Fase 2 - Levantamiento de información para la elaboración del informe de cumplimiento

ISO/IEC 27001

Presentado por:
Diego Arturo Machado
Cód.
Edwin Anderson Vargas
Cód.
Jhon Fernando Anichiarico
Cód. 1.064.996.565
Víctor Hugo Rico Macías
Cód. 79532368

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
Julio 2019
 INTRODUCCIÓN

Teniendo en cuenta el tema de la seguridad de información y seguridad informática sus pilares

como son integridad, disponibilidad, confidencialidad que muchas veces se ven afectados en
las empresas a diario de manera seguida daremos a conocer en el presente trabajo guías, pautas,
controles para mejorar el uso y cuidado de la misma. Estaremos haciendo mención a la
seguridad informática como un proceso y describimos los roles que los usuarios pueden tener
en la empresa, indagaremos en los niveles de seguridad.

En cuanto a los riesgos de la organización estaremos tratándolos y evitar que estos se den,
estudiaremos las metodologías como OCTAVE,MAGERIT,MEHARI entre otras.
Daremos algunos puntos importantes sobre los requisitos de la norma ISO/IEC 27001:2013
los cuales son necesarios para la certificación de esta norma en las empresas , la importancia
de establecer un SGSI
 OBJETIVO GENERAL

Argumentar y adquirir conocimiento sobre seguridad informática , normas ISO/IEC 27001 y

la ISO/IEC 27002 , indicando los controles y objetivos que estas contienen para la elaboración
de un SGSI

OBJETIVOS ESPECIFICOS

• Reconocer la seguridad informática como un proceso , en áreas de trabajo de la

organización
• Consultar los niveles de la seguridad informática
• Reconocer los roles de la seguridad informática
• Implementar controles y medidas de seguridad de información basándonos en la norma
ISO 27002:2013
• Establecer los objetivos de los controles expuestos en la norma ISO 27002:2013 a la
hora de realizar un SGSI
 DESARROLLO

Para el desarrollo de la actividad individual cada estudiante debe realizar un informe que contenga los
siguientes puntos o productos:

1. El estudiante debe realiza listado con los requisitos de la norma ISO/IEC 27001:2013.

La norma 27001 es la norma certificable y es la que determina que requisitos debemos seguir para la
correcta implementación de la 27001 y la creación y mantenimiento del SGSI dentro de una
organización, por lo tanto, es muy importante saber con qué debemos contar para lograr la
implementación del SGSI. Los requisitos que vemos deben tenerse en cuenta son los que no son
excluibles de cualquier implementación, lo apartados del 4 al 8, estos son:

4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación

4 Contexto de la organización
Aquí hablamos de los problemas externos que tiene la empresa, identificamos y definimos necesidades
de las partes interesadas con relación a la seguridad de la información y las expectativas creadas por
el Sistema de Gestión de Seguridad de la Información

5 Liderazgo
Garantiza la disponibilidad de los recursos y así implantación del SGSI ,habla de los roles y
responsabilidades de la seguridad de información

6 Planeación
está enfocada en los objetivos de la seguridad, estos deben estar de manera clara .Evaluamos los
riesgos, miramos la probabilidad de que suceda un riesgo y cuáles son las consecuencias del mismo
Cambiamos el termino propietario del activo por el término propietario del riesgo.

7 Soportes
En esta sección los requisitos para mejorar el sistema de gestión de seguridad de información requieren
de recursos, personal idóneo para realizar actividades y comunicación entre si

8 Operación
en esta parte los requisitos van orientados a medir la funcionalidad del Sistema de Gestión de Seguridad
de la Información, todas las expectativas de la gerencia de la organización y la retro alimentación sobre
estas, además de cumplir con la norma ISO 27001: 2013.A, el pilar de este proceso se centra en realizar
las evaluaciones de riesgos de seguridad de la información de forma periódica por medio de un
programa elegido.

Estos hablan de temas que no son excluidos, como que es y cuál debe ser el contexto para el sistema
de gestión de la seguridad de la información, la responsabilidad de la dirección, Las auditorias internas
del SGSI, La revisión del SGSI por los directivos y la mejora continua.
Estos requisitos se ven reflejados en la práctica con la construcción e implementación de políticas,
procedimientos y registros.

