Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
http://revistas.udistrital.edu.co/ojs/index.php/Tecnura/issue/view/650
DOI: http://dx.doi.org/10.14483/udistrital.jour.tecnura.2015.4.a10
Estudio de caso
Para citar: Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W. (2015). Implantación de un sistema
de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información. Revista Tecnura,
19(46), 123-134. doi:10.14483/udistrital.jour.tecnura.2015.4.a10
1
Administrador de empresas, magíster en Administración, investigador Grupo GIDSE, Universidad Francisco de Paula Santander Ocaña.
Ocaña, Colombia. Contacto: jgarevaloa@ufpso.edu.co
2
Administrador de empresas, magíster en Administración, investigador Grupo GIDSE, Universidad Francisco de Paula Santander Ocaña.
Ocaña, Colombia. Contacto: rabayonat@ufpso.edu.cog
3
Ingeniero de sistemas, magíster en Ciencias Computacionales, investigador Grupo INGAP, Universidad Francisco de Paula Santander
Ocaña. Ocaña, Colombia. Contacto: dwricob@ufpso.edu.co
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 123 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
are used to design spaces training, acquisition of is proposed using the ISO 27001: 2005, using most
abilities and employers management practices in appropriate technologies to study organizations
consistent with the challenges of competitiveness that protect their most important asset information:
and stay on the market. information.
As of the results was collected information regar- Keywords: System documentation, ISO 27001 stan-
ding technological component companies of the dard, Business Structure, risk management, Informa-
productive fabric of the city, for which the applica- tion technology.
tion of tools for the analysis of information systems
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 124 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 125 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
Tabla 2. Estratificación de la muestra. realizar las visitas a las instalaciones de las empre-
sas y la revisión de la infraestructura tecnológica,
Estrato Submuestras se sugiere la aplicación de algunos controles esta-
Personas naturales 310 blecidos en la norma ISO-27001:2005 para cada
Sociedades limitadas 21 uno de dichos activos (Anttila, Jussila, Kajava, &
Empresas unipersonales 8
EAT 6
Kamaja, 2012; Talib, Khelifi, & Ugurlu, 2012).
S.A. 4
SUC 2 RESULTADOS
S.E. Sim. 2
TOTAL 353
Composición sectorial
Fuente: Elaboración propia.
La ciudad de Ocaña está conformada por tres
Diseño del instrumento de recolección de da- grandes sectores económicos (figura 1): comercial,
tos. Se utilizó un formato de encuesta el cual se manufacturero y de servicios (Arévalo, 2012). El
aplicó a las empresas de la ciudad de Ocaña. Adi- sector comercial representa la principal actividad
cionalmente se hizo un recorrido de reconoci- económica con un total de 252 empresas, que par-
miento por las instalaciones de cada organización ticipan con el 71%; seguido del sector servicios,
con el fin de hacer más confiable la información. con un total de 92 empresas, que representa el
Organización del equipo de trabajo. De acuer- 26%; y las empresas dedicadas a la actividad ma-
do con los aspectos estudiados y la amplitud del nufacturera, con un total de 9 empresas, que par-
objeto de la caracterización, se seleccionó el equi- ticipan con el 3%, para un total de 353 empresas
po de trabajo conformado por expertos en las áreas encuestadas.
administrativas, económicas, contables, sistemas
y tecnología entre profesores y estudiantes de la
Universidad Francisco de Paula Santander Ocaña.
Recopilación y análisis de los datos. Se efectuó
por medio de visitas a las empresas puerta a puerta,
entrevista con personal directivo y observación di-
recta. Posteriormente se realizó la tabulación de los
datos utilizando una base de datos, la que permi-
tió generar diferentes reportes con los resultados de
los instrumentos. Igualmente, se acudió a la ayuda
de fuentes de información como libros especializa-
dos, bases de datos, conclusiones de investigacio-
nes e información proveniente de Internet.
Propuesta de aplicación en las empresas de Figura 1. Composición sectorial
la norma ISO 27001. Esta es una actividad pen-
Fuente: Elaboración propia.
diente por ejecutar, la cual propone conocer las
fortalezas y debilidades a las que pudieran estar
sometidos los activos de información que están en Cuando se analiza el detalle dentro de cada
las diferentes empresas, con el fin de sugerir es- uno de los tres sectores principales, se observa que
trategias que minimicen la ocurrencia de posibles en el sector comercial las empresas se concentran
amenazas que en la mayoría de los casos explotan principalmente en el comercio detallista o al por
las vulnerabilidades organizacionales. Después de menor, que, no obstante, sigue siendo la rama que
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 126 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
posee la mayor dimensión en Ocaña y a su vez re- mala imagen y desmeritan a sus competidores,
presenta el centro de la economía local. A su vez, bien sea por el precio, la calidad del producto o la
en este sector se destacan las tiendas de abarrotes, atención del servicio.
