MONOGRAFIA_-_MEDIDAS_ESPECIFICAS_PARA_PROTEGER_DATOS.docx

“Año de la recuperación y consolidación de la
economía peruana”
“Año de la recuperación y consolidación de la
economía peruana”

INSTITUTO DE EDUCACION
SUPERIOR TECNOLOGICO
PUBLICO “SAN MARCOS”
ENRIQUETA YANINA MANRIQUE TORRE
1
MONOGRAFIA DE MEDIDAS ESPECIFICAS PARA PROTEGER DATOS
INSTITUTO DE EDUCACIÓN SUPERIOR TECNOLÓGICO PUBLICO ¨SAN MARCOS¨
2025
PROGRAMA DE ESTUDIO:
UNIDAD DIDÁCTICA:
DOCENTE:
PRESENTADO POR: GRUPO 01
MONOGRAFIA:
ARQUITECTURA DE PLATAFORMA Y
SERVICIOS DE TECNOLOGÍAS DE
INFORMACIÓN
SEGURIDAD Y OPTIMIZACIÓN DE
REDES DE COMUNICACIÓN
MEDIDAS ESPECIFICAS PARA
PROTEGER DATOS
GOMEZ TRUJILLO ANNELL RAYZA
ALVARO ALVAREZ LEON
GUERRERO SOLORZANO VÍCTOR MANUEL
CALHUAAQUINO MARIELIZ
2025

2
INDICE
I. Control de autenticación sólido..........................................................................................3
II. Cifrado de datos.................................................................................................................4
III. Controles de acceso............................................................................................................5
IV. Formación..........................................................................................................................6
V. Monitorización...................................................................................................................7
VI. Auditoría............................................................................................................................8
VII. Concienciación...................................................................................................................9

3
INTRODUCCIÓN
En la era digital, los datos se han convertido en uno de los activos más valiosos
para individuos y organizaciones: contienen información personal, financiera,
estratégica o confidencial. Por ello, es fundamental aplicar medidas concretas para
protegerlos frente a amenazas como accesos no autorizados, fugas o ataques
cibernéticos. A continuación, se presentan algunas de las acciones más importantes
para garantizar la seguridad de los datos: control de autenticación sólido, cifrado,
controles de acceso, formación, monitorización, auditoría y concienciación.

4
I. CONTROL DE AUTENTICACIÓN SÓLIDO
Una de las primeras barreras que debe implementarse para proteger los
datos es un control de autenticación fuerte. Esto significa asegurar que solo las
personas correctas puedan ingresar a los sistemas con privilegios adecuados.
o Según la norma ISO/IEC 27001, en su Anexo A existe un control específico
(A.5.17) que indica que la información de autenticación debe mantenerse
segura. (ISMS.online, 2024)
o Además, en la práctica se recomienda usar autenticación multifactor (MFA):
contraseñas robustas mas segundo factor (como código SMS, app
autenticadora, token, o biometría). Esto añade una capa extra de seguridad y
reduce mucho el riesgo de que alguien no autorizado acceda solo con una
contraseña.
Ejemplo. Imagina una empresa donde los empleados entran con usuario
y contraseña, pero además deben introducir un código que reciben en su celular
para acceder. Si un atacante roba su contraseña, no bastará: le falta el segundo
paso para autenticarse.

5
II. CIFRADO DE DATOS
El cifrado (o encriptación) es una de las medidas más poderosas para
proteger los datos, tanto cuando están almacenados (“en reposo”) como cuando
se transmiten (“en tránsito”).
 En reposo: se recomienda cifrar discos duros completos (por ejemplo con
BitLocker en Windows o FileVault en macOS) para que, si un dispositivo es
robado, los datos estén protegidos. (ISC Chile, 2024)
 En tránsito: usar protocolos de seguridad como TLS/SSL para HTTPS u otras
comunicaciones de red garantiza que los datos no puedan ser interceptados en
texto claro. (ISC, s/a)
 La seguridad lógica también incluye el uso de cifrado para proteger procesos y
programas. (Wikipedia, s/a)
 Además, es importante gestionar bien las claves criptográficas (su generación,
almacenamiento, distribución y destrucción), ya que un mal manejo debilita todo
el cifrado. (Bobadilla, 2024)
Ejemplo. Una empresa de salud cifra su base de datos de pacientes
(datos en reposo) con AES-256. Cuando un médico consulta la información
desde su computadora, la conexión se hace por HTTPS cifrado, lo que protege
los datos mientras viajan por la red.

