Logo Studenta

Seguridad informática tesis

Seguridad Informática

SIN SIGLA

0
Dislike0
0
Dislike0
Comment0
User badge image

Angélica Mendez

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

LikeFooter
DislikeFooter

Seguridad Informática

3901 Materiales compartidos

mobile

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

FACULTAD DE CIENCIAS EMPRESARIALES
CARRERA DE INGENIERÍA DE SISTEMAS DE 
INFORMACIÓN Y GESTIÓN
 
 
“BUENAS PRÁCTICAS EN LA GESTIÓN DE PROYECTOS DE
IMPLEMENTACIÓN DE SEGURIDAD INFORMÁTICA
PERIMETRAL EN LOS DATA CENTER DE CLIENTES
EMPRESARIALES”
 
Tesis para optar por el Título Profesional de:
Ingeniero de Sistemas de Información y Gestión
XXX
LIMA – PERÚ
 2015
1
COPIA DEL ACTA DE SUSTENTACIÓN
2
DEDICATORIA
 
Dedico esta tesis a mi Familia por 
el Apoyo incondicional para el logro
de mis metas.
3
AGRADECIMIENTOS
Agradezco a Dios por guiarme
y mi alma máter por forjarme mi
futuro como profesional.
4
ÍNDICE GENERAL
COPIA DEL ACTA DE SUSTENTACIÓN........................................................................II
DEDICATORIA.............................................................................................................. III
AGRADECIMIENTOS................................................................................................... IV
ÍNDICE GENERAL........................................................................................................V
INDICE DE FIGURAS.................................................................................................. IX
INDICE DE TABLAS......................................................................................................X
INDICE DE ANEXOS....................................................................................................XI
RESUMEN..................................................................................................................XII
ABSTRACT..................................................................................................................13
CAPÍTULO I.................................................................................................................14
INTRODUCCIÓN.........................................................................................................14
INTRODUCCIÓN.........................................................................................................15
1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION.....................................17
1.1 Planteamiento del Problema..........................................................................17
1.1.1 Formulación de la Pregunta de Investigación.......................................18
1.1.1.1 Pregunta General......................................................................18
1.1.1.2 Preguntas Específicas...............................................................19
1.2 Justificación....................................................................................................19
1.2.1 Justificación Teórica..............................................................................19
1.2.2 Justificación Práctica.............................................................................19
1.3 Delimitación y Alcance...................................................................................19
1.4 Objetivos........................................................................................................20
1.4.1 Objetivo General...................................................................................20
1.4.2 Objetivos Específicos............................................................................20
1.5 Antecedentes de la Investigación...................................................................20
1.6 Marco Teórico.................................................................................................21
1.6.1 Seguridad de la Información.................................................................21
1.6.2 Normas ISO..........................................................................................22
1.6.2.1 ISO 27000.................................................................................22
1.6.2.2 ISO 27001.................................................................................22
1.6.2.3 ISO 27002.................................................................................23
5
1.6.2.4 ISO 9001...................................................................................23
1.6.3 COBIT...................................................................................................24
1.6.4 Gestión de Proyectos - PMBOK............................................................24
1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL...................25
1.6.6 Ciclo de Deming....................................................................................26
1.6.7 Políticas Tecnológicas...........................................................................27
1.6.8 Amenazas.............................................................................................31
1.6.9 Sistema Gestión de Seguridad de la Información - SGSI......................36
1.6.10 Gestión de Riesgos............................................................................37
1.6.10.1 Normatividad........................................................................38
1.6.11 Seguridad de la Red...........................................................................39
1.6.11.1 Red Plana sin seguridad.......................................................39
1.6.11.2 Seguridad Perimetral............................................................40
1.6.12 Empresa.............................................................................................42
1.6.12.1 Cortez SAC...........................................................................42
1.6.12.2 Área de Implementación de proyectos de seguridad............42
1.6.12.3 Área de Ventas.....................................................................42
1.6.12.4 Área de Post-venta...............................................................42
1.7 Hipótesis General...........................................................................................43
1.7.1 Hipótesis Específicas de Investigación 1..............................................43
1.7.2 Hipótesis Específicas de Investigación 2..............................................44
CAPÍTULO II................................................................................................................45
MATERIALES Y MÉTODOS........................................................................................45
2. MATERIALES Y MÉTODOS.................................................................................46
2.1 Materiales......................................................................................................46
2.1.1 Personal................................................................................................46
2.1.2 Materiales.............................................................................................46
2.1.3 Tiempo..................................................................................................46
2.1.4 Equipamiento........................................................................................48
2.1.4.1 Equipo Firewall..........................................................................48
2.1.5 Situación y exigencia del problema.......................................................48
2.2 Métodos.........................................................................................................48
2.2.1 Procedimientos o Métodos....................................................................48
6
2.2.2 Diseño de Investigación........................................................................48
2.2.2.1 No Experimental........................................................................48
2.2.3 Tipo de Investigación............................................................................49
2.2.3.1 Descriptiva.................................................................................49
2.2.3.2 Analítica.....................................................................................492.2.4 Enfoque de investigación......................................................................49
2.2.5 Delimitación y definición de la población de estudio.............................50
2.2.5.1 Población y Muestra..................................................................50
2.2.6 Aplicar criterios para seleccionar muestra de estudio...........................50
2.2.6.1 Técnicas de recolección de datos..............................................50
2.2.7 Variables...............................................................................................51
2.2.7.1 Definición Operacional de las Variables.....................................51
2.2.8 Criterios de inclusión y exclusión..........................................................52
2.2.8.1 Criterios de Inclusión.................................................................52
2.2.8.2 Criterios de Exclusión................................................................53
2.2.9 Análisis de confiabilidad del instrumento de investigación....................53
2.2.10 Análisis de validez del instrumento de investigación...........................53
CAPÍTULO III...............................................................................................................55
RESULTADOS.............................................................................................................55
