de acceso a la sala de
Operaciones 3 Moderado 2 Improbable R16 2 Bajo
servidores
Pág. N° 83
Probabilidad de que
Impacto estimado
la vulnerabilidad
No se tiene una política y procedimiento para el

Pérdida de Activos de TI personal que realiza mantenimiento en la 2 Menor 3 Posible R17 2 Bajo
Sala de en la sala de servidores UNTRM
4
servidores y paralización de Personal de vigilancia no lleva un control de los
Operaciones equipos de entrada / salida (personal de 4 Mayor 3 Posible R18 3 Medio
mantenimiento) y revisión de maletines.
Falta de un adecuado procedimiento para la
4 Mayor 3 Posible R19 3 Medio
asignación de perfiles para accesos a la BD
Existencia de password no adecuados para
3 Moderado 2 Improbable R20 2 Bajo
Perdida o modificación usuarios locales y de red
de información sensible
Bases de Privilegios para los usuarios de acceso a las
de los procesos 3 Moderado 2 Improbable R21 2 Bajo
Datos (de las aplicaciones no son revisados periódicamente
5 académicos/
diferentes
administrativos debido Acceso a la BD desde otras aplicaciones 4 Mayor 3 Posible R22 3 Medio
aplicaciones)
a accesos no
Sistema antimalware obsoleto o deficiente 3 Moderado 3 Posible R23 3 Medio
autorizados
Realización de copias no autorizadas de la Base
de Datos
Modificación no autorizada de BD 5 Catastrófico 4 Probable R25 5 Muy alto
Pág. N° 84
Probabilidad de que
Impacto estimado
la vulnerabilidad
Falta de monitoreo de incremento de

3 Moderado 3 Posible R26 3 Medio
transacciones
Bases de
Datos (de las Falta de espacio de No existe un procedimiento de mantenimiento
5 3 Moderado 2 Improbable R27 2 Bajo
diferentes almacenamiento de a BD
aplicaciones)
Sistema antimalware deficiente para
3 Moderado 1 Raro R28 1 Muy bajo
monitorear incremento de espacio por virus.
No continuidad de los Fallas en los dispositivos de almacenamiento
procesos por (disco duro del servidor)
imposibilidad de
Backups o Falta de un lugar adecuado para su resguardo y
recuperación de la 2 Menor 2 Improbable R30 2 Bajo
respaldos de protección de las copias de respaldo
información y/o
6 base de
aplicaciones ante la Errores en el proceso de generación de backups 5 Catastrófico 4 Probable R31 5 Muy alto
datos y
caída o pérdida de la
aplicaciones
base de datos o No se lleva un registro de la generación de
aplicaciones en 3 Moderado 3 Posible R32 3 Medio
backups
producción
Inadecuada segregación de funciones 3 Moderado 2 Improbable R33 2 Bajo
Retraso en las
actividades, paralización No existe un plan de capacitación adecuado 2 Menor 3 Posible R34 2 Bajo
Personal de
7 de procesos, pérdida de
TI
información debido a Indisponibilidad del personal (enfermedad,
fuga de talentos accidente y/o otros actos que impiden al 2 Menor 3 Posible R35 2 Bajo
personal realizar sus actividades)
Pág. N° 85
Probabilidad de que
Impacto estimado
la vulnerabilidad
Abuso de privilegios de accesos 4 Mayor 3 Posible R36 3 Medio

Falta de control y seguimiento de accesos 5 Catastrófico 3 Posible R37 4 Alto
Modificación,
Falta de acuerdos de confidencialidad 4 Mayor 3 Posible R38 3 Medio
Personal de divulgación y
7
TI destrucción de la Acciones mal intencionadas de los usuarios de
información TI
Falta de procedimiento de mantenimiento de
cuentas de usuarios
Paralización de procesos Errores operativos por parte del usuario
debido a problemas en (registro de información errada)
el procesamiento de
Fallas en las conexiones de red o en equipo de
Aplicaciones transacciones a nivel de computo
informáticas: usuario/cliente o en la
sistema de conectividad a la base Fallas eléctricas (a partir de 2 horas).
8 matrícula y de datos.
control de Información brindada Falta de soporte y mantenimiento de los
notas, por los sistemas o sistemas y aplicaciones informáticas en 3 Moderado 2 Improbable R44 2 Bajo
Admisión aplicaciones producción
informáticas es inexacta
No llevar un control de la historia del código
debido a errores en la 4 Mayor 3 Posible R45 3 Medio
fuente
integridad de los datos
Pág. N° 86
Probabilidad de que
Impacto estimado
la vulnerabilidad
Retraso de actividades
debido a caídas del Problemas de conexión o servidor del servicio que
servicio de correo brinda el proveedor
electrónico
No generación de copias de respaldo (cuentas

Correo 3 Moderado 3 Posible R47 3 Medio
creadas, permisos y configuración)
9 electrónico
institucional Pérdida de datos por Capacidad de almacenamiento limitada 2 Menor 2 Improbable R48 2 Bajo
gestión inadecuada del
servidor de correo Borrado de cuentas por accesos no autorizados por
electrónico personal que administra el correo
Bajo nivel de complejidad de las contraseñas de

correo vía acceso-página web
Pérdida de información Personal no capacitado para el mantenimiento de

4 Mayor 2 Improbable R51 2 Bajo
sensible debido a fallas de equipos de computo
Equipos de equipos de cómputo que
No se ha determinado la vida útil de los equipos 2 Menor 2 Improbable R52 2 Bajo
cómputo soportan las operaciones
10 del negocio
terminales de
Incumplimiento del plan de mantenimiento de
oficinas Paralización parcial o total 2 Menor 3 Posible R53 2 Bajo
equipos
de las operaciones en
puesto de trabajo Fallas en sistema de alimentación eléctrica 3 Moderado 3 Posible R54 3 Medio
Pág. N° 87
Probabilidad de que
Impacto estimado
la vulnerabilidad
Errores de configuración de los equipos 2 Menor 3 Posible R55 2 Bajo

Pérdida de información
sensible debido a fallas de Mal uso del equipo por parte del usuario 3 Moderado 4 Probable R56 3 Medio
Equipos de equipos de cómputo que
soportan las operaciones Condiciones de ambientes inadecuadas 2 Menor 3 Posible R57 2 Bajo
cómputo
10 del negocio
terminales de No se tienen identificados los equipos críticos en
oficinas Paralización parcial o total
caso de evacuación
de las operaciones en
puesto de trabajo El personal guarda información sensible en sus
4 Mayor 4 Probable R59 4 Alto
equipos y no las guarda en el servidor
Pérdida de la correlación No se realizan copias de seguridad 4 Mayor 2 Improbable R60 2 Bajo

del código fuente de la
versión existente en Falta de control para accesos no autorizado a la PC 4 Mayor 2 Improbable R61 2 Bajo
producción de integración de Software
Accesibilidad a todo el código fuente sin restricción

por parte del personal de Desarrollo (no se tiene 4 Mayor 3 Posible R62 3 Medio
Código fuente restricción de acceso al personal de desarrollo).
11 de
Perdida o modificación de No se realiza una revisión minuciosa de los controles
aplicaciones 4 Mayor 3 Posible R63 3 Medio
código fuente por acciones de cambios entregado por el analista de sistema
mal intencionadas de No complejidad de contraseñas en el respaldo de
usuarios 3 Moderado 3 Posible R64 3 Medio
código fuente
Falta de control para la manipulación del código

fuente que puede alterar el desarrollo normal de un 5 Catastrófico 4 Probable R65 5 Muy alto
proceso
Pág. N° 88
Probabilidad de que
Impacto estimado
la vulnerabilidad
Backups o
Reversión de
respaldos de No se trasladan copias de respaldo en sitios
11 adecuaciones a los 5 Catastrófico 3 Posible R74 4 Alto
desarrollo y alternos
sistemas, no es posible
mantenimiento
Paralización de las
actividades de desarrollo
o falta de atención
Herramientas de
12 oportuna de las No se cuenta con copias en sitios alternos seguros 3 Moderado 3 Posible R75 3 Medio
desarrollo
solicitudes de
requerimientos de
cambio
Registros de
No poder determinar el
control de No se cuenta con un mecanismo de control de
13 origen de los cambios en 3 Moderado 3 Posible R76 3 Medio
cambios de las cambios
código Fuente
aplicaciones
Pérdida de información No se ha establecido la periodicidad para la

por no cumplir con el generación de backups de la documentación 3 Moderado 2 Improbable R77 2 Bajo
Documentos de requerimiento de histórica
14
gestión información histórica
por parte de ente No se ha identificado un lugar adecuado para el
supervisor resguardo de los backups
Pág. N° 89
3.2.3. Tratamiento y administración del riesgo de TI
Luego de haber evaluado los diferentes escenarios de riesgo y

determinado los niveles de exposición al riesgo efectivo, se procedió a
definir los las medidas de seguridad necesarias para el tratamiento de los
diversos riesgos no tolerables (controles y salvaguardas), identificando la
estrategia de su implementación.
Los resultados de esta actividad se muestran en el cuadro siguiente:
Tabla N° 23 Propuesta de medidas de seguridad para cada escenario de riesgo
Nivel de Riesgo
Medidas de seguridad (controles y salvaguardas)
Intrínseco (NRI) Estrategia de
ID ID implementación
Nivel Categoría Descripción
riesgo Control
Plan de mantenimiento preventivo y procedimientos
Evitar aumento del
R1 2 Bajo C1 establecidos y documentados para mantenimiento
riesgo
correctivo de servidores
Transferencia del
C2 Contratos de servicio de mantenimiento
riesgo a terceros
R2 3 Medio
Evitar aumento del
C3 Sala de servidores con controles ambientales
riesgo
Personal capacitado en administración de sistema
R3 5 Muy alto C4 Mitigar el riesgo
operativos
Plan de mantenimiento preventivo y procedimientos
Evitar aumento del
R4 2 Bajo C5 establecidos y documentados para mantenimiento
riesgo
correctivo de servidores
Licenciamiento de un sistema antimalware
Evitar aumento del
C6 administrable a través de un servicio para toda la red,
riesgo
con actualizaciones en línea
Evitar aumento del
C7 Copias de seguridad de la BD
R5 2 Bajo riesgo
Implementar un servidor de backup de respaldo, Evitar aumento del
C8
configurado y listo para puesta en producción riesgo
Implementar un centro alterno de procesamiento Evitar aumento del
C9
básico riesgo
El Oficial de Seguridad de la Información monitorea de
manera bimensual las pistas de auditoría al Elección de
R6 4 Alto C10
administrador de la BD, así como también las controles
operaciones que realiza en la arquitectura de la BD
Pág. N° 90
Implementar procedimientos de gestión de cambios y Evitar aumento del
C11
versiones riesgo
R7 2 Bajo
Implementar procedimientos documentados para las Evitar aumento del
C12
pruebas de cambios antes de puesta en producción riesgo
Desactivar herramientas adicionales que permiten

C13 Mitigar el riesgo
acceder a la base de datos
Implementar protocolos de fijación de contraseña de

R8 5 Muy alto acceso a la base de datos con un nivel de complejidad
C14 Mitigar el riesgo
distinta a las contraseñas que manejan los usuarios
locales
Implementar procedimientos de gestión de perfiles de
C15 usuario y Gestión de latas, bajas y modificaciones de Mitigar el riesgo
cuentas de usuarios
Implementar una línea de contingencia para Transferencia del
C16
comunicaciones riesgo a terceros
R9 4 Alto
Reporte de averías e incidentes en la red mediante un Evitar aumento del
C17
sistema de escaneo y monitoreo de la red riesgo
Implementar un procedimiento documentado para la Evitar aumento del
R10 4 Alto C18
gestión de incidentes en la red riesgo
Se cuenta con UPS y grupo electrógeno, el cual permite
Elección de
C19 mantener la operatividad de los equipos Core ante una
controles
posible interrupción del corte de energía eléctrica
R11 4 Medio Plan de pruebas de operatividad de los equipos Evitar aumento del
C20
eléctricos, con el fin de evaluar su funcionamiento riesgo
Evitar aumento del
C21 Plan de mantenimiento al sistema eléctrico
riesgo
Elección de
R12 2 Bajo C22 Se cuenta con firewall a nivel de software
controles
Implementar políticas y procedimientos de control de Evitar aumento del
C23
acceso físico a ambientes restringidos riesgo
Registrar los accesos a sala de servidores y el área de Evitar aumento del
C24
TI, mediante una bitácora de acceso riesgo
Los accesos por parte de personal a realizar
Elección de
C25 mantenimiento, se realiza acompañado de personal
R13 3 Medio controles
del área
El acceso al ambiente de la sala de servidores, tiene
Elección de
C26 acceso restringido mediante una puerta con llave. La
controles
llave la maneja únicamente el responsable de la
Sala de servidores se encuentra en un ambiente Elección de
C27
aislado al ambiente de producción y de desarrollo controles
Pág. N° 91
Implementar un sistema de cámara de vigilancia que
Evitar aumento del
C28 monitorea el ingreso de personas internas como
riesgo
externas a los ambientes de la
Evitar aumento del
C29 Instalar extintores y sensores de humo
riesgo
Evitar aumento del

C30 Instalar luces de emergencia
riesgo
Sala de servidores se encuentra en un ambiente Elección de

C32
aislado al ambiente de producción y de desarrollo controles
Registrar los accesos a sala de servidores, mediante Evitar aumento del
C33
una bitácora riesgo
Implementar un sistema de cámara de vigilancia que
Evitar aumento del
R14 2 Bajo C34 monitorea el ingreso de personas internas como
riesgo
externas a los ambientes de la Sala de Servidores
Segregar funciones para la designación del personal Evitar aumento del
C35
para el manejo de llaves riesgo
Evitar aumento del
C36 Implementar Sala de servidor alterno
riesgo
Evitar aumento del
C37 Plan de mantenimiento de los equipos de seguridad
riesgo
Evitar aumento del
C38 Capacitar al personal en uso de extintores
riesgo
Implementar un registro de acceso a las áreas Evitar aumento del

R15 2 Bajo C39
restringidas riesgo
Implementar un registro de acceso a la Sala de Evitar aumento del

R16 2 Bajo C40
Servidores riesgo
Implementar políticas y procedimientos para el Evitar aumento del

R17 2 Bajo C41
mantenimiento de equipos riesgo
Reforzar el control de registro de de entrada / salida Evitar aumento del

R18 3 Medio C42
de equipos y revisión de maletines riesgo
Implementar un reglamento de administración de

