UNIVERSIDAD PERUANA LOS ANDES

FILIAL - LIMA

FACULTAD DE INGENIERIA
CARRERA PROFESIONAL: INGENIERIA DE SISTEMA Y
COMPUTACION

INFORME DE PRACTICAS PRE PROFESIONALES

TEMA:IMPLEMENTACIN DE UN SISTEMA DE GESTIN DE
SEGURIDAD PARA LA INFORMACIN

PRESENTADO POR:
JOS EDGAR ABANTO ABANTO

Lima, (23, Octubre, 2013)

A mi abuelo:
Toribio Abanto, quien con
alegra y emocin siempre me
anim a estudiar, superarme y
as buscar soluciones en
beneficio de todos.

AGRADECIMIENTO
A mis padres por haber sacrificado mucho de su esfuerzo y tiempo sacando
los recursos necesarios para que nosotros (mi hermano y yo) recibiramos
educacin, a pesar que la situacin no era muy favorable en la ciudad donde
vivamos.
A mis profesores que a lo largo de estos aos me han inculcado los
conocimientos necesarios para lograr terminar mi carrera, soportando
muchas veces la desobediencia tpica de los aos de inmadurez adolescente
y juvenil.
A las personas involucradas en temas de seguridad de la informacin que
tuve el agrado de conocer y comprender, ellos con sus enseanzas me
ayudaron a elegir mi carrera y saber definitivamente hacia donde enfocar mis
habilidades.

1. OBJETIVO
Relacionar al estudiante q un rea laboral donde demuestre sus
conocimientos, actitudes de responsabilidad y cooperacin organizacional.
Brindar una experiencia en el mbito laboral y contribuir en la formacin
acadmica profesional y desarrollarse como un Ingeniero de Sistemas,
Cmputo y Telecomunicaciones.
Dar a conocer por medio del Informe, el trabajo realizado dentro de la
organizacin o institucin dentro del periodo de las Practicas Pre
profesionales.
Al final del trabajo realizado verificar la conformidad de la empresa donde se
desarroll las prcticas, demostrando con eficiencia la operatividad del
Sistema de Gestin implementado en la organizacin.

2. CONTENIDO
INDICE
Captulo I

1. Descripcin del sector o rubro de la empresa

1.1

Descripcin

2. Descripcin general de la Empresa

2.1

Breve resea histrica de la empresa

2.2

Visin y Misin de la Empresa

2.3

Pgina web y fotografas de la Empresa

11

2.4

Organizacin de la Empresa Organigrama

12

2.5

Descripcin del lugar donde realiza sus prcticas

12

2.5.1 Organigrama del rea donde labora

13

3. Funciones del rea donde realiza sus prcticas

1.

14

Perfil profesional del puesto que usted ocupa

14

Captulo II

15

1. Resumen explicativo de la prctica Pre-profesional realizada

15

2. Situacin actual

16

3. Antecedentes

16

4. Marco terico

18

Direccin de los sistemas de informacin en la empresa

18

Sistema de gestin de seguridad de la informacin

19

5. Discusin de resultados de prcticas del practicante

20

Estado encontrado

20

Acciones realizadas

21
5

Estado final

21

6. Conclusiones

22

7. Recomendaciones

23

8. Referencias bibliogrficas

25

Textos de consulta

25

Revistas y publicaciones

25

Internet

25

Anexos

26

CAPITULO I
1. DESCRIPCIN DE LA EMPRESA.
1.1 Descripcin.
La empresa INTERACTIVE TECHNICAL SYSTEMS S.A.C. surge en
el ao 2000, debido en a la creciente industria de los juegos a azahar,
el aumento de los casinos y tragamonedas en nuestro pas era
notorio, pero no contaban con un software para su administracin y
control, por lo que el ingeniero Gustavo Colombo decide crear dicha
empresa, inicialmente con hardware muy pesado y de funciones
limitadas, pero a medida que se posicion en el mercado se fue
adquiriendo mejores equipos y se implement oficinas de desarrollo
de software para as satisfacer las necesidades de los clientes. El
objetivo es ser una empresa que brinde una alta calidad en sus
servicios tomando en cuenta la realidad de nuestro pas. En la
actualidad la empresa se dedica a la gestin de salas,
implementacin, capacitacin y auditorias en sistemas de gestin de
seguridad de la informacin, continuidad de negocio, redes,
aplicaciones, bases de datos, usuarios finales. Somos una empresa
que ayuda a gestionar y todos sus anexos que llevan los servicios
anteriores (anlisis de riesgos de seguridad de la informacin e
implementacin de controles y otros). Adems nos encargamos de
elaborar proyectos y estudios en tecnologa de informacin,
especialmente en los rubros que gestionamos, como arquitecturas de
tecnologa de informacin en seguridad fsica (cmaras de vigilancia,
controles de acceso, servidores, etc.) y seguridad lgica (firewall,
7

