TFG Ulatina Roberth Barazarte Mastropietro 20160110556 Usar

Universidad Latina de Costa Rica
Campus Heredia
Trabajo Final de Graduación para optar por el grado de Licenciatura en Seguridad Informática
CREACIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA, MEDIANTE EL ANÁLISIS
DE PROPUESTAS TEÓRICAS Y DEL ESTÁNDAR ISO 27001, DE ACUERDO CON LOS
RECURSOS TECNOLÓGICOS PARA LA MEJORA ESTRUCTURAL TECNOLÓGICA EN
LA EMPRESA PRODUSOFT, A PARTIR DEL 2020
Autor:
Ing. Roberth Nicola Barazarte Mastropietro
Tutor:
Ing. Ricardo Chicas Romero MAP
Heredia, agosto 2020

ii
TRIBUNAL EXAMINADOR

Tutor
Lic. Jacqueline Méndez Montero

Lectora
Ing. Carlos Alberto Zúñiga Amador

Representante de Rectoría
iii
DECLARACIÓN JURADA
Heredia, 17 de agosto 2020
El suscrito Roberth Nicola Barazarte Mastropietro con cédula de identidad número
186200691615, declaro bajo fe de juramento, conociendo las consecuencias penales que implica
el delito de perjurio, que soy el autor (a) del presente trabajo final de graduación para optar por el
título de Licenciatura en Seguridad Informática de la Universidad Latina de Costa Rica y que el
contenido de este trabajo es obra original del suscrito. Asimismo, autorizo a la Universidad Latina
de Costa Rica, a disponer de este trabajo para uso y fines de carácter académico, publicitando el
mismo en el sitio web, así como en el CRAI.
Ni la universidad ni el jurado que califica este Proyecto Final de Graduación, serán
responsables de las ideas expuestas por el Autor.
ROBERTH NICOLA Firmado digitalmente por

BARAZARTE ROBERTH NICOLA BARAZARTE
MASTROPIETRO (FIRMA)
MASTROPIETRO Fecha: 2020.09.03 13:28:43
(FIRMA) -06'00'
Roberth Nicola Barazarte Mastropietro

186200691615
iv
CARTA DEL TUTOR
Heredia, 17 de agosto de 2020
Señores
Comité de Trabajos Finales de Graduación
Escuela de Tecnologías de Información y Comunicaciones
Estimados señores:
He revisado y corregido el Trabajo Final de Graduación, denominado Creación de políticas

de seguridad informática, mediante el análisis de propuestas teóricas y del estándar ISO 27001, de
acuerdo con los recursos tecnológicos para la mejora estructural tecnológica en la empresa
Produsoft, a partir del 2020, elaborado por el estudiante: Roberth Nicola Barazarte Mastropietro;
como requisito para que el citado estudiante pueda optar por el Grado de Licenciatura en Seguridad
Informática.
Considero que este trabajo cumple con los requisitos formales y de contenido exigidos por
la Universidad y, por lo tanto, lo recomiendo para su defensa oral ante el Tribunal Examinador.
Suscribe cordialmente.
______________________________
Cédula: 1-1111-0216
TUTOR
v
CARTA DEL LECTOR
Señores
Estimados Señores:

Informática.
______________________________
Cédula: 113340355
LECTORA
Filólogos Bórea - Costa Rica
Revisión de tesis | Corrección de estilo
CARTA DE APROBACIÓN DEL FILÓLOGO
Cartago, 01 de septiembre de 2020
Los suscritos, Elena Redondo Camacho, mayor, casada, filóloga, cédula de identidad
número 3 0447 0799 y Daniel González Monge, mayor, casado, filólogo, cédula de identidad
número 1 1345 0416, vecinos de Quebradilla de Cartago, en calidad de filólogos revisamos y
corregimos el trabajo final de graduación que se titula: Creación de políticas de seguridad
informática, mediante el análisis de propuestas teóricas y del estándar ISO 27001, de acuerdo con
los recursos tecnológicos para la mejora estructural tecnológica en la empresa Produsoft, a partir
del 2020, sustentado por Roberth Nicola Barazarte Mastropietro.
Hacemos constar que se corrigieron aspectos de forma, redacción, estilo y otros vicios del
lenguaje que se pudieron trasladar al texto. La originalidad y la validez del contenido son
responsabilidad exclusiva del autor y de sus asesores.
Esperamos que nuestra participación satisfaga los requerimientos de la Universidad Latina

de Costa Rica.
X Elena Redondo C. X Daniel González M.

Elena Redondo Camacho Daniel González Monge
Filóloga - Carné Acfil n.º 0247 Filólogo - Carné Acfil n.º 0245
Firmado por: ANA ELENA REDONDO CAMACHO (FIRMA) Firmado por: DANIEL ALBERTO GONZALEZ MONGE (FIRMA)
Sitio web: www.boreacr.com Correo electrónico: [email protected] WhatsApp: +506 7257-1806

2 km al oeste de RTV, Condominio La Rueda #V23 Cartago Quebradilla, 30111
vii
AGRADECIMIENTOS
Le agradezco a Dios que, en un momento tan complicado en el ámbito mundial, me brindó
salud y fortaleza para llevar a cabo el desarrollo del presente documento y cerrar esta etapa en mi
vida.
A mi familia, por apoyarme en esta investigación que marca un momento importante en mi
vida, ayudándome a seguir adelante en los momentos difíciles con sus palabras de aliento.
A Produsoft S. A., por permitirme desarrollar la presente investigación para llevar a cabo
mejoras dentro de la empresa, brindándome el apoyo necesario para la finalización del documento.
A mi tutor, el Ingeniero Ricardo Chicas y a la profesora Laura Ramírez, quienes me
ayudaron en el desarrollo del documento, aclarando las dudas que se me presentaban a lo largo de
la investigación.
¡A todos, muchas gracias!

viii
DEDICATORIA
A Dios, quien me acompaña en todo momento y ante toda circunstancia como mi guía.
A mi madre, Filomena, quien siempre está presente, solo a un llamado de distancia, es una
de mis bases y un ejemplo de perseverancia, me enseñó que siempre se puede mejorar, ser un buen
profesional y, al mismo tiempo, una buena persona.
A mi padre, Roberth, quien siempre me aconseja para mejorar, tanto en el ámbito
profesional como en el ámbito personal, es una de mis bases y un ejemplo de fortaleza y paciencia.
Me enseñó que las cosas llegan a su momento, uno solo tiene que poner sus ganas y lo mejor de sí
mismo.
A mis hermanas, Arantxa, quien con los años se ha convertido en mi modelo a seguir y mi
confidente, dándome el ejemplo y la motivación para ser cada vez mejor y Chantal, quien me
enseña cada día algo diferente, ya que sus ocurrencias, sonrisas y carcajadas nunca están ausentes
y me enseñan lo importante que es ser feliz para lograr tus metas.
A mis familiares, quienes se encuentran en diferentes partes del mundo, principalmente a
mis abuelos, quienes me han enseñado valorar lo importante de esta vida y que, en conjunto con
mis padres, me han inculcado los valores que en la actualidad me definen como el profesional y el
ser humano que soy.

ix
EPÍGRAFE
“Las empresas invierten millones en firewalls, cifrado y dispositivos para acceder de forma
segura, y es dinero malgastado, porque ninguna de estas medidas corrige el nexo más débil de la
cadena” Kevin Mitnick (s. f.).

x
RESUMEN
En un mundo donde la digitalización y la tecnología están en un constante y acelerado desarrollo,
la seguridad informática toma una eminente relevancia, ya que no basta con proveer sistemas con
alta eficiencia o proporcionar servicios con rapidez. La protección de los datos es sumamente
importante pues estos son de los activos más importantes en las organizaciones, las cuales exigen
la seguridad y el cuidado en su manipulación. Por esta razón, las políticas de seguridad informática
se implementan en el momento de dar servicios versátiles a situaciones para el cuido de los datos,
siempre adaptándose a la identidad y el giro de negocio de cada organización.
Produsoft S. A. es una empresa costarricense encargada de dar servicios y soluciones tecnológicas
en diferentes gremios laborales y cuenta con estatutos internos para asegurar los procesos de la
empresa, tanto de forma interna como en el momento de prestar servicios a terceros. Para asegurar
el cumplimiento de las normas es importante que se lleve a cabo una documentación precisa, esta
es una oportunidad de mejora que posee Produsoft, porque a pesar de tener contratos con los
empleados y los clientes, en cuyos apartados se menciona la importancia de la confidencialidad de
los datos y su cumplimiento, no poseen un documento con reglas claras. Por esta razón se decidió
llevar a cabo un documento de las políticas de seguridad informática establecidas en Produsoft.
Para establecer estas políticas es importante tomar como referencia los estándares internacionales
que existen, que estos velan por la mayor seguridad en cada una de las organizaciones del gremio.
En el desarrollo se tomó como referencia el estándar ISO 27001 y se aplican algunos apartados de
la norma para velar por la mayor y mejor seguridad en Produsoft.

xi
ABSTRACT
Nowadays we understand that the cybersecurity has become an important matter in the industry of
technology, this is mostly because now is not only important to have developed an efficient system
or to provide expedite services. Data management and its protection is crucial because this
represents one of the most important actives of the organizations. Therefore, the clients and
organizations demand a complete matter of safety for their data, that’s why the policies of
cybersecurity are being implemented step by step in all software related matters, so one can offer
services with the required safeties, adapting each policy to every company and their specific modus
operandi.
Produsoft S. A., a Costa Rican company on charge of providing technological solutions and
services in different labor branches, accounts with their own statutes in order to ensure the
satisfaction and good performance of all internal procedures as well as all services provided to its
clients, keeping on mind that it is relevant to have a good documentation management, an important
area of opportunity for Produsoft. This is because even though there are contracts, with its
employees and clients, with sections that clearly specifies about data confidentiality and the high
importance of this matter to the organization, Produsoft is not clear about the duration of these
clauses, making that these sections could be obviated with the pass of time. That’s the reason why
I decided to build a document that provides major informatic security policies for Produsoft.
While doing some informatic security policies, is important to keep in mind all international
standards that already exists, which ensure the best security in each of the companies that are
applied. It is important to understand that the development of this policies I took reference from
the ISO-27001 standard, applying some sections of the standard always thinking in reach the best
xii
in security matters in Produsoft.

xiii
TABLA DE CONTENIDO
Introducción......................................................................................................................................1
Capítulo I. Marco introductorio........................................................................................................2
1.1. Delimitación del tema ...........................................................................................................2
1.2. Antecedentes del problema ...................................................................................................4
1.3. Planteamiento del problema .................................................................................................7
1.3.1. Problemas específicos ...................................................................................................7
1.4. Justificación ..........................................................................................................................7
1.5. Objetivos ...............................................................................................................................8
1.5.1. Objetivo general ............................................................................................................8
1.5.2. Objetivos específicos ....................................................................................................8
Capítulo II. Marco teórico ..............................................................................................................10
2.1. Fundamentación teórica ......................................................................................................10
2.1.1. Seguridad informática .................................................................................................10
2.1.2. Política empresarial.....................................................................................................19
2.1.3. Control de acceso ........................................................................................................29

xiv
2.1.4. ISO ..............................................................................................................................38
2.2. Teorías relacionadas ...........................................................................................................44
2.3. Casos de estudio .................................................................................................................45
2.4. Marco legal .........................................................................................................................47
2.5. Marco situacional................................................................................................................50
Capítulo III. Marco metodológico ..................................................................................................52
3.1. Enfoque de la investigación ................................................................................................52
3.2. Tipos de investigación ........................................................................................................53
3.3. Muestra, variables e instrumentos ......................................................................................54
3.4. Fuentes de información.......................................................................................................57
3.5. Programación y proyección ................................................................................................59
3.6. Alcances y limitaciones ......................................................................................................60
Capítulo IV. Análisis ......................................................................................................................63
4.1. Análisis de datos .................................................................................................................63
4.2. Interpretación de resultados................................................................................................66
Capítulo V. Propuesta.....................................................................................................................71
5.1. Analizar la situación actual en el ámbito de seguridad informática, mediante el análisis de

xv
propuestas teóricas, el entorno tecnológico y empresarial y la estructura tecnológica de la
empresa ......................................................................................................................................71
5.1.1. Contexto de la organización........................................................................................71
5.1.2. Partes interesadas ........................................................................................................74
5.2. Determinar las áreas que abarcarán las políticas de seguridad informática, mediante el
estudio de las necesidades de la empresa, en conjunto con el estándar de seguridad ISO 27001,
para que se determinen los procedimientos de los diferentes procesos de la empresa ..............75
5.3. Generar un documento con las políticas de seguridad establecidas en la empresa, así como
las reglas formales de la empresa, mediante la relación de los requerimientos de seguridad con
el estándar ISO 27001................................................................................................................79
Índice.....................................................................................................................................82
Alcance de las políticas de seguridad informática ................................................................84
Políticas de seguridad informática ........................................................................................89
Capítulo VI. Conclusiones y recomendaciones ............................................................................111
Anexos ..........................................................................................................................................131
Anexo 1. Hoja con preguntas para las entrevistas ...................................................................131
Anexo 2. Formulario de documentación de incidentes ...........................................................132
Anexo 3. Formulario de documentación de entrega de equipos..............................................133

xvi
Anexo 4. Formulario de documentación de entrada de nuevos equipos .................................134
Anexo 5. Carta de autorización ...............................................................................................135

xvii
ÍNDICE DE ILUSTRACIONES
Ilustración 1 Árbol de genealógico de conceptos ...........................................................................10
Ilustración 2 Principios de seguridad de la información. ...............................................................12
Ilustración 3 Integridad de datos ....................................................................................................12
Ilustración 4 Vulnerabilidades........................................................................................................15
Ilustración 5 Riesgos ......................................................................................................................16
Ilustración 6 Información Sensible.................................................................................................17
Ilustración 7 Datos..........................................................................................................................18
Ilustración 8 Ingeniería social ........................................................................................................19
Ilustración 9 Negocios ....................................................................................................................21
Ilustración 10 Misión, visión y valores ..........................................................................................22
Ilustración 11 Valores de la empresa..............................................................................................23
Ilustración 12 Organización que rigen normas...............................................................................24
Ilustración 13 Eficiencia, eficacia y efectividad.............................................................................26
Ilustración 14 Ejemplo de buena práctica ......................................................................................27
Ilustración 15 Frameworks de programación .................................................................................28
Ilustración 16 Ciclo de vida de un proceso ....................................................................................29
Ilustración 17 Controles de acceso .................................................................................................30

xviii
Ilustración 18 Diseño de base de datos...........................................................................................31
Ilustración 19 Lenguajes de programación.....................................................................................32
Ilustración 20 Ejemplo de algoritmo ..............................................................................................33
Ilustración 21 Infraestructura tecnología ........................................................................................34
Ilustración 22 Identificaciones (Badge)..........................................................................................35
Ilustración 23 Puertos físicos..........................................................................................................38
Ilustración 24 Logo ISO .................................................................................................................39
Ilustración 25 Estructura de ISO 27:001 ........................................................................................40
Ilustración 26 Sectores que interviene ISO 27001 .........................................................................41
Ilustración 27 Ciclo de vida de SGSI .............................................................................................43
Ilustración 28 Logo Inteco..............................................................................................................44
Ilustración 29 Apartado 21 de Contrato de Alianza .......................................................................73
Ilustración 30 Índice de Acuerdo General de Confidencialidad ....................................................74
Ilustración 31 Proceso de cotización. .............................................................................................86
Ilustración 32 Proceso de desarrollo de sistema .............................................................................87
Ilustración 33 Proceso de consultoría .............................................................................................88
Ilustración 34 Proceso de implementación de BI ...........................................................................89

xix
ÍNDICE DE TABLAS
Tabla 1 Variables............................................................................................................................57
Tabla 2 Programación de trabajo....................................................................................................60

xx
LISTA DE ABREVIATURAS Y SÍMBOLOS
• BI: Business Intelligence (Inteligencia de Negocio).
• CCIPS: the Computer Crime and Intellectual Property Section (Sección de Delitos
Informáticos y Propiedad Intelectual).
• Comtelca: Comisión Técnica Regional de Telecomunicaciones.
• CRM: Customer Relationship Management (Gestión de Relación con Clientes).
• ERP: Enterprise Resource Planning (Planificación de Recursos Empresariales).
• IEC: International Electrotechnical Commission (Comisión Electrotécnica
Internacional).
• Incibe: Instituto Nacional de Ciberseguridad.
• INTE/Inteco: Instituto de Normas Técnicas de Costa Rica.
• ISO: International Organization for Standardization (Organización Internacional de
Estandarización).
• MEIC: Ministerio de Economía, Industria y Comercio.
• SA: Sociedad Anónima.
• SGSI: Sistema de Gestión de la Seguridad de la Información.
• SLA: Service Level Agreement (Acuerdo de Nivel de Servicios).
• SMS: Short Message Service (Servicio de Mensajes Cortos).

xxi
• SSO: Single Sign-On (Inicio de Sesión Único).
• TI: Tecnología de Información.

1
Introducción
La tecnología avanza de forma acelerada y se convierte en una constante en el desarrollo
de actividades diarias. En las empresas la tecnología funciona para agilizar procesos y solventa
problemas como el tiempo que se tarda en completarlos, por esta razón se contratan servicios
especializados en el área de la tecnología. Las compañías, en el momento de contratar los servicios
de otras, toman en cuenta diferentes factores como los precios, la calidad y la experiencia, sin
embargo, uno de los más importantes es la seguridad de la empresa a la hora de manejar la
información.
La aplicación de medidas de seguridad informática en las empresas se ha vuelto esencial,
ya que esto ayuda a que la empresa se mantenga bajo una estructura en los procesos que se llevan
a cabo. De esta forma, los empleados cuentan con una base con la cual se pueden respaldar en sus
labores, con esto las empresas se cercioran de que la información generada se mantendrá segura,
no caerá en manos de la competencia y no enfrentarán el sabotaje en algunos de sus servicios.
Produsoft es una empresa que se dedica a proveer servicios tecnológicos, principalmente
en la parte de consultoría y de desarrollo web. Además, cuenta con ciertos parámetros de seguridad
como los contratos con empleados y clientes, acceso controlado a los sistemas, entre otros, sin
embargo, poseen un documento de reglas por tomar en cuenta, por ejemplo, políticas de seguridad
informática.
En la presente investigación se lleva a cabo un análisis de la situación actual de Produsoft
S. A. principalmente en el ámbito de seguridad informática. Con esto y tomando de referencia la
normativa ISO 27001 se determinan las áreas que se deben abarcar para la generación del
documento de políticas de seguridad informática de Produsoft S. A.