Evitar aumento del
R19 4 Medio C43 usuarios a los sistemas, en el que incluye las opciones
riesgo
para la asignación de perfiles por usuarios
Implementar procedimiento para la generación de
contraseñas con un nivel de seguridad y complejidad Evitar aumento del
R20 2 Bajo C44
por primera vez, teniendo en cuenta caracteres riesgo
numéricos y alfanuméricos.
Implementar un reglamento de administración de
Evitar aumento del
R21 2 Bajo C45 usuarios a los sistemas, en el que incluye la
riesgo
periodicidad de las revisiones de los perfiles
Deshabilitar aplicaciones de acceso a base de datos en Evitar aumento del
R22 4 Medio C46
terminales informáticos de usuarios riesgo
Pág. N° 92
Elección de
C47 Acceso a la BD protegida por un password
controles
Evitar aumento del
R23 3 Medio C48 administrable a través de un servicio para toda la red,
riesgo
con actualizaciones en línea
Evitar aumento del
C49 BD protegidos con clave únicamente
riesgo
R24 3 Medio
Implementar procesos de uso de carpetas compartidas Evitar aumento del
C50
para la trasferencia de archivos riesgo
Implementar un procedimiento de gestión de cambios
Evitar aumento del
R25 5 Muy alto C51 en el que se incluya las modificaciones a la base de
riesgo
datos
Monitoreo mediante software de la capacidad del Evitar aumento del

R26 3 Medio C52
disco de los servidores riesgo
Se realiza un mantenimiento de la BD, pero no está Evitar aumento del

R27 2 Bajo C53
documentado riesgo
Elección de
C54 administrable a través de un servicio para toda la red,
controles
R28 1 Muy bajo con actualizaciones en línea
Administración de puertos para el control de acceso al Evitar aumento del
C55
servidor riesgo
Se cuenta con políticas y procedimientos de Elección de
C56
generación de backups controles
Evitar aumento del

C57 Implementar y probar procedimientos de restore
riesgo
Implementar un control trimestral del estado de Evitar aumento del

C58
R29 4 Medio almacenamiento de los medios de respaldo riesgo
Se realiza un monitoreo del procedimiento de respaldo Elección de
C59
de los backups controles
Implementar un centro alterno de procesamiento de Evitar aumento del

C60
datos básico riesgo
Reforzar el procedimiento de verificación de estado de

Evitar aumento del
R30 2 Bajo C61 almacenamiento y resguardo de los medios de
riesgo
respaldo.
La herramienta que comprime la BD, realiza una Elección de
C62
verificación automática de los archivos comprimidos controles
R31 5 Muy alto El programa que graba los archivos comprimidos en los
Elección de
C63 medios, realiza una verificación después de la
controles
grabación
Pág. N° 93
Reforzar el procedimiento de verificación de estado de
C64 Evitar aumento del
almacenamiento y resguardo de los medios de
riesgo
respaldo.
Implementar un procedimiento operativo para la
Evitar aumento del
R32 3 Medio C65 generación de backups de la base de datos y
riesgo
aplicaciones.
Elaborar el manual de organización y funciones en el
Evitar aumento del
R33 2 Bajo C66 que se tiene establecido las responsabilidades que
riesgo
debe cumplir el personal en la operativa diaria
Desarrollar un plan de capacitación presentado por el Evitar aumento del
R34 2 Bajo C67
jefe de la OGTI riesgo
R35 2 Bajo C68 Aceptar el riesgo
Continuar con la asignación perfiles de usuario de

acuerdo a la función y puesto trabajo del usuario. Sin Elección de
C69
embargo, debe documentarse un procedimiento de controles
R36 4 Medio administración de perfiles de usuario
Generar pistas de auditoria de las transacciones Evitar aumento del
C70
realizadas por los usuarios riesgo
Procedimentar la revisión periódica de las pistas de
Evitar aumento del
R37 4 Alto C71 auditoria de las transacciones realizadas por los
riesgo
usuarios
Implementar el procedimiento de firma de acuerdos
Evitar aumento del
R38 4 Medio C72 de confidencialidad con todos los usuarios de TI y
riesgo
revisar periódicamente su cumplimiento
Generar reportes de intentos de accesos no Evitar aumento del
C73
autorizados riesgo
R39 3 Medio Implementar políticas de seguridad y reglamentos
Evitar aumento del
C74 internos que establecen sanciones por incumplimiento
riesgo
de políticas de seguridad de la información
Implementar un procedimiento para administrar altas,
Evitar aumento del
R40 2 Bajo C75 bajas, modificaciones de cuentas de usuario
riesgo
congruente con los perfiles de usuario
Generar pistas de auditoria que deben ser revisadas Evitar aumento del
C76
periódicamente con posibilidades de recuperación riesgo
R41 3 Medio Desarrollar planes de entrenamiento y capacitación de
Evitar aumento del
C77 los usuarios de TI y realizar evaluaciones periódicas
riesgo
mediante casuísticas
Identificar y clasificar los equipos críticos y monitorear
Evitar aumento del
C78 su operación, registrando los incidentes técnicos y de
riesgo
R42 3 Medio seguridad que ocurran sobre ellos
Contar con una cartera de proveedores de Evitar aumento del
C79
mantenimiento correctivo para los equipos críticos riesgo
Pág. N° 94
Capacitar al personal técnico de la OGTI para
Evitar aumento del
C80 respuestas rápidas en escenarios de Fallas en las
riesgo
conexiones de red o en equipo de computo
Se cuenta con grupo electrógeno operativo como
contingencia; así como con un sistema de alimentación Elección de
R43 3 Medio C81
ininterrumpida (UPS) para abastecer de energía a los controles
equipos de Core
Se da soporte de mantenimiento basado en
Elección de
R44 2 Bajo C82 requerimientos de los usuarios y mejoras de los
controles
procesos existentes de manera continua
Implementar procedimientos de control de cambios
sobre los sistemas y aplicaciones informáticas en Evitar aumento del
R45 3 Medio C83
producción; así como llevar un control de versiones riesgo
con su correspondiente documentación de respaldo
Se utiliza una plataforma abierta para la generación y Elección de
R46 3 Medio C84
administración de correo institucional (Gmail.com) controles
La plataforma utilizada para la generación y
Elección de
R47 3 Medio C85 administración de correo institucional genera copias
controles
de respaldo de los correos
La plataforma utilizada para la generación y
Elección de
R48 2 Bajo C86 administración de correo institucional permite
controles
almacenamiento ilimitado
La administración de la plataforma utilizada para la
generación de correo institucional solo tiene el perfil Elección de
C87
de creación de cuentas. Luego del cambio de la clave controles
R49 2 Bajo el administrador no puede acceder a las cuentas
Se debe generar un procedimiento para el cambio
Evitar aumento del
C88 automático de las cuentas de usuario generadas por
riesgo
primera vez, con claves robustas
Implementar un procedimiento y reglamento
operativo sobre el uso de correo institucional, donde Evitar aumento del
R50 3 Medio C89
se establecen indicaciones para la creación de riesgo
contraseñas robustas y seguras
Gestionar el contrato permanente de personal técnico Evitar aumento del
C90
para el mantenimiento de equipos de computo riesgo
Contar con un catálogo de proveedores del servicio de Evitar aumento del
C91
R51 2 Bajo mantenimiento riesgo
Implementar cursos permanentes de capacitación
Evitar aumento del
C92 para practicantes en materia de mantenimiento de
riesgo
computadoras, como una estrategia de motivación
Elaborar y mantener un inventario de activos de TI
Evitar aumento del
R52 2 Bajo C93 actualizado, revisado periódicamente para identificar
riesgo
la operatividad de los equipos y su tiempo de uso
Pág. N° 95
Elaborar un Plan de mantenimiento preventivo de
Evitar aumento del
R53 2 Bajo C94 cumplimiento obligatorio de manera anual como parte
riesgo
de un Plan de Continuidad
Coordinar con la Oficina General de Obras para
incorporar en un Plan de mantenimiento preventivo Evitar aumento del
C95
de equipos de TI, el sistema eléctrico, sobre todo en riesgo
las áreas críticas
Elección de
C96 Se cuenta con una red eléctrica estabilizada
controles
Elección de
R54 3 Medio C97 Las PCs de misión crítica están conectadas a UPS
controles
Realizar pruebas periódicas del sistema de respaldo
eléctrico (UPS, Grupo electrógeno y motor). Evitar aumento del
C98
Incorporarlo dentro de un Plan de Mantenimiento riesgo
preventivo
Incorporar en un Plan de Mantenimiento preventivo Evitar aumento del
C99
la revisión de las conexiones eléctricas y acometidas riesgo
Definir las configuraciones básicas que deben tener los
Evitar aumento del
R55 2 Bajo C100 diferentes equipos terminales informáticos en toda la
riesgo
Universidad para evitar backdoors
Desarrollar mensajerías en línea para concientizar a los

usuarios de TI sobre el buen uso de los equipos Evitar aumento del
R56 3 Medio C101
terminales informáticos (encendido, apagado, riesgo
comunicación de incidentes, etc.)
En el inventario de activos debe asignarse las
responsabilidades de uso y mantenimiento. Cada
R57 2 Bajo C102 dependencia debe asegurar condiciones ambientales y Aceptar el riesgo
ergonómicas adecuadas para cada terminal
informático.
En un inventario de activos de TI, la OGTI debe
identificar los activos críticos, con sus Evitar aumento del
C103
correspondientes controles y salvaguardas específicas riesgo
para asegurar la continuidad de su operación
R58 2 Bajo
Los equipos considerados como críticos en el
inventario de activos de TI deben generar respaldos de Evitar aumento del
C104
la información que procesan, almacenan o de su riesgo
configuración
Realizar actividades de concientización de usuarios de
TI para la generación de respaldos periódicos en Evitar aumento del
R59 4 Alto C105
dispositivos secundarios externos de la información y riesgo
archivos más críticos
Los procesos de desarrollo de software deben ser
controlados mediante la asignación de código fuente y Evitar aumento del
R60 2 Bajo C106
base de datos, de acuerdo al requerimiento que se riesgo
está atendiendo
Pág. N° 96
Implementar un procedimiento y un reglamento
operativo para la generación de respaldos y backups Evitar aumento del
C107
de la información almacenada en los terminales de riesgo
desarrollo, controlando las versiones.
Las pruebas de los cambios en los módulos y/o
Evitar aumento del
C108 aplicaciones deben ser controladas en ambientes
riesgo
apropiadas para dicha actividad.
R61 2 Bajo La pc de integración de desarrollo deben estar Evitar aumento del
C109
separadas de la red de producción riesgo
Generar de seguridad del código fuentes después de Evitar aumento del
C110
cada cambio realizado riesgo
Los procesos de desarrollo de software deben ser
controlados mediante la asignación de código fuente y Evitar aumento del
R62 4 Medio C111
base de datos, de acuerdo al requerimiento que se riesgo
está atendiendo
Documentar de control de cambios, donde se detalle
Evitar aumento del
C112 todo lo que se modifica a nivel de código fuente, base
riesgo
de datos y alta de datos en la base de datos
Generar y documentar pruebas de integración y
Evitar aumento del
C113 pruebas unitarias para asegurar la calidad del software
R63 4 Medio riesgo
antes de puesta en producción
Debe incorporarse como parte del testeo del software
antes de puesta en producción la intervención de Evitar aumento del
C114
usuarios finales, como procedimientos de certificación riesgo
de módulos
Las copias de seguridad de los códigos fuentes de las
Evitar aumento del
R64 3 Medio C115 aplicaciones en producción deben tener una clave de
riesgo
acceso robusta
Implementar la política de que los desarrollo y
cambios en las aplicaciones deben realizarlo los
Evitar aumento del
C116 analistas desarrolladores y las pruebas antes de puesta
riesgo
en producción, debe realizarlo un personal de testeo
diferente.
R65 5 Muy alto
Documentar de control de cambios, donde se detalle
Evitar aumento del
C117 todo lo que se modifica a nivel de código fuente, base
riesgo
de datos y alta de datos en la base de datos
Realizar revisiones del código generado para verificar Evitar aumento del
C118
la incorporación de código malicioso riesgo
Definir dentro de un reglamento operativo para la
generación de respaldos y backups los procedimientos
Evitar aumento del
R74 4 Alto C127 para el etiquetado, traslado, almacenamiento y
riesgo
resguardo de los dispositivos de respaldo en
ambientes externos alternos
Evitar aumento del
R75 3 Medio C128 generación de respaldos y backups los procedimientos
riesgo
para el etiquetado, traslado, almacenamiento y
Pág. N° 97
resguardo de los dispositivos de respaldo en
ambientes externos alternos
En la implementación del procedimiento para la

gestión de cambios en el software debe generarse
registros de los cambios ocurridos. En el software debe
Evitar aumento del
R76 3 Medio C129 registrarse los cambios en los scripts, base de datos y
riesgo
carga de datos; en el los cambios de harware debe
actualizarse el inventario de TI y los registros de
configuraciones
Evitar aumento del
R77 2 Bajo C130 generación de respaldos y backups la periodicidad y el
riesgo
tipo de respaldos y backups que deben generarse
generación de respaldos y backups el lugar de
Evitar aumento del
R78 2 Bajo C131 almacenamiento y los mecanismos de resguardo.
riesgo
También deben definirse el ciclo de vida útil de las
copias, estableciendo el mecanismo de su destrucción.
Pág. N° 98
CAPÍTULO IV. RESULTADOS
4.1. Análisis de brechas POST
El siguiente cuadro muestra el análisis de brechas realizado después de la