3. RESULTADOS......................................................................................................56
3.1 Aplicación de la Norma ISO 27001................................................................56
3.2 Aplicación de la Norma ISO 27002................................................................56
3.3 Diseño de la Red Perimetral..........................................................................57
3.4 Selección de equipos de Seguridad Perimetral..............................................59
3.4.1 Equipo Firewall.....................................................................................59
3.4.2 Comparativo de equipos Firewall..........................................................60
3.4.3 Solución de equipo Firewall elegido......................................................61
3.4.4 Configuración del Firewall.....................................................................62
3.5 Resultados de la implementación...................................................................63
3.6 SEGURIDAD INFORMÁTICA PERIMETRAL EN EQUIPOS CORTAFUEGOS..........65
3.6.1 Equipos.................................................................................................66
3.6.1.1 El Firewall..................................................................................66
3.6.2 Configuración de cortafuegos...............................................................66
7
3.6.2.1 Restricciones en el firewall........................................................66
3.6.3 Políticas y procedimientos de seguridad de la información...................66
3.6.3.1 Políticas de firewall alineadas con el ISO 27002.......................67
3.6.3.2 Control de Acceso.....................................................................68
3.6.4 Gestión de procesos usando PDCA......................................................69
DISCUSIÓN.................................................................................................................71
CONCLUSIONES Y RECOMENDACIONES...............................................................72
Conclusiones........................................................................................................72
Recomendaciones................................................................................................73
REFERENCIAS BIBLIOGRÁFICAS.............................................................................74
GLOSARIO..................................................................................................................76
ANEXOS......................................................................................................................88
8
INDICE DE FIGURAS
Figura 1. Seguridad de la información...............................................................22
Figura 2. Gobierno TI..........................................................................................24
Figura 3. PMBOK v5 – Áreas de Conocimiento.................................................25
Figura 4. Gestión de Servicios ITIL....................................................................26
Figura 5. Ciclo de mejora continúa: PHVA.........................................................27
Figura 6: La confidencialidad de los datos.........................................................28
Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los
datos...................................................................................................................29
Figura 8. Integridad.............................................................................................29
Figura 9. Sistema de No Repudio......................................................................30
Figura 10. Control de Acceso.............................................................................30
Figura 11. Disponibilidad....................................................................................30
Figura 12. Amenazas Humanas.........................................................................31
Figura 13. Amenazas de Hardware....................................................................34
Figura 14. Amenazas de Red.............................................................................34
Figura 15. ISMS Framework...............................................................................38
Figura 16. Red Plana sin Seguridad...................................................................39
Figura 17. Seguridad Perimetral en Redes........................................................40
Figura 18. Casos de éxito de Seguridad informática.........................................41
Figura 19. Cortafuegos FORTINET....................................................................47
Figura 20. Red Perimetral...................................................................................56
Figura 21. Topología Propuesta.........................................................................57
Figura 22. Top Selling Models Matrix.................................................................61
Figura 23. Políticas de Seguridad......................................................................65
Figura 24. Gestión de procesos usando PDCA.................................................68
9
INDICE DE TABLAS
Tabla 1. Cronograma de actividades piloto EP-ER............................................46
Tabla 2. Definición Operacional de las Variables...............................................51
Tabla 3. Comparativo de Marcas de Firewall.....................................................59
Tabla 4. Características y Costos de Equipos Firewall......................................60
Tabla 5. Procesos as-is (actual) y procesos to-be (futuro).................................62
Tabla 6. Buenas prácticas en Gestión de Proyectos.........................................69
Tabla 7. Gestión del alcance..............................................................................69
10
INDICE DE ANEX
ANEXO A. Normas de Seguridad Cloud............................................................87
Y
11
RESUMEN
En esta, investigación titulada, “Buenas Prácticas en la Gestión de
Proyectos de Implementación de Seguridad Informática Perimetral en los Data
Center de Clientes Empresariales”, el objetivo es desplegar el uso de buenas
prácticas en seguridad de la información perimetral aplicando las Normas ISO
27001 e ISO 27002 que son atendidos por la empresa Cortez SAC.
Este estudio es aplicado. No Experimental.La empresa tiene 16
usuarios técnicos y 8 gerentes de TI. También 1 ingeniero de Redes y
Seguridad Informática. La población total es de 32 personas.
Analizaremos dos proyectos de implementación de la red perimetral en
los clientes "Empresa Editora del Perú" y "El Rocío". (El proyecto-1 sin buenas
prácticas y el proyecto-2 migración con buenas prácticas).
Como instrumento se utiliza la entrevista, mediante preguntas
específicas al responsable de seguridad informática del cliente, temas como
diseño de la red perimetral, configuración del Firewall, configuración de equipos
reemplazados vs configuración de los equipos nuevos.
Los resultados fueron no esperados por los administradores de
seguridad y de redes del cliente debido por las nuevas soluciones, pero
presentándola de otra forma, logrando minimizar al máximo las probabilidades
de sufrir impactos negativos y pérdidas originados por la falta de seguridad.
En conclusión, existen muchas deficiencias en la gran mayoría de
organizaciones en materia de seguridad, consideran cara y complicada, pero
es más caro es sufrir las consecuencias por la falta de seguridad en el sistema
de información. Finalmente conocer los elementos a implementar, adquirir la
certificación Estándar Internacional, evaluación para el análisis y solucionar los
problemas de seguridad. 
Palabras Claves: Seguridad de Información, ISO 27001, ISO 27002, Red
Perimetral
12
ABSTRACT
In this, research entitled, "Best Practices in Project Management
Implementation Information Security Perimeter in the Data Center Business
Clients", the aim is to deploy the use of best practices in security perimeter
information by applying the ISO 27001 standards and ISO 27002 that are
served by the company Cortez SAC.
This study is applied. Experimental No. In the company 16 technical
users and 8 IT managers. Engineer also 1 Networking and Security. The total
population is 32 people.
We discuss two projects implementing the perimeter network clients
"Company Editor of Peru" and "El Rocio". (The project-1 without good practices
and project-2 migration with good practice).
As the interview instrument used by the person responsible for specific
client computer security topics such as perimeter network design, configuration
Firewall configuration settings vs replaced equipment new equipment questions.
The results were not expected by security administrators and network
client due to new solutions, but presenting it in another way, achieving full
minimize the chances of suffering negative impacts and losses caused by the
lack of security.
In conclusion, there are many shortcomings in the vast majority of
security organizations, considered expensive and complicated, but more
expensive is to suffer the consequences of the lack of security in the information
system. Finally know the elements to implement, acquire the International
Standard certification, analysis and evaluation for solving security problems.
Keywords: Information Security, ISO 27001, ISO 27002, Perimeter Network
13
14
CAPÍTULO I
INTRODUCCIÓN
15
INTRODUCCIÓN
Actualmente hay diferentes tipos de tecnologías las cuales van en
aumento, dejando atrás la parte de seguridad en la información. Dando como
