Página 3 de 44

Con la presente norma buscaremos

soluciones a todos los problemas de
seguridad que se puedan encontrar en
Schad Logistics.

Norma ISO 27001

Schad Logistics, Maritime,
Expertise
 Página 4 de 44

PROYECTO FINAL

Universidad Autónoma de Santo Domingo (UASD)

Facultad de Ingeniería y Arquitectura

Departamento de Ingeniería Industrial

Normalización y Metrología

Santo Domingo

República Dominicana

2019
 Página 5 de 44

ÍNDICE

Prefacio.......................................................................................................................................................4
Introducción............................................................................................................................... 5
Objetivos.................................................................................................................................... 6
Campo de aplicación………………………………………………………………………………………7
Normas a consultar..................................................................................................................................8
Terminos y definiciones.…….………………………………………….……………………………9

Clasificación de riesgos.......................................................................................................................32
Requisitos................................................................................................................................................34
Muestreo e Inspección.....................................................................................................36
Método de ensayo, marcado y rotulado................................................................................ 37
Metodo de ensayo ................................................................................................................................37
Almacenamiento y transporte............................................................................................................39
Conclusión………………………………………………………………………………………………41
Anexos…………………………………………………………………………………..42
Bibliografía……………………………………………………………………………...43
 Página 6 de 44

Prefacio

En este trabajo trataremos de dar un enfoque general acerca de qué trata del proyecto de la
norma de seguridad de la Schad Logistics, de la cual estamos estimando, recordando que las
Normas de Seguridad pueden ser el conjunto de medidas encaminadas a preservar la seguridad
de todos los individuos y prevenir accidentes en un determinado lugar.

Son muchos los factores a tomar en cuenta en la elaboración de una norma de seguridad (el
ambiente, el tipo de trabajo, la materia prima, la maquinaria, entre otros.), especialmente a una
empresa de este tipo, ya que utiliza sus propias costumbres de seguridad. Puesto, que cada
industria posee características diferentes así mismo, Schad Logistics no es la excepción el
mismo posee su propio conjunto de pautas para garantizar la seguridad no solo de sus empleados
sino también de sus clientes.

Debido a que vivimos en un mundo que se innova constantemente, así mismo el crimen
evoluciona, en parte del trabajo hablaremos sobre el cibercrimen y las pautas que se
implementan para la detección temprana de actividades ilegales relacionadas con la informática,
así mismo, estudiaremos las pautas que sigue Schad Logistics en caso de problemas de
seguridad de sus clientes.
 Página 7 de 44

INTRODUCCIÓN

En el presente trabajo se pretende presentar la empresa Schad Logistics, la empresa fue

fundada en 1922 por el ciudadano suizo, el Sr. Frederic Schad, en sus inicios como una empresa
estibadora de buques y naviera que en el tiempo ha expandido sus intereses a los servicios
logísticos.

En el presente trabajo nos enfocaremos en el área de seguridad, ya que como es bien sabido
cualquier entidad de este tipo debe tener un reglamento que los ayude a manejarse en caso de
cualquier eventualidad.
 Página 8 de 44

OBJETIVOS

En la elaboración de la norma de seguridad conlleva una serie de objetivos, los cuales se

plantean con la finalidad de garantizar la seguridad de tanto los empleados como los clientes de
Schad Logistics.

Puesto que Schad Logistics no posee ningún certificado de seguridad planteamos los
siguientes objetivos a alcanzar con el fin de que esta sea certificada:

 Garantizar que los procesos y transferencias monetarias sean monitoreadas por personas
que garanticen su seguridad.

 Velar que los diferentes recursos técnicos y tecnológicos empleados en los procesos
funcionen de acuerdo a las especificaciones, así garantizar un buen servicio desde la parte
técnica.

 Velar por la información de la empresa no caiga en manos de terceros que puedan

perjudicar tanto al cliente como a la empresa misma.

 Crear un sistema estadístico con la finalidad de poder prever en base a casos anteriores
cualquier intento de robo de información o estafa.

 Crear un sistema de monitoreo remoto que permita a entidades fuera de la institución

estar al tanto de que se cumplan las reglas de seguridad.

 Verificar que se empleen las medidas de protección necesarias, tanto para los empleados
como para los equipos.
 Página 9 de 44

CAMPO DE APLICACIÓN

La presente norma de seguridad basada en la protección y verificación de la información

financiera tanto del cliente como del mismo Schad Logistics, pretenden aplicarse ciertos
métodos con el fin de garantizar la seguridad de todo el que esté involucrado. Puesto que la
presente norma se puede aplicar a numerosas entidades financieras relacionadas, cabe destacar
que no se puede utilizar en todas las organizaciones que se dedican a estos trámites mercantiles
tales productos, y por ende, debe ser tratada con cuidado, ya que contiene aspectos específicos,
propios de la empresa tratada (Schad Logistics).

Son muchos los factores que ponen en peligro la seguridad financiera de una entidad de este tipo,
sin embargo, no es difícil deducir en que momento o bajo que circunstancia podría ocurrir un
ataque, por lo tanto, muchos de esos principios que se tratarán en la presente norma, pueden
fácilmente ser aplicados en diferentes entidades mas no todos puesto que Schad Logistics como
entidad posee ciertas características que obligaría a las demás entidades a cambiar ciertas cosas.
 Página 10 de 44

NORMAS A CONSULTAR

Para la realización de esta norma fue indispensable el uso de las siguientes normas. Las
normas que a continuación se aplican son indispensables para la aplicación de la presente norma:

1. Norma ISO/IEC 27001 - Gestión de la Seguridad de la Información

La información es un activo valioso que puede impulsar o destruir su empresa. Si se

gestiona de forma adecuada, le permite trabajar con confianza. La gestión de la Seguridad de la
Información le ofrece la libertad para crecer, innovar y ampliar su base de clientes sabiendo que
toda su información confidencial seguirá siéndolo.

Los Sistemas de Gestión de Seguridad de la Información (SGSI) son el medio más eficaz de
minimizar los riesgos, al asegurar que se identifican y valoran los activos y sus riesgos,
considerando el impacto para la organización, y se adoptan los controles y procedimientos más
eficaces y coherentes con la estrategia de negocio.

2. ISO 20022:

Es un estándar ISO para el intercambio de datos electrónicos entre instituciones financieras.