6
III. CONTROLES DE ACCESO
Una vez autenticado un usuario, no basta con permitirle acceder
libremente a todo: los controles de acceso definen qué puede ver o hacer,
según su rol.
 Según la ISO 27001, el Anexo A.9 se dedica a los controles de acceso. El
propósito es limitar el acceso solo a lo necesario según la función de cada
persona. (Holloway, 2025)
 La gestión de roles es muy útil: por ejemplo, no todo el personal debe ver
datos sensibles, solo aquellos con responsabilidad lo necesitan. (Escuela
Europea de Excelencia, 20219)
 Además, debe existir una política de control de acceso documentada y revisada,
para decidir quién tiene permisos, cuáles son esos permisos, y con qué criterios
deben cambiarse o revocarse. (Escuela Europea de Excelencia, 20219)
Ejemplo. En una empresa, el equipo de marketing solo tiene acceso a
los datos de clientes no sensibles (como nombre o ciudad), pero el equipo
financiero sí accede a información más confidencial (pagos, documentos). De
este modo, se reduce la exposición innecesaria de datos.

7
IV. FORMACIÓN
No se puede depender solo de la tecnología: las personas juegan un
papel vital. Por eso, la formación en seguridad de datos es esencial.
 En los controles de la ISO 27001 (Anexo A) hay controles orientados a personas,
incluyendo “concienciación, educación y capacitación sobre seguridad de la
información”. (Lomelí, 2023)
 La formación debe ser regular (no un solo curso al inicio): los empleados deben
entender las políticas, saber reconocer amenazas (como phishing), y conocer
cómo manejar datos sensibles.
Ejemplo. Se puede hacer un programa trimestral de capacitación donde
se explique qué es una brecha de datos, cómo crear contraseñas seguras,
cuándo usar el cifrado y qué hacer si sospechan de un correo malicioso.

8
V. MONITORIZACIÓN
Incluso con autenticación, cifrado y acceso controlado, pueden ocurrir
incidentes. Por eso es clave la monitorización.
 Un sistema de seguridad debe monitorizar continuamente eventos como
accesos, cambios inusuales, transferencias de datos o errores. (FasterCapital,
s/a)
 Las herramientas de SIEM (Security Information and Event Management) son
útiles para agregar logs de distintos sistemas y generar alertas en tiempo real si
algo anómalo ocurre. Además, permite detectar patrones extraños, como
accesos fuera de horario habitual o movimientos de grandes volúmenes de
datos.
Ejemplo. Una empresa instala un SIEM que envía alertas si un usuario
descarga muchos archivos en poco tiempo, lo que podría indicar una fuga de
datos. Al detectarlo, el equipo de seguridad puede investigar inmediatamente y
bloquear la acción si es maliciosa.

9
VI. AUDITORÍA
Otro pilar importante es la auditoría: verificar periódicamente que las
medidas de seguridad funcionan como deberían.
 La ISO 27001 exige auditorías internas para revisar el desempeño del Sistema
de Gestión de Seguridad de la Información (SGSI) y verificar si los controles
(como autenticación, acceso, cifrado) están bien implementados.
(NormaISO27001, s/a)
 Además, se recomienda tener auditorías externas para obtener una visión
objetiva y profesional, identificar debilidades que no se ven desde dentro, y
mejorar continuamente.
Ejemplo. Cada año, se contrata a un auditor externo para revisar las
políticas de seguridad de la empresa, las configuraciones de cifrado, los
registros de acceso y las prácticas de autenticación. El auditor entrega un
informe con recomendaciones, por ejemplo, actualizar ciertos algoritmos de
cifrado o mejorar las políticas de contraseñas.

