A Alvarez_Tesis_Titulo_Profesional_2023

Vista previa del material en texto

Facultad de Ingeniería
Ingeniería de Sistemas e Informática
Tesis:
“Diseño de una propuesta de Ciberseguridad para la
detección de fuga de información a través de 
dispositivos IoT en el área de TI de una empresa
embotelladora y distribuidora de bebidas en Arequipa
- 2021”
 
 
ALEX MANUEL ALVAREZ PEZO 
 
 
Para optar el Título Profesional de: 
Ingeniero de Sistemas e Informática 
 
 
 
Asesor: 
Mg. Jorge Javier Mendoza Montoya 
 
 
Arequipa – Perú 
2023 
ii 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
DEDICATORIA 
Este trabajo está dedicado para mis padres 
Jacinto Alvarez y Alicia Pezo quienes con su 
esfuerzo y su enseñanza pudieron dejar en mí 
valores que hoy me hacen ser quien soy. A mi 
hermana Mary Alvarez quien me motiva a ser 
cada día mejor y que con pasión y dedicación se 
pueden alcanzar nuevas metas. A mi tío Roberto 
Pezo en quien veo un segundo padre y consejero. 
Y por último quisiera dedicar también este trabajo 
a mi mamá Isabel quien ya se encuentra en el 
cielo y me acompaña y acompañará siempre. 
 
 
 
 
 
 
iii 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
AGRADECIMIENTO 
Agradezco con mucha estima y cariño a mis 
padres por brindarme la oportunidad de 
educarme, a la Universidad Tecnológica del Perú 
UTP por brindarme una educación de calidad. A 
mi asesor por brindarme de su tiempo y sapiencia. 
 
 
 
 
 
 
 
 
 
 
iv 
 
 
 
 
 
 
 
 
RESUMEN 
 
La ciberseguridad actualmente es una práctica que toda empresa debe implementar y 
generar una necesidad por proteger lo más valioso para una empresa que son sus activos 
de información, a su vez los dispositivos IoT cada vez más están presentes en nuestro 
entorno cotidiano por lo tanto es un activo a considerar proteger. La presente investigación 
tiene por objetivo diseñar una propuesta de ciberseguridad que ayude a la empresa 
Socosani S.A. a detectar posibles fugas de información a través de dispositivos IoT 
utilizando el estándar ISO 27001 para gestionar adecuadamente la seguridad de la 
información. La metodología se basa en la aplicación del ciclo de Deming con el fin de 
gestionar adecuadamente los procesos de ciberseguridad de forma periódica cumpliendo 
sus cuatro etapas: Planear, Hacer, Verificar y Actuar; La detección de fuga de información 
se realizará mediante un mapeo de riesgos y vulnerabilidades de cada activo de 
información para luego seleccionar los controles y políticas más adecuados basados en la 
ISO 27002. Los resultados del diagnóstico de vulnerabilidad de los activos de información 
de la empresa revelaron la existencia de probabilidad de fuga de información, al analizar 
con Python y NMAP un televisor Smart se encontró un 57.14% de vulnerabilidad, luego de 
la aplicación de controles de seguridad el porcentaje se redujo a un 45.45%, se aplicó una 
capacitación para mejorar el conocimiento en ciberseguridad lográndose una mejora del 
67% antes y 100% después de la capacitación. Como conclusiones, luego de aplicar los 
v 
 
controles de seguridad que necesita la empresa y como primer ciclo de implementación de 
la propuesta vemos el porcentaje de vulnerabilidad de los dispositivos IOT se redujo un 
11.69%, el grado de conocimiento de los trabajadores mejoró luego de una capacitación 
realizada, un mejor manejo en la estructura de red reduce las probabilidades de sufrir una 
fuga de información a través de un dispositivo IOT, con un plan de auditorías internas 
aseguramos que el sistema de gestión de la seguridad de la información este en constante 
evolución. 
Palabras clave: Ciberseguridad, dispositivos Iot, área de TI, fuga de información, ISO 
27001. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
vi 
 
 
 
 
 
 
 
 
ABSTRACT 
 
Cybersecurity is currently a practice that every company must implement and generate a 
need to protect the most valuable for a company, which are its information assets. In turn, 
IoT devices are increasingly present in our daily environment, therefore it is a asset to 
consider protecting. The objective of this research is to design a cybersecurity proposal that 
helps the company Socosani S.A. to detect possible information leaks through IoT devices 
using the ISO 27001 standard to properly manage information security. The methodology 
is based on the application of the Deming cycle in order to adequately manage cybersecurity 
processes on a regular basis, fulfilling its four stages: Plan, Do, Verify and Act; The detection 
of information leaks will be carried out by mapping the risks and vulnerabilities of each 
information asset to later select the most appropriate controls and policies based on ISO 
27002. The results of the vulnerability diagnosis of the company's information assets 
revealed the existence of probability of information leakage, when analyzing a Smart TV 
with Python and NMAP, a 57.14% vulnerability was found, after the application of security 
controls the percentage was reduced to 45.45%, training was applied to improve the 
knowledge in cybersecurity, achieving an improvement of 67% before and 100% after the 
training. As conclusions, after applying the security controls that the company needs and 
as the first implementation cycle of the proposal, we see the percentage of vulnerability of 
IOT devices decreased by 11.69%, the degree of knowledge of the workers improved after 
vii 
 
training. When done, better management in the network structure reduces the chances of 
suffering an information leak through an IOT device, with an internal audit plan we ensure 
that the information security management system is constantly evolving. 
Keywords: Cybersecurity architecture, Iot platforms, IT area, information leakage, ISO 
27001. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
viii 
 
ÍNDICE 
 
DEDICATORIA .................................................................................................................. ii 
AGRADECIMIENTO ......................................................................................................... iii 
RESUMEN ........................................................................................................................ iv 
ABSTRACT ...................................................................................................................... vi 
ÍNDICE ........................................................................................................................... viii 
ÍNDICE DE FIGURAS ...................................................................................................... xii 
ÍNDICE DE TABLAS ....................................................................................................... xiv 
CAPÍTULO 1 ..................................................................................................................... 1 
GENERALIDADES ........................................................................................................... 1 
1.1 Descripción de la realidad problemática ............................................................. 1 
1.2 Planteamiento del problema ............................................................................... 2 
1.2.1 Pregunta principal de investigación ............................................................. 2 
1.3 Problemas .......................................................................................................... 2 
1.3.1 Problema general ........................................................................................ 2 
1.3.2 Problemas específicos ................................................................................. 2 
1.4 Hipótesis de la investigación ............................................................................... 3 
1.4.1 Hipótesis general ......................................................................................... 3 
1.4.2 Hipótesis especificas ...................................................................................3 
1.5 Objetivos de la investigación .............................................................................. 3 
1.5.1. Objetivo general .......................................................................................... 3 
1.5.2. Objetivos específicos ................................................................................... 3 
1.6 Justificación ........................................................................................................ 4 
1.7 Importancia ......................................................................................................... 4 
1.8 Alcances y limitaciones ....................................................................................... 5 
CAPÍTULO 2 ..................................................................................................................... 6 
FUNDAMENTACIÓN TEÓRICA ....................................................................................... 6 
2.1 Internet of Things (IoT) ....................................................................................... 6 
2.2 Infraestructura de Activos IoT ............................................................................. 6 
2.3 ISO 27001: 2013 ................................................................................................ 7 
2.4 Beneficios de un SGSI ........................................................................................ 8 
2.5 Implementación de un SGSI ............................................................................... 8 
2.6 Fases de un SGSI .............................................................................................. 9 
2.7 Evaluación del riesgo .........................................................................................10 
2.8 Versiones ..........................................................................................................12 
ix 
 
2.8.1 BS 7799-1 (1995) .......................................................................................12 
2.8.2 BS 7799-2 (1998) .......................................................................................12 
2.8.3 ISO/IEC 27001:2005 ...................................................................................12 
2.9 Familia 27000:2013. ..........................................................................................12 
2.9.1 ISO 27002:2013. ........................................................................................12 
2.9.2 ISO 27003:2013. ........................................................................................12 
2.9.3 ISO 27004:2013. ........................................................................................13 
2.9.4 ISO 27005:2013. ........................................................................................13 
2.9.5 ISO 27006:2013. ........................................................................................13 
2.9.6 ISO 27007:2013. ........................................................................................13 
2.9.7 ISO 27032:2012. ........................................................................................14 
2.10 Confidencialidad ................................................................................................14 
2.11 Integridad. .........................................................................................................15 
2.12 Disponibilidad ....................................................................................................15 
2.13 ITIL ....................................................................................................................16 
2.14 Plan de Contingencia .........................................................................................16 
2.15 Ciberataques .....................................................................................................16 
2.15.1 Exploits .......................................................................................................16 
2.15.2 Phishing ......................................................................................................17 
2.15.3 Vishing........................................................................................................17 
2.15.4 Smishing .....................................................................................................17 
2.15.5 Shoulder Surfing .........................................................................................17 
2.16 OWASP .............................................................................................................18 
CAPÍTULO 3 ....................................................................................................................19 
ESTADO DEL ARTE........................................................................................................19 
CAPÍTULO 4 ....................................................................................................................23 
METODOLOGÍA ..............................................................................................................23 
4.1 Metodología PDCA – Ciclo Deming. ..................................................................23 
4.1.1 Planificar .....................................................................................................23 
4.1.2 Hacer ..........................................................................................................23 
4.1.3 Verificar ......................................................................................................23 
4.1.4 Actuar .........................................................................................................24 
4.2 Comparando el ciclo de DEMING versus otras metodologías ............................25 
4.2.1 Metodología Six Sigma ...............................................................................25 
4.2.2 Metodología Kaizen ....................................................................................25 
4.2.3 Elección de la metodología .........................................................................26 
4.3 Descripción de la investigación ..........................................................................26 
x 
 