Describe un almacenamiento de metadatos que contiene descripciones de mensajes y procesos
comerciales, y un proceso de mantenimiento para el contenido del repositorio. La norma abarca
la información financiera transferida entre instituciones financieras que incluye transacciones de
pago, información sobre negociación y liquidación de valores, transacciones con tarjetas de
crédito y débito y otra información financier
 Página 11 de 44

TÉRMINOS, DEFINICIONES, ABREVIATURAS Y SÍMBOLOS

Relacionados a la informática

a) Adware: es un software, generalmente no deseado, que facilita el envío de contenido

publicitario a un equipo.
b) Amenaza Informática: es toda circunstancia, evento o persona que tiene el potencial de
causar daño a un sistema en forma de robo, destrucción, divulgación, modificación de datos
o negación de servicio (DoS).
c) Amenazas polimorfas: son aquellas que tienen la capacidad de mutar y en las cuales cada
instancia del malware es ligeramente diferente al anterior a este. Los cambios automatizados
en el código realizados a cada instancia no alteran la funcionalidad del malware, sino que
prácticamente inutilizan las tecnologías tradicionales de detección antivirus contra estos
ataques.
d) Antispam: es un producto, herramienta, servicio o mejor práctica que detiene el spam o
correo no deseado antes de que se convierta en una molestia para los usuarios. El Antispam
debe ser parte de una estrategia de seguridad multinivel.
e) Antivirus: es una categoría de software de seguridad que protege un equipo de virus,
normalmente a través de la detección en tiempo real y también mediante análisis del sistema,
que pone en cuarentena y elimina los virus. El antivirus debe ser parte de una estrategia de
seguridad estándar de múltiples niveles.
f) Aplicaciones engañosas: son programas que intentan engañar a los usuarios informáticos
para que emprendan nuevas acciones que normalmente están encaminadas a causar la
descarga de malware adicional o para que los usuarios divulguen información personal
confidencial. Un ejemplo es el software de seguridad fraudulento, que también se denomina
scareware.
g) Ataques multi-etapas: es una infección que normalmente implica un ataque inicial, seguido
por la instalación de una parte adicional de códigos maliciosos. Un ejemplo es un troyano
que descarga e instala adware.
 Página 12 de 44

h) Ataques Web: es un ataque que se comete contra una aplicación cliente y se origina desde
un lugar en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han sido
creados para atacar intencionalmente a los usuarios de ésta.
i) Blacklisting: es el proceso de identificación y bloqueo de programas, correos electrónicos,
direcciones o dominios IP conocidos maliciosos o malévolos.

Bot

Un bot es una computadora individual infectada con malware , la cual forma parte de una
red de bots (bot net).

Botnet

Conjunto de equipos bajo el control de un bot maestro, a través de un canal de mando y

control. Estos equipos normalmente se distribuyen a través de Internet y se utilizan para
actividades malintencionadas, como el envío de spam y ataques distribuidos de negación de
servicio. Las botnet se crean al infectar las computadoras con malware, lo cual da al atacante
acceso a las máquinas. Los propietarios de computadoras infectadas generalmente ignoran que su
máquina forma parte de una botnet, a menos que tengan software de seguridad que les informe
acerca de la infección.

Caballo de Troya

Son un tipo de código malicioso que parece ser algo que no es. Una distinción muy
importante entre troyanos y virus reales es que los troyanos no infectan otros archivos y no se
propagan automáticamente. Los caballos de troya tienen códigos maliciosos que cuando se
activan causa pérdida, incluso robo de datos. Por lo general, también tienen un componente de
puerta trasera, que le permite al atacante descargar amenazas adicionales en un equipo infectado.
Normalmente se propagan a través de descargas inadvertidas, archivos adjuntos de correo
electrónico o al descargar o ejecutar voluntariamente un archivo de Internet, generalmente
después de que un atacante ha utilizado ingeniería social para convencer al usuario de que lo
haga.

Canal de control y comando

 Página 13 de 44

Un canal de mando y control es el medio por el cual un atacante se comunica y controla

los equipos infectados con malware, lo que conforma un botnet.

Carga destructiva

Una carga destructiva es la actividad maliciosa que realiza el malware. Una carga
destructiva es independiente de las acciones de instalación y propagación que realiza el malware.

Crimeware

Software que realiza acciones ilegales no previstas por un usuario que ejecuta el
software. Estas acciones buscan producir beneficios económicos al distribuidor del software.

Ciberdelito

El ciberdelito es un delito que se comete usando una computadora, red o hardware. La

computadora o dispositivo puede ser el agente, el facilitador o el objeto del delito. El delito
puede ocurrir en la computadora o en otros lugares.

Definiciones de virus

Una definición de virus es un archivo que proporciona información al software antivirus,

para identificar los riesgos de seguridad. Los archivos de definición tienen protección contra
todos los virus, gusanos, troyanos y otros riesgos de seguridad más recientes. Las definiciones de
virus también se denominan firmas antivirus.

Descarga inadvertida

Una descarga inadvertida es una descarga de malware mediante el ataque a una

vulnerabilidad de un navegador Web, equipo cliente de correo electrónico o plug-in de
navegador sin intervención alguna del usuario. Las descargas inadvertidas pueden ocurrir al
visitar un sitio Web, visualizar un mensaje de correo electrónico o pulsar clic en una ventana
emergente engañosa.

Economía clandestina
 Página 14 de 44

La economía clandestina en línea es el mercado digital donde se compran y se venden bienes y

servicios obtenidos a través de la ciberdelincuencia, con el fin de cometer delitos informáticos.
Dos de las plataformas más comunes a disposición de los participantes en la economía
clandestina en línea son los canales en servidores IRC y foros Web. Los dos tienen grupos de
discusión que utilizan participantes para comprar y vender bienes y servicios fraudulentos. Los
artículos vendidos son datos de tarjetas de crédito, información de cuentas bancarias, cuentas de
correo electrónico y toolkits de creación de malware. Los servicios incluyen cajeros que pueden
transferir fondos de cuentas robadas en moneda real, phishing y hosting de páginas fraudulentas
y anuncios de empleo para cargos como desarrolladores de fraude o socios de phishing.

Encriptación

La encriptación es un método de cifrado o codificación de datos para evitar que los usuarios no
autorizados lean o manipulen los datos. Sólo los individuos con acceso a una contraseña o clave
pueden descifrar y utilizar los datos. A veces, el malware utiliza la encriptación para ocultarse
del software de seguridad. Es decir, el malware cifrado revuelve el código del programa para que
sea difícil detectarlo.

Exploits o Programas intrusos

Los programas intrusos son técnicas que aprovechan las vulnerabilidades del software y
que pueden utilizarse para evadir la seguridad o atacar un equipo en la red.

Filtración de datos

Una filtración de datos sucede cuando se compromete un sistema, exponiendo la

información a un entorno no confiable. Las filtraciones de datos a menudo son el resultado de
ataques maliciosos, que tratan de adquirir información confidencial que puede utilizarse con
fines delictivos o con otros fines malintencionados

Firewall

Un firewall es una aplicación de seguridad diseñada para bloquear las conexiones en

determinados puertos del sistema, independientemente de si el tráfico es benigno o maligno. Un
firewall debería formar parte de una estrategia de seguridad estándar de múltiples niveles.
 Página 15 de 44

Firma antivirus

Una firma antivirus es un archivo que proporciona información al software antivirus para
encontrar y reparar los riesgos. Las firmas antivirus proporcionan protección contra todos los
virus, gusanos, troyanos y otros riesgos de seguridad más recientes. Las firmas antivirus también
se denominan definiciones de virus.

Greylisting o Lista Gris

La lista gris es un método de defensa para proteger a los usuarios de correo electrónico
contra el spam. Los mensajes de correo electrónico son rechazados temporalmente de un
remitente que no es reconocido por el agente de transferencia de correos. Si el correo es legítimo,
el servidor de origen tratará de nuevo y se aceptará el correo electrónico. Si el correo es de un
remitente de spam, probablemente no se reintentará su envío y por lo tanto, no logrará pasar el
agente de transferencia de correos.