10
VII. CONCIENCIACIÓN
Relacionado con la formación, pero más amplio, está el tema de la
concienciación: hacer que toda la organización entienda que proteger los datos
es responsabilidad de todos.
 Las políticas de seguridad, por sí solas, no bastan. Es necesario fomentar una
cultura en la que los empleados estén alerta, sepan por qué es importante la
seguridad y sientan que tienen un rol activo. La ISO 27001 también lo considera:
parte de los controles es “responsabilidad individual” en la seguridad. (Lomelí,
Controles ISO 27001: cuáles son y qué debes saber para implementarlos, 2023)
 Además, campañas regulares de concienciación (carteles, emails, sesiones
informativas) ayudan a mantener el tema presente y evitar que la seguridad se
vuelva algo aburrido o secundario.
Ejemplo. La empresa lanza una campaña de “Mes de la Seguridad”:
cada semana envía un newsletter con un tip (ej: cómo reconocer un email de
phishing), y al final del mes organiza un concurso de quizzes sobre buenas
prácticas de seguridad, premiando a los más comprometidos.

11
CONCLUSIÓN
Proteger los datos no es una tarea puntual: requiere un enfoque integral que
combine tecnología, procesos y personas. Las medidas como un control de
autenticación sólido, el cifrado, los controles de acceso, la formación, la monitorización,
la auditoría y la concienciación no actúan aisladas, sino en conjunto para generar una
defensa robusta. Adoptar estándares como ISO/IEC 27001 ayuda a las organizaciones
a estructurar y sistematizar estas prácticas, garantizando un marco confiable y
profesional para gestionar la seguridad de la información. (ISO, 2022)
En definitiva, al integrar estas medidas específicas en la cultura organizacional,
se reduce significativamente el riesgo de fugas o accesos no autorizados y se protege
uno de los activos más estratégicos: los datos. (Annell Rayza Gomez Trujillo).
La protección de datos no depende únicamente de una herramienta tecnológica,
sino de la combinación de políticas, procesos y una correcta gestión de riesgos. Solo
cuando se integran medidas específicas como controles de acceso, cifrado y monitoreo
continuo, se logra una defensa realmente sólida frente a posibles amenazas. (Marieliz
Carolina Calhua Aquino).
El uso adecuado de mecanismos como la autenticación segura, la encriptación
de la información y la limitación de permisos demuestra ser esencial para preservar la
confidencialidad e integridad de los datos. Estas medidas reducen considerablemente
las vulnerabilidades y ayudan a prevenir accesos no autorizados o pérdidas de
información crítica. (Alvaro Francois Alvarez Leon).
La concienciación y formación del personal es un pilar fundamental en cualquier
estrategia de seguridad. Aun con sistemas avanzados, los errores humanos continúan
siendo una de las principales causas de incidentes. Por ello, capacitar al personal
asegura un comportamiento responsable y fortalece la cultura de protección de datos.
(Victor Manuel Guerreo Solorzano).

12
SUGERENCIAS
Se recomienda que la organización adopte un enfoque integral de seguridad
de la información, en el cual la tecnología, los procesos y las personas actúen de
manera coordinada. Para ello, es conveniente implementar controles de autenticación
sólidos, aplicar cifrado a la información sensible, establecer políticas estrictas de
acceso, capacitar de forma continua al personal, y mantener procesos permanentes de
monitorización y auditoría.
Asimismo, se sugiere utilizar estándares reconocidos como ISO/IEC 27001, que
ofrecen un marco sistemático y profesional para gestionar la seguridad de los datos.
Integrar estas prácticas en la cultura organizacional permitirá reducir riesgos, prevenir
accesos no autorizados y proteger adecuadamente uno de los activos más valiosos: la
información. (Annell Rayza Gomez Trujillo).
Crear e implementar un plan de seguridad integral que incluya auditorías
periódicas, evaluación de riesgos, actualización constante de sistemas y políticas
claras sobre el manejo de información. Esto permitirá que las medidas de protección
funcionen de forma coordinada y efectiva. (Marieliz Carolina Calhua Aquino).
Fortalecer los sistemas actuales mediante autenticación multifactor, cifrado
avanzado y controles de acceso estrictos. Además, revisar regularmente los
permisos otorgados a cada usuario para asegurarse de que solo tengan acceso a la
información necesaria para sus funciones. (Alvaro Francois Alvarez Leon).
Realizar programas continuos de capacitación en temas de ciberseguridad para
todo el personal, incluyendo reconocimiento de amenazas, buenas prácticas digitales y
protocolos de respuesta ante incidentes. De este modo se reduce el riesgo de errores
humanos y se promueve una cultura organizacional orientada a la protección de datos.
(Victor Manuel Guerreo Solorzano).