2
Capítulo I. Marco introductorio
1.1. Delimitación del tema
La seguridad informática es un área de la tecnología, la cual tiene como objetivo principal
mantener seguros los datos que se encuentran almacenados en los sistemas de información de una
empresa, persona, entidad o un conjunto de ellas. Además, busca asegurar los equipos tecnológicos,
ya que vela por la privacidad y el uso correcto de los datos, asimismo, se encarga de mantener su
integridad, confidencialidad y disponibilidad.
Actualmente, la tecnología ayuda a llevar a cabo con mayor facilidad actividades personales
o de la empresa, como los pagos de servicios personales o empresariales o una simple recarga
telefónica. Además, permite completar procesos más complejos como transferencias de dinero
desde la facilidad de una computadora, búsquedas de información o navegación por Internet, lo
que hace que los datos se movilicen por las redes constantemente. Por lo tanto, se debe tener mayor
seguridad en el manejo de los datos, es decir, cómo se envían, si cuentan con algún protocolo de
encriptación de datos y cómo se debe acceder a ellos, ya que representa información valiosa que
puede vulnerarse.
Tanto los ingenieros en sistemas como todo aquel que hace parte del mundo tecnológico
deben velar no solo por un uso beneficioso de las tecnologías, sino también por el hecho de que
sean seguras. Es necesario buscar la confianza por parte del usuario al utilizar las diferentes
herramientas tecnológicas, asegurándose que se sigan ciertos procedimientos y se cumplan reglas
establecidas.
Las políticas de seguridad ayudan a que las empresas logren asegurar sus datos, los equipos
3
tecnológicos y la información de los clientes, todo esto al cumplir con un estándar internacional ya
establecido. Para llevar a cabo las políticas en la empresa, primero se debe hacer un análisis general
de esta, estudiar el ámbito de trabajo, las instalaciones que poseen, la cantidad de empleados que
laboran actualmente y cómo se encuentra sectorizada, hasta llegar a información básica como la
misión, la visión y los objetivos. Posteriormente se establecerán diferentes reglas para asegurar la
información y a la compañía.
Produsoft se encarga de desarrollar sistemas web, dar consultoría en el sistema de Softland
ERP y llevar a cabo inteligencia de negocio (mejor conocido como Business Intelligence, en
inglés). Con una trayectoria de 10 años en el mercado, cuenta con una amplia cartera de clientes y
acceso total a su información, por lo tanto, se quiere garantizar el uso correcto al definir las políticas
de seguridad y tomar como referencia el estándar ISO 27001.
En el segundo cuatrimestre de 2020, se llevará a cabo un estudio en el que se establecerán
las políticas de seguridad informática de la empresa y se tendrán en cuenta los equipos con los que
se trabaja y los trabajadores. El propósito es formalizar las políticas de seguridad en la empresa,
para darle mayor confianza a los propietarios, a los empleados y a los clientes. Se considerarán
temas como el manejo de contraseñas de las diferentes cuentas; los roles de cada uno de los
empleados; el almacenamiento del código fuente de los sistemas desarrollados; trabajar el mismo
proyecto en diferentes computadoras; cómo se debe entregar el programa a los clientes; los accesos
a escritorios remotos de servidores de base de datos o publicaciones. Todo esto para tener una
trazabilidad en caso de problemas.
Se busca llevar a cabo un documento en el cual se presenten las diferentes reglas por áreas
de trabajo, basándose en el estándar internacional de seguridad informática llamado ISO 27001.
Esto para mejorar, de forma interna, las operaciones de la empresa y evitar conflictos de intereses
4
y de formas de trabajo, ya que se definirían las reglas por seguir para las actividades realizadas,
tanto, de forma interna en la empresa como externa con los clientes.
Por limitaciones en cuanto al tiempo, no se pueden abarcar todos los apartados de la
normativa ISO 27001, por esto, se toman en cuenta principalmente los procesos de cotizaciones,
consultoría, desarrollo de software e implementación de BI. Las operaciones que no forman parte
de estas áreas no se podrán tomar en cuenta para la presente investigación.
En las empresas tecnológicas la seguridad se valora cada vez más. El objetivo es que, tanto
los empleados de la empresa como los terceros que se contratan para llevar a cabo otros servicios,
cumplan reglas establecidas para asegurar los datos. La implementación de políticas ayuda a una
mejora en la estructura tecnológica de la empresa, ya que con estas se lleva a cabo la definición de
distintos procesos que ayudan a reforzar la seguridad.
1.2. Antecedentes del problema
La seguridad informática ha evolucionado a través de los años gracias al crecimiento de la
tecnología, ya que es necesario que se protejan los datos de las actividades que se hacen. Los datos
que se manejan son de los activos más importantes, ya que contienen información confidencial que
se debe asegurar para evitar daños por parte de terceros, tanto para la empresa como para los
clientes. Una de las formas de lograr esto es con la definición de las políticas de seguridad en las
que, según el giro de negocio de la empresa e información interna como la misión, la visión, los
objetivos y el entorno, se definen las reglas de los diferentes procesos que se hacen en la empresa,
con base en estándares internacionales para tener mayor fiabilidad.
Produsoft actualmente cuenta con reglas que se establecen en reuniones de trabajo
semanales en las que se analizan situaciones que se presentan y se buscan soluciones, sin embargo,
5
esta información no queda documentada, por lo tanto, cuenta con la oportunidad de mejorar en el
área de seguridad, ya que carece de un documento escrito de reglas o políticas de seguridad
informática, lo que lleva a que reglas que se definieron en cierto momento sean olvidadas o no
aplicadas por nuevos empleados. Por lo anterior, se busca documentarlas y ampliarlas cuando se
presente la situación, para lo que se toma como referencia la norma internacional ISO 27001 y los
siguientes documentos que hacen referencia a la definición de reglas con respecto a la seguridad
informática en una empresa.
Ureche (2017) en Diseño de políticas de seguridad informática basadas en la norma NTC-
ISO-IEX 27001:2013 define las políticas de seguridad informática para el Centro Tutorial Mompox
de la Universidad de Cartagena. Además, busca perfeccionar la protección de los datos al ordenar
los procesos de seguridad que se hacen actualmente y agregar nuevos procedimientos, utilizando
como base las normas NTC-ISO-IEX 27001:2013. Se hizo un diagnóstico del estado actual de la
seguridad, el cual dio como resultados que no existe una gestión de este tipo, por lo tanto, no se
valoran los riesgos y vulnerabilidades de seguridad, no se alinean los objetivos de la institución
con la seguridad que existe, entre otros puntos. Después del diagnóstico se llevó a cabo un estudio
de la organización, y se clasificaron los activos y se valoraron posibles riesgos, para definir las
políticas por sectores como el uso de recursos informáticos, cumplimiento de sanciones y uso de
contraseña.
En Seguridad en equipos informáticos, Gómez (2015) aborda los estudios de seguridad que
se hacen a los componentes tecnológicos, estos estudian los objetivos de gestión; las posibles
amenazas; los diferentes tipos de ataques; las técnicas de análisis; gestión de los riesgos; la
seguridad física y la lógica; los accesos remotos y conexiones externas. Al tomar todos estos puntos
en cuenta se puede llevar a cabo un análisis de las implicaciones de seguridad en los proyectos, así
6
como medir los niveles para brindar la mayor seguridad, analizar y corregir los accesos físicos y
lógicos a los activos y replantear las funciones de los servicios con respecto a las especificaciones
de seguridad. Para esto se tiene en cuenta que los equipos tecnológicos, como las computadoras de
escritorio, los servidores y dispositivos de comunicación, son los elementos principales en las
empresas que brindan servicios tecnológicos, ya que almacenan información importante de la
empresa y de clientes.
Pulgar (2017) en La ética en la era de la tecnociencia aborda el tema de la ética, la cual
está influida por las experiencias que ha tenido la persona en diferentes etapas de su vida. En el
momento de llevarlas al ámbito empresarial plantea un contexto mucho más amplio, ya que se
deben analizar generalidades de la empresa como cuál es el sector profesional; cuáles tipos de
servicios proveen; de que país es la empresa; dónde se encuentra situada geográficamente (el país,
el estado o provincia, la ciudad); a quiénes brinda sus servicios; el tiempo que lleva en el mercado
y la cantidad de empleados. Todo esto da un balance de lo que es aceptable hacer como trabajador
y las reglas que se deben seguir, esto asegura no solo los equipos tecnológicos de la empresa, como
puede ser una computadora, los enrutadores y los servidores mediante programas de seguridad,
sino también los recursos humanos, por medio de capacitaciones y charlas informativas de la
seguridad de la empresa.
La característica principal de las empresas para tomar en cuenta en los análisis para la
creación de las políticas de seguridad es el ámbito en el cual trabajan y su giro de negocio, el cual
se define con respecto a las actividades que lleva a cabo. Las políticas se adaptan a sus necesidades
y se aplican con base en un estándar internacional para asegurar su implementación. Para la
presente investigación, el documento y los libros mencionados sirven de apoyo para tener una ruta
clara en las políticas, a partir de tres aspectos clave: cómo realizarlas con respecto a la situación
7
actual de la empresa, tomar en cuenta los equipos de tecnología con los que cuenta la empresa para
su respaldo y el capital humano que está relacionado con la ética en el contexto empresarial.
1.3. Planteamiento del problema
¿Cómo se deben crear las políticas de seguridad informática, mediante el análisis de
propuestas teóricas y del estándar ISO 27001, de acuerdo con los recursos tecnológicos para la
mejora estructural tecnológica en la empresa Produsoft S. A. a partir del 2020?
1.3.1. Problemas específicos
1. ¿Cómo analizar la situación actual en el ámbito de seguridad informática, mediante el
análisis de propuestas teóricas, el entorno tecnológico y empresarial y la estructura
tecnológica de la empresa?
2. ¿Cómo determinar las áreas por abarcar en las políticas de seguridad informática,
mediante el estudio de las necesidades de la empresa, en conjunto con el estándar de
seguridad ISO 27001, así como los procedimientos de los diferentes procesos?
3. ¿Cómo generar un documento con las políticas de seguridad establecidas en la empresa,
mediante la relación de los requerimientos de seguridad con el estándar ISO 27001?
1.4. Justificación
Produsoft S. A. es una empresa de tecnología que brinda servicios de desarrollo web y
consultoría a clientes con los que se mantiene contacto directo. La comunicación que se lleva a
cabo tiene un conjunto de reglas informales y poco desarrolladas, por lo tanto, se quiere crear un
documento con las políticas de seguridad informática definidas y con reglas de trabajo para seguir,
tanto dentro de la empresa cuando se hacen labores internas como fuera de la empresa cuando se
8
le presta un servicio a un cliente.
Lo anterior se llevará a cabo mediante recursos tecnológicos para contar con una
documentación escrita y formal de las políticas de seguridad informática, según el análisis sobre el
entorno de la empresa. El proyecto se hará en Produsoft debido a que es una empresa que maneja
recursos tecnológicos con información importante para la compañía y para los clientes. El propósito
es mejorar la infraestructura tecnológica y desarrollar mayor confianza por parte de los clientes y
empleados.
El beneficiario directo del proyecto es Produsoft S. A., ya que se crearán y formalizarán las
políticas de seguridad en las que se aseguran todos los procesos que llevan a cabo. Los beneficiarios
indirectos son tanto los empleados como los clientes, ya que se delimita una línea de trabajo que
protege los datos de la empresa que brinda los servicios (Produsoft) y los datos de quien los
contrata.
1.5. Objetivos
1.5.1. Objetivo general
Crear las políticas de seguridad informática, mediante el análisis de propuestas teóricas y
del estándar ISO 27001, de acuerdo con los recursos tecnológicos para la mejora estructural
tecnológica en la empresa Produsoft S. A. a partir del 2020.
1.5.2. Objetivos específicos
1. Analizar la situación actual en el ámbito de seguridad informática, mediante el análisis
de propuestas teóricas, el entorno tecnológico y empresarial y la estructura tecnológica
de la empresa.
9
2. Determinar las áreas que abarcarán las políticas de seguridad informática, mediante el
estudio de las necesidades de la empresa, en conjunto con el estándar de seguridad ISO
27001, para que se determinen los procedimientos de los diferentes procesos de la
empresa.
3. Generar un documento con las políticas de seguridad establecidas en la empresa, así
como las reglas formales de la empresa, mediante la relación de los requerimientos de
seguridad con el estándar ISO 27001.

10
Capítulo II. Marco teórico
2.1. Fundamentación teórica
Seguridad Política Control de

informática empresarial acceso ISO
Seguridad de la Negocio Base de datos

información • Misión • Conexión ISO 27001
• Integridad • Visión • Lenguaje de
• Confidencialidad • Valores programación
• Disponibilidad • Algoritmo
Normas
• Efectividad Infraestructura INTECO
Ciberataque • Eficiencia • Tarjeta de
• Vulnerabilidad • Eficacia identificación
• Amenaza • Recurso
• Riesgo tecnológico
Buenas prácticas • Zona restringida
• Framew ork
Información • Procedimiento Controles lógicos
sensible • Proceso • Inicio de sesión
• Datos único
• Ingeniería social • Puerto
• Cifrado • Rango
Ilustración 1 Árbol de genealógico de conceptos

Fuente: elaboración propia, Seguridad informática.
2.1.1. Seguridad informática
Según la Universidad VIU (2018):
Podemos definir qué es la seguridad informática como el proceso de prevenir y detectar el

uso no autorizado de un sistema informático. Implica el proceso de proteger contra intrusos
el uso de nuestros recursos informáticos con intenciones maliciosas o con intención de
obtener ganancias, o incluso la posibilidad de acceder a ellos por accidente (párr. 1).
De acuerdo con Baca Urbina (2016):
La seguridad informática es la disciplina que, con base en políticas y normas internas y

externas de la empresa, se encarga de proteger la integridad y privacidad de la información
11
que se encuentra almacenada en un sistema informático, contra cualquier tipo de amenazas,

minimizando los riesgos tanto físicos como lógicos, a los que está expuesta (p. 12).
Como indica Ramos (2020), “la seguridad informática protege la información de un amplio
rango de amenazas con el objetivo de asegurar la continuidad de negocios, minimizar el daño
comercial y maximizar el reembolso de las inversiones y oportunidades comerciales” (párr. 1).
2.1.1.1. Seguridad de la información
Como afirma Venegas (s. f.):
La seguridad de la información es el conjunto de políticas, procedimientos, organización,

acciones y demás actividades, orientadas a proteger la información de un amplio rango de
amenazas con la finalidad de: asegurar la continuidad del negocio, minimizar los daños a la
organización y maximizar el retorno de las inversiones y las oportunidades de negocio (párr.
5).
Según Tecon (2019):
Por seguridad de la información se entiende el conjunto de medidas preventivas y reactivas

que permiten resguardar y proteger la información. Dicho de otro modo, son todas aquellas
políticas de uso y medidas que afectan al tratamiento de los datos que se utilizan en una
organización (párr. 1).
Como indica CIC Consulting Informático (2019):
La seguridad de la información abarca las medidas y actividades que intentan proteger los
activos de información, es decir, la protección de la información o datos que tienen valor
para una organización, a través de la reducción de riesgos y mitigando las amenazas
posibles. Estos activos se pueden encontrar en diferentes formatos, por ejemplo, en formato
digital, de forma física o en forma de ideas o conocimientos de personas que pertenecen a
la organización (párr. 5).
12
Ilustración 2 Principios de seguridad de la información.
Fuente: Ticsalborada.
2.1.1.1.1. Integridad
De acuerdo con Tecon (2019) esto implica “información correcta sin modificaciones no
autorizadas ni errores. Se protege frente a vulnerabilidades externas o posibles errores humanos”
(párr. 7).
Como indica PMG SSI (2017):
Cuando hablamos de integridad en seguridad de la información nos referimos a cómo los

datos se mantienen intactos libre de modificaciones o alteraciones por terceros, cuando una
violación modifica algo en la base de datos, sea por accidente o intencionado se pierde la
integridad y falla el proceso (párr. 6).
Según Protección de datos (2018) “la integridad de información es una de las dimensiones
de la calidad de los datos cuya pérdida pude suponer un mayor impacto en la privacidad” (párr. 1).
Ilustración 3 Integridad de datos

Fuente: tecnologias-informacion.com.
13
2.1.1.1.2. Confidencialidad
De acuerdo con PMG SSI (2017) “la confidencialidad se conoce como una forma de
prevenir la divulgación de la información a personas o sistemas que no se encuentran autorizados”
(párr. 5). Según Tecon (2019) la “información es accesible solo para personal autorizado. La
información no debe llegar a personas o entidades que no estén autorizados” (párr. 8). Como afirma
Bonnett (2017):
La información confidencial es un activo intangible, que debe gestionarse y protegerse en

las empresas porque, la mayoría de las veces, esta puede usarse en cualquier actividad
productiva, industrial o comercial, y puede tener un valor económico (párr. 1).
2.1.1.1.3. Disponibilidad
Según Tecon (2019)esto implica el “Acceso a la información cuando se requiere, teniendo
en cuenta la privacidad. Evitar caídas del sistema que permitan accesos ilegítimos, que impidan el
acceso al correo” (párr. 7). Como afirma Toro (2018):
La disponibilidad supone que el sistema informático se mantenga trabajando sin sufrir

ninguna degradación en cuanto a accesos. Es necesario que se ofrezcan los recursos que
requieran los usuarios autorizados cuando se necesiten. La información deberá permanecer
accesible a elementos autorizados (párr. 13).
Se refiere a la posibilidad de que alguien autorizado pueda acceder sin problema a la

información y si es necesario, modificarla. Esto, durante un plazo de tiempo adecuado, que
se define de acuerdo al tipo de trabajo (Tecnologias-informacion.com, s. f., párr. 12).
2.1.1.2. Ciberataque
Como indica Ruiz (2018):
Un ciberataque es la explotación deliberada de sistemas informáticos, empresas y redes

dependientes de la tecnología. Estos ataques utilizan códigos maliciosos para alterar la
lógica o los datos del ordenador, lo que genera consecuencias perjudiciales que pueden
comprometer información y provocar delitos cibernéticos, como el robo de identidad. (párr.
14
2).
Según Caser Seguros (s. f.) “un ciberataque es un conjunto de acciones ofensivas contra
sistemas de información como bases de datos, redes computacionales, etc. hechas para dañar,
alterar o destruir instituciones, personas o empresas” (párr. 2). De acuerdo con Ghirardi (2018) son:
Actos que se realizan por medio de las tecnologías y las telecomunicaciones con la finalidad
de comprometer la confidencialidad, integridad o disponibilidad de los dispositivos,
sistemas, redes, comunicaciones o datos, aprovechando fallas que se puedan producir en el
software, hardware o las personas que lo integran (párr. 1).
2.1.1.2.1. Vulnerabilidad
Como indica Incibe (2017):
Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema de

información que pone en riesgo la seguridad de la información pudiendo permitir que un
atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma,
por lo que es necesario encontrarlas y eliminarlas lo antes posible (párr. 3).
Según Romero Castro et al. (2018) “las vulnerabilidades son los fallos de los sistemas de
seguridad o en los propios que el usuario utiliza para desarrollar las actividades que permitirían
que una amenaza tuviese éxito a la hora de generar un problema” (p. 28). De acuerdo con Baca
Urbina (2016) “constituye un hecho o una actividad que permite concretar una amenaza. Se es
vulnerable en la medida en que no hay suficiente protección como para evitar que llegue a suceder
una amenaza” (p. 30).

15
Ilustración 4 Vulnerabilidades
Fuente: Destino Negocio.
2.1.1.2.2. Amenaza
Según Incibe (2017) “una amenaza es toda acción que aprovecha una vulnerabilidad para
atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial
efecto negativo sobre algún elemento de nuestros sistemas” (párr. 4). Como afirma Carpentier
(2016) “amenaza es alguien o algo que puede explotar una vulnerabilidad para obtener, modificar
o impedir el acceso a un activo o comprometerlo” (p. 40). Como afirma Baca Urbina (2016):
Se entiende por amenaza una condición del entorno de los sistemas, áreas o dispositivos
que contienen información importante (persona, equipo, suceso o idea) que ante
determinada circunstancia podría dar lugar a que se produjese una violación de seguridad,
afectando parte de la información y de la TI de la organización (p. 29).
2.1.1.2.3. Riesgo
Como indica Baca Urbina (2016) “el riesgo se define como la posibilidad de que no se
obtengan los resultados deseados” (p. 23). Según Carpentier (2016) “el riesgo es la posibilidad de
que un evento crítico aparezca. Su evaluación permite establecer las acciones para reducir y
mantener la amenaza a un nivel razonable y aceptable” (p. 41). Como afirma Incibe (2017):
El riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose

una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta
16
vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un ataque de
denegación de servicios, un virus (párr. 6).
Ilustración 5 Riesgos
Fuente: Secureit.
2.1.1.3. Información sensible
Según Botti Cebriá (2019) “se trata de información que, directa o indirectamente, puede
vincularse a un individuo y que puede identificarlo específicamente” (p. 5). De acuerdo con Incibe
(s. f.).
Es toda aquella que tenemos que proteger del acceso de otras personas. No importa el
soporte, el tipo de información o incluso si se comunica verbalmente. En el otro extremo
tenemos la información de uso público, como por ejemplo cualquier material publicitario
que utilicemos con nuestros clientes (párr. 2).
Se denomina información sensible (en inglés sensitive information) a la información

privada de un individuo, empresa o institución, como por ejemplo los datos personales,
datos bancarios o contraseñas relacionadas con Internet o informática (correo electrónico,
conexión a Internet, PC, smartphone, etc.) o cualquier otro dato privado
(guiaspracticas.com, 2017, párr. 1).
17
Ilustración 6 Información Sensible

Fuente: ESET
2.1.1.3.1. Datos
Según Botti Cebriá (2019) “los datos se utilizan a menudo para referirse a información
cuantificada y almacenada digitalmente” (p. 5).
Un dato es una representación simbólica (numérica, alfabética, etc.) de un atributo de una

entidad. Un dato no tiene valor semántico (sentido) en sí mismo, pero al ser procesado
puede servir para realizar cálculos o tomar decisiones (Alegsa, 2018, párr. 1).
Como afirma Aguilera López (2010) “constituyen el núcleo de toda organización, hasta tal
punto que se tiende a considerar que el resto de los activos están al servicio de la protección de los
datos” (p. 12).

18
Ilustración 7 Datos
Fuente: Marketingdirecto.com.
2.1.1.3.2. Ingeniería social
Como afirma ESET (2016) “en su sentido más amplio, la Ingeniería Social se basa en la
manipulación psicológica, es decir, intenta lograr que las demás personas hagan las cosas que uno
quiere que hagan” (párr. 3).
La ingeniería social consiste en engañar a la gente para que cedan su información personal
como contraseñas o datos bancarios o para que permitan el acceso a un equipo con el fin de
instalar software malicioso de forma inadvertida (Avast, s. f., párr. 1).
De acuerdo con Neothek, Equipo Editorial (2018):
La Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas

y habilidades sociales para cumplir metas específicas. Estas contemplan entre otras cosas:
la obtención de información, el acceso a un sistema o la ejecución de una actividad más
elaborada (como el robo de un activo), pudiendo ser o no del interés de la persona objetivo
(párr. 1).
19
Ilustración 8 Ingeniería social
Fuente: Syneidis Team.
2.1.1.3.3. Cifrado
Como indica Incibe (2019) “el cifrado tiene como finalidad ofuscar la información mediante
técnicas criptográficas para así evitar que los datos sean legibles para aquellos que no conozcan la
clave de descifrado” (párr. 6). Según Kapersky (s. f.) “el cifrado es la conversión de datos de un
formato legible a un formato codificado, que solo se pueden leer o procesar después de haberlos
descifrado” (párr. 1). Como afirma Internet Society (2019) “cifrado es el proceso de codificación
o encriptación de datos para que solo pueda leerlo alguien con los medios para devolverlo a su
estado original” (párr. 1).
2.1.2. Política empresarial
Como indica Vásquez (2018):
El concepto de políticas empresariales puede llegar a ser muy amplio y a veces, complejo
de entender, sin embargo, podemos llegar a decir que las políticas no son más que los
principios que una empresa se compromete a cumplir. Reglas y directrices básicas sobre el
comportamiento y el procedimiento adecuado que se espera de todos sus empleados (párr.
2).
20
De acuerdo con Corvo (2019):
La política empresarial es lo que define el alcance o las esferas dentro de las cuales los
subordinados de una organización pueden tomar decisiones. Permite que la Gerencia de
nivel inferior resuelva los problemas y asuntos sin tener que consultar a la Gerencia de nivel
superior cada vez que tome una decisión (párr. 1).
De acuerdo con Riquelme (2017) “son un conjunto de directrices que establecen normas,
procedimientos y comportamientos que deben llevar los empleados” (párr. 1).
2.1.2.1. Negocio
Como indica Crece Negocios (2019):
Un negocio es una actividad, ocupación, sistema o método que tiene como finalidad obtener
un beneficio económico, generalmente a través de la realización de actividades de
producción de productos, comercialización de productos o prestación de servicios, que
benefician a las personas o a otros negocios (párr. 1).
Según Raffino (2020): “el término negocio debe su etimología al latín negotium, es decir
una negación del ocio: la ocupación que realizan las personas con fines lucrativos” (párr. 1).
Un negocio es un sistema diseñado para conseguir beneficios a través de la realización de

una actividad, la venta de productos, o la prestación de un servicio que podemos ofrecer a
otras personas. Hace referencia a la forma en que una persona u organización obtiene dinero
a cambio de producto o servicios (Caurin, 2017, párr. 3).
21
Ilustración 9 Negocios
Fuente: Castañeda A.
2.1.2.1.1. Misión
Como indica Samsing (2020):
La misión es una herramienta estratégica que sintetiza el propósito de una empresa. Es el

objetivo o la propuesta que sirve a la sociedad, al mismo tiempo que es la base del plan de
negocios y de las estrategias operativas (párr. 6).
Según Komiya, 2020 “la misión de una empresa (también conocida como misión
empresarial) es una declaración o manifestación duradera de la razón de ser o el propósito de una
empresa” (párr. 3). Como afirma Trenza (2020) “la misión de tu empresa es el motivo o razón de
ser por la cual la creaste. Es la respuesta al por qué de tu existencia y la actividad que realizas”
(párr. 13).
22
Ilustración 10 Misión, visión y valores

Fuente: Asociación Calcetines Rojos.
2.1.2.1.2. Visión
Según Samsing (2020):
La visión es una meta de plazo amplio donde se establece la aspiración sobre los logros de
una empresa y lo que se desea acerca de su estado futuro. Así, define la ruta a seguir tanto
para los directivos como para los empleados (párr. 10).
De acuerdo con Trenza (2020) “es tu visión de futuro, la imagen que tienes de tu empresa
en el largo plazo. Con ella describes hacia dónde te diriges” (párr. 17). Como indica Florido (2017):
La visión de una empresa podríamos denominarlo como el sueño, es una declaración de

aspiraciones de la empresa a mediano o largo plazo, es la imagen a futuro de cómo deseamos
que sea la empresa más adelante. Su propósito es ser el motor y la guía de la organización
para poder alcanzar el estado deseado (párr. 22).
2.1.2.1.3. Valores
Según Samsing (2020) “los valores corporativos son los principios que orientan las acciones
y decisiones laborales. Tienen implicaciones sociales, de desarrollo, en las dinámicas de trabajo y
en el servicio al cliente” (párr. 14).

23
Consiste en establecer las prioridades, principios, límites y criterios éticos y morales que
van a regir el día a día de tu trabajo. Son un conjunto de principios que regulan el código
de conducta de tu empresa (Trenza, 2020, párr. 20).
Como afirma Orellana (2019) “los valores de una empresa son los principios que rigen su
misión, visión y el compromiso con sus clientes” (párr. 1).
Ilustración 11 Valores de la empresa

Fuente: COOTRAUR
2.1.2.2. Normas
Como indica Raffino (2019):
Las normas son reglas que se establece con el propósito de regular comportamientos y así
procurar mantener un orden. Esta regla o conjunto de reglas son articuladas para establecer
las bases de un comportamiento aceptado, de esta forma se conserva el orden (párr. 1).
Como indica Uriarte (2019) “las normas generales tienen como característica regular las
conductas de los ciudadanos o bien la relación con sus semejantes. Tanto los deberes como los
derechos de las personas en la sociedad, están determinados por estas normas generales” (párr. 2).
Una norma es un modo establecido y acordado de hacer una cosa. Puede tratarse de fabricar
un producto, gestionar un proceso, prestar un servicio o suministrar materiales. Las normas
pueden cubrir un amplio espectro de actividades realizadas por las organizaciones y
24
utilizadas por sus clientes (The British Standarts Institution, s. f., párr. 1).
Ilustración 12 Organización que rigen normas

Fuente: Jack Carrillo.
2.1.2.2.1. Efectividad
Como indica Baca Urbina (2016):
Se trata de lograr que la información sea en realidad la necesaria para desarrollar cualquiera
de las tareas que se desarrollan en la empresa u organización y sea adecuada para realizar
los procesos del negocio, proporcionándola de manera oportuna, correcta, consistente y
accesible (p. 12).
Según Pérez y Gardey (2017) “la efectividad es la capacidad de conseguir el resultado que
se busca. Quien es efectivo, por lo tanto, obtiene el efecto deseado” (párr. 1). Como afirma García
(2017) “la definición de efectividad en el ámbito de la economía hace referencia al grado de
cumplimiento de los objetivos fijados, que puede obtenerse de dividir los resultados conseguidos
entre las metas predeterminadas” (párr. 2).
2.1.2.2.2. Eficiencia
De acuerdo con Baca Urbina (2016) “significa que la información sea generada y procesada
utilizando de manera óptima los recursos que tiene la empresa para este fin” (p. 12).
25
La definición de eficiencia es la relación que existe entre los recursos empleados en un

proyecto y los resultados obtenidos con el mismo. Hace referencia sobre todo a la obtención
de un mismo objetivo con el empleo del menor número posible de recursos o cuando se
alcanzan más metas con el mismo número de recursos o menos (García, 2017, párr. 1).
Como afirma Sánchez Galán (2018) “la eficiencia es un fenómeno ampliamente estudiado
en el ámbito económico y referido a la necesidad de menores asignaciones de factores para la
producción de un determinado nivel de bienes y servicios” (párr. 1).
2.1.2.2.3. Eficacia
De acuerdo con García (2017):
Una definición de eficacia puede ser el grado de cumplimiento de las metas perseguidas a
través de un plan de actuación, sin tener en cuenta la economía de medios empleados para
la consecución de los objetivos como ocurre con el concepto de eficiencia, un término que
suele confundirse con bastante frecuencia con eficacia (párr. 1).
Según Porporatto (2016) “la eficacia es una capacidad de respuesta para alcanzar un
resultado determinado, o para producir un efecto esperado” (párr. 1).
La eficacia vendría a ser la cualidad de algo que produce el efecto deseado o esperado, para
lo cual sin embargo se recomienda el uso de la voz sinónima eficiencia. Se trata de un
concepto vinculado también a la efectividad, especialmente en el mundo corporativo y
empresarial, en el que la distinción entre todos estos términos es a menudo enfatizada,
conocidas como las Tres E de la Administración (Raffino, 2020, párr. 1).
26
Ilustración 13 Eficiencia, eficacia y efectividad
Fuente: Excelence Management.
2.1.2.3. Buenas prácticas
Como indica Universidad Internacional de Valencia (2018):
El concepto de buenas prácticas hace referencia a todas aquellas experiencias que se guían
por principios, objetivos y procedimientos apropiados o por pautas aconsejables que se
adecuan a una normativa determinada o a una serie de parámetros consensuados (párr. 1).
Según Biriska, 2017 “con buenas prácticas empresariales nos referimos a cualquier acción
que produce, en un determinado periodo de tiempo, una mejora en un producto, servicio o
situación” (párr. 2).
En general el concepto de buenas prácticas se refiere a toda experiencia que se guía por
principios, objetivos y procedimientos apropiados o pautas aconsejables que se adecuan a
una determinada perspectiva normativa o a un parámetro consensuado, así como también
toda experiencia que ha arrojado resultados positivos, demostrando su eficacia y utilidad en
un contexto concreto (Ethics Global, 2016, párr. 2).
27
Ilustración 14 Ejemplo de buena práctica

Fuente: Incibe.
2.1.2.3.1.1. Framework
Según Neo Attack (s. f.) “un Framework, que se podría traducir aproximadamente como
marco de trabajo, es el esquema o estructura que se establece y que se aprovecha para desarrollar
y organizar un software determinado” (párr. 1). De acuerdo con Cano Fernández (2018) “la
traducción literal del término, marco de referencia nos da un primer indicio de su significado, ya
que se trata de un esquema o patrón que permite se puede estructurar de una mejor forma el código”
(párr. 2). Como indica OnDesarrollo (2018) “el Framework es una especie de plantilla, esquema o
estructura conceptual de base tecnológica que nos permite trabajar de una manera mucho más
sencilla” (párr. 3).

