Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
2. PRESENTACION
Actualmente existen muchos riesgos relacionados con la tecnología, que ponen en peligro nuestra
información y el desarrollo de los negocios, y que lamentablemente aumentan cada día. Hackers,
ciberdelincuencia, robos de identidad, spam, virus, phishing, robos de información y espionaje
industrial, entre otros muchos, pueden acabar con la confianza de nuestros clientes y nuestra imagen
en el mercado. Estos riesgos provienen tanto del exterior como del interior de nuestras empresas. Para
lidiar con esos riesgos, desde las empresas se puede asegurar los datos e información de valor a través
de un Sistema de Gestión de Seguridad de la Información (SGSI).
Si queremos proteger a nuestra empresa de todas las amenazas, necesitamos conocerlas y afrontarlas
de la forma más adecuada. Así que, es conveniente establecer los procedimientos oportunos e
implementar controles de seguridad basados en la evaluación de riesgos y en una medición de su
eficacia.
¿Qué es un SGSI?
Podemos definir el SGSI, Sistema de gestión de la seguridad de la información, basado en la norma UNE-
ISO/IEC 27001, como una herramienta que nos va a permitir conocer, gestionar y minimizar los posibles
riesgos que atenten contra la seguridad de la información en nuestra empresa. Además de ser una
metodología sencilla y barata que cualquier PYME puede utilizar. La implantación y posterior
certificación de estos sistemas supone la implicación de toda la empresa.
GFPI-F-019 V3
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE
El Modelo de Seguridad y Privacidad para estar acorde con las buenas prácticas de seguridad será
actualizado periódicamente; reuniendo los cambios técnicos de la norma 27001 del 2013, legislación de la
Ley de Protección de Datos Personales, Transparencia y Acceso a la Información Pública, entre otras, las
cuales se deben tener en cuenta para la gestión de la información.1
Actividad individual
a) La norma ISO 27001, ¿a qué hace referencia esta norma? Haga una descripción breve de la misma
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
b) ¿Qué es el Ministerio de Tecnologías de la Información y las Comunicaciones y que funciones tiene
para el gobierno colombiano?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
1
Ministerio de Tecnologías de la Información y las Comunicaciones (2016) Modelo de Seguridad. Gobierno de Colombia.
Recuperado de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE
Actualmente, la información reside en todas partes, de forma física y digital; en nuestras manos y al
alcance de unos cuantos clics. La información personal es un tema sensible puesto que expone nuestra
integridad, confidencialidad y disponibilidad en cualquier medio y en cualquier momento, y parte de
esta exposición de nuestra información es gracias a que no tenemos unas medidas mínimas de control
de nuestra información como cerrar adecuadamente un correo, cerrar sesiones en portales o compartir
contenido multimedia. Nosotros somos nuestra primera línea de defensa.
En un grupo de proyecto, conteste en un documento en Word como evidencia y socialice las siguientes
preguntas planteadas, para posteriormente exponer lo entendido con los demás grupos e instructor y
poder realizar la respectiva retroalimentación. Utilice el medio que desee sea digital o físico para
exponer
Parte del trabajo a desarrollar, esta soportado en documentación recopilada en Blackboard y fuentes
Web, para desarrollar este cuestionario. la seguridad de la información requiere que, tanto usuarios
internos y externos y todo el personal dentro de una organización sepa que es cuando se está
presentando una anormalidad en el trato de la información y de qué manera debe actual o por lo menos
seguir unos pasos para contrarrestar un posible fallo o alteración de la información por manos de
terceros. Por grupos definir estas preguntar y exponer al resto de los compañeros
b) ¿Cuáles son los pilares de la seguridad de la información? Describa cada uno de ellos
________________________________________________________________________________
________________________________________________________________________________
c) ¿Qué es un activo? De 3 ejemplos. (dentro del contexto de la seguridad de la información)
________________________________________________________________________________
________________________________________________________________________________
d) ¿Qué es un riesgo? De 3 ejemplos. (dentro del contexto de la seguridad de la información)
________________________________________________________________________________
________________________________________________________________________________
e) ¿Qué es una amenaza? De un ejemplo.
________________________________________________________________________________
________________________________________________________________________________
f) ¿Qué es un incidente de seguridad?