13
REFERENCIAS
Escuela Europea de Excelencia. (5 de septiembre de 20219). Cómo gestionar los
controles de acceso según ISO 27001. Obtenido de Escuela Europea de Excelencia:
https://www.escuelaeuropeaexcelencia.com/2019/09/como-gestionar-los-controles-de-
acceso-segun-iso-27001/?utm_source
FasterCapital. (s/d de s/m de s/a). Cómo proteger sus datos y acceso con cifrado,
autenticación y permisos. Obtenido de FasterCapital:
https://fastercapital.com/es/tema/c%C3%B3mo-proteger-sus-datos-y-acceso-
con-cifrado%2C-autenticaci%C3%B3n-y-permisos.html/3?utm_source
Georgia State University Library. (14 de Julio de 2025). How do I cite websites in APA
Style? Obtenido de Georgia State University Library:
https://answers.library.gsu.edu/faq/78984?utm_source
Holloway, D. (1 de septiembre de 2025). ISO 27001 – Anexo A.9: Control de acceso.
Obtenido de ISMS.online (o “SGSI en línea”):
https://es.isms.online/iso-27001/annex-a-2013/annex-a-9-access-control-2013/?
utm_source
ISC Chile. (s/d de s/m de 2024). Control 3: Protección de datos. Obtenido de ISC Chile:
https://www.isc.cl/control-3-proteccion-de-datos/?utm_source
ISC. (s/d de s/m de s/a). Control 3: Protección de Datos. Obtenido de ISC Chile:
https://www.isc.cl/control-3-proteccion-de-datos/?utm_source
ISMS.online. (s/m de s/m de 2024). 5.17 Authentication Information (2022). Obtenido de
ISMS.online: https://www.isms.online/iso-27001/annex-a-2022/5-17-
authentication-information-2022/?utm_source

14
ISO. (s/d de octubre de 2022). ISO (International Organization for Standardization).
Obtenido de ISO/IEC 27001:2022 — Information security management systems
— Requirements: https://www.iso.org/standard/27001?utm_source
Lomelí, L. (8 de septiembre de 2023). Controles ISO 27001: cuáles son y qué debes
saber para implementarlos. Obtenido de Innevo:
https://innevo.com/blog/controles-iso27001?utm_source
Lomelí, L. (8 de septiembre de 2023). Controles ISO 27001: cuáles son y qué debes
saber para implementarlos. Obtenido de Innevo:
https://innevo.com/blog/controles-iso27001?utm_source
NormaISO27001. (s/d de s/m de s/a). Referencias normativas ISO-27000. Obtenido de
NormaISO27001: https://www.normaiso27001.es/referencias-normativas-iso-
27000/?utm_source
Wikipedia. (4 de DICIEMBRE de 2024). Microsoft Word. Obtenido de Wikipedia, la
enciclopedia libre: https://es.wikipedia.org/wiki/Microsoft_Word
Wikipedia. (s/d de s/m de s/a). Seguridad lógica. Obtenido de Wikipedia:
https://es.wikipedia.org/wiki/Seguridad_l%C3%B3gica?utm_source

MONOGRAFIA_-_MEDIDAS_ESPECIFICAS_PARA_PROTEGER_DATOS.docx

Más contenido relacionado

Similar a MONOGRAFIA_-_MEDIDAS_ESPECIFICAS_PARA_PROTEGER_DATOS.docx

Último

MONOGRAFIA_-_MEDIDAS_ESPECIFICAS_PARA_PROTEGER_DATOS.docx