I.

Contexto de la Organización
1. La Empresa tiene un Plan Estratégico vigente? ¿Qué periodo comprende?
De no ser así, ¿Están formalmente documentados los principios directrices
del gobierno de la empresa: Visión, Misión, Valores, Objetivos Estratégicos
(EDM01)
2. ¿Se analizan e identifican los factores del entorno internos y externos
(obligaciones legales, judiciales - requisitos definidos por el Juzgado que
otorgó la Administración-, regulatorias y contractuales) y las tendencias
en el entorno del negocio que pueden influir en el diseño del gobierno de
la seguridad de la información? (4.1 – 4.2) (EDM01)
3. ¿Se ha identificado y registrado los requisitos de las partes interesadas
(accionistas, reguladores, auditores, clientes, Directorio, Administración
Judicial, Juzgado, Estado, etc.) para proteger sus intereses y aportar valora
a través de la actividad de la seguridad de la información? ¿Se han
establecido directrices en consonancia con lo anterior?(4.2) (EDM02)
II. Liderazgo
4. ¿Existe un compromiso de la alta dirección con la seguridad de la
información y la gestión de riesgos de la información? ¿Hay evidencia
sobre el gobierno de Seguridad de la información: Se realizan informes
sobre el gobierno de seguridad de la información en los comités de
Gerencia y al Directorio y/o los temas o aspectos de seguridad de la
información están en la Agenda de las sesiones de la Alta Dirección de
forma proactiva (independientemente si hay problemas o no) (5.1)
(EDM01)
5. ¿El sistema de gobierno de seguridad de la información está integrado en
la empresa: Existen procesos de negocio y de TI en los que la seguridad de
la información esté integrada? (5.1) (EDM01)
6. ¿Existe una función (área) de seguridad de la información de alcance
global dentro de la empresa? ¿Existe dentro de la empresa una estructura
organizativa para la función de seguridad de la información? ¿Se tiene
claro y/o identificados quienes son los responsables de la seguridad de la
información? ¿Existe un comité de dirección de seguridad de la
información? (5.3) (EDM01)
III. Planificación
7. ¿La gestión del riesgo asociado a la información forma parte de la gestión
general de los riesgos corporativos (ERM)? ¿Se examina y evalúa
continuamente el efecto del riesgo sobre el uso actual y futuro de las TI en
la empresa? ¿Se ha determinado el apetito de riesgo corporativo al nivel
del Directorio (6.1.2 ) (EDM03)
IV. Apoyo
8. ¿Se ha evaluado la eficacia de los recursos de seguridad de la información
en términos de suministro, formación, concienciación y competencias de
los recursos necesarios en comparación con las necesidades del negocio?
(7.2) (EDM04)
9. ¿La gestión de los recursos de seguridad de la información está alineada
con las necesidades del negocio? (7.2) (EDM04)
V. Evaluación de desempeño
10. ¿Las partes interesadas se encuentran informadas de la situación actual de
la seguridad y de los riesgos de la información de toda la organización? ¿Se
elaboran informes de estado de la seguridad de la información de forma
regular para las partes interesadas que incluyan información de las
actividades de seguridad, desempeño, logros, perfiles de riesgo, beneficios
de negocio, temas ‘calientes’ (p.ej. computación en la nube, productos de
consumo) riesgos destacados (incluyendo cumplimiento y auditoría) e
insuficiencias de capacidad? (9.2 – 9.3) (EDM05)
 ANEXO C: ENCUESTA NRO. 1
Objetivo: Diagnosticar la Situación de las empresas agroindustriales azucareras
de la Región Lambayeque consideradas en el estudio, con relación a la Gestión y
Operación de la Seguridad de la Información.
Dirigido A: Gerentes, Subgerentes, Jefe de TI
Fuente: Anexo A – ISO 27001:2013
Ítem Enunciado 1 2 3 4 5
Contexto de la organización
La gestión de seguridad de la información considera el entorno
interno de la empresa, incluyendo la cultura y la filosofía de la
gestión, la tolerancia al riesgo, los valores éticos, el código de
conducta, la rendición de cuentas y los requisitos de seguridad
1 de la información (4.1) (APO01)
Se ha investigado, definido, documentado y validado (con las
partes interesadas) los requisitos de seguridad de la
información para el negocio p.ej. requisitos de confidencialidad,
2 integridad y disponibilidad (4.2)(BAI02)
Existe un SGSI que proporcione un enfoque estándar, formal y
continuo a la gestión de seguridad para la información,