4.3.1 Población. ...................................................................................................26 
4.3.2 Muestra ......................................................................................................26 
4.3.3 Tipo y diseño de la investigación ................................................................27 
4.3.4 Nivel y enfoque de la investigación .............................................................27 
4.3.5 Viabilidad ....................................................................................................27 
CAPÍTULO 5 ....................................................................................................................29 
RESULTADOS Y DISCUSIÓN ........................................................................................29 
5.1 Resultado del Diagnóstico .................................................................................29 
5.1.1 Tratamiento de información por área ..........................................................29 
5.1.2 Análisis del contexto del SGSI ....................................................................32 
5.1.3 Encuesta y Entrevista .................................................................................33 
5.2 Resultado del diagnóstico de puertos ................................................................49 
5.2.1 Escaneo de Puertos TCP ...........................................................................51 
5.2.2 Detección de probabilidad de fuga de información en diferentes capas. .....56 
5.2.2.1 Capa de Percepción. ..................................................................................565.2.2.2 Capa de Aplicación. ....................................................................................56 
5.2.2.3 Capa de Red. .............................................................................................56 
5.2.3 Análisis de riesgos ......................................................................................58 
5.3 Propuesta del Sistema de Seguridad .................................................................62 
5.3.1 Metodología de Evaluación y Gestión del riesgo ........................................62 
5.3.2 Metodología para atender los riesgos .........................................................64 
5.3.3 Objetivos del Diseño Propuesto ..................................................................67 
5.3.4 Gestión del problema ..................................................................................67 
5.3.5 Riesgo Residual e Inherente .......................................................................68 
5.3.6 Gestión de la Ciberseguridad .....................................................................69 
5.3.7 Síntomas para considerar un incidente de ciberseguridad. .........................69 
5.3.8 Gestión de Incidentes .................................................................................70 
5.3.9 Diseño de Red ............................................................................................72 
5.3.10 Access List Control (ACL) ...........................................................................74 
5.3.11 Seguridad en redes LAN (Port Security) .....................................................75 
5.3.12 Arquitectura de red actual de la empresa ...................................................76 
5.3.13 Arquitectura de red propuesta ....................................................................78 
5.3.14 Declaración de aplicabilidad .......................................................................79 
5.3.15 Planes de acción de ciberseguridad ...........................................................81 
5.3.16 Propuesta de ciberseguridad para dispositivos IoT .....................................82 
5.3.17 Mejoras de seguridad en Router .................................................................85 
5.3.18 Revisión del sistema ...................................................................................90 
xi 
 
5.4 Plan de Capacitación al Personal de la Empresa ..............................................94 
5.4.1 Resultados de la encuesta Post Capacitación ............................................95 
5.5 Resultados de la comparativa Antes y Después de las encuestas. .................. 102 
5.6 Comparativa según una escala ponderada ...................................................... 108 
5.7 Aplicación de la metodología DEMING para la propuesta de ciberseguridad... 109 
5.7.1 Planificación ............................................................................................. 109 
5.7.2 Hacer ........................................................................................................ 109 
5.7.3 Verificar .................................................................................................... 110 
5.7.4 Actuar ....................................................................................................... 110 
5.8 Aporte para abordar el problema ..................................................................... 110 
CONCLUSIONES .......................................................................................................... 113 
RECOMENDACIONES .................................................................................................. 115 
ANEXOS ........................................................................................................................ 116 
GLOSARIO .................................................................................................................... 152 
BIBLIOGRAFÍA .............................................................................................................. 153 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
xii 
 
ÍNDICE DE FIGURAS 
Figura 1. Arquitectura del Internet de las Cosas [37]........................................................ 7 
Figura 2. Secciones de la ISO 27001. Fuente: Elaboración Propia ................................... 9 
Figura 3. Fases de un SGSI [5] ........................................................................................10 
Figura 4. Método de evaluación y Tratamiento del Riesgo [5] ..........................................11 
Figura 5. Ciclo de Deming orientado al SGSI [38] ............................................................24 
Figura 6. Diagrama de Flujo del Sistema. Fuente: Elaboración Propia ............................25 
Figura 7. Diagrama de flujo para administrativos de Ventas ............................................30 
Figura 8: Diagrama de Flujo de la venta de una Preventista ............................................31 
Figura 9: Resultado de encuesta n°1 ...............................................................................34 
Figura 10: Resultado de encuesta n°2 .............................................................................35 
Figura 11: Resultado de encuesta n°3 .............................................................................35 
Figura 12: Resultado de encuesta n°4 .............................................................................36 
Figura 13: Resultado de la encuesta n°5 .........................................................................37 
Figura 14: Resultado de la encuesta n°5 .........................................................................37 
Figura 15: Resultado de la encuesta n°6 .........................................................................38 
Figura 16: Resultado de la encuesta n°7 .........................................................................38 
Figura 17: Resultado de la encuesta n°8 .........................................................................39 
Figura 18: Resultado de la encuesta n°9 .........................................................................40 
Figura 19: Resultado de la encuesta n°10 .......................................................................40 
Figura 20: Resultado de la encuesta Operativa n°1 .........................................................41 
Figura 21: Resultado de la encuesta Operativa n°2 .........................................................42 
Figura 22: Resultado de la encuesta operativa n°3 ..........................................................42 
Figura 23: Resultado de la encuesta operativa n°4 ..........................................................43 
Figura 24: Resultado de la encuesta operativa n°5 ..........................................................43 
Figura 25: Resultado de la encuesta operativa n°6 ..........................................................44 
Figura 26: Resultado de la encuesta operativa n°7 ..........................................................45 
Figura 27: Respuesta de la encuesta técnica al encargado de TI n°1 ..............................45 
Figura 28. Respuesta de la encuesta técnica al encargado de TI n°2 ..............................46 
Figura 29: Respuesta de la encuesta técnica al encargado de TI n°3 ..............................46 
Figura 30. Respuestas de la encuesta técnica al encargado de TI n°4 ............................47 
Figura 31: Respuestas de la encuesta técnica al encargado de TI n°5 ............................48 
Figura 32: Respuesta de la encuesta técnica al encargado de TI n°6 ..............................49 
Figura 33. Interfaz del software VM VirtualBox con el SO Kali Linux instalado.................50 
Figura 34. Configuración de la interfaz de red de VM Virtual Box ....................................51 
Figura 35. Escaneo de dispositivos en la red con Nmap ..................................................52Figura 36. Escaneo de los 1000 puertos más importantes de los dispositivos .................53 
Figura 37. Escaneo al dispositivo Smart TV LG ...............................................................54 
Figura 38. Servicios que funcionan en los puertos 7000 y 9080 del Smart TV .................54 
Figura 39. Vulnerabilidades explotables del servicio Airtunes rtspd .................................55 
Figura 40. Vulnerabilidades explotables del servicio Mongoose httpd ..............................56 
Figura 41. Código del escáner en Python ........................................................................57 
Figura 42. Probabilidad de fuga de información por vulnerabilidad. .................................58 
Figura 43. Top 10 de las vulnerabilidades que afectan a los dispositivos IOT [35] ...........59 
Figura 44. Contraseñas por defecto Router TP-Link ........................................................60 
Figura 45. Búsqueda de contraseñas por defecto Router Arris ........................................61 
Figura 46. Contraseñas por defecto del Router Arris en Router Password ......................61 
Figura 47. Contraseñas por defecto del Router TP-LINK en Router Password ................62 
Figura 48. Ponderación de la probabilidad, impacto y nivel de riesgo ..............................63 
xiii 
 