Las políticas, son las guías generales para saber como actuar en cada caso que se exija dentro del
normal funcionamiento del SGSI. Los procedimientos, son los que dejan claras las INSTRUCCIONES
para ejecutarlas con tareas previstas y planeadas. Finalmente, los registros son todas las evidencias que
se tienen de las actuaciones realizadas en la gestión del sistema.

2. El estudiante realiza una descripción de la seguridad informática como un proceso y sus

elementos como niveles, roles y procedimientos de la información.

Sabemos que la seguridad informática es un conjunto de elementos que ordenados y gestionados de la

manera adecuada permitirán que cualquier empresa tenga un control de sus datos y que mantenga
niveles óptimos en la confidencialidad, disponibilidad e integridad con estos datos, pero como en este
caso estamos hablando de la implementación de esta seguridad basados en un sistema de gestión, estos
funcionan con procesos, y estos procesos tienen unas tareas, y estas tareas las realizan unos
responsables que cumplen y tienen unos roles dentro del mismo sistema y de la organización.

Los niveles de seguridad informática según (Jimenez, 2016) son:

Nivel C1 (Protección Discrecional):

Si bien los usuarios tienen igual nivel de seguridad, la información de cada uno es de carácter privado,
por ende, solo el administrador tiene la libertad de permitir el derecho de acceso a los recursos que
desea y con los permisos que este delegue. Ejemplo: En el sistema de Windows con nuestro usuario
podemos definir los derechos y permisos de nuestro archivo a otro usuario.

Nivel C2 (Protección de Acceso Controlado):

Añade características al nivel C1, en este nivel algunos usuarios tienen la posibilidad de ejecutar
algunas funciones administrativas, las responsabilidades de se comparten, añadiendo un nivel de
auditoria de seguridad el cual registra cada acción que se realiza en el sistema frente a este tema.
Ejemplo: Sistema con muchos usuarios y roles diferentes que es necesario segmentar y organizar de
forma eficaz y segura el acceso a los objetos y tareas.

Nivel B2 (Protección estructurada):

Aquí se requiere que todos los objetos del sistema estén etiquetados jerárquicamente, los recursos como
discos, archivos, entre otros pueden tener asignados uno o varios niveles de seguridad. Los usuarios
requieren tanto control de acceso discrecional como también un control obligatorio según etiquetas.
Las etiquetas dependen de las políticas de seguridad determinadas por el sistema administrador,
clasificando a todos los elementos del sistema en niveles de seguridad que se soportan en
documentación. Ejemplo: Este nivel se seguridad se utiliza en sistemas multinivel que procesan
información altamente confidencial, como el gobierno o militar.

Nivel A (Protección Verificada):

Por último, este nivel incluye a todos los niveles de seguridad anteriores, utilizando métodos
matemáticos en el diseño, control y verificación del sistema en pro de la seguridad, añadiendo además
una mejor confiabilidad a través de demostración matemática a través de su modelo. Ejemplo: Los
canales encubiertos utilizan métodos criptográficos para el cifrado de la información; el hardware y el
software están debidamente protegidos durante su traslado.

Roles involucrados en la seguridad informática:

Usuarios: Son el eslabón débil de la cadena de la seguridad, son los clientes finales de los productos y
servicios que ofrece la tecnología. Por tanto, se deben educar y culturizar con el objeto de que empleen
métodos y estrategias para mitigar el número de incidentes de seguridad.

Creadores de sistemas: Es una persona con altos conocimientos de software, que se encarga de
incorporar los requisitos o necesidades de los usuarios, en entornos y ambientes digitales que hagan
mas manejable su uso, entre las propiedades que deben tener los sistemas, se encuentran los principios
de seguridad informática de confidencialidad, autenticación, integridad, no repudiación y
disponibilidad.

Gerentes: Son aquellas personas que tienen la iniciativa de direccionar y gestionar las medidas de
protección necesarias para proteger y salvaguardar la información y datos de sus clientes y de la
empresa, implantando una política como mecanismo de seguridad que debe exigirse en la empresa.

Cracker: Es una persona con altos conocimientos en sistemas, que usa estos en beneficio propio o de
terceros, causando perjuicios a sus víctimas.

Hacker: Es una persona con altos conocimientos en sistemas, que se vale de estos con el fin de
desarrollar técnicas de mejora, en beneficio de la seguridad de los sistemas de una empresa.

Administradores de T.I.: Son los que tienen la responsabilidad de vigilar a los otros roles, valiéndose
de herramientas de gestión de seguridad informática con el fin de brindar soluciones a los problemas
complejos de seguridad.