tecnología y procesos de negocio que esté alineado con los
requerimientos de negocio y la gestión de seguridad en la
3 empresa (4.4)(APO13)
Liderazgo
Se comprende cómo la seguridad de la información debería
apoyar los objetivos generales de la empresa y proteger los
intereses de las partes implicadas teniendo en cuenta la
necesidad de gestionar el riesgo de la información, al tiempo que
se cumplen los requisitos de conformidad legal y regulatoria y
4 se aporta valor a la empresa. (5.1) (APO02)
Las políticas de seguridad de la información y afines se han
desarrollado teniendo en cuenta los requisitos de negocio y los
legales o regulatorios, y las obligaciones contractuales de
seguridad, las políticas organizativas de alto nivel y el entorno
5 interno de la empresa (5.2) (APO01)
 Existe en la empresa, un Comité de Dirección de Seguridad de
6 la Información (ISSC) o equivalente (5.3)(APO01)
Está definida la responsabilidad sobre la propiedad de la
información (datos) y los sistemas de información, que asegure
que los propietarios tomen decisiones sobre la clasificación de
7 estos y su protección (5.3) (APO01)
Los roles y responsabilidades de seguridad de la información
están definidos, documentados y comunicados a todo el
8 personal de la empresa.(5.3)
Planificación
Existe un plan de tratamiento del riesgo de la seguridad de la
información que describa cómo se gestionan y alinean los
riesgos de seguridad de información con la estrategia y la
9 arquitectura de empresa (6.1.3)(APO13)
Se tienen identificados los activos que son críticos en la
provisión de capacidad de servicio y se maximizan su fiabilidad
y disponibilidad para apoyar las necesidades del negocio: se
tienen definidos los niveles de criticidad e identificados la
criticidad de los activos en un registro de activos (6.1.2 –
10 A.8.1)(BAI09)
Existe un plan para permitir al negocio y a TI responder a
incidentes e interrupciones de servicio para la operación
continua de los procesos críticos para el negocio y los servicios
TI requeridos y mantener la disponibilidad de la información a
un nivel aceptable para la empresa? El riesgo de la información
se ha identificado adecuadamente y se incluye en los planes de
continuidad de las tecnologías de la información y
11 comunicaciones (TIC) (A.17.1)(DSS04)
Los derechos de acceso de los usuarios se otorgan de acuerdo
con los requerimientos de las funciones y procesos de negocio,
alineando la gestión de identidades y derechos de acceso a los
roles y responsabilidades definidos, basándose en los principios
de menos privilegio, necesidad de tener y necesidad de conocer
12 (6.1.3 – A.9.2)(DSS05)
 La empresa tiene acuerdo con los trabajadores de
confidencialidad o no divulgación para la protección de los
activos de información (documentos, reportes, Red LAN,
Intranet, Equipos de cómputo, servidores, Laptops, equipos de
redes y comunicación, Documentos, Sistemas o aplicaciones,
13 etc.) (6.1.3)(A.13.2.4)
Los términos y condiciones de los contratos de trabajo o de
servicios incluyen un artículo sobre seguridad de la
14 información. (6.1.3 – A.7.1.2)
Existen restricciones perimetrales para acceder a las áreas que
custodian información y a los ambientes donde se procesa la
15 información.(6.1.3 – A.11.1.1)
Las instalaciones de la empresa están protegidas contra daños
provocados por incendios, inundaciones, explosiones,
disturbios civiles, lluvias, relámpagos y desastres causados por
16 el hombre.(6.1.3 – A.11.1.4)
Existe una directiva para garantizar los derechos de propiedad
intelectual, protección de los datos de la empresa y la privacidad
17 de la información personal.(6.1.3 – A.18.1.2)
Apoyo
Se lleva a cabo un programa de concienciación y formación, de
alcance corporativo, en seguridad de la información
18 (7.2)(APO01)
Operación
Se identifica, analiza y evalúa el riesgo de la información. Se
mantiene un inventario del riesgo conocido y atributos de riesgo
(incluyendo frecuencia esperada, impacto potencial y
respuestas) y de otros recursos, capacidades y actividades de
19 control actuales relacionados(8.2)(APO12)
Evaluación de desempeño
Se revisa la efectividad de los controles sobre los procesos de
negocio, revisando la operación de controles, incluyendo la
20 revisión de las evidencias de supervisión y pruebas, para
 asegurar que los controles incorporados en los procesos de
negocio operan de manera efectiva (9.1)(MEA02)