implementación de controles de análisis de riesgos.
Tabla N° 24. Análisis de brechas POST
Nivel de
Ítem Requisitos de la ISO 27001 Cumple Total
cumplimiento
Generalidades
1 Definición y difusión de una política SI 50%
2 Metodología de gestión de riesgos SI 80%
3 Mantenimiento de registros SI 50%
Estructura organizacional definida y
4 SI 100%
difundida
5 Asegurar el cumplimiento de la política NO 0%
60%
Monitoreo de la implementación de
6 SI 50%
controles
Método para la concientización y
7 SI 50%
entrenamiento del personal
Método para la evaluación de incidentes de
8 NO 0%
seguridad / acciones
Seguridad lógica
Procedimientos formales para la concesión,
9 administración de derechos y perfiles, así SI 50%
como la revocación de usuarios
Revisiones periódicas sobre los derechos
10 SI 50%
concedidos a los usuarios
Los usuarios deben contar con una
identificación para su uso personal, de tal
11 SI 100%
manera que las posibles responsabilidades
42%
puedan ser seguidas e identificadas
Controles especiales sobre utilidades del
12 NO 0%
sistema y herramientas de auditoría
Seguimiento sobre el acceso y uso de los
13 sistemas para detectar actividades no NO 0%
autorizadas
Controles especiales sobre usuarios
14 SI 50%
remotos y computación móvil
Seguridad de personal
Definición de roles y responsabilidades
15 establecidos sobre la seguridad de SI 100%
información
Verificación de antecedentes, de
16 conformidad con la legislación laboral SI 100%
vigente
17 Concientización y entrenamiento SI 100% 66%
Procesos disciplinarios en caso de
incumplimiento de las políticas de
18 NO 0%
seguridad, de conformidad con la
legislación laboral vigente
Procedimientos definidos en caso de cese
19 NO 0%
del personal, que incluyan aspectos como
Pág. N° 99
la revocación de los derechos de acceso y
la devolución de activos
Seguridad física y ambiental
Controles para evitar el acceso físico no
20 autorizado, daños o interferencias a los SI 80%
locales y a la información de la empresa
Controles para prevenir pérdidas, daños o 80%
robos de los activos, incluyendo la
21 SI 80%
protección de los equipos frente a
amenazas físicas y ambientales
Inventario de activos y clasificación de la información
Realizar y mantener un inventario de
activos asociados a la tecnología de
22 SI 80%
información y asignar responsabilidades
respecto a la protección de estos activos
Realizar una clasificación de la información, 80%
que debe indicar el nivel de riesgo existente
23 para la empresa, así como las medidas SI 80%
apropiadas de control que deben asociarse
a las clasificaciones
Inventario de activos y clasificación de la información
Procedimientos documentados para la
24 SI 80%
operación de los sistemas
Control sobre los cambios en el ambiente
operativo, que incluye cambios en los
25 NO 0%
sistemas de información, las instalaciones
de procesamiento y los procedimientos
Separación de funciones para reducir el
26 SI 80%
riesgo de error o fraude
27 Separación de los ambientes de desarrollo,
SI 100%
pruebas y producción
28 Monitoreo del servicio dado por terceras
SI 100%
partes
29 Administración de la capacidad de 58%
SI 70%
procesamiento
30 Controles preventivos y de detección sobre
el uso de software de procedencia dudosa, SI 100%
virus y otros similares
31 Seguridad sobre las redes, medios de
almacenamiento y documentación de SI 30%
sistemas
32 Seguridad sobre el intercambio de la
SI 25%
información, incluido el correo electrónico
33 Seguridad sobre canales electrónicos SI 50%
34 Mantenimiento de registros de auditoría y
NO 0%
monitoreo del uso de los sistemas
Adquisición, desarrollo y mantenimiento de sistemas informáticos
Incluir en el análisis de requerimientos para
nuevos sistemas o mejoras a los sistemas
35 actuales, controles sobre el ingreso de SI 100%
información, el procesamiento y la
información de salida
Aplicar técnicas de encriptación sobre la
36 SI 100% 75%
información crítica que debe ser protegida
Definir controles sobre la implementación
37 de aplicaciones antes del ingreso a SI 100%
producción
Controlar el acceso a las librerías de
38 SI 100%
programas fuente
Pág. N° 100
Mantener un estricto y formal control de
cambios, que será debidamente apoyado
39 por sistemas informáticos en el caso de SI 50%
ambientes complejos o con alto número de
cambios
Controlar las vulnerabilidades técnicas
40 NO 0%
existentes en los sistemas de la empresa
Procedimientos de respaldo
Procedimientos de respaldo regular y
periódicamente validado. Estos
procedimientos deben incluir las medidas
necesarias para asegurar que la
41 información esencial pueda ser recuperada SI 100%
en caso de falla en los medios o luego de
un desastre. Estas medidas serán
coherentes con la estrategia de continuidad 100%
de negocios de la empresa
Conservar la información de respaldo y los
procedimientos de restauración en una
ubicación a suficiente distancia, que evite
42 SI 100%
exponerlos ante posibles eventos que
comprometan la operación del centro
principal de procesamiento
Gestión de incidentes de seguridad de información
Procedimientos formales para el reporte de
incidentes de seguridad de la información y
43 NO 0%
las vulnerabilidades asociadas con los
sistemas de información 40%
Procedimientos establecidos para dar una
44 respuesta adecuada a los incidentes y SI 80%
vulnerabilidades de seguridad reportadas
4.2. Indicadores versus objetivos de seguridad
A continuación, se muestran los resultados obtenidos en cada uno de los

indicadores en relación con los objetivos de seguridad
Pág. N° 101
Tabla N° 25. Objetivos de seguridad vs indicadores
Objetivos Indicadores Fórmula Meta

Colaboradores que conocen la política de 𝑁𝑟𝑜 𝑐𝑜𝑙𝑎𝑏𝑜𝑟𝑎𝑑𝑜𝑟𝑒𝑠 𝑐𝑜𝑛𝑜𝑐𝑒𝑛
Implementar una política de seguridad de seguridad de información
100%
información que sea desplegada a todos los 𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑐𝑜𝑙𝑎𝑏𝑜𝑟𝑎𝑑𝑜𝑟𝑒𝑠
colaboradores, proveedores y terceros
involucrados en los procesos de tecnología Colaboradores que cumplen de la política 𝑁𝑟𝑜 𝑐𝑜𝑙𝑎𝑏𝑜𝑟𝑎𝑑𝑜𝑟𝑒𝑠 𝑐𝑢𝑚𝑝𝑙𝑒𝑛
de seguridad de información
80%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑐𝑜𝑙𝑎𝑏𝑜𝑟𝑎𝑑𝑜𝑟𝑒𝑠
𝑁𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑟𝑒𝑝𝑜𝑟𝑡𝑎𝑑𝑜𝑠 𝑎𝑑𝑒𝑐𝑢𝑎𝑑𝑎𝑚𝑒𝑛𝑡𝑒

Incidentes reportados adecuadamente 80%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
Gestionar y monitorear de manera eficiente Vulnerabilidades reportadas 𝑁𝑟𝑜 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑟𝑒𝑝𝑜𝑟𝑡𝑎𝑑𝑎𝑠 𝑎𝑑𝑒𝑐𝑢𝑎𝑑𝑎𝑚𝑒𝑛𝑡𝑒
adecuadamente
80%
los incidentes y vulnerabilidades de 𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠
seguridad de información, para reducirlos en
un 80%. 𝑁𝑟𝑜 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠 𝑎𝑡𝑒𝑛𝑑𝑖𝑑𝑜𝑠
Incidentes atendidos oportunamente 95%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑖𝑛𝑐𝑖𝑑𝑒𝑛𝑡𝑒𝑠
𝑁𝑟𝑜 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠 𝑠𝑢𝑝𝑒𝑟𝑎𝑑𝑎𝑠

Vulnerabilidades atendidas oportunamente 85%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠
Activos de información sin mecanismos de 𝑁𝑟𝑜 𝑑𝑒 𝑎𝑐𝑡𝑖𝑣𝑜𝑠 sin 𝑐𝑜𝑛𝑡𝑟𝑜𝑙

control
0%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑎𝑐𝑡𝑖𝑣𝑜𝑠
Desplegar las medidas de seguridad para
gestionar los riesgos y ejecutar controles de 𝑁𝑟𝑜 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠 𝑛𝑜 𝑡𝑜𝑙𝑒𝑟𝑎𝑏𝑙𝑒𝑠
Riesgos con nivel de tolerancia "No
tratamiento de riesgos, para reducir el 90%
tolerables"
0%
de los riesgos a niveles aceptables 𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠
Riesgos con nivel de tolerancia "Totalmente 𝑁𝑟𝑜 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠 𝑡𝑜𝑡𝑎𝑙𝑚𝑒𝑛𝑡𝑒 𝑡𝑜𝑙𝑒𝑟𝑎𝑏𝑙𝑒𝑠

tolerables"
65%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜𝑠
Formación y concientización al 100% de los 𝑁𝑟𝑜 𝑐𝑜𝑙𝑎𝑏𝑜𝑟𝑎𝑑𝑜𝑟𝑒𝑠 𝑐𝑎𝑝𝑎𝑐𝑖𝑡𝑎𝑑𝑜𝑠

colaboradores involucrados en los procesos
Colaboradores capacitados/concientizados 100%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑐𝑜𝑙𝑎𝑏𝑜𝑟𝑎𝑑𝑜𝑟𝑒𝑠
Pág. N° 102
de tecnología, en temas de seguridad de 𝑁𝑟𝑜 𝑐𝑜𝑙𝑎𝑏𝑜𝑟𝑎𝑑𝑜𝑟𝑒𝑠 𝑎𝑝𝑟𝑜𝑏𝑎𝑑𝑜𝑠 > 13
Colaboradores capacitados/concientizados
información.
aprobados > 13
90%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑐𝑎𝑝𝑎𝑐𝑖𝑡𝑎𝑑𝑜𝑠
Cumplimiento de la legislación vigente sobre
información personal, propiedad intelectual y Cumplimiento de requisitos reglamentarios 𝐴𝑛á𝑙𝑖𝑠𝑖𝑠 𝑑𝑒 𝑏𝑟𝑒𝑐ℎ𝑎𝑠 90%
otras.
Procedimientos necesarios SGSI 𝑁𝑟𝑜 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑑𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝐷𝐸𝐷

Documentados/ Estandarizados/ Difundidos
90%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑟𝑒𝑞𝑢𝑖𝑠𝑖𝑡𝑜𝑠
Gestionar y controlar el 100% de los
documentos del SGSI.
Cumplimiento de los procedimientos SGSI 𝑁𝑟𝑜 𝑐𝑢𝑚𝑝𝑙𝑖𝑚𝑖𝑒𝑛𝑡𝑜 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑑𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠 𝐷𝐸𝐷
documentados/ estandarizados/ Difundidos
90%
𝑁𝑟𝑜 𝑡𝑜𝑡𝑎𝑙 𝑑𝑒 𝑝𝑟𝑜𝑐𝑒𝑑𝑖𝑚𝑖𝑒𝑛𝑡𝑜𝑠
Pág. N° 103
4.3. Resultados de indicadores PRE y POST
Tabla N° 26. Resultado de indicadores antes VS después
Indicadores PRE (antes) POST (ahora)

Colaboradores que conocen 5 52
la política de seguridad de 10% 100%
información 52 52
Colaboradores que cumplen 5 40
de la política de seguridad de 10% 77%
información 52 52
Incidentes reportados 494 756

adecuadamente
54% 87%
918 871
Vulnerabilidades reportadas 15 18
adecuadamente
22% 78%
67 23
Incidentes atendidos 813 852

oportunamente
88% 98%
918 871
Vulnerabilidades atendidas 50 18
oportunamente
75% 78%
67 23
Activos de información sin 39 88

mecanismos de control
44% 0%
88 88
Riesgos con nivel de 12 0

tolerancia "No tolerables"
4.5% 0%
268 268
Riesgos con nivel de 87 207
tolerancia "Totalmente 32.5% 77%
tolerables" 268 268
Colaboradores 5 52
capacitados/concientizados
10% 100%
52 52
Colaboradores 5 38
capacitados/concientizados 10% 73%
aprobados > 13 52 52
Cumplimiento de requisitos
reglamentarios
𝐵𝑟𝑒𝑐ℎ𝑎 𝑃𝑅𝐸 34% 𝐵𝑟𝑒𝑐ℎ𝑎 𝑃𝑂𝑆𝑇 86%
Procedimientos necesarios
SGSI Documentados/ 3 15
Estandarizados/ Difundidos
20% 100%
15 15
(1)
Cumplimiento de los
procedimientos SGSI 2 12
documentados/
67% 80%
3 15
estandarizados/ Difundidos
(1) Los documentos necesarios SGSI son: política SGSI, manual SGSI, procedimiento de
gestión de riesgos, procedimiento de gestión de incidentes y vulnerabilidades,
procedimiento de gestión de usuarios, procedimiento de control de accesos,
procedimientos disciplinarios de seguridad, procedimiento para cese de personal,
procedimiento para ingreso de personal, política sobre seguridad física y ambiental,
procedimientos de la operación de sistemas, procedimientos para el monitoreo del
trabajo de terceros, políticas sobre la gestión de la capacidad de procesamiento,
procedimiento para la adquisición, desarrollo y mantenimiento de sistemas,
procedimientos de respaldo.
Pág. N° 104
4.4. Análisis por indicadores
Objetivo 1: Implementar una política de seguridad de información que sea

entendida, cumplida e interiorizada por el 100% de los colaboradores involucrado
en los procesos de Tecnología
Indicadores Meta Antes Después

Colaboradores que conocen la política de
seguridad de información
100% 10% 100%
Colaboradores que cumplen de la política

de seguridad de información
80% 10% 77%
Interpretación:
Al iniciar el proyecto no existía una política de seguridad de información
y mucho menos la cultura para proteger los activos de información. Se
puede observar una mejoría de 88.5% en promedio de los dos
indicadores. Actualmente los colaboradores de la gerencia de
tecnología conocen como sus funciones cotidianas aportan al
mantenimiento y mejora continua del SGSI implementado
Objetivo 2: Gestionar y monitorear de manera eficiente los incidentes y

vulnerabilidades de seguridad de información para reducir los impactos en un
80%.
Incidentes reportados adecuadamente 80% 54% 87%
Vulnerabilidades reportadas
adecuadamente
80% 22% 78%
Incidentes atendidos oportunamente 95% 88% 98%
Vulnerabilidades atendidas oportunamente 85% 75% 78%
Interpretación:
Con los resultados obtenidos después de la implementación del SGSI,
se lograron detectar de manera preventiva las vulnerabilidades,
mitigando así los futuros riesgos. De igual manera, se logró implementar
procesos de atención inmediata para las vulnerabilidades e incidentes
reportados
Pág. N° 105
Objetivo 3: Desplegar las medidas de seguridad para gestionar los riesgos y
ejecutar el plan de tratamiento de riesgos planteado para reducir el 90% de los
riesgos a niveles aceptables
Colaboradores capacitados/concientizados 100% 10% 100%
Colaboradores capacitados/concientizados
aprobados > 13
90% 10% 73%
Interpretación:
Al iniciar el proyecto, se detectó:
- Activos de información sin controles para los cuales se
implementaron diferentes tipos de controles preventivos,
correctivos y detectivos.
- Muchos riesgos con calificativo no tolerables, los cuales se lograron
minimizar a un 0 %.
Objetivo 4: Formación y concientización al 100% de los colaboradores

involucrados en los procesos de tecnología en temas de seguridad de información

Cumplimiento de requisitos reglamentarios 90% 34% 86%
Procedimientos necesarios SGSI

Documentados/ Estandarizados/ 90% 20% 100%
Difundidos
Cumplimiento de los procedimientos SGSI
documentados/ estandarizados/ 90% 67% 80%
Difundidos
Interpretación:
Si bien todos los colaboradores involucrados en los procesos de
tecnología están muy bien entrenados para el cumplimiento de sus
labores, no contaban con una formación y concientización sobre la
seguridad de información y protección de los activos de información.
Se puede observar que después de la implementación del SGSI, los

colaboradores incrementaron notablemente su compromiso con la
seguridad de los activos de información.
Pág. N° 106
Objetivo 5: Cumplimiento de la legislación vigente sobre información personal,
propiedad intelectual y otras

Cumplimiento de requisitos reglamentarios 90% 34% 86%
Interpretación:
Después de los análisis de brechas PRE y POST, se observa que el
cumplimiento de las normas ISO 27001 e ISO 27002 mejora en un 52%.
Aun así, existe una pequeña brecha por cumplir, en la cual la empresa
deberá seguir trabajando para cubrirla
Objetivo 6: Gestionar y controlar el 100% de los documentos del SGSI.