3. El estudiante elabora un cuadro explicativo con la importancia de las metodologías de gestión

de riesgos, ventajas y desventajas de cada una.

Metodologías
de gestión de Ventajas Desventajas
riesgos
• Se le considera con un alcance
• El hecho de tener que traducir de
completo, tanto en el análisis como
forma directa todas las
en la gestión de riesgos. - Posee un
valoraciones en valores
extenso archivo de inventarios en lo
económicos hace que la
referente a Recursos de Información,
aplicación de esta metodología
Amenazas y tipo de Activos -
MAGERIT sea realmente costosa. - No
Permite un análisis completo
involucra a los procesos, recursos
cualitativo y cuantitativo - De
ni vulnerabilidades como
carácter Público. - No requiere
elementos del modelo a seguir -
autorización previa para su uso. Es
No posee un inventario completo
una metodología líder en España,
en lo referente a Políticas
con buenos referentes de aplicación
 • Estándar internacional, lo que le
faculta mayor aceptación - Posee una
cláusula completa orientada a la
• - No detalla la forma de valorar
monitorización y revisión de riesgos
las amenazas. - No es certificable
- Se la considera con un alcance
ISO27005 - No posee herramientas, técnicas,
completo, tanto en el análisis como
ni comparativas de ayuda para su
en la gestión de Riesgos - Posee la
implementación
fase de aceptación de riesgos, previa
su justificación. - Permite un análisis
completo cuantitativo
• Cuando la empresa es demasiado
pequeña o no tiene la capacidad ni
la formación para llevar a cabo
• En la apreciación de riesgos se
estas tareas, la dirección puede
identifican, analizan y se establecen
apoyarse en los servicios de una
cuáles son los más importantes. Se
ISO31000 consultora requiere de una labor
evalúan cualitativa y
previa de empalme en la que el
cuantitativamente, para proceder a
personal que realizará la
tratarlos.
evaluación se pone al día en todo
lo relacionado a la Gestión de
Riesgos
• Es una metodología auto dirigida, es
decir, la organización gestiona y • No toma en cuenta el principio de
dirige la evaluación de sus riesgosa no repudio de la información
través de un equipo como objetivo de seguridad. - Usa
multidisciplinario. - Comprende los muchos documentos anexos para
procesos de análisis y gestión de llevar a cabo el proceso de
riesgos. - Involucra a todo el análisis de riesgos, lo que la hace
OCTAVE
personal de la entidad. - Se considera tediosa, complicada de entender. -
de las más completas, ya que Requiere de profundos
involucra como elementos de su conocimientos técnicos. - No
modelo de análisis: procesos, activos explica en forma clara la
y dependencias, recursos, definición y determinación de los
vulnerabilidades, amenazas y activos de información
salvaguardas.
• Tiene una aplicabilidad • Hay que pagar el costo de la
internacional. licencia adicionalmente al costo
NIST 800-30
• Facilita también la certificación de la implementación del análisis
ISO17999 y del mantenimiento.
• Maneja varios niveles de valoración
de impacto y riesgo lo cual es bueno
• Hay que pagar el costo de la
para empresas en donde se están
licencia adicionalmente al costo
CRAMM conociendo su infraestructura
de la implementación del análisis
• Se puede aplicar a nivel
y del mantenimiento.
internacional en la versión CRAMM
5.1
 • Tiene una gran cantidad de
herramientas para la aplicabilidad
• Facilita la certificación BS 7799 e
ISO 17999
• Usa un modelo de análisis de riesgos La recomendación de los
MEHARI
cualitativo y cuantitativo
- Posee diferentes herramientas
CORAS de apoyo para el análisis de riesgos,
un editor gráfico para soportar la
elaboración de los modelos basado
en Microsoft Visio y utiliza lenguaje como los procesos y las
gráfico basado en UML.
• Sólo toma en cuenta los principios
de confidencialidad, integridad y
disponibilidad de la información
como objetivos de seguridad,
dejando a un lado el no repudio. -
controles no la incluye dentro del
análisis de riesgos sino en la
gestión de los riesgos. - La
estimación del impacto se realiza
en el proceso de gestión y
evaluación de riesgos
- No realiza análisis de
riesgos cuantitativos.
• No tiene contemplados elementos
dependencias.

- Provee un repositorio de
paquetes de experiencias
reutilizables.

- Provee un reporte de las

vulnerabilidades encontradas.