misceláneas, licorerías, ferreterías, carnicerías, pa- Por su parte, 65 empresas señalan al mercado
pelerías, venta de repuestos, droguerías, tiendas de como su principal dificultad; 38, el manejo finan-
dulces y vidrieras, entre otras (Medina, 2009). ciero, debido a que no hay recursos económicos
En el resto de actividades terciarias, en número para invertir, y 31 tienen dificultad con el local
se destacan los servicios tradicionales prestados a en el que funcionan. En otro grupo de problemas
las empresas (asesoría, consultoría, publicidad, etc.), se destacan, para 24 empresas, la dificultad de la
la hostelería, el transporte terrestre (de carga y de tecnología y la poca cultura que se tiene sobre la
pasajeros), salas de belleza, mantenimiento, ense- importancia, vulnerabilidad y protección de la in-
ñanza, parqueaderos, montallantas, remontadoras, formación como el activo más importante, que
sastrería, lavandería, las actividades de telecomuni- trae consigo un reto mayor para quienes se dedi-
caciones (servicios telefónicos, telefonía celular), así can a la administración de la información; para 15,
como las actividades inmobiliarias y de alquiler. es el recurso humano, debido a que en la zona no
En el sector industrial, las empresas se concen- se cuenta personal calificado; y para 5 , el proble-
tran principalmente en las ramas de fabricación de ma es el orden público, aduciendo que Ocaña es
prendas de vestir, elaboración de productos de pa- una localidad en la que confluyen todos los acto-
nadería, muebles, puertas y ventanas, y en general res violentos de Colombia y además sufre despla-
fabricación de otros productos. zamiento forzado.
El estudio también identificó los problemas que
han afectado o están afectando el crecimiento y Información contable
desarrollo de las organizaciones en la ciudad. En
orden de importancia, las dificultades identifica- Un sistema de información contable de cualquier
das por los empresarios son (figura 2): la compe- empresa, independientemente del paquete que
tencia (mencionada 175 veces), debido a que se utilice, sigue un modelo básico y un sistema de
enfrentan a una economía globalizada donde se información bien diseñado, que ofrece control,
observan comportamientos desleales que crean compatibilidad, flexibilidad y una relación acepta-
ble de costo/ beneficio (Boehmer, 2009).
En cuanto a métodos y sistemas contables se
indagó sobre la existencia de algún tipo de softwa-
re para el manejo financiero (figura 3). Los datos
muestran que el 75% (266) de las empresas encues-
tadas no ha adoptado formas ni sistemas contables
que le permitan llevar un registro de su actividad
operacional; tan solo 17% (60) emplea programas
computacionales de contabilidad. En este mismo
aspecto se encontró que el 8% (27) de las empre-
sas se abstuvieron a responder la pregunta.
Es importante tener en cuenta que dentro de los
sistemas de información contable más utilizados
Figura 2. Dificultades que enfrenta el negocio por las empresas estudiadas se encuentran: SIIGO,
TNS, MICRO_10, SOFTWARE MANAGER, SIMI.
Fuente: Elaboración propia
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 127 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 128 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 129 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 130 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
FASES ACTIVIDADES
I. Entendimiento de los requerimientos del
Taller con niveles estratégicos y tácticos
modelo
Etapa estratégica
II. Determinación del alcance
Etapa táctica
Realización del análisis
Definición de política de seguridad de información y objetivos
III. Análisis y evaluación del riesgo Evaluación de las opciones para el tratamiento del riesgo
Selección de controles y objetivos de control
Elaboración de la declaración de aplicabilidad
Realizar el Business Impact Analysis
Efectuar el análisis del riesgo e identificar escenarios de amenazas
IV. Elaboración del plan de continuidad del
Elaborar estrategias de continuidad
negocio
Diseñar plan de reanudación de operaciones
Diseñar procesos de ensayo
Elaborar el plan de tratamiento del riesgo
V. Implementar y operar el SGSI Determinar la efectividad de los controles y las métricas
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 131 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
empresa. Dicen contar con maquinaria moderna, de empleo y mejorar la calidad de vida para sus
sin embargo, todavía se presentan significativos habitantes.
porcentajes de maquinaria atrasada y obsoleta. Se Las empresas de la ciudad corresponden funda-
destaca la voluntad y la capacidad “criolla” para mentalmente al sector comercial, el cual represen-
aportar al mejoramiento en productos y aun en ta la principal actividad económica que participa
maquinaria, pero sin que dicho esfuerzo tenga la con el 71%, entendiendo que la mayor parte de
trascendencia y aceptación en las normas y merca- ellas (81%) se ubican geográficamente en una zona
dos internacionales. Este último aspecto lo expli- comercial, localizada en la zona centro de la lo-
ca la poca vinculación con los mercados externos, calidad. A su vez son predominantemente empre-
sobre todo por la vía de la exportación (Bachlech- sas familiares, ya que una alta proporción de ellas
ner, Thalmann, & Maier, 2014). son firmas concebidas y administradas por grupos
La planificación de la calidad es realizada prin- familiares, tanto en cuanto a la propiedad de la
cipalmente por personal operativo, estos son los en- empresa como por el tipo de gestión empresarial.