Gusanos

Los gusanos son programas maliciosos que se reproducen de un sistema a otro sin usar un
archivo anfitrión, lo que contrasta con los virus, puesto que requieren la propagación de un
archivo anfitrión infectado.

Ingeniería Social

Método utilizado por los atacantes para engañar a los usuarios informáticos, para que
realicen una acción que normalmente producirá consecuencias negativas, como la descarga de
malware o la divulgación de información personal. Los ataques de phishing con frecuencia
aprovechan las tácticas de ingeniería social.

Lista blanca o Whitelisting

La lista blanca es un método utilizado normalmente por programas de bloqueo de spam,

que permite a los correos electrónicos de direcciones de correo electrónicos o nombres de
dominio autorizados o conocidos pasar por el software de seguridad.

Keystroke Logger o Programa de captura de teclado (Keylogger)

 Página 16 de 44

Es un tipo de malware diseñado para capturar las pulsaciones, movimientos y clics del
teclado y del ratón, generalmente de forma encubierta, para intentar robar información personal,
como las cuentas y contraseñas de las tarjetas de crédito.

Malware

El malware es la descripción general de un programa informático que tiene efectos no

deseados o maliciosos. Incluye virus, gusanos, troyanos y puertas traseras. El malware a menudo
utiliza herramientas de comunicación populares, como el correo electrónico y la mensajería
instantánea, y medios magnéticos extraíbles, como dispositivos USB, para difundirse. También
se propaga a través de descargas inadvertidas y ataques a las vulnerabilidades de seguridad en el
software. La mayoría del malware peligroso actualmente busca robar información personal que
pueda ser utilizada por los atacantes para cometer fechorías.

Mecanismo de propagación

Un mecanismo de propagación es el método que utiliza una amenaza para infectar un

sistema.

Negación de servicio (DoS)

La negación de servicio es un ataque en el que el delincuente intenta deshabilitar los

recursos de una computadora o lugar en una red para los usuarios. Un ataque distribuido de
negación de servicio (DDoS) es aquel en que el atacante aprovecha una red de computadoras
distribuidas, como por ejemplo una botnet, para perpetrar el ataque.

Pharming

Método de ataque que tiene como objetivo redirigir el tráfico de un sitio Web a otro sitio
falso, generalmente diseñado para imitar el sitio legítimo. El objetivo es que los usuarios
permanezcan ignorantes del redireccionamiento e ingresen información personal, como la
información bancaria en línea, en el sitio fraudulento. Se puede cometer pharming cambiando el
archivo de los equipos anfitriones en la computadora de la víctima o atacando una vulnerabilidad
en el software del servidor DNS.

Phishing
 Página 17 de 44

A diferencia de la heurística o los exploradores de huella digital, el software de seguridad de

bloqueo de comportamiento se integra al sistema operativo de un equipo anfitrión y supervisa el
comportamiento de los programas en tiempo real en busca de acciones maliciosas. El software de
bloqueo de comportamiento bloquea acciones potencialmente dañinas, antes de que tengan
oportunidad de afectar el sistema. La protección contra el comportamiento peligroso debe ser
parte de una estrategia de seguridad estándar de múltiples niveles.

Protección heurística (Heuristics-Based Protection)

Forma de tecnología antivirus que detecta las infecciones mediante el escrutinio de la

estructura general de un programa, las instrucciones de sus computadoras y otros datos
contenidos en el archivo. Una exploración heurística hace una evaluación sobre la probabilidad
de que el programa sea malicioso con base en la aparente intención de la lógica. Este plan puede
detectar infecciones desconocidas, ya que busca lógica generalmente sospechosa, en lugar de
huellas específicas de malware, tales como los métodos tradicionales de antivirus de firmas. La
protección heurística debería hacer parte de una estrategia de seguridad estándar de múltiples
niveles

Redes punto a punto (P2P)

Red virtual distribuida de participantes que hacen que una parte de sus recursos
informáticos estén a disposición de otros participantes de la red, todo sin necesidad de servidores
centralizados. Las redes puntos a punto son utilizadas para compartir música, películas, juegos y
otros archivos. Sin embargo, también son un mecanismo muy común para la distribución de
virus, bots, spyware, adware, troyanos, rootkits, gusanos y otro tipo de malware.

Rootkits

Componente de malware que utiliza la clandestinidad para mantener una presencia

persistente e indetectable en un equipo. Las acciones realizadas por un rootkit, como la
instalación y diversas formas de ejecución de códigos, se realizan sin el conocimiento o
consentimiento del usuario final.

Los rootkits no infectan las máquinas por sí mismos como lo hacen los virus o gusanos,
sino que tratan de proporcionar un entorno indetectable para ejecutar códigos maliciosos. Los
 Página 18 de 44

atacantes normalmente aprovechan las vulnerabilidades en el equipo seleccionado o utilizan

técnicas de ingeniería social para instalar manualmente los rootkits. O, en algunos casos, los
rootkits pueden instalarse automáticamente al ejecutarse un virus o gusano o incluso
simplemente al navegar en un sitio Web malicioso.

Una vez instalados, el atacante puede realizar prácticamente cualquier función en el

sistema, incluyendo acceso remoto, intercepción de comunicaciones, así como procesos de
ocultamiento, archivos, claves de registro y canales de comunicación.

Seguridad basada en la reputación

La seguridad basada en la reputación es una estrategia de identificación de amenazas que

clasifica las aplicaciones con base en ciertos criterios o atributos para determinar si son
probablemente malignas o benignas. Estos atributos pueden incluir diversos aspectos como la
edad de los archivos, la fuente de descarga de los archivos y la prevalencia de firmas y archivos
digitales. Luego, se combinan los atributos para determinar la reputación de seguridad de un
archivo. Las calificaciones de reputación son utilizadas después por los usuarios informáticos
para determinar mejor lo que es seguro y permitirlo en sus sistemas. La seguridad basada en la
reputación debe ser parte de una estrategia de seguridad estándar de múltiples niveles.

Sistema de detección de intrusos

Un sistema de detección de intrusos es un servicio que monitorea y analiza los eventos del
sistema para encontrar y proporcionar en tiempo real o casi real advertencias de intentos de
acceso a los recursos del sistema de manera no autorizada. Es la detección de ataques o intentos
de intrusión, que consiste en revisar registros u otra información disponible en la red. Un sistema
de detección de intrusos debe ser parte de una estrategia de seguridad estándar de múltiples
niveles.

Sistema de prevención de intrusos

Un sistema de prevención de intrusos es un dispositivo (hardware o software) que

supervisa las actividades de la red o del sistema en busca de comportamiento no deseado o
malicioso y puede reaccionar en tiempo real para bloquear o evitar esas actividades. Un sistema
 Página 19 de 44

de prevención de intrusos debe ser parte de una estrategia de seguridad estándar de múltiples
niveles.

Software de seguridad fraudulento (rogue)

Un programa de software de seguridad rogue es un tipo de aplicación engañosa que finge

ser software de seguridad legítimo, como un limpiador de registros o detector antivirus, aunque
realmente proporciona al usuario poca o ninguna protección y, en algunos casos, puede de hecho
facilitar la instalación de códigos maliciosos contra los que busca protegerse.