28
Ilustración 15 Frameworks de programación

Fuente: Charlie Red.
2.1.2.3.1.2. Procedimiento
Según Riquelme (2017) “un procedimiento es una secuencia definida, paso a paso, de
actividades o acciones (con puntos de inicio y fin definidos) que deben seguirse en un orden
establecido para realizar correctamente una tarea” (párr. 1).
Cuando hablamos de procedimientos, en este ámbito, nos referimos no solo a acciones

concretas y conjuntos de labores, sino también a los materiales que involucran, al orden en
que deben realizarse, al tiempo que normalmente deben tomar y al conjunto sistemático y
concatenado de procesos que tienen como resultado la producción de la empresa o del
departamento (Raffino, 2020, párr. 3).
Como indica Chen (2020) “un procedimiento es un método compuesto por pasos claros y
objetivos que deben seguirse para completar la tarea” (párr. 2).
2.1.2.3.1.3. Proceso
Según Raffino (2020):
La palabra proceso viene del latín processus, formado por pro (“adelante”) y cadere
(“caminar”), por lo que refiere a la acción de ir hacia adelante, de avanzar en una trayectoria
determinada y, por semejanza, avanzar en el tiempo (párr. 1).
29
Según Chen (2020) “un proceso es un conjunto de actividades relacionadas entre sí que se
llevan a cabo para generar un resultado o producto” (párr. 1). Como afirma Castillo (2019) “en
informática, un proceso se trata básicamente de un programa que entra en ejecución. Los procesos
son una sucesión de instrucciones que pretenden llegar a un estado final o que persiguen realizar
una tarea concreta” (párr. 2).
Ilustración 16 Ciclo de vida de un proceso

Fuente: Evaluando Software.
2.1.3. Control de acceso
Como indica Compusistem (2019) “el control de acceso se refiere a un proceso automático
el cual verifica la identidad de una persona y permite o restringe el ingreso de ella, a un determinado
recurso como ser una puerta o barrera” (párr. 1). Según ISEC (2016) “el control de acceso consiste
en un mecanismo que permite verificar la identidad de un usuario u ordenador con el fin de
autorizar el ingreso o acceso a recursos físicos o lógicos” (párr. 2).
Un control de acceso es un sistema automatizado que permite de forma eficaz, aprobar o

negar el paso de personas o grupo de personas a zonas restringidas en función de ciertos
parámetros de seguridad establecidos por una empresa, comercio, institución o cualquier
otro ente (Sisca, 2015, párr. 1).
30
Ilustración 17 Controles de acceso

Fuente: Tecnoseguros.
2.1.3.1. Base de datos
Como indica Raffino (2020) “se llama base de datos, o también banco de datos, a un
conjunto de información perteneciente a un mismo contexto, ordenada de modo sistemático para
su posterior recuperación, análisis y/o transmisión” (párr. 1). Según TIC Portal (2019) “una base
de datos es una herramienta que recopila datos, los organiza y los relaciona para que se pueda hacer
una rápida búsqueda y recuperar con ayuda de un ordenador” (párr. 2). Como afirma Oracle (2019)
“una base de datos es una recopilación organizada de información o datos estructurados que
normalmente se almacena, de forma electrónica, en un sistema informático” (párr. 1).

31
Ilustración 18 Diseño de base de datos

Fuente: Rodríguez, E.
2.1.3.1.1. Conexión
De acuerdo con Alegsa (2016) “conexión puede hacer referencia al enlace completo
establecido, no sólo el punto específico. En algunos contextos conexión puede ser sinónimo de
acceso. Puede ser una conexión digital o analógica” (párr. 3).
Utilizamos la palabra conexión para indicar que entre dos cosas, sistemas o personas hay
algún tipo de vínculo apropiado […] Si hablamos de aparatos o dispositivos eléctricos, estos
solamente funcionarán si hay una correcta conexión con la red eléctrica (Editorial
Definición MX, 2016, párr. 1).
Según Léxico.com (2019) “unión que se establece entre dos o más cosas (aparatos, sistemas,
lugares, etc.) o personas para que entre ellas haya una relación o una comunicación” (párr. 1).
32
2.1.3.1.2. Lenguaje de programación
De acuerdo con Redactor Rock Content (2020):
Es un lenguaje formal que, mediante una serie de instrucciones, le permite a un programador

escribir un conjunto de órdenes, acciones consecutivas, datos y algoritmos para, de esa
forma, crear programas que controlen el comportamiento físico y lógico de una máquina
(párr. 6).
En informática, se conoce como lenguaje de programación a un programa destinado a la

construcción de otros programas informáticos. Su nombre se debe a que comprende un
lenguaje formal que está diseñado para organizar algoritmos y procesos lógicos que serán
luego llevados a cabo por un ordenador o sistema informático, permitiendo controlar así su
comportamiento físico, lógico y su comunicación con el usuario humano (párr. 1).
De acuerdo con Olarte Gervacio (2018) “un lenguaje de programación es un lenguaje
formal diseñado para realizar procesos que pueden ser llevados a cabo por máquinas como
computadoras” (párr. 1).
Ilustración 19 Lenguajes de programación

Fuente: Ruiz, K.
2.1.3.1.3. Algoritmo
De acuerdo con Robledano (2019):
Un algoritmo informático es una secuencia de instrucciones finitas que llevan a cabo una
serie de procesos para dar respuesta a determinados problemas. Es decir, un algoritmo
informático resuelve cualquier problema a través de unas instrucciones y reglas concisas,
mostrando el resultado obtenido (párr. 5).
33
En informática, un algoritmo es una secuencia de instrucciones secuenciales, gracias al cual

pueden llevarse a cabo ciertos procesos y darse respuesta a determinadas necesidades o
decisiones. Se trata de conjuntos ordenados y finitos de pasos, que nos permiten resolver
un problema o tomar una decisión (párr. 1).
De acuerdo con Alegsa (2016):
En programación, los algoritmos se implementan en forma de sentencias en algún lenguaje

de programación. De esta manera, la forma de escribir los algoritmos depende del lenguaje
de programación, y del paradigma usado. Estos son los algoritmos que pueden ser
interpretados por una computadora y así ser ejecutados (párr. 1).
Ilustración 20 Ejemplo de algoritmo

Fuente: Olarte, L.
2.1.3.2. Infraestructura
Según Saavedre (2018):
El servicio que ofrece el conjunto de dispositivos y aplicaciones necesarios para una

empresa es conocido como infraestructura IT. Este sistema se gestiona a través de la
monitorización mediante el despliegue de los equipos suficientes, máquinas y software para
el cliente (párr. 1).
34
Como afirma Vegagestion (2018):
Un elemento fundamental de una organización es su infraestructura tecnológica. Se podría

definir como el conjunto de elementos para el almacenamiento de los datos de una empresa.
En ella se incluye el hardware, el software y los diferentes servicios necesarios para
optimizar la gestión interna y seguridad de información (párr. 1).
Según Maldonado (2018):
El término Infraestructura de TI es definido en ITIL v3 como el conjunto de hardware,

software, redes, instalaciones, etc. (incluyendo todo el equipo relacionado con la
información tecnológica). usado para desarrollar, probar, entregar, monitorear, controlar y
dar soporte a los servicios de TI (párr. 2).
Ilustración 21 Infraestructura tecnología

Fuente: Sinapptic.
2.1.3.2.1. Tarjeta de identificación (Badge)
Según Porto (2018) “las insignias abiertas se muestran como un símbolo digital (o una
“placa”) que puede ser colocado en un sitio web para reconocer las habilidades y los logros
adquiridos de una persona” (párr. 3). “Los Open Badges son insignias digitales, visibles y repletas
de información, que certifican habilidades, capacidades, pertenencia a grupos, participación en

35
cursos o atribución de créditos” (Romoli, 2019, párr. 1). “Un Badge es una insignia de
identificación o tarjeta que se lleva colgando del cuello o enganchada en la solapa” (Llimargas,
2019, párr. 1).
Ilustración 22 Identificaciones (Badge)
Fuente: Vecteezy.
2.1.3.2.2. Recurso tecnológico
Según Enciclopedia Económica (2020) “los recursos tecnológicos son medios que utilizan
la tecnología para llevar a cabo un propósito. Estos pueden ser físicos, llamados tangibles; o
invisibles, llamados intangibles o transversales” (párr. 1). Los recursos de la empresa son Recursos
Humanos, Financieros, Materiales y Tecnológicos, estos últimos podemos definirlos como todas
aquellas herramientas que permiten que se pueda almacenar los datos intangibles de la empresa
(Camacho, 2020, párr. 1). De acuerdo con LosRecursosHumanos.com (2017):
Los recursos tecnológicos de una empresa son aquellos que le permiten recopilar y
administrar los activos intangibles de la empresa que son aquellos como bases de datos e
información. Los recursos tecnológicos además permiten a cualquier negocio ser más
efectivo (párr. 1).
36
2.1.3.2.3. Zona restringida
Como indica Raffino (2020):
Se entiende por redes informáticas, redes de comunicaciones de datos o redes de

computadoras a un número de sistemas informáticos conectados entre sí mediante una serie
de dispositivos alámbricos o inalámbricos, gracias a los cuales pueden compartir
información en paquetes de datos, transmitidos mediante impulsos eléctricos, ondas
electromagnéticas o cualquier otro medio físico (párr. 1).
“Una red informática son dos o más ordenadores (nodos) conectados entre sí con el objetivo
de intercambiar información y compartir recursos” (Randed, 2017, párr. 1). “Al hablar de redes
informáticas nos referimos a aquello que permite que nuestra PC, laptop o dispositivos móviles se
mantengan interconectados” (Fude, 2017, párr. 3).
2.1.3.3. Controles lógicos
Como afirma Toledano Díaz (2017):
Los Controladores Lógicos Programables o PLC por sus siglas en inglés (Programmable
Logic Controllers) son minicomputadoras programables utilizadas para la automatización
de sistemas electromecánicos. Están compuestos por una CPU, módulos de memoria y de
comunicaciones, así como entradas y salidas analógico-digitales (párr. 1).
Según Estrategia Magazine (2020):
Los controles lógicos son aquellos basados en un software o parte de él, que nos permitirán
identificar los usuarios de ciertos datos y/o recursos, restringir el acceso a datos y recursos
de los sistemas, y producir pistas para posteriores auditorías (párr. 4).
Los Controladores Lógicos Programables (PLC, por sus siglas en inglés), en específico,
integran ahora la realización de operaciones aritméticas y el manejo de señales analógicas
para ejecutar estrategias de control, como controlador proporcional integral derivativo
(PID) (Moya, 2017, párr. 2).
37
2.1.3.3.1. Inicio de sesión único (SSO)
De acuerdo con TIC Portal (2018):
El inicio de sesión único, o Single Sign-On (SSO), es el método de trabajo por el cual los
trabajadores consiguen acceso a diferentes aplicaciones empresariales a través de un
procedimiento de registro. Por ejemplo, al iniciar sesión desde su ordenador se conectan
directamente a todo el software del ordenador (párr. 1).
“El inicio de sesión único (SSO) es una capacidad de autenticación que permite que los
usuarios accedan a varias aplicaciones con un único conjunto de credenciales de inicio de sesión”
(Citrix, 2019, párr. 1). “Single Sign On conocido también como SSO por sus siglas en inglés
permite a los usuarios tener acceso a múltiples aplicaciones ingresando solo con una cuenta a los
diferentes sistemas y recursos” (Chakray, 2017, párr. 2).
2.1.3.3.2. Puerto
Según José (2018):
Un puerto es una interfaz por medio de la cual se reciben y envían distintos tipos de datos.
Esa interfaz a la que se hace referencia puede ser física (hardware) o de nivel lógico
(software), en donde en este último caso se va a referenciar como puerto lógico (párr. 2).
“Dentro del contexto específico de la informática, puerto es la interfaz que permite enviar
y recibir datos digitales.” (Pérez Porto y Merino, Definición de puerto serial, 2015, párr. 1). “Un
puerto es una interfaz, una conexión establecida entre dos computadoras, permitiendo su
comunicación (recepción y trasmisión de datos e información)” (Óscar, 2017, párr. 1).

38
Ilustración 23 Puertos físicos
Fuente: Jordy, C
2.1.3.3.3. Rango
“La palabra rango se refiere a la categoría o nivel que una persona tiene respecto de su
contexto social o profesional” (Significados.com, 2019, párr. 1). Según Conceptodefinición.de
(2019):
Se le conoce como rango a la clasificación que se le hace a una persona basándose en la

situación económica, profesional o social, en otras palabras, es una posición obtenida por
la persona dentro de una organización bajo el fundamento de diferentes variables, como los
anteriormente mencionados (párr. 1).
“Rango, refiere a la categoría o clase que se aplica a una persona en función de la situación
profesional o social que ostenta” (Léxico, s. f., párr. 1).
2.1.4. ISO
De acuerdo con OBS Business School (2017):

39
Se trata de un organismo que se encarga de establecer las normas necesarias para que la
fabricación y la comercialización de la gran mayoría de productos del mundo se lleven a
cabo bajo unos mismos parámetros. Todos los comercios e industrias internacionales se
rigen según esta normativa, exceptuando dos sectores en concreto: el de la electrónica y el
de la electricidad (párr. 1).
Según ISO (s. f.):
ISO es una organización internacional, independiente y no gubernamental, con 164

miembros, cada uno de estos encargados de los estándares en su respectiva nación, donde
buscan implementar estándares internacionales para solucionar retos a nivel mundial (párr.
1).
Como indica International Dynamic Advisor (2017):
Las siglas ISO, no se refieren únicamente a las normas o estándares, ISO (International
Organization for Standardization) es la mayor organización mundial desarrolladora de
Normas Internacionales voluntarias. ISO como organización, nace en 1947, y desde ese
momento han publicado más de 20000 normas internacionales diferentes y de muy variados
sectores, de ámbitos tecnológicos y de negocios (párr. 3).
Ilustración 24 Logo ISO
Fuente: ISO
2.1.4.1. ISO 27001
Como indica la Universidad Internacional de la Rioja (2019):
La ISO 27001 es una norma internacional de Seguridad de la Información que pretende

asegurar la confidencialidad, integridad y disponibilidad de la información de una
organización y de los sistemas y aplicaciones que la tratan. Este estándar ha sido
desarrollado por la Organización Internacional de Normalización (ISO: “International
40
Organization for Standardization”) y por la Comisión Electrotécnica Internacional (IEC:

“International Electrotechnical Commission”) (párr. 2).
De acuerdo con Acevedo Juárez (s. f.):
El estándar para la seguridad de la información ISO/IEC-27001 (Information technology –

Security techniques – Information security management systems – Requirements) fue
aprobado y publicado en 2005 por la International Organization for Standardization y por
la International Electrotechnical Commission, especificando los requisitos necesarios para
establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la
información (SGSI) (párr. 1).
Según Segovia (s. f.):
ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre
completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue
desarrollada en base a la norma británica BS 7799-2 (párr. 1).
Ilustración 25 Estructura de ISO 27:001
Fuente: Segovia A
El estándar ISO 27001 abarca una parte de las organizaciones y, para cubrirla en su
totalidad, se crean diferentes políticas por sectores. Las áreas en las cuales interviene esta norma
son 5, las cuales son según Segovia Segura (s. f.) la gestión del riesgo, seguridad de la información,
ciberseguridad, continuidad de negocio y tecnologías de información. A continuación se muestra

41
una ilustración de en los sectores que interviene el estándar.
Ilustración 26 Sectores que interviene ISO 27001

Fuente: advisera.com.
El estándar ISO 27001 posee una estructura que sirve de base para empezar su aplicación.
Se divide en diez secciones que van desde la explicación de la norma, los términos por tomar en
cuenta, la planificación y hasta las mejoras que se pueden llevar a cabo. Las primeras tres explican
la normativa y en los siguientes se aplica, los últimos son los requisitos principales para la
certificación, la página web de ISO Tools (s. f.) indica que las secciones son:
A. Objeto y campo de aplicación: se orienta a llevar a cabo la definición del uso, finalidad
y modo de aplicación del estándar.
B. Referencias normativas: da a conocer documentos importantes para la aplicación del
estándar.
C. Términos y definiciones: habla de las palabras y conceptos que se deben conocer para
42
llevar a cabo la implementación.
D. Contexto de la organización: se habla sobre la empresa y su entorno, entendiendo las
necesidades que posee.
E. Liderazgo: se basa en la asignación de roles en las áreas de trabajo, se define qué
actividades llevará a cabo y los equipos con los que contará cada puesto de trabajo.
F. Planificación: se trabaja sobre el SGSI, estableciendo los objetivos en la seguridad
informática de la empresa.
G. Soporte: consiste en destacar las consideraciones que deben tener para que funcione el
SGSI.
H. Operación: se habla sobre la planificación, implementación y control de procesos
organizacionales para cumplir con la seguridad de la información.
I. Evaluación del desempeño: se define la forma en la cual se hará seguimiento y se
evaluará el SGSI.
J. Mejora: describe las obligaciones que tiene la empresa en el momento de tener un
problema con los procesos de seguridad, buscando siempre la mejora.
La política de seguridad debe contar con una parte esencial para su desarrollo, el SGSI. Este
solía ser un documento conciso que se realizaba al principio y se desarrollaba aparte de las políticas
de seguridad, en la actualidad, forma parte de estas, ya que complementa las normativas que se
establecen. López (2020) define el SGSI de la siguiente forma:
Un SGSI desde la visión del estándar internacional ISO/IEC 27001 es un enfoque

sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar
la seguridad de la información de una organización y lograr sus objetivos comerciales y/o
43
de servicio (p. ej. en empresas públicas, organizaciones sin ánimo de lucro) (párr. 14).
Ilustración 27 Ciclo de vida de SGSI
Fuente: iso27000.es.
En la presente investigación se hace referencia al documento INTE/ISO/IEC 27001:2014
de Inteco (2014), el cual corresponde a la versión actual de la normativa ISO 27001 en Costa Rica.
Se nombran los distintos apartados para la estructuración las políticas de seguridad informática con
base en esta normativa que se encuentra reconocida en el ámbito internacional. Por políticas de
reproducción del documento no se puede anexar en la presente investigación, ya que se encuentra
prohibida su copia o reproducción.
2.1.4.2. Inteco
Según Inteco (s. f.):
Es el Instituto de Normas Técnicas de Costa Rica; una asociación privada, sin fines de lucro,
creada en 1987. Somos reconocidos, por la ley #8279, como el Ente Nacional de
Normalización y contamos con la declaratoria de utilidad pública para los intereses del
Estado (párr. 1).
De acuerdo con Sistema de Información Cultural Costa Rica (s. f.):
Se encarga del proceso de Normalización, que es el proceso de formular y aplicar reglas

con el propósito de establecer un orden en una actividad específica. Las normas INTECO
44
aseguran que los productos y los servicios sean seguros y de alta calidad (párr. 1).
Como indica Procuraduría General de la República (2000):
INTECO, ha venido desarrollando en el campo de la normalización, actividades per se de

interés público y participa como miembro nacional en la Organización Internacional de
Normalización (ISO) y en la Comisión Panamericana de Normas Técnicas (COPANT), y
es reconocida como el ente nacional normalizador (párr. 3).
Ilustración 28 Logo Inteco

Fuente: Inteco.
2.2. Teorías relacionadas
Las políticas de seguridad varían mucho, no se cuenta con una plantilla o metodología
específica para realizarlas, por lo tanto, cada empresa lleva a cabo análisis de todo su entorno
empresarial como la misión, la visión, los clientes y los servicios prestados para tomar las mejores
medidas. De esta forma, definen qué se puede llevar a cabo y qué no en el del ámbito tecnológico
de la empresa, esto por medio de planes y políticas de seguridad, entre otros.
En el documento de Políticas de la seguridad de la información, Macen (2014) define las
reglas de seguridad a seguir en el Departamento de Tecnología Informática de la UTIC
(Universidad Tecnológica Intercontinental). El autor definió los activos y las actividades del
departamento para analizar cómo se hacen y en cuáles partes de la seguridad hay desconocimiento,
esto lo hizo mediante encuestas que demostraron que el manejo era incorrecto y se decidió definir
una política al respecto.
Asimismo, López y Valdés, realizaron el Plan de seguridad informática (2014) en el