- Útil en el desarrollo y
mantenimiento de nuevos sistemas.

• Basada en modelos de riesgos de

sistemas de seguridad críticos.
- Ayuda a las organizaciones a - Se constituye como
tener mayor reconocimiento en sus una herramienta de
EBIOS actividades de seguridad ya que soporte
tiene compatibilidad con las normas
Su ámbito de internacionales como la ISO.
aplicación es
utilizado en el - Es una herramienta de
sector público negociación y de arbitraje.
y el sector
privado. - Es utilizada para múltiples
finalidades y procedimientos de
seguridad.
 - Herramienta de código libre
reutilizable.

- Posee una base de

conocimiento que describe tipos de
entidades, métodos de ataque,
vulnerabilidades, objetivos y
requerimientos de seguridad.
COBIT 5 - Proporciona las mejores prácticas
y herramientas para monitorear y
Busca evaluar gestionar las actividades de IT.
el estado en -
que se - protege los 3 pilares de la
encuentran las seguridad informática
TI en la disponibilidad , integridad ,
empresa confidencialidad
No existe en la bibliografía
resultados de la experiencia
práctica de los países en la
implementación de este modelo
que lo hagan medible.
Se requiere un cambio de cultura
en las personas que hacen el
servicio (cambiar las formas de
pensar de las personas).

Se pierde mucho tiempo

reduciendo costos y mejora en la
entrega de los servicios.

4. El estudiante elabora cuadro de dominios, objetivos y controles de la norma ISO/IEC

27002:2013.

Dominios Objetivos Controles

Brindar orientación y apoyo
5.1.1. Definir un conjunto de políticas para
por parte de la dirección para
Dominio 5 la seguridad de la información.
la seguridad de la
Políticas de 5.1.2. Revisión de las políticas para la
información de acuerdo con
Seguridad de la seguridad de la información.
los requisitos del negocio,
Información
con las leyes y las
reglamentaciones.
6.1.1. Roles y responsabilidades para la
6.1. Establecer el marco de seguridad de la información.
referencia de gestión para 6.1.2. Segregación de funciones.
iniciar y controlar la 6.1.3. Contacto con las autoridades.
Dominio 6
implementación y la 6.1.4. Contactos con grupos de interés
Organización de
operación de la seguridad de especial.
la seguridad de
la información. 6.1.5. Seguridad de la información en la
la información.
gestión de proyectos.
6.2. Dispositivos móviles y 6.2.1. Política de dispositivos móviles.
teletrabajo. 6.2.2. Teletrabajo.
 7.1. Antes de asumir el 7.1.1. Selección se deben verificar los
empleo deben asegurar que antecedentes de los candidatos.
los empleados y contratistas 7.1.2. Términos y condiciones del empleo,
comprendan sus en estos con empleados y contratistas deben
responsabilidades. establecerse sus responsabilidades con la
seguridad de la información.
7.2. Asegurarse de que los 7.2.1. Responsabilidades de la dirección,
Dominio 7 empleados y contratistas debe exigir a todos los empleados que
Seguridad del tomen conciencia de sus tomen conciencia en sus responsabilidades
Recurso responsabilidades de y las cumplan.
Humano seguridad de la información. 7.2.2. Toma de conciencia, educación y
formación en la seguridad de la
7.3. Terminación y cambio información.
del empleo, se deben 7.2.3. Procesos disciplinarios.
proteger los intereses de la 7.3.1. Responsabilidades en la terminación
organización como parte del y cambio de empleo.
proceso de cambio o
terminación del empleo.
8.1.1. Inventario de activos.
8.1.Responsabilidad por los
activos, se deben
8.1.2. Propiedad de los activos.
identificar los activos y
8.1.3. Uso aceptable de los activos
las responsabilidades de
Dominio 8. 8.1.4. Devolución de activos
protección apropiadas.
Gestión de 8.2.1. Clasificar la información
Activos 8.2.2. Etiquetar la información
8.2.Clasificación de la
8.2.3. Manejo de los activos.
información.
8.3.1. Gestión de medios removibles
8.3.2. Disposición de medios removibles.
8.3.Manejo de Medios
8.3.3. Transferencia de medios físicos
9.1.1. Política de control de acceso
9.1.2. Acceso a redes y Servicios de red.
9.2.1. Registro y cancelación de registros de
usuarios.
9.1. Requisitos del negocio 9.2.2. Suministro e acceso de usuarios.
para el control de acceso. 9.2.3. Gestión de derechos de accesos
privilegiados.
9.2. Gestión de accesos de 9.2.4. Gestión de información secreta para
Dominio 9 usuarios. la autenticación de usuarios.
Control de 9.2.5. Revisión de derechos de accesos de
Acceso 9.3. Responsabilidades de usuarios.
los usuarios 9.2.6. Retiro de derechos de acceso.
9.3.1 Uso de información secreta para la
9.4 Control de acceso a autenticación
sistemas y aplicaciones 9.4.1. Restricción de acceso a la
información.
9.4.2. Procedimiento de ingreso (log on)
seguro
9.4.3. Sistema de gestión de contraseñas.
 9.4.4. Uso de programas utilitarios
privilegiados.
9.4.5. Control de acceso a códigos fuente de
programas.