Spam

También conocido como correo basura, el spam es correo electrónico que involucra
mensajes casi idénticos enviados a numerosos destinatarios. Un sinónimo común de spam es
correo electrónico comercial no solicitado (UCE). El malware se utiliza a menudo para propagar
mensajes de spam al infectar un equipo, buscar direcciones de correo electrónico y luego utilizar
esa máquina para enviar mensajes de spam. Los mensajes de spam generalmente se utilizan
como un método de propagación de los ataques de phishing

Spyware

Paquete de software que realiza un seguimiento y envía información de identificación

personal o información confidencial a otras personas. La información de identificación personal
es la información que puede atribuirse a una persona específica, como un nombre completo. La
información confidencial incluye datos que la mayoría de personas no estaría dispuesta a
compartir con nadie e incluye datos bancarios, números de cuentas de tarjeta de crédito y
contraseñas. Los receptores de esta información pueden ser sistemas o partes remotas con acceso
local.

Toolkit

Paquete de software diseñado para ayudar a los hackers a crear y propagar códigos
maliciosos. Los toolkits frecuentemente automatizan la creación y propagación de malware al
punto que, incluso los principiante delincuentes cibernéticos son capaces de utilizar amenazas
complejas. También pueden utilizarse toolkits para lanzar ataques web, enviar spam y crear sitios
de phishing y mensajes de correo electrónico.
 Página 20 de 44

Variantes

Las variantes son nuevas cepas de malware que piden prestado códigos, en diversos grados,
directamente a otros virus conocidos. Normalmente se identifican con una letra o letras, seguido
del apellido del malware; por ejemplo, W32.Downadup.A, W32.Downadup.B y así
sucesivamente.

Vector de ataque

Un vector de ataque es el método que utiliza una amenaza para atacar un sistema.

Virus

Programa informático escrito para alterar la forma como funciona una computadora, sin
permiso o conocimiento del usuario. Un virus debe cumplir con dos criterios:

Debe ejecutarse por sí mismo: generalmente coloca su propio código en la ruta de ejecución
de otro programa.

Debe reproducirse: por ejemplo, puede reemplazar otros archivos ejecutables con una copia
del archivo infectado por un virus. Los virus pueden infectar computadores de escritorio y
servidores de red.

Muchos de los virus actuales están programados para operar sigilosamente la

computadora del usuario con el fin de robar información personal y utilizarla para cometer
delitos. Otros menoscaban el equipo dañando los programas, eliminando archivos o volviendo a
formatear el disco duro. Aún existen otros que no están diseñados para causar daño, aunque
simplemente se reproducen y hacen manifiestan su presencia presentando mensajes de texto,
video y audio, aunque este tipo de ataques de notoriedad no son tan comunes, puesto que los
autores de virus y demás malware tiene como fin obtener ganancias ilegales.

Virus más propagado

Amenaza que se dice está en su apogeo e indica que ya se está extendiendo entre los usuarios
informáticos.

Vulnerabilidad
 Página 21 de 44

Una vulnerabilidad es un estado viciado en un sistema informático (o conjunto de

sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de
los sistemas. Las vulnerabilidades pueden hacer lo siguiente:

Permitir que un atacante ejecute comandos como otro usuario

Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de acceso
a los datos

Permitir a un atacante hacerse pasar por otra entidad

Permitir a un atacante realizar una negación de servicio

Relacionados a las instituciones bancarias y financieras.

Puesto que los términos bancarios tienden a ser muchos he preferido seleccionar los que están
relacionados con el tema de seguridad.

CADUCIDAD

Pérdida o extinción de un derecho por el transcurso del plazo fijado por la ley o por haber
finalizado el período de vigencia, de forma que su titular no podrá seguir beneficiándose de él ni
presentar ningún recurso reclamando este derecho.

CAJAS DE SEGURIDAD

Cajas de acero de varios tamaños que ofrecen algunas sucursales bancarias. Estas cajas, que
se encuentran dentro de una bóveda, se rentan al público para guardar y preservar documentos y
valores.

CAJERO

Persona que maneja y resguarda el dinero efectivo de una institución financiera u otra
empresa

CAJERO AUTOMÁTICO (ATM)

Dispositivo de las entidades bancarias al que pueden dirigirse sus clientes a cualquier hora
para realizar operaciones de reintegro, ingreso de dinero o consulta. Se trata de máquinas
 Página 22 de 44

conectadas a la central mediante redes de comunicación, y a las que se tiene acceso a través de
una tarjeta de identificación personal, con banda magnética y una clave secreta.

Por este medio el cliente de un banco puede realizar retiros de efectivo, efectuar depósitos y
hacer algunos pagos sin la intervención de un cajero de ventanilla.

CÁMARA DE COMPENSACIÓN

Institución establecida por los bancos del sistema y administrada por el Banco Nacional
de Panamá para intercambiar cheques y efectos comerciales a cargo de cada uno de ellos,
liquidándose los saldos resultantes del conjunto de operaciones. De esta manera, los bancos
mantienen un contacto permanente para liquidar los efectos comerciales que representen
movimientos del fondo y/o cartera, compensando los créditos recíprocos y satisfaciéndose en
dinero únicamente las diferencias. Disminuye, de este modo, el movimiento innecesario de
numerario y, al suprimir los pagos directos, facilita las liquidaciones y evita riesgos y pérdidas de
tiempo.

Las cámaras de compensación canalizan aquellos documentos que se entregan a un banco

para ser cargados en una cuenta abierta en otro banco; no discurren a través de las cámaras
aquellos documentos que afectan a los clientes del mismo banco, que son objeto de una
compensación interna.

CAPACIDAD JURÍDICA

Capacidad legal. Aptitud para ser sujeto de derechos y obligaciones.

CAPITAL SOCIAL

Es el conjunto de aportaciones suscritas por los socios o accionistas de una empresa, las
cuales forman su patrimonio, independientemente de que estén pagadas o no.

CAPITALIZACIÓN

Proceso para determinar el valor futuro de un pago o serie de pagos cuando se aplica el
interés compuesto.

CAPITALIZACIÓN DE INTERESES
 Página 23 de 44

Cuando Los intereses sobre un depósito a un año de plazo son pagaderos mensual, trimestral, o
semestralmente, el cliente pude elegir entre cobrarlos (retirarlos) a cada plazo, o dejarlos en la
cuenta respectiva (o sea capitalizarlos) hasta el vencimiento del deposito.

CAPTACIÓN

Proceso mediante el cual el sistema financiero recoge recursos del público ahorrador y los utiliza
como fuente del mercado financiero. En el caso de la captación bancaria son todos los recursos
que la banca obtiene a través de sus instrumentos de captación (cuenta de cheques, cuenta de
ahorros, depósitos a plazo fijo, etc.), que conforman los pasivos del sistema bancario e incluyen
recursos en moneda nacional y extranjera.

CARGO AUTOMÁTICO

Debito que periódicamente el banco efectúa en la cuenta corriente o cuenta de cheques del
cliente, mediante autorización, por concepto de pagos mensuales derivados generalmente de un
crédito concedido o por pago de servicios.

CARTA DE CRÉDITO

Documento escrito en que se ordena a uno o varios corresponsales que entreguen a una persona
determinada, en tiempo también determinado, cierta cantidad o cantidades de dinero sujetas al
máximo que se indique.