45
Instituto de Ciencia y Tecnología de Materiales, en el que se estructura la seguridad al identificar
primero los activos fijos como los edificios que son parte del área de instituto, los equipos
tecnológicos ubicados en las instalaciones para plantear su resguardo, así como los servicios
externos que se le proporcionan a esta área. Todo lo anterior para llevar a cabo las políticas de
seguridad y que los encargados acaten las reglas definidas.
Estos documentos servirán de apoyo para las nuevas políticas de seguridad en la empresa
Produsoft. Los autores realizaron un debido análisis del entorno y una evaluación del contexto de
seguridad informática de la institución para posteriormente confeccionar el documento de las
políticas de seguridad.
2.3. Casos de estudio
Las políticas de seguridad informática son esenciales en las empresas establecidas, sin
embargo, es menos común que una pymes las tenga definidas, por esto, se busca aplicar en aquellas
empresas que están surgiendo, ya que se pueden encontrar reglas generales de seguridad. Lo
anterior da la oportunidad de llevar a cabo un estudio de la empresa y definir las directrices de ese
sector, esto ayuda a que los procedimientos internos se realicen de la forma más eficiente y
garantiza el uso correcto y seguro de los datos. De esta forma, en caso de que se vulnere la empresa,
se podrá hacer un rastreo de las actividades que se realizaron y llegar a la falla que generó la
vulnerabilidad.
Según documento de Ureche Ospino (2017), titulado Diseño de políticas de seguridad
informática basadas en la norma NTC-ISO-IEC 27001:2013 para la Universidad de Cartagena
Centro Tutorial Mompox Bolívar, no cuentan con reglas definidas de seguridad informática, por
esto, no se conocen los posibles riesgos que se deben tomar en cuenta ni se tiene una gestión de los
46
equipos informáticos. Por esto, el autor realiza un análisis de la empresa e identifica la situación
actual de los sistemas en la entidad y se determinó que el personal administrativo tiene un
conocimiento escaso de la seguridad de la información, los objetivos de la institución no están
alineados con los objetivos definidos y no se ha realizado una evaluación ni orientación del
personal. De esta forma, se procedió a recoger la información de los activos en este departamento,
por medio del análisis de los riesgos, tomando de base el estándar NTC-ISO-IEC 27001:2013.
Por otra parte, Rojas Solano (2016), desarrolló el Manual de políticas y estándares de
seguridad informática para el Departamento de Tecnología de Información y Comunicación del
Ministerio de Economía, Industria y Comercio (MEIC). En este último define las políticas de
seguridad al buscar que los recursos tecnológicos que se utilizan en el ministerio se encuentren
asegurados. Además, se evaluaron los riesgos para su manejo, garantizando la integridad; la
confidencialidad; la disponibilidad; el evite al rechazo y la autenticación en las áreas de seguridad
institucional; seguridad física; manejo del centro de cómputo; control de usuarios y lineamientos
legales. Se establecieron las medidas correspondientes para proteger los activos informáticos, el
área de Tecnologías de Información y la información generada, con esto se definió que se debe
llevar a cabo evaluaciones de forma semestral para mantener actualizadas las reglas en la
institución con respecto a cómo se desenvuelve.
La Contraloría Municipal de Tuluá (2016) llevó a cabo el Manual de Políticas de Seguridad
Informática, en el cual se menciona que es necesario implantar herramientas de seguridad, así como
informar a los empleados de las medidas y reglas que se deben seguir para contar con una mayor
seguridad con los equipos informáticos y la protección de los datos, siguiendo lineamientos
establecidos por la empresa. Lo anterior se debe a que poseen una plataforma tecnológica de
procesamiento de información institucional que cuenta con las computadoras de los trabajadores,
47
así como un servidor que mantienen con conexión mediante Internet. Debido a esto se decidió
definir e implantar las políticas de seguridad informática para las plataformas tecnológicas que
forman parte de la institución, así como las pautas que delimitan el manejo de todo el ambiente
tecnológico. El propósito es aplicarlas con los empleados en sus labores, tanto dentro como fuera
de la institución, así como para los contratistas y terceros que trabajen en las instalaciones y
mantener la seguridad de la información almacenada, procesada y transmitida en los sistemas
internos.
Los casos presentados son documentos de políticas de seguridad informática que han sido
exitosas en la implementación en la empresa, organización o institución en la cual se le llevaron a
cabo. Como se observó, primero es necesario hacer un análisis de la empresa para identificar todos
los activos de información que están presentes, se estudia al personal de trabajo por área y se evalúa
el conocimiento de la seguridad informática y de las reglas establecidas. De esta forma, se
desarrolla un documento dividido por áreas de interés entre los servicios que presta la empresa para
llevar a cabo la entrega del documento que presenta las reglas establecidas o las políticas de
seguridad informática.
2.4. Marco legal
Las leyes son importantes en el orden de los países, definen sus reglamentos para un
desarrollo moral, económico e intelectual positivo. El ambiente tecnológico tiene una repercusión
tan grande en la actualidad que cuenta con espacios en las leyes de cada país, en estas se define el
uso correcto de la tecnología y lo que puede penarse por la ley. Las reglas, leyes o artículos que
afectan directamente a este proyecto son:
1. Ley 8968. Sección II. Artículo 9.- Categorías particulares de los datos. 2.- Datos
48
personales de acceso restringido:
Datos personales de acceso restringido son los que, aun formando parte de registros de
acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para
la Administración Pública. Su tratamiento será permitido únicamente para fines públicos o
si se cuenta con el consentimiento expreso del titular (Sección II. Artículo 9).
2. Ley 8968. Sección II. Artículo 11.- Deber de confidencialidad:
La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos

personales están obligadas al secreto profesional o funcional, aun después de finalizada su
relación con la base de datos. La persona obligada podrá ser relevado del deber de secreto
por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce (Sección
II. Artículo 11).
3. Ley 8968. Artículo 12.- Protocolos de actuación:
Las personas físicas y jurídicas, públicas y privadas, que tengan entre sus funciones la
recolección, el almacenamiento y el uso de datos personales, podrán emitir un protocolo de
actuación en el cual establecerán los pasos que deberán seguir en la recolección, el
almacenamiento y el manejo de los datos personales, de conformidad con las reglas
previstas en esta ley (Artículo 12).
La empresa presta sus servicios a sus clientes, los cuales son grandes compañías, por lo que
se buscaron las leyes más adecuadas para estas actividades, destaca la información confidencial de
los clientes. Para cumplir con esto y mantener un orden con las leyes del país, se tomó en cuenta
principalmente la Ley n.º 8968 que hace énfasis en cuando se prestan servicios tecnológicos a otras
empresas y define como debe actuar la compañía antes esas situaciones.
En Centroamérica existe un organismo de integración llamado Comtelca, el cual tiene como
país sede a Honduras y sus miembros son Guatemala, El Salvador, Nicaragua, Costa Rica, Panamá
y República Dominicana. Son promotores de políticas públicas en tecnologías de información y
comunicación en el ámbito regional, se encargan de mantener a todos los integrantes bajo una
misma directriz de reglamentos de seguridad sin interceder con la autonomía de cada país.
49
Naciones Unidas redactó un documento publicado el 2 de febrero del 2015, en el cual se
habla sobre cómo afrontar las formas emergentes de delincuencia transnacional, principalmente de
la ciberdelincuencia. Se presenta una medición de estos actos y, por último, se definen las formas
de prevenir y afrontarlo, sin embargo, no menciona alguna pena para estos delitos, sino la
cooperación entre los países para la pronta solución de los problemas que se presenten.
En la actualidad, los países que se considera que cuentan con leyes adecuadas de seguridad
informática son Chile, Reino Unido, Estados Unidos, Francia, España, Alemania, China, Holanda
y Austria. Estos cuentan con algunos organismos oficiales de seguridad informática, como el Incibe
de España, el cual es un organismo dependiente del Ministerio de Asuntos Económicos y
Transformación Digital de España que brinda información y ayuda sobre los temas de seguridad
informática y hacen las investigaciones de los delitos informáticos en este país.
En el Departamento de Justicia de los Estados Unidos se cuenta con la Sección de Delitos
Informáticos y Propiedad Intelectual (mejor conocido como CCIPS por sus siglas en inglés), la
cual se encarga de velar por la seguridad informática en su territorio y de forma internacional. Este
departamento se encarga de confeccionar los planes nacionales para evitar o enfrentar los delitos
informáticos, entre los que se tiene principalmente ataques a sistemas informáticos y el robo de
información. La sección cuenta con un conjunto de abogados que se encargan de llevar a cabo el
estudio de los casos, además, se encarga de proponer nuevas legislaciones con respecto a las
tecnologías que emergen y los problemas relacionados con estas, o bien hacen comentarios sobre
legislaciones desactualizadas debido al avance de las amenazas.
El Código de Estados Unidos (U.S. Code), cuenta con el título 18 de crímenes y
procedimientos criminales, el cual se desglosa en diferentes partes, la Parte I corresponde a los
crímenes. En el capítulo 47 de fraude y declaraciones falsas se encuentra la sección 1029 de fraude

50
y actividades relacionadas en conexión con dispositivos de accesos, la cual menciona los
procedimientos fraudulentos y usos incorrectos de conexiones de dispositivos e intercepción de
datos, además, explica las penalidades que pueden ser desde una multa por una suma con respecto
a los daños hasta los 20 años de cárcel.
Para este documento se tienen en cuenta las organizaciones y legislaciones mencionadas
previamente, debido a la ubicación geográfica de la empresa y de la mayoría de los clientes, por lo
tanto, las leyes costarricenses son las más importantes. Algunos de los clientes poseen compañías
asociadas o la principal en otro país de Centroamérica o en Estados Unidos, lo que obliga a respetar
tratados y leyes existentes de cada uno de estos países.
2.5. Marco situacional
El sector tecnológico avanza cada vez más, por lo tanto, las empresas que depende de las
tecnologías deben crecer para así brindar los mejores servicios a los clientes, lo que lleva a
implantar sistemas y equipos tecnológicos en los procesos, independientemente del ámbito laboral.
Esto es primordial para el desarrollo de las empresas tecnológicas que se encargan de ofrecer
sistemas o servicios técnicos en equipos.
Según la página web de Produsoft (www.produsoftcr.com), la empresa se creó en 2007 con
capital costarricense. Al principio brindaba consultorías de implementación de soluciones de
software empresarial ERP, en la actualidad, brindan diferentes soluciones servicios tecnológicos
de alta calidad, los cuales son:
• Servicios.
o Inteligencia empresarial.
o Desarrollo web.
51
o Consultoría de sistemas de planificación de recursos empresariales.
• Soluciones.
o Factura electrónica.
o Expediente médico.
o Agenda digital.
o SMS.
o Estaciones de servicio.
La misión es dar soluciones tecnológicas en consultoría, inteligencia empresarial y
desarrollo web para satisfacer las necesidades de empresas medianas y grandes,
independientemente de su giro de negocio, entregando soluciones integrales que garantizan su
inversión. La visión es ser el aliado estratégico número uno de los clientes, gracias a la experiencia,
calidad, innovación y eficacia con la que se desarrollan soluciones tecnológicas. Entre los valores
de la empresa destacan seis, los cuales son: la pasión, el compromiso, la integridad, la confianza,
la excelencia y la innovación.
La empresa presta los servicios teniendo con base en lo mencionado, además, con su plan
estratégico busca dar la mejor atención a los clientes a través de sus servicios. Para esto, debe cuidar
la información, tanto de la empresa como de los clientes. Actualmente lo hacen con reglas
informales, por lo que se quiere definir en un documento con las políticas de seguridad informática
que cumplan con el entorno de la empresa.

52
Capítulo III. Marco metodológico
3.1. Enfoque de la investigación
En una investigación es necesario definir el enfoque, ya que este delimita cómo se llevará
a cabo el estudio del tema. Según Yánez (2017) “El enfoque de la investigación es la forma en la
que el investigador se aproxima al objeto de estudio. Es la perspectiva desde la cual aborda el tema,
que variará dependiendo del tipo de resultados que espera encontrar” (párr. 1). Esto varía con
respecto al fin de la investigación.
Existen diferentes enfoques para una investigación, la cuantitativa se basa principalmente
en el comportamiento humano y define las actividades relacionadas con el tema, principalmente
por medio de encuestas y muestra los resultados en gráficos. Además, se define de la siguiente
manera: “la investigación cuantitativa asume una realidad objetiva, para cuyo estudio es una
condición fundamental la separación de quien investiga respecto al objeto de estudio” (Ibídem).
El enfoque cualitativo, el cual es más inductivo con las hipótesis, se basa principalmente en
análisis que derivan en estudios, o bien leyes aplicadas, la muestra suele ser una población pequeña
limitada por la relación de esta con la investigación. Raffino (2020) sostiene que:
Una investigación cualitativa es aquella que recoge los discursos existentes en torno al tema
y realiza luego una interpretación rigurosa. No requiere de procedimientos numéricos,
estadísticos o matemáticos, sino que obtiene datos descriptivos a través de una diversidad
posible de métodos (párr. 4).
Por último, el enfoque mixto se destaca por tomar en cuenta los dos enfoques anteriores y
utilizándolos en conjunto. Se busca analizar, de una forma más completa, el fenómeno que se está
estudiando. Aguilar (2016) lo define como “los métodos mixtos representan un conjunto de
procesos sistemáticos, empíricos y críticos de investigación e implican la recolección y el análisis

53
de datos cuantitativos y cualitativos, así como su integración y discusión conjunta” (párr. 2).
Para obtener los mejores resultados la presente investigación utiliza el enfoque cualitativo,
ya que se basa en el estándar de seguridad ISO 27001 que es reconocido internacionalmente en el
área de tecnología. Asimismo, se utiliza de base otras documentaciones de políticas de seguridad
implementadas en otras empresas, organizaciones o instituciones.
3.2. Tipos de investigación
La investigación es un proceso de estudio donde se busca responder a una problemática,
tiene diferentes tipos con respecto al enfoque, en el presente se le dio el cualitativo. Según
Rodríguez Puerta (2020) existen cuatro tipos de investigación cualitativa, mejor conocidos como
métodos, los cuales son:
• Método fenomenológico: se centra en un fenómeno en específico y la reacción entre las
personas involucradas con este y con sus consecuencias. Se basa en entrevistas y
cuestionarios a las personas participantes, a través de las observaciones para resolver la
problemática.
• Método etnográfico: se basa en el estudio de un grupo en específico o una cultura, se
busca entender el porqué de sus acciones.
• Método de estudio de caso: se busca resolver la problemática con base en el análisis de
un caso en específico y se recoge la información solo de ese entorno.
• Método histórico: se estudian las problemáticas del tema central, así como las causas y
consecuencias, se comprende la situación actual y se resuelve con base en el análisis de
documentación previa.
54
Se utilizará el método histórico, ya que se crearán políticas de seguridad informática con
base en el estándar de seguridad establecido en el ámbito internacional (ISO 27001) y se analizan
otros documentos como el de Ureche Ospino (2017) titulado Diseño de Políticas de Seguridad
Informática Basadas en la Norma Ntc-Iso-Iec 27001:2013 para la Universidad de Cartagena
Centro Tutorial Mompox Bolívar y el documento de Elaboración de la política general de
seguridad y privacidad de la información del Ministerio de Tecnologías de la Información y las
Comunicaciones de Colombia. Estos ayudarán en el desarrollo de políticas para la empresa y
permitirán cumplir con los requerimientos de seguridad y los parámetros internacionales de
seguridad informática.
3.3. Muestra, variables e instrumentos
En una investigación es importante definir la muestra, ya que esto ayuda a delimitarla. De
acuerdo con Lugo (2020, párr. 1) la “población se refiere al universo, conjunto o totalidad de
elementos sobre los que se investiga o hacen estudios”, es decir, son los individuos en los cuales
se enfocará el estudio. En este proyecto la población son los trabajadores de las empresas que
brindan servicios tecnológicos.
Con la población mencionada se hace una selección que sea significativa para los
resultados, a esto se le llama muestra. En este caso son 12 empleados, que corresponden a los
trabajadores activos de Produsoft S. A. y el objeto de estudio es la mejora de los procesos que
cumplen dentro y fuera de la empresa, desde la perspectiva de la seguridad.
Las variables son características que pueden ser cambiantes, es decir, su valor no es
constante. Además, se dividen en tres tipos, las variables independientes son las que no tienen
alguna dependencia en el contexto actual, las variables dependientes necesitan directamente de la

55
variable independiente para que se den y las variables intervinientes son las circunstancias que
existen entre la variable independiente y la dependiente, es lo que las relaciona. Para definir las
variables de esta investigación se deben retomar los objetivos específicos y explicar los tres tipos
de variables de cada uno:
• Objetivo específico 1:
o Variable independiente: situación actual en el ámbito de seguridad informática.
o Variable dependiente: análisis de propuestas teóricas, el entorno tecnológico y
empresarial.
o Variable interviniente: estructura tecnológica de la empresa.
o Variable independiente: áreas por abarcar en las políticas de seguridad informática.
o Variable dependiente: estudio de las necesidades de la empresa, en conjunto con el
estándar de seguridad ISO 27001.
o Variable interviniente: procedimientos en los diferentes procesos de la empresa.
o Variable independiente: documento con las políticas de seguridad establecidas en
la empresa.
o Variable dependiente: relación de los requerimientos de seguridad con el estándar
ISO 27001.
o Variable interviniente: documento formal de reglas de la empresa.
Los instrumentos son aquellos objetos que son útiles para la investigación en el momento
de llevar a cabo el análisis, ya que ayudan al investigador a recolectar datos relacionados con el
proyecto y a estudiar otros temas o puntos de vista relacionados con la problemática principal.
56
Documenta Asesoría y Servicios (s. f.), define los instrumentos de la siguiente forma: “un
instrumento de investigación es la herramienta utilizada por el investigador para recolectar la
información de la muestra seleccionada y poder resolver el problema de la investigación, que luego
facilita resolver el problema de mercadeo” (párr. 1).
En el presente documento se utilizará la observación participante, ya que al principio se
llevará a cabo un análisis de los procesos, buscando mejoras con respecto a la seguridad informática
en la empresa. Por otro lado, también se tomarán en cuenta las referencias de otros documentos de
creación de políticas de seguridad en empresas, principalmente aquellas que se basaron en el
estándar ISO 27001, el cual será la principal referencia en el proyecto actual.
Al tener definida la muestra, así como los instrumentos y todas las variables de la
investigación, se puede delimitar el estudio y las características principales para obtener el mejor
resultado al crear las políticas de seguridad informática. Esto se logrará con el análisis de las
propuestas anteriores y el estándar ISO 27001 para la mejora estructural tecnológica de Produsoft
S. A.
57
Variable Variable Variable Instrumentali-

Objetivo Operalización Variable
independiente dependiente interviniente zación
Analizar la situación
actual en el ámbito de
seguridad informática,
Análisis de
mediante el análisis Observación Entrevistas
Situación actual propuestas Estructura
de propuestas Análisis de
en el ámbito de teóricas, el tecnológica
teóricas, el entorno comporta- Cualitativa
seguridad entorno de la
tecnológico y miento en la
informática tecnológico y empresa
empresarial, empresa
empresa-rial Encuestas
definiendo la
estructura tecnológica
de la empresa
Determinar las áreas a
abarcar en las
políticas de seguridad
Documenta-
informática, mediante ción
el estudio de las Estudio de las Procedimien-
necesidades de la Áreas a abarcar necesidades de tos a seguir Observación
empresa, junto con el en las políticas la empresa, junto en los Análisis de
Mapeos Cualitativa
estándar de seguridad de seguridad con el estándar diferentes documenta-
ISO 27001, informática de seguridad procesos de ción
determinando los ISO 27001 la empresa
procedimientos a Referencias
seguir en los de ISO 27001
diferentes procesos
de la empresa
Generar un
documento con las
políticas de seguridad Recursos
establecidas en la tecnológicos
empresa, mediante la Documento Relación de los Documento
relación de los con las políticas requerimientos formal de
Formalización
requerimientos de de seguridad de seguridad, reglas dentro Cualitativa
de reglas
seguridad, con el establecidas en con el estándar de la
estándar ISO 27001, la empresa ISO 27001 empresa Software de
elaborando el documenta-
documento formal de ción
reglas dentro de la
empresa
Tabla 1 Variables
Fuente: elaboración propia.
3.4. Fuentes de información
Las fuentes de información son los lugares donde se han encontrado los datos, como libros,
artículos, videos o entrevistas, los cuales servirán como sustento para la investigación. Raffino
(2020) define a las fuentes de información como:

58
En una investigación, hablamos de fuentes de información o fuentes documentales para

referirnos al origen de una información determinada, es decir, el soporte en el cual
encontramos información y el cual podemos referir a terceros para que, a su vez, la
recuperen para sí mismos (párr. 1).
Las fuentes de información varían en sus características y existen tres tipos. Las fuentes
primarias, se basan en información que es original, es decir, sin interpretaciones o evaluaciones
sobre el tema González (2017) afirma que “las fuentes primarias son documentos que contienen
información original que no ha sido editada, traducida o reestructurada, También se les conoce
como fuentes de primera mano y son muy utilizadas en las investigaciones académicas” (párr. 1).
Las fuentes de información secundarias vienen de las fuentes primarias, es decir, son
documentos que interpretan otros trabajos sobre un tema en específico (fuentes primarias). Según
Guardia Dall’Orso (2018) estas se definen como “son documentos derivados a partir de fuentes
primarias, aportando un nivel de compendio, filtro, análisis o edición a los datos” (párr. 6).
Por último, están las fuentes de información terciarias, las cuales agrupan datos. Un ejemplo
de estas puede ser la bibliografía de una investigación o los anexos, donde lo principal es relacionar
el origen de otras fuentes. Investigadores (2020) lo define como “una fuente terciaria consolida y
organiza las fuentes primarias y secundarias juntas en una sola fuente para facilitar el acceso rápido
a la información” (párr. 21).
En la presente investigación se usan las fuentes primarias, ya que se estudia el estándar ISO
27001, el cual se creó para que las empresas desarrollen reglas de seguridad informática. Las
fuentes secundarias también forman parte de la investigación, ya que se utilizan tesis, ensayos e
investigaciones las cuales tienen como objeto principal el estándar ISO 27001. Además, las fuentes
terciarias que se utilizaron buscan la relación de documentos con definiciones y explicaciones de
términos dentro de la investigación.

59
3.5. Programación y proyección
La programación de la investigación consiste en asignar los trabajos para cumplir los
objetivos en un tiempo específico, llevar un orden del proyecto y cumplir con la fecha de entrega.
La proyección permite estimar cuándo concluirá el proyecto, en este caso el documento de las
políticas de seguridad informática de la empresa Produsoft.
A continuación se presenta la programación del presente proyecto. La columna de Fechas
corresponde al rango de fechas y semanas del segundo cuatrimestre de 2020, la columna de
Investigación especifica el capítulo que se encontraba en desarrollo y, por último, Actividades
corresponde a las diferentes acciones que se realizaron en la empresa para el desarrollo de las
políticas.
60
Fechas Investigación Actividades

1. Reunión con la gerencia de Produsoft para el
planificar los trabajos.
01/06/2020 al 07/06/2020 2. Análisis de la situación actual de seguridad
Capítulo I
(Semana 1) informática en Produsoft.
3. Observación de los procesos que se realizan en
Produsoft.
1. Entrevistas a los empleados.
2. Estudiar mejoras a reglas que se encuentran
(Semana 2 y 3) Capítulo II implementadas.
3. Determinar las áreas que serán abarcadas en las
políticas.
1. Estudio de propuestas teóricas de empresas que
realizaron políticas de seguridad informática.
22/06/2020 al 05/07/2020
Capítulo III 2. Estudio del estándar ISO 27001.
(Semana 4 y 5)
3. Análisis de ISO 27001 para implementar en políticas
de seguridad de la empresa.
1. Inicio del documento de políticas de seguridad
informática.
06/07/2020 al 12/07/2020 2. Reunión de revisión de reglas a implementar con la
Capítulo IV
(Semana 6) gerencia.
3. Definición de puntos necesarios y correcciones que
se deben realizar.
1. Agregar los nuevos puntos establecidos en la revisión
y realizar las correcciones.
Capítulo V
(Semana 7 y 8) gerencia.
3. Definición de puntos necesarios y correcciones que
se deben realizar.
1. Corrección de los apartados establecidos en la
reunión.
Capítulo V
(Semana 9) gerencia.
3. Correcciones finales de los apartados del
documento.
1. Reunión de presentación de documento final de
03/08/2020 al 09/08/2020 Revisión de la politicas.
(Semana 10) investigación 2. Entrega del documento “Políticas de seguridad
informática de Produsoft”.
Tabla 2 Programación de trabajo
3.6. Alcances y limitaciones
Es necesario definir el alcance y las limitaciones que se tienen en una investigación, ya que
esto define hasta dónde se debe llegar y las variantes que afectan al proyecto en el desarrollo. Con
61
esto se pueden cumplir las metas establecidas, tomando en cuenta todos los elementos
involucrados, ya que la situación actual hace que varíe porque existen situaciones que inciden
directamente, por lo tanto, no se quiere dejar incompleto el documento.
Para delimitar el alcance de la investigación primero se debe definir, esto ayuda a cumplir
todos los objetivos que se plantearon. La Universidad Benito Juárez (2017, párr. 2) lo define como:
El alcance de un proyecto tiene como finalidad la determinación clara, sencilla y concreta

de los objetivos que se intentarán alcanzar, a lo largo del desarrollo del proyecto en cuestión,
cuyo cumplimiento generará la culminación exitosa de dicho proyecto.
Para la presente investigación se definieron tres alcances los cuales son:
• Se llevará a cabo el análisis la situación actual de la empresa Produsoft, principalmente
en las reglas de seguridad que se aplican actualmente, por ejemplo, los procedimientos
en el momento de brindar servicios a los clientes.
• Las políticas por definir estarán establecidas por áreas de la empresa, las cuales se
determinarán tomando en cuenta los procesos de trabajo.
• Se generará un documento con las políticas de seguridad de Produsoft con el uso del
estándar ISO 27001 para las reglas, tanto de trabajo interno en la empresa como en el
momento de prestar servicios a los clientes.
Las limitaciones son los condicionamientos que se presentan en la investigación y que no
pueden controlarse. Raffino (2020, párr. 3) define la limitación de la siguiente forma: “las
limitaciones de un proyecto son los aspectos de este que no podrán cubrirse, que escapan a sus
posibilidades y a priori se saben inalcanzables. Se trata de sus fronteras conceptuales”. Las
limitaciones de esta investigación son:

62
• La poca disponibilidad de la información de políticas de seguridad de las empresas, ya
que esta no se divulga ni se publica.
• La COVID-19 ha limitado los accesos a los establecimientos, lo cual reduce la
capacidad de recolección de datos fuera del Internet, así como visitar las instalaciones
de la compañía.
• El tiempo es una de las limitantes del proyecto, ya que se tiene hasta agosto para el
desarrollo de toda la investigación.