10.1.1. Política de uso de controles

Dominio 10. 10.1. Controles criptográficos
Criptografía. criptográficos 10.1.2. Gestión de llaves

11.1.1. Perímetro de seguridad física

11.1.2. Controles de accesos físicos
11.1.3. Seguridad de oficinas, recintos e
instalaciones.
11.1.4. Protección contra amenazas
externas y ambientales.
11.1.5. Trabajo en áreas seguras
11.1.6. Áreas de despacho y carga.
11.2.1. Ubicación y protección de equipos.
11.1. Áreas Seguras
Domino 11. 11.2.2. Servicios de suministro
Seguridad Física 11.2.3. Seguridad del cableado.
11.2. Equipos
y del entorno 11.2.4. Mantenimiento de equipos.
11.2.5. Retiro de activos
11.2.6. Seguridad de equipos y activos fuera
de las instalaciones.
11.2.7. Disposición segura o reutilización
de equipos
11.2.8. Equipos de usuarios desatendidos.
11.2.9. Política de escritorio limpio y
pantalla limpia.

12.1. Procedimientos 12.1.1. Procedimientos de operación de

operacionales y documentos
responsabilidades. 12.1.2. Gestión de cambios
12.1.3. Gestión de capacidad
12.2. Protección contra 12.1.4. Separación de los ambientes de
códigos maliciosos desarrollo, pruebas y producción.

12.3. Copias de respaldo 12.2.1. Controles contra códigos

Dominio 12.
maliciosos.
Seguridad de las
12.4. Registro Loggin y 12.3.1. Respaldo de la información
operaciones.
Seguimiento 12.4.1. Registro de eventos
12.4.2. Protección de la información de
12.5. Control de software registro (log information)
operacional 12.4.3. Registros (logs) del administrador y
el operador.
12.6. Gestión de la 12.4.4. Sincronización de relojes.
vulnerabilidad técnica 12.5.1. Instalación del software en sistemas
operativos (Operational System)
 12.7. Consideraciones sobre 12.6.1. Gestión de las vulnerabilidades
auditorias de sistemas de técnicas.
información. 12.6.2. Restricciones sobre la instalación de
software.
12.7.1. Controles sobre
13.1.1. Controles de redes
13.1.2. Seguridad de os servicios de red
13.1.3. Separación de redes
13.1. Gestión de la seguridad 13.2.1. Políticas y procedimientos de
Dominio 13
en redes. transferencia de información.
Seguridad de las
13.2.2. Acuerdos sobe transferencia de
comunicaciones
13.2. Transferencia de información
información 13.2.3. Mensajería electrónica
13.2.4. Acuerdos de confidencialidad y no
divulgación

14.1.1. Análisis y especificaciones de

requisitos de seguridad de la información
14.1.2. Seguridad de servicios de las
aplicaciones en redes públicas
14.1.3. Protección de transacciones de los
servicios de aplicaciones
14.2.1. Política de desarrollo seguro.
14.1. Requisitos de
14.2.2. Procedimientos de control de
seguridad de los sistemas de
cambios en sistemas
Dominio 14 información
14.2.3. Revisión técnica de las aplicaciones
Adquisición,
después de cambios en las plataformas de
desarrollo y 14.2. Seguridad en los
operación
mantenimiento procesos de desarrollo y de
14.2.4. Restricciones en cambios de los
de sistemas soporte
paquetes de software
14.2.5. Principios de construcción de
14.3. Datos de prueba
sistemas seguros.
14.2.6. Ambiente de desarrollo seguro
14.2.7. Desarrollo contratado externamente
14.2.8. Pruebas de seguridad de sistemas
14.2.9. Prueba de aceptación de sistemas
14.3.1. Producción de datos de prueba