ENCUESTA Nro. 2
Objetivo: Diagnosticar la Situación de las empresas agroindustriales azucareras
de la Región Lambayeque consideradas en el estudio, con relación a la Operación
de la Seguridad de la Información.
Dirigido A: Personal de TI
Fuente: Anexo A – ISO 27001:2013

Ítem Enunciado 1 2 3 4 5
Planificación
Se consideran los requerimientos de seguridad de la
1 información en el diseño de las soluciones
(aplicaciones) (6.1.3 - A.14.2.1)(BAI03)
Todos los componentes de la solución (Aplicación)
2 incorporan prácticas de programación y bibliotecas de
infraestructuras seguras.(6.1.3 - A.14.2)(BAI03)
Los aspectos de seguridad de la información están
3 incluidos en el aseguramiento de la calidad (Prueba)
(6.1.3-A.14.2)(BAI03)
Se incluyen casos de pruebas de seguridad de la
4 información en los planes de pruebas. (6.1.3-
A.14.2.8)(BAI03)
Se Incluye una configuración de seguridad de la
información para los elementos configurables como
5
servidores/hardware, dispositivos de red y dispositivos
finales. (6.1.3 – A.13.1)(BAI010)
 Los acuerdos de copia de respaldo y recuperación
6 incluyen requerimientos de seguridad de la
información (6.1.3 - A.12.3)(DSS04)
Todos los usuarios están identificados de manera única
7 y tienen derechos de acceso de acuerdo con sus roles en
el negocio(6.1.3 – A.9.2)(DSS05)
Se han implantado medidas físicas para proteger la
información de accesos no autorizados, daños e
8
interferencias mientras es procesada, almacenada o
transmitida. (6.1.3 – A.9.2)(DSS05)
TI supervisa activamente aspectos de seguridad de la
9 información de la infraestructura de TI, tales como
configuración, operaciones, acceso y uso.(DSS01)
Existe una política de respaldo (backup) para
10
información y software.(6.1.3 – A.12.3.1)
Existe una restricción de acceso al código fuente de los
11
programas y sistemas.(6.1.3 – A.9.4.5)
Existe un procedimiento para el uso y protección de los
12
datos de prueba en los sistemas.(6.1.3 – A.14.3.1)
Se realiza una evaluación periódica de vulnerabilidades
13 técnicas y se toman medidas para abordar cualquier
hallazgo.(6.1.3 – A.12.6.1)
Apoyo
Se proporciona formación y programas de desarrollo
14 profesional sobre seguridad de la
información.(7.2)(APO07)
Se mantienen las competencias necesarias del personal
haciendo uso de los programas de certificación
15 personal para asegurar un conjunto de habilidades
profesionales, de calidad, en seguridad de la
información.(7.2)(APO07)
Evaluación de desempeño
 Se han establecido, revisado y actualizado controles
16 apropiados sobre los procesos de seguridad de la
información.(9.1)(DSS06)

ANEXO E: ENCUESTA Nro. 3

Objetivo: Diagnosticar la Situación de las empresas agroindustriales azucareras
de la Región Lambayeque consideradas en el estudio, con relación a la Operación
de la Seguridad de la Información.
Dirigido A: Personal en general
Fuente: Anexo A – ISO 27001:2013
Ítem Enunciado 1 2 3 4 5
Liderazgo
Se ha establecido una cultura proactiva con relación a la
1 seguridad de la información. (5.1)(BAI05)
Se proporciona un liderazgo visible a través del
compromiso de la alta dirección (al más alto nivel,
Directorio, Administración Judicial) con la seguridad de
2 la información. (5.1)(BAI05)
Conozco y he leído las políticas de seguridad de la
3 información.(5.2)
Se han comunicado los roles y las responsabilidades de la
gestión de la seguridad de la información dentro de la
4 empresa (5.3)(APO13)
Planificación
He firmado un acuerdo de confidencialidad o no
divulgación para la protección de los activos de
información de la empresa (documentos, reportes,
5 Sistemas o aplicaciones, etc.) (6.1.3 - A.13.2.4)
Se ha implementado procedimientos para conceder,
limitar y revocar el acceso a los locales, edificios y áreas
de acuerdo con las necesidades del negocio, incluyendo
emergencias. El acceso a locales, edificios y áreas es
6 justificado, autorizado, registrado y supervisado. Esto
 aplica a todas las personas que entren en los locales,
incluyendo empleados, personal temporal, clientes,
proveedores, visitantes o cualquier otra tercera
parte.(6.1.3 – A.11.1)(DS005)
La empresa ha verificado mis antecedentes (personales,
7 judiciales, policiales, laborales, etc.).(6.1.3 – A.7.1.1)
Acepté y firmé los términos y condiciones de empleo que
incluyen responsabilidades para la seguridad de la
8 información.(6.1.3 – A.7.1.2)
Estoy al tanto de la política de propiedad intelectual de la
9 organización.(6.1.3 – A.18.1.2)
Apoyo
Se desarrollan programas periódicos de formación en
10 seguridad de la información (7.2)(APO01)
Se desarrollan sesiones de concienciación en seguridad
de la información y se hace un seguimiento continuo de
11 la concienciación. (7.2)(BAI05)
Existe un proceso disciplinario formal y sabido por los
empleados para tomar acciones en contra de los
empleados que hayan cometido una infracción a la
12 seguridad de la información.(A.7.2.3)
Evaluación de desempeño
Se han establecido controles adecuados para proteger la
confidencialidad, integridad y disponibilidad de los
13 procesos de la empresa.(9.1)(DSS06)