63
Capítulo IV. Análisis
4.1. Análisis de datos
El análisis de datos consiste en la recolección de los datos relevantes que se encuentran
sobre el tema, aplicando la mejor técnica de estudio en correspondencia con el tipo de investigación
que se lleva a cabo. En este caso, corresponde a un análisis de datos cualitativo, ya que se estudia
la seguridad informática que se aplica en la actualidad en la empresa Produsoft para la creación de
políticas de seguridad informática. Por lo tanto, se procederá a obtener datos mediante la
observación sobre cómo se hacen los procesos principales en la empresa y cómo se ve involucrada
la seguridad informática, teniendo en cuenta los procedimientos que se deben tomar en cuenta
según la norma ISO 27001. Carisio (2019) define el análisis de datos como “el análisis de datos
cualitativo es un proceso dinámico y creativo que nos permite extraer conocimiento de una masa
de datos heterogéneos en forma textual o narrativa” (párr. 1).
Los procesos principales por tomar en cuenta en Produsoft para políticas de seguridad
informática son la consultoría de Softland, el desarrollo de software, la implementación de Power
BI y llevar a cabo cotizaciones. Esto es esencial para el desempeño de los otros tres procesos, a
partir de estos se define una cantidad de actividades correspondientes a cada área.
La situación actual de la empresa en el ámbito de seguridad informática comprende las
reglas que se implementan en los procesos mencionados. Se analiza el conocimiento de los
empleados con respecto a los procesos relevantes para la seguridad informática. Por lo tanto, se
llevó a cabo una entrevista de un aproximado de 30 minutos con todos los empleados sobre aspectos
como contraseñas que utilizan en los sistemas y los equipos, los accesos a las bases de datos e
información sensible de la empresa y otros procesos, así como el conocimiento de los sistemas y
64
contratos de seguridad que poseen. A continuación se presentan las preguntas y una breve
justificación. La información y las preguntas de la entrevista fueron aprobadas previamente por el
gerente de la empresa.
1. ¿Conoce usted sobre las políticas relacionadas con la seguridad informática de su
trabajo?
Se busca identificar el conocimiento que tiene el empleado con respecto a las políticas de
seguridad informática que existen en la empresa y la relación que tienen con sus labores diarias.
2. ¿Cumple usted con el uso de contraseñas fuertes? (Esto indica que la contraseña incluye
una mayúscula, una minúscula, un número, un carácter especial y mínimo ocho
caracteres).
La complejidad de las contraseñas es importante en el momento de vulnerar un dispositivo
o una cuenta, por lo tanto, se quiere saber si el empleado usa contraseñas que son consideradas
como fuertes, describiendo los parámetros de esta.
3. ¿Suele cambiar las contraseñas de los dispositivos o sistemas de la empresa?
Las contraseñas deben cambiarse cada cierto tiempo, empresas importantes en el ámbito
internacional usan el parámetro de cambiar las contraseñas al menos cada 3 meses, por lo tanto, se
quiere saber cuán es esto, ya que es importante para la seguridad de accesos a cuentas y
dispositivos.
4. ¿Ha sido usted víctima de un ataque informático?
Es importante saber si ha sido víctima de un ataque informático porque se analizaría que
fue lo que sucedió para que se materializara el ataque en efecto y así tenerlo en cuenta para mejorar
65
este punto en el momento de llevar a cabo las políticas.
5. ¿Existen procedimientos para llevar a cabo copias de seguridad de archivos de
información o bases de datos?
Estos imprevistos suelen ser más comunes de lo que parece, ya que un error en una
condición en el momento de borrar datos puede implicar su pérdida, o bien la eliminación de
documentos. Por esto, se debe determinar si se hacen copias de seguridad, tanto a la información
como a los datos.
6. ¿Cuenta con un usuario único para llevar a cabo las actividades de la empresa?
Es importante que se realice la creación de usuarios de acuerdo con la cantidad de
empleados, ya que al llevar a cabo las actividades se lleva un registro del usuario que la ejecuta.
En caso de utilizar usuarios genéricos se desconoce quién llevo a cabo un proceso en específico,
por lo que existe la posibilidad que sea cualquier empleado con acceso.
7. ¿Tiene un antivirus instalado en la laptop? En caso de responder sí ¿con qué frecuencia
realiza actualizaciones?
Los antivirus son programas que buscan proteger al dispositivo de amenazas como el
malware, evitando así que el equipo sea vulnerado y también la información que posee, por esto,
es muy importante utilizarlos.
8. ¿Existe alguna normativa en la empresa con respecto a la distribución de código fuente?
El código fuente es un punto importante, ya que son archivos en los cuales tienen funciones
y procesos, los cuales están sujetos a la propiedad intelectual, esto suele implicar que los derechos
de autoría del sistema queden para la empresa para la que trabaja el empleado, en este caso para
66
Produsoft. Las compañías suelen tener especificaciones sobre donde se puede trabajar el código
fuente, así como la distribución y almacenamiento de este.
9. ¿El contrato que usted ha firmado con Produsoft para llevar a cabo los servicios cuenta
con un apartado sobre la confidencialidad?
Las empresas suelen tener un apartado en el contrato de servicios, o bien un contrato aparte
de confidencialidad de datos, esto aplica para el manejo de la información, tanto de la misma
empresa, o bien de terceros relacionados como de los clientes o proveedores.
10. ¿Se aplican contratos de confidencialidad con los clientes?
Los contratos de confidencialidad suelen aplicarse con los clientes para mayor seguridad de
este, ya que en estos se especifica que la información del cliente será tratada con sumo cuidado y
no podrá divulgarse en ninguna circunstancia. Además, se identifica la propiedad intelectual del
producto o los servicios, las obligaciones presentes y que ante el incumplimiento de este se puede
proceder con un reclamo legal.
4.2. Interpretación de resultados
Con la información que se obtiene a partir de las respuestas de los entrevistados a las
preguntas que se definieron en el análisis de datos se procede con la interpretación de los resultados.
De esta forma, se puede establecer la situación de los empleados con respecto al conocimiento de
la seguridad informática en Produsoft y cómo se aplica. A continuación se presenta la
interpretación de los resultados.
1. ¿Conoce usted sobre las políticas relacionadas con la seguridad informática de su
trabajo?
67
Todas las respuestas hablaban sobre las reglas que se generaban en reuniones de trabajo, en
las que en debates por sector e indicaciones de las personas en puestos de jefatura se definían ciertos
procedimientos. Sin embargo, se hace énfasis en que no se tiene un documento formal con las
reglas que se deben aplicar en Produsoft, lo cual sería de mayor conveniencia para cuando se tiene
un problema.
2. ¿Cumple usted con el uso de contraseñas fuertes? (Esto indica que la contraseña incluye
una mayúscula, una minúscula, un número, un carácter especial y mínimo ocho
caracteres).
En la parte laboral, los empleados dijeron que suelen dejar la contraseña que fue asignada
la primera vez, los empleados explicaban que sienten que la información que manejan de Produsoft
es, a diferencia de la personal, de poca relevancia y que al no tener reglas que establecen cómo se
debe llevar a cabo la gestión de las contraseñas mantenían las mismas. En cambio, en el ámbito
personal, aseguran que las cuentas que están relacionadas con bienes o compras que hacen poseen
contraseñas fuertes que cumple con todos los parámetros mencionados y hasta utilizan el factor de
doble autenticación.
3. ¿Suele cambiar las contraseñas de los dispositivos o sistemas de la empresa?
Los empleados especificaron que en el trabajo no han hecho ningún cambio de contraseñas
desde que se les entregaron estas en los dispositivos y los usuarios, así que no existe alguna regla
en Produsoft que especifique los cambios de estas. En las cuentas personales tampoco hacen
cambios de contraseñas a menos que reciban una notificación de una de las cuentas donde han
intentado ingresar y si ellos no han sido los que realizaron el ingreso.
4. ¿Ha sido usted víctima de un ataque informático?

68
Esta respuesta fue la más común entre todos, ya que ninguno ha sido víctima, sin embargo,
ha habido intentos de entrar a sus cuentas de redes sociales, principalmente desde Europa y Asia.
Además, en cuanto a los correos de phishing contestaron que no había sucedido nada parecido.
5. ¿Existen procedimientos para llevar a cabo copias de seguridad de archivos de
información o bases de datos?
En el momento de guardar información de copias de seguridad resaltan que en el manejo
interno de las actividades de Produsoft se especifica que todos los procedimientos se hacen en la
laptop, los que incluyan archivos como código fuente o de algún proceso de la empresa se deben
encontrar sincronizado con Dropbox, por lo que todos los equipos cuentan con la aplicación y el
usuario. En el momento de llevar a cabo trabajos como reemplazar publicaciones o eliminar datos
en el cliente, se hace una copia del archivo o de las bases de datos antes de esto, en caso de que
suceda un problema inesperado.
6. ¿Cuenta con un usuario único para llevar a cabo las actividades de la empresa?
Cada uno de los empleados cuenta con un usuario para los sistemas principales en el
momento de trabajar, entre los cuales se tiene el CRM interno, el correo electrónico, la cuenta de
GitHub y el usuario de base de datos de desarrollo y de producción. Sin embargo, para ingresar al
servidor se tienen usuarios genéricos por sector de la empresa, divididos en administrador, servicio
al cliente, consultoría, inteligencia de negocios, desarrollo 1 y desarrollo 2, se especifica quiénes
entran con cada usuario y las credenciales las posee solo el gerente de operaciones y no se
comparten.
7. ¿Tiene un antivirus instalado en la laptop? En caso de responder sí ¿con qué frecuencia
realiza actualizaciones?
69
Al menos la mitad de los entrevistados dijeron que tienen un antivirus instalado, el cual es
el conocido como ESET, con sus licencias y mantenían las actualizaciones de forma automática,
sin embargo, el resto de los entrevistados no contaban con un antivirus, solamente con el Windows
Defender activado. Hubo una excepción en la que el entrevistado no usaba ESET, pero utilizaba
otro antivirus que él mismo descargó. Esto sucede porque no se tiene indicado si los equipos deben
poseer un antivirus en específico, las licencias de ESET se colocaron hace dos años a ciertos
equipos y los que se adquirieron después de esto solo presentan la protección de Windows
Defender.
8. ¿Existe alguna normativa dentro de la empresa con respecto a la distribución de código
fuente?
Todos los entrevistados expresaron del conocimiento sobre la no distribución del código
fuente a clientes a menos que se haya realizado un contrato explícito para la compra de este. En los
contratos de los empleados se especifica se presenta un apartado sobre la no distribución del código
fuente. Sin embargo, en el momento de especificar dónde se puede trabajar la programación no
hace referencia a un dispositivo, solamente se tiene la regla en la cual todos los empleados que
desarrollen deben subirlo a GitHub o a Dropbox para que, en caso de pérdida de la computadora,
se pueda acceder en otro dispositivo.
9. ¿El contrato que usted ha firmado con Produsoft para llevar a cabo los servicios cuenta
con un apartado sobre la confidencialidad?
Un tercio de los entrevistados desconocía sobre la existencia de apartados sobre esto porque
había firmado el contrato tiempo atrás y no recordaba las especificaciones. Sin embargo,
destacaban que en Produsoft se hace énfasis, en las reuniones de la empresa, en que se debe
70
mantener la confidencialidad de los datos, tanto de la compañía como de los clientes.
10. ¿Se aplican contratos de confidencialidad con los clientes?
Todos respondieron que efectivamente se aplica un contrato de confidencialidad con los
clientes, pero que desconocían que decía el contrato, ya que ellos no tienen acceso al mismo. Sin
embargo, señalan que a los clientes de antigüedad se les ha pedido solo una vez, en el momento de
empezar los servicios, y no se actualiza con el tiempo y a los clientes nuevos sí se les envía el
contrato para la prestación de los servicios. A los contratos tiene acceso la Gerencia, ya que se
encarga de almacenarlo y en ventas se tiene conocimiento de este porque en el momento de llevar
a cabo una propuesta con los servicios a un cliente nuevo se debe presentar un contrato de
confidencialidad, después de esto solo bajo supervisión de la Gerencia.
Se puede observar que los empleados cuentan con poco conocimiento sobre las reglas que
se aplican en Produsoft por el hecho de que no se documentan. Aunque se encuentran informados
con respecto a ciertos estándares de seguridad que se deben aplicar para asegurar la información,
no se aplican porque no existe una normativa donde se especifiquen los lineamientos. Por esto, es
importante llevar a cabo las políticas de seguridad informática, así como organizar una reunión con
los empleados para conversar sobre lo que esto implica y por qué se debe aplicar.
71
Capítulo V. Propuesta
5.1. Analizar la situación actual en el ámbito de seguridad informática, mediante el análisis
de propuestas teóricas, el entorno tecnológico y empresarial y la estructura tecnológica de
la empresa
5.1.1. Contexto de la organización
Produsoft es una organización que cuenta con doce empleados; el CEO de la empresa, el
señor Jhonny Leandro Pérez, desempeña su cargo en la organización desde sus inicios, pues es su
fundador. La empresa se divide en tres áreas, la administrativa, consultoría y desarrollo de software,
el resto del personal se encuentra distribuido en las áreas en las que se contrataron. En la
organización se poseen reglas generales de seguridad informática, las cuales buscan la protección
de los equipos de la empresa, así como la seguridad de la información y la confidencialidad de
parte de los empleados.
Entre las reglas de seguridad informática de la empresa se define que las contraseñas de
seguridad de los dispositivos y de los sistemas no pueden ser compartidas entre los empleados.
Además, se encuentra una base de datos donde colocan todos los sistemas, tanto de uso interno
como de demostraciones a clientes y se encuentra otra instancia de base de datos donde se aloja la
información de Softland, los accesos se hacen por autentificación de Windows para cada usuario
del servidor, o bien de forma remota, con un usuario que se asigna según el área, los cuales son los
mismos que el acceso del servidor, pero con contraseñas diferentes.
En el momento de acceder a los servidores se cuenta con siete diferentes usuarios por
control remoto, los cuales tienen contraseñas diferentes y se determinan para un grupo de
72
empleados dentro de la empresa. El acceso a todos los usuarios y contraseñas lo posee el empleado
que desempeña el puesto de gerente de operaciones. Los usuarios de control remoto para acceso al
servidor son:
1. Administrador: tiene acceso a todas las instancias de base de datos, la aplicación de
Softland, la aplicación de Power BI, los sistemas publicados y las carpetas de todos los
usuarios. Este acceso corresponde al gerente de la empresa.
2. Servicio Cliente: tiene acceso a la aplicación de Softland y la instancia de base de datos
donde se encuentra la información de esta. Tiene acceso a este usuario el empleado que
desempeña el cargo de servicio al cliente.
3. BI: tiene acceso a la instancia de base de datos de desarrollo y la aplicación de Power
BI. Tiene acceso a este usuario el colaborador que desempeña el cargo de encargado de
los desarrollos de Power BI.
4. Consultoría: tiene acceso a la instancia de base de datos de desarrollo y la aplicación de
Softland. Tienen acceso a este usuario los empleados que laboran en el Área de
Consultoría.
5. Desarrollo (Desarrollo 2 y Desarrollo 3): tiene acceso a la instancia de base de datos de
desarrollo y los sistemas publicados. Tienen acceso a este usuario dos empleados que
laboran en el Área de Desarrollo de Software. Existen los usuarios Desarrollo 2 y
Desarrollo 3 que cumplen con las mismas descripciones, pero se asignan a otros dos
desarrolladores.
En el momento de contratar un nuevo recurso se presenta un contrato que se debe firmar
para que se constate el acuerdo entre Produsoft y la persona por contratar. En el mismo documento,
73
el cual lleva de nombre Contrato de Alianza Produsoft, se establecen normas por cumplir,
principalmente la entrega de una laptop al empleado, el cual tendrá contraseña y otros tipos de
métodos de acceso como huella o reconocimiento facial. Además, no se podrá dejar el equipo en
descuido en áreas de clientes y debe ser responsable por lo que le suceda a laptop. Asimismo, se
establece que los sistemas por trabajar y los documentos de trabajo se colocarán en la nube, en caso
de archivos, deberán estar subidos al Dropbox y en caso de los sistemas, deben estar cargados a un
repositorio de GitHub. El contrato de alianza no puede divulgarse por confidencialidad, sin
embargo, se obtuvo el permiso para mostrar un apartado:
Ilustración 29 Apartado 21 de Contrato de Alianza

Fuente: Produsoft.
El contrato de confidencialidad se proporciona a la hora de que el cliente adquiere los
servicios, se colocan los datos, tanto del representante legal de Produsoft como del representante
de la empresa adquiere los servicios. Además, se especifican normas de información, que esta no
puede ser compartida por ninguna de las partes y que se vela por la seguridad de los datos. Por
temas de confidencialidad no se permitió compartir el documento completo llamado Acuerdo
General de Confidencialidad Produsoft S. A., sin embargo, se obtuvo permiso para presentar un
extracto con el aviso de confidencialidad. Se destaca que no se puede divulgar la información que
74
se encuentra en el documento y que el incumplimiento de este puede tener como consecuencia
asuntos legales:
Ilustración 30 Índice de Acuerdo General de Confidencialidad

Fuente: Produsoft.
5.1.2. Partes interesadas
Al llevar a cabo las políticas de seguridad de la empresa se debe estudiar las personas y
organizaciones que se ven involucradas en el manejo de estos procesos, ya que llevar a cabo un
cambio de reglas en la empresa afecta, ya sea de forma directa o indirecta, a los otros entes. A estos
se le llama partes interesadas, las cuales son de suma importancia en el momento de establecer las
reglas. Entre las partes interesadas y sus razones están:
• Socios: estos se ven involucrados pues son los dueños de la compañía y velan porque
preste los servicios buscando el mayor retorno con respecto a las inversiones que se
hacen. Además, es importante que la información de la empresa se mantenga
resguardada ante cualquier tipo de incidente para que así se puedan ofrecer los servicios
75
con un rendimiento positivo.
• Empleados: se ven involucrados porque prestan los servicios de la empresa y velan por
la continuidad en el negocio.
• Clientes: reciben los servicios prestados por parte de la empresa para una mejora en una
actividad interna, por lo que se busca que el trabajo que se les entrega tenga la mejor
calidad posible. Esto incluye la seguridad de los datos, tanto en el sistema como en el
manejo de información o la conexión a los servidores, ya que suelen ser confidenciales.
• Usuarios finales: usan las soluciones que se le brindan al cliente, ya sea un sistema
desarrollado para un proceso en específico, o bien consultoría sobre el sistema de
Softland, los cuales deben mantener protección de los datos que se manejan.
• Proveedores: deben cumplir con las políticas de seguridad que se definan para prestar
los servicios, así como con lo que se especifica en los acuerdos de confidencialidad.
5.2. Determinar las áreas que abarcarán las políticas de seguridad informática, mediante el
estudio de las necesidades de la empresa, en conjunto con el estándar de seguridad ISO
27001, para que se determinen los procedimientos de los diferentes procesos de la empresa
Con base en el análisis que se llevó a cabo en la empresa, se determinó que los procesos
principales son la consultoría de Softland, el desarrollo de software, la implementación de Power
BI y llevar a cabo cotizaciones para ofrecer estos servicios. Tomando esto en cuenta se realizarán
las políticas para adaptarse a la necesidad identificada de proteger estos procesos, así como los
activos de información identificados en la empresa. Las reglas previas se estudiaron y se adaptarán
a las políticas de seguridad informática, con base en el estándar ISO 27001, por medio de la
unificación en un solo documento.

76
La normativa ISO 27001 cuenta con documentos y registros en los que se lleva un control
de cada área. Por limitantes de tiempo y desarrollo de la empresa no se abarcarán todas, a
continuación, se presentan las áreas del documento de políticas de seguridad informática para
Produsoft, se indican los apartados correspondientes según el documento INE/ISO/IEC
27001:2014.
1. Procedimiento para control de documentos: es necesario mantener documentación de
los procedimientos de la empresa, porque de esta forma se tiene un lineamiento de
trabajo para cada área, así se gestionan, a la vez, documentos de requerimientos,
contratos o políticas de la empresa. Se encuentra en el apartado 7.5 del documento
INE/ISO/IEC 27001:2014.
2. Política sobre dispositivos móviles y teletrabajo: las actividades de la empresa se hacen
principalmente de forma remota (teletrabajo), por lo tanto, se debe tener un control de
estas labores y del uso de los dispositivos móviles, ya sean proporcionados por la
empresa o que se utilizan de forma personal pero con cuentas de la empresa. Se
encuentra en los apartados A.6.2.1 y A.6.2.2 del documento INE/ISO/IEC 27001:2014.
3. Política de clasificación de la información: la empresa maneja información con
diferentes tipos de nivel de importancia, la cual debe clasificarse según los tipos de
documentos y los niveles de protección en los cuales se divide. Se encuentra en los
apartados A.8.2.1, A.8.2.2 y A.8.2.3 del documento INE/ISO/IEC 27001:2014.
4. Política de claves: es importante que los equipos y usuarios que se utilizan en las labores
de la empresa se encuentren resguardados, por esto, se procede a definir las normas de
claves. Se encuentra en el apartado A.9.4.3 del documento INE/ISO/IEC 27001:2014.

77
5. Política de eliminación y destrucción: los datos se deben eliminar con mucho cuidado,
ya sea en el momento de llevar a cabo un proceso dentro de la empresa o con un cliente,
por esto, se debe determinar reglas para esto. Se encuentra en los apartados A.8.3.2 y
A.11.2.7 del documento INE/ISO/IEC 27001:2014.
6. Política de pantalla y escritorio limpio: es importante que la pantalla de inicio de las
computadoras usadas por los empleados se mantenga con un orden y no se encuentre
llena de archivos, sobre todo, si se trata de archivos con información de un nivel de
importancia alto. Se encuentra en el apartado A.11.2.9 del documento INE/ISO/IEC
27001:2014.
7. Política de creación de copias de seguridad: los respaldos de la información son
importantes porque nos aseguran de que, en caso de algún problema con algún archivo,
un software que se está desarrollando o una base de datos, tenemos una copia funcional
para seguir las actividades. Se encuentra en el apartado A.12.3.1 del documento
INE/ISO/IEC 27001:2014.
8. Alcance del SGSI: en el sistema de gestión de la seguridad de la información deben
estar definidos los límites de hasta donde se aplicarán las medidas para cubrir las
necesidades de la empresa al asegurar la información. Se encuentra en el apartado 4.3
del documento INE/ISO/IEC 27001:2014.
9. Definición de funciones y responsabilidades de seguridad: es necesario que los
empleados conozcan antes de la contratación los términos y condiciones del puesto, así
como las definiciones que deben cumplir. Se encuentra en los apartados A.7.1.2 y
A.13.2.4 del documento INE/ISO/IEC 27001:2014.