antiX, VPN, IPS y otros), arquitectura de operaciones (base de datos,

aplicaciones, correos electrnicos, dominios, entre otros) y
arquitectura de continuidad de negocio (centro de procesamientos
alterno, centro de labores alterno, comunicacin alterna y otros).

2. DESCRIPCIN GENERAL DE LA EMPRESA

2.1

Empresa: INTERACTIVE TECHNICAL SYSTEMS S.A.C.

Empresa peruana dedicada al desarrollo de soluciones integrales de

software y hardware para la gestin y control de tragamonedas y
casinos e implementacin de sistemas de gestin de seguridad de la
informacin.
Est ubicada en la Av. Larco 345 Piso 7 / Miraflores Lima Per.

2.2

Visin y Misin de la empresa.

Misin.
Lograr para que las empresas gestionen su negocio de manera ms
eficiente, obtengan mejoras en seguridad de la informacin,
continuidad de negocio, aplicaciones, redes, incidentes, identidad y
otras necesarias para evitar prdidas financieras, perdida en su
reputacin, incumplimientos normativos, perdidas en la calidad en el
servicio al cliente y competencias, mediante profesionales altamente
calificados y metodologas establecidas para cada servicio basado en
estndares internacionales.

Visin.
Ser reconocida como una empresa lder en gestionar los negocios de
las empresas especialmente en la adquisicin de su data, seguridad
de la informacin, continuidad de negocio, aplicaciones, redes,
incidentes, identidad y otras necesarias y en cada una de las
divisiones de negocio para que cumplan sus objetivos de apoyo en la
gestin.

Principios.

Satisfacer los requerimientos y las expectativas de nuestros

clientes con respecto a la gestin de sus salas, seguridad de la
informacin, continuidad de negocio, aplicaciones, redes,
incidentes, identidad y otras necesarias.

Mantener la confianza gestionando bien nuestros proyectos,

manejando adecuadamente las desviaciones que afecten los
objetivos.

Brindar

un

soporte

permanente

nuestros

clientes,

solucionando cualquier duda o problema con respecto al

cumplimiento de los servicios que prestamos.

Mantener las buenas prcticas con nuestros clientes con la

finalidad de crear una relacin tica y profesional.

Elevar

la

capacidad

de

nuestros

profesionales

entrenamiento y mejora continua permanente.

en

el

2.3

Pgina web y fotografas de la empresa.

Pgina web: http://www.itssac.com

10

2.4

Organizacin de la Empresa - Organigrama.

INTERACTIVE TECHNICAL SYSTEMS S.A.C. cuenta con las

siguientes divisiones de negocio:
rea Consulting, se encarga de analizar, implementar y auditar
sistemas de gestin de seguridad de la informacin, gestin de salas,
continuidad de negocio, redes e identidad de acuerdo a metodologas
basadas de estndares internacionales como la ISO 27001, 27002,
27005, BS 25999, ITIL, COBIT, ISO 20000 y otras requeridas.

rea Capacitation, ofrecemos programas de capacitacin en los

sistemas de gestin de seguridad de la informacin segn ISO 27001
y 27002, Anlisis de riesgos de seguridad de la informacin segn la
norma ISO 27005, capacitacin para el uso de software instalado e
implementado en una sala, sistema de gestin de continuidad de
negocio segn BS 25999, gestin de redes, gestin de incidentes y
anlisis forense, entre otras.

rea Projects, nos encargamos de elaborar proyectos para la

solucin de la administracin de salas y casinos con tecnologa de
informacin, adems se realizan estudios de factibilidad, perfil del
proyecto, expedientes tcnicos, bases y monitoreo de los proyectos,
adems realizamos estudios de levantamiento de informacin de
arquitectura de tecnologa de informacin.

