Asignatura Datos del alumno Fecha

Apellidos: COLOMA GAROFALO

Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

Actividades

Trabajo: Estudio de la norma ISO 27001

Merino Bada, C. y Caizares Sales, R. (2011). Implantacin de un sistema de gestin de

seguridad de la informacin segn ISO 27001. Madrid: Fundacin Confemetal.

Lee las pginas del libro Implantacin de un sistema de gestin de seguridad de la

informacin segn ISO 27001: 2005, as como consulta las normas ISO 27001:2015 y
27002:2015, disponibles en el aula virtual y responde a las siguientes preguntas de
forma breve:

Establece un objetivo de negocio para el que se sustente la necesidad de realizar un

SGSI dentro de una compaa. Contextualizar la actividad (misin, visin) de la
compaa para entender su objetivo. El objetivo debe estar suficientemente
explicado para justificar la necesidad de realizar un SGSI.

Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro

SGSI de forma justificada.

De los controles de la ISO 27002:2015 de las categoras: 6.Organizacin de la

seguridad de la informacin, 8. Gestin de activos. y 9. Control de acceso, clasificarlos
segn sean: normativos (N), organizativos (O) o tcnicos (T) justificndolo muy
brevemente, teniendo en cuenta que pueden ser a la vez de ms de un tipo.

Ejemplo para la categora 5, el control: 5.1.1 Polticas para la seguridad de la

informacin: La respuesta sera [N], [O].

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

[N]: Se requiere un documento normativo que lo establezca.

[O]: En la gua de implantacin se indica que deben asignarse las responsabilidades

generales.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

Desarrollo de la actividad.

Para el desarrollo de la actividad se ha tomado como ejemplo a la Universidad Estatal

de Bolvar:

Establece un objetivo de negocio para el que se sustente la necesidad de

realizar un SGSI dentro de una compaa. Contextualizar la actividad
(misin, visin) de la compaa para entender su objetivo. El objetivo
debe estar suficientemente explicado para justificar la necesidad de
realizar un SGSI.

Universidad Estatal de Bolvar ahora en adelante empresa, tomaremos como ejemplo el

uno de sus departamentos (Departamento de Informtica y Comunicacin)

mbito de la Empresa y del departamento (Departamento de Informtica y

Comunicacin).

Es una universidad ecuatoriana encargada de la preparacin educacin superior,

tomamos uno de sus departamentos y los servicios que ofrece el Departamento de
Informtica y Comunicacin de la UEB se puede mencionar los siguientes:

Formacin Acadmica

Mantenimiento y Soporte Tcnico

Redes y Telecomunicaciones

Educacin Virtual

Unidad de Desarrollo de Software

Los servicios mencionados anteriormente permiten disear, evaluar y ejecutar

programas de capacitacin y educacin continua en el campo de las Tecnologas de la
Informacin y Comunicacin.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

El departamento de informtica cuenta con las siguientes unidades:

Lugar.

El Departamento de Informtica y Comunicacin se encuentra ubicado en el Campus

Universitario: Alpachaca Av. Ernesto Che Guevara s/n y Av. Gabriel Secaira de la
cuidad de Guaranda-Bolvar.

Misin del departamento.

Ser una carrera de excelencia acadmica en la formacin de profesionales en la

docencia de la Informtica; humanista, emprendedora, gestora de investigacin, ciencia
y tecnologa e innovacin educativa; impulsora de la interculturalidad; competente,
vinculada a sectores sociales y redes de cooperacin nacional e internacional, orientada
hacia la transformacin y desarrollo humano sostenible.

Visin del departamento.

Ser una carrera de excelencia acadmica en la formacin de profesionales en la

docencia de la Informtica; humanista, emprendedora, gestora de investigacin, ciencia
y tecnologa e innovacin educativa; impulsora de la interculturalidad; competente,
vinculada a sectores sociales y redes de cooperacin nacional e internacional, orientada
hacia la transformacin y desarrollo humano sostenible.

Valores.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

Responsabilidad

Integridad

Desempeo

Respeto

Trabajo en equipo

Objetivos institucionales.

Del departamento:

Esta dependencia se encuentra constituida con la finalidad de brindar

servicios de calidad tanto acadmicos, tecnolgicos y de comunicacin desde
la Universidad Estatal de Bolvar hacia la colectividad Bolivarense, Nacional
e Internacional.

De cada una de las unidades aadidas al departamento.

De la unidad acadmica.

Gestionar las actividades educativas relacionadas con la vinculacin e

investigacin, para la formacin profesional de los estudiantes.

De la unidad educacin Virtual.

Impulsar el uso de las TICs (Tecnologas de la Informacin y

Comunicacin) en los procesos de aprendizaje a travs del uso de soluciones
E-learning basadas en las ltimas tecnologas y el uso de tres ejes:
educacin, tecnologa y organizacin.

De la unidad de Mantenimiento.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

Brindar soporte y asistencia tcnica proactiva dentro de la unidad de

mantenimiento y servicios informticos con miras a la innovacin.