Figura 49. Ejemplo del Plan para atender los riesgos ......................................................65 
Figura 50. Flujo para atender los riesgos de manera optima ............................................66 
Figura 51. Pasos para la gestión del problema ................................................................68 
Figura 52. Síntomas para considerar un malware ............................................................70 
Figura 53. Flujo para la gestión del ciclo de vida del incidente .........................................72 
Figura 54. Access list configurado en el router B .............................................................75 
Figura 55. Informe del comando Show Port Security .......................................................76 
Figura 56. Diagrama de flujo de la seguridad en la red LAN ............................................76 
Figura 57. Estructura inicial de la red ...............................................................................77 
Figura 58. Reestructuración de red ..................................................................................78 
Figura 59.Gráfico del uso de los controles de la ISO 27002.............................................79 
Figura 60. Declaración de Aplicabilidad (SOA) ................................................................80 
Figura 61. Plan de acción frente a un ransomware ..........................................................81 
Figura 62. Plan de acción frente a una fuga de información.............................................82 
Figura 63. Resultados luego de bloquear puertos ............................................................83 
Figura 64. Bloqueo de puertos innecesarios en el firewall del router ................................84 
Figura 65. Proteger la confidencialidad mediante encriptación ........................................85 
Figura 66. Verificar la autenticidad /origen del emisor ......................................................85 
Figura 67. Contraseñas de enable, SSH y Telnet no configuradas ..................................86 
Figura 68. Contraseñas de enable, SSH y Telnet no configuradas n°2 ............................87 
Figura 69. Contraseñas de enable, SSH y Telnet habilitadas ..........................................88 
Figura 70. Contraseñas de enable SSH y Telnet habilitadas n° 2 ....................................88 
Figura 71. Encriptación habilitada en router .....................................................................89 
Figura 72. Encriptación habilitada en router n°2...............................................................89 
Figura 73. Acciones de Ciberseguridad en Software y Hardware ....................................90 
Figura 74. Pasos para la auditoría interna .......................................................................92 
Figura 75. Resultados de la Encuesta General Post Capacitación n°1 ............................96 
Figura 76. Resultados de la Encuesta General Post Capacitación n°2 ............................96 
Figura 77. Resultados de la Encuesta General Post Capacitación n°3 ............................97 
Figura 78. Resultados de la Encuesta Administrativos Post Capacitación n°1 .................97 
Figura 79. Resultados de la Encuesta Administrativos Post Capacitación n°2 .................98 
Figura 80. Resultados de la Encuesta Administrativos Post Capacitación n°3 .................98 
Figura 81. Resultados de la Encuesta Administrativos Post Capacitación n°4 .................99 
Figura 82. Resultados de la Encuesta Administrativos Post Capacitación n°5 .................99 
Figura 83. Resultados de la Encuesta Administrativos Post Capacitación n°6 ............... 100 
Figura 84. Resultados de la Encuesta Operativos Post Capacitación n°1 ...................... 100 
Figura 85. Resultados de la Encuesta Operativos Post Capacitación n°2 ...................... 101 
Figura 86. Resultados de la Encuesta Operativos Post Capacitación n°3 ...................... 101 
Figura 87. Resultados de la Encuesta Operativos Post Capacitación n°4 ...................... 102 
Figura 88. Resultados de la Encuesta Operativos Post Capacitación n°5 ...................... 102 
Figura 89. Comparativa en puntaje del Antes y Después ............................................... 107 
Figura 90. Comparativa Ponderada del Antes y Después área administrativa ............... 108 
Figura 91. Comparativa Ponderada del Antes y Después área operativa ...................... 108 
Figura 92. Flujo del ciclo continuo de mejora SGSI ........................................................ 112 
 
 
 
 
xiv 
 
ÍNDICE DE TABLAS 
Tabla 1. Beneficios de implementar un SGSI .................................................................... 8 
Tabla 2. Acortar riesgo por nivel ......................................................................................64 
Tabla 3. Escala de Urgencia ............................................................................................66 
Tabla 4. Gestión de la Ciberseguridad .............................................................................69 
Tabla 5. Subneteo de Red ...............................................................................................73 
Tabla 6: Diferencias entre Programa Anual de Auditorías vs Plan de Auditoría ...............94 
Tabla 7. Comparativa de la encuesta General Antes y Después ................................... 104 
Tabla 8. Comparativa de la encuesta a los Administrativos Antes y Después ................ 105 
Tabla 9. Comparativa de la encuesta al área Operativa Antes y Después ..................... 106 
Tabla 10. Resultados Promedio de las encuestas Antes y Después .............................. 107 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
xv 
 
 
 
 
 
 
 
 
INTRODUCCIÓN 
 
La importancia del desarrollo de esta tesis va enfocada a poder brindar una propuesta de 
solución de ciberseguridad que mejore la protección de la información y darle una 
continuidad de negocio que permita a la empresa un desarrollo más sostenible a lo largo 
del tiempo. 
Dicha propuesta de solución de ciberseguridad puede aplicarse y adaptarse a empresas 
nacionales e internacionales ya que se basa en la ISO 27001 y su objetivo como tal es 
hacer un sistema de seguridad de la información SGSI. 
 Con los resultados y desarrollo de este trabajo podremos ver los huecos de seguridad de 
la empresa, comprender por qué los tiene y poder proponer una solución basada en las 
normativas de la ISO 27001 adaptadas a la realidad de la empresa. 
Desarrollo temático de la tesis 
Capítulo 1: Planteamiento del problema,el capítulo está conformado por la descripción del 
problema, los objetivos de esta tesis, la justificación e importancia de la investigación, 
alcances y limitaciones de la misma. 
Capítulo 2: Este capítulo trata el marco teórico de todos los conceptos relacionados a la 
presente investigación, así como también la definición de algunos conceptos técnicos. 
Capítulo 3: En este capítulo se trabaja el estado del arte que no son más que referencias 
de trabajos de investigación relacionados al tema principal del presente trabajo. 
xvi 
 
Capítulo 4: El capítulo trata de la metodología que utilizará el sistema de la seguridad de la 
información para poder tener un ciclo de mejora continua que en este caso será el ciclo de 
Deming. 
Capítulo 5: En este capítulo se encuentra el desarrollo del proyecto empezando por un 
análisis a nivel de personal y a nivel de infraestructura de red para poder generar un estatus 
de cómo se encuentra la empresa en seguridad, para después generar una serie de 
soluciones para dichos problemas encontrados en el análisis previo. 
 
 
 
 
 
 
 
 
 
 
 
 
1 
 
 
 
 
 
 
CAPÍTULO 1 
 
GENERALIDADES 
 
1.1 Descripción de la realidad problemática 
Se está tomado más conciencia sobre la ciberseguridad y esto no es más que el reflejo 
de la necesidad por salvaguardar la continuidad de la empresa, los activos de 
información son vitales para que una empresa pueda seguir con un proceso de 
crecimiento estable y seguro, no obstante somos conscientes de que existe un gran 
déficit de conocimiento o cultura de seguridad que afecta directamente al “Eslabón 
más débil” nos referimos al factor humano, tan solo los últimos años se ha 
incrementado notablemente los ataques cibernéticos hacia empresas que en su gran 
mayoría no estuvieron preparadas desencadenando perdidas a nivel monetario y aún 
peor afectando la confianza de sus clientes, tal es el ejemplo del Ransonware 
WannaCry. Por otro lado, las entidades reguladoras ya empiezan exigir a las empresas 
adoptar medidas y/o controles que aseguren la protección de data sensible de sus 
clientes, es por eso y con lo mencionado que podemos apuntar a una de las normativas 
a nivel internacional que nos ayude a mejorar los puntos débiles respecto a seguridad 
de la información de una entidad, hablamos de la ISO 27001 que nos detalla la 
implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Hoy 
por hoy las tecnologías Internet de las cosas, Internet of Things (IoT) empiezan a estar 
presentes en casi la totalidad de empresas actuales ya que centraliza cada vez más 
2 
 
cada componente electrónico haciendo así un sistema integrado complejo y útil para 
las empresas siendo nuestro foco principal analizar qué tan preparadas se encuentran 
estas nuevas tecnologías frente a una probabilidad de fuga de información y como 
poder mejorar su nivel de seguridad, recordando que actualmente uno de los retos 
más significativos del IoT es precisamente la falta de seguridad por ende la falta de 
confianza en dichos dispositivos provocando que no muchas empresas se preocupen 
por proteger sus activos. Esta infraestructura de seguridad se puede ver vulnerada 
más fácil de lo que parece. ¿Una propuesta de ciberseguridad para la detección de 
fuga de información a través de dispositivos IoT podrá prevenir la fuga de información 
de una empresa? 
 
1.2 Planteamiento del problema 
Falta de una propuesta de un plan de ciberseguridad para la detección de fuga de 
información a través de dispositivos IoT en el área de TI de una empresa embotelladora 
en Arequipa. 
1.2.1 Pregunta principal de investigación 
¿Una propuesta de ciberseguridad para la detección de fuga de información a través 
de dispositivos IoT podrá prevenir la fuga de información de una empresa? 
 