resultado un gran número de huecos en seguridad, los cuales se pueden
corregir con atenciones y cuidados, con un listado de buenas prácticas y
políticas de seguridad. Esos huecos de seguridad, también se deben a la falta
de comunicación y de capacitación de los interesados los cuales se convierten
en el eslabón más débil en la cadena de seguridad.
Por lo cual, en el siguiente trabajo se describen las responsabilidades de
cada integrante de la empresa y las recomendaciones que deben seguir los
interesados.
Este trabajo escrito, es un conjunto de recomendaciones basadas en la
experiencia, en algunas políticas de seguridad y en un estándar para el control
de la tecnología de la información, como lo es COBIT. Con el fin de
proporcionarles a los usuarios, encargados y administradores, temas actuales
de seguridad en la información y en el centro de cómputo, dando como
resultado la certeza de que se está asegurando lo mejor posible.
En este trabajo, se tienen como objetivos:
- Diseñar buenas prácticas para la seguridad en la empresa.
- Proporcionar buenas prácticas de seguridad física y perimetral a los
integrantes en la empresa.
- Promover el concepto de seguridad.
- Promover la importancia de las buenas prácticas entre los
administradores y usuarios.
- Difundir las buenas prácticas en la empresa.
16
Se pretende evaluar el conocimiento en la empresa, desde la
organización, servicios de seguridad y las tareas de los principales autores en
la empresa, mecanismos de seguridad, entre otras actividades, esto para
brindar una mejor seguridad interna y externa en la empresa. 
Al identificar y analizar los servicios en la empresa, se van elaborando
medidas preventivas, como realizar un análisis para detectar los posibles
riesgos, implementando cierto grado de seguridad en los servicios de la
empresa, así como controles que ayudan a proporcionar un mejor entorno en la
seguridad de la empresa.
Se brinda la importancia de identificar y comprender las políticas de
seguridad y las buenas prácticas, saber que para cada recurso hay
lineamientos a seguir. Y la importancia de la información para tomar las
medidas necesarias e impedir su pérdida.
Se encuentra también una metodología propuesta, que contiene
conceptos como: seguridad, vulnerabilidades y amenazas de igual manera la
forma de la estructura de la organización y los diferentes dispositivos en el
centro de cómputo por medio de una encuesta para identificar el estado inicial
o actual de la empresa con sus respectivos requerimientos.
Con la información recopilada en este trabajo se pretende proporcionar
una guía para la implementación de la seguridad en la empresa, así como
también promover el concepto de seguridad, difundiendo las buenas prácticas
con diferentes métodos, para que los integrantes del centro las conozcan y las
lleven a cabo.
El principal objetivo de este trabajo es la aplicación de la Norma ISO
27001 e ISO 27002, métodos y estrategias para el diseño, elaboración,
implementación, retroalimentación y difusión de las buenas prácticas de
seguridad para optimizar la manera en que se resguarda la información y el
lugar de trabajo. 
17
1. PLANTEAMIENTO DEL PROBLEMA Y JUSTIFICACION
El presente trabajo propone una estrategia para implementar proyectos
de seguridad informática perimetral usando las buenas prácticas en Seguridad
de la Información basado en las normas ISO 27001 e ISO 27002. 
Es precisamente, en la gestión de este tipo de proyectos, donde se ha
observado que algunos integrantes de nuestros equipos de ventas y soporte
técnico no aplican las mejores prácticas lo que ocasiona retrasos en los
entregables, problemas de vulnerabilidad en la red perimetral de los centros de
datos de clientes empresariales, insatisfacción por parte de los clientes y
exceso en los costos del proyecto. Por el lado del cliente, el personal que
administra la seguridad y redes también adolece de competencias en seguridad
de la Información.
La aplicación de las Normas ISO 27001 ha permitido ordenar nuestro
trabajo funcional, estableciendo reglas de control basados en Políticas y
Procedimientos que debemos seguir para una correcta Gestión de Riesgos en
nuestros clientes.
La aplicación de la Norma ISO 27002 ha permitido estandarizar y
gestionar nuestro trabajo técnico aplicado a la seguridad informática perimetral,
empezando por dos dominios básicos, elambiente de seguridad física y el
control de accesos a los sistemas de información.
Por tal motivo, se presenta una estrategia comprobada en las dos
últimas implementaciones realizadas, que nos ha permitido demostrar la
validez de la aplicación de buenas prácticas en la Seguridad de la Información;
que venimos desplegando a los diversos equipos de trabajo que implementan
proyectos de seguridad informática perimetral. 
18
1.1 Planteamiento del Problema
La formación académica, entrenamiento y experiencia que adquieren los
Ingenieros de Sistemas que se especializan como Administradores de
Seguridad Informática y Redes a lo largo de su desarrollo profesional, les
permiten identificar cuando no existe una adecuada gestión de los proyectos de
seguridad informática, lo que se complica porque también deben gestionar el
aprovisionamiento de los equipos y componentes de la red perimetral y
mantener protegida la red interna y externa de la empresa.
Se ha observado que en la empresa Cortez SAC no hay una adecuada
coordinación técnica con el área de ventas cuando se ganan proyectos de
altas, migración o upgrade de equipos de seguridad perimetral, ya que por la
rapidez en entregar el RFP el encargado de la relación comercial con el cliente
muchas veces no incluye la recomendación técnica de los ingenieros
especialistas sobre los equipos ofrecidos en la fase de ventas y genera que el
perímetro de la red interna y externa esté expuesta a amenazas y riesgos
También se debe mejorar la gestión de tiempos, costos, entregables y
recursos necesarios para cumplir con los servicios ofrecidos a los clientes; se
debe mejorar la asignación de recursos en los data centers , ha ocurrido que el
ingeniero encargado de gestionar la seguridad informática en el cliente por falta
de un asistente técnico ha tenido que atender incidentes de 2do nivel que le
obliga a dejar sus actividades de implementación de la seguridad perimetral , lo
que a su vez repercute en incumplir con los tiempos acordados de
implementación del proyecto.
Por tal razón, para mantener segura la red informática perimetral de los
data centers de los clientes se deben aplicar las buenas prácticas en Seguridad
de la Información en la gestión de proyectos y servicios de seguridad
informática.
19
1.1.1 Formulación de la Pregunta de Investigación
1.1.1.1 Pregunta General
¿En qué medida el uso de buenas prácticas en Seguridad de la
Información ha permitido implementar exitosamente los proyectos de
seguridad informática perimetral en los data center de clientes
empresariales?
1.1.1.2 Preguntas Específicas
¿De qué manera la aplicación de la Norma ISO 27001 ha influido
en una gestión adecuada de la seguridad de la información en la data
center de clientes empresariales?
¿De qué manera la aplicación de la norma ISO 27002 ha
controlado el acceso externo e interno a los servicios informáticos para
mantener la red perimetral libre de amenazas e intrusiones en los data
center de clientes empresariales?
1.2 Justificación 
1.2.1 Justificación Teórica
Diversas investigaciones y casos de éxito sobre proyectos de seguridad
informática, han permitido demostrar que el uso de las buenas prácticas en
Seguridad de la Información permite garantizar la gestión adecuada de los
riesgos y servicios de seguridad informática en la red perimetral externo e
interno de la empresa.
Las buenas prácticas están soportadas por las Normas ISO 27001 e ISO
27002. 
1.2.2 Justificación Práctica
La aplicación de la Normas ISO 27001 e ISO 27002 de Buenas
Prácticas en Gestión de Sistemas de Seguridad de Información permitirá
ordenar el trabajo del personal, estandarizando procesos e implementar
proyectos exitosos, en tiempo, presupuesto, calidad y satisfacción del cliente;
20
además, contar con personal certificado y/o con experiencia en diversos
equipos y componentes de redes y seguridad informática que implementamos
o a los que damos soporte técnico.
1.3 Delimitación y Alcance
Esta investigación aplicada considera las áreas de Ventas, tiene un
alcance específico entre las dos áreas analizadas, pues el personal que las
integran cumplen roles y tienen competencias técnicas para la gestión de
seguridad informática que desarrollan en los clientes de Lima y provincias. 
1.4 Objetivos
1.4.1 Objetivo General
Desplegar el uso de buenas prácticas en seguridad de la información
para la gestión de proyectos de seguridad informática perimetral en los data
center de clientes empresariales.
1.4.2 Objetivos Específicos
Aplicar la Norma ISO 27001 para gestionar la Seguridad de la
Información en la data center de clientes empresariales.
Aplicar la Norma ISO 27002 para controlar el acceso externo e interno
de los servicios informáticos y mantener segura la red perimetral contra
amenazas e intrusiones en la data center de clientes empresariales.
1.5 Antecedentes de la Investigación 
La empresa actualmente no aplica las buenas prácticas en gestión de
seguridad de la información y en seguridad informática perimetral. El avance
tecnológico hace que aparezcan nuevos equipos y sistemas más robustos de
mejor rendimiento, calidad y costo; a la vez, otros equipos quedan obsoletos a
nivel técnico y son reemplazados. Debido a que en los proyectos de
implementación de seguridad perimetral hemos venido trabajando con equipos
21
de un mismo fabricante, y por su uso continuo conocemos de memoria las