78
10. Inventario de activos: es importante identificar los activos que se tienen en la empresa
y llevar un registro de la persona responsable de cada uno, así se tiene definido quien
debe estar a cargo de tales activos y en caso de algún problema se busca al responsable.
Se encuentra en el apartado A.8.1.1 del documento INE/ISO/IEC 27001:2014.
11. Política de control de acceso: en los sistemas desarrollados por la empresa, así como en
los de terceros usados para manejo interno, se debe tener un control de acceso y deben
existir campos de auditoría que lleven un registro de quien llevó a cabo cierta actividad.
Se encuentra en el apartado A.9.1.1 del documento INE/ISO/IEC 27001:2014.
12. Procedimientos de operación documentados: los procedimientos que se relacionan con
el mantenimiento del Área de TI se deben mantener documentados y al acceso de
cualquier colaborador para su revisión, ya sea en caso de consulta o por ser responsable
de realizarlas. Se encuentra en el apartado A.12.1.1 del documento INE/ISO/IEC
27001:2014.
13. Procedimiento para gestión de incidentes: es importante que se tenga un plan de
respuesta ante algún incidente que corresponda a la seguridad de la información en la
empresa con respecto a los procesos que se hacen. Se encuentra en el apartado A.16.1.5
del documento INE/ISO/IEC 27001:2014.
14. Requisitos legales, normativos y contractuales: las leyes cumplen un papel importante
en el momento de procesos legales, por esto, se debe respetar la legislación del país en
todas las normas y contratos que se tienen dentro de la empresa. Se encuentra en el
apartado A.18.1.1 del documento INE/ISO/IEC 27001:2014.
15. Registros de capacitación, habilidades, experiencia y calificaciones: en el momento de

79
contratar a un nuevo empleado se deben especificar los requisitos que debe cumplir para
el puesto, tomando en cuenta información relevante para el desempeño como la
educación, el recorrido que ha tenido, entre otros. Se encuentra en el apartado 7.2 del
documento INE/ISO/IEC 27001:2014.
16. Uso aceptable de los activos: el uso de un activo, ya sea para completar un proceso o
por una actividad aislada, se debe llevar a cabo bajo ciertas reglas. Se encuentra en el
apartado A.8.1.3 del documento INE/ISO/IEC 27001:2014.
El documento de las políticas de seguridad informática se verá compuesto de las dieciséis
áreas mencionadas previamente, de las cuales la llamada Alcance del SGSI será presentará como
el alcance. Lo anterior se debe a que, con el análisis de la situación actual de la empresa, se
determinó que al no tener un documento con las políticas definidas, abarcar estas áreas cumple con
la necesidad que presenta la empresa y encaminan la seguridad informática para Produsoft.
5.3. Generar un documento con las políticas de seguridad establecidas en la empresa, así
como las reglas formales de la empresa, mediante la relación de los requerimientos de
seguridad con el estándar ISO 27001
Las políticas de seguridad informática de la empresa deben velar por que se mantengan
protegidos los datos de los empleados y de los clientes. Para definirlas se debe analizar la situación
actual que se presenta en cuanto a la seguridad informática en los procesos que se hacen, con esto
se determinaron las áreas que se quieren abarcar en la empresa tomando en cuenta los apartados de
la normativa ISO 27001. Una vez realizadas estas actividades se lleva a cabo el documento formal
Políticas de Seguridad Informática que incluye las reglas que se deben cumplir en Produsoft. A
continuación se presenta el documento, en el que se desarrollan las áreas definidas en el objetivo

80
específico anterior.
Documento: Políticas de seguridad informática

Versión: 1
Compañía: Produsoft S. A.
Autor: Roberth N. Barazarte M.
Fecha: Agosto del 2020
Referencia: INTE/ISO/IEC 27001:2014
Aprobado por: Jhonny Leandro Pérez
81
a go s t o - 2 0 2 0
Políticas de Seguridad Informática
Ing. Roberth N. Barazarte M.
Costa Rica, San José

82
Índice
Índice ..............................................................................................................................................82
Alcance de las políticas de seguridad informática .........................................................................84
Políticas de seguridad informática..................................................................................................89
Procedimiento para control de documentos...............................................................................89
Política sobre dispositivos móviles y teletrabajo .......................................................................91
Política de clasificación de la información ................................................................................92
Política de claves .......................................................................................................................93
Política de eliminación y destrucción ........................................................................................94
Política de pantalla y escritorio limpio ......................................................................................95
Política de creación de copias de seguridad ..............................................................................96
Definición de funciones y responsabilidades de seguridad .......................................................97
Inventario de activos................................................................................................................100
Política de control de acceso....................................................................................................100
Procedimientos de operación documentados...........................................................................103
Procedimiento para gestión de incidentes................................................................................104
Requisitos legales, normativos y contractuales .......................................................................106

83
Registros de capacitación habilidades, experiencia y calificaciones .......................................107
Uso aceptable de los activos ....................................................................................................108

84
Alcance de las políticas de seguridad informática
El presente alcance se relaciona con el apartado 4.3 de la normativa ISO 27001 en el que se
debe determinar el alcance del sistema de gestión de seguridad de la información, por lo que se
tomará en cuenta lo siguiente:
Activos de información de la empresa:
1. Dispositivos: son todos aquellos que son propiedad de la empresa y usan los empleados
para el desarrollo de sus labores, entre estos están las computadoras portátiles, teléfonos,
pendrives, entre otros.
2. Servidor: el servidor posee las publicaciones de los sistemas, la página web y las bases
de datos de la empresa, este se encuentra en la nube y se accede mediante usuarios en
la aplicación de escritorio remoto.
3. Datos digitales: es de los activos más importantes porque posee información de las
operaciones que realiza la empresa entre las cuales están los datos de Softland y de
sistemas o procesos internos.
4. Sistemas: implica a todas aquellas herramientas desarrolladas por la empresa que se
usan para llevar a cabo procesos internos por cada empleado, entre estos está el CRM
interno y la página web.
5. Licencias: son todos los permisos para utilizar programas que pertenecen a otra empresa
y se adquieren por un periodo en específico, entre estos está Softland, Dropbox, Visual
Studio, Power BI y Office 365.
Sistemas de flujo de datos:

85
• Cotizaciones: las propuestas que son aprobadas o rechazadas por el cliente pasan por
un proceso previo, en este se debe hacer un análisis de requerimientos. Se lleva a cabo
un borrador en Microsoft Excel con los precios para la aprobación del gerente, de no
aprobarse se edita el archivo con los trabajos, en caso de aprobarse se lleva a cabo una
edición de los trabajos y se carga al sistema de CRM que se utiliza para enviar la
propuesta al cliente y llevar a cabo las negociaciones. Posteriormente, se identifica si el
cliente está interesado en la propuesta, en caso de que la respuesta sea no se finaliza el
trabajo, en caso de que sea sí se confirma con el cliente si se quiere hacer una edición.
Si quiere cambios se regresa al paso de edición en el CRM, si no los quiere se solicita
la orden de compra. La siguiente imagen es un diagrama de flujo en el que se observa
el proceso.
86
Ilustración 31 Proceso de cotización
• Desarrollo de sistemas: para programar las funcionalidades necesarias se debe llevar a
cabo primero el análisis de requerimientos para este sistema. Una vez listo se hace el
diseño de la base de datos para pasar a la aprobación, en caso de no aprobarse se edita
y se vuelve a presentar. Una vez aprobada se completa el diseño de la interfaz del
sistema, de no aprobarse se cambian las partes que no cumplían. Una vez aprobada se
procede con la programación hasta que se acepte la funcionalidad, se publica y se
solicita la firma del entregable.

87
Ilustración 32 Proceso de desarrollo de sistema
• Consultoría: en el momento de prestar estos servicios se debe empezar por llevar a cabo
un análisis de requerimientos de los trabajos para diseñar el plan de trabajo. Este plan
necesita aprobación del gerente, si no se aprueba se sigue diseñando con los cambios
especificados. Una vez que se tiene la aprobación se procede con los trabajos de
consultoría para la aprobación por parte del cliente, en caso de no aprobarse porque no
cumple con los requerimientos se hacen los cambios hasta que se apruebe para llevar a
cabo la firma del entregable y finalizar el proceso.

88
Ilustración 33 Proceso de consultoría
• Implementación de BI: para llevar a cabo la implementación BI en un cliente se debe
hacer el análisis de requerimientos para proceder con el diseño de la base de datos. Para
continuar, se necesita primero la aprobación del gerente, en caso de no tenerla se hacen
los cambios en el diseño de base de datos hasta que se apruebe, una vez que se tiene la
aprobación se procede a programar el BI y posteriormente se hace la publicación para
presentar el proyecto al cliente. Después de la presentación se identifica si se deben
llevar a cabo cambios con respecto al análisis de requerimientos inicial, si la respuesta
es sí, se regresa a la actividad de programación, en caso de no necesitarse cambios, se
lleva a cabo la entrega del proyecto. Finalmente, se procede a firmar los entregables
para terminar el proceso.

89
Ilustración 34 Proceso de implementación de BI
El incumplimiento de alguno de estos apartados conllevará a una amonestación para el
empleado. La Gerencia debe determinar qué acción tomar, tomando en cuenta la repetición de los
incumplimientos y su gravedad y puede actuar de forma legal en caso de que sea necesario.
Políticas de seguridad informática
Procedimiento para control de documentos
Los documentos de la empresa deben encontrarse definidos por áreas de trabajo, tomando
en cuenta el apartado 3 del presente documento. La creación, edición y eliminación de un
documento debe pasar por una solicitud, por medio de correo electrónico, de una reunión con la
Gerencia. En el correo se debe mencionar el tema por tratar y una breve explicación de lo que
90
sucede, una vez hecho esto se lleva a cabo la reunión coordinada con un mínimo de 2 días de
antelación y un máximo de 3 semanas, en esta, el empleado que llevó a cabo la solicitud, procede
a explicar la necesidad de la creación, edición o eliminación el documento. Además, puede estar
apoyado por el jefe del área correspondiente. Una vez finalizada la presentación, que debe ser de
un máximo de 20 minutos, la Gerencia considera la propuesta presentada y tendrá hasta 2 semanas
para responder sobre el asunto del documento, en caso de dudas la Gerencia puede convocar otra
reunión hasta un máximo de 3 veces.
Para las reuniones se necesita dar un nombre al documento que va a tratarse, en caso de que
ya exista se utilizará el que posee, además, se debe enviar una descripción de por qué se quiere
llevar a cabo la creación, edición o eliminación del documento. A continuación, se especifican las
consideraciones por tomar en cuenta en el momento:
• Creación: especificar la necesidad de la creación del documento, así como los aportes
que traerá, en qué procesos se ve involucrado y la frecuencia con la cual se utilizará.
• Edición: especificar la necesidad de la modificación del documento, por qué se debe
cambiar el área, especificando si se llevará a cabo un cambio dentro del documento. En
caso de que se quiera eliminar una sección se considera como eliminación de documento
y se deben seguir estos lineamientos, en caso de querer agregar una nueva sección será
considerado como creación de documento. Además, se considera edición si se quieren
hacer cambios en secciones existentes.
• Eliminación: especificar la necesidad de la eliminación del documento, en qué beneficia
a la empresa y cómo se llevará a cabo la función que presentaba el documento. Para la
eliminación se debe tomar en cuenta el apartado número 5 del presente documento, sin
91
embargo, los documentos creados debido a esto son documentación que debe
mantenerse como historial por un tiempo mínimo de 5 años.
Política sobre dispositivos móviles y teletrabajo
Las computadoras y laptops que son de propiedad de la empresa deben tener el nombre de
PRODUSOFT seguido de un guion y un número único (que no se repita con otras computadoras)
que identifique el equipo, como -000001 para que así en conjunto lleve el nombre de
PRODUSOFT-000001. El conjunto de números final aumentará hasta llegar al número 999999. En
caso de superar la cantidad de equipos se debe aplicar un nuevo ordenamiento para los nuevos
equipos, respetando esta clasificación para los registrados.
Las computadoras y laptops que se usan para teletrabajo deben encontrarse conectados a
una red con seguridad WPA-2 y se prohíbe el acceso a redes que se encuentran abiertas y sin
protección de contraseñas. Además, se debe hacer una revisión mensual de las redes a las que se
han conectado.
Los dispositivos móviles que son propiedad de la empresa deben contar con la cuenta de
correo correspondiente al empleado que se asignó como responsable del dispositivo, desde este se
prohíbe utilizar aplicaciones de redes sociales de uso personal. Solo se permite el uso si están
relacionadas con cuentas de Produsoft, además, se prohíbe llevar a cabo llamadas y envío de
mensajes de texto de índole personal, a menos que sea una emergencia.
Los dispositivos móviles de uso personal podrán contar con el correo de la empresa en la
aplicación de Outlook o Gmail, sin embargo, no se podrán responder los correos de los clientes
desde el dispositivo, ya que en las aplicaciones no se puede colocar el estilo de fuente que utiliza
la empresa. Se debe llevar a cabo una revisión aleatoria de los correos que se envían cada dos meses
92
para cada empleado.
Política de clasificación de la información
La información se clasificará en cuatro tipos, tomando en cuenta la prioridad, las cuales
son:
• Información pública: tienen acceso cualquier persona, forme parte o no de la empresa.
• Información interna: tienen acceso todos los empleados de la empresa.
• Información restringida: tienen acceso los directores de las áreas y empleados
específicos.
• Información confidencial: tiene acceso únicamente la Gerencia.
La información que se genere debe identificarse con una etiqueta, las cuales serán:
• Documentos físicos: todos aquellos documentos que se encuentran de forma física serán
guardados en una carpeta con respecto al tipo de proceso al que forma parte y el año en
el cual fue generado el documento. Es decir, si es una orden de compra de 2020, se
colocará en una carpeta con el nombre Órdenes de compra-año 2020.
• Documentos digitales: todos aquellos documentos que se encuentran de forma digital y
que sean de la empresa se almacenarán en una carpeta llamada Produsoft, dentro de la
cual se encontrarán otras carpetas con el año en el que se generaron los documentos y
dentro de esta estarán otras correspondientes al proceso del que forman parte. En caso
de documentos de clientes se encontrarán en una carpeta con su nombre, entre estas se
encontrará una carpeta con el año en el que se generó el documento y dentro de esta
carpeta que especifican el proceso al cual pertenece el documento. Es decir, si es un

93
documento del cliente Distribuidora ABC de orden de compra en 2020, se encontrará
dentro de la carpeta Órdenes de compra que se encontrará dentro de otra carpeta llamada
2020 que se colocará en una carpeta de nombre Órdenes de compra. Los nombres de
los archivos dependerán de la generación, en las cuales están:
o Proveniente de Softland: los documentos digitales que provengan de Softland se
mantendrán con los consecutivos generados por el mismo programa.
o Proveniente de un sistema interno: los sistemas internos deben generar documentos
digitales con nombre del proceso seguido de un consecutivo único para ese tipo de
documento, por ejemplo, en caso de ser una propuesta debe llamarse Propuesta
000001 y que vaya incrementando con respecto a que se generan los documentos.
Política de claves
Las contraseñas deben ser seguras, es decir, contar con una longitud mínima de ocho
caracteres y con al menos una letra mayúscula, una letra minúscula, un número y un caracter
especial. Las contraseñas de los equipos y cuentas relacionadas con las labores de Produsoft no
pueden ser iguales y deben cambiarse cada tres meses, al cambiarse no puede ser igual a ninguna
de las últimas tres contraseñas utilizadas en esa cuenta o dispositivo.
Produsoft se encargará de proveer las contraseñas cuando ingresa un nuevo empleado, las
mismas deben cambiarse el mismo día por el empleado y debe cumplir con todas las
especificaciones presentes. En caso de que los equipos de la empresa cuenten con los factores de
reconocimiento facial y de huella dactilar, serán acompañados de una clave de 4 dígitos que no
pueden ser secuencias de números iguales, números ascendentes o números descendentes, por
ejemplo, 1234, 4321 y 0000. En caso de no contar con estas opciones se debe implantar una
94
contraseña segura.
Las contraseñas de cada usuario no pueden ser compartidas en ninguna circunstancia a otros
empleados, este será responsable de la confidencialidad de sus contraseñas. Los equipos deben
mantenerse bloqueados en caso de que no se encuentren en uso, si por alguna razón se debe retirar
del lugar en donde se encuentra la computadora o laptop, este debe bloquearse.
Las contraseñas no se deben escribir sobre una hoja de papel a la mano en el área de trabajo
ni se debe guardar la información de otra forma, a menos que sea de una manera segura, como una
aplicación especializada para el manejo de contraseñas. Las contraseñas no pueden guardarse en
las preferencias del navegador o ningún tipo de almacenamiento local, solo se puede seleccionar la
opción de recordar las credenciales en sistemas internos.
Política de eliminación y destrucción
Para la eliminación de equipos físicos se debe hacer un respaldo de la información del
equipo, una vez finalizado se revisa para determinar si debe eliminarse. Además, se debe identificar
cuál equipo es, cómo se realiza, por qué se hace y el responsable de la eliminación. Todo esto por
medio de un documento escrito y firmado por un integrante de la Gerencia.
Los archivos con información de la empresa o de un cliente que se desea eliminar debe ser
autorizado previamente por parte de la Gerencia. En caso de que sea un elemento de trabajo como
un archivo creado por el mismo empleado para uso en procesos para el servicio que se está
prestando puede eliminarse sin necesidad de aprobación. La información que se mantiene en
servidores o computadoras de los clientes no puede eliminarse, a excepción de que la información
sea parte del servicio que se presta y no sea necesaria para el objetivo final para así no cargar de
documentos innecesarios a los equipos de los clientes.

95
Política de pantalla y escritorio limpio
Las pantallas de las computadoras, las laptops, los servidores y los dispositivos móviles que
son de propiedad de Produsoft deben contar con los fondos de pantalla de la empresa, estos son
proporcionados por la Gerencia y se deben mantener en la carpeta de imágenes con el nombre de
Produsoft, en caso de los dispositivos móviles deben contener una carpeta con el mismo nombre
de las imágenes. Al entregar los equipos de trabajo se deben incluir las imágenes de fondo de
pantalla.
Las imágenes que aplican para fondos de pantalla para Produsoft deben ser de tecnología o
con temáticas del trabajo, debe incluir el logo de la empresa, ya sea en color o en tonos de blanco
y negro, según los colores de la imagen. Además, pueden incluir frases motivacionales y no deben
estar relacionadas con política.
El escritorio debe mantenerse con un máximo de ocho aplicaciones, no se puede guardar en
este ningún tipo de archivo como Microsoft Word, Excel, PowerPoint o script de programación.
La barra inferior puede contar con hasta diez aplicaciones fijadas, entre las que debe encontrarse
por defecto el explorador de archivos y la búsqueda en el equipo, se permite mantener la aplicación
de Sticky Notes abierta. Entre el escritorio y la barra inferior puede haber un máximo de 18
aplicaciones, entre las que se deben encontrar:
• AnyDesk.
• Dropbox.
• ESET Security.
• Explorador de archivos.
96
• Firefox.
• GitHub Desktop.
• Google Chrome.
• Microsoft Teams.
• OneNote.
• Outlook.
• Papelera de reciclaje.
• Power BI
• Signum One.
• Skype.
• Softland.
• SQL Server Management.
• Sticky Notes.
• Visual Studio.
Política de creación de copias de seguridad
Las computadoras o laptops que utilicen los empleados deben tener instalada y sincronizada
la aplicación de Dropbox. Se tendrá una carpeta con el acrónimo utilizado para cada empleado y la
palabra clientes, es decir, si se debe crear una carpeta para Pedro Pérez, se crea una carpeta de
nombre PPerez Clientes (los acrónimos varían con respecto al nombre del empleado y la
97
disponibilidad que tenga, de preferencia se llevará a cabo con la primera letra del primer nombre
seguido del primer apellido). Dentro de la carpeta se encontrará una carpeta por cliente del
empleado, en caso de tener proyectos o archivos internos se colocan en una carpeta con el nombre
de Produsoft, todos los archivos se manejarán en estas carpetas que deben encontrarse siempre en
sincronización.
Las bases de datos que se crean o son de manejo de Produsoft deben mantener un respaldo
de seguridad completo diario. En caso de bases de datos de mayor importancia deben mantenerse
en conjunto con siete respaldos que corresponden a cada día de la semana a las 11 p. m. de Costa
Rica. En caso de ser un cliente se debe mantener tanto el respaldo diario como el de cada día de la
semana y debe almacenarse en la carpeta de respaldos de SQL Server, los tipos de respaldos y su
localización pueden variar con respecto a preferencias del cliente.
Los sistemas de desarrollo se deben mantener en la cuenta de GitHub, las cuales deben
crearse únicamente con el correo de Produsoft, donde se colocarán todos los desarrollos que se
realicen, con su respectivo nombre. Una vez finalizado un sistema se lleva a cabo un archivo .zip
de este y se guarda en el Dropbox del cliente dentro de la carpeta del empleado.
Las republicaciones de los sistemas en un cliente representan eliminar la última versión
publicada, por esto, debe guardarse como archivo .zip esta última versión del sistema en la carpeta
de Dropbox, en conjunto con la descripción de que es la última versión (en caso de que ya exista
una se sobrescribe). Después se publican los nuevos cambios del sistema manteniendo una copia
de la versión anterior publicada.
Definición de funciones y responsabilidades de seguridad
La contratación de un nuevo empleado se debe llevar a cabo con la firma de un contrato

98
previo entre el empleador y el trabajador, en este se establecen las actividades del trabajador y el
compromiso del empleador de llevar a cabo el pago por su cumplimiento. El contrato debe
establecer lo siguiente:
• La información del empleado, del empleador y de la empresa. Se define la relación del
empleado con la empresa, en la que el empleador es el responsable del contrato en ese
momento. La información que se debe incluir es el nombre completo, edad, estado civil,
profesión, identificación y dirección de ambas personas, en conjunto con el nombre y
la cédula jurídica de la empresa.
• Los servicios que prestará el empleado que se contratará.
• El salario que se le pagará al empleado, las variantes de las comisiones, las fechas y la
forma en la que se harán los pagos.
• Definición del uso de las marcas registradas que son parte de la empresa o se tengan las
licencias. Además, se debe hacer un uso responsable con respecto a los contratos
establecidos con las marcas.
• Se debe velar por la protección del material confidencial interno. La información
categorizada como interna, restringida o confidencial no puede publicarse, compartirse
o revelarse, esto incluye el uso restringido de las licencias de programas.
• Se debe proteger la información de los clientes, por lo que no se puede publicar,
compartir o revelar ningún tipo de información con la que cuente Produsoft o que se
utilice para procesos en un sistema o servicio de consultoría, incluyendo los de conexión
a su red.
99
• Firmas de empleado y empleador con la fecha, esto define que se reconoce y se entiende
lo establecido en el contrato.
La prestación de servicios a los clientes debe estar respaldada por un contrato en el cual se
vela por el cumplimiento de las reglas de confidencialidad, este se divide en los siguientes
apartados:
• Identificación del cliente: se establece el nombre del cliente, la cédula jurídica,
dirección, país donde se encuentran las instalaciones, nombre del representante legal y
cédula de identidad del representante legal.
• Definiciones: se establecen las definiciones que se le dan a ciertas palabras en el
contrato para una mejor comprensión.
• Propiedad intelectual: se establece que el cliente debe reconocer la propiedad intelectual
por parte de Produsoft de todos los sistemas, o bien la programación, por lo que no se
puede compartir, independientemente del área en la que se llevó a cabo la labor, a menos
que sea por adquisición explicita del código.
• Condiciones específicas.
o Acuerdo de confidencialidad: se establecen todos los puntos de la no divulgación de
datos, ya sea productos y documentación de Produsoft, o bien datos del cliente.
o Notificaciones: se establecen las personas que se comunicarán entre Produsoft y el
cliente en el momento de tener una notificación con respecto al contrato actual.
o Validez: se establece la conformidad del contrato conforme a lo establecido
previamente y a la ley aplicable.

100
• Firmas del acuerdo: se establecen las firmas del representante por parte de Produsoft,
así como el representante del cliente.
Inventario de activos
Los activos de la empresa serán registrados en un inventario. En este se debe establecer el
código interno del activo, la descripción, el responsable, la fecha en la cual se llevó a cabo la entrega
y el empleado que se encargó de la entrega. Los activos nuevos de la empresa deben registrarse
una que se adquieran, en caso de que todavía tengan un responsable, se asignarán al encargado del
llevar los registros. Los activos que se desligarán de Produsoft, ya sea su eliminación o traspaso,
deben cumplir con las políticas de eliminación y destrucción antes de esto.
El registro del inventario debe llevarse a cabo por parte de un ocupante de la Gerencia o el
encargado de seguridad en Produsoft. Se registran todos los activos en el sistema, la información
en el registro será considerada como restringida, por lo tanto, solo tendrán acceso los directores de
las áreas y empleados específicos. El sistema de registro debe poseer campos de auditoría por cada
tabla implicada, en esta se guarda el usuario o nombre de la persona que hace el cambio en
cualquiera de los campos a la tabla, con la fecha y hora del momento de este. El empleado que sea
responsable del activo deberá velar por el cuidado, ya sea un activo de información, o bien un
activo físico como un dispositivo.
Política de control de acceso
La información referente al uso de los sistemas internos, como las cuentas y las contraseñas
de cada empleado será gestionada por el gerente de Operaciones. Este último se hará cargo de
hacerle llegar la información al empleado, ya sea por un nuevo ingreso o porque se tuvo que llevar
a cabo un cambio, independientemente de la razón.