1.3 Problemas 
1.3.1 Problema general 
Falta de una propuesta de un plan de ciberseguridad para la detección de fuga de 
información a través de dispositivos IoT en el área de TI de una empresa embotelladora 
en Arequipa. 
1.3.2 Problemas específicos 
 Falta de un estándar para gestionar y asegurar la seguridad de la información de la 
empresa. 
3 
 
 Desconocimiento de una probable fuga de información a través de los dispositivos 
IOT que podría provocar riesgos y amenazas a la ciberseguridad de la empresa. 
 Falta de controles para mejorar el manejo y prevención de fuga de información. 
 No contar con procesos y planes de acción para proteger la información que se 
gestiona mediante los dispositivos IOT 
 
1.4 Hipótesis de la investigación 
1.4.1 Hipótesis general 
El diseño de una propuesta de ciberseguridad acorde a las necesidades de la empresa 
permite detectar de forma preventiva la fuga de información a través de dispositivos 
IoT. 
1.4.2 Hipótesis especificas 
 La propuesta del estándar ISO 27001:2013 permite gestionar la seguridad de la 
información de la empresa. 
 Al detectar una probable fuga de información se mapearán los riesgos y amenazas 
que afecten la ciberseguridad de la empresa. 
 La selección adecuada de controles basados en la ISO 27002 previene la fuga de 
información. 
 Los procesos y planes de acción protegen la información que se gestiona a través 
de dispositivos IOT. 
 
1.5 Objetivos de la investigación 
1.5.1. Objetivo general 
Diseñar una propuesta de ciberseguridad para la detección de fuga de información a 
través de dispositivos IoT en área de TI de la empresa embotelladora. 
1.5.2. Objetivos específicos 
4 
 
 Proponer la ISO 27001:2013 como estándar para gestionar la seguridad de la 
información 
 Detectar las probables fugas de información a través de los dispositivos IOT para 
mapear los riesgos y amenazas de ciberseguridad de la empresa. 
 Seleccionar apropiadamente controles y políticas basados en la ISO 27002 de 
acuerdo a las necesidades de la empresa. 
 Definir procesos y planes de acción para proteger la información que se gestiona 
mediante dispositivos IOT. 
1.6 Justificación 
Justificación Personal: La presente investigación permitirá aplicar los conocimientos 
adquiridos en la carrera para así poder obtener el título profesional de Ingeniero de 
Sistemas. 
Justificación Social: Existe una ley de protección de datos personales (N° 29733) 
siendo los clientes uno de los aspectos más que más importa en una empresa, si estos 
pierden su confianza en la empresa esto representa un gran daño para el futuro de la 
empresa que requerirá de mucho tiempo y dinero para volver a recuperar y en el peor 
de los casos esta confianza se perderá para siempre. 
Justificación Económica: En la actualidad se ha podido ver casos donde un fallo de 
seguridad puede representar una gran pérdida a nivel monetaria donde muchas 
empresas pueden llegar a quebrar ya que pierden la principal fuente de ingresos que 
son sus clientes. 
 
1.7 Importancia 
En general la importancia por velar por la seguridad de la información hace que las 
empresas se preocupen más por cubrir sus falencias en ciberseguridad por lo tanto 
necesitan un modelo o una propuesta que se adapte a las necesidades de cualquier 
5 
 
empresa que quiera mejorar su nivel de seguridad y que esté basado en estándares 
internacionales que puedan avalar su nivel de protección. 
1.8 Alcances y limitaciones 
El diseño de la propuesta de ciberseguridad tendrá como alcance la detección de fuga 
de información a través de dispositivos IoT en el área de TI de la empresa Socosani 
en Arequipa, así como la aplicación del estándar ISO 27001:2013 para la creación de 
un sistema de gestión de la seguridad de la información que mejore el estado actual 
respecto a ciberseguridad. Dicho sistema no abarca la planta de producción de 
Socosani y se centrará en el área administrativa, operativa(ventas) y el área de TI de 
las oficinas ubicadas en el distrito de Cerro Colorado ya que es donde se centraliza la 
mayor fuente de activos de información.Como limitante tendríamos el acceso limitado a los componentes tecnológicos de la 
empresa ya que sin dicho acceso será más complicado entender la situación real de 
la empresa y retrasará en gran medida la mejora de sus puntos más débiles respecto 
a seguridad, por otro lado, el cambio de directivos también representa una limitante en 
caso las nuevas personas que estén a cargo de la dirección de la empresa difieran de 
los puntos previamente acordados. 
Por último, el estado de emergencia sanitaria por la pandemia del COVID 19 ha 
impedido realizar un análisis a profundidad dentro de la empresa por las restricciones 
de distanciamiento social. 
 
 
 
 
 
 
 
6 
 
 
 
 
 
 
CAPÍTULO 2 
 
FUNDAMENTACIÓN TEÓRICA 
 
2.1 Internet of Things (IoT) 
Tal como menciona Liu, Zhao, Li, Zhang, y Trappe, El IoT es una tendencia reciente 
que extiende los límites de Internet a incluir una amplia variedad de dispositivos 
informáticos, conectando muchos sistemas independientes a la red formando así un 
sistema variado y más complejo [1]. 
Cartuche también nos indica lo siguiente, el IoT es una extensión del internet que 
integra redes móviles, dispositivos inteligentes, redes sociales con el fin de 
proporcionar mejores servicios o aplicaciones al usuario gracias a la integración de 
dichos componentes a red, agrega también que existe una comunicación entre estos 
dispositivos como el intercambio de información logrando incluso en ciertos casos la 
toma de decisiones automáticas ante la detección de un evento en particular [2]. 
 
2.2 Infraestructura de Activos IoT 
Cartuche menciona también que un ecosistema IoT puede interpretarse como el 
conjunto de Hardware y Software instalados juntos con sus usuarios en un contexto 
particular, actualmente existen distintos modelos de arquitectura de IoT definidas por 
instituciones y comunidades científicas [2]. 
7 
 
 
 
Se puede observar una arquitectura IoT en la figura 1, que comprende diferentes 
entornos los cuales representan en conjunto el ecosistema de dispositivos 
relacionados entre sí. 
 
2.3 ISO 27001: 2013 
Tal como menciona, ISOTools refiriéndose a la ISO 27001 define que es una norma 
internacional la cual nos presenta los requerimientos tanto para el mantenimiento como 
para la implementación y un ciclo de mejora continua dirigido a un sistema de gestión 
de la seguridad de la información, dicho sistema será una estrategia de la organización 
por mantener seguro sus activos de información [3]. 
Por otro lado, Advisera Expert Solutions Ltd, también nos indica que, se describe cómo 
hacer la gestión dicha seguridad y proteger la información en una organización, dicha 
norma fue emitida por Internacional Organization for Standardization (ISO) también 
Figura 1. Arquitectura del Internet de las Cosas [37] 
8 
 
presenta varias versiones hasta la fecha actual. la primera fue emitida el 2005 y se 
realizó basado en BS 7799-2 que es una norma británica [4]. 
 
2.4 Beneficios de un SGSI 
Tabla 1. Beneficios de implementar un SGSI 
Beneficios de un SGSI 
N° Concepto 
1 Los procesos en seguridad están equilibrados y coordinados 
entre sí 
2 Metodologías que favorecen la prevención y mitigación de 
riesgos, mejorando el nivel de seguridad 
3 Si un riesgo se materializa, evita que cause grandes pérdidas 
4 Ventaja frente a los requerimientos legales 
5 Da un valor agregar a la empresa, ya que no todas cuentan 
con la certificación 
6 La empresa puede reducir costos según la eficiencia de la 
implementación 
7 Se genera confianza para las personas dentro y fuera de la 
organización 
8 Detecta y alerta si se presenta alguna actividad sospechosa 
9 Seguimiento continuo a los controles de seguridad 
10 Planifica nuevos controles y procesos 
11 Genera una mejor imagen corporativa (Reputación) 
 
Fuente: Adaptado de Beneficios de implementar un SGSI [3] 
 
2.5 Implementación de un SGSI 
Retomando a Advisera Expert Solutions Ltd, nos dice que la ISO/IEC 27001 está 
dividida en 11 secciones necesarias para su implementación, sin embargo, las tres 
primeras secciones es decir de la 0 a las 3 son de carácter introductorio a la norma por 
lo que no son obligatorias mientras que de la 4 a la 10 son estrictamente obligatorias. 
En el caso del anexo 2, son controles que la norma nos pide implementar, pero a través 
de la Declaración de Aplicabilidad se pueden emitir ciertos controles sin dejar de 
mencionarlos y justificando por qué no se aplicaría [4]. 
9 
 
 
Figura 2. Secciones de la ISO 27001. 
Fuente: Elaboración Propia 
Como se puede observar en la imagen anterior la ISO 27001 se puede dividir en 10 
secciones, cada sección tiene una finalidad y sirven de ayuda para lograr la 
implementación. 
 