Procedimientos necesarios SGSI
Documentados/ Estandarizados/ 90% 20% 100%
Difundidos
Cumplimiento de los procedimientos SGSI
documentados/ estandarizados/ 90% 67% 80%
Difundidos
Interpretación:
La UNTRM no contaba con la documentación mínima necesaria para
soportar un SGSI. Se puede observar que al final de la implementación
se logró contar con toda la documentación necesaria
4.5. Beneficios obtenidos
Los beneficios obtenidos con la propuesta fueron:

1. Provee a la gerencia dirección y apoyo para la seguridad de la información.
2. Ayuda a identificar los activos de información y a protegerlos adecuadamente.
3. Enfoque sistemático para el análisis y evaluación del riesgo de información de
la UNTRM.
4. Asegura una correcta y segura operación de información de la UNTRM,
reduciendo el riesgo del error humano.
5. Incrementa sustancialmente los controles de acceso a la información.
6. Minimiza la interrupción en el funcionamiento de las actividades del negocio y
lo protege de desastres y fallas mayores.
Pág. N° 107
7. Mayor confianza de clientes y socios estratégicos por la garantía de calidad y
confidencialidad comercial.
4.6. Validación del modelo de gestión de riesgos de TI propuesto
Para la validación del modelo de gestión de riesgos de TI basados en la norma

ISO/IEC 27005 y metodología Magerit, sobre la gestión de seguridad de la
información en la Universidad Nacional Toribio Rodríguez de Mendoza –
Chachapoyas Perú propuesto, se realizó una valoración por juicio de expertos.
Los expertos que fueron considerados para dicha evaluación fueron los siguientes:
Tabla N° 27. Identificación de expertos para la valoración del modelo de gestión de riesgos
de TI basados en la norma ISO/IEC 27005 y metodología Magerit propuesto
Experto 1 Experto 2 Experto 3

Nombres y Erwin Mac Dowall Pedro Segundo Castañeda
Oscar Zocón Alva
Apellidos Reynoso Vargas
- Licenciado en - Ingeniero de Sistemas - Ingeniero de
Computación - Maestría en Computación y
- Maestro en Administración de Sistemas
Formación
Computación Negocios – MBA - Magister en Ingeniería
académica
- Maestría en Dirección y de Sistemas
Gestión de Tecnologías
de Información
- Especialización en - Process Consulting, - Certificación
Sistemas de Gestión Aplicación del Modelo Internacional ITIL en
de la Seguridad de la CMMI V1.2 Gestión de Servicios de
Información ISO - Despliegue de CMMI Tecnologías de
27001 Nivel de Madurez 3. Información
Área de
- Certificación ITIL - Inducción a - Certificación en Gestión
experiencia
Fundation Metodologías y Pruebas y Desarrollo de
profesional
de Testing Proyectos Agiles
Certified Scrum
Developer
- Auditor Interno ISO
27001:2007
Tiempo de
31 años 14 años 23 años
experiencia
- Jefe de Proyectos
Cargo - Consultor de TI - Mejora de Procesos bajo
- Docente Universitario
actual - Docente Universitario enfoque CMMI
- Docente Universitario
- Universidad Nacional de
Institución - Independiente - GMD S.A.
Cajamarca
Pág. N° 108
Los objetivos perseguidos con la valoración del modelo de gestión de riesgos de
TI basados en la norma ISO/IEC 27005 y metodología Magerit propuesto, fueron:
a. Objetivo de la investigación
Elaborar un modelo de gestión de riesgos de TI basados en la norma ISO/IEC
27005 y metodología Magerit, para mejorar la gestión de seguridad de la
información en la Universidad Nacional Toribio Rodríguez de Mendoza –
Chachapoyas Perú.
b. Objetivo del juicio de expertos

Validar el modelo de gestión de riesgos de TI basados en la norma ISO/IEC
27005 y metodología Magerit propuesto en relación a la suficiencia, claridad,
coherencia y relevancia de los ítems considerados.
c. Objetivo de la prueba
Determinar la utilidad del modelo propuesto para la Universidad Nacional
Toribio Rodríguez de Mendoza – Chachapoyas.
Los criterios y el sistema de valoración del modelo de gestión de riesgos de TI

basado en la norma ISO/IEC 27005 y metodología Magerit propuesto, fueron:
Tabla N° 28. Criterios y sistema de valoración del modelo de gestión de riesgos de TI

basado en la norma ISO/IEC 27005 y metodología Magerit propuesto por juicio de expertos
CATEGORIA CALIFICACIÓN INDICADOR

1. No cumple con el Los aspectos considerados en la actividad o
criterio tarea no son suficientes para medir ésta.
SUFICIENCIA Los aspectos considerados en la actividad o

La cantidad y calidad tarea permiten medir algún aspecto de ésta,
2. Bajo Nivel
de los elementos pero no corresponden con la totalidad de la
presentados en el actividad o tarea.
contenido son
suficientes para la Se deben incrementar algunos aspectos para
aplicación del modelo. 3. Moderado nivel poder evaluar la actividad o tarea
completamente.
Los aspectos considerados en la actividad o
4. Alto nivel
tarea son suficientes.
1. No cumple con el
La actividad o tarea no es clara.
criterio
La actividad o tarea requiere bastantes
CLARIDAD
modificaciones o una modificación muy
El contenido se
2. Bajo Nivel significativa en el uso de las palabras de
presenta utilizando un
acuerdo con su significado o por la ordenación
lenguaje apropiado
de las mismas.
que facilita su
Se requiere una modificación muy específica
comprensión del
3. Moderado nivel de algunos de los términos de la actividad o
modelo.
tarea.
La actividad o tarea es clara, tiene semántica y
4. Alto nivel
sintaxis adecuada.
Pág. N° 109
1. No cumple con el La actividad o tarea no tiene relación lógica con
COHERENCIA criterio el objetivo perseguido.
Existe una La actividad o tarea tiene una relación
2. Bajo Nivel
correspondencia lógica tangencial con el objetivo perseguido.
entre el contenido La actividad o tarea tiene una relación
3. Moderado nivel
presentado y la teoría moderada con el objetivo que está midiendo.
utilizada para el La actividad o tarea se encuentra
desarrollo del modelo. 4. Alto nivel completamente relacionada con el objetivo que
está midiendo.
La actividad o tarea puede ser eliminado sin
1. No cumple con el
que se vea afectada la medición del objetivo
RELEVANCIA criterio
perseguido.
El contenido
La actividad o tarea tiene alguna relevancia,
presentado es
2. Bajo Nivel pero otra actividad o tarea puede estar
importante y
incluyendo lo que mide ésta.
determinante para
La actividad o tarea es relativamente
lograr el entendimiento 3. Moderado nivel
importante para el modelo.
del modelo.
La actividad o tarea es muy relevante y debe
4. Alto nivel
ser incluido en el modelo.
Aplicando el formato de encuesta que se muestra en el Anexo N° 4, se obtuvieron

las valoraciones de cada uno de los expertos para cada uno de los criterios
considerados para validar el modelo de gestión de riesgos de TI basado en la
norma ISO/IEC 27005 y metodología Magerit propuesto, cuyos resultados se
muestran a continuación:
Pág. N° 110
Tabla N° 29. Resultados de la validación de expertos del modelo de gestión de riesgos de TI basado en la norma ISO/IEC 27005 y metodología Magerit
propuesto por juicio de expertos
EXPERTO 1 EXPERTO 2 EXPERTO 3

ETAPA ACTIVIDAD
SU CL CO RE SU CL CO RE SU CL CO RE SU CL CO RE
Identificación de los procesos y activos críticos 4 4 4 4 4 3 4 3 4 4 4 4

FASE I.
Definición del Definición de la política general del SGSI 3 3 4 3 3 3 3 3 3 4 4 4 3.67 3.44 3.67 3.56
alcance del
SGR Análisis de las brechas de seguridad de la
4 3 3 3 4 4 3 4 4 3 4 4
información
Definición del inventario de activos de información y
4 4 4 3 4 4 4 4 4 4 4 4
de TI relevantes
Determinación de la criticidad de los activos de
5 4 5 4 5 5 4 4 5 5 5 4
información y de TI
FASE II. Identificación de amenazas y vulnerabilidades 5 4 5 4 5 5 4 4 5 5 5 4

Evaluación del 4.61 4.56 4.61 4.06
riesgo de TI Estimación del impacto de la materialización de las
4 4 4 5 4 5 5 4 5 5 5 4
amenazas
Estimación de la frecuencia de la materialización de

4 4 5 5 5 5 5 4 5 5 5 4
las amenazas
Valoración del riesgo 5 4 5 4 4 5 4 4 5 5 5 4
Plan de tratamiento de los riesgos no tolerables 4 4 4 4 3 4 4 4 4 4 4 4

FASE III
Tratamiento y
Implementación de las medidas de seguridad 4 4 4 4 3 3 4 3 4 4 3 3 3.44 3.78 3.78 3.67
administración
del riesgo de TI Identificación de la estrategia de implementación de
3 4 4 3 3 3 3 4 3 4 4 4
controles
Pág. N° 111
De las calificaciones, que los expertos dieron en su valoración del modelo de
gestión de riesgos de TI propuesto, se realizaron las siguientes interpretaciones:
a. En relación a la Etapa 1: Definición del alcance del SGR
- Las actividades y tareas desarrolladas son suficientes para lograr los
objetivos o resultados esperados, pero falta reforzar la definición de la
política general del SGSI.
- La descripción de las actividades y tareas son claras y comprensibles en
su explicación para su ejecución dentro del modelo, pero falta aclarar la
definición de la política general del SGSI.
- Las actividades y tareas desarrolladas son coherentes y hay una lógica
para su ejecución en el modelo. Se requiere mejorar aspectos en el
análisis de brechas de seguridad.
- Las actividades o tareas desarrolladas son muy relevante y debe ser
incluido en el modelo. Se debe mejorar la definición de la política general
del SGSI y el análisis de brechas de seguridad.
b. En relación a la Etapa 2: Evaluación del riesgo de TI

- Las actividades y tareas desarrolladas permiten cumplir con los objetivos
o resultados esperados en esta etapa del modelo.
su explicación para su ejecución dentro del modelo.
para su ejecución en el modelo.
- Las actividades o tareas desarrolladas son muy relevantes y deben ser
incluidas en el modelo.
c. En relación a la Etapa 3: Tratamiento y administración del riesgo de TI

- Las actividades y tareas desarrolladas son suficientes para lograr los
objetivos o resultados esperados en esta etapa del modelo, pero debe
reforzarse la propuesta de implementación de las medidas de seguridad
eiIdentificación de la estrategia de implementación de controles
su explicación para su ejecución dentro del modelo.
para su ejecución en el modelo.
- Las actividades o tareas desarrolladas son muy relevantes y deben ser
incluidas en el modelo.
Pág. N° 112
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
1. Para delimitar la aplicabilidad de un sistema de gestión de riesgos de TI, éste debe

estar en concordancia con los objetivos del sistema de seguridad de la información
de la institución. En el desarrollo del modelo de gestión de riesgos de TI propuesto
se logró desarrollar un procedimiento sencillo que permitió identificar los procesos
críticos sobre los cuales se realizó la evaluación de los escenarios de riesgos,
obteniendo un listado de procesos académicos y administrativos críticos de la
Universidad Nacional Toribio Rodríguez de Mendoza.
2. Se logró elaborar un procedimiento, adecuando el marco de referencia de la

metodología MagerIT, para desarrollar las actividades y tareas de las dos
principales fases de un sistema de gestión de riesgos de TI, como son: la evaluación
de los riesgos y el tratamiento de los mismos; para cada uno de los activos de TI
que se tenían que protegerse, con la finalidad de asegurar una gestión adecuada
de la seguridad de la información en los procesos académicos y administrativos
identificados como críticos.
3. El modelo de gestión de riesgos de TI propuesto permite, con coherencia, claridad

y suficiencia, identificar para cada activo de TI, valorar su criticidad, identificar las
amenazas y vulnerabilidades que conforman los escenarios de riesgos a los que
están expuestos cada activo y finalmente valorar los niveles de exposición al riesgo,
basado en el análisis de los impactos y frecuencias de ocurrencia de cada escenario
de riesgo identificado.
4. Así mismo, el modelo de gestión de riesgos de TI propuesto, también permite con

coherencia, claridad y suficiencia y pertinencia, elaborar estrategias de tratamiento
de los escenarios de riesgos de TI que han sido valorados en niveles de exposición
que están fuera de los rangos de tolerancia fijados por la universidad. Las
estrategias de tratamiento contemplan las formas de implantación de los controles
necesarios.
5. En un trabajo colaborativo con el personal responsable y con autoridad en la gestión

de la seguridad de la información en la universidad, se elaboraron las tablas que
permitieron definir el apetito de riesgo que tienen la institución. La propuesta de
Pág. N° 113
apetito de riesgos está basada en la definición de tablas que determinan los niveles
de impacto y frecuencia de exposición al riesgo. Estas tablas fueron utilizadas para
determinar los niveles de exposición al riesgo tolerable y no tolerable.
6. En base a indicadores KRI (indicadores claves de riesgo) se logró determinar la

mejora en la gestión de los riesgos, en base a los resultados obtenidos en las fases
de análisis y tratamiento de los riesgos que están propuestos en el modelo. A través
de estos indicadores se identificó las brechas de seguridad, llegando a concluir que
el modelo, permite disminuir estas brechas.
7. El modelo de gestión de riesgos de TI propuesto fue validado a través de un

procedimiento de valoración por el juicio de tres expertos, calificando la coherencia,
claridad, pertinencia y suficiencia del modelo, llegando a obtener, en cada uno de
las categorías mencionadas, valores que sobrepasan la media en una escala de
cinco niveles. Por tanto, el modelo es calificado como favorable para la gestión de
riesgos de TI en la universidad.
Pág. N° 114
RECOMENDACIONES
1. Se recomienda mantener una constante revisión de la política del SGSI y verificar

el cumplimiento de la misma por parte de los responsables de la seguridad de la
información en la universidad. La finalidad es que los controles que se identifiquen
como necesarios después de la evaluación de riesgos de TI, sean implementados
como parte del SGSI y se evalúe la efectividad de los mismos.
2. Se recomienda establecer los mecanismos que permitan la identificación de nuevos

activos de información, y también la cultura organizacional para tomar acciones
correctivas frente a nuevas vulnerabilidades, amenazas o riesgos detectados; y con
base en esa información tomar acciones preventivas
3. Se recomienda seguir con la utilización de una metodología para gestionar los

riesgos de TI; ya que, de esta manera se puede lograr una reducción en los riesgos
a los cuales son sometidos los activos de información y también se puede hacer lo
mismo para nuevos riesgos que aparezcan.
4. Se recomienda formar y capacitar de manera periódica al personal en temas de

seguridad de la información y así lograr que todos los involucrados o relacionados
con los activos de información tengan los alcances de la implementación claros.
5. Se recomienda realizar una documentación de procesos para poder gestionar los

riesgos de TI, para asegurar su formal implementación y su cumplimiento.
Pág. N° 115
REFERENCIAS CONSULTADAS
Aguirre Freire, D. S., & Palacios Cruz, J. C. (2014). Evaluación técnica de seguridades del data
center del municipio de Quito según las normas ISO/IEC 27001:2005 SGSI e ISO/IEC
27002:2005. Ecuador: Universidad de las fuerzas armadas ESPE, Sede SANGOLQUI.
Aguirre Mollehuanca, D. A. (2014). Diseño de un sistema de gestión de seguridad de

información para servicios postales del Perú S:A. tesis pregrado. Lima: Pontificia
Universidad Católica del Perú.
Alcántara Torres, J. C. (2015). Guía de implementación de La seguridad basado en la norma