11

rea Technology, nuestra empresa tiene equipos para la adquisicin

de datos fabricados en una de las compaas ms reconocidas de
Estados Unidos, para la comunicacin de redes, aplicaciones,
servidores, mdems, mdulos, etc.
http://www.digi.com/products/solutions-on-module/connectcore/

Organigrama de la empresa.

GERENCIA
Gustavo Colombo Zarazo

DESARROLLO DE HARDWARE Y
OPERACIONES
Cesar Becerra

REA DE
IMPLEMENTACIN
John Garca
Edgar Abanto
Carlos Berroa
Fredy Villacorta

REA DE SISTEMAS
Adrin Usuy

DESARROLLO DE SOFTWARE
Hernn Prieto

REA DE SOPORTE
Anbal Muoz

SOPORTE EN LINEA
Edwin Snchez

Empresa donde se realizan las prcticas

Nombre del Gerente: GUSTAVO COLOMBO ZARAZO

rea: GERENCIA GENERAL
Cargo: INGENIERO ELECTRNICO
Telfono de la Oficina: (511) 710 8866
Jefe del rea: Ingeniero Electrnico CESAR BECERRA
Correo electrnico del Jefe inmediato: cbazand@hotmail.com
Horario de trabajo: 8:30 am - 6:45 pm L V

12

2.5

Descripcin del rea donde realiza las practicas.

Empresa.
Es la oficina del Departamento de ingeniera de la CORPORACIN MEIER
S.A. en el 7 piso del edificio Multicentro, donde recibo una base de datos
cada da, sta base de datos no est ordenada, cada usuario incluido en
dicha base tiene los datos (nombre, edad, estado civil, direccin, cargo)
respectivamente, pero dichos usuarios diariamente son cambiados de cargo,
despedidos, transferidos a otra rea, etc. por lo que mi trabajo es seleccionar
y ordenar los usuarios para que ms adelante se obtenga la informacin
actualizada para implementar un sistema de Gestin seguridad de la
informacin.

Organigrama del rea donde labora.

GERENCIA GENERAL DE ITS S.A.C.
Gustavo Colombo Zarazo

REA DE SISTEMAS
Adrin Usuy

DESARROLLO DE HARDWARE E
IMPLEMENTACIN DE PROYECTOS

REA DE SOPORTE
Anbal Muoz

CORDINADOR
Cesar Becerra
INSTALACIONES
John Garca

ANALISIS Y
DISEO
Edgar Abanto

DESARROLLO DE SOFTWARE
Hernn Prieto

EJECUCIN Y PUESTA EN MARCHA

Carlos Berroa
Freddy Villacorta

13

SOPORTE EN LINEA
Edwin Snchez

3. FUNCIONES DEL REA O DEPARTAMENTO DONDE REALIZA

SUS PRCTICAS O FUNCIONES DE SU JEFE INMEDIATO
SUPERIOR
3.1 Perfil profesional del puesto que usted ocupa: Nivel
acadmico, experiencia, habilidades que se requieren.
Practicante de ingeniera de Sistemas con conocimiento en bases de datos,
Sistemas Operativos, office 2010, diseo de organigramas, diseo de
Hardware, lectura de diagramas electrnicos, experiencia en equipos de
oficina, implementacin de redes, capacidad de analizar informacin variada.
El nivel acadmico requerido para el puesto es cursar ms de la mitad de
ciclos de la carrera de ingeniera de Sistemas, poseer experiencia en
puestos similares mayor a un ao, tener habilidad para proponer cambios y
mejoras constantes, trabajar bajo presin, compaerismo orientndose en
un solo objetivo.