2.6 Fases de un SGSI 
Un SGSI basado en la norma ISO 27001 podría resumirse en las fases que se muestra 
en la figura 3. 
10 
 
 
Figura 3. Fases de un SGSI [5] 
 
2.7 Evaluación del riesgo 
Como menciona Normas-ISO, para implementar una ISO 27001 es necesario abordar 
un sistema de la evaluación del riesgo la cual permitirá a la empresa tener un mejor 
panorama a la otra de delimitar el alcance y la aplicación de la norma, integrando en 
el sistema un proceso de mejora continua. Para esto usaremos una metodología 
recomendada por la norma [5]. 
11 
 
Figura 4. Método de evaluación y Tratamiento del Riesgo [5] 
 
 
En la figura 4 se observa un gráfico para explicar el flujo para evaluar y Tratar un riesgo. 
Continuando con la definición de Normas-Iso [5] los pasos serían: 
 Definir los Activos de información, así como sus responsables y que un activo de 
información es todo aquello que representa valor para la empresa y pueden ser de tipo 
físico o lógico. 
 Identificar las vulnerabilidades que pueden afectar a nuestros activos. 
 Identificar y reconocer las distintas amenazas que puedan perjudicar el activo, estas 
pueden ser virus, desastres naturales, incendios, ataques cibernéticos. 
 Identificar requisitos legales, los cuales la organización se encuentra obligada a 
cumplir con sus proveedores, clientes y socios. 
 Definir los riesgos de cada activo y su probabilidad de que estas se materialicen y 
causen un impacto directo a los pilares de la seguridad (CIA) 
 Calcular el riesgo, medir que tan probable es que se materialice el riesgo y el 
impacto que tendría la organización en caso el activo se vea perjudicado, esto se 
puede medir con la formula R = I x P (Riesgo = Impacto x Probabilidad). En base al 
resultado podemos priorizar que riesgos tendrían que ser atendidos primero. 
12 
 
 Plan de tratamiento del riesgo, se podría establecer como la política de tratamiento 
del riesgo que describe como: tomar el riesgo, reducirlo, eliminarlo y transferirlo. 
 
2.8 Versiones 
2.8.1 BS 7799-1 (1995) 
Como menciona PMG-SSI, se trataba de un conjunto de mejores prácticas que tienen 
el fin de ayudar a las empresas administrar la seguridad de la información, dichas 
buenas prácticas o recomendaciones no daban opción a alguna certificación [6]. 
2.8.2 BS 7799-2 (1998) 
Retomando a PMG-SSI, menciona que la norma BS 7799-1 tuvo una segunda versión 
y llamada BS 7799-2 en la cual se establecían distintos requisitos que eran necesarios 
cumplir para tener un sistema de gestión de seguridad de la información certificable 
[6]. 
2.8.3 ISO/IEC 27001:2005 
Así mismo Gestión-Calidad nos menciona que en el año 2005 un total de 1700 
empresas contaban con la certificación BS 7799-2 por ende la normativa se publicó 
como ISO estándar de la ISO 27001 y se renombró ISO 27001:2005 [7]. 
 
2.9 Familia 27000:2013. 
2.9.1 ISO 27002:2013. 
Según nos indica ISOTools, Esta ISO nos ofrece un compendio de las buenas 
prácticas donde los objetivos de los controles se detallan como también y las 
evaluaciones más recomendadas [8]. 
Continuando con ISOTools, Nos indica que en la norma podemos encontrar un total 
de 39 objetivos de controly 144 controles agrupados en diferentes dominios [8]. 
2.9.2 ISO 27003:2013. 
13 
 
Como indica ISOTools, Esta ISO nos proporciona un manual de como implementar un 
SGSI y también información y pautas para utilizar el ciclo PHVA (Planear, Hacer, 
Verificar, Actuar) [8]. 
2.9.3 ISO 27004:2013. 
La ISO 27004 nos ayuda con pautas para ayudar a las organizaciones o entidades a 
medir la calidad de la seguridad de la información y cuan efectivo es el SGSI para 
cumplir los requisitos de la 27001:2013 [9]. 
También podemos abordar el concepto de ISO 27000 que menciona que es una guía 
útil para desarrollar y utilizar métricas, técnicas que nos ayuden a medir la eficiencia 
del SGSI y de sus diferentes grupos de controles que serán implementados según la 
ISO 27001 [10]. 
2.9.4 ISO 27005:2013. 
La ISO 27005 proporciona pautas para hacer la gestión los riesgos de seguridad y nos 
ayuda con a la implementación de la seguridad de la información orientada a la gestión 
de riesgos [11]. 
También podemos tomar el concepto de Melo, donde nos recalca que no es una ISO 
certificable y está diseñada para ayudar en la implementación del SGSI basada en el 
ciclo PHVA [12] 
2.9.5 ISO 27006:2013. 
Esta ISO nos especifica requisitos para acreditarnos como entidad frente a otra entidad 
auditora, en otras palabras, nos ayuda en la interpretación de la acreditación de la ISO 
27001. Tal como menciona [10]. También debemos resaltar lo que menciona ISOTools 
[8], La ISO 27006 es una versión revisada de la EA-7/03. 
2.9.6 ISO 27007:2013. 
A diferencia de la ISO 27006 la ISO 27007 se encarga dar una guía de auditoría de un 
SGSI [10]. 
14 
 
Asimismo, recalcar lo que nos menciona Hernández, este apartado nos ayuda aplicar 
y sirve de ayuda para aquellos que necesiten realizar o comprender las auditorías tanto 
internas como externas, también para poder realizar una gestión de un plan, por lo 
tanto, el alcance de la auditoría tiene que tener en cuenta todos los riesgos de 
seguridad que afecten al SGSI [13]. 
2.9.7 ISO 27032:2012. 
Como menciona GRUPO ACMS [14]. La ISO 27032 es un nuevo estándar de 
ciberseguridad que ofrece en líneas generales orientación sobre como fortalecer el 
estado de ciberseguridad en una entidad empresarial, utilizando 4 grandes enfoques 
los cuales son: Seguridad en redes, seguridad en internet, seguridad de la información 
y seguridad de las aplicaciones. 
Seguridad de la información. 
Tal como menciona Areitio, para un actual entorno competitivo en sociedad, el 
conocimiento y la información junto con la adecuada gestión de la seguridad de la 
información será de vital importancia ya que es una de las bases para la supervivencia 
de una organización [15]. Efectivamente si una empresa quiere estar a la vanguardia 
de la tecnología, transcender la confianza de sus clientes es necesario contar con una 
correcta gestión de la seguridad de la información de esta forma mantenerse en el 
mercado tan competitivo. 
Los pilares de la seguridad. 
Como nos dice Soriano, existen pilares básicos de la seguridad de la información, 
estos son: confidencialidad, integridad y disponibilidad también conocidos como la 
tríada CIA provenientes del inglés Confidentiality, Integrity and Availability [16]. 
 
2.10 Confidencialidad 
Retomando con los conceptos de Areitio, Es el requisito que se encarga de que la 
información privada, personal y secreta no sea revelada a terceros no autorizados. 
15 
 
Para algunos este requisito es de suma importancia sin embargo para otras entidades 
este requisito se encuentra por detrás de la integridad y la disponibilidad [15]. 
Adicionando al concepto, dependiendo de cuál es el interés de la empresa por priorizar 
este pilar esta misma tendría que emplear técnicas de encriptación para cifrar data 
sensible con la finalidad de asegurar la confidencialidad de sus clientes. Este requisito 
debe tomarse en consideración si se almacenan datos en algún dispositivo físico o 
virtual al que una persona no autorizada podría acceder [16]. 
 
2.11 Integridad. 
Como indica Sorian, la integridad de los datos es la garantía que nuestra información 
no sea alterada/modificada por entidades (personas, procesos, máquinas, 
organizaciones) no autorizadas. Dentro de un sistema de información la integridad 
implicaría garantizar al cliente que sus datos no han sufrido ninguna corrupción 
mientras se realizaba algún proceso y se garantiza la detección en caso ocurra una 
alteración, este pilar está más considerado en muchos otros entornos [16]. 
De modo similar Areitio [15] nos dice que la integridad tiene dos facetas: 
 La integridad de datos. Se puede interpretar cuando los datos de alguna manera no 
hayan sido modificados o alterados de una forma no autorizada y se encuentra libre 
de manipulaciones no consentidas. 
 Integridad del sistema. Podemos interpretarlo cuando un sistema realiza su función 
adecuada y deseada, sin alterar su funcionamiento y libre de manipulación con 
consentida [p. 3]. 
 