ISO/IEC 27001, para apoyar la seguridad en los sistemas informáticos de la comisaria
del norte PNP en la ciudad de Chiclayo. Universidad Catolica Santo Toribio de
Mogrovejo.
Alexander, A. (2007). Diseño de un Sistema de Gestión de Seguridad de Información. Optica

ISO 27001:2005. Bogotá, Colombia: Alfaomega.
Alexander, A. (2011). Análisis y Evaluación del Riesgo de Información : Un Caso en la Banca

Análisis y Evaluación del Riesgo de Información : Un Caso en la Banca. CENTRUM -
Centro de Negocios, Pontificia Universidad Católica del Perú.
BSI Group México . (s/a). Pasando de ISO/IEC 27001:2005 a ISO/IEC 27001:2013. ISO/IEC
27001 – Gestión de Seguridad de la Información – Guía de Transición.
Carrasco, C. A. (2010). Impacto del riesgo en el gobierno de las tecnologias de Información y

comunicación en la gestión empresarial industrial del sigo XXI. Lima-Perú.
Caviedes Sanabria, F., & Prado Urrego, B. A. (2012). Modelo unificado para identificación y
valoración de los riesgos de los activos de información en una organización. Santiago
de Cali.
Concha Huacoto, N. E. (2005). Propuesta para implantar CMMI en una empresa con multiples
unidades desarrolladoras de software. Tesis pregrado. Lima: Universidad Nacioanl
Mayor de San Marcos.
Condori Alejo, H. I. (2012). Un Modelo de Evaluación de Factores Críticos de Éxito en la

Implementación de la Seguridad en Sistemas de Información para determinar su
influencia en la intención del usuario. tesis postgrado. Lima: Universidad Inca Garcilaso
de la Vega.
De la Cruz Guerrero, C. W., & Vasquez Montenegro, J. C. (2008). Elaboración y aplicación de

un Sistema de Gestión de la Seguridad de la Información(SGSI) para la realidad
Tecnólogica de la USAT. tesis pregrado. Chiclayo: Universidad Catolica Santo Toribio
de Mogrovejo.
Eleven Paths. (23 de febrero de 2016). Gestión de Incidentes . Obtenido de

http://blog.elevenpaths.com/2016/02/gestion-de-incidentes-i.html
Enriquez Espinosa, P. R. (2013). Implementación de los controles asignados al dominio

“Gestión De Activos”, bajo los lineamientos establecidos por la norma ISO/IEC 27001
anexo a, para las empresas Municipales de Cali, Emcali E.I.C.E-ESP. Colombia:
Universidad Autónoma de Occidente.
Espinoza Aguinaga, H. R. (2013). Análisis y diseño de un sistema de gestión de seguridad de

información basado en la norma ISO/IEC 27001:2005 para una empresa de producción
y comercialización de productos de consumo masivo. tesis pregrado. Lima: Pontificia
Universidad Católica del Perú.
Pág. N° 116
Espinoza, A. H. (2013). Análisis y diseño de un sistema de gestión de seguridad de información
basado en la norma ISO/IEC 27001:2005 para una empresa de producción y
comercialización de productos de consumo masivo. Tesis PreGrado. Lima: Pontificia
Universidad Católica del Peru.
Hernández Pinto, M. G. (2006). Diseño de un Plan Estratégico de Seguridad de Información en

una empresa del sector comercial. tesis pregrado. Guayaquil - Ecuador: Escuela
Superior Politécnica del Litoral.
Huamán Monzón, F. M. (2014). Diseño De Procedimientos De Auditoría De Cumplimiento De

La Norma NTP-ISO/IEC 17799:2007 Como Parte Del Proceso De Implantación De La
Norma Técnica NTP-ISO/IEC 27001:2008 En Instituciones Del Estado Peruano. tesis
pregrado. Lima: Pontificia Universidad Católica del Perú.
Inteco. (s/a). Implantación de un SGSI en la empresa. SGSI, 22.
ISO 27000.es. (2005). ISO 27000. Recuperado el 15 de 03 de 2016, de ISO 27000:

www.iso27000.es
ISO/IEC 27001. (2005). Tecnologia de la información - Tecnicas de seguridad - Sistemas de

Gestion de seguridad de la información - Requerimientos.
ISO/IEC 27002. (2013). Information technology - Security techniques - Code of practice for
information security management. EEUU.
ISOTools Excellence. (17 de 01 de 2014). http://www.pmg-ssi.com. Obtenido de

http://www.pmg-ssi.com/2014/01/isoiec-27003-guia-para-la-implementacion-de-un-
sistema-de-gestion-de-seguridad-de-la-informacion/
ISOTools Excellence. (31 de 01 de 2014). http://www.pmg-ssi.com/. Obtenido de

http://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-seguridad-la-
informacion/
Ladino A., M. I., Villa S., P. A., & López E., A. M. (2011). Fundamentos de ISO 27001 y su
aplicación en las empresas. Scientia et Technica Año XVII, 334.
López M., A. A. (2011). Diseño de un Plan de Gestión de Seguridad de la Información. Caso:

Dirección de Informática de la Alcaldía del Municipio Jiménez del Estado Lara.
Venezuela: Universidad Centoccidental “Lisandro Alvarado”.
Magerit - Libro 1. (2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información. Madrid: Ministerio de Hacienda y
Administraciónes Públicas.
Mancera, S. (. (2011). Perspectivas sobre los riesgos de TI. Seguridad de la información en un

mundo sin fronteras, 15.
Mega, I. G. (2009). Metodología de Implantación de un SGSI en un grupo empresarial

jerárquico. Montevideo, Uruguay.
Montesino Perurena, R., Baluja Garcia, W., & Porven Rubier, J. (2013). Gestión automatizada e
integrada de controles de seguridad informática. Revista de Ingenieria Electrónica
Automática y Comunicaciones.
NTP ISO/IEC 17799. (2007). EDI. Tecnología de la Información. Código de buenas prácticas
para la gestión de la seguridad de la información. Lima.
NTP ISO/IEC 27001. (2016). EDI Tecnologia de la Información. Tecnicas de seguridad.

Sistemas de gestión de seguridad de la información. Lima.
NTP-ISO/IEC 27005. (2009). EDI. Tecnologia de la información. Técnicas de seguridad.

Gestión del riesgo en seguridad de la información. Lima.
Pág. N° 117
Ozier, W. (2004). Risk Analysis and Assessment” Information Security Management Handbook.
5th edition. USA: Auerbach Publications.
Peltier, T., Peltier, J., & Blackley, J. (2005). Information Security Fundamentals. USA: Auerbach
Publications.
Portal Oficial de la Oficina Nacional de Gobierno Electrónico e Informática - ONGEI. (NTP

ISO/IEC 27001:2008). Obtenido de
http://www.ongei.gob.pe/entidad/ongei_tematicos.asp?cod_tema=4552
Poveda, J. M. (s/a). Auditoría Informática. UNI-NORTE.
Reina García, E., & Morales Ramírez , J. R. (2014). Modelamiento de procesos basados en el
grupo de normas internacionales ISO/IEC 27000 para gestionar el riesgo y seleccionar
controles en la implementación del sistema de gestión de seguridad de la información.
tesis pregrado. Universidad tecnológica de Pereira Facultad de ingenierías eléctrica,
electrónica, física y ciencias de la computación.
Robles , R., & Rodriguez de Roa, Á. (2006). La gestión de la seguridad en la empresa. Comite
de Entidades de Certificación de la AEC, 14-18.
Talavera Álvarez, V. R. (2015). Diseño de un Sistema de Gestión De Seguridad de la

Información para una entidad Estatal de Salud de acuerdo a la ISO/IEC 27001:2013.
Lima-Perú: Pontificia Universidad Católica del Perú.
Tupia Anticona, M. F. (2011). Gobierno de las tecnologías de información bajo la óptica de

COBIT. Perú: Tupia Consultores y Auditores S.A.C. Perú.
Universidad Distrital Franscisco José de Caldas. (s/a). Gestión del riesgo. En Proceso de
desarrollo Open UP/OAS (pág. Cap. 5).
Villalón Huerta, A. (2002). SEGURIDAD EN UNIX Y REDES Version 2.1.
Welch, S., & Comer, J. (1988). Quantitative methods for public administration: techniques and
applications (2, reimpresa ed.). (1. Brooks/Cole Pub. Co., Ed.) la Universidad de
Virginia.
Pág. N° 118
ANEXO N° 1
TABLAS DE REFERENCIA PARA LA VALORACIÓN DE LA CRITICIDAD DE LOS ACTIVOS

DE TI
Para la valoración de los activos se tomarán en cuenta las siguientes dimensiones de

seguridad:
Tabla N° 30. Descripción de las dimensiones de seguridad de la información que se tomarán en cuenta en
la valoración de la criticidad de los activos de TI
[D] disponibilidad
Propiedad o característica de los activos consistente en que las entidades o procesos
autorizados tienen acceso a los mismos cuando lo requieren. [UNE 71504:2008]
[I] integridad
Propiedad o característica consistente en que el activo de información no ha sido alterado de
manera no autorizada. [ISO/IEC 13335-1:2004]
[C] confidencialidad
Propiedad o característica consistente en que la información ni se pone a disposición, ni se
revela a individuos, entidades o procesos no autorizados. [UNE-ISO/IEC 27001:2007]
[T] trazabilidad
Propiedad o característica consistente en que las actuaciones de una entidad pueden ser
imputadas exclusivamente a dicha entidad. [UNE 71504:2008]
[A] autenticidad
Propiedad o característica consistente en que una entidad es quien dice ser o bien que
garantiza la fuente de la que proceden los datos. [UNE 71504:2008]
Tabla N° 31. Definición de escala de valoración de la criticidad de los activos de TI
[pi] Información de carácter personal