15.1.1. Política de seguridad de la

información para las relaciones con
15.1. Seguridad de la
proveedores
información en las
15.1.2. Tratamiento de la seguridad dentro
Dominio 15. relaciones con proveedores
de los acuerdos con proveedores.
Relaciones con
15.1.3. Cadena de suministro de tecnología
los proveedores 15.2. Gestión de la
de información y comunicación.
prestación de servicios de los
proveedores.
15.2.1. Seguimiento y revisión de los
servicios de proveedores.
 15.2.2. Gestión de cambios de los servicios
de proveedores.

16.1.1. Responsabilidades y procedimientos

16.1.2. Reporte de eventos de seguridad de
la información
16.1.3. Reporte de debilidades de seguridad
Dominio 16. de la información
Gestión de 16.1. Gestión de incidentes y 16.1.4. Evaluación de eventos de seguridad
incidentes de mejoras de la seguridad de la de la información y decisiones sobre ellos.
seguridad de la información 16.1.5. Respuesta de incidentes de
información seguridad de la información.
16.1.6. Aprendizaje obtenido de los
incidentes de seguridad de la información.
16.1.7. Recolección de evidencia

17.1.1. Planificación de la continuidad de la

seguridad de la información.
Domino 17. 17.1.2. Implementación de la continuidad
Aspectos de de la seguridad de la información
17.1. Continuidad de la
seguridad de la 17.1.3. Verificación, revisión y evaluación
seguridad de la información.
información de de la continuidad de la seguridad de la
la gestión de la información.
17.2. Redundancias
continuidad del
negocio 17.2.1. Disponibilidad de instalaciones de
procesamiento de información.

18.1.1. Identificación de la legislación

aplicable y de los requisitos contractuales.
18.1.2. Derechos de propiedad intelectual
18.1.3. Protección de registros.
18.1.4. Privacidad y protección de
18.1. Cumplimiento de
información de datos personales.
requisitos legales y
18.1.5. Reglamentación de controles
Dominio 18. contractuales.
criptográficos.
Cumplimiento
18.2. Revisiones de
18.2.1. Revisión independiente de a
seguridad de la información.
seguridad de la información
18.2.2. Cumplimiento con las políticas y
normas de seguridad
18.2.3. Revisión de cumplimiento técnico

5. El estudiante define la importancia de la articulación de controles y sus tipos, diferencia entre

estándares, directrices, procedimientos, políticas y normas para el SGSI.
Articulación de controles y sus tipos: Dentro de la norma ISO27001 y 27002 existen los controles
respectivos para la implementación del sistema de gestión, y estos controles tienen diferentes tipos de
acuerdo a su aplicabilidad en los activos de la organización, es decir existen controles para el recurso
humano, los equipos de cómputo, las redes de datos, los programas o sistemas de información entre
otros, y esto debe tener una articulación ya que para el desarrollo de estos controles deben existir unos
responsables los cuales deben implementar unas actividades las cuales deben quedar consignadas en
informes de actividades y gestión de resultados.

Cuando hablamos de articulación de los controles y sus tipos es importante tener en cuenta que esto
tiene directa relación con la aplicabilidad y para esto el siguiente cuadro presenta aspectos que son
indispensables para que esta articulación y la aplicabilidad des un éxito en el proceso del SGSI.

Normas para
Estándares Directrices Procedimientos Políticas
el SGSI
Es también llamado es una
normalización y se actividad
define como el orientada en
Una directriz
proceso de elaborar, forma Como normas
es una norma
aplicar y mejorar las ideológica a la para el SGSI
o una
normas que se toma de están reunidas
instrucción
aplican a distintas decisiones de en todas las
que se tiene
actividades un grupo para normas que
en cuenta
científicas, Son el conjunto alcanzar contiene la
para realizar
industriales o de acciones u ciertos 27000.
una cosa.
económicas, con el operaciones que objetivos.
También se
fin de ordenarlas y tienen que También Una norma es
trata de
mejorarlas. realizarse de la puede definirse una regla que
aquello que
misma forma, como una debe ser
fija cómo se
También es para obtener manera de respetada y
Diferencias