2.12 Disponibilidad 
Explica Soriano que la disponibilidad es sinónimo de tener acceso a la información 
siempre que se requiera o se solicite, al igual que los demás pilares también puede 
verse afectada por, motivos técnicos (mal funcionamiento del dispositivo, cortes de 
16 
 
energía), naturales (desastres naturales, agua, viento) y también causas humanas ya 
sean accidentales o deliberadas [16]. 
Para complementar Areitio nos dice que este pilar usualmente es uno de los más 
importantes para una organización y que, la disponibilidad es significado que un 
sistema está protegido contra los intentos accidentales o adrede de ejecutar un 
borrado que no está autorizado [15]. 
2.13 ITIL 
Como nos menciona Ingenio, ITIL por sus siglas en inglés biblioteca de infraestructura 
de tecnologías de información es un conglomerado de buenas prácticas y normas que 
principalmente se usan para la gobernanza de tecnología y tiene por objetivo la 
eficiencia y calidad en las operaciones relacionadas al departamento de TI [17]. 
 
2.14 Plan de Contingencia 
Como explica Ferruzola un plan de contingencia prepara a una organización para que 
esté lista para actuar de una manera efectiva en caso suceda alguna emergencia [18]. 
 
2.15 Ciberataques 
Como detalla Iberdrola, Los ciberataques son un conjunto de determinadas acciones 
que van contra los sistemas de información, estos pueden ser bases de datos o redes 
informáticas y tienen por objetivo perjudicar ya sea a personas, instituciones o 
empresas, actualmente y debido a la globalización informática es más probable que 
se dé una guerra cibernética que una tradicional [19]. 
 
2.15.1 Exploits 
Así mismo Hypponen nos dice que, la mayoría de ciberataques son de carácter 
delictivo y utilizan exploits para infectar a los ordenadores, dichos exploits no son más 
que errores en el software en otras palabras defectos de programación y estos existen 
17 
 
ya que la programación se da a través de seres humanos y como tal pueden cometer 
fallos [20]. 
Continuando con los que nos dice Hypponen, estos exploits también se pueden utilizar 
para realizar pruebas de penetración o pentesting a través de herramientas como 
Metasploit y puede ser realizados por personas especializadas y formadas con el fin 
de incrementar la seguridad de una empresa, por lo tanto hay una necesidad constante 
de buscar y crear nuevos exploits ya que estos no duran para siempre en cuanto se 
dé a conocer uno, el código es parcheado para evitar el fallo de seguridad [20]. 
2.15.2 Phishing 
Según Castillo, este método probablemente sea de los más utilizados en los 
ciberataques y consisten en enviar correos electrónicos fraudulentos que te redirigen 
a páginas web falsas para intentar obtener datos personales tales como DNI, 
contraseñas del banco, etc [21]. 
2.15.3 Vishing 
Castillo también nos dice que, el vishing hace referencia a llamadas telefónicas 
fraudulentasy que utilizan la información expuesta en la red para potenciar el ataque 
dirigido, el delincuente se puede hacer pasar por algún agente del banco y por lo 
general exponer alguna noticia de carácter alarmistas [21]. 
2.15.4 Smishing 
Castillo explica que, como se ha globalizado las tecnologías de mensajería instantánea 
como lo es WhatsApp, Telegram, etc. Esto deriva en una nueva modalidad conocida 
como smishing, en este caso la victima recibe un mensaje de texto enviando por el 
delincuente solicitando que la víctima le devuelva la llamada y pidiéndole datos 
sensibles, otra variante es que te envíen un enlace de internet fraudulento que te dirija 
a una página falsa de banca móvil por lo general para robarte tus datos [21]. 
2.15.5 Shoulder Surfing 
Como explica Osi, esta técnica consiste en que el ciberdelincuente consigue 
información básicamente mirando por encima de nuestro hombro desde una posición 
18 
 
muy cercana sin que nos demos cuenta, normalmente se dan en espacio públicos 
como restaurantes, centros comerciales, el transporte, incluso en cajeros automáticos 
[22]. 
 
2.16 OWASP 
Como nos indica OWASP, cuya definición de sus siglas es Open Web Application 
Security Project (OWASP), Es una fundación que no tiene fines de lucro cuyo fin es 
mejorar la seguridad en el software, esto lo hace a través de distintos proyectos de 
código libre que su misma comunidad comparte, también realiza formaciones y 
conferencias con el fin de capacitar a los desarrolladores de software, por otro lado 
OWASP también realiza un estudio y posterior publicación de un libro que describe el 
top 10 de las preocupaciones de seguridad más crítica a nivel mundial, dicho trabajo 
es realizado por expertos de seguridad de todo el mundo [23]. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
19 
 
 
 
 
 
 
CAPÍTULO 3 
 
ESTADO DEL ARTE 
 
Los investigadores de los departamentos de Computer and Security de Texas y Computer 
Engineering de la Universidad de Science and Technology en su artículo se tuvo por 
objetivo analizar los nuevos retos que el IoT presenta por la falta de seguridad y privacidad 
de sus usuarios, nos detalla también las principales causas de que ocurran dichas 
vulnerabilidades apoyándose en antecedentes de anteriores sistemas IoT, diferentes 
medidas de seguridad, enfoques utilizados para proteger los componentes de entorno, las 
actuales soluciones de seguridad existentes y los modelos privacidad necesarios y 
adecuados para diferentes capas de aplicación impulsadas por el IoT. Como conclusión se 
propuso un modelo en capas de IoT: Genérico y estirado con los componentes de 
privacidad, seguridad y la identificación de capas. Dicho modelo no solo elimina las 
posibles vulnerabilidades de seguridad y privacidad del IoT sino también se puede usar 
junto con las mejores técnicas de seguridad para las diferentes capas de aplicación de un 
IoT [1]. 
Los Investigadores de Google USA y del departamento de Electrical and Computer 
Engineering de la Universidad de Piscataway en la presente investigación tuvieron por 
objetivo investigar las posibles soluciones de IoT profundizando en sus aspectos de 
arquitectura de seguridad, detectando de esta manera los distintos problemas de seguridad 
exclusivos de los sistemas IoT y como resultado se propuso el modelo MobilityFirst 
20 
 
encargado de abordar estos problemas, aumentando la confianza sobre el funcionamiento 
seguro del internet de las cosas dicho modelo proporciona nombres y calves a los 
dispositivos a través del middleware IoT-NRS [24]. 
Los investigadores de la Universidad Tecnológica del Perú de la carrera Ingeniería de 
Sistemas e Informática, realizaron una investigación que tuvo por objetivo realizar un 
diseño de una arquitectura para plataformas IoT dentro de la empresa Pacífico Seguros; 
esta investigación utilizó controles propios de la ISO 27001 y también de la ISO 27032, los 
comparó para determinar cuál sería mejor usar, cuestionarios para medir el grado de 
conocimiento, estos instrumentos fueron aplicados tanto a los colaboradores como a la 
infraestructura de la organización y se llegó a la conclusión que existen distintas 
vulnerabilidades, amenazas y riesgos hacia los activos de la empresa, así mismo se midió 
el impacto que generaría si una amenaza se materializa. El desarrollo de un plan de acción 
y de una arquitectura permite establecer lineamientos en caso se vea afectado la 
información confidencial de la plataforma de IOT y generar un plan de recuperación y 
continuidad de la empresa [25]. 
El investigador del programa de ingeniería especializada en auditorias de sistemas de la 
Universidad católica de Colombia, en su investigación tuvo por objetivo identificar la mejor 
estrategia para la implementación de un SGSI basado en la norma ISO 27001 para el área 
de TI en la empresa Market Mix; para el desarrollo de esta investigación se utilizaron 
encuestas y entrevistas a los 200 integrantes del área de TI para medir los conocimientos 
y manejos de la seguridad de la información y se llegó a la conclusión que solo el 29% 
tiene un buen conocimiento, el 20% no tenía conocimiento, el 13% conocimientos bajos, el 
32% conocimientos medios. Por lo que demuestra que la empresa está sujeta a sufrir 
distintas fugas de información y pérdida de la misma [26]. 
El investigador de la Universidad Politécnica Salesiana sede Quito en su investigación tuvo 
por objetivo realizar una investigación de los efectos al momento de implementar una 
auditoría informática a empresas de seguros utilizando la ISO 27001:2013; para el 
21 
 
desarrollo de esta investigación se utilizaron los controles de la ISO 27001:2013, se 
utilizaron distintos métodos de investigación como el deductivo, sintético, analítico y 
estadístico dirigidos a la población y muestra proporcionados por la SUPERINTERDENCIA 
DE COMPAÑIAS VALORES Y SEGUROS, se encuentran 14 empresas de seguros y se 
llegó a la conclusión que la ISO aumentó el rendimiento del maneja de sus activos de 
información, se crea una ventaja competitiva frente a otras aseguradoras, se asegura un 
crecimiento sostenible para la empresa [27]. 
El investigador de la facultad de ingeniería escuela profesional de sistemas de la 
Universidad César Vallejo, en su investigación tuvo por objetivo elaborar un diagnóstico de 
los activos de información en el área QHSE basado en la ISO 27001, para el desarrollo de 
esta investigación se realizaron reuniones y también se utilizaron cuestionarios hacia los 
colaboradores del área de logística e informática de la empresa y se llegó a la conclusión 
de que es necesaria una propuesta técnica que involucre los controles de la seguridad de 
la información basada en la norma 27001 ya que el grado de criticidad puesto en los activos 
de información de esa área eran de gran valor para la empresa y una implementación del 
SGSI ayudará a reducir estos indicadores [28]. 
El investigador de la escuela profesional de ingeniería informática de la Universidad de San 
Pedro de Huacho en su investigación tuvo como objetivo determinar las políticas de 
seguridad informática para el manejo de información de la Distribuidora Almapo S.R.L., 
para conocer las deficiencias en el uso de la información por la ausencia de controles de 
seguridad, se utilizaron los controles descritos por la ISO 27001:2013 e una investigación 
a nivel descriptiva, también se utilizaron encuestas dirigidas a los empleados da la 
empresa, como conclusión se afirmó la falta de normas y políticas de seguridad para el 
manejo de información, así mismo los trabajadores no tienen claro el concepto de 
seguridad de la información por ende se determinar aplicar las políticas descritas por la 
ISO 27001 [29]. 
22 
 