probablemente afecte gravemente a un grupo de individuos y probablemente quebrante seriamente la
10
ley o algún reglamento de protección de información personal
probablemente afecte gravemente a un individuo y probablemente quebrante seriamente leyes o
9
regulaciones
7–8 probablemente afecte a un grupo de individuos y probablemente quebrante leyes o regulaciones
probablemente afecte a un individuo y probablemente suponga el incumplimiento de una ley o
5–6
regulación
3–4 pudiera causar molestias a un individuo y pudiera quebrantar de forma leve leyes o regulaciones
1–2 pudiera causar molestias a un individuo
[lpo] Obligaciones legales
9 - 10 probablemente cause un incumplimiento excepcionalmente grave de una ley o regulación
7-8 probablemente cause un incumplimiento grave de una ley o regulación
5-6 probablemente sea causa de incumplimiento de una ley o regulación
3–4 probablemente sea causa de incumplimiento leve o técnico de una ley o regulación
1–2 pudiera causar el incumplimiento leve o técnico de una ley o regulación
[si] Seguridad
probablemente sea causa de un incidente excepcionalmente serio de seguridad o dificulte la
9 - 10
investigación de incidentes excepcionalmente serios
probablemente sea causa de un serio incidente de seguridad o dificulte la investigación de incidentes
7-8
serios
probablemente sea causa de un grave incidente de seguridad o dificulte la investigación de incidentes
5-6
graves
Pág. N° 119
3–4 probablemente sea causa de una merma en la seguridad o dificulte la investigación de un incidente
1–2 pudiera causar una merma en la seguridad o dificultar la investigación de un incidente
[cei] Intereses comerciales económicos
de enorme interés para la competencia
de muy elevado valor comercial
causa de pérdidas económicas excepcionalmente elevadas
9 - 10
causa de muy significativas ganancias o ventajas para individuos u organizaciones
constituye un incumplimiento excepcionalmente grave de las obligaciones contractuales relativas a la
seguridad de la información proporcionada por terceros
de alto interés para la competencia
de elevado valor comercial
causa de graves pérdidas económicas
7-8
proporciona ganancias o ventajas desmedidas a individuos u organizaciones
constituye un serio incumplimiento de obligaciones contractuales relativas a la seguridad de la
información proporcionada por terceros
de cierto interés para la competencia de cierto valor comercial
causa de pérdidas financieras o merma de ingresos
5-6 facilita ventajas desproporcionadas a individuos u organizaciones
constituye un incumplimiento leve de obligaciones contractuales para mantener la seguridad de la
información proporcionada por terceros
de bajo interés para la competencia
3–4
de bajo valor comercial
de pequeño interés para la competencia
1–2 de pequeño valor comercial
supondría pérdidas económicas mínimas
[da] de interrupción del servicio
Probablemente cause una interrupción excepcionalmente seria de las actividades propias de la
9 - 10 Organización con un serio impacto en otras organizaciones
Probablemente tenga un serio impacto en otras organizaciones
Probablemente cause una interrupción seria de las actividades propias de la Organización con un impacto
7-8 significativo en otras organizaciones
Probablemente tenga un gran impacto en otras organizaciones
Probablemente cause la interrupción de actividades propias de la Organización con impacto en otras
5-6 organizaciones
Probablemente cause un cierto impacto en otras organizaciones
3–4 Probablemente cause la interrupción de actividades propias de la Organización
1–2 Pudiera causar la interrupción de actividades propias de la Organización
[po] de orden público
9 - 10 alteración seria del orden público
7-8 probablemente cause manifestaciones, o presiones significativas
3-6 causa de protestas puntuales
1–2 pudiera causar protestas puntuales
[op] operaciones
Probablemente cause un daño excepcionalmente serio a la eficacia o seguridad de la misión operativa o
10
logística
9 Probablemente cause un daño serio a la eficacia o seguridad de la misión operativa o logística
7–8 Probablemente perjudique la eficacia o seguridad de la misión operativa o logística
5–6 Probablemente merme la eficacia o seguridad de la misión operativa o logística más allá del ámbito local
3–4 Probablemente merme la eficacia o seguridad de la misión operativa o logística (alcance local)
1–2 Pudiera mermar la eficacia o seguridad de la misión operativa o logística (alcance local)
[adm] administración y gestión
9 - 10 probablemente impediría seriamente la operación efectiva de la Organización, pudiendo llegar a su cierre
7-8 probablemente impediría la operación efectiva de la Organización
5-6 probablemente impediría la operación efectiva de más de una parte de la Organización
3–4 probablemente impediría la operación efectiva de una parte de la Organización
Pág. N° 120
1–2 pudiera impedir la operación efectiva de una parte de la Organización
[pc] pérdida de confianza (reputación)
Probablemente causaría una publicidad negativa generalizada por afectar de forma excepcionalmente
10
grave a las relaciones a las relaciones con otras organizaciones
Probablemente causaría una publicidad negativa generalizada por afectar de forma excepcionalmente
9
grave a las relaciones a las relaciones con el público en general
Probablemente causaría una publicidad negativa generalizada por afectar gravemente a las relaciones
8
con otras organizaciones
Probablemente causaría una publicidad negativa generalizada por afectar gravemente a las relaciones
7
con el público en general
Probablemente sea causa una cierta publicidad negativa por afectar negativamente a las relaciones con
6
otras organizaciones
Probablemente sea causa una cierta publicidad negativa por afectar negativamente a las relaciones con
5
el público
4 Probablemente afecte negativamente a las relaciones internas de la Organización
3 Probablemente cause una pérdida menor de la confianza dentro de la Organización
1-2 Pudiera causar una pérdida menor de la confianza dentro de la Organización
0 no supondría daño a la reputación o buena imagen de las personas u organizaciones
[pd] persecución de delitos
6 - 10 Impida la investigación de delitos graves o facilite su comisión
1–5 Dificulte la investigación o facilite la comisión de delitos
[trs] tiempo de recuperación del servicio
9 –10 RTO < 4 horas
7–8 4 horas < RTO < 1 día
4–6 1 día < RTO < 5 días
1–3 5 días < RTO
Pág. N° 121
ANEXO N° 2
CATÁLOGO DE AMENAZAS POR ACTIVO Y DIMENSIÓN DE SEGURIDAD DE LA INFORMACIÓN
Tabla N° 32. Catálogo de amenazas por activo y dimensión se seguridad de la información
[N] Desastres naturales

Dimensiones que
Código Nombre Descripción Tipos de activos que afecta
afecta
[HW] equipos informáticos (hardware)
Incendios: posibilidad de que el fuego acabe con recursos del [Media] soportes de información
[N.1] Fuego [D] disponibilidad
sistema. [AUX] equipamiento auxiliar
[L] instalaciones
Inundaciones: posibilidad de que el agua acabe con recursos [Media] soportes de información
[N.2] Daños por agua [D] disponibilidad
del sistema [AUX] equipamiento auxiliar
[L] instalaciones
Incidentes que se producen sin intervención humana: rayo,
tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento
de tierras, etc.
[Media] soportes de información
[N.*] Desastres naturales Se excluyen desastres específicos tales como incendios [D] disponibilidad
[AUX] equipamiento auxiliar
[L] instalaciones
Se excluye al personal por cuanto se ha previsto una amenaza
específica [E.31] para cubrir la Indisponibilidad involuntaria del
personal sin entrar en sus causas.
[I] De origen industrial
Dimensiones que
afecta
Incendio: posibilidad de que el fuego acabe con los recursos del [Media] soportes de información
[I.1] Fuego [D] disponibilidad
sistema. [AUX] equipamiento auxiliar
[L] instalaciones
Escapes, fugas, inundaciones: posibilidad de que el agua acabe [Media] soportes de información
[I.2] Daños por agua [D] disponibilidad
con los recursos del sistema. [AUX] equipamiento auxiliar
[L] instalaciones
Pág. N° 122
Desastres debidos a la actividad humana: explosiones,
derrumbes, contaminación química, sobrecarga eléctrica,
fluctuaciones eléctricas, accidentes de tráfico, etc.
Desastres Se excluyen amenazas específicas como incendio por cuanto [Media] soportes de información
[I.*] [D] disponibilidad
industriales se ha previsto amenazas específicas. [AUX] equipamiento auxiliar
[L] instalaciones
Se excluye al personal por cuanto se ha previsto una amenaza
específica, [E.31], para cubrir la indisponibilidad involuntaria del
personal sin entrar en sus causas.
Contaminación
[I.3] Vibraciones, polvo, suciedad, etc. [D] disponibilidad [Media] soportes de información
mecánica
Contaminación
[I.4] Interferencias de radio, campos magnéticos, luz ultravioleta, etc. [D] disponibilidad [Media] soportes de información
electromagnética
Fallos en los equipos y/o fallos en los programas. Puede ser
debida a un defecto de origen o sobrevenida durante el
[SW] aplicaciones (software)
funcionamiento del sistema.
Avería de origen [HW] equipos informáticos (hardware)
[I.5] [D] disponibilidad
físico o lógico [Media] soportes de información
En sistemas de propósito específico, a veces es difícil saber si
el origen del fallo es físico o lógico; pero para las consecuencias
que se derivan, esta distinción no suele ser relevante.
Corte del suministro [Media] soportes de información
[I.6] Cese de la alimentación de potencia [D] disponibilidad
eléctrico (electrónicos)
Condiciones
Deficiencias en la aclimatación de los locales, excediendo los [HW] equipos informáticos (hardware)
inadecuadas de
[I.7] márgenes de trabajo de los equipos: excesivo calor, excesivo [D] disponibilidad [Media] soportes de información
temperatura y/o
frío, exceso de humedad, etc. [AUX] equipamiento auxiliar
humedad
Cese de la capacidad de transmitir datos de un sitio a otro.
Típicamente se debe a la destrucción física de los medios
Fallo de servicios de
[I.8] físicos de transporte o a la detención de los centros de [D] disponibilidad [COM] redes de comunicaciones
comunicaciones
conmutación, sea por destrucción, detención o simple
incapacidad para atender al tráfico presente.
Interrupción de otros
Interrupción de otros servicios o recursos de los que depende la
servicios y
[I.9] operación de los equipos; por ejemplo, papel para las [D] disponibilidad [AUX] equipamiento auxiliar
suministros
impresoras, tóner, refrigerante,
esenciales
Pág. N° 123
Degradación de los
soportes de Degradación como consecuencia del paso del tiempo
[I.10] [D] disponibilidad Media] soportes de información
almacenamiento de
la información
Hecho de poner vía radio datos internos a disposición de
terceros. Es una amenaza donde el emisor es víctima pasiva del
ataque.
Prácticamente todos los dispositivos electrónicos emiten [HW] equipos informáticos (hardware)
Emanaciones radiaciones al exterior que pudieran ser interceptadas por otros [Media] media
[I.11] [C] confidencialidad
electromagnéticas equipos (receptores de radio) derivándose una fuga de [AUX] equipamiento auxiliar
información. [L] instalaciones
No se contempla en esta amenaza la emisión por necesidades
del medio de comunicación:
redes inalámbricas, enlaces de microondas, etc. que estarán
amenazadas de interceptación
[E] Errores y fallos no intencionados
Dimensiones que
afecta
[D] datos / información
[I] integridad [keys] claves criptográficas
Errores de los Equivocaciones de las personas cuando usan los servicios,
[E.1] [C] confidencialidad [S] servicios
usuarios datos, etc.
[D] disponibilidad [SW] aplicaciones (software)
[keys] claves criptográficas
[D] disponibilidad [S] servicios
Errores del Equivocaciones de personas con responsabilidades de
[E.2] [I] integridad [SW] aplicaciones (software)
administrador instalación y operación.
[C] confidencialidad [HW] equipos informáticos (hardware)
[COM] redes de comunicaciones
Inadecuado registro de actividades: falta de registros, registros
Errores de [I] integridad
[E.3] incompletos, registros incorrectamente fechados, registros [D.log] registros de actividad
monitorización (log) (trazabilidad)
incorrectamente atribuidos, etc.
Introducción de datos de configuración erróneos.
Errores de Prácticamente todos los activos dependen de su configuración y
[E.4] [I] integridad [D.conf] datos de configuración
configuración ésta de la diligencia del ad ministrador: privilegios de acceso,
flujos de actividades, registro de actividad, encaminamiento, etc.
Pág. N° 124
Cuando no está claro quién tiene que hacer exactamente qué y
cuándo, incluyendo tomar medidas sobre los activos o informar
Deficiencias en la
[E.7] a la jerarquía de gestión. [D] disponibilidad [P] personal
organización
Acciones descoordinadas, errores por omisión, etc.
[D] disponibilidad
Difusión de software Propagación inocente de virus, espías (spyware), gusanos,
[E.8] [I] integridad SW] aplicaciones (software)
dañino troyanos, bombas lógicas, etc.
Envío de información a través de un sistema o una red usando,
accidentalmente, una ruta incorrecta que lleve la información a
donde o por donde no es debido; puede tratarse de mensajes
[S] servicios
Errores de [re- entre personas, entre procesos o entre unos y otros.
[E.9] [C] confidencialidad [SW] aplicaciones (software)
]encaminamiento
Es particularmente destacable el caso de que el error de
encaminamiento suponga un error de entrega, acabando la
información en manos de quien no se espera.
[S] servicios
Errores de Alteración accidental del orden de los mensajes transmitidos.
[E.10] [I] integridad [SW] aplicaciones (software)
secuencia
La información llega accidentalmente al conocimiento de
Escapes de
[E.14] personas que no deberían tener conocimiento de ella, sin que la
información [C] confidencialidad
información en sí misma se vea alterada.
Esta amenaza sólo se identifica sobre datos en general, pues
[S] servicios
Alteración accidental cuando la información está en algún soporte informático, hay
[E.15] [SW] aplicaciones (SW)
de la información amenazas específicas. [I] integridad
[COM] comunicaciones (tránsito)
[L] instalaciones
D] datos / información
Pérdida accidental de información.
[S] servicios
Destrucción de Esta amenaza sólo se identifica sobre datos en general, pues
[E.18] [D] disponibilidad [SW] aplicaciones (SW)
información cuando la información está en algún soporte informático, hay
amenazas específicas.
[L] instalaciones
Revelación por indiscreción. Incontinencia verbal, medios
Fugas de [keys] claves criptográficas
[E.19] electrónicos, soporte papel, etc. [C] confidencialidad
información [S] servicios
[SW] aplicaciones (SW)
Pág. N° 125
[L] instalaciones
[P] personal (revelación)
Defectos en el código que dan pie a una operación defectuosa
Vulnerabilidades de sin intención por parte del usuario pero con consecuencias [I] integridad
[E.20] los programas sobre la integridad de los datos o la capacidad misma de [D] disponibilidad [SW] aplicaciones (software)
(software) operar. [C] confidencialidad
Errores de
mantenimiento / Defectos en los procedimientos o controles de actualización del
[I] integridad
[E.21] actualización de código que permiten que sigan utilizándose programas con [SW] aplicaciones (software)
[D] disponibilidad
programas defectos conocidos y reparados por el fabricante
(software)
Errores de Defectos en los procedimientos o controles de actualización de
mantenimiento / los equipos que permiten que sigan utilizándose más allá del
[E.23] [D] disponibilidad [Media] soportes electrónicos
actualización de tiempo nominal de uso.
equipos (hardware)
Caída del sistema [S] servicios
La carencia de recursos suficientes provoca la caída del sistema
[E.24] por agotamiento de [D] disponibilidad [HW] equipos informáticos (hardware)
cuando la carga de trabajo es desmesurada.
recursos [COM] redes de comunicaciones
La pérdida de equipos provoca directamente la carencia de un
medio para prestar los servicios, es decir una indisponibilidad.
Se puede perder todo tipo de equipamiento, siendo la pérdida [D] disponibilidad
[E.25] Pérdida de equipos [Media] soportes de información
de equipos y soportes de información los más habituales. [C] confidencialidad
En el caso de equipos que hospedan datos, además se puede
sufrir una fuga de información.
Indisponibilidad del Ausencia accidental del puesto de trabajo: enfermedad,
[E.28] [D] disponibilidad [P] personal interno
personal alteraciones del orden público, guerra bacteriológica, etc.
[A] Ataques intencionados
Dimensiones que
afecta
Manipulación de los
[I] integridad
[A.3] registros de [D.log] registros de actividad
(trazabilidad)
actividad (log)
Afecta la configuración de los activos. Es diligencia del [I] integridad
Manipulación de la
[A.4] administrador: privilegios de acceso, flujos de actividades, [C] confidencialidad [D.log] registros de actividad
configuración
registro de actividad, encaminamiento, etc. [A] disponibilidad
Pág. N° 126
Cuando un atacante consigue hacerse pasar por un usuario
autorizado, utilizando los privilegios de éste para sus fines [D] datos / información
propios. [C] confidencialidad [keys] claves criptográficas
Suplantación de la
[A.5] [A] autenticidad [S] servicios
identidad del usuario
Esta amenaza puede ser perpetrada por personal interno, por [I] integridad [SW] aplicaciones (software)
personas ajenas a la Organización o por personal contratado [COM] redes de comunicaciones
temporalmente.
Cada usuario utiliza un nivel de privilegios para un
determinado propósito. Cuando un usuario abusa de su nivel [C] confidencialidad
Abuso de privilegios [S] servicios
[A.6] de privilegios para realizar tareas que no son de su [I] integridad
de acceso [SW] aplicaciones (software)
competencia, puede ocasionar problemas. [D] disponibilidad
Propagación intencionada de virus, espías (spyware), gusanos, [D] disponibilidad
Difusión de software
[A.8] troyanos, bombas lógicas, etc. [I] integridad [SW] aplicaciones (software)
dañino
Envío de información a un destino incorrecto a través de un
sistema o una red, que llevan la información a donde o por
donde no es debido. Puede tratarse de mensajes entre
personas, entre procesos o entre unos y otros.
[Re- [S] servicios
[A.9] ]encaminamiento de [C] confidencialidad [SW] aplicaciones (software)
Un atacante puede forzar un mensaje para circular a través de
mensajes [COM] redes de comunicaciones
un nodo determinado de la red donde puede ser interceptado.
Un ataque de encaminamiento lleve a una entrega fraudulenta,

acabando la información en manos de quien no debe.
Alteración del orden de los mensajes transmitidos. Con ánimo [S] servicios
Alteración de
[A.10] de que el nuevo orden altere el significado del conjunto de [I] integridad [SW] aplicaciones (software)
secuencia
mensajes, perjudicando a la integridad de los datos afectados. [COM] redes de comunicaciones
[S] servicios
El atacante consigue acceder a los recursos del sistema sin
[SW] aplicaciones (software)
Acceso no tener autorización para ello, típicamente aprovechando un fallo [C] confidencialidad
[A.11] [HW] equipos informáticos (hardware)
autorizado del sistema de identificación y autorización. [I] integridad
[L] instalaciones
El atacante, sin necesidad de entrar a analizar el contenido de
[A.12] Análisis de tráfico [C] confidencialidad [COM] redes de comunicaciones
las comunicaciones, es capaz de extraer conclusiones a partir
Pág. N° 127
del análisis del origen, destino, volumen y frecuencia de los
intercambios.
A veces se denomina “monitorización de tráfico”.