especificaciones de los nuevos equipos. 
El uso de nuevas soluciones de seguridad perimetral sobre todo en la
migración de configuración de un equipo a otro traía consigo resultados no
esperados por los administradores de seguridad y de redes del cliente
ocasionando retrasos en demostrar que las funcionalidades con el nuevo
equipo de seguridad son las mismas pero presentado de otra forma.
1.6 Marco Teórico
La aplicación y uso de las Tecnologías de la Información se da en
diferentes campos de aplicación y para la gestión adecuada de dichos servicios
existen buenas prácticas que guían el uso de la infraestructura tecnológica
existente. A continuación, se describen buenas prácticas y estándares que
soportan la gestión de proyectos de seguridad informática perimetral, entre los
principales están.
1.6.1 Seguridad de la Información
Según López y Quezada (2006): en su libro Fundamentos de
Seguridad Informática, “El término seguridad de la información se
refiere a la prevención y a la protección, a través de ciertos
mecanismos, para evitar que ocurra de manera accidental o
intencional la transferencia, modificación, fusión o destrucción no
autorizada de la información”. (p. 23)
Debido a que la información es un activo no menos importante que otros
activos comerciales, es esencial para cualquier negocio u organización contar
con las medidas adecuadas de protección de la información, especialmente en
la actualidad, donde la información se difunde a través de miles y miles de
redes interconectadas. Esto multiplica la cantidad de amenazas y
vulnerabilidades a las que queda expuesta la información.
22
La información puede existir en muchas formas, por ejemplo, puede
estar impresa o escrita en papel, almacenada electrónicamente, transmitida por
correo o utilizando medios electrónicos, hablada en una conversación, etc. Sea
cual sea la forma en la que se tenga la información, debe estar en todo caso
protegida.
La seguridad de la información se logra implementando un conjunto
adecuado de controles, políticas, procesos, procedimientos, estructuras
organizacionales, y otras acciones que hagan que la información pueda ser
accedida sólo por aquellas personas que están debidamente autorizadas para
hacerlo.
Figura1. Seguridad de la información.
1.6.2 Normas ISO
1.6.2.1 ISO 27000
En fase de desarrollo. Contendrá términos y definiciones que se
emplean en toda la serie 27000. La aplicación de cualquier estándar
necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos técnicos y de gestión. Esta norma será
gratuita, a diferencia de las demás de la serie, que tendrán un coste.
ISO 27000 en español, (2016): La BSI (British Standards
Institution) desde 1901 ha sido la primera organización de
certificación a nivel mundial, ha publicado normas como: BS
5750, año 1979 - ahora ISO 9001. BS 7750, año 1992 -
ahora ISO 14001. BS 8800, año 1996 - ahora OHSAS
23
18001. La norma BS7799 se publicó en 1995 con el fin de
recomendar buenas prácticas para la gestión de la
seguridad de la información. Esta fue adoptada por ISO en
el año 2000, como ISO 17799. (Consultado 15.04.2016)
1.6.2.2 ISO 27001
ISO 27001 en Español, (2016): Es la norma principal de
requisitos del sistema de gestión de seguridad de la
información. Tiene su origen en la BS 7799-2:2002 y es la
norma con arreglo a la cual se certifican por auditores
externos los SGSI de las organizaciones. Fue publicada el
15 de Octubre de 2005 y sustituye a la BS 7799-2,
habiéndose establecido unas condiciones de transición para
aquellas empresas certificadas en esta última. (Consultado
15.04.2016)
1.6.2.3 ISO 27002
ISO 27001 en español, (2016): Cambio de nomenclatura de
ISO 17799:2005 realizada el 1 de Julio de 2007. Es una guía
de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la
información. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios.
(Consultado 15.04.2016)
A través de este documento se puede identificar un marco de
trabajo más amplio para una organización cuando se desea implementar
políticas de seguridad.
1.6.2.4 ISO 9001
ISO 9001 en español, (2016): Define los requerimientos para los
sistemas de gestión de calidad. Aunque a primera vista la gestión
de calidad y la gestión de seguridad de la información no tienen
mucho en común, lo cierto es que aproximadamente el 25% de
24
los requisitos de ISO 27001 y de ISO 9001 son los mismos:
control de documentos, auditoría interna, revisión por parte de la
dirección, medidas correctivas, definición de objetivos y gestión
de competencias. Esto quiere decir que si una empresa ha
implementado ISO 9001 le resultará mucho más sencillo
implementar ISO 27001. (Consultado 15.04.2016)
1.6.3 COBIT
Según el estudio de INFORMATION SYSTEMS AUDIT AND
CONTROL ASSOCIATION (2012): COBIT 5 es un marco de
gobierno de TI y herramientas de apoyo que permite a los
administradores para cerrar la brecha entre las necesidades de
control, cuestiones técnicas y los riesgos empresariales. COBIT
permite el desarrollo de una política clara y de buenas prácticas
para el control de TI en las organizaciones. COBIT enfatiza el
cumplimiento normativo, ayuda a las organizaciones a aumentar el
valor alcanzado desde IT, permite la alineación y simplifica la
implementación del marco de gobierno de TI y el control de las
empresas. (p.5)
Figura 2. Gobierno TI 
25
1.6.4 Gestión de Proyectos - PMBOK
Según (Guía del PMBOK®) -Quinta edición (2013): Una guía para
el Cuerpo Proyecto de Gestión del Conocimiento refleja la
colaboración y el conocimiento de los directores de proyectos de
trabajo y proporciona los fundamentos de la gestión de proyectos
que se aplican a una amplia gama de proyectos. Esta norma
internacionalmente reconocida ofrece a los administradores de
proyectos las herramientas esenciales para la práctica de la
gestión del proyecto y entregar resultados de la organización. (p.1)
Figura 3. PMBOK v5 – Áreas de Conocimiento
1.6.5 Gestión de Servicios de Infraestructura Tecnológica - ITIL
Muñoz y Martínez (2012): en su Proyecto de Caracterización de
Procesos de Gestión de TI basados en COBIT 5 y mapeo con ISO27002, ITIL,
CMMI DEV, PMBOK, para la implementación en la industria Editorial, dicen:
The Official Introduction to the ITIL La Information Technology
Infrastructure Library (ITIL) define los requisitos de estructura y
habilidades organizacionales de una organización de tecnología de
la información y un conjunto de procedimientos y prácticas de
gestión operativa estándar para permitir la organización gestionar
una operación de TI y la infraestructura asociada. Los
procedimientos y prácticas operativas son independientes y se
26
aplican a todos los aspectos dentro de la infraestructura de TI. La
figura 1.2 muestra la estructura circular de mejora continua que
aplica ITIL para la gestión de servicios de Infraestructura
tecnológica en las organizaciones. (p.29)
Figura 4. Gestión de Servicios ITIL.
1.6.6 Ciclo de Deming 
Según Deming (1982):
“Mejorando la calidad es posible aumentar la productividad”
PDCA son las siglas en inglés del conocido “Ciclo de Deming”: Plan-Do-
Check-Act (Planificar- Hacer- Verificar- Actuar). (El PDCA lo componen 4
etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a
la primera y repetir el ciclo de nuevo, de forma que las actividades son
reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de
esta metodología está enfocada principalmente para ser usada en empresas y
organizaciones.
27
http://www.pdcahome.com/5202/ciclo-pdca/
Figura 5. Ciclo de mejora continua: PHVA.
1.6.7 Políticas Tecnológicas
Según Julio César Vásquez Paiva (2013) en su investigación de
“Políticas Tecnológicas Directas e Indirectas”, las políticas
tecnológicas son todas las acciones que realiza el Estado, en pro
de contribuir a la creación y fortalecimiento dela innovación
tecnológica tanto en el ámbito público como privado para así
mejorar el sistema tecnológico del país y así promover y elevar el
nivel de vida de sus habitantes. (p.45)
Dentro de estas políticas pueden diferenciarse dos tipos según su forma
de aplicarse, pero las cuales tienen el mismo fin en común, promover el nivel
tecnológico de las empresas tanto públicas como privadas, las cuales son las
siguientes:
● Políticas directas o explícitas: las cuales son los decretos de ley, leyes creadas
para motivar instituciones, proyectos, incentivos, entre otros, los cuales tienen
como fin llevar a cabo los planes tecnológicos del Estado.
28
● Políticas indirectas o implícitas: las cuales son estrategias que tienen fines
directo en el área política, social, cultural o económica pero que ocasiona
efectos secundarios en el ámbito tecnológico Servicios de Seguridad Informática.
● Un servicio de seguridad informática es aquel que mejora la seguridad de un
sistema de información y el flujo de información de una organización. Los
servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o más
mecanismos de seguridad para proveer el servicio.
Según Microsoft Encarta (2016):
“Seguridad es cualidad de seguro y define a este a su vez como
libre y exento de todo peligro, daño o riesgo”. (p.9)
Clasificación
● Confidencialidad
● Autenticación
● Integridad
● No repudio
● Control de acceso
● Disponibilidad
a. Confidencialidad
Servicio de seguridad o condición que asegura que la información no
pueda estar disponible o ser descubierta por o para personas, entidades o
procesos no autorizados. También puede verse como la capacidad del sistema
para evitar que personas no autorizadas puedan acceder a la información
almacenada en él.
Figura 6: La confidencialidad de los datos.
b. Autenticación
29
Es el servicio que tratade asegurar que una comunicación sea
auténtica, es decir, verificar que el origen de los datos es el correcto, quién los
envió y cuándo fueron enviados y recibidos también sean correctos. Algunos