Mantener en buen funcionamiento los equipos informticos

Asistir permanentemente a los usuarios

OBJETIVO DE CALIDAD (objetivo diseado como parte del trabajo: esta

empresa no posee SGSSI)

Para este caso se va disminuir de forma significativa el impacto que generan los riesgos
a los que se encuentran sometidos los activos de informacin, mediante la participacin
de toda los involucrados del departamento y de la organizacin (universidad),
estableciendo los procedimientos adecuados y planificando e implantando controles de
seguridad segn la evaluacin de riesgos y eficacia de los mismos durante el periodo
calendario 2018- 2020

Respondiendo a ese objetivo de negocio, establece un posible alcance

para vuestro SGSI de forma justificada.

ALCANCE (de acuerdo al diseado para esta tarea)

SGSI, aplica para el Proceso de Negocio, en el Departamento de Informtica y

Comunicacin, de la UEB, ya que no cuenta con polticas de control para la seguridad
de la informacin.

JUSTIFICACIN

El departamento de informtica y comunicacin, es el encargado de brindar soluciones

en el rea de la tecnologa de la informacin y comunicacin, dentro del cual se

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

engloban 5 unidades de las cuales 4 son importantes, y una quinta no muy

significativa(mantenimiento), es decir su razn de ser se enmarca en crear
productos(software) y servicios (educacin virtual, acadmica, desarrollo de software y
redes y telecomunicaciones), manejo de datos, seguridad video internet, voz y desafos
de IT.

Los procesos de negocio, establecidos para el cumplimiento de los objetivos

institucionales, guardan la gran mayora de la informacin de la universidad y tambin
de los trabajadores administrativos por lo que es de suma importancia otorgar la
seguridad sobre este bien intangible ya que, al ser custodios de informacin a nivel
mundial estamos en la obligacin de otorgar las garantas necesarias ante cual
cualquier riesgo o ataque.

Los procesos de negocio incluyen las siguientes reas:

El departamento cuenta con 5 unidades antes ya mencionadas, cada una presta

diferentes servicios.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

De los controles de la ISO 27002:2015 de las categoras:

o 6. Organizacin de la seguridad de la informacin,

o 8. Gestin de activos. y

o 9. Control de acceso,

o clasificarlos segn sean: normativos (N), organizativos (O) o

tcnicos (T) justificndolo muy brevemente, teniendo en
cuenta que pueden ser a la vez de ms de un tipo.

6. Organizacin de la seguridad de la informacin

Dentro de los aspectos organizativos si se requiere, requisitos normativos y

organizativos.

Para lo cual se debera definir formalmente un mbito de gestin para efectuar tareas
tales como la aprobacin de las polticas de seguridad, la coordinacin de la
implementacin de la seguridad y la asignacin de funciones y responsabilidades, a cada
uno de los grupos de cada unidad o encargados.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

Para una actualizacin adecuada en materia de seguridad se debera contemplar la

necesidad de disponer de fuentes con conocimiento y experimentadas para el
asesoramiento, cooperacin y colaboracin en materia de seguridad de la informacin.

Es importante tener protecciones fsicas en las organizaciones son cada vez ms

reducidas por las actividades de la universidad se requiere por parte del personal
interno/externo que acceden a informacin desde el exterior en situacin de movilidad
temporal o permanente. En estos casos se considera que la informacin puede ponerse
en riesgo si el acceso se produce en el marco de una inadecuada administracin de la
seguridad, por lo que se establecern las medidas adecuadas para la proteccin de la
informacin.

A esto hay que aadir que la universidad no cuenta con un data center adecuado ni
polticas de seguridad.

6.1 Organizacin interna

El director debe establecer de forma clara las lneas de la poltica de actuacin y

manifestar su apoyo y compromiso a la seguridad de la informacin, publicando y
manteniendo una poltica de seguridad en toda la universidad adems de establecer una
estructura de gestin con objeto de iniciar y controlar la implantacin de la seguridad de
la informacin dentro de la Universidad

Es de responsabilidad de la direccin: aprobar la poltica de seguridad de la informacin,

asignar los roles de seguridad y coordinar y revisar la implantacin de la seguridad en
toda la institucin.

Actividades de control del riesgo

6.1.1 Asignacin de responsabilidades para la SI: Se deben definir y asignar claramente

todas las responsabilidades para la seguridad de la informacin.

6.1.2 Segregacin de tareas: Se deberan segregar tareas y las reas de responsabilidad

ante posibles conflictos de inters con el fin de reducir las oportunidades de una

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

modificacin no autorizada o no intencionada, o el de un mal uso de los activos de la

organizacin.

6.1.3 Contacto con las autoridades: Se deben mantener los contactos apropiados con las
autoridades pertinentes.

6.1.4 Contacto con grupos de inters especial: Se debera mantener el contacto con
grupos o foros de seguridad especializados y asociaciones profesionales.

6.1.5 Seguridad de la informacin en la gestin de proyectos: Se debera contemplar la

seguridad de la informacin en la gestin de proyectos e independientemente del tipo de
proyecto a desarrollar por la organizacin.