cargados del establecimiento de los objetivos y la En Ocaña, el tejido empresarial se encuentra
fijación de los medios para alcanzarlos; no hay un altamente atomizado, siendo la microempresa su
área de calidad establecida y por tanto tampoco se piedra angular: nueve de cada diez empresas son
tiene personal especializado. Los métodos de con- microempresas y, por tanto, esta es la base para la
trol son generalmente la inspección, desarrollada creación de riqueza y empleo. Con base en lo an-
de acuerdo con las experiencias a través del tiempo; terior, las microempresas representan el 96% del
las herramientas como la metodología estadística es total de las empresas; mientras que las empresas
escasa (Peterson, 2009). Muchas de las empresas no pequeñas y medianas representan 3% y 1%, res-
cuentan con la sistematización, por tanto no se tie- pectivamente, situación que muestra que están
nen procedimientos escritos y documentación sis- concentradas en sectores de medio y bajo conte-
tematizada; la información está en la memoria del nido tecnológico. Este hecho debe tenerse muy en
personal con experiencia, exponiéndose a la pérdi- cuenta a la hora de definir una política organiza-
da de información esencial en el caso de despido cional que incorpore un sistema de gestión de se-
del empleado (Murphy & Murphy, 2013). guridad de información.
La calidad se limita al desarrollo de acciones La gestión de la calidad es el elemento que en
correctivas sin la identificación de las causas raí- mayor medida puede favorecer a mantener y me-
ces que originan los problemas y la adaptación de jorar la competitividad de las empresas, dadas las
medidas tales como el SGSI, orientadas a la elimi- circunstancias actuales, es decir, inmersos en un
nación preventiva de dichas causas. proceso de cambio y apertura comercial. Esta si-
tuación supone un endurecimiento de las con-
CONCLUSIONES diciones competitivas, especialmente para las
empresas más atrasadas en esfuerzos de calidad o
La encuesta permitió detectar puntos claves dentro en modernización tecnológica, como son las em-
de la estructura productiva de la ciudad de Ocaña. presas de la ciudad.
Entenderlos puede contribuir a definir nuevas me-
tas y coordinar acciones para crear un escenario FINANCIAMIENTO
productivo local que responda a los requerimien-
tos de la competitividad. La región tiene el reto La Universidad Francisco de Paula Santander Oca-
de alcanzar una senda de crecimiento sostenido y ña (UFPSO), mediante la División de Investigación
creciente, que le asegure niveles superiores y logre y Extensión (DIE) vincula a docentes, adminis-
incrementar la inversión productiva, la generación trativos y estudiantes para que participen en la
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 132 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 133 ]
Implantación de un sistema de gestión de seguridad de información bajo la ISO 27001: Análisis del riesgo de la información
Arévalo Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.
Medina, Y., & Rico, D. (2008). MODELO DE GESTIÓN Curriculum Development Conference (InfoSecCD
DE SERVICIOS PARA LA UNIVERSIDAD DE ‘09). ACM , 114-120.
PAMPLONA: ITIL. Scientia et Technica , 14 (39), Rocha Flores, W., Antonsen, E., & Ekstedt, M. (2014).
314-320. Information security knowledge sharing in organi-
Montilla Riofrío, A. L. (2010). Caracterización de la ac- zations: Investigating the effect of behavioral infor-
tividad económica empresarial de las Sociedades mation security governance and national culture.
Limitadas y Unipersonales de la ciudad de Ocaña. Computers & Security , 43, 90-110.
Proyecto de grado, Universidad Francisco de Paula Talib, M., Khelifi, A., & Ugurlu, T. (2012). Using ISO
Santander Ocaña, Norte de Santander, Ocaña. 27001 in teaching information security. IECON
Murphy, D., & Murphy, R. (2013). Teaching Cyberse- 2012–38th Annual Conference on IEEE Industrial
curity: Protecting the Business Environment. In Electronics Society , 3149 (3153), 25-28.
Proceedings of the 2013 on InfoSecCD ‘13: Infor- Velásquez Pérez, L. (2003). Estudio del alcance de la
mation Security Curriculum Development Confer- implantación de tecnologías de información, como
ence (InfoSecCD ‘13). ACM , 88-94. apoyo al mejoramiento de los procesos, en las
Parkin, S. (2010). A stealth approach to usable securi- pequeñas y medianas empresas del sector manu-
ty: helping IT security managers to identify work- facturero en Bogotá.
able security solutions. In Proceedings of the 2010 Villalobos Carmona, S. (2010). La importancia de la tec-
workshop on New security paradigms (NSPW ‘10). nología en las empresas.
ACM , 33-50. Zaini, M., & Masrek, M. (23-24 de Dec. de 2013). Con-
Pérez Urrego, M. (2008). La pyme en el Tolima: Caracter- ceptualizing the Relationships between Information
ísticas y problemas. Cuadernos de Investigación, 7. Security Management Practices and Organizational
Peterson, C. (2009). Business continuity manage- Agility. Advanced Computer Science Applications
ment & guidelines. In 2009 Information Security and Technologies (ACSAT) , 269,273.
Tecnura • p-ISSN: 0123-921X • e-ISSN: 2248-7638 • Vol. 19 No. 46 • Octubre - Diciembre 2015 • pp. 123-134
[ 134 ]