Documento que se utiliza para dar forma a una apertura de crédito bancario en favor de un
exportador, que será efectiva en relación con la importación de mercancías de un comprador
nacional.

En el ámbito comercial, documento emitido por un banco por cuenta de uno de sus clientes y a
favor de un vendedor, mediante el que dicho banco se compromete a pagar los efectos que le
sean girados de conformidad con los términos y condiciones consignados en el propio
documento e incluso haciendo frente a la insolvencia del deudor.

CARTA DE INTENCIÓN

Acuerdo de buena voluntad entre el cliente y el banco con el propósito de llegar a un convenio
Generalmente se utiliza este tipo de carta previa a la reestructuración de créditos, finiquito de
 Página 24 de 44

adeudos, compra de cartera y otros. Documento mediante el cual las partes expresan
entendimiento general o preliminar con respecto al tipo, naturaleza y forma de una oferta pública
de valores.

CARTA PODER

Documento por el que se confiere poder a una persona para que en su nombre y representación
ejecute actos generales o especiales que en ella se consignen. Intervienen el mandante o
poderdante y el mandatario o apoderado.

CARTERA

Designación genérica que comprende los valores o efectos comerciales y documentos a cargo de
clientes que forman parte del activo circulante de una empresa comercial, de un banco o de una
sociedad en general.

CARTERA DE CRÉDITO

Es el conjunto de documentos que amparan los activos financieros o las operaciones de

financiamiento hacia un tercero y que el tenedor de dicho (s) documento (s) o cartera se reserva
el derecho de hacer valer las obligaciones estipuladas en su texto.

CARTERA LITIGIOSA

Activo derivado de operaciones de crédito integrado por deudores que han sido notificados de
una demanda en su contra por incumplimiento de contrato.

CARTERA VENCIDA

Es la parte del activo constituida por los documentos y en general por todos los créditos que no
han sido pagados a la fecha de su vencimiento.

CARTERA VIGENTE

Constituida por créditos otorgados a clientes que cumplen con el pago oportuno de los mismos.

CAUSAS DE DEVOLUCIÓN DEL CHEQUE.

Razones por las que no se cubre el importe del cheque; entre otras: fondos insuficientes, no tiene
cuenta el girador, falta la firma del girador, la firma del girador no es igual a la que se tiene
 Página 25 de 44

registrada, falta la antefirma, falta la rúbrica, falta una firma, la firma está registrada con la de
otro apoderado, la numeración del cheque no corresponde a la de los esqueletos suministrados al
girador, no es a nuestro cargo, tenemos orden judicial para no pagarlo, ha sido revocado y ya
venció el plazo legal para su presentación, la numeración corresponde a la de un talonario
extraviado, el librado se encuentra en estado de concurso o suspensión de pagos, falta la firma de
recibí, no hay continuidad en los endosos, etc.

CEDENTE

Persona que transfiere o traspasa a otra un bien, derecho o acción. En los títulos de crédito
susceptibles de giro o endoso, el cedente equivale al endosante.

En el ámbito de los seguros, asegurador o compañía aseguradora que cede parte de su cartera de
riesgos a un reasegurador, el cesionario o aceptante.

CERTIFICADO DE DEPÓSITO BANCARIO

Título de crédito que amparan los depósitos a plazo con interés a cargo de los bancos de
depósito. Constituyen títulos ejecutivos a cargo del banco emisor sin reconocimiento de firma;
podrán ser nominativos o al portador y deben expresar la suma depositada a un plazo
determinado.

CESIÓN

Acto jurídico o administrativo por el cual el título de bienes o derechos, traspasa estos a otra
persona en forma libre y voluntaria.

CLIENTE

Nombre genérico que se da a toda persona física o moral que tiene una relación, mediante
convenio, con una institución financiera. La connotación cliente incluye a: cuenta-habientes,
tarjeta-habientes, inversionistas, depositantes, acreditados y deudores.

COASEGURO

Seguro suscrito por dos o más aseguradores directos que cubren un mismo riesgo. Es un sistema
utilizado para distribuir el riesgo, de forma que cada asegurador responde únicamente de una
parte del riesgo total.
 Página 26 de 44

COBERTURA

Operación que tiene por objeto eliminar o reducir significativamente el riesgo de

cambio, de interés o de mercado resultante de las operaciones efectuadas.

En el ámbito de los seguros, alcance del aseguramiento de un riesgo, donde el

asegurador, siempre que se produzca el siniestro objeto del seguro, está obligado a entregar al
asegurado determinada cantidad de dinero.

COLOCACIÓN

Operación por medio de la cual el emisor obtiene efectivo contra la entrega de

documentos que representan sus obligaciones. Al hablar de colocación se concibe inicialmente
un mercado primario, al que concurren las casas de bolsa y los bancos para adquirir una emisión
de títulos o valores a un precio y tasa de interés inicial o de garantía. Posteriormente los
intermediarios financieros ofertan al público en general dichos valores conformándose así el
denominado mercado secundario en el que el precio y la tasa de interés de los documentos, se
rige por la llamada tasa de descuento.

COMERCIALIZACIÓN

Proceso necesario para mover los bienes, en el espacio y el tiempo del productor al
consumidor.

COMISIÓN POR MANEJO DE CUENTA

Suma de dinero que se carga en la cuenta de cheques, cuando el cliente no reúne el requisito
de mantener el saldo mínimo convenido.

COMITENTE

Persona que da un encargo o mandato en un contrato de comisión.

COMODATO

Es el contrato civil por el que uno de los contratantes, llamados comodante, se obliga a
prestar gratuitamente el uso de una cosa no fungible, pero no los frutos de ella; y el otro, llamado
comodatario, se obliga a restituirla íntegramente a su vencimiento.
 Página 27 de 44

COMPAÑÍA FILIAL

Es aquélla cuya mayoría de acciones pertenecen a otra compañía y por lo tanto, su

administración depende de ésta, en forma más o menos directa. El nombre indica que la
compañía es dependiente de la empresa matriz controladora.

COMPAÑÍA MATRIZ

En la técnica contable, es la compañía propietaria de la mayoría de las acciones de voto

ilimitado de otra u otras compañías y que, por tal razón, puede manejarlas permanentemente en
forma más o menos directa. Una compañía matriz, puede ser propietaria de las acciones de otras
que ella misma haya organizado o puede haber comprado las acciones de otras o bien, puede
tener ambas clases de "compañías filiales".

CONCILIACIÓN

Es el acuerdo a que llegan las partes en un proceso cuando existe controversia sobre la aplicación
e interpretación de sus derechos.

CONDONAR

Perdonar una deuda o parte de ella a favor del deudor.

CONFIRMACIÓN

Dar un hecho por seguro. Acción de dar validez y credibilidad a actos o hechos comunes.

CONSUMIDOR

Solicitante que transcurrido un plazo de, 5 días hábiles, contados a partir de la fecha de
firma del contrato de adhesión, haya sido aceptado por la empresa de "autofinanciamiento" para
que forme parte de un grupo. Asimismo, se entenderá por consumidor lo establecido en la Ley de
Protección al Consumidor.