producirá
conocido como el siempre el mismo ejercer el que permite
algo. Las
proceso de formular resultado bajo las poder con la ajustar ciertas
directrices,
y aplicar reglas, mismas intención de conductas o
por lo tanto,
para una circunstancias. resolver o actividades. En
sientan las
aproximación minimizar el el ámbito del
bases para el
ordenada a una choque entre derecho, una
desarrollo de
actividad específica, los intereses norma es un
una actividad
para el beneficio y encontrados precepto
o de un
con la cooperación que se jurídico.
proyecto.
de todos los producen
involucrados. dentro de una
sociedad.
En la práctica
Una directriz
Según la ISO es la consiste en seguir
se dice de
actividad que tiene ciertos pasos
aquello que
por objeto predefinidos para
marca las
establecer, ante desarrollar una
condiciones
problemas reales o labor de manera
 potenciales,
disposiciones genera algo.
destinadas a usos
comunes y
repetidos, con el fin
de obtener un nivel
de ordenamiento
óptimo en un
contexto dado, que
puede ser
tecnológico,
político, o
económico.
6. El estudiante realiza un cuadro comparativo de programas, procesos y políticas de seguridad
informática.
Para el caso de programas la descripción se debe presentar como actividades y no como software.
Programas
Un programa es una forma
específica de llevar a cabo un
proceso o una actividad. Los
programas pueden ser
documentados.
Algunos programas que
podemos encontrar en
algunas normativas son:
• Evaluación
• Planificación
• Documentación
• Organización
• Presentación
• Despliegue
en que se eficaz. Su
objetivo debería
ser único y de
fácil
identificación,
aunque es posible
que existan
diversos
procedimientos
que persigan el
mismo fin, cada
uno con
estructuras y
etapas diferentes,
y que ofrezcan
más o menos
eficiencia.
Políticas de seguridad
Procesos
informática
Un proceso es una secuencia Una Política es una declaración
de pasos dispuesta con algún de alto nivel requerida por todos
tipo de lógica que se enfoca los estándares de mayor
en lograr algún resultado reconocimiento tales como ISO
específico. 9001, ISO 14001 y OHSAS
18001.
Los procesos son mecanismos
de comportamiento que Las políticas:
diseñan los hombres para • Son directrices que debe ser
mejorar la productividad de captada por todos los
algo, para establecer un orden miembros de la empresa.
o eliminar algún tipo de • Esta especificado las normas y
problema. responsabilidades de cada
trabajador
• Son alineamientos que deben
ser seguidas antes de tomar
alguna decisión
• Se pueden implementar en el
logro de los objetivos de la
empresa como estrategias
• Deben ser dictadas por un
nivel jerárquico
 • Se dividen en Políticas
Generales y Políticas
Específicos

7. Solución al componente práctico, al problema planteado en la fase 2 del mismo:

Dentro de la documentación requerida y solicitada para llevar a cabo dicho proceso se ha solicitado:
1. Documento donde se defina el objetivo de negocio:
La organización Seven Team Security SAS es una empresa dedicada al prestar servicios, consultorias
y auditorias en seguridad informática, y como empresa del sectostá obligada a generar la confianza
necesaria en sus clientes, por lo cual despues de un análisis del mercado hemos visto que la
competencia en más o menos 9 empresas importantes del sector ninguna esta certificada en iso 27001,
lo cual es el punto que hace la diferencia en nuetro sector por lo cual esto marca la necesidad grade de
certificarnos.

Como misión y visón Seven tiene los siguiente:

MISION:
Llevar experiencias de seguridad y confianza a todos nuestros clientes, con SOLUCIONES,
PRODUCTOS y SERVICIOS de alta calidad y con la garantía que tendrá en SEVEN TEAM
SECURITY un equipo de apoyo en eventos de seguridad y un aliado real para su negocio. Además
somos garantes del crecimiento personal de nuestros colaboradores y de los rendimientos financieros
para nuestros socios, manteniendo una actitud permanente de cuidado por el medio ambiente y la
calidad de vida de nuestro personal.
VISION
Seremos para el 2022 una compañía reconocida en el Valle del Cauca y el Sur Occidente Colombiano
por nuestro liderazgo y calidad en servicios de Investigación Digital, Servicios Forenses, Recuperación
de Datos, Borrado Seguro, Protección de Datos Personales y La Identificación y Tratamiento de
MALWARE Y RANSOMWARE en todos nuestros clientes; seremos identificados como un grupo de
EXPERTOS en ATENCIÓN Y SOLUCIÓN DE EVENTOS DE SEGURIDAD.