métodos de autenticación son: Biométricos, Tarjetas inteligentes, Métodos
clásicos basados en contraseña, etc. 
Figura 7. Algunos mecanismos para salvaguardar la confidencialidad de los datos.
c. Integridad
Servicio de seguridad que garantiza que la información sea modificada,
incluyendo su creación y borrado, sólo por el personal autorizado.
Figura 8. Integridad.
d. No repudio
El no repudio sirve a los emisores o a los receptores para negar un
mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor
puede probar que el mensaje fue enviado por el presunto emisor. De manera
similar, cuando un mensaje es recibido, el remitente puede probar que el
mensaje fue recibido por el presunto receptor.
30
Figura 9. Sistema de No Repudio.
e. Control de Acceso
Un control de acceso se ejecuta con el fin de que un usuario sea
identificado y autenticado de manera exitosa para que entonces le sea
permitido el acceso. El control de acceso puede ejecutarse de acuerdo con los
niveles de seguridad y puede ejecutarse mediante la administración de la red o
por una entidad individual de acuerdo con las políticas de control de acceso.
Figura 10. Control de Acceso.
f. Disponibilidad
En un entorno donde las comunicaciones juegan un papel importante es
necesario asegurar que la red esté siempre disponible.
31
Figura 11. Disponibilidad.
1.6.8 Amenazas
Microsoft (2016):
La Amenaza es la probabilidad de ocurrencia de un suceso
potencialmente desastroso durante cierto periodo de tiempo, en un
sitio dado. En general el concepto de amenaza se refiere a un
peligro latente o factor de riesgo externo, de un sistema o de un
sujeto expuesto, expresada matemáticamente como la probabilidad
de exceder un nivel de ocurrencia de un suceso con una cierta
intensidad, en un sitio específico y durante un tiempo de exposición
determinado. (Consultado 15.04.2016).
Una amenaza se representa a través de una persona, una circunstancia
o evento, un fenómeno o una idea maliciosa, las cuales pueden provocar daño
en los sistemas de información, produciendo pérdidas materiales, financieras o
de otro tipo. Las amenazas son múltiples desde una inundación, un fallo
eléctrico o una organización criminal o terrorista. Así, una amenaza es todo
aquello que intenta o pretende destruir.
a. Amenazas Humanas
Surge por ignorancia en el manejo de la información, por descuido, por
negligencia, por inconformidad. Para este caso se pueden considerar a los
hackers, crakers, phreakers, carding, trashing, gurús, lamers o scriptkiddies,
copyhackers, bucaneros, newbie, wannabers, samurai, creadores de virus y los
que se listan a continuación:
32
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/Amenazas.php
Figura 12. Amenazas Humanas.
Ingeniería social: es la manipulación de las personas para convencerlas de
que ejecuten acciones o actos que normalmente no realizan de forma que
revelen datos indispensables que permitan superar las barreras de seguridad.
Esta técnica es una de las más usadas y efectivas al momento de averiguar
nombres de usuarios y contraseñas.
Ingeniería social inversa: consiste en la generación, por parte de los intrusos,
de una situación inversa a la original en la ingeniería social. En este caso el
intruso publicita de alguna manera que es capaz de brindar ayuda a los
usuarios y éstos lo llaman ante algún imprevisto. El intruso aprovechará esta
oportunidad para pedir información necesaria para solucionar el problema del
usuario y el propio.
Robo: Las computadoras son las posesiones más valiosas de la empresa y se
encuentran expuestas. Es frecuente que los operadores utilicen las
computadoras de las empresas para realizar trabajos privados o para otras
organizaciones y de esta manera robar tiempo de máquina.
Fraude: Cada año millones de dólares son sustraídos de las empresas y, en
muchas ocasiones, las computadoras son utilizadas para dichos fines. Es uno
de los problemas más habituales de las Organizaciones, sea del tipo que sea y
a todos los niveles, ya que se refiere al perjuicio económico patrimonial
33
realizado con ánimo de lucro y llevado a cabo con engaño. El fraude no trata
más que lograr un beneficio ilegal reduciendo las propiedades de la compañía.
Sabotaje: El sabotaje ha sido utilizado desde la antigüedad, partiendo del
axioma de “una eficiencia máxima, con unos medios y un riesgo mínimo para el
saboteador. Para lograr estos fines el saboteador tratará de determinar los
puntos débiles de la organización y estudiará las posibilidades de acceder a las
áreas donde mayor daño pueda hacer. Es el peligro más temido en los centros
de procesamiento de datos, ya que éste puede realizarlo un empleado o un
sujeto ajeno a la empresa.
Personal: De los robos, fraudes, sabotajes o accidentes relacionados con los
sistemas, el 73% es causado por el personal de la organización propietaria de
dichos sistemas.
Personal interno: Son las amenazas al sistema provenientes del personal del
propio sistema informático. Los daños causados por el personal pueden ser
accidentales, deliberados o productos de la negligencia. Los recursos y
programas así como la información, deben estar especialmente protegidos
contra estos tipos de daños.
Ex-empleado: Generalmente son personas descontentas con la organización y
que conocen a la perfección la estructura del sistema, por consiguiente, tienen
los conocimientos necesarios para causar cualquier tipo de daño.
Curiosos: Son personas que tienen un alta interés en las nuevas tecnologías,
pero aún no tienen la experiencia ni conocimientos básicos para considerarlos
hacker o crackers, generalmente no se trata de ataques dañinos, pero afecta el
entorno de fiabilidad y confiabilidad generado en un sistema.
Terrorista: En esta definición se engloba a cualquier persona que ataca al
sistema causando un daño de cualquier índole en él, tienen fines proselitistas o
religiosos.
Intrusos remunerados: Se trata de crackers o piratas con grandes
conocimientos y experiencia, pagados por una tercera parte para robar
34
secretos o simplemente para dañar de alguna manera la imagen de la entidad
atacada.
b. Amenazas de Hardware
Este tipo de amenazas se da por fallas físicas que se encuentra
presente en cualquier elemento de dispositivos que conforman la computadora.
Los problemas más identificados para que el suministro de energía falle son el
bajo voltaje, ruido electromagnético, distorsión, interferencias, alto voltaje,
variación de frecuencia, etc.
Figura 13. Amenazas de Hardware.
c. Amenazas de Red
Se presenta una amenaza cuando no se calcula bien el flujo de
información que va a circular por el canal de comunicación, es decir, que un
atacante podría saturar el canal de comunicación provocando la no
disponibilidad de la red. Otro factor es la desconexión del canal.
Figura 14. Amenazas de Red.
35
d. Amenazas Lógicas
La amenaza se hace presente cuando un diseño bien elaborado de un
mecanismo de seguridad se implementa mal, es decir, no cumple con las
especificaciones del diseño. La comunicación entre procesos puede resultar
una amenaza cuando un intruso utilice una aplicación que permita evitar y
recibir información, ésta podría consistir en enviar contraseñas y recibir el
mensaje de contraseña válida; dándole al intruso elementos para un posible
ataque.
En la mayoría de los sistemas, los usuarios no pueden determinar si el
hardware o el software con que funcionan son los que supone que deben ser.
Esto facilita al intruso para que pueda reemplazar un programasin
conocimiento del usuario y éste pueda inadvertidamente teclear su contraseña
en un programa de entrada falso al cual también se le denomina códigos
maliciosos.
Los tipos de códigos maliciosos más comunes son: caballos de Troya,
virus, gusanos, bombas de tiempo y keyloggers.
Caballos de Troya: Es un programa aparentemente útil que contiene funciones
escondidas y además pueden explotar los privilegios de un usuario dando
como resultado una amenaza hacia la seguridad. Un caballo de Troya es más
peligroso que un administrador del sistema o un usuario con ciertos privilegios,
ya que se introducen al sistema bajo una apariencia totalmente diferente a la
de su objetivo final; esto es, que se presente como información perdida o
basura, sin ningún sentido. Pero al cabo de algún tiempo, y esperando la
indicación del programa, despierta y comienzan a ejecutarse y a mostrar sus
verdaderas intenciones. También pueden aparentar ser un programa de juegos
o entretener al usuario mostrando pantallas de espectáculos y sonidos
agradables, mientras realizan operaciones dañinas para el sistema.
36
Virus Un virus informático es un programa informático malicioso que cuando
una persona confiada lo ejecuta, lleva a cabo tareas que incluyen
fundamentalmente reproducirse a sí mismos y en algunos casos desplegar una
carga dañina. Las principales formas de propagación son:
● Medios de difusión externos: cualquier dispositivo de almacenamiento que
puede contener un archivo de ordenador, como DVD, o CD, y pueda
conectarse o insertarse en una computadora.
● Conexión a la red: Una red es un grupo de ordenadores conectados entre sí
para poder intercambiar datos. Internet, que es la fuente virus más común, hoy
en día, es una gran red. Los virus pueden usar la conexión de computadora a
computadora.
● Las tres vías de propagación más ampliamente conocidas son: un archivo
anexo o adjunto al correo electrónico, una transferencia FTP, TELNET, otros
servicios web; y descargar un archivo infectado desde una página web, etc.
Gusanos: Son programas que se reproducen a sí mismos y no requieren de un
anfitrión, pues se arrastran literalmente por todo el sistema sin necesidad de un
programa que los transporte. Los gusanos se cargan en la memoria y se