CONTRATANTE

Es la persona que celebra con una Compañía de Seguros un contrato de Seguro y se obliga
al pago de la prima.
 Página 28 de 44

CONTRATO DE ADHESIÓN

Contrato que se caracteriza porque su contenido es únicamente fijado por una de las partes,
limitándose la otra a aceptarlo o a adherirse.

CONTRATO DE ADMINISTRACIÓN DE FONDOS PARA EL RETIRO

Contrato mediante el cual, la AFORE se obliga a administrar la Cuenta Individual del

asegurado o trabajador a cambio del pago de una comisión.

CONTRATO DE FUTURO

Contrato en el que se establece un compromiso de compra o venta de una cierta cantidad de

mercancía, divisa o título valor a un precio determinado en un momento futuro. En este tipo de
contratos la entrega física de la mercancía es inusual, ya que se liquida únicamente la pérdida o
ganancia obtenida por la fluctuación de los precios.

CONTRATO DE SEGURO

Es el documento o póliza expedido por la Compañía de Seguros con la que se contrate

alguna clase de seguro, en el que se establecen las normas que han de regular la relación entre el
asegurado y la Compañía, especificando en el mismo, los derechos y obligaciones respectivos.

CONTROL DE CAMBIO

Conjunto de medidas destinadas a regular todos los movimientos de capital y divisas que un
país tiene con el extranjero.

COSTO FINANCIERO

Está integrado por los gastos derivados de allegarse fondos de financiamiento por lo cual
representa las erogaciones destinadas a cubrir en moneda nacional o extranjera, los intereses,
comisiones y gastos que deriven de un título de crédito o contrato respectivo, donde se definen
las condiciones específicas y los porcentajes pactados; se calculan sobre el monto del capital y
deben ser cubiertos durante un cierto periodo de tiempo. Incluye las fluctuaciones cambiarias y
el resultado de la posición monetaria.

CRÉDITO
 Página 29 de 44

Traspasar la propiedad de dinero, mercancías u otros bienes mediante una promesa de pago.

CRÉDITO A CORTO PLAZO

Préstamo que otorga un banco para que sea pagado en un plazo máximo de un año.

CRÉDITO AL CONSUMO

Crédito que obtienen las personas físicas para fines distintos de los empresariales y
profesionales, y que puede tener destinos de muy diversa naturaleza. Son considerados también
créditos al consumo los obtenidos a través de las tarjetas de crédito, así como aquellos otorgados
por los grandes almacenes e hipermercados.

CRÉDITO AVALADO

Este concepto incluye todas las operaciones financieras en las que el Gobierno Federal se
compromete a cubrir el adeudo si el acreditado no cumple con sus obligaciones.

CRÉDITO BANCARIO

Préstamos otorgados por la banca como parte de sus operaciones pasivas; incluye las
carteras vigentes, vencida y redescontada; los saldos comprenden moneda nacional y extranjera..

CRÉDITO COMERCIAL

Crédito a corto plazo que conceden los proveedores a una empresa para poder financiar sus
compras. Tiene un punto de vista doble: para el proveedor es un crédito a clientes y para el
cliente es un crédito de proveedores.

CRÉDITO DE HABILITACIÓN O AVÍO

Es aquél que se otorga para la adquisición de las materias primas, materiales y el pago de
los jornales, salarios y gastos directos de explotación.

CRÉDITO EN CUENTA CORRIENTE

Crédito que puede usar el acreditado una o varias veces, redisponiendo de las cantidades que
abone a cuenta de su adeudo antes del vencimiento de la operación.
 Página 30 de 44

CRÉDITO HIPOTECARIO

Crédito en el cual el pago de los intereses y del principal está garantizado por la hipoteca de
un bien inmueble, la cual queda inscrita en el Registro de la Propiedad. Al igual que el crédito
pignoraticio, tiene preferencia de cobro en caso de concurso del deudor.

CRÉDITO INDUSTRIAL

Operación de venta de cuentas por cobrar, fijando previamente un descuento.

CRÉDITO. LÍNEA DE

Convenio entre el banco y el cliente en el cual se especifica la cantidad máxima disponible

de un crédito concedido, sea en una sola disposición o en varias y a un plazo previamente fijado.

CRÉDITO MERCANTIL

Valor que se le asigna a una empresa por sus intangibles. Ejemplos: reputación, marcas,
clientela establecida, etc.

CRÉDITO PUENTE

Financiamiento que se da a un cliente o prestatario mientras se formaliza o documenta el

contrato definitivo.

CRÉDITO REFACCIONARIO

Financiamiento a largo plazo, destinado a acrecentar los activos fijos para incremento de la
producción agrícola, ganadera o industrial. Puede canalizarse parcialmente al pago de pasivos.

CRÉDITO REVOLVENTE

Préstamo que puede seguirse disponiendo una vez pagado parcial o totalmente hasta el tope
autorizado, no obstante haberse utilizado, vuelve a tener vigencia de acuerdo con las condiciones
estipuladas.

CRÉDITO SIMPLE

Crédito que puede ser usado por el acreditado una sola vez, por lo que no puede redisponer
de las sumas que abone a su adeudo antes del vencimiento de la operación.
 Página 31 de 44

CRÉDITO. TÍTULO DE

Documento necesario para ejercitar el derecho literal que en él se consigna. El cheque, la

letra de cambio, el pagaré, son títulos de crédito, entre otras.

CUENTA DE AHORRO

Cuenta abierta mediante contrato entre una institución financiera y un cliente similar al de
cuenta corriente, pero que se diferencia de esta última en que no pueden girarse talones contra
ella.

CUENTA COMISIÓN POR MANEJO DE

Pequeña suma de dinero que se carga en la cuenta de cheques, cuando el cliente no reúne
el requisito de mantener el saldo mínimo convenido.

CUENTA CORRIENTE

Cuenta abierta mediante contrato entre un banco o institución financiera de depósito y

una persona física o jurídica por el cual ésta, tras depositar una cierta cantidad de dinero en
aquélla, puede disponer de él cuando lo desee. Se diferencia de una cuenta de ahorro en que a su
titular se le proporcionan unos cheques o talones con los que puede disponer de su dinero.

CUENTA DE CHEQUES

Depósito bancario de dinero a la vista, por el que el depositante tiene el derecho de retirar
fondos mediante la expedición de cheques, y hacer remesas de efectivo y documentos con el
objeto de incrementar el saldo de la cuenta.

CUENTA MAESTRA

Modalidad de la cuenta de cheques. En este tipo de cuenta los bancos pagan una
determinada tasa de interés en base al saldo que se mantienen durante un período de un mes. Esta
tasa varía de un banco a otro. Para el cuenta-habiente, la cuenta maestra tiene dos propósitos:
manejarla como control de efectivo y al mismo tiempo tener una cuenta de inversión.
 Página 32 de 44

Simbología
Las herramientas que se utilizan para brindar seguridad informática son muy diversas y
requieren no únicamente del tipo de aplicación o seguridad que proporcionan, sino que además
las podemos identificar a través de cierta simbología, para ello se usarán estos íconos:

Simbología Hacker: fue propuesto primero en octubre de 2003 por Eric S. Raymond,
alegando la necesidad de una unificación y un símbolo reconocible para la percepción de la
cultura hacker.