El Investigador de la Universidad técnica de Ambato en Ecuador, en su investigación se 
plantea un diseño de un plan de contingencia informático basado en la norma de la calidadISO 27001:2013 para evaluar que amenazas y vulnerabilidades son los principales riesgos 
de activos de la empresa se ven comprometidos para realizar esto se utilizaron las 
normativas de la ISO 27001:2013 y encuestas hechas a los colaboradores de la empresa 
de área de TI, y se concluyó que el área de TI no está preparada para las amenazas 
detectadas y pueden generar la pérdida o modificación de sus activos principales de 
información [30]. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
23 
 
 
 
 
 
 
CAPÍTULO 4 
 
METODOLOGÍA 
 
4.1 Metodología PDCA – Ciclo Deming. 
Tomando el concepto de Ocrospoma [31], El ciclo Deming, es un proceso 
metodológico cuyo principal objetivo es aplicar a cualquier proceso una acción cíclica 
con el fin de lograr una mejora continua. 
 P (Plan) = Planificar. 
 D (Do) = Hacer, realizar. 
 C (Check) = Validar, verificar, comprobar. 
 A (Act) = Actuar. 
4.1.1 Planificar 
En esta etapa se desarrolla el planteamiento del contexto, tratamiento de los riesgos, 
la valoración del riesgo y aceptación del riesgo, en otras palabras, se desarrolla el Plan 
de Tratamiento del riesgo [12]. 
4.1.2 Hacer 
En esta etapa se plantea la implementación del Plan de tratamiento de riesgos 
teniendo como objetivo cubrir todos los controles de seguridad que fueron 
seleccionados en el plan para mitigar riesgos [32]. 
4.1.3 Verificar 
En esta etapa como lo define Mera y Mondragón [32], se deberán efectuar procesos 
de monitorización con el fin de hallar fallos que ocurran al pasar los días, ver cómo 
24 
 
reacciona el personal frente al SGSI, también evaluar regularmente la efectividad del 
SGSI revisando si los controles aplicados disminuyen o mitigan los riesgos 
identificados y consecuente el grado de aceptación que tiene la dirección frente a los 
nuevos cambios y mejoras, es recomendable por tal razón realizar auditorías internas 
por personal calificado. 
4.1.4 Actuar 
Para esta etapa se deberá efectuar las mejoras identificadas ya sea con acciones 
preventivas o correctivas, se recolecta también lecciones aprendidas con el fin de no 
cometer los mismos errores. Toda esta información se deberá comunicar a las partes 
interesadas con el fin de mejorar el SGSI y evidenciar la mejora continua. Por último, 
el ciclo de Deming al ser cíclico volvería el primer paso y se repetiría el ciclo [32]. 
 
 
La figura 5 se adaptó el ciclo de Deming para aplicarlo a la implementación de un SGSI 
y lograr una mejora continua. 
 
Figura 5. Ciclo de Deming orientado al SGSI [38] 
25 
 
 
 
 
Como se observa en la figura 6 se aplicará el flujo continuo para una mejora continua 
como nos indica el ciclo DEMING de esta forma el SGSI estará en continua evolución. 
 
4.2 Comparando el ciclo de DEMING versus otras metodologías 
4.2.1 Metodología Six Sigma 
Como menciona Gisbert et al [33] es una técnica cuyo objetivo es disminuir la 
variabilidad de los procesos con el fin de mejorar la calidad, dicho ciclo se da mediante 
los siguientes pasos DMAIC (Definir, Medir, Analizar, Mejorar y Controlar) para poder 
implementar dicha metodología es necesaria la participación de todos los trabajadores 
de la empresa, sigma desde el punto de vista estadístico nos presenta la dispersión 
de los valores en la media con respecto a los valores. 
4.2.2 Metodología Kaizen 
Según menciona Blanco [34] el método de Kaizen nos presenta una filosofía de 
superación constante y permanente, este modelo de mejora se caracteriza por buscar 
mejoras sin mucha prisa, pero sin pausas y debe implantarse en la totalidad de la 
Figura 6. Diagrama de Flujo del Sistema. 
Fuente: Elaboración Propia 
26 
 
empresa, este método se divide en 3 grandes apartados los cuales son: la eliminación 
o también llamada muda, correcto mantenimiento y la estandarización. 
4.2.3 Elección de la metodología 
Retomando a Gisbert [33], nos menciona también que la metodología sigma es 
utilizada mayormente para procesos más complejos y que manejen gran cantidad de 
datos a comparación de la metodología de DEMING al ser un método más clásico se 
suele utilizar para problemas de tamaño medio. El método DMAIC vendría ser una 
evolución del método PDCA por lo tanto es más exhaustivo y conlleva a un mayor 
tiempo de implementación 
Por otro lado, Blanco [34] también menciona, frente a la comparación de estos dos 
enfoques DEMING y Kaizen. En la metodología de DEMING la mejora se aplica por 
proyecto mientras que Kaizen se realiza de manera diaria, DEMING se enfoca en los 
resultados obtenidos mientras que Kaizen en los procesos. Otro de los puntos más 
importantes es que la metodología DEMING tiene objetivos bien delimitados mientras 
que Kaizen al no tener un plan tiene resultados desconocidos. Como conclusión la 
implementación de los procesos de mejora continua del ciclo de DEMING es más 
sencilla mientras que la de Kaizen es más compleja. 
 
4.3 Descripción de la investigación 
4.3.1 Población. 
En este caso la población es la totalidad de personas que laboran en la empresa 
Socosani S.A. Esto incluye a todas las áreas de la empresa. 
4.3.2 Muestra 
Ya que la muestra es una parte representativa de la población, en este caso las 
personas que tienen contacto con equipos de la empresa, personal correspondiente al 
área operativa, administrativa y área de TI. Por lo tanto, se determinó que la muestra 
es no probabilística porque no hubo una elección aleatoria de los elementos que 
27 
 
participaron en la encuesta, al contrario, fueron los ya designados por pertenecer a 
determinada área. 
 Área Operativa: 21 personas 
 Área Administrativa: 15 personas 
 Área TI: 1 persona 
4.3.3 Tipo y diseño de la investigación 
 Tipo: Descriptivo 
 Diseño: No experimental/longitudinal 
4.3.4 Nivel y enfoque de la investigación 
 Nivel: Aplicado 
 Enfoque: Mixto 
4.3.5 Viabilidad 
Técnica 
Se cuenta con los permisos para utilizar los recursos técnicos necesarios que la 
empresa dispone (equipos y software informáticos), así como la facilidad para 
coordinar con el personal técnico las acciones que permitan implantar el nuevo modelo 
de seguridad con la ISO 27001:2013 en el que me encuentro certificado. 
Operativa 
El proyecto de investigación está enmarcado dentro de los objetivos de la empresa de 
brindar a sus clientes confianza en las operaciones que se dan entre el cliente y la 
empresa, por ello la planificación y metas del proyecto de investigación han sido 
aprobados por la empresa para el manejo de la información, así como el permiso para 
que supervisores y personal de cada área puedan facilitar el desarrollo de la 
implementación de la propuesta de seguridad en el tiempo establecido. 
Económica 
La de implementación de un nuevo modelo de ciberseguridad ha sido propuesta a la 
empresa, así como la implementación de algunos equipos de red que mejoren la 
28 
 
respuesta seguridad de la red de datos están presupuestados, revisar en el anexo 11, 
el software utilizado es de código libre. 
Respecto al estudio y desarrollo del proyecto, su financiamiento corre a cuenta del 
tesista que incluye estudios preliminares del proyecto, pruebas iniciales e 
implementación de la nueva propuesta mediante el análisis comparativo de los 
resultados preliminares y el proceso de validación con encuestas de aceptación del 
nuevo modelo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
29 
 