Negación a posteriori de actuaciones o compromisos adquiridos
en el pasado.
Repudio de origen: negación de ser el remitente u origen de un

[I] integridad S] servicios
[A.13] Repudio mensaje o comunicación.
(trazabilidad) [D.log] registros de actividad
Repudio de recepción: negación de haber recibido un mensaje o
comunicación.
Repudio de entrega: negación de haber recibido un mensaje
para su entrega a otro.
Interceptación de El atacante llega a tener acceso a información que no le
[A.14] información corresponde, sin que la información en sí misma se vea [C] confidencialidad [COM] redes de comunicaciones
(escucha) alterada.
Modificación [S] servicios (acceso)
Alteración intencional de la información, con ánimo de obtener
[A.15] deliberada de la [I] integridad [SW] aplicaciones (SW)
un beneficio o causar un perjuicio.
información [COM] comunicaciones (tránsito)
[L] instalaciones
Destrucción de Eliminación intencional de información, con ánimo de obtener un [S] servicios (acceso)
[A.18] [D] disponibilidad
información beneficio o causar un perjuicio. [SW] aplicaciones (SW)
[L] instalaciones
[S] servicios (acceso)
Revelación de Revelación de información (divulgación, copia ilegal de
[A.19] [C] confidencialidad [SW] aplicaciones (SW)
información software)
[L] instalaciones
Alteración intencionada del funcionamiento de los programas, [C] confidencialidad
Manipulación de
[A.22] persiguiendo un beneficio indirecto cuando una persona [I] integridad [SW] aplicaciones (software)
programas
autorizada lo utiliza (alteración de programas) [D] disponibilidad
Pág. N° 128
Alteración intencionada del funcionamiento de los programas, [HW] equipos
Manipulación de los [C] confidencialidad
[A.22] persiguiendo un beneficio indirecto cuando una persona [Media] soportes de información
equipos [D] disponibilidad
autorizada lo utiliza (sabotaje de hardware) [AUX] equipamiento auxiliar
La carencia de recursos suficientes provoca la caída del sistema [S] servicios
Denegación de
[A.24] cuando la carga de trabajo es desmesurada (saturación del [D] disponibilidad [HW] equipos informáticos (hardware)
servicio
equipo informático) [COM] redes de comunicaciones
La sustracción de equipamiento provoca directamente la
carencia de un medio para prestar los servicios, es decir una
indisponibilidad.
El robo puede afectar a todo tipo de equipamiento, siendo el

robo de equipos y el robo de soportes de información los más
habituales. [HW] equipos informáticos (hardware)
[D] disponibilidad
[A.25] Robo [Media] soportes de información
El robo puede realizarlo personal interno, personas ajenas a la [AUX] equipamiento auxiliar
Organización o personas con tratadas de forma temporal, lo que
establece diferentes grados de facilidad para acceder al objeto
sustraído y diferentes consecuencias.
En el caso de equipos que hospedan datos, además se puede

sufrir una fuga de información.
Vandalismo, terrorismo, acción militar, etc.
[A.26] Ataque destructivo Esta amenaza puede ser perpetrada por personal interno, por [D] disponibilidad
personas ajenas a la Organización o por personas contratadas
[L] instalaciones
de forma temporal. (destrucción de hardware o de soportes)
Cuando los locales han sido invadidos y se carece de control
[D] disponibilidad
[A.27] Ocupación enemiga sobre los propios medios de trabajo. [L] instalaciones
Ausencia deliberada del puesto de trabajo: como huelgas,
Indisponibilidad del
[A.28] absentismo laboral, bajas no justificadas, bloqueo de los [D] disponibilidad [P] personal interno
personal
accesos, etc. (daños a la disponibilidad del personal)
Presión que, mediante amenazas, se ejerce sobre alguien para
[A.29] Extorsión [I] integridad [P] personal interno
obligarle a obrar en determinado sentido.
[D] disponibilidad
Abuso de la buena fe de las personas para que realicen
[A.30] Ingeniería social [I] integridad [P] personal interno
actividades que interesan a un tercero.
[D] disponibilidad
Fuente: Elaboración propia, adecuado de (Magerit, 2012)
Pág. N° 129
ANEXO N° 3
CUESTIONARIO PARA LA RECOPILACIÓN DE LA INFORMACIÓN PARA LA EVALUACIÓN DE

LAS BRECHAS DE SEGURIDAD DE LA INFORMACIÓN
Tabla N° 33. Cuestionario para la evaluación de brechas de seguridad de la información
PREGUNTAS SI NO COMENTARIOS
1. ¿Se lleva un registro detallado de los
activos de información de la Unidad
(inventario)?
2. ¿El inventario de activos informáticos se
encuentra actualizado?
3. ¿Hay asignación de responsabilidades a
los funcionarios sobre la custodia de los
activos informáticos?
4. ¿Existe un inventario de las
configuraciones de los equipos
(incluyendo componentes y software
instalado)?
5. ¿Se lleva control de licencias de
software y sus costos de licenciamiento
(en caso necesario)?
6. ¿Se han identificado los activos o
servicios más críticos para el
cumplimiento de los objetivos del Área?
7. ¿Se tiene un procedimiento para
identificar amenazas?
8. ¿se identifican los activos afectados por
amenazas?
9. ¿Cuenta con una escala de valoración
de amenazas?
10. ¿Se calcula la probabilidad de
ocurrencia de las amenazas?
11. ¿La oficina cuenta con un manual de
políticas con respecto a amenazas?
12. ¿Se encuentran documentados las
políticas y procedimientos respecto a
amenazas?
13. ¿Se lleva un registro de las amenazas
ocurridas?
14. ¿Se tiene un procedimiento para
identificar vulnerabilidades?
15. ¿se identifican los activos afectados por
vulnerabilidades?
16. ¿Cuenta con una escala de valoración
de vulnerabilidades?
17. ¿La oficina cuenta con un manual de
políticas con respecto a
vulnerabilidades?
18. ¿Se encuentran documentados las
políticas y procedimientos respecto a
vulnerabilidades?
19. ¿Se lleva un registro de las
vulnerabilidades detectadas?
20. ¿Existe algún mecanismo que determine
la magnitud del impacto?
Pág. N° 130
21. ¿Se cuenta con una escala de
valorización de impactos?
22. ¿Se han identificado los riesgos de TI
asociados a la gestión y operación de la
plataforma informática del Área?
23. ¿Se han identificado los riesgos
asociados a los recursos más críticos?
24. ¿Se estiman los niveles necesarios de
exposición al riesgo?
25. ¿Se clasifican los riesgos según su
criticidad?
26. ¿Se han establecido controles para
mitigar los riesgos de los recursos de
información más críticos?
27. ¿Se tienen definidas las estrategias de
cómo implementar los controles?
28. ¿Cuentan con procedimientos para
identificar controles?
29. ¿El Área cuenta con un manual de
políticas, procedimientos y normativa
relacionada a la seguridad de
información?
30. ¿El Área cuenta con un manual de
políticas, procedimientos y normativa
relacionada a la gestión de riesgos?
31. ¿Se ha establecido un mecanismo para
la atención y registro de incidentes?
32. ¿Se utilizan claves seguras de acceso?
33. ¿Se llevan a cabo políticas en lo
referente a gestión de cuentas de
usuario?
34. ¿Se eliminan los derechos de acceso a
funcionarios inactivos o que han dejado
de laborar para la Unidad?
35. ¿Se revisan periódicamente los registros
de acceso a los sistemas?
36. ¿La carga de los extintores de incendio
se encuentra vigente?
37. ¿Se conoce el mecanismo de operación
de los diversos tipos de extintores de
incendio?
38. ¿Se han establecido controles para
resguardar la información ante la salida
de activos por parte de terceros,
personal del Área o por motivo de
reparación?
39. ¿Se tiene una clasificación de la
información de la Unidad por nivel de
sensibilidad o privacidad?
40. ¿Se ha establecido una política de
respaldos periódicos de la información
en la Unidad?
41. ¿La oficina cuenta con el personal y
cantidad adecuada para la realización
de las funciones?
42. ¿El área se encuentra en un ambiente
adecuado para la realización de sus
funciones?
Pág. N° 131
43. ¿Se tienen identificados los servicios
requeridos por la función de TI?
44. ¿Se tiene información del nivel de
satisfacción del usuario respecto a los
servicios brindados?
45. ¿Se lleva el control de la vida útil de los
activos de información?
46. ¿Se mantiene un registro auxiliar de los
activos informáticos en desuso?
47. ¿Se lleva control de los componentes
recuperables de los activos en desuso
(discos duros, memoria, tarjetas de
video, etc)?
48. ¿Se sigue algún procedimiento para
borrar la información de los discos duros
u otras unidades de almacenamiento,
antes de su desecho?
49. ¿Se mantiene un control de la salida de
activos por parte de terceros?
Pág. N° 132
ANEXO N° 4
RESULTADOS DEL ANÁLISIS DE RIESGOS RELACIONADOS CON TECNOLOGÍA

INFORMATICA
En el siguiente formato contiene el resumen del análisis y evaluación de los posibles riesgos
relacionados con Tecnología de la Información que afectan directamente los activos
tecnológicos de los procesos académicos/administrativos de la UNTRM.
I. SERVIDORES Y CONCENTRADORES CENTRALES

Se
Activo Factor de Riesgo Cómo? / Por qué?
protege?
El acceso a los recursos críticos en los gabinetes de piso o

de pared (servidores, switch, router, modem, ups,
transformadores de aislamiento) del cuarto de
Acceso no autorizado Si
comunicaciones en la agencia principal está protegido con
un sistema de puertas con llave y tabiquería a los que sólo
tiene acceso el personal autorizado.
Se cuenta con un sistema de red múltiple de alimentación

de energía que evita el fallo de suministro. Así mismo, se
Corte de luz, Sistema cuenta con un sistema de alimentación ininterrumpido de
ininterrumpido de energía energía para caso extremos de suministro de energía. Este
Si
(UPS) descargado o sistema mantiene en forma autónoma, de ser el caso,
variaciones de voltaje durante 20 minutos aprox. funcionando los equipos
centrales y los terminales del área de tecnologías de
Servidores y concentradores centrales y de borde
información.
La seguridad para la entrada y salida de paquetes a Internet
está basada en un servidor ISA Server sin tolerancia a
Destrucción o fallo de un fallos por riesgos en fuente de poder, discos duros y
componente crítico del Se procesador.
equipo (microprocesador, recomienda No existen equipos de comunicación que toleren fallos este
memoria, fuente de poder, mejorar es el caso del switch core (aquí se conectan los servidores),
otros) y los switches ubicados en cada una de las facultades o
dependencias administrativas. Lo cual paralizaría las
operaciones en todas las áreas en caso de avería.
Se cuenta con servidor de respaldo donde se replica toda la
Se configuración necesaria para reiniciar el sistema.
Errores de configuración recomienda El servidor activo tiene implementado políticas de acceso a
mejorar ser mejoradas, y no se cuenta con redundancia para este
equipo altamente importante
Factores ambientales no
adecuados. (ventilación,
Se
protección contra Se cuenta con sistema de aire acondicionado con BTU/h no
recomienda
incendios, adecuado en la Sala de Servidores
mejorar
acondicionamiento racks,
otros)
Límite de vida útil –
Máquinas obsoletas
Se tiene pendiente un pedido para adquirir nuevos equipos
(antigüedad del equipo, Si
centrales
repotenciamiento de
componentes)
Mantenimiento Si Hay un plan de mantenimiento de equipos
Los equipos de cómputo de Core están ubicados en lugares

Robo Si
seguros
Afectación por virus Si Protegidos con sistema antivirus
Pág. N° 133
II. BASE DE DATOS
Nombre
Se
del Factor de Riesgo Cómo? / Por qué?
protege?
Activo
Copia no autorizada de o Se generan backup mensuales y son almacenados en un
a un medio de datos Si lugar seguro fuera de los ambientes de la , manejados y
externos transportados por personal autorizado.
Errores de software Se El servidor activo tiene implementado políticas de acceso
(motor y contenedor de recomienda a ser mejoradas, y no se cuenta con redundancia para
base de datos) mejorar este equipo altamente importante.
Se estima que en un tiempo próximo la arquitectura de
datos con la que actualmente se trabaja no va a ser
Se funcional y bajará su performance de respuesta, debido a:
Falta de espacio de
recomienda (1) la capacidad instalada del servidor de base de datos
almacenamiento
mejorar será insuficiente, necesitándose más potencia y
Base de Datos
rendimiento y (2) al modelo de arquitectura de datos que

se utiliza.
Pérdida o falla de
Si Se genera backup mensuales de la base datos completa.
backups
Pérdida de El acceso a la base de datos está controlado a través de
confidencialidad en datos Si perfiles de usuario con niveles de acceso autorizados,
privados y de sistema según el área y responsabilidad.
Directorio de la base de datos solo esta compartido para
Directorios compartidos Si
usuarios autorizados.
El área Sala de Servidores está ubicada en una zona con
Sabotaje Si perímetro de acceso restringido a personal no autorizado
claramente definido.
Afectación de virus Si Servidor de base de datos protegido con antivirus
III. SOFTWARE DE OFIMÁTICA (SOFTWARE BACKOFFICE Y SISTEMAS OPERATIVOS)