14

CAPITULO II
TEMA DEL TRABAJO DESARROLLADO.
1. Resumen explicativo de la Prctica Pre-profesionales realizada.
CORPORACIN MEIER S.A. es cliente de la empresa INTERACTIVE
TECHNICAL SYSTEMS S.A.C. y solicit la Implementacin de Gestin de
Seguridad de la Informacin, en junio del 2012, una vez acordado el trabajo
a realizar entre la empresa cliente y INTERACTIVE TECHNICAL SYSTEMS
S.A.C. sta asign las labores que realizara cada integrante de la empresa,
asignndome la labor de depurar la informacin de bases de datos
ingresadas diariamente, para as obtener la informacin ms verdica
posible, todo esto se debe hacer y despus enviarlo a otra rea para su
procesamiento y verificacin, donde realizarn la estandarizacin, ya que
toda la informacin de la empresa cliente est realizada bajo otros software y
no hay documentacin para su mejoramiento.

2. Situacin actual.
CORPORACIN MEIER S.A. se encuentra ubicada en el distrito de
Miraflores Lima.
El estado en que se encuentra su Base de Datos es muy complejo debido a
que cuando se desarroll no aplicaron todos los procedimientos para
asegurar dicha informacin, siendo muy difcil en la actualidad saber si todos
los usuarios de dicha base de datos sigan vigentes, por lo que es de urgente
necesidad un reordenamiento de dichos usuarios, tambin es necesario
capacitar al personal sobre las nuevas normas para el acceso a la
informacin.
15

3. Antecedentes.
A principios del ao 2012 se evidenci la falta de organizacin y control en la
empresa CORPORACIN MEIER S.A. debido a que se contrat demasiado
personal asignando responsabilidades a veces redundantes, generando
gastos innecesarios a la empresa, por lo que urga una reestructuracin e
implementacin de un nuevo Sistema de Gestin.
Luis ngel Guerras Martn en su libro Direccin y gestin de los sistemas de
informacin en la empresa presenta un texto que facilita la comprensin del
impacto e importancia de los sistemas de informacin en el entorno
empresarial, analizando los principales aspectos relacionados con su diseo,
gestin y mantenimiento.
Los autores Benjamn Ramos lvarez y Arturo Ribagorda Ganarcho en su
libro Avances en criptologa de la informacin exponen algunos algoritmos
para asegurar la informacin.

16

4. Marco terico.
Direccin y gestin de los sistemas de informacin en la empresa1
Comenzamos esta obra y este captulo poniendo de manifiesto los orgenes,
caractersticas, elementos constitutivos y aplicaciones de la sociedad
denominada de la informacin o del conocimiento. Las sociedades
occidentales y en particular la nuestra, la espaola, estn intentando dar los
pasos necesarios para alcanzar esta aspiracin. Especial importancia tiene
para el futuro de los ciudadanos espaoles la implantacin de la sociedad de
la informacin en nuestro pas, por ello se han reflejado en este tema,
sucintamente, las iniciativas, las iniciativas y medidas que las distintas
administraciones espaolas han ido adoptando en este sentido en los
ltimos aos.
Seguidamente se define el recurso informacin, su diferencia con el
concepto de dato y se dan a conocer los resultados de otros conceptos,
como el de ruido, redundancia, incertidumbre, decisin y conocimiento,
asociados a este activo empresarial. Las caractersticas y cualidades que
debe presentar la informacin manejada en el entorno empresarial, as como
las de su gestin, sern otros de los contenidos relevantes que se
desarrollaran en este tema.
De cada una de estas tipologas se explican sus caractersticas y algunas de
las fuentes donde se puede obtener informacin relevante para la gestin
empresarial.

Luis ngel Guerras Martn

Direccin y gestin de los sistemas de informacin

17

Captulo 13

Sistema de gestin de seguridad de la informacin2

Un sistema de gestin, en general, abarca una estructura, unos recursos,
unos procesos y unos procedimientos que tienden aponer en prctica los
objetos y polticas de una organizacin. La gestin de la seguridad de la
informacin necesita medidas de seguridad tcnicas, de procedimiento,
fsicas, lgicas, de personal y de gestin.
La gestin de la seguridad de la informacin engloba todas las actividades
relacionadas con la direccin y control de la seguridad de los activos de
informacin. Estas actividades consisten en la valoracin de las amenazas y
del estado actual en el que se encuentra la seguridad de la informacin en la
organizacin, el diseo y la implementacin de controles de seguridad
administrativos, como son las reglas de la seguridad de la informacin para
los empleados o los controles tcnicos, como los controles de acceso y la
operacin de los esfuerzos del da para preservar la seguridad de la
informacin, mediante la documentacin y respuesta a incidentes, la
informacin, la formacin y concienciacin de los empleados, etc.
Un sistema de gestin de la seguridad de la informacin (SGSI) es parte del
sistema de gestin global, basado en el enfoque de los riesgos del negocio y
que establece, implementa, opera, monitoriza, revisa, mantiene y mejora la
seguridad de la informacin incluye la estructura organizacional, las polticas,
las actividades de planificacin, las responsabilidades, las prcticas, los
procedimientos, los procesos y los recursos.