 
 
 
 
 
CAPÍTULO 5 
 
RESULTADOS Y DISCUSIÓN 
 
5.1 Resultado del Diagnóstico 
5.1.1 Tratamiento de información por área 
Área Administrativa 
Esta área en concreto se centra en la generación de reportes de ventas ya sean 
semanales, mensuales y anuales las cuales ayudan a la gerencia a tomar decisiones 
con respecto al reporte. Siendo el foco más importante la información de las ventas, 
tal como: 
 Que producto se vende más. 
 En qué zona se vende más un producto que otro. 
 Lafecha en la que un producto se sube su rotación o baja 
 Clientes con alta demanda de pedidos. 
30 
 
 
Figura 7. Diagrama de flujo para administrativos de Ventas 
 
Fuente: Elaboración Propia 
 
Incidencias: 
Una fuga de información o vulneración de la integridad, disponibilidad y 
confidencialidad en esta área en particular significaría un gran riesgo para la empresa 
ya que esta área es vital para la toma de decisiones gerenciales en base a reportes, 
dicha información contiene el historial de ventas de varios años, padrones de clientes, 
información confidencial de clientes y lista de precios de los productos. 
Dicha vulneración puede afectar a la no disponibilidad del servidor evitando que el 
sistema interno pueda ser usado por los trabajadores afectando todos los procesos de 
la empresa, por otro lado, la filtración de data sensible como los datos ya mencionado 
líneas arriba. 
 
 
31 
 
Activos de Información afectados: 
 Computadoras de Escritorio 
 USB 
 Servidor 
Dispositivos IOT afectados: 
 Impresoras 
 Routers 
Área Operativa (Preventa) 
Esta área se encarga de tomar los pedidos e ingresarlos al sistema, dicho proceso se 
hace a través de un dispositivo móvil (Android) y una app desarrollada por la 
organización, esta app se comunica a través de una API y manda respuestas JSON 
que en este caso vendrían a ser los pedidos, también utiliza la tecnología de GPS para 
cuando realice un pedido en el lugar donde se encuentre se captura sus coordenadas 
y se genere un punto en un mapa de tal forma que ayude al área de reparto a llegar 
con el pedido solo en el caso de nuevos clientes. 
Figura 8: Diagrama de Flujo de la venta de una Preventista 
 
Figura 8. Diagrama de Flujo de la venta de una Preventista. 
 
Fuente: Elaboración Propia 
 
32 
 
Incidencias 
Esta área en caso llegase a estar comprometida con alguna brecha de seguridad 
podría significar perdida de ingreso de dinero a la empresa, ya que el rol de un 
preventista recae en tomar pedidos a los clientes para que después llegue al punto un 
camión de reparto entregando el pedido y cobrando el mismo. 
Por otro lado, si el dispositivo no cuenta con la seguridad correspondiente, el atacante 
tendrá fácil acceso a la información de los contactos del preventista al mismo tiempo 
suplantar la identidad del preventista afectando directamente al cliente final. 
Activos de Información más relevantes: 
 Dispositivos Móviles 
5.1.2 Análisis del contexto del SGSI 
Alcance y límite tecnológico. 
Como estrategia para la implementación del SGSI se definió como alcance del SGSI 
trabajar con las siguientes áreas 
 Área de TI. 
 Área administrativa. 
 Área operativa. 
ya que dichas áreas ocupan el mayor número de activos de información críticos dentro 
de la empresa Socosani S.A. para ver detalladamente los activos identificados ver el 
anexo 1. 
Adicionalmente como límite tecnológico tenemos: 
 La estructura de red. 
 Dispositivos IoT. 
 Almacenamiento. 
 Herramientas de productividad personal. 
Interesados Internos 
Gerencia General. 
33 
 
 Necesidades o expectativas: Asegurar la integridad, confidencialidad y 
disponibilidad de la información dentro de la empresa. 
 Requerimientos: Implementar el SGSI 
Gerencia Administrativa. 
 Necesidades o expectativas: Proteger la información sensible de los clientes, 
proveedores, así como la información financiera y contable. 
 Requerimientos: La implementación del SGSI sea de una forma eficiente con el 
tiempo y el uso de recursos. 
Gerencia del área operativa. 
 Necesidades o expectativas: Velar por la continuidad de los procesos de negocio y 
mejorar el flujo de trabajo para ser más productivos. 
 Requerimientos: Los trabajadores deben estar capacitados para manejar de mejor 
manera incidentes de seguridad. 
Jefe del área de TI. 
 Necesidades o expectativas: Mejorar el control de la seguridad de la información 
para evitar posibles fugas de información. 
 Requerimientos: Proponer mejores generales para las distintas posibles fugas de 
información y reestructuración de la red. 
Interesados Externos. 
Clientes 
 Como clientes tanto consumidores como proveedores se espera que la información 
sensible de su información se encuentre lo mejor resguardada posible. 
Gobierno 
 Según la Ley N°29733 los datos personales contenidos ya sea en entidades 
públicas o privadas deben objeto de especial protección. 
5.1.3 Encuesta y Entrevista 
34 
 
Nivel de conciencia de los trabajadores sobre la ciberseguridad (conocimiento de 
seguridad, contraseñas, vulnerabilidad de información) (10 preguntas de opciones de 
cerradas) (preguntas de control: edad, sexo, puesto/área, antigüedad). 
Se elaboró tres encuestas, una destinada para el área administrativa, otra para el área 
operativa y una destinada al encargado del área de TI, con el fin para medir el grado 
de madurez de la empresa con respecto a la seguridad de la información, las primeras 
preguntas son generales para la parte administrativa y operativa. 
Figura 9: Resultado de encuesta n°1 
 
Figura 9. Resultado de encuesta n°1 
Fuente: Elaboración Propia 
Se puede observar en la figura 9, que más de la mitad es decir un 67.6% no sabe o no 
ha escuchado sobre la seguridad de la información y el otro 32.4% si ha escuchado o 
tiene alguna idea. Esto nos da entender que un gran porcentaje no sabe que es la 
seguridad de la información y es un punto importante a cubrir. 
35 
 
Figura 10: Resultado de encuesta n°2 
 
Figura 10. Resultado de encuesta n°2 
Fuente: Elaboración Propia 
Continuando con la siguiente pregunta en la figura 10 se puede observar, y estando 
muy ligado a la primera nos damos cuenta que más de la mitad de los encuestados 
piensa que no tiene algún activo de información en su poder lo cual representa un gran 
riesgo ya que todos cuentan con al menos un activo de información en su poder por 
otro lado el 32.4% está consciente que tiene en su poder dicho activo de información. 
Figura 11: Resultado de encuesta n°3 
 
Figura 11. Resultado de encuesta n°3 
Fuente: Elaboración Propia 
36 
 
La figura 11 nos refleja la realidad de la empresa, donde se hace notoria la falta de 
preocupación por parte de la empresa para concientizar a sus trabajadores y fomentar 
una cultura de seguridad de la información. 
En resumen, podemos concluir de esta primera parte de la encuesta dirigida a todos 
en general que la falta de cultura y consciencia con respecto a la seguridad es un punto 
urgente a tratar. 
Encuesta para el área Administrativa. 
Esta encuesta está destinada a medir el grado de seguridad que tiene cada empleado 
dentro del área administrativa, esto incluye (Contabilidad, Ventas, RRHH, 
Distribución), 
Figura 12: Resultado de encuesta n°4 
 
Figura 12. Resultado de encuesta n°4. 
Fuente: Elaboración Propia 
La figura 12, nos muestra que un 40% de los trabajadores del área administrativa no 
cambia nunca la contraseña de usuario para el acceso a su computadora, el otro 40% 
lo cambia una vez y solo el 20% lo cambia una vez al año, sin embargo, todos cuentan 
con una contraseña a sus perfiles de usuario, dándonos a entender que no se tiene 
una política de seguridad sobre el cambio continuo de contraseñas. 
37 
 
Figura 13: Resultado de la encuesta n°5 
 
Figura 13. Resultado de la encuesta n°5. 
Fuente: Elaboración Propia 
La figura 13, tiene la finalidad de descubrir si se puede dar una fuga de información 
por este medio tan común pero muy riesgoso que normalmente se utiliza por el 
personal de oficina, dicho mal hábito nos puede dejar expuesto a técnicas como el 
“Trashing” o “Dumpster Diving”, un 53.3% no anota información sensible en post it pero 
un 46.7% si lo hace. 
Figura 14: Resultado de la encuesta n°5 
 
Figura 14. Resultado de la encuesta n°5. 
Fuente: Elaboración Propia 
38 
 
La figura 14, se puso con la finalidad de ver si información importante