2. Una vez realizado lo anterior y respondiendo a ese objetivo de negocio, se solicita establecer
un posible alcance que abarque (procesos involucrados, ubicaciones incluidas, etc.) y de esta
forma justificar el SGSI en la empresa.
Para la gestión de la certificación y basados en los alcances de la organización hemos decidido que
vamos a certificar los procesos están en directa relación con los clientes y las ventas, como son el área
operativa y de seguridad y el área comercial y de mercadeo.
Sabemos que esto asegurara la confianza y nos dejara muchas oportunidades en la consecución de
contratos con empresas grandes de los sectores que nos interesan, como son Financiero cooperativas,
salud y educación.
El resultado del informe entregado tras pasar la pre-auditoría, se detectaron e identificaron deficiencias
en los siguientes controles:
1. Roles y responsabilidades en seguridad de la información
No se tienen definidas las capacidades necesarias para desempeñar los roles de la organización, en
especial para el responsable de seguridad. De igual forma no se tiene identificados los activos y su
responsable que garantice su protección.
Solución: Para este punto se tendrá el apoyo del área de RRHH el cual nos dará las directrices para la
creación y construcción de las roles y perfiles de los funcionarios y desde la seguridad de la
información nos basaremos en el Dominio 6. en su punto 6.1.1 organización interna en roles y
responsabilidades para la seguridad de la información.
2. Concienciación, educación y capacitación en seguridad de la información.
No existe un programa de capacitación para los grupos técnicos respecto a los procedimientos que se
deben seguir y/o cumplir, ni se realizan cursos de concienciación globales en temas de seguridad de la
información.
Solución: Teniendo en cuenta que las áreas involucradas son las de operativo y seguridad y las de
mercadeo y ventas tomamos inicialmente a todos estos funcionarios y los involucraremos en un pan
de capacitación en temas de seguridad de la información, ciber seguridad alineándonos al dominio. 7
en su punto 7.2.2 donde se debe tomar conciencia de la educación y capacitación en el tema.
3. Clasificación de la información.
No se ha establecido y definido un sistema de clasificación de la información para la protección de la
misma.
Solución: El dominio a alinear será: 8 de gestión de activos en su numeral 8.2.1 que habla de la
clasificación de la información en la seguridad de la información. Con planes de identificación de los
datos de cada equipo generando inventarios liderados por lo directores de área en todos los
computadores y archivos físicos de la empresa. basados en estos inventarios se darán las categorías
respectivas y se sacara un acta.
4. Política de control de acceso.
Se detectó que existe acceso global por parte de todos los usuarios a las principales aplicaciones de
negocio de la entidad.
Solución: El dominio que se usará ser ale 5: en la creación de las políticas respectivas, su numeral
5.1.1 de seguridad de la información en las políticas y 9 en la gestión de acceso en el numeral 9.1,1,
de la creación de la política específica para este dominio cuando vemos que en las pruebas se ha logrado
llegar a tener accesos en los recursos compartidos como carpetas de algunas máquinas de la parte
contable y administrativa.
 REFERENCIAS

Luis Gómez Fernández, and Ana Andrés Álvarez, AENOR - Asociación Española de Normalización y
Certificación, 2012-01-01, Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad
en sistemas de información para pymes.
Abraham Mogollón, Análisis Comparativo: Metodologías de análisis de Riesgos, recuperado de:
https://www.academia.edu/14195886/An%C3%A1lisis_Comparativo_Metodolog%C3%ADas_de_an%C
3%A1lisis_de_Riesgos
Ramiro Cid, Análisis de Riesgos, recuperado de: https://es.slideshare.net/RamiroCid/anlisis-de-riesgos-
26199990
La normalización o estandarización, recuperado de: https://es.wikipedia.org/wiki/Normalizaci%C3%B3n
El procedimiento, concepto recuperado de: https://es.wikipedia.org/wiki/Procedimiento y recuperado de:
https://definicion.de/procedimiento/
Procesos del SGSI, recuperado de: https://www.gb-advisors.com/es/6-pasos-para-implementar-sgsi/
Gestión de riesgos organizacionales con iso31000, recuperado de: https://www.isotools.org/pdfs-
pro/ebook-iso-31000-gestion-riesgos-organizaciones.pdf?_hsenc=p2ANqtz-8fGjSJB5wNPn9ayOF-
fHHNJZeVOzby4CAj5Op4