posicionan en una determinada dirección, luego se copian en otro lugar y se
borran del que ocupaban, y así sucesivamente, esto hace que queden borrados
los programas o información que encuentran a su paso por la memoria, lo que
causa problemas de operación o pérdida de datos. Los gusanos
frecuentemente se propagan de una computadora a otra a través de las
conexiones de la red. Los gusanos con frecuencia roban, destruyen o modifican
datos en una computadora. Los gusanos tienen como única misión la de
colapsar cualquier sistema, ya que son programas que se copian en archivos
distintos en cadena hasta crear miles de réplicas de sí mismos.
Bombas de Tiempo: son programas ocultos en la memoria del sistema o en
los discos, dentro de archivos de programas ejecutables con extensión .COM
o .EXE. Esperan una fecha o una hora para explotar. Algunos de estos virus no
son destructivos y sólo exhiben mensajes en la pantalla al llegar el momento de
la explosión. Llegado el momento, se activa cuando se ejecuta el programa que
las contiene.
37
Keyloggers: los Keyloggers son programas para el espionaje que plantean
muchos problemas éticos y legales. La función del Keyloggers es registrar
todas las pulsaciones del teclado en un archivo del sistema para luego
proceder a su lectura, de esta manera todo lo que se haya escrito, como
nombres de usuario o contraseñas queda registrado en un archivo.
1.6.9 Sistema Gestión de Seguridad de la Información - SGSI
Goméz A. (2007) afirma:
“Un Sistema de Gestión de la Seguridad de la Información (SGSI)
consiste en un conjunto de políticas y procedimientos que
normalizan la gestión de la seguridad de la información, bien de
toda una organización o bien de uno o varios de sus procesos de
negocio”. (p.18)
Es importante tener siempre en mente que por Seguridad de la
Información se entiende el triple vector de confidencialidad, integridad y
disponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres
vertientes.
Existen diversos estándares, marcos de trabajo o metodologías para
implantar y mantener un SGSI, pero sin duda, la más socorrida es la serie ISO
27000. Este estándar internacional comprende todo un conjunto de normas
relacionadas con la Seguridad de la Información, de entre las que destacan las
más conocidas: la ISO 27001 y la ISO 27002.
¿Qué información protege un SGSI?
Los activos de información de una organización, independientemente del
soporte que se encuentren; p. ej., correos electrónicos, informes, escritos
relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes,
presentaciones, contratos, registros de clientes, información confidencial de
trabajadores y colaboradores.
38
El SGSI da así la garantía a la empresa de que los riesgos que afectan a
su información son conocidos y gestionados. No se debe olvidar, por tanto, que
no hay seguridad total sino seguridad gestionada.
1.6.10 Gestión de Riesgos
Mediante la gestión del riesgo se identifican, evalúan y corrigen a niveles
razonables y asumibles en coste todos los riesgos en seguridad que podrían
afectar a la información. Básicamente, la seguridad de la información es parte
de la gestión global del riesgo en una empresa, hay aspectos que se
superponen con la ciberseguridad, con la gestión de la continuidad del negocio
y con la tecnología de la información:
Figura 15. ISMS Framework.
DMR-Consulting (2005): 
“Proponen un método llamado Administración del Riesgo
Operacional (ARO), cuyo objetivo principal es operativizar
una metodología de trabajo, incorporando los indicadores
necesarios”. 
1.6.10.1 Normatividad
a. Políticas
39
●¿qué proteger?, ¿por qué? 
●simples de entender y fáciles de recordar 
b. Procedimientos
●Documentos que contienen el ¿quién? ¿cuándo? ¿cómo?
de la seguridad información dentro de la organización.
Las normas dictadas en la elaboración de la política de seguridad,
en algunos casos de forma concreta y en otros de forma más abstracta,
pero igualmente concluyentes, han de materializarse en una serie de
procedimientos y normas a seguir en la operación y mantenimiento de
las tareas diarias del MEC, al menos en lo relacionado con las
actividades que de una forma u otra tienen que ver con Internet.
1.6.11 Seguridad de la Red
Cisco, (2004):
“El Administrador de la red es el encargo de la configuración, fallas,
confiabilidad, comportamiento y seguridad en la red” (p.25)
1.6.11.1 Red Plana sin seguridad
Hernández y Huerta (2014), afirman:
Se considera una red de topología plana, a la red compuesta
únicamente por switches o hubs (actualmente ya no se utilizan los
hubs debido a la baja velocidad de funcionamiento y las altas
probabilidades de colisiones llegando a provocar deterioro e incluso
comprometiendo la operación de la red), una de las razones por las
cuales se sigue ocupando esta topología a pesar de los
inconvenientes, es la facilidad y el bajo costo de implementación ya
que todos los host están ubicados en la misma red; por lo tanto, la
adición de un nuevo host o de otro dispositivo es relativamente fácil.
(p. 78)
Las características de una red de comunicaciones sin seguridad son: 
● Red plana sin segmentar.
● Publicación de servicios internos: base de datos. 
● No hay elementos de monitorización. 
40
● No se filtra tráfico de entrada ni salida. 
● No se verifica malware o spam en el correo
electrónico. 
● Cliente remotoaccede directamente a los servicios.
Figura 16. Red Plana sin Seguridad
1.6.11.2 Seguridad Perimetral
Tirado (2012), en su tesis SISTEMA DE SEGURIDAD
PERIMETRAL INSTALACION Y CONFIGURACION DE
ENDIAN FIREWALL:
“Es el Agregado de Hardware, Software y políticas para
proteger una red en la que se tiene confianza (intranet) de
otras redes en las que no se tiene confianza (extranet,
internet)”.
Las múltiples amenazas y puntos de vulnerabilidad de los
sistemas de información hacen obligatorio que las empresas cuenten
con todos los recursos de seguridad necesarios para proteger sus
negocios. Proteja su información, sus redes, sus datos, sus
aplicaciones de los diferentes delitos informáticos y todo tipo de
malware existente.
Actualmente es necesario contar con una arquitectura de red con
múltiples dispositivos físicos hardware y software tales como
41
La arquitectura y elementos de red que proveen de seguridad al
perímetro de una red interna frente a otra que generalmente es
Internet:
● Cortafuegos.
● Sistemas de Detección y Prevención de Intrusos. 
● Pasarelas antivirus y antispam. 
● Honeypots.
Figura 17. Seguridad Perimetral en Redes
42
Figura 18. Casos de éxito de Seguridad informática.
43
1.6.12 Empresa
1.6.12.1 Cortez SAC.
La empresa Cortez SAC, es la institución que brinda servicios
especializados en seguridad informática y redes a clientes
empresariales que pertenecen al sector público y privado a nivel
nacional. Son ingenieros freelance que ofrecen servicios a grandes
operadores de servicios de telecomunicaciones.
1.6.12.2 Área de Implementación de proyectos de
seguridad
Lo integran Ingenieros especializados en Redes y Seguridad
Informática, cumplen dos funciones: implementar proyectos de
seguridad y soporte en la actualización de políticas en los equipos de
seguridad perimetral.
1.6.12.3 Área de Ventas
Conformado por personal administrativo con conocimientos
técnicos básicos para establecer negociación y proponer a los clientes
nuevos activos tecnológicos de seguridad informática.
1.6.12.4 Área de Post-venta
Conformado por Ingenieros, con conocimientos de redes y
seguridad informática, que residen en los locales de los clientes para
brindar soporte técnico y mantenimiento de los equipos existentes.
44
1.7 Hipótesis General
La aplicación de buenas prácticas en seguridad de la información permite
gestionar adecuadamente los proyectos de seguridad informática perimetral en
los centros de datos de clientes empresariales.
1.7.1 Hipótesis Específicas de Investigación 1
A. Hipótesis específicas 1 (HE1)
La aplicación de la Norma ISO 27001 permite gestionar adecuadamente
la Seguridad de la Información en los centros de datos de clientes
empresariales.
B. Indicador 1: Indicador: Gestión de Riesgos de Seguridad
Informática
Ia1: Gestión de Riesgos de Seguridad Informática antes de aplicar la
Norma ISO 27001.
Id1: Gestión de Riesgos de Seguridad Informática después de aplicar
la Norma ISO 27001.
C. Hipótesis Estadística 1:
Hipótesis Nula (H0): La aplicación de la Norma ISO 27001 no permite
gestionar adecuadamente la Seguridad de la Información en los centros de
datos de clientes empresariales.
H0 = Ia1 – Id1 ≥ 0
Hipótesis Alternativa (HA): La aplicación de la Norma ISO 27001 permite
gestionar adecuadamente la Seguridad de la Información en los centros de
datos de clientes empresariales.
45
HA = Ia1 – Id1 < 0
Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador
sin la Norma ISO 27001.
46
1.7.2 Hipótesis Específicas de Investigación 2
A. Hipótesis específicas 2 (HE2)
El control de los accesos a los servicios informáticos externos e internos,
permite proteger la red perimetral contra amenazas e intrusiones en los centros
de datos de clientes empresariales.
B. Indicador 1: Indicador: Diseño de la Red Perimetral
Ia1: Diseño de la red perimetral antes de aplicar la Norma ISO 27001.
Id1: Diseño de la red perimetral después de aplicar la Norma ISO
27001.
C. Hipótesis Estadística 2:
Hipótesis Nula (H0): La aplicación de la Norma ISO 27001 no permite el
diseño de la red perimetral en los centros de datos de clientes empresariales.
H0 = Ia2 – Id2 ≥ 0
Hipótesis Alternativa (HA): La aplicación de la Norma ISO 27001 permite
el diseño de la red perimetral en los centros de datos de clientes empresariales.
HA = Ia2 – Id2 < 0
Se deduce que el indicador con la Norma ISO 27001 es mejor que el indicador
sin la Norma ISO 27001. 
47
48
 