Nombre
Se
protege?
Activo
Aplicaciones sin
Si Software licenciado (Campus Agreement)
sistemas operativos instalados
licencias
en servidores y terminales
Software de BackOffice y
Error de configuración Si Software licenciado, con evaluación y pruebas.
Mala Administración de Se controla el acceso a las estaciones mediante política de

Si
control de accesos acceso: niveles de acceso por perfiles de usuario.
En las estaciones de trabajo de los usuarios no se generan

Pérdida de datos No
respaldos de sus archivos
Afectación de virus Si Protegidos con antivirus
Pág. N° 134
IV. BACKUP (SISTEMA DE RESPALDO)
Nombre
Se
protege?
Activo
Copia no autorizada del Solo personal autorizado tiene acceso a generar, copiar y
Si
backup trasladar backup de información.
Errores de software para
recuperación de No se cuenta con procedimientos de restore formalmente
No
información de backup establecidos y documentados
(restore)
Falla o deterioro del Los backup son almacenados en dispositivos de
Se
medio de almacenamiento secundario portátiles. El ambiente de
recomienda
almacenamiento externo resguardo no está climatizado. Tampoco existe
mejorar
del backup procedimiento de etiquetado.
Falta de espacio de Los dispositivos de almacenamiento secundario portátiles
Backup
Si
almacenamiento donde se almacenan los backups tienen suficiente espacio
Mala integridad de los
datos resguardados al No se cuenta con procedimientos de restore formalmente
No
recuperar la información establecidos y documentados
de un backup
Medios de datos no Se
No existe un procedimiento establecido y documentado
están disponibles recomienda
para realizar pruebas de recuperación de los backups
cuando son necesarios mejorar
Pérdida o robo de
Si Solo personal autorizado tiene acceso a los backups
backups
Sabotaje Si Solo personal autorizado tiene acceso a los backups
V. CABLEADO Y CONCENTRADORES
Nombre
Se
protege?
Activo
El sistema de cableado estructurado (fibra óptica u UTP) se
Conexión de cables encuentra en buenas condiciones hasta los switch de
inadmisible Se borde. A partir de allí, existen muchos lugares donde el
(modificación de recomienda cableado y canaleteado está deteriorado.
conexiones y mal mejorar No se cuenta con documentación de las pruebas de
etiquetado) cableado
No se cuenta con planos de distribución de cableado
El sistema de cableado de cableado de la red de datos es
está canaleteado. La fibra óptica está tendida sobre postes.
Cableado y concentradores
Daño o destrucción, de Si
cables o equipamiento, Se cumple con los requerimientos mínimos de las normas
inadvertido (mala para cableado estructurado.
ubicación, por limpieza,
impedimento de libre
Se Los gabinetes de comunicaciones están ubicados en
tránsito, otros)
recomienda ambientes seguros y los responsables tienen llaves de
mejorar acceso.
Se
Se cuenta con sistema de aire acondicionado con BTU/h
Factores ambientales recomienda que no es suficiente para climatizar toda la Sala de
mejorar Servidores.
Se
Accesos no autorizados. recomienda No es posible conectar equipos portátiles en puntos de
mejorar acceso a la red de datos sin que se genere un registro.
Longitud de los cables

de red excedidos a las Si Longitud de cables cumple con las normas establecidas.
normas
Pág. N° 135
VI. RED DE COMPUTADORAS
Nombre
Se
protege?
Activo
Mantenimiento no
adecuado de puertos. Se controla el acceso a través de puertos. Esto no hace
(restricciones de acceso Si posible que intrusos puedan escanear y vulnerar a la red de
a ciertos puertos, perfiles datos.
de acceso)
Configuración
Usuarios no pueden acceder a las configuraciones de red –
Red de computadoras
inadecuada de Si
acceso restringido
componentes de red
Errores de operación
(mala estandarización de Se El sistema de cableado troncal es fibra óptica, por tanto su
velocidades de recomienda ancho de banda es suficiente para transmitir paquetes de
transmisión y ancho de mejorar información a nivel interno
banda, otros)
No es posible enviar paquetes icmp desde un equipo portátil
conectado a un punto de acceso a la red de datos a los
Mal uso de servicios de
servidores.
red (mal uso del
Si
netmeeting, transmisión
Las políticas para el acceso a Internet ya sea por dominios
de datos, otros)
asegura que solo se pueda ingresar a dominios que generar
tráfico de paquetes autorizados.
VII. USUARIOS
Nombre
Se
protege?
Activo
Acceso no autorizado a Cada usuario tiene un perfil y opciones asignadas para el
Si
datos acceso al sistema
Borrado, modificación o
revelación de claves de
Cada usuario cuenta con una clave personal. Falta
acceso a la información y
Si implementar procedimientos para asegurar claves
aplicaciones,
complejas.
desautorizada o
inadvertida
Condiciones de trabajo
Se Los terminales informáticos son variados en modelo y
adversas (ergonomía,
recomienda configuración. No están estandarizados los terminales
ubicación de equipos,
mejorar informáticos.
otros)
Destrucción negligente de
datos por parte de los Si Acceso a la base de datos protegido con perfiles de acceso.
Usuarios
usuarios
Documentación deficiente No se cuenta con manuales de usuario los sistemas en
No
(manual de usuario) producción
Se
Entrada sin autorización a Solo personal autorizado tiene acceso a los ambientes donde
recomienda
ambientes se encuentran los equipos de Core
mejorar
Se
Entrenamiento de No existe Plan de capacita en materia de seguridad de la
recomienda
usuarios inadecuado información
mejorar
Falta de controles y log
Se
de las transacciones Las bitácoras para registrar las operaciones y transacciones
recomienda
realizadas por los realizadas por los usuarios todavía son deficientes
mejorar
usuarios.
No cumplimiento con las Cada usuario tiene un perfil y opciones asignadas para el
medidas de seguridad del Si acceso a los sistemas y cada usuario cuenta con una clave
sistema personal intransferible
Pág. N° 136
VIII. DOCUMENTACIÓN DE LOS SISTEMAS EN PRODUCCIÓN
Nombr
Se
e del Factor de Riesgo Cómo? / Por qué?
protege?
Activo
Acceso no autorizado a
No No existe documentación de los sistemas en producción
datos de documentación
Documentación de programas, hardware,
procedimientos administrativos locales,
Borrado, modificación o
revelación desautorizada No No existe documentación de los sistemas en producción
de información
Copia no autorizada de un
medio de documentación No No existe documentación de los sistemas en producción
manuales, etc.
del sistema
Descripción de archivos y No existen políticas ni procedimientos de control de
No
programas inadecuado cambios.
Documentación
insuficiente o faltante, en No existe documentación en relación a la seguridad de la
No
relación a seguridad de la información
información
Mantenimiento y
actualización inadecuado
No No existe documentación de los sistemas en producción
o ausente de la
documentación
X. SISTEMAS O APLICACIONES INFORMÁTICAS EN PRODUCCIÓN (SISTEMA DE MATRÍCULA

Y CONTROL DE NOTAS, ADMISIÓN)
Nombr
Se
e del Factor de Riesgo Cómo? / Por qué?
protege?
Activo
Modificaciones No se lleva el control detallado del desarrollo y
inoportunas y no No mantenimiento. No existen procedimientos establecidos y
informáticas en producción
Sistemas y aplicaciones
documentadas documentados de “Control de cambios”

Funcionalidad del sistema Se reciben y analizan todos los requerimientos, los cuales
Se
(no atiende todos los son atendidos de acuerdo a las posibilidades y
recomienda
requerimientos de los capacidades de personal de TI
mejorar
usuarios y áreas)
Acceso a los programas Sólo el personal de autorizado tiene acceso al código
Si fuente de los sistemas en producción
fuentes no controlado
Validación en los No existen procedimientos establecidos y documentados
procesos de captura y No de gestión de la calidad del software.
registro de transacciones
Pág. N° 137
ANEXO N° 4
FORMATO PARA LA EVALUACIÓN DEL MODELO POR OPINION DE EXPERTO
Objetivo
El objetivo del presente formato es utilizarlo como instrumento para la evaluación del modelo
de gestión de riesgos de TI basados en la norma ISO/IEC 27005 y metodología Magerit, para
mejorar la gestión de seguridad de la información en la Universidad Nacional Toribio
Rodríguez de Mendoza – Chachapoyas Perú.
1. DATOS GENERALES DEL EXPERTO
Nombres y apellidos
Grado académico y profesión
Áreas de experiencia profesional
Institución donde labora
Tiempo de experiencia
Pág. N° 138
2. VALIDACIÓN
Se utilizarán los siguientes indicadores y criterios para la evaluación del modelo:
Valoración
Muy bueno
Muy malo
Regular
Indicador Criterio
Bueno
Malo
La cantidad y calidad de los elementos
SUFICIENCIA presentados en el contenido son suficientes para 1 2 3 4 5
la aplicación del modelo.
El contenido se presenta utilizando un lenguaje
CLARIDAD apropiado que facilita su comprensión del 1 2 3 4 5
modelo.
Existe una correspondencia lógica entre el
COHERENCIA contenido presentado y la teoría utilizada para el 1 2 3 4 5
desarrollo del modelo.
El contenido presentado es importante y
RELEVANCIA determinante para lograr el entendimiento del 1 2 3 4 5
modelo.
Pág. N° 139
3. FICHA DE EVALUACIÓN
Instrucciones: Asigne una valoración (1 a 5) para cada criterio en cada actividad de acuerdo a la escala
de valoración presentada en el ítem anterior.
Criterios
Coherencia
Relevancia
Suficiencia
Claridad
Fase Actividad Observaciones
Identificación de los
procesos y activos críticos
FASE I. Definición Definición de la política
del alcance del general del SGSI
SGR Análisis de las brechas de
seguridad de la
información
Definición del inventario
de activos de información
y de TI relevantes
Determinación de la
criticidad de los activos de
información y de TI
Identificación de
amenazas y
FASE II. vulnerabilidades
Evaluación del Estimación del impacto de
riesgo de TI la materialización de las
amenazas
Estimación de la
frecuencia de la
materialización de las
amenazas
Valoración del riesgo
Plan de tratamiento de los

riesgos no tolerables
FASE III Implementación de las
Tratamiento y medidas de seguridad
administración del
riesgo de TI Identificación de la
estrategia de
implementación de
controles
TOTAL
4. RESULTADO FINAL
FAVORABLE DEBE MEJORAR DESFAVORABLE
Pág. N° 140

BC - 4020 Ñañez Campos

Cargado por

Copyright:

Formatos disponibles

BC - 4020 Ñañez Campos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

BC - 4020 Ñañez Campos

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL

“PEDRO RUIZ GALLO”

Título del proyecto

Ing. Oscar Ñañez Campos Dr. Ernesto Karlo Celi Arévalo

A Dios, por darme la oportunidad de vivir y

A mis padres: MANUEL ÑAÑEZ

A mis hermanos, amigos, colegas y a

A la UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO por darme la oportunidad de

En general a la dirección de Tecnologías de Información y Comunicaciones de la

Finalmente, a todas aquellas personas, colegas y amigos que me brindaron su apoyo,

A todos ellos muchas gracias.

Uno de los aspectos más críticos de la administración de una organización es la gestión

La gestión de la información no solo implica incorporar tecnologías que le den soporte

Un proceso de implementación de un SGSI, metodológicamente hablando, implica una

El propósito de este trabajo de investigación se centró en el desarrollo de un Modelo de

Esta propuesta permitió el aumento significativo de la satisfacción de los usuarios de TI

Palabras clave: sistema de gestión de riesgos de TI, análisis y evaluación de riesgos,

A process of implementation of an ISMS, methodologically speaking, involves a series

Gráfico N° 1. Etapas de un SGSI.................................................................................................. 19

En la presente tesis, se diseña y desarrolla el modelo para implementar un sistema de

La seguridad de información, en términos generales es entendida como todas aquellas

La característica principal de un sistema de gestión de seguridad de información es

La problemática principal actual de las organizaciones que están en franco desarrollo y

Es por ello, que la UNTRM se ve en la necesidad de implementar un conjunto de

El presente trabajo consta de cinco capítulos. Ellos son:

- En el capítulo I se presenta la descripción de la realidad problemática, el

- El capítulo IV está destinado a la presentación de las pruebas y resultados del

- A partir de los resultados obtenidos se han planteado las conclusiones y

1.1. Descripción de la problemática

La importancia de la incorporación de los Sistemas y Tecnologías de Información

El uso de las tecnologías de la información (de ahora en adelante TI) se ha

El riesgo de origen tecnológico puede incidir sobre las metas y objetivos

Este contexto motiva el desarrollo de una metodología, que permite la gestión de

La UNTRM en su función de formar nuevos profesionales, no escapa a este tipo

1.2. Formulación del problema científico

¿Cuál es el impacto de la aplicación de un modelo de gestión de riesgos de TI

1.3. Objetivos de la investigación

1.3.1. Objetivo general

Elaborar un modelo de gestión de riesgos de TI basados en la norma

1.3.2. Objetivos específicos

Los objetivos específicos del estudio son:

a. Identificar y evaluar los escenarios de riesgo en la seguridad de la

De la revisión literaria realizada se elaboró los siguientes fundamentos teóricos, que

2.1. La Información como activo estratégico de las organizaciones

Según la ISO/IEC 17799 (2007), Código de Práctica para la Gestión de

Así entonces la información se ha convertido en un recurso clave para las

La NTP-ISO/IEC 27005 (2009) clasifica el activo en dos tipos:

− Los activos primarios: Son usualmente los procesos e información centrales

2.2. Propietario del activo de información

Según la NTP-ISO/IEC 27005 (2009), el propietario del activo es aquel que

2.3. Seguridad de información

Se entiende por seguridad de la información a todas aquellas medidas

En la seguridad de la información es importante señalar que su manejo está

2.4. Sistema de Gestión de Seguridad de la información

Un Sistema de Gestión de Seguridad de Información (SGSI) es un conjunto de

Gráfico N° 1. Etapas de un SGSI

Los diferentes ataques a los activos informáticos pueden provocar la pérdida de

Estos últimos tres términos constituyen la base de la seguridad de la información,

Este principio permite garantizar que la información no sea modificada o