C++: es un lenguaje de programación diseñado a mediados de los años 1980 por Bjarne
Stroustrup. La intención de su creación fue el extender al lenguaje de programación C
mecanismos que permiten la manipulación de objetos. En ese sentido, desde el punto de vista de
los lenguajes orientados a objetos, el C++ es un lenguaje híbrido.

Es utilizado por desarrolladores de software de seguridad.

Norton AntiVirus: es un producto desarrollado por la división "Norton" de la empresa

Symantec. Norton AntiVirus es uno de los programas antivirus más utilizados en equipos
personales. Aunque se puede conseguir como programa independiente, también se suele vender
incluido en los paquetes Norton 360 y Norton Internet Security.
 Página 33 de 44

Este programa proporciona servicios de prevención y eliminación de malware durante un

período de suscripción. Utiliza firmas y heurísticas para identificar los virus. Otras características
incluyen spam filtrado de correo electrónico y la protección contra el phishing.

Clasificación de riesgos.
Riesgo: Privacidad

Acción: Los datos personales y financieros deben almacenarse de manera segura y todas las
comunicaciones con el sistema de Banca en Línea deben estar encriptadas. Esto asegura la
confidencialidad de los datos desde los sistemas del Banco hasta el navegador del cliente.
También debe ofrecerse un servicio que permita intercambiar correo electrónico, de manera
segura.

Riesgo: Certificados Digitales

Acción: Las páginas Web deben hacer uso de certificados de validez extendida (EV -
Extended Validity) para comprobar la identidad de los visitantes. Estos certificados requieren de
una verificación exhaustiva y proporcionan el más alto nivel de confianza del usuario con
respecto a la autenticidad del sitio Web.

Riesgo: Verificación de la identidad

Acción: Para obtener un nivel más alto de seguridad, el sistema de Banca en Línea debe
requerir dos niveles de autentificación para acceder a las cuentas bancarias.
 Página 34 de 44

El Usuario y Contraseña

Una contraseña de un solo uso (one-time password) generada automáticamente. Este segundo
paso previene un acceso no autorizado en el caso de que un Usuario/Contraseña haya sido
comprometido.

Riesgo: Bloqueo de cuenta y finalización de sesión

Acción: Para proteger los datos contra intentos de adivinar una contraseña, la cuenta será
bloqueada si la contraseña (o el código del token) son introducidos erróneamente cuatro veces
consecutivas. Además, una sesión bancaria en línea debe desconectarse automáticamente
después de doce minutos de inactividad.

Riesgo: Identidad del Sitio Web

Acción: Los usuarios reciben correos electrónicos que aparentemente son enviados por la
institución y q que generalmente solicitan que se sigan ciertos enlaces para conectarse a su
cuenta en línea para resetear la contraseña u otras acciones similares. Generar una campaña de
correos electrónicos que adviertan al usuario del riesgo de responder a este tipo de correos.
 Página 35 de 44

Requisitos

Las entidades financieras deben controlar los riesgos tecnológicos y contar con políticas y
normas de seguridad informática para brindar un ambiente seguro y adecuado. Por ende, vamos a
enumerar los requisitos mínimos para asegurar una óptima seguridad.

a) Gestión
La empresa deberá tener un comité que se encargue de realizar planes informáticos, pueda
brindar mantenimiento, desarrollo y administración de sistemas informáticos.

b) Operaciones

 Seguridad física de sala de servidores y el entorno que la rodea.

 Respaldos y recuperación de información.
 Registro de caídas de los sistemas o no disponibilidad de servicios que afecten la atención
normal al público.
 Administración de cintoteca interna y externa.
 Control y políticas de administración de antivirus.
 Administración de licencias de software y programas.
 Traspaso de aplicaciones al ambiente de explotación.
 Inventario de hardware y software.

Seguridad de redes.

 Características, topología y diagrama de la red

 Seguridad física de sitios de comunicación
 Seguridad y respaldo de enlaces.
 Página 36 de 44

 Equipos de seguridad y telecomunicaciones.

 Seguridad de acceso Internet/Intranet

C) Administración de Usuarios

 Administración de privilegios de acceso a sistemas.

 Administración y rotación de password.
 Asignación y responsabilidad de hardware y software.
 Administración de estación de trabajo o PC.
 Uso de comunicaciones electrónicas.
 Administración y control de usuarios Intranet/Internet.

D) Plan de Contingencias Tecnológicas:

 Objetivo y metodología del plan de contingencias tecnológicas.

 Procedimientos de recuperación de operaciones críticas.
 Descripción de responsabilidades e identificación de personal clave.
 Medidas de prevención y recursos mínimos necesarios para la recuperación.

E) Pruebas del Plan de Contingencias Tecnológicas:

Efectuar al menos una prueba al año del Plan de Contingencias Tecnológicas.

 Página 37 de 44

Muestreo

El muestreo es un método muy utilizado para analizar datos. En lugar de analizar un

conjunto completo de datos, el muestreo se fija en una parte de ellos. Si bien en el muestreo no
se tienen en cuenta todos los datos, la parte de ellos con la que se trabaja es una buena
representación del grupo completo y ofrece resultados similares. Con el muestreo se pueden
analizar grandes cantidades de datos con una gran precisión. Además, el muestreo reduce el
tiempo que se necesita para consultar datos, de manera que los anunciantes pueden obtener sus
informes con mayor rapidez y eficacia.

Para tener una certeza de que se están cumpliendo con lo establecido en esta norma se
realizaran muestreos de datos cada cierto tiempo así garantizar el cumplimiento de esta.
 Página 38 de 44

MÉTODO DE ENSAYO

El desarrollo de métodos de ensayo propios por parte de los analistas, requerirá de

procesos perfectamente planificados y controlados en su proceso, así como equipos y softwares
de última generación, estos analistas responsables contarán con el nivel adecuado y estarán
dotados de los necesarios recursos.

Los métodos no normalizados, además de ser validados, deberán ser completamente

descritos en procedimientos o documentos, en los que se indique claramente su finalidad, ámbito
de aplicación y restricciones de uso.

Esta Norma recoge, a modo de resumen, el contenido mínimo que debería contemplar
cualquier método de ensayo o calibración:

 Identificación apropiada.
 Ámbito de aplicación o descripción del tipo de espécimen para el ensayo o calibración.
 Parámetros o magnitudes y rangos para determinar.
 Aparatos y equipos, con especificaciones técnicas.
 Patrones de referencia y materiales de referencia necesarios.
 Condiciones ambientales requeridas y cualquier período de estabilización necesario.
 Página 39 de 44

MARCADO Y ROTULADO

El marcado o rotulado de los empaques ayuda a identificar los productos facilitando su

manejo y ubicación en el momento de ser monitoreados. En nuestra norma en específico esto no
será de especial utilidad pero mencionaremos aplicaciones relacionadas con esta. Como por
ejemplo:

 Marcar las valijas con dinero

 Marcar los diferentes tipos de cheques
 Marcar sus equipos

ENVASE Y EMBALAJE

Para iniciar se debe definir el término envase, que actualmente se emplea para referirse a
los diferentes tipos de contenedores, cualquiera que sea el material con el que se han elaborado o
el material que se coloque dentro de ellos.

Para que los contenedores se puedan considerar como envases deben cumplir con
importantes funciones como son: protectores del contenido, dosificadores, conservadores,
transportadores y comercializadores.