101
La solicitud de información a las cuentas para llevar a cabo accesos por parte de un
empleado debe hacerse de manera formal y escrita, en el correo de Produsoft. En ninguna
circunstancia se puede solicitar información de acceso que no sea del empleado que realiza la
solicitud. Los empleados serán los responsables de toda la actividad y el uso que tenga la cuenta,
por esto, no debe compartir las contraseñas. Las bases de datos de producción contarán con usuarios
limitados y definidos para las labores, los usuarios son los siguientes:
• Publicaciones: se contará con un usuario que se utilizará para publicaciones de los
sistemas, tendrá permisos limitados a las bases de datos a las publicaciones y no tendrá
acceso a la base de datos de Softland. Este usuario no puede utilizarse para ingresar a
las bases de datos por el SQL Server Management, únicamente se usa para la conexión
de los sistemas publicados.
• Empleados: se contará con un usuario para cada empleado con permisos únicamente a
la base de datos del sistema de CRM.
• Trabajos: se contará con un usuario utilizado para llevar a cabo trabajos autorizados en
la base de datos, el usuario y contraseña no podrá ser compartido. Lo gestionará el
gerente de Operaciones, que ingresará a la computadora del empleado y llevará a cabo
la conexión sin guardar las credenciales, además, debe registrar la hora de ingreso y
hora de finalización.
• Gerencia: cada persona de la Gerencia contará con un usuario, el cual tendrá acceso a
todas las bases de datos, se debe registrar la hora de ingreso y hora de finalización.
Las bases de datos de desarrollo contarán con usuarios limitados y definidos para las
labores, estos son los siguientes:

102
• Empleados: se contará con un usuario para cada empleado con permisos a todas las
bases de datos.
• Publicaciones: se contará con un usuario que se utilizará para publicaciones de sistemas
en desarrollo o demostraciones, este tendrá permisos ilimitados a las bases de datos de
los sistemas que se publiquen.
• Gerencia: se contará con un usuario para cada persona de la Gerencia, el cual tendrá
acceso a todas las bases de datos.
El servidor contará con usuarios limitados y definidos para las labores, en cada ingreso que
se realice se debe llevar a cabo una notificación por cualquier plataforma de la empresa a menos
que sean de la Gerencia. Los usuarios son los siguientes:
• Administrador: tiene acceso a todas las instancias de base de datos, las aplicaciones
instaladas, los sistemas publicados, las carpetas de todos los usuarios y cuenta con
permisos para instalar cualquier aplicación que se desee. Puede acceder el gerente de la
empresa y el gerente de operaciones.
• Servicio Cliente: tiene acceso a la aplicación de Softland y a los sistemas publicados.
Puede acceder a este usuario el empleado que desempeña el cargo de servicio al cliente.
• BI: tiene acceso a la instancia de base de datos de desarrollo y la aplicación de Power
BI. Pueden acceder a este usuario los empleados que desempeñen el cargo de
desarrolladores de Power BI.
• Consultoría: tiene acceso a la instancia de base de datos de desarrollo y la aplicación de
Softland. Pueden acceder a este usuario los empleados que laboran en el área de
103
consultoría.
• Desarrollo y Desarrollo 2: son dos usuarios que cumplen con las mismas características,
tienen acceso a la instancia de base de datos de desarrollo y los sistemas publicados.
Pueden acceder a estos usuarios tres empleados que laboran en el área de desarrollo de
software, los cuales deben definirse y no pueden cambiarse.
Procedimientos de operación documentados
Los cambios que se realicen en las políticas de seguridad informática o en los contratos
existentes, ya sea de confidencialidad con el cliente o de servicios con los empleados deben quedar
registrados y con la firma de aprobación de la Gerencia. Los fallos que se presenten en los equipos
deben registrarse en un formulario en el que el responsable describe el problema que se presentó,
la fecha de cuando sucedió y la fecha del reporte, además, cuenta con un plazo máximo de 48 horas
desde el suceso para registrarlo, el gerente de Operaciones se encarga de la recepción del formulario
y le asigna un código al incidente y un título. El documento debe firmarse por ambas partes e
indicar el número de identificación y el puesto.
Las entregas de los equipos, dispositivos y cuentas deben registrarse mediante un
formulario. El gerente de Operaciones asigna un código al documento, un título, la fecha en la que
se llevó a cabo la entrega, la fecha en la que se lleva a cabo la firma del documento y la descripción
de los equipos y cuentas entregadas. El empleado que los recibe debe firmar en conocimiento de
que se le hizo entrega y desde ese momento es el responsable, respetando las reglas del apartado
11 del presente documento. El documento debe firmarse por ambas partes e indicar el número de
identificación y el puesto.
La entrada de nuevos equipos, dispositivos o bienes debe registrarse mediante un formulario

104
en el que se establece un código único de identificación, el bien adquirido, la fecha de adquisición,
la fecha en la que se firma y, de forma opcional, una descripción o comentario sobre este.
La restauración de los equipos debe encontrarse documentada, es necesario especificar los
pasos previos, durante y después de la restauración, así como la información del equipo. Se debe
respetar lo establecido en el apartado 5 del presente documento de políticas de seguridad
informática. Además, es necesario definir el idioma en el cual se debe encontrar el equipo, los
programas que deben instalarse y la relación del equipo con cuentas de Microsoft.
Los cambios que se deban llevar a cabo a la página www.produsoftcr.com deben solicitarse
formalmente por correo electrónico por parte de la Gerencia. Una vez finalizado el cambio se debe
informar por el mismo medio, de ser necesario se debe documentar.
Los desarrolladores deben llevar a cabo un documento de requerimientos y alcances sobre
los sistemas que se desarrollarán para los clientes. Se deben definir las pantallas que necesitará, en
conjunto con las funcionalidades que tendrá cada una, en caso de ser necesario se debe establecer
la arquitectura de la base de datos y especificar dónde se llevará a cabo la conexión y si se debe
conectar a otra dirección para el funcionamiento del sistema.
Procedimiento para gestión de incidentes
Los incidentes deben ser tratados por un grupo de empleados que se encuentre en capacidad
de manejar las situaciones que se presentan. Los tipos de incidentes que pueden existir son:
• Bajo: son incidentes que puede manejarse sin necesidad de contactar a las personas en
puestos de jefatura de cada área, estos representan una amenaza mínima a la seguridad,
son errores operativos o incumplimiento de algún control. Se debe tener un tiempo de
respuesta no mayor a 4 horas, en caso de superar este tiempo se debe informar al jefe
105
del área. Para este tipo clasifican incidentes como:
o Error en el funcionamiento de una aplicación de desarrollo.
o Correos de phishing.
o Error en el funcionamiento en sistemas desarrollados.
• Medio: son incidentes en los que es necesario contactar al jefe del área, son errores que
pueden causar problemas con clientes o con el funcionamiento interno de algún proceso.
Se debe tener un tiempo de respuesta no mayor a 8 horas, en caso de superarlo se debe
informar a la Gerencia. Para este tipo clasifican incidentes como:
o Error en el funcionamiento de un sistema publicado en un cliente.
o Eliminación de datos o tablas en bases de datos.
o Error en el acceso al servidor.
o Incidentes de nivel bajo que no se pudieron resolver.
• Alto: son incidentes en los que es necesario contactar al jefe de área en conjunto con la
Gerencia, estos son errores críticos que tendrán consecuencias como el nulo
funcionamiento de procesos. Se debe tener un tiempo de respuesta no mayor a dos (2)
días, en caso de superar este tiempo se debe llevar a cabo una reunión urgente con toda
la Gerencia. Para esto, califican los incidentes como:
o Robo de un equipo.
o Encriptación de una computadora o un servidor.
o Vulneración en las cuentas de trabajo de la empresa.

106
o Cualquier otro incidente que no puedan resolver las personas en puestos de jefatura
de cada área.
Los incidentes bajos deben informarse al jefe del área, este determina si se debe llevar a
cabo la documentación del incidente. Los incidentes de nivel medio y alto se deben documentar y
establecer lo sucedido con detalles como fechas, equipos perjudicados, si involucra a los clientes y
el empleado responsable.
Los incidentes, tanto de nivel alto como de nivel medio, deben atenderse en el momento
por parte del personal especificado. Se debe solucionar con la mayor rapidez posible sin omitir las
reglas establecidas en las políticas.
Los activos considerados de mayor importancia deben mantener respaldos semanales para
evitar pérdidas en caso de alguna falla. Estos respaldos no pueden utilizarse a menos que sea para
recuperación después de un fallo.
Requisitos legales, normativos y contractuales
Se debe contar con los contratos de clientes y de empleados, en estos de se deben definir
los puntos especificados en el apartado 10 del presente documento de políticas de seguridad
informática. Además, se deben tener en cuenta las leyes del país que aplican para diferentes áreas
de la tecnología, tanto con los contratos como en los procesos diarios de la empresa Entre las
principales leyes están las siguientes:
• Ley 8968. Sección II. Artículo 9.- Categorías particulares de los datos. 2.- Datos
personales de acceso restringido.
• Ley 8968. Sección II. Artículo 11.- Deber de confidencialidad.
• Ley 8968. Artículo 12.- Protocolos de actuación.

107
Estas leyes son las más importantes para los contratos, ya que son las partes más sensibles
y están relacionadas con el manejo de la información. Con esta base se garantiza un respaldo ante
las leyes de Costa Rica, sin embargo, no son los únicos artículos y secciones que se deben
considerar, ya que existe la Ley 9048 sobre delitos informáticos y conexos, por esto, se deben
confeccionar los documentos con la asistencia legal, de acuerdo con las leyes del país.
Los contratos con empresas del extranjero deberán contar con apartados que especifiquen
si Produsoft se ve involucrado en alguna actividad directa por fuera de los servicios, como el
guardado de información. En caso de incumplimiento de alguno de los contratos firmados con
algún empleado o exempleado se buscará llevar a cabo una reunión con este, con el fin de llegar a
un acuerdo, de no ser posible se tomarán medidas legales.
Registros de capacitación habilidades, experiencia y calificaciones
Los puestos laborales deben contar con un documento de descripción del puesto en donde
se establecen las características con las que debe contar la persona que se contratará, así como las
funciones por cumplir. Entre estos apartados están:
• Identificación del puesto: se debe colocar el nombre del puesto, este debe contar con la
fecha en la que se está abriendo, el código interno del puesto, el departamento y el jefe
inmediato.
• Objetivo principal y específicos: se define primero el fin general del puesto, después los
fines específicos que describen las tareas que se deben llevar a cabo.
• Responsabilidad: presenta las funciones principales por cumplir en el puesto, en
conjunto con el estimado de horas necesarias, la frecuencia de revisión con el jefe y se
especifica a quién se le deben reportar resultados.

108
• Información confidencial: define el tipo de información que manejará según los niveles
definidos en el presente documento.
• Área Financiera: define los gastos que son reconocidos por la empresa.
• Decisiones: define la necesidad de que el empleado tome decisiones en ciertos procesos
sin la necesidad de aprobación, así como las decisiones que se deben consultar mientras
el contrato lo establezca.
• Conocimientos requeridos: se debe especificar el nivel de educación que debe presentar,
la carrera por la cual se graduó o la profesión que posee, los idiomas que debe manejar,
la experiencia que debe tener y el conocimiento específico en el área, como el manejo
de ciertos sistemas.
• Capacidades del cargo: describe las aptitudes principales que se deben tener y el
desempeño.
Quedan a criterio de la Gerencia y del proceso las consideraciones de cada uno de los
aspectos mencionados para la contratación de un nuevo empleado. Al contratar a un nuevo
empleado se debe llevar a cabo una capacitación, primero se introduce la empresa, se explican las
normativas y se aclara cualquier duda al respecto para posteriormente hacer una inducción al área
laboral y, por último, se hace la presentación al equipo de trabajo.
Uso aceptable de los activos
Los equipos no pueden ser restaurados por el empleado, a menos que cuente con la
aprobación escrita de la Gerencia, explicando la razón por la cual se debe llevar a cabo la
restauración y evaluando otras opciones para la mejor solución del problema que se presenta.
109
Asimismo, los equipos deben mantenerse libres de programas maliciosos, por lo tanto, se prohíbe
la creación de código malicioso, o bien el ingreso de este al equipo, ya que afecta el funcionamiento
y desempeño de la computadora, pudiéndose esparcir e infectar otras computadoras.
La información de la empresa, como documentos, respaldos de bases de datos, sistemas
desarrollados y licencias no pueden utilizarse en dispositivos que no sean de Produsoft. Además,
se debe solicitar la aprobación por parte de la Gerencia para compartir la información, se excluye
la que es confidencial y que solo podrá ser compartida por la Gerencia.
Los sistemas de desarrollo no pueden instalarse en clientes o computadoras sin la
aprobación previa de la Gerencia. Estos deben trabajarse en los equipos entregados por Produsoft,
para permitir la manipulación y el traslado datos entre los equipos de la empresa, por otra parte, las
instalaciones se pueden llevar a cabo con la aprobación de la propuesta del sistema.
Las contraseñas son responsabilidad del usuario y este no debe almacenar las contraseñas
correspondientes a cuentas de Produsoft en ningún sistema que cuente con la opción de este
servicio. Los usuarios deben cuidar las cuentas, esto incluye las contraseñas utilizadas en cada una,
por lo tanto, en caso de sospechas de que alguna ha sido vulnerada o de que los datos son conocidos
por otro empleado o persona, se debe llevar a cabo el cambio en las cuentas o dispositivos que
pueden estar en riesgo.
La computadora debe contar con una contraseña al bloquear la pantalla para evitar que otras
personas accedan a la información en el equipo, este bloqueo debe hacerse inmediatamente cuando
el empleado se ausente en la computadora, esto evita el acceso de terceros. Las cuentas de cada
empleado correspondientes a las labores realizadas en Produsoft, como los correos electrónicos,
deben utilizarse únicamente de forma profesional para asuntos relacionados con la empresa.
110
Al ingresar al servidor con la cuenta asignada según el área y puesto de trabajo se debe
llevar a cabo el cierre de la ventana una vez que termine. Por lo tanto, no se pueden dejar ventanas
ni archivos abiertos, tampoco se puede dejar ningún archivo en el escritorio.

111
Capítulo VI. Conclusiones y recomendaciones
La seguridad informática está presente en todas las compañías y Produsoft no es la
excepción. A pesar de que no se cuenta con un documento formal sobre políticas de seguridad
informática, se aplican reglas en el momento de llevar a cabo los procesos, además, cuentan con
contratos de confidencialidad, tanto con los clientes como con los empleados. A continuación se
presentan las conclusiones para cada uno de los objetivos de la investigación.
Para el objetivo específico 1 se concluye que:
• Se cuentan con reglas internas que establecen una línea de trabajo por seguir para los
empleados, sin embargo, estas son muy generales y no se encuentran escritas en un
documento. Por lo tanto, se suele perder la referencia con la norma hasta que se vuelva
a mencionar en reuniones.
• Los procesos actuales se encuentran definidos, además, se tienen documentos
contractuales con los clientes y los empleados. Sin embargo, es poco el conocimiento
de las reglas adicionales que no se encuentran en el contrato, ya que estas no existen
por escrito.
• Es necesario tener un documento escrito con las políticas de seguridad informática de
la empresa, ya que el entorno tecnológico actual lo demanda. Esto también permite una
continua mejora interna en los procesos y la estructura tecnológica de Produsoft.
• El análisis de la situación actual de la empresa reflejó que se necesita abarcar las áreas
principales de la seguridad informática como el uso de las contraseñas, la eliminación

112
de archivos y el registro de activos, ya que no se presentan normas al respecto.
• Las áreas que se abarcan en la investigación se escogieron con base en la necesidad de
Produsoft, así como las que se mencionan en la normativa ISO 27001. Se busca que las
políticas de seguridad informática desarrolladas tengan como referencia una normativa
reconocida en el ámbito internacional.
• La normativa ISO 27001 cuenta con una gran cantidad de apartados para llevar a cabo
controles de seguridad mayores, sin embargo, por limitaciones en el alcance de la
investigación se busca que con las áreas escogidas se mejoren estos aspectos y se
desarrolle una mejora continua.
• El documento de políticas de seguridad informática contribuye con el desarrollo de
Produsoft, ya que al definir las reglas se preparan para los riesgos de seguridad que se
presenten. Esto asegura los tres pilares de la seguridad de la información que son la
integridad, disponibilidad y confidencialidad de los datos.
• La estructura tecnológica de la empresa mejora al adaptarse al entorno tecnológico en
el mundo, ya que cada vez es más importante contar con una seguridad informática
respaldada por entes internacionales. En el caso de este documento se toman como base
las políticas de seguridad informática de la normativa ISO 27001.
• Las normas de la empresa se especifican en las políticas de seguridad informática, por
lo tanto, estas establecen un lineamiento para los procesos internos de los empleados.
Además, son un respaldo en el momento de prestar los servicios, ya que se cuenta con
un contrato con los empleados, así como con los clientes, y en este se establecen las
113
obligaciones de las partes.
Una vez confeccionado el documento de políticas de seguridad informática para Produsoft,
para que el proyecto se establezca de la mejor manera posible, se plantean las siguientes
recomendaciones para los beneficiarios.
Se recomienda a Produsoft que, una vez finalizado este proyecto, se realice lo siguiente:
• Implementar el documento de políticas informáticas en la empresa lo antes posible para
que, de esta forma, se adapten a las nuevas normativas.
• Llevar a cabo una reunión con los empleados para discutir las nuevas políticas de
seguridad informática. Además, facilitar el documento desarrollado para la lectura y
discusión, esto ayuda a que la resistencia al cambio por parte de los empleados sea
menor.
• Llevar a cabo reuniones bimestrales para analizar la situación de la empresa y extender
el documento de las políticas de seguridad informática, principalmente a las áreas
restantes especificadas en la norma ISO 27001.
Se recomienda a los empleados de Produsoft que, una vez finalizado este proyecto, se
realice lo siguiente:
• Leer con detenimiento el documento de políticas de seguridad informática y, en caso de
tener alguna observación o inconformidad sobre el documento presentado, anotarlo por
puntos para llevar a cabo una reunión de revisión y discutir cada uno.
• Colaborar con la empresa para la implementación de las políticas de seguridad
informática, ya que el ámbito laboral mejora al trabajar con compañeros del área de
114
trabajo u otras áreas relacionadas y asegurándonos en el momento de llevar a cabo
servicios a los clientes con la definición de procesos, responsabilidades y otros aspectos.
• Anotar ideas que ayuden a mejorar la seguridad de la empresa, o bien tomar nota de los
problemas que se presentan a nivel de seguridad informática en el momento de llevar a
cabo procedimientos internos o prestar servicios a los clientes. Esto se puede conversar
en reuniones convocadas por la empresa para buscar la mejora continua en las
actividades y la prestación de los servicios.
Se recomienda a los clientes de Produsoft que, una vez finalizado este proyecto, se realice
lo siguiente:
• Llevar a cabo una revisión de las políticas de seguridad informática de Produsoft que
aplican para los clientes, así como los contratos que se firman en el momento de
establecer los servicios.
• Discutir en una reunión con Produsoft los comentarios, dudas o inconformidades sobre
las reglas de seguridad que involucren a los clientes, buscando siempre la protección de
los datos para ambas partes.
• Establecer políticas de seguridad informática para los proveedores de servicios y que se
entregue antes de la firma del contrato de servicios las reglas que se deben tomar en
cuenta en el momento de llevar a cabo los trabajos o implantar los sistemas.
Se recomienda a la Universidad Latina de Costa Rica que, una vez finalizado este proyecto,
se realice lo siguiente:
• Llevar a cabo una revisión de las reglas o políticas de seguridad informática que forman
115
parte de la universidad para que se verifique su vigencia y actualizarlas si es necesario.
Además, revisar si se basa en una normativa internacional para tomar como referencia
un estándar reconocido.
• Certificarse en las normativas internacionales de seguridad informática, ya que al ser
una de las primeras universidades en Centroamérica en ofrecer la carrera de
Licenciatura en Seguridad Informática debe ser un ejemplo.
• Fomentar la seguridad informática en todas las personas estudiantes de la universidad,
independientemente de la carrera y la escuela a la que pertenezcan. Esto se puede lograr
por medio de charlas sobre la importancia que tiene asegurar diariamente los datos.
116
REFERENCIAS BIBLIOGRÁFICAS
Acevedo Juárez, H. (s. f.). ISO-27001: ¿Qué es y para qué sirve? (parte 1). Recuperado de
https://www.magazcitum.com.mx/?p=1574#.XwU1UShKhPY
Aguilar, M. Á. (2016). Enfoques mixtos. Recuperado de
https://sites.google.com/site/metodologiadeinvestigaciontese/enfoques-mixtos
Aguilera López, P. (2010). Seguridad Informática. Madrid: Editex.
Alegsa, L. (2016). Definición de algoritmo. Recuperado de
http://www.alegsa.com.ar/Dic/algoritmo.php
Alegsa, L. (2016). Definición de Conexión (informática). Recuperado de
http://www.alegsa.com.ar/Dic/conexion.php
Alegsa, L. (2018). Definición de dato (informática). Recuperado de
http://www.alegsa.com.ar/Dic/dato.php
Avast (s. f.). Social Engineering. Recuperado de https://www.avast.com/es-es/c-social-
engineering
Baca Urbina, G. (2016). Introducción a la seguridad Informática. Ciudad de México: Grupo
Editorial Patria.
Biriska. (2017). La importancia de adoptar buenas prácticas empresariales. Recuperado de
https://biriska.com/la-importancia-de-adoptar-buenas-practicas-empresariales/
Bonnett, M. (2017). Cultura de información confidencial. Recuperado de

117
https://www.asuntoslegales.com.co/análisis/monica-bonnett-529291/cultura-de-
información-confidencial-2536349
Botti Cebriá, V. (2019). Detección Automática de Información Sensible en Red es Sociales.
Valencia: Universidad Politécnica de Valencia.
Camacho, J. (2020). ¿Qué son los Recursos Tecnológicos? Recuperado de
https://recursosdelaempresa.com/recursos-tecnológicos/
Cano Fernández, C. (2018). Que es un framework y para qué se utiliza en programación.
Recuperado de https://comenzandodecero.com/que-es-un-framework-y-para-que-se-
utiliza-en-programacion/
Carisio, E. (2019). Qué es el análisis de datos cualitativos y cómo se lleva a cabo. Recuperado de
https://blog.mdcloud.es/que-es-el-analisis-de-datos-cualitativos-y-como-se-
realiza/#:~:text=El%20an%C3%A1lisis%20de%20datos%20cualitativo,de%20imagen%2
0o%20de%20v%C3%ADdeo
Carisio, E. (s/f). Vulnerabilidad Informática: ¿cómo protegerse? Recuperado de
https://blog.mdcloud.es/vulnerabilidad-informatica-como-protegerse/
Carpentier, J.-F. (2016). La seguridad informática en la pyme: Situación actual y mejores
prácticas. Barcelona: Ediciones EDI.
Caser Seguros (s. f.). ¿Qué es un ciberataque y cuáles tipos hay? Recuperado de
https://www.caser.es/seguros-empresas/articulos/que-es-un-ciberataque-y-tipos
Castillo, J. A. (2019). Qué es un proceso informático y qué función tiene. Recuperado de

118
https://www.profesionalreview.com/2019/09/23/proceso-informatico/
Caurin, J. (2017). Diferencia entre negocio y empresa. Recuperado de
https://www.emprendepyme.net/diferencia-entre-empresa-y-negocio.html
Chakray. (2017). ¿Qué es el single sign on (SSO)? Definición, características y ventajas.
Recuperado de https://www.chakray.com/es/que-es-el-single-sign-on-sso-definicion-
caracteristicas-y-ventajas/
Chen, C. (2020). Proceso y procedimiento. Recuperado de https://www.scribbr.es/detector-de-
plagio/generador-apa/#/sources/new/webpage
CIC Consulting Informático. (2019). Seguridad de la Información y Ciberseguridad ¿es lo
mismo? Recuperado de https://www.cic.es/seguridad -de-la-informacion-y-ciberseguridad-
es-lo-mismo/
Citrix. (2019). ¿Qué es el inicio de sesión único (SSO)? Recuperado de
https://www.citrix.com/es-es/glossary/what-is-single-sign-on-sso.html
Compusistem. (2019). ¿Qué es el control de acceso y en qué se diferencia del control de
personal? Recuperado de http://www.compusistem.com/que-es-control-de-acceso-
personal/
Conceptodefinición.de. (2019). Rango. Recuperado de https://conceptodefinicion.de/rango/
Corvo, H. S. (2019). Política empresarial: características, tipos y ejemplos. Recuperado de
https://www.lifeder.com/politica-empresarial/
Crece Negocios. (2019). ¿Qué es un negocio? (definición, tipos y diferencia con una empresa).
119
Recuperado de https://www.crecenegocios.com/que-es-un-negocio/
Documenta Asesoría y Servicios (s. f.). Instrumentos de investigación. Recuperado de
https://www.documenta.pe/instrumentos/#:~:text=Un%20instrumento%20de%20investiga
ci%C3%B3n%20es,compuestos%20por%20escalas%20de%20medici%C3%B3n
Editorial Definición MX. (2016). Definición de conexión. Recuperado de
https://definicion.mx/conexion/
Enciclopedia Económica. (2020). Recursos tecnológicos. Recuperado de
https://enciclopediaeconomica.com/recursos-tecnológicos/
ESET. (2016). 5 Cosas sobre la ingeniería social. Recuperado de
https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/
Estrategia Magazine. (2020). La seguridad lógica. Identificación, autenticación y control de
acceso a los sistemas. Recuperado de https://www.estrategiamagazine.com/tecnologia/la-
seguridad-y-los-controles-logicos-redes-interconecciones-identificacion-autenticacion-
usuarios-control-de-acceso/#Pero,_%C2%BFque_son_los_controles_logicos
Ethics Global. (2016). Las buenas prácticas en los negocios. Recuperado de
https://blog.ethicsglobal.com/las-buenas-practicas-en-los-negocios/
Florido, M. (2017). Cómo definir la misión, visión y valores de una empresa. Recuperado de
https://www.marketingandweb.es/emprendedores-2/mision-vision-y-valores-de-una-
empresa/#Que_esla_vision_de_una_empresa
Fude. (2017). ¿Qué son las redes informáticas? Recuperado de