Javier AreitioBertolin

Seguridad de la informacin

18

Pgina 63

5. DISCUSIN DE LOS RESULTADOS DEL INFORME DE

PRCTICAS Y/O APORTE DEL PRACTICANTE.
Estado encontrado.
En junio de 2012 la organizacin CORPORACIN MEIER S.A solicit la
implementacin de un Sistema de Gestin de seguridad de la Informacin a
la empresa INTERACTIVE TECHNICAL SYSTEMS S.A.C. (donde estoy
realizando mis prcticas), por lo que de inmediato se dispuso la asignacin
de actividades de todos los integrantes de nuestra empresa. Lo que
encontramos en el aspecto de seguridad de la informacin fue alarmante, a
continuacin describo lo ms resaltante:

El personal que labora en la empresa no est consciente de la

necesidad de implementar un sistema de Gestin para la Seguridad
de la informacin.

El rea donde estaban ubicados los equipos no estaba debidamente

sealizada, por lo que se haca difcil la identificacin de los
componentes.

La base de datos estaba desordenada, encontrndose muchas veces

usuarios repetidos, con cargo distinto al actual, algunos usuarios con
direccin faltante, etc.

El acceso a dicha base de datos era libre, sin ningn control,

pudiendo ser extrada y vendida para fines ilegales.

El equipamiento como CPUs, routers, switchs, cableado LAN,

cmaras de vigilancia, etc. eran de hace algunos aos por lo que en
cualquier momento pudieron haber fallado.

19

No tenan reglas estrictas establecidas para el personal ni que

acciones tomar si se infringan las pocas que estaban impuestas.

No haban documentado la implementacin del sistema.

Acciones realizadas.
Se implement un Sistema de Gestin de Seguridad para la Informacin en
la CORPORACIN MEIER S.A. sensibilizando al personal de la importancia
de gestionar la seguridad, logrando as organizar la base de datos,
eliminando los nombres repetidos, asignando el cargo de los usuarios,
sugiriendo medidas de seguridad para evitar accesos no autorizados,
adquiriendo nuevos equipos para reemplazo de los antiguos, imponiendo
nuevas polticas para el personal de la empresa.
El resultado de los aportes realizados por el practicante es de mucha
importancia ya que estuvo encargado de revisar la base de datos, generar
los cuadros ordenados de acuerdo a una regla establecida, tambin propuso
la compra de nuevos equipos para asegurar el control de la seguridad.

20

Estado final.
El trabajo realizado dej los siguientes resultados:

Ahora la Organizacin CORPORACIN MEIER S.A. posee el

estndar ISO/IEC 27001 lo que le otorga un prestigio del ms alto
grado de seguridad crtica de la informacin.

Ahora posee una base de datos slida, ordenada, sin nombres de

usuarios repetidos, lo ms reducida posible, slo con el contenido
esencial.

El Personal capacitado con nuevas reglas, nuevas polticas para

evitar que se infrinjan y se vulnere la seguridad, hace que sea ms
fiable la organizacin.

Ahora el ingreso del personal hacia el rea de los equipos de cmputo

es registrado a travs de cmaras, tarjetas de acceso, etc. y no se les
permite transportar memorias flash USB.

Ahora el equipamiento es moderno y de marcas reconocidas,

minimizando as los errores por fallas de hardware.

Ahora se usa software licenciado, mejorando as la estabilidad del

sistema, recibiendo actualizaciones para mejorarlo constantemente.

Ahora existe la documentacin respectiva de toda la implementacin

del Sistema de gestin de seguridad.

21

6. Conclusiones.

La concientizacin de las personas involucradas por medio de

ejemplos y herramientas es ms efectiva logrando cambiar formas
de pensamiento distintas.