CAPÍTULO II
MATERIALES Y MÉTODOS
49
2. MATERIALES Y MÉTODOS
2.1 Materiales
2.1.1 Personal
● Jorge Aliaga, asistente de red seguridad de la empresa Editora del Perú. CCNA
y CCNA Security? (Cliente 1)
● Juan Valderrama, asistente de red y seguridad de la empresa El Rocío. CCNA
y CCNA Security? (cliente 2) 
● El Sr. Alejandro Cortez, Supervisor de redes y seguridad perteneciente a
CORTEZ SAC y que brinda soporte a los dos clientes. CCNA SECURITY,
CCSA, CCSP, NSE4, ITI, CompTIA Securtity 
2.1.2 Materiales
Se usaron herramientas y servicios de uso libre y licenciado, disponible
en la nube o instalado en estaciones clientes:
● Herramientas ofimáticas: Google Apps.
● Herramientas ofimáticas: Microsoft Office.
● Herramientas de diagramación: Microsoft Visio
● Servicios de videoconferencia: Google Hangouts.
● Correo electrónico: Gmail.
2.1.3 Tiempo
El plan de trabajo consideró las siguientes actividades que se muestran en la
tabla 2.x
50
Tabla 1
Cronograma de actividades piloto EP-ER
ACTIVIDAD TIEMPO ENTREGABLE
1. Identificar problema cliente 1 2d Entrevista de campo
2. Identificar problema cliente 2 4d Entrevista de campo (Trujillo)
3.Análisis del problemas en 
clientes
2d Lista de problemas de seguridad y redes
4.Análisis de problemas a nivel 
interno 
3d Lista de gaps en equipos de seguridad y redes
5.Resumen de problemas y 
soluciones
2d Matriz de problema, gaps y soluciones 
probables
6.Diseño funcional-técnico de la 
solución
15d Buenas prácticas en seguridad informática 
perimetral, SGSI, ISO 27001, ISO 27002
7. Presentar propuesta 4d Propuesta funcional y técnico de la solución
8. Evaluar propuesta 2d Aprobar propuesta
9. Aplicar propuesta en cliente 5d Checklist PHVA
10. Presentar resultados 3d Resultados
11.Mejorar propuesta 2d Propuesta mejorada
12. Aprobar propuesta 1d Propuesta aprobada
13. Desplegar solución a nivel 
interno
2d Implementación de equipos de seguridad y 
redes
14.Desplegar solución en 
clientes
5d Capacitación y entrenamiento en seguridad y 
redes a clientes
15. Cierre del piloto 2d Lecciones aprendidas, VB de clientes, VB de 
equipo interno
Fuente: Elaboración propia
51
2.1.4 Equipamiento 
2.1.4.1 Equipo Firewall
Figura 19. Cortafuegos FORTINET
2.1.5 Situación y exigencia del problema
Se visitaron los data center de los clientes elegidos, Lima y Trujillo. Se
requiere validar la mayor cantidad de problemas técnicos relacionados a
seguridad y redes, por eso se viajó a Trujillo para analizar los problemas que se
presentan en el cliente-2 que tiene las arquitecturas de redes WAN y LAN más
complejas y extensas, a las que damos servicios. 
2.2 Métodos
2.2.1 Procedimientos o Métodos
Se usaron los siguientes procedimientos y métodos:
● Normas ISO 27001
● Normas ISO 27002.
● Modelo SGSI.
2.2.2 Diseño de Investigación
De acuerdo al propósito de la investigación, naturaleza de los problemas
y objetivos formulados en el trabajo, el presente estudio reúne las condiciones
suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es
No Experimental.
2.2.2.1 No Experimental
La investigación no experimental es aquella que se realiza sin
manipular deliberadamente variables. Se basa fundamentalmente en la
observación de fenómenos tal y como se dan en su contexto natural para
analizarlos con posterioridad. Eneste tipo de investigación no hay
condiciones ni estímulos a los cuales se expongan los sujetos del
estudio. Los sujetos son observados en su ambiente natural.
52
2.2.3 Tipo de Investigación
De acuerdo al propósito de la investigación, naturaleza de los problemas
y objetivos formulados en el trabajo, el presente estudio reúne las condiciones
suficientes para ser calificado como un "Trabajo de Investigación Aplicado". Es
Descriptiva y Analítica
2.2.3.1 Descriptiva
Es descriptiva porque, se describió la situación actual de la
gestión de proyectos de seguridad informática en las empresas EEP y
ER. Se seleccionó los componentes del problema a investigar y se
recolectó la información sobre cada uno de ellos, para así describir el
tema del estudio.
2.2.3.2 Analítica
La información obtenida mediante la descripción de la situación
actual de los proyectos de implementación de seguridad informática
perimetral, permitió evaluar los equipos de seguridad informática
adecuados con la necesidad del cliente, asimismo, permitió analizar los
parámetros de configuración requeridos para considerarlos dentro de las
Políticas de Seguridad Informática Perimetral.
2.2.4 Enfoque de investigación
El enfoque de la investigación será mixto, cualitativo y cuantitativo: 
Según Hernández, Fernández & Baptista, (2014):
Cuantitativo porque consiste en utilizar la recolección y el análisis de
datos para contestar preguntas de investigación y probar la hipótesis
establecida previamente, y confía en la medición numérica, el conteo para
establecer con exactitud patrones de comportamiento en una población
Se tomará el enfoque cualitativo porque se pretende obtener la
recolección de datos para conocer o medir el fenómeno en estudio y
encontrar soluciones para la misma; la cual trae consigo la afirmación o
negación de la hipótesis establecida en dicho estudio.
53
2.2.5 Delimitación y definición de la población de estudio
La seguridad informática perimetral, puede analizarse revisando tres 
aspectos técnicos:
● Diseño de la red perimetral.
● Equipos de seguridad perimetral instalados. 
● Configuración del Firewall.
Para analizar la situación real será necesario entrevistar a los responsables de
seguridad de los clientes para conocer la situación actual. La investigación se
hará en clientes empresariales que residen en Lima y Trujillo.
2.2.5.1 Población y Muestra
Población
La población en estudio comprende 08 clientes empresariales se
brinda servicios de seguridad informática a sus centros de datos, ahí
interactúan 16 usuarios técnicos y 8 gerentes de TI. Nuestro equipo está
conformado por 1 ingeniero de Redes y Seguridad Informática. La
población total estimada es de 32 personas.
Muestra
Analizaremos dos proyectos de implementación de la red
perimetral en los clientes "Empresa Editora del Peru" y "El Rocío". (El
proyecto-1 sin buenas prácticas y el proyecto-2 migración con buenas
prácticas).
2.2.6 Aplicar criterios para seleccionar muestra de estudio
2.2.6.1 Técnicas de recolección de datos
a. Entrevista
La entrevista se utilizó para profundizar en la búsqueda de la
información técnica sobre el tema en estudio, mediante preguntas
específicas realizadas al responsable de seguridad informática del
cliente, temas como diseño de la red perimetral, configuración del
54
Firewall, configuración de equipos reemplazados vs configuración de los
equipos nuevos. 
b. Observación Directa
Mediante esta técnica, se realizaron visitas a cada data center
para revisar la configuración física y lógica de los equipos y
componentes de seguridad, según los estándares del fabricante y
alineado a las buenas prácticas en Seguridad de la Información. 
2.2.7 Variables
● Variable independiente: Buenas prácticas en Seguridad de la Información.
● Variable dependiente: Seguridad Informática Perimetral.
2.2.7.1 Definición Operacional de las Variables
Con respecto a las Buenas prácticas en Seguridad de la Información, se
escogieron tres indicadores basados en la Norma ISO 27001:
● Gestión de Riesgos de Seguridad Informática.
● Políticas y Procedimientos de Seguridad Informática.
● Equipos Certificados en Seguridad Informática. 
Con respecto a la Seguridad informática Perimetral, se eligieron dos
indicadores que hacen posible la gestión por parte del asistente de
seguridad:
● Diseño de la red perimetral.
● Configuración del Firewall.
La aplicación de estos cinco indicadores permite al área de seguridad y
redes gestionar la seguridad informática perimetral de manera integral.
55
Tabla 2. 
Definición Operacional de las Variables
Fuente: Elaboración propia
2.2.8 Criterios de inclusión y exclusión
Debido a la variedad y complejidad de modelos de equipos cortafuegos,
se optó por incluir en la muestra al equipo Fortinet FG-100D, FG-800C y los
parámetros de configuración que corresponden a Políticas del Cortafuegos
incluidas el filtrado web, filtrado de aplicaciones, antivirus e IPS. El resto de
equipos y parámetros de configuración no se consideran.
2.2.8.1 Criterios de Inclusión
● Equipos cortafuegos Fortinet, modelo FG-100D y FG 800C
● Parámetros de configuración de políticas del cortafuego de
seguridad perimetral.
2.2.8.2 Criterios de Exclusión
Todos los equipos cortafuegos que no son de la marca Fortinet.
Todos los equipos marcan Fortinet que no del modelo FG-100D Y FG-
800C
56
Se excluyen todos los parámetros de configuración que no
corresponden a Políticas del cortafuego para seguridad perimetral.
2.2.9 Análisis de confiabilidad del instrumento de investigación
Para (Juan Bogliaccini, 2005), la determinación de la confiabilidad de un
instrumento es útil para los investigadores ya que no solo ayuda a interpretar
un resultado, sino porque proporciona sugerencia si se necesitan
modificaciones del instrumento.
Según Kerlirger, citado por Roberto Marroquín Peña, define la
confiabilidad como el grado en que un instrumento produce resultados
consistentes y coherentes. Es decir, que en su aplicación repetida al mismo
sujeto u objetos produce resultados iguales.
En la presente investigación se contó con el apoyo de 3 expertos, los
cuales evaluaron la validez del instrumento llamado reporte mensual en donde
se observan cada información relevante para la medición de los indicadores de
las variables relacionadas, así mismo, la matriz de operacionalización de la
variable, cuyos resultados obtenidos, según el formato de validación de
instrumento.
2.2.10 Análisis de validez del instrumento de investigación
La validez del contenido generalmente se evalúa a través de un papel o