120
https://www.educativo.net/articulos/que-son-las-redes-informaticas-1102.html
García, I. (2017). Definición de efectividad. Recuperado de
https://www.economiasimple.net/glosario/efectividad
García, I. (2017). Definición de eficacia. Recuperado de
https://www.economiasimple.net/glosario/eficacia
García, I. (2017). Definición de eficiencia. Recuperado de
https://www.economiasimple.net/glosario/eficiencia
Ghirardi, E. (2018). Ciberataques. Recuperado de https://borealos.com/post/ciberataque-o-ataque-
informatico.html
González, G. (2017). Fuentes primarias: características y ejemplos. Recuperado de
https://www.lifeder.com/fuentes-primarias/
Guardia Dall’Orso, R. (2018). Fuentes de información. Recuperado de
https://panurbis.wordpress.com/2018/08/27/fuentes-de-informacion/
guiaspracticas.com. (2017). Información Sensible. Recuperado de
http://www.guiaspracticas.com/recuperacion-de-datos/informacion-sensible
IBM. (s/f). IBM 7.1 Information Center. Recuperado de
https://www.ibm.com/support/knowledgecenter/es/ssw_ibm_i_71/rzahg/rzahgavailability.
htm
Incibe. (2017). Amenaza vs. Vulnerabilidad, ¿sabes en qué se diferencian? Recuperado de
https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-
121
diferencian
Incibe. (2019). ¿Por qué cifrar la información sensible? Recuperado de
https://www.incibe.es/protege-tu-empresa/blog/cifrar-informacion-sensible
Incibe. (s. f.). La información. Madrid: Incibe.
Inteco (s. f.). ¿Quiénes somos? Recuperado de https://www.inteco.org/page/inteco.about_us
Inteco. (2014). INTE/ISO/IEC 27001:2014. San José: Inteco.
International Dynamic Advisor. (2017). La primera norma ISO publicada. Recuperado de
http://www.intedya.com/internacional/1589/noticia-que-son-las-iso-que-es-iso-cualfue-la-
primera-norma-iso-publicada.html
Internet Society. (2019). ¿Qué es el cifrado? Recuperado de
https://www.internetsociety.org/es/encryption/what-is-encryption/
Investigadores. (2020). Fuentes de información primarias, secundarias y terciarias. Recuperado
de https://tecnicasdeinvestigacion.com/fuentes-de-informacion-primaria-y-secundaria-y-
terciaria/#Fuentes_de_informacion_primarias
ISEC. (2016). Control de acceso: qué es y para qué sirve. Recuperado de
http://www.isec.com.co/control-de-acceso-que-es-y-para-que-sirve/
ISO Tools. (s. f.). ISO 27001. Recuperado de https://www.isotools.org/normas/riesgos-y-
seguridad/iso-27001/
ISO. (s. f.). About us. Recuperado de https://www.iso.org/about-us.html

122
J. L. (2018). Puertos de la computadora y sus funciones. Recuperado de
https://247tecno.com/puertos-de-la-computadora-y-funciones/
Kapersky. (s/f). ¿Qué es el cifrado de datos? Recuperado de
https://latam.kaspersky.com/resource-center/definitions/encryption
Komiya, A. (2020). ¿Qué es la misión de una empresa? Recuperado de
https://www.crecenegocios.com/mision-de-una-empresa/
Léxico (s. f.). Definición de rango. Recuperado de https://www.lexico.com/es/definicion/rango
Léxico.com. (2019). Conexión. Recuperado de https://www.lexico.com/es/definicion/conexion
Llimargas, L. (2019). Badge Time. Recuperado de https://llimargas.com/badge-time/
López, A. (2020). SGSI. Recuperado de https://www.iso27000.es/sgsi.html
LosRecursosHumanos.com. (2017). Recursos tecnológicos de una empresa. Recuperado de
https://www.losrecursoshumanos.com/recursos-tecnologicos-de-una-empresa/
Lugo, Z. (2020). Población y muestra. Recuperado de https://www.diferenciador.com/poblacion-
y-
muestra/#:~:text=Poblaci%C3%B3n%20se%20refiere%20al%20universo,poblaci%C3%B
3n%20para%20realizar%20un%20estudio.
Maldonado, D. (2018). ¿Qué es Infraestructura de TI y cuáles son sus componentes? Recuperado
de http://www.icorp.com.mx/blog/infraestructura-de-ti-componentes/
Moya, S. (2017). Controladores Lógicos para la Industria. Recuperado de

123
https://www.isamex.org/intechmx/index.php/2017/10/31/controladores-logicos-para-la-
industria/
Neo Attack (s. f.). Framework. Recuperado https://neoattack.com/neowiki/framework/
Neothek, Equipo Editorial. (2018). ¿Qué es la Ingeniería Social? Recuperado de
https://blog.neothek.com/que-es-la-ingenieria-social/
OBS Business School. (2017). ¿Qué es ISO? Y los detalles fundamentales que se deben conocer.
Recuperado de https://obsbusiness.school/es/blog-investigacion/operaciones/que-es-iso-y-
los-detalles-fundamentales-que-se-deben-conocer
Olarte Gervacio, L. (2018). Lenguaje de programación. Recuperado de
http://conogasi.org/articulos/lenguaje-de-
programacion/#:~:text=Un%20lenguaje%20de%20programaci%C3%B3n%20es%20un%
20lenguaje%20formal%20dise%C3%B1ado%20para,por%20m%C3%A1quinas%20com
o%20las%20computadoras.&text=Al%20proceso%20por%20el%20cual,inform%C3%A1
ti
OnDesarrollo. (2018). Framework. Recuperado de https://ondesarrollo.com/que-es-un-
framework-y-para-que-se-utiliza/
Oracle. (2019). ¿Qué es una base de datos? Recuperado de
https://www.oracle.com/es/database/what-is-database.html
Orellana, P. (2019). Valores de una empresa. Recuperado de
https://economipedia.com/definiciones/valores-de-una-empresa.html
124
Óscar. (2017). Puertos informáticos. Recuperado de
https://seguridadticweb.wordpress.com/2017/03/10/puertos-informaticos/
Pásalo.es. (2018). Definición de Acceso – Qué es, Significado y Concepto. Recuperado de
https://www.pasalo.es/definicion-de-acceso/
Pérez Porto, J. (2015). Definición de acceso. Recuperado de https://definicion.de/acceso/
Pérez Porto, J. y Merino, M. (2015). Definición de puerto serial. Recuperado de
https://definicion.de/puerto-serial/
Pérez, J. y Gardey, A. (2017). Definición de efectividad. Recuperado de
https://definicion.de/efectividad/
PMG SSI. (2017). Confidencialidad Integridad y Disponibilidad. Seguridad de la Información.
Recuperado de https://www.pmg-ssi.com/2017/07/cia-confidencialidad-integridad-
disponibilidad-seguridad-de-la-informacion/
Porporatto, M. (2016). Eficacia. Recuperado de https://quesignificado.com/eficacia/
Porto, S. (2018). Open Badges: destacando competencias profesionales de manera conectada y
digital. Recuperado de https://blogs.iadb.org/conocimiento-abierto/es/como-las-insignias-
abiertas-digitales-pueden-ayudar-destacar-competencias-profesionales-2/
Procuraduría General de la República. (2000). Dictamen 172 del 04/08/2000. Recuperado de
http://www.pgrweb.go.cr/scij/Busqueda/Normativa/pronunciamiento/pro_ficha.aspx?
param1=PRD&param6=1&nDictamen=8711&strTipM=T.
Protección de Datos. (2018). Integridad de Información. Recuperado de

125
https://www.protecciondatos.org/integridad-de-informacion/
Raffino, M. E. (2018). Concepto de lenguaje de programación. Recuperado de
https://concepto.de/lenguaje-de-programacion/
Raffino, M. E. (2019a). Concepto de algoritmo en informática. Recuperado de
https://concepto.de/algoritmo-en-informatica/
Raffino, M. E. (2019b). Concepto de Norma. Recuperado d e https://concepto.de/que-es-norma/
Raffino, M. E. (2020a). Alcance y limitación de un proyecto. Recuperado de
https://concepto.de/alcance-y-limitaciones-de-un-proyecto/
Raffino, M. E. (2020b). Concepto de base de datos. Recuperado de https://concepto.de/base-de-
datos/
Raffino, M. E. (2020c). Concepto de eficacia. Recuperado de https://concepto.de/eficacia/
Raffino, M. E. (2020). Concepto de manual de procedimientos. Recuperado de
https://concepto.de/manual-de-procedimientos/
Raffino, M. E. (2020d). Concepto de negocio. Recuperado de https://concepto.de/negocio/
Raffino, M. E. (2020e). Concepto de proceso. Recuperado de https://concepto.de/proceso/
Raffino, M. E. (2020f). Concepto de redes informáticas. Recuperado de
https://concepto.de/redes-
informaticas/#:~:text=Se%20entiende%20por%20redes%20inform%C3%A1ticas,de%20d
atos%2C%20transmitidos%20mediante%20impulsos
126
Raffino, M. E. (2020g). Fuentes de información. Recuperado de https://concepto.de/fuentes-de-
informacion/
Ramos, A. F. (2020h). Seguridad Informática. Recuperado de
https://instituciones.sld.cu/dnspminsap/seguridad-informatica/
Randed. (2017). ¿Qué es una red informática? Recuperado de https://randed.com/que-es-una-red-
informatica/
Redactor Rock Content. (2020). ¿Qué es un lenguaje de programación y cuáles tipos existen?
Recuperado de https://rockcontent.com/es/blog/que-es-un-lenguaje-de-programacion/
Riquelme, M. (2017a). ¿Qué Es Un Procedimiento En Una Empresa? Recuperado de
https://www.webyempresas.com/que-es-un-procedimiento-en-una-empresa/
Riquelme, M. (2017b). ¿Qué son las políticas de la empresa? Recuperado de
https://www.webyempresas.com/politicas-de-la-empresa/
Robledano, Á. (2019). Qué es un algoritmo informático. Recuperado de
https://openwebinars.net/blog/que-es-un-algoritmo-
informatico/#:~:text=Un%20algoritmo%20inform%C3%A1tico%20es%20una,concisas%
2C%20mostrando%20el%20resultado%20obtenido
Rodríguez Puerta, A. (2020). Investigación cualitativa: características, tipos, técnicas, ejemplos.
Recuperado de https://www.lifeder.com/investigacion-
cualitativa/#Tipos_de_investigacion_cualitativa
Romero Castro, M. I., Figueroa Morán, G. L., Vera Navarrete, D. S., Álava Cruzatty, J. E.,
127
Parrales Anzúles, G. R., Álava Mero, C. J… Castillo Merino, M. A. (2018). Introducción
a la seguridad informática y el análisis de vulnerabilidades. Alicante: Editorial Área de
Innovación y Desarrollo, S. L.
Romoli, R. (2019). ¿Qué son los Open Badges? Recuperado de
https://myopenbadge.com/es/open-badge-es/que-son-los-open-badges/
Ruiz, A. (2018). ¿Qué es un ciberataque y cuáles tipos existen? Recuperado de
https://ticnegocios.camaravalencia.com/servicios/tendencias/que -es-un-ciberataque-y-que-
tipos-existen/
Saavedre, A. (2018). ¿Qué es la Infraestructura Tecnológica IT? Beneficios en la Transformación
Digital. Recuperado de https://www.clavei.es/blog/que-es-la-infraestructura-
it/#:~:text=El%20servicio%20que%20ofrece%20el,y%20software%20para%20el%20clie
nte
Samsing, C. (2020). 17 ejemplos inspiradores de misión, visión y valores de empresas.
Recuperado de https://blog.hubspot.es/marketing/mision-vision-valores-ejemplos
Sánchez Galán, J. (2018). Eficiencia. Recuperado de
https://economipedia.com/definiciones/eficiencia.html
Segovia Segura, A. J. (s. f.). ¿Qué es ISO 27001? Recuperado de
https://advisera.com/27001academy/es/que-es-iso-27001/
Segovia, A. J. (s. f.). ¿Qué es norma ISO 27001? Recuperado de
https://advisera.com/27001academy/es/que-es-iso-27001/
128
Significados.com. (2019). Significado de Rango. Recuperado de
https://www.significados.com/rango/
SISCA. (2015). ¿Qué es un control de acceso? Recuperado de http://sisca.co/que-es-un-control-
de-
acceso/#:~:text=Un%20control%20de%20acceso%20es,instituci%C3%B3n%20o%20cual
quier%20otro%20ente
Sistema de Información Cultural Costa Rica. (s. f.). Instituto de Normas Técnicas de Costa Rica
(Inteco). Recuperado de https://si.cultura.cr/capacitacion/instituto-de-normas-tecnicas-de-
costa-rica-inteco.html
Tecnologias-información.com. (s. f.). Seguridad de sistemas de información. Recuperado de
https://www.tecnologias-informacion.com/seguridad.html#
Tecon. (2019). La seguridad de la información. Recuperado de https://www.tecon.es/la-
seguridad-de-la-informacion/
The British Standarts Institution (s. f.). ¿Qué es una norma? ¿Y qué es lo que hace? Recuperado
de https://www.bsigroup.com/es-ES/Normas/Informacion-sobre-las-normas/Que-es-una-
norma/
TIC Portal. (2018). Inicio de sesión único (SSO). Recuperado de
https://www.ticportal.es/glosario-tic/inicio-sesion-unico-
sso#:~:text=El%20inicio%20de%20sesi%C3%B3n%20%C3%BAnico%2C%20o%20Sin
gle%20Sign%2DOn%20(,todo%20el%20software%20del%20ordenador
TIC Portal. (2019). Database. Recuperado de https://www.ticportal.es/glosario-tic/base-datos-

129
database
Toledano Díaz, M. (2017). PLC (Controlador Lógico Programable). Recuperado de
http://fisicotronica.com/plc-controlador-logico-programable/
Toro, R. (2018). Los tres pilares de la seguridad de la información: confidencialidad, integridad y
disponibilidad. Recuperado de https://www.pmg-ssi.com/2018/02/confidencialidad-
integridad-y-disponibilidad/
Trenza, A. (2020). Misión, visión y valores de una empresa. Recuperado de
https://anatrenza.com/mision-vision-y-valores-de-una-empresa-definicion-y-ejemplos/#1-
que-es-mision-vision-y-valores-de-una-empresa
Universidad Benito Juárez. (2017). ¿En qué consiste el alcance del proyecto? Recuperado de
https://obsbusiness.school/es/blog-project-management/causas-de-fracaso-de-un-
proyecto/definicion-de-alcance-de-proyecto-y-gestion-del-cambio-ruta-hacia-el-exito
Universidad Internacional de La Rioja. (2019). ¿Qué es la certificación ISO 27001 y para qué
sirve? Recuperado de https://www.unir.net/ingenieria/revista/noticias/iso -
27001/549204720236/
Universidad Internacional de Valencia. (2018). Concepto y utilidad de las buenas prácticas en la
enseñanza. Recuperado de https://www.universidadviu.com/concepto-y-utilidad-de-las-
buenas-practicas-en-la-ensenanza/
Universidad VIU. (2018). ¿Qué es la seguridad informática y cómo puede ayudarme?
Recuperado de https://www.universidadviu.com/la-seguridad-informatica-puede-
ayudarme/
130
Uriarte, J. M. (2019). 10 características de las normas en general. Recuperado de
https://www.caracteristicas.co/normas-en-general/
Vásquez, A. (2018). ¿Qué son las políticas de una empresa? Recuperado de
https://www.emprendepyme.net/que-son-las-politicas-de-una-empresa.html
Vegagestion. (2018). La infraestructura tecnológica: definición, tipos e importancia. Recuperado
de https://vegagestion.es/la-infraestructura-tecnologica-definicion-tipos-e-importancia/
Venegas, J. (s. f.). ISO 27001. Recuperado de https://bsginstitute.com/bs-campus/blog/seguridad-
de-la-informacion-20
Yánez, D. (2017). Enfoque de la investigación. Recuperado de https://www.lifeder.com/enfoque-
investigacion/
131
Anexos
Anexo 1. Hoja con preguntas para las entrevistas

132
Anexo 2. Formulario de documentación de incidentes

133
Anexo 3. Formulario de documentación de entrega de equipos

134
Anexo 4. Formulario de documentación de entrada de nuevos equipos

135
Anexo 5. Carta de autorización

iv
CARTA DEL TUTOR
Señores
Estimados señores:

Informática.

MASTROPIETRO
______________________________
(FIRMA)
Fecha: 2020.09.03 13:28:43
-06'00'

Cédula: 1-1111-0216
TUTOR
v
CARTA DEL LECTOR
Señores
Estimados Señores:

Informática.

(FIRMA) -06'00'
______________________________
Cédula: 113340355
LECTORA
“Carta autorización del autor (es)
para uso didáctico del Trabajo Final de Graduación”
Vigente a partir del 31 de Mayo de 2016, revisada el 24 de Abril de 2020
Instrucción: Complete el formulario en PDF, imprima, firme, escanee y adjunte en la página

correspondiente del Trabajo Final de Graduación.
Yo (Nosotros):
Escriba Apellidos, Nombre del Autor(a). Para más de un autor separe con " ; "
Ing. Barazarte Mastropietro, Roberth Nicola.
De la Carrera / Programa: Licenciatura en Seguridad Informática.

autor(es) del trabajo final de graduación titulado:
Creación de políticas de seguridad informática, mediante el análisis de propuestas teóricas y del
estándar ISO 27001, de acuerdo con los recursos tecnológicos, para la mejora estructural
tecnológica en la empresa Produsoft, a partir del 2020.
Autorizo (autorizamos) a la Universidad Latina de Costa Rica, para que exponga mi trabajo como
medio didáctico en el Centro de Recursos para el Aprendizaje y la Investigación (CRAI o Biblioteca), y
con fines académicos permita a los usuarios su consulta y acceso mediante catálogos electrónicos,
repositorios académicos nacionales o internacionales, página Web institucional, así como medios
electrónicos en general, Internet, intranet, DVD, u otro formato conocido o por conocer; así como
integrados en programas de cooperación bibliotecaria académicos, que permitan mostrar al mundo la
producción académica de la Universidad a través de la visibilidad de su contenido.
De acuerdo a lo dispuesto en la Ley No. 6683 sobre derechos de autor y derechos conexos de Costa
Rica, permita copiar, reproducir o transferir información del documento, conforme su uso educativo y
debiendo citar en todo momento la fuente de información; únicamente podrá ser consultado, esto
permitirá ampliar los conocimientos a las personas que hagan uso, siempre y cuando resguarden la
completa información que allí se muestra, debiendo citar los datos bibliográficos de la obra en caso de
usar información textual o paráfrasis de la misma.
La presente autorización se extiende el día (Día, fecha) martes, 08 del mes septiembre de
año 2020 a las 4:00 pm . Asimismo doy fe de la veracidad de los datos incluidos en el
documento y eximo a la Universidad de cualquier responsabilidad por su autoría o
cualquier situación de perjuicio que se pudiera presentar.
Firma(s) de los autores
Según orden de mención al inicio de ésta carta:

(FIRMA) -06'00'
02 10

TFG Ulatina Roberth Barazarte Mastropietro 20160110556 Usar

Cargado por

Copyright:

Formatos disponibles

TFG Ulatina Roberth Barazarte Mastropietro 20160110556 Usar

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TFG Ulatina Roberth Barazarte Mastropietro 20160110556 Usar

Cargado por

Copyright:

Formatos disponibles

Universidad Latina de Costa Rica

CREACIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA, MEDIANTE EL ANÁLISIS

DE PROPUESTAS TEÓRICAS Y DEL ESTÁNDAR ISO 27001, DE ACUERDO CON LOS

RECURSOS TECNOLÓGICOS PARA LA MEJORA ESTRUCTURAL TECNOLÓGICA EN

LA EMPRESA PRODUSOFT, A PARTIR DEL 2020

Ing. Roberth Nicola Barazarte Mastropietro

Ing. Ricardo Chicas Romero MAP

Heredia, agosto 2020

Ing. Ricardo Chicas Romero MAP

Lic. Jacqueline Méndez Montero

Ing. Carlos Alberto Zúñiga Amador

Heredia, 17 de agosto 2020

El suscrito Roberth Nicola Barazarte Mastropietro con cédula de identidad número

título de Licenciatura en Seguridad Informática de la Universidad Latina de Costa Rica y que el

mismo en el sitio web, así como en el CRAI.

Ni la universidad ni el jurado que califica este Proyecto Final de Graduación, serán

responsables de las ideas expuestas por el Autor.

ROBERTH NICOLA Firmado digitalmente por

Roberth Nicola Barazarte Mastropietro

CARTA DEL TUTOR

Heredia, 17 de agosto de 2020

Comité de Trabajos Finales de Graduación

Escuela de Tecnologías de Información y Comunicaciones

Universidad Latina de Costa Rica

He revisado y corregido el Trabajo Final de Graduación, denominado Creación de políticas

CARTA DEL LECTOR

Heredia, 17 de agosto de 2020

Comité de Trabajos Finales de Graduación

Escuela de Tecnologías de Información y Comunicaciones

Universidad Latina de Costa Rica

He revisado y corregido el Trabajo Final de Graduación, denominado Creación de políticas

CARTA DE APROBACIÓN DEL FILÓLOGO

Cartago, 01 de septiembre de 2020

Esperamos que nuestra participación satisfaga los requerimientos de la Universidad Latina

X Elena Redondo C. X Daniel González M.

Sitio web: www.boreacr.com Correo electrónico: [email protected] WhatsApp: +506 7257-1806

Le agradezco a Dios que, en un momento tan complicado en el ámbito mundial, me brindó

A mi familia, por apoyarme en esta investigación que marca un momento importante en mi

A mi tutor, el Ingeniero Ricardo Chicas y a la profesora Laura Ramírez, quienes me

¡A todos, muchas gracias!

profesional y, al mismo tiempo, una buena persona.

A mi padre, Roberth, quien siempre me aconseja para mejorar, tanto en el ámbito

y me enseñan lo importante que es ser feliz para lograr tus metas.

A mis familiares, quienes se encuentran en diferentes partes del mundo, principalmente a

ser humano que soy.

cadena” Kevin Mitnick (s. f.).

En un mundo donde la digitalización y la tecnología están en un constante y acelerado desarrollo,

siempre adaptándose a la identidad y el giro de negocio de cada organización.

Produsoft S. A. es una empresa costarricense encargada de dar servicios y soluciones tecnológicas

empleados y los clientes, en cuyos apartados se menciona la importancia de la confidencialidad de

llevar a cabo un documento de las políticas de seguridad informática establecidas en Produsoft.

la norma para velar por la mayor y mejor seguridad en Produsoft.

in security matters in Produsoft.

Capítulo I. Marco introductorio........................................................................................................2

1.1. Delimitación del tema ...........................................................................................................2

1.2. Antecedentes del problema ...................................................................................................4

1.3. Planteamiento del problema .................................................................................................7

1.3.1. Problemas específicos ...................................................................................................7

1.4. Justificación ..........................................................................................................................7

1.5. Objetivos ...............................................................................................................................8