Mtricas asociadas

Porcentaje de funciones organizativas para las cuales se ha implantado una estrategia

global para mantener los riesgos de seguridad de la informacin por debajo de umbrales
explcitamente aceptados por la direccin.

Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y
responsabilidades de seguridad de la informacin.

6.2 Dispositivos para movilidad y teletrabajo

La proteccin exigible debera estar en relacin a los riesgos especficos que ocasionan
estas formas especficas de trabajo. En el uso de la informtica mvil deberan
considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la proteccin
conveniente. En el caso del teletrabajo, la institucion debera aplicar las medidas de
proteccin al lugar remoto y garantizar que las disposiciones adecuadas estn disponibles
para esta modalidad de trabajo.

Se debera establecer una estructura de gestin con objeto de iniciar y controlar la

implantacin de la seguridad de la informacin dentro de la institucin.

Debera disponer de polticas claramente definidas para la proteccin, no slo de los

propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor
medida, de la informacin almacenada en ellos.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

Por lo general, el valor de la informacin supera con mucho el del hardware.

Asegrese de que el nivel de proteccin de los equipos informticos utilizados dentro de

las instalaciones de la institucion tiene su correspondencia en el nivel de proteccin de
los equipos porttiles, en aspectos tales como antivirus, parches, actualizaciones,
software cortafuegos, etc.

Actividades de control del riesgo

6.2.1 Poltica de uso de dispositivos para movilidad: Se debera establecer una poltica
formal y se deberan adoptar las medidas de seguridad adecuadas para la proteccin
contra los riesgos derivados del uso de los recursos de informtica mvil y las
telecomunicaciones.

6.2.2 Teletrabajo: Se debera desarrollar e implantar una poltica y medidas de seguridad

de apoyo para proteger a la informacin accedida, procesada o almacenada en
ubicaciones destinadas al teletrabajo.

Mtricas asociadas

"Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el

estado actual de la seguridad de equipos informticos porttiles (laptops, PDAs, telfonos
mviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo mvil), con
comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad
conocidas y pronsticos sobre cualquier riesgo creciente, despliegue de configuraciones
seguras, antivirus, firewalls personales, etc.

8. Gestin de activos.

SI, Requisito ORGANIZATIVO - TCNICO

Algunos ejemplos de activos son:

Recursos de informacin: bases de datos y archivos, documentacin de

sistemas, manuales de usuario, material de capacitacin, procedimientos
operativos o de soporte, planes de continuidad y contingencia, informacin
archivada, etc.

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

Recursos de software: software de aplicaciones, sistemas operativos,

herramientas de desarrollo y publicacin de contenidos, utilitarios, etc.

Activos fsicos: equipamiento informtico (procesadores, monitores,

computadoras porttiles, mdems), equipos de comunicaciones (routers, PABXs,
mquinas de fax, contestadores automticos, switches de datos, etc.), medios
magnticos (cintas, discos, dispositivos mviles de almacenamiento de datos
pen drives, discos externos, etc.-), otros equipos tcnicos (relacionados con el
suministro elctrico, unidades de aire acondicionado, controles automatizados de
acceso, etc.), mobiliario, lugares de emplazamiento, etc.

Servicios: servicios informticos y de comunicaciones, utilitarios generales

(calefaccin, iluminacin, energa elctrica, etc.).

Los activos de informacin deben ser clasificados de acuerdo a la sensibilidad y criticidad

de la informacin que contienen o bien de acuerdo a la funcionalidad que cumplen y
rotulados en funcin a ello, con el objeto de sealar cmo ha de ser tratada y protegida
dicha informacin.

Las pautas de clasificacin deben prever y contemplar el hecho de que la clasificacin de

un tem de informacin determinado no necesariamente debe mantenerse invariable por
siempre, y que sta puede cambiar de acuerdo con una poltica predeterminada por la
propia organizacin. Se debera considerar la cantidad de categoras a definir para la
clasificacin dado que los esquemas demasiado complejos pueden tornarse engorrosos y
antieconmicos o resultar poco prcticos.

9. CONTROL DE ACCESO.

SI, REQUISITOS TCNICO

Para impedir el acceso no autorizado a los sistemas de informacin se deberan

implementar procedimientos formales para controlar la asignacin de derechos de acceso
a los sistemas de informacin, bases de datos y servicios de informacin, y estos deben

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: COLOMA GAROFALO
Gestin de la
17/04/2017
Seguridad
Nombre: JESUS ANTONIO

estar claramente documentados, comunicados y controlados en cuanto a su

cumplimiento.

Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los
usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la
privacin final de derechos de los usuarios que ya no requieren el acceso.

La cooperacin de los usuarios es esencial para la eficacia de la seguridad, por lo tanto, es

necesario concientizar a los mismos acerca de sus responsabilidades por el
mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el
uso de contraseas y la seguridad del equipamiento.

Saludos

TEMA 2 Actividades Universidad Internacional de La Rioja (UNIR)