________________________________________________________________________________
________________________________________________________________________________
g) ¿Qué es impacto?
________________________________________________________________________________
________________________________________________________________________________
h) ¿Qué es un control? De un ejemplo.
________________________________________________________________________________
________________________________________________________________________________
i) ¿Qué es auditoria y la importancia de realizarlas en una empresa?
________________________________________________________________________________
________________________________________________________________________________
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE
Dentro del contexto de un SGSI para las empresas, se hace necesario que los aprendices tengan claro
los enunciados de la norma ISO 27001 y los distintos conceptos sobre SGSI para ser implementados en
una organización. Si bien es cierto que no es un formato general, es un instructivo para determinar los
activos de la información, determinar las amenazas y vulnerabilidades y por consiguiente establecer
medidas de prevención a partir de políticas de seguridad y matrices de riesgo.
El Instituto Colombiano de Normas Técnicas y Certificación ICONTEC, provee al estado colombiano y toda la
población en los diferentes sectores de la economía del país, normas y certificaciones de los componentes
y referencias técnicas empleadas en el quehacer industrial, comercial y de servicios de Colombia y el mundo.
La norma ISO 27001 define los requisitos y orientaciones con respecto a la seguridad de la información. Por
esta razón y por ser parte de la familia SENA, ud como aprendiz puede accede gratuitamente a un espacio
del ICONTEC, desde http://biblioteca.sena.edu.co/ ingresando por bases de datos y buscar la opción
ICONTEC.
El diseño de SGSI se basa en la necesidad de que la seguridad de la información tiene requerimientos que
cambian continuamente y que dichos cambios además de ser gestionados deben estar documentados.
Los SGSI se diseñan específicamente para cada organización teniendo en cuenta aspectos como: objetivos
estratégicos, requisitos de seguridad, modelo de negocio, procesos, empleados, tamaño y estructura; los
cuales se abordan de forma organizada mediante la aplicación del ciclo Deming o modelo PHVA – Planear,
Hacer, Verificar y Actuar – (PDCA por las siglas en inglés – Plan, Do, Check and Act –).
El ciclo PHVA es utilizado por las organizaciones para gestionar sistemáticamente la seguridad de la
información mediante el establecimiento, implementación, operación, supervisión, revisión,
mantenimiento y mejora continua de los SGSI.2
2
Sistemas De Gestión De La Seguridad De La Información, Alejandro Pinzón Roberto. SENA FAVA - Formación en
Ambientes Virtuales de Aprendizaje
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE
Plan (planificar). Es una fase del SGSI de evaluación de riesgos de seguridad de la información y la
selección de controles adecuados
Do (hacer): es una fase que envuelve la implantación y operación de los controles.
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y
eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a
máximo rendimiento.
Para entender cómo se redacta una política de seguridad y alcance de SGSI realice las siguientes actividades:
Busque y consulte en internet la política de seguridad en una empresa e identifique dentro de ella:
o Alcance, Objetivos, Responsabilidad, monitoreo.
En este proceso se debe realizar una valorización de los activos, de acuerdo con la importancia que
tienen para la empresa para poder así asignar la respectiva protección. El inventario de activos debe
contener la siguiente información:
o Identificacion del activo: codigo o serial.
o Tipo de activo: software, aplicación de hardware o informacion.
o Descripcion: Exactamente que es el activo ejemplo servidor de correo.
o Propietario: Quien es el responsable del activo.
o Localizacion: En que area especificamente esta el activo ejemplo: area de contabilidad
Teniendo encuenta, que este ciclo es importante usted debe realizar las siguientes actividades en los grupos
de proyecto con el objetivo de solucionar el caso de estudio planteado en este trimestre.