La Gestin de la seguridad de la informacin es de mucha

importancia para no permitir el libre acceso y mala utilizacin de
los datos privados.

La seguridad de la informacin no se soluciona con la compra de

equipos como cmaras, candados, alarmas o con algn tipo de
software sino se gestiona.

En la actualidad donde se maneja tanta transferencia de

informacin es de vital importancia gestionar la seguridad de la
informacin.

Es mejor adquirir un sistema de gestin de seguridad de la

informacin antes que arriesgarse a ser vctima de robo y mala
utilizacin de la informacin, ocasionando prdidas millonarias a la
empresa.

22

7. Recomendaciones.

Instalar software original con las debidas licencias y slo por el

personal autorizado para hacerlo.

Ejecutar las sanciones establecidas en caso de que se incurra en

alguna falta a los procedimientos.

Se recomienda seguir cuidadosamente las polticas establecidas

en la capacitacin al personal usuario de la organizacin.

Ante cualquier evento relacionado con la seguridad de la

informacin seguir los debidos procedimientos.

Los administradores de la base de datos siempre deben informar a

la alta gerencia de cualquier suceso en sus reas.

8. Referencias bibliogrficas.
A. Textos de consulta.

Implantacin de un sistema de gestin de la seguridad de la

informacin segn ISO 27001 Un enfoque prctico de
Cristina Merino Bada.

Seguridad de la Informacin de Javier Areito.

PODCAST Hablando de seguridad - de Carlos A. Sols S.

B. Revistas y publicaciones.

CanalTIPublicacin semanal - Por Wilder Rojas Diaz.

23

C. Internet.

http://books.google.es/books?hl=es&lr=&id=OqlSVYn0fI0C&oi=
fnd&pg=PR1&dq=gestion+de+la+seguridad+de+la+informacion
+en+empresas&ots=ITVI8cdRlj&sig=NcCSJ3_ClwHv5cZ8InDv
T07LrSo

http://books.google.es/books?hl=es&lr=&id=ibSu6896I_YC&oi=f
nd&pg=PR7&dq=gestion+de+la+seguridad+de+la+informacion
+en+empresas&ots=FULdkXsYR&sig=lOei9T5rOQj3Or7l9pjJYIAHusU#v=onepage&
q=gestion%20de%20la%20seguridad%20de%20la%20informa
cion%20en%20empresas&f=false

http://books.google.es/books?id=_z2GcBD3deYC&pg=PA200&l
pg=PA200&dq=gestion+de+la+seguridad+de+la+informacion&s
ource=bl&ots=wqlrwBIVOg&sig=ykv9OI7buyE7znnfjiL4pwSpTq
Y&hl=es&sa=X&ei=6fVsUIeVFIHU9QSho4GIBw&ved=0CDgQ6
AEwAA#v=onepage&q=gestion%20de%20la%20seguridad%20
de%20la%20informacion&f=false

http://books.google.es/books?id=OqlSVYn0fI0C&pg=PA181&dq
=gestion+de+la+seguridad+de+la+informacion&hl=es&sa=X&ei
=l48lUZCfOMy70AGknYDYCg&ved=0CEMQ6AEwAg

24

http://books.google.es/books?id=FezUZwEACAAJ&dq=gestion
+de+la+seguridad+de+la+informacion&hl=es&sa=X&ei=l48lUZ
CfOMy70AGknYDYCg&ved=0CGEQ6AEwBw

http://books.google.es/books?id=Mgvm3AYIT64C&pg=PA21&d
q=gestion+de+la+seguridad+de+la+informacion&hl=es&sa=X&
ei=EJAlUeacE8b00QGNl4CoAg&ved=0CD8Q6AEwAjgK#v=on
epage&q=gestion%20de%20la%20seguridad%20de%20la%20i
nformacion&f=false

25

D. Anexos: Fotografas, cuadros, diagramas, diapositivas, etc.

26

Nota: El informe se debe presentar segn las siguientes indicaciones:

A doble espacio.
Papel Bond de 80 gramos.
Letra arial N 12.
Mrgenes:
- Izquierdo: 3.5 cm.
- Derecho: 3.0 cm.
- Superior: 2.5 cm.
- Inferior:
2.5 cm.

27