juicio de expertos, y en muy pocas ocasiones la evaluación está basada en
datos empíricos. Es por ello que el juicio de expertos en muchas áreas es una
parte importante de la información cuando las observaciones experimentales
están limitadas. El juicio de expertos es el conjunto de opiniones, valoraciones
y recomendaciones basadas sobre la experiencia y conocimiento de una elite
experta para desarrollar visiones a largo plazo; evaluar la validez, factibilidad o
deficiencias de los elementos o etapas de un proyecto; y obtener parámetros o
mediciones ciertos, bajo la premisa de que las diversas opiniones combinadas
entre sí proponen mejores resultados que una sola opinión. (Anónimo, 2010).
57
CAPÍTULO III
RESULTADOS
58
3. RESULTADOS
3.1 Aplicación de la Norma ISO 27001
Es la norma principal de la serie y contiene los requisitos del Sistema de
Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI.
3.2 Aplicación de la Norma ISO 27002
La ISO27002 consiste en una guía de buenas prácticas que permiten a
las organizaciones mejorar la seguridad de su información. Con este fin, define
una serie de objetivos de control y gestión que deberían ser perseguidos por
las organizaciones.
Éstos se hallan distribuidos en diferentes dominios que abarcan de una
forma integral todos los aspectos que han de ser tenidos en cuenta por las
organizaciones.
Dominios de la ISO 27002
● Los dominios que estructura la ISO 27002 son once (11):
● La política de seguridad.
● Los aspectos organizativos de la seguridad de la información.
● La gestión de activos.
● La seguridad ligada a los recursos humanos.
● La seguridad física y ambiental.
● La gestión de las comunicaciones y de las operaciones.
● Los controles de acceso a la información.
● La adquisición, desarrollo y mantenimiento de los sistemas de información.
● La gestión de incidentes en la seguridad de la información.
● La gestión de la continuidad del negocio.
● Los aspectos de cumplimiento legal y normativo.
3.3 Diseño de la Red Perimetral
Las directivas marcadas por la política de seguridad definida, nos
fuerzan a diseñar nuestra red como dos perímetros claramente definidos.
59
Un perímetro interior, en el que se situarán todos los recursos sensibles
a un posible ataque, aislado del perímetro exterior donde se situarán los
recursos menos sensibles, o que inevitablemente por motivos funcionales
deban estar en contacto con el mundo exterior de forma menos rígida. El
perímetro interior está aislado o protegido del perímetro exterior y del resto de
Internet, por medio de un dispositivo en el que se centralizan la mayoría de las
medidas: el firewall.
Figura 20. Red Perimetral.
En un ambiente con firewall se tiene lo siguiente:
● Protección de información privada: Define que usuarios de la red y qué
información va a obtener cada uno de ellos.
● Optimización de acceso: Define de manera directa los protocolos a utilizarse.
● Protección de intrusos: Protege de intrusos externos restringiendo los accesos
a la red.
Un creciente porcentaje de los llamados “ataques basados en contenido”
como virus, gusanos y caballos de Troya son introducidos en organizaciones a
través de las actividades más inocuas como la navegación Web. Esta
tendencia continuará en tanto las organizaciones sigan adoptando esquemas
de comunicación en tiempo real como aplicaciones Web y mensajería
instantánea para mantenerse competitivos. Desafortunadamente, los sistemas
de protección convencionales como los firewalls tradicionales carecen del
hardware requerido para llevar a cabo un análisis intensivo de los paquetes de
60
datos y contenido, necesarios para detectar estas amenazas sin afectar el
desempeño de las aplicaciones de red. Como resultado la mayoría de las
organizaciones están expuestas peligrosamente a estos ataques.
Es la solución de administración unificada de amenazas en tiempo real
que le ofrece la mayor protección a su red de datos, utilizando la última
generación en Sistemas de Seguridad FortiGate de Fortinet, ofreciendo un
rango completo de protecciones: firewall, VPN, detección y prevención de
intrusos, administración de ancho de banda, antivirus de borde, antispam y
filtrado de contenido web.
Figura 21. Topología Propuesta.
3.4 Selección de equipos de Seguridad Perimetral
3.4.1 Equipo Firewall
Es la herramienta fundamental que nos va a permitir implementar el
modelo de seguridad definido por la política de seguridad es un dispositivo que
se sitúe entre el perímetro interior y el exterior de nuestra red. A este
dispositivo, tradicionalmente, en la jerga informática se le denomina firewall (en
61
castellano es cortafuegos. Dado que es el componente más crítico e importante
en todo el diseño del sistema de seguridad, la elección de este elemento debe
ser muy concienzuda. Generalizando un poco, los firewalls se pueden dividir en
tres grandes categorías:
a. Firewalls basados en filtrado de paquetes
Son aquellos dispositivos que estando conectados a ambos perímetros
(interior y exterior), dejan pasar a su través paquetes IP en función de unas
determinadas reglas. Estos firewalls conceptualmente trabajan a nivel de red, y
son capaces de filtrar tráfico en función de direcciones de IP, protocolos, y
números de puerto de TCP o UDP.
b. Firewalls basados en proxies
Son aquellos dispositivos que estando conectados a ambos perímetros
(interior y exterior), no dejan pasar a su través paquetes IP. Esto en jerga
informática se denomina ip-forwarding desactivado. La comunicación se
produce por medio de programas denominados proxies, que se ejecutan en el
firewall. Este tipo de sistemas también se denominan bastion host. Desde el
punto de vista conceptual, este tipo de firewalls funciona a nivel de aplicación.
c. Firewalls con transparencia o de tercera generación
Recientemente han aparecido en el mercado dispositivos que van un
paso más allá en la tecnología de firewalls. Se trata de los firewalls de tercera
generación o transparentes. La característica primordial de estos sistemas es
que admiten paquetes no destinados a ellos mismos, de forma similar a como
lo hacen los routers, y en función de una serie de reglas y configuraciones, son
capaces de arrancar los proxies correspondientes automáticamente y conectar
con el destinatario inicial. 
3.4.2 Comparativo de equipos Firewall
Los equipos se deben seleccionar de acuerdo a las siguientes
características que se encuentra en la red del cliente:
62
Ancho de banda total (puede ser de uno o más enlaces con los que
cuente el cliente)
 Cantidad de usuarios 
 Cantidad de sesiones
 Que actividades realiza la empresa
 Con que equipos de seguridad cuenta
En el caso de migración de un equipo de seguridad de otra marca se
deberá verificar las funcionalidades que tiene el equipo para así demostrar el
cliente que nuestro equipo fortinet lo tiene o cumple de otra forma.
Tabla 3
Comparativo de Marcas de Firewall
Fuente: Recuperado de: www.apesoft.org
Tabla 4
Características y Costos de Equipos Firewall
CARACTERISTICA DEFINICIÓN PRECIO APROXIMADO
Firewall 
Throughput
Tráfico que puede soportar el 
firewall
$< $5000
IPS/NGFW 
Throughput
Velocidad en la que el firewall 
puede inspeccionar el tráfico 
de entrada
$$< entre $5000 -
$15000
Antivirus Velocidad a la que el servidor $$$ entre $15000 -
63
Throughput de seguridad puede 
inspeccionar el tráfico entrante 
con Antivirus habilitado.
$25000
Switch Ports Número de puertos 1GE & 
10GE 
$$$$ > $ 25000
Certifications Industria certificaciones de 
terceros para la seguridad 
otorgan al producto.
Fuente: Elaboración propia
3.4.3 Solución de equipo Firewall elegido
Forticare 
Soporte 24x7 en casi todo el mundo
Los productos fortinet reciben el apoyo técnico por Forticare con personal de
apoyo en las Américas, Europa, Medio Oriente y Asia forticare ofrece múltiples
opciones para Forticare contratos a medida para que puedan recibir el apoyo
adecuado a las necesidades de su organización 
Forticare 1-866-648-4638
64
3.4.4 Configuración del Firewall
Figura 22. Top Selling Models Matrix
65
3.5 Resultados de la implementación
Tabla 5
Procesos as-is (actual) y procesos to-be (futuro)
VENTAS IMPLEMENTACIÓN 
PROYECTO TÉCNICOS
POST
VENTA ENTREGABLE
1. Atender pedido 
cliente
 RFC, incidente
2. Solicitar evaluación 
técnica
3. Atender a Ventas
3.1 Asignar especialista
3.2 Evaluar necesidad de cliente
3.3 Validar características 
técnicas
Topología actual
Proyección de crecimiento
Sesiones concurrentes
Evaluar arquitectura
Ficha técnica: topología sugerida
3.4 Preparar informe de 
recomendación de equipos
SOW
FICHA TECNICA
4. Negociar con cliente
4.1 Revisar informe de 
recomendación de 
equipos
4.2 Iniciar cotización
4.3 Venta

Continuar navegando

Materiales relacionados

135 pag.
Tutorial-de-seguridad-informatica

User badge image

Ingeniería Fácil

119 pag.
Diseño de un SGSI para CNSC basado en ISO27000 e ISO27001

User badge image

Apasionado por Estudiar

307 pag.
Auditoria de Segurança de Rede de Dados da Empresa Panavias S.A.

User badge image

Estudia Aquí

121 pag.
La-seguridad-cibernetica-en-Mexico

User badge image

Aprende Todo

Preguntas relacionadas

Question Icon

TESIS Nº 8 TEMA: Incremento de la seguridad vial mediante el análisis de consistencia del diseño geométrico. (FUENTE: REPOSITORIO UNI) CAUSA - PROB...

User badge image

Preguntas Generales

Question Icon

What is the purpose of the Manual de Seguridad Informática described in the given text? Propender que los servicios tecnológicos y de comunicacion...

User badge image

Preguntas Generales

Question Icon

Atendiendo a los criterios del proyecto y a la clasificación de los niveles de seguridad para los sistemas de control, el sistema RCP avanzado pro...

User badge image

Preguntas Generales

Otros materiales