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE
Nivel de Valor
Vulnerabilidad
Nulo 1
Bajo 2
Medio 3
alto 4
Aplique un sistema de inventario, donde se pueda listar los activos informáticos para dar un valor a la
vulnerabilidad que pueda llegar a tener y dar una ponderación de acuerdo con la tabla anterior. Como
ejemplo el siguiente cuadro:
Posterior, hay que generar un informe de evaluacion de riesgos y plan de tratamiento de riesgos. Según el
caso de estudio realice la matriz de riesgo. Puede implementar metodo de Margerit. Para ello se debe tener
presente que la siguiente formula:
Los controles permiten mitigar y reducir los riesgos y la norma ISO 27001:2013 se basa en las buenas
practicas de la 27002. Especifique según la tabla los siguientes controles:
Controles Justificacion:
Seguridad
Cifrado
Operaciones
Telecomunicaciones
Controles de recursos humanos
Control de activos
Control de incidentes
Realice el procedimiento de toda la documentacion del SGSI. Genere la Politica de seguridad y objetivos de
seguridad. incluya el marco general y los objetivos de seguridad de la información de la organización;
considere todos los requerimientos legales o contractuales relativos a la seguridad de la información para
el estado colombiano y los documentos CONPES que los soporten (ley 1273 de 2009) esté alineada con el
contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI;
establezca los criterios con los que se va a evaluar el riesgo y que esté aprobada por la dirección
MATERIALES
4. ACTIVIDADES DE EVALUACIÓN
Evidencias de Producto:
5. GLOSARIO DE TÉRMINOS:
Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización
funcione correctamente y alcance los objetivos propuestos por su dirección. AGR: Análisis y Gestión de
Riesgos
Amenaza: son los eventos que pueden desencadenar un incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en sus activos de información, puede ser de dos tipos:
Amenazas internas y Amenazas externas
Impacto: es la consecuencia negativa sobre un activo de la materialización de una amenaza.
Incidente: evento que atenta contra la confidencialidad, integridad o disponibilidad de la información
y los recursos tecnológicos.
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE
Pirata informático: es quien adopta por negocio la reproducción, apropiación y distribución con fines
lucrativos y a gran escala de distintos medios y contenidos (soporte lógico, videos, música) de los que
no posee licencia o permiso de su autor, generalmente haciendo uso de un ordenador, siendo del
software la práctica de piratería más conocida.
Riesgo: posibilidad o probabilidad de que se produzca un impacto sobre algún activo de la información
que pueda incurrir en pérdidas del patrimonio. El riesgo es igual al producto entre la probabilidad y el
impacto:
Riesgo = Probabilidad X Impacto
Riesgo Intrínseco: cálculo de un probable daño sin tener en cuenta las medidas de seguridad que ha
implantado la organización para proteger los activos.
Riesgo residual: riesgo remanente que tiene en cuenta las deficiencias, fallas o inadecuaciones, en el
recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos
externos.
Riesgo operativo: perdidas en las que se incurre por deficiencias, fallas o inadecuaciones, en el recurso
humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.
Hacker: experto informático que utiliza sus conocimientos técnicos para superar un problema,
normalmente asociado a la seguridad. Habitualmente se lo utiliza en informáticos con conocimientos
en seguridad y con la capacidad de detectar errores o fallos en sistemas informáticos para luego
informar de los fallos a los desarrolladores del software encontrado vulnerable o a todo el público.
Seguridad Informática: disciplina que se encarga de diseñar las normas, procedimientos, métodos y
técnicas destinados a conseguir un sistema de información seguro y confiable.
Confidencialidad: propiedad de la información, por la que se garantiza que no está accesible
únicamente a personal autorizado a acceder a dicha información.
Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No
es igual a integridad referencial en bases de datos.) Grosso modo, la integridad es mantener con
exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos
no autorizados.
Disponibilidad: es la característica, cualidad o condición de la información de encontrarse a disposición
de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la
disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento
que así lo requieran
Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza
6. REFERENTES BILBIOGRAFICOS
Gobierno de España. (2012). MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información. Obtenido de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.
html#.XTIfD3u23IU
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE
GRANVILLE, K. (05 de febrero de 2015). 9 Recent Cyberattacks Against Big Businesses. Obtenido de The
New York Times: https://www.nytimes.com/interactive/2015/02/05/technology/recent-
cyberattacks.html?_r=1
Ministerio de Tecnologias de la Informacion y Comunicacion. (2 de junio de 2016). Lo que usted debe saber
del Conpes de Seguridad Digita. Obtenido de https://www.mintic.gov.co/portal/604/w3-article-
15410.html
Rossi, B. (10 de diciembre de 2015). Top 10 most devastating cyber hacks of 2015. Obtenido de
https://www.information-age.com/top-10-most-devastating-cyber-hacks-2015-123460657/