Así pues las principales funciones del envase son:

Contener. Es decir que tiene la capacidad para confinar la cantidad en peso, volumen
determinado o número de unidades que se determinan para cada producto.

Proteger. El envase aísla al producto de factores que lo pueden alterar, cambiar su estado original
o modificar su composición. También protege al consumidor ya que le garantiza que el producto
envasado cumple con lo indicado en el envase. Al aislarlo del medio ambiente permite evitar que
 Página 40 de 44

productos o sustancias tóxicas o peligrosas lo puedan contaminar. Así mismo debe proporcionar
una protección efectiva contra efectos físicos químicos o biológicos durante su almacenaje,
transporte, distribución y exhibición.

Conservar. Se refiere básicamente a que permite que el producto pueda ser almacenado o
exhibido durante determinado tiempo sin sufrir alteraciones. (Fechas de caducidad).

Transportar. El envase permite facilitar las operaciones del movimiento y transporte sin importar
su estado físico.

Embalaje: son todos los materiales, procedimientos y métodos que sirven para acondicionar,
presentar, manipular, almacenar, conservar y transportar una mercancía.

En nuestro proyecto el embalaje que utilizamos es el utilizado para contener dinero e

información física. Este embalaje es el que facilita las operaciones de transporte y manejo de
dinero hacia diferentes sitios.

Almacenamiento

Los soportes de almacenamiento cumplen un rol fundamental para el respaldo de la

información que es guardada en una pc, por otra parte cumplen una gran función especialmente
para los bancos ya que aseguran una gran cantidad de información pertinente a sus actividades.
Entre los tipos de almacenamiento usados está el disco duro, es un hardware en el que se
almacena gran parte de la información incluyendo programas computacionales, drivers, software,
etc. Las computadoras de banco tiendes a almacenar más de 200GB de información cada una,
para garantizar la seguridad de toda esta información. El banco deberá contar con software y
personal capacitado para estar al tanto de todo lo que ocurre dentro y fuera de sus computadoras.

Por otro lado otro tipo de almacenamiento usado es el almacenamiento online o

almacenamiento en nube, el cual es un modelo de almacenamiento de datos basado en redes de
 Página 41 de 44

computadoras, ideado en los años 1960,1 donde los datos están alojados en espacios de
almacenamiento virtualizados, por lo general aportados por terceros.

Las compañías de alojamiento operan enormes centros de procesamiento de datos. Los

usuarios que requieren estos servicios compran, alquilan o contratan la capacidad de
almacenamiento necesaria. Los operadores de los centros de procesamiento de datos, a nivel
servicio, virtualizan los recursos según los requerimientos del cliente. Solo exhiben los entornos
con los recursos requeridos. Los clientes administran el almacenamiento y el funcionamiento de
los archivos, datos o aplicaciones. Los recursos pueden estar repartidos en múltiples servidores
físicos.

Manipulación y transporte
Para la selección y contratación de una empresa de traslado y resguardo de efectivo y
valores,
El departamento de seguridad deberá verificar que dicha empresa cumpla con los siguientes
Requisitos:
Registro como empresa de traslado y resguardo de efectivo y valores ante la autoridad
competente.
DIRECCIÓN DE SERVICIOS DE SEGURIDAD PRIVADA MANUAL

 Experiencia mínima de tres años anteriores a la fecha de contratación.

 Cobertura para atender a las oficinas financieras, en las zonas donde requieran del
servicio.
 Infraestructura operativa suficiente y adecuada.
 Capacidad de respuesta ante requerimientos especiales.
 Estricto proceso de reclutamiento y selección de personal.
 Sistema de actualización del padrón de fotografías y firmas de sus elementos.
 Personal especializado debidamente capacitado y entrenado.
 Mecanismos de identificación de irregularidades cometidas por el personal, así
 Como el tipo de sanciones correspondientes.
 Página 42 de 44

 Tener un manual interno de seguridad.

 Contar con las pólizas de seguros correspondientes.
 Deberán establecer en el contrato de prestación de servicios, las sanciones
 Correspondientes por incumplimiento en las medidas de seguridad establecidas.
 Establecer un convenio de confidencialidad sobre el uso de la información cliente-
proveedor.
 Página 43 de 44

Conclusión

La aplicación de la norma busca garantiza la seguridad tanto de los clientes como de los
propios empleados de la empresa. También podemos mencionar que gracias a la adopción de
medidas para la mitigación del riesgo tecnológico, los clientes de las Industrias estaremos más
seguros cuando nos identifiquemos para efectuar operaciones que involucren información
sensitiva o dinero, lo que nos protegerá de posibles fraudes. Asimismo, las Industrias, se
protegerán mejor, internamente, al aplicar métodos de mitigación de riesgo al identificar a los
colaboradores que manejan mercancías y autorizan transacciones de valor.

Anexos
 Página 44 de 44

La presente es una lista de documentos que podrían ayudar a ampliar sobre el tema de la
elaboración de una norma de seguridad de la información de logistica.

https://www.isotools.org/pdfs-pro/iso-27001-sistema-gestion-seguridad-informacion.pdf

http://www.iso27000.es/download/doc_sgsi_all.pdf

http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCC-MU_archivos/Nextel.pdf

http://bcc.portal.gov.bd/sites/default/files/files/bcc.portal.gov.bd/page/adeaf3e5_cc55_4222_876
7_f26bcaec3f70/ISO_IEC_27001.pdf

http://m.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2014%20-%20Exposici
%C3%B3n%202%20CIGRAS%20ISO%2027001%20-%20rbq.pdf

https://www.iso.org/standard/54534.html

BIBLIOGRAFÍA
 Página 45 de 44

Monografías. (16 de 09 de 2017). Monografías. Obtenido de http://www.monografias.com/trabajos91/las-

normas-iso/las-normas-iso.shtml

Prezi. (13 de 09 de 2017). prezi.com. Obtenido de Prezi: https://prezi.com/0hwrq0_tk6vv/principios-

cientificos-de-la-normalizacion/

Tinoco, H. (16 de 09 de 2017). Slideshare. Obtenido de https://es.slideshare.net/kaherrera/definicin-de-

normas-de-seguridad

Excelencia, E. E. (23 de Octubre de 2017). www.123aprende.com. Obtenido de www.123aprende.com:

https://www.123aprende.com/2017/07/beneficios-de-iso-220001-empresas-fabricacion/?
c=cee236228e9a

http://www.gesconsultor.com/iso-27001.html

PRESENTACION_MANUEL_COLLAZOS_-_1.pdf

https://www.netquest.com/blog/es/blog/es/muestreo-que-es-porque-funciona

http://www.ocif.gobierno.pr/%5C/glosario.htmlNORMAS9000. (5 de Noviembre de 2017).

NORMAS9000. Obtenido de http://www.normas9000.com/content/Glosario.aspx

http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/HerramientasSeguridad.php

https://es.wikipedia.org/wiki/Norton_AntiVirus

https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

https://es.wikipedia.org/wiki/Almacenamiento_en_nube E., E. (22 de Noviembre de 2017). Erika E.

Obtenido de https://www.gestiopolis.com/envase-empaque-y-embalaje-de-productos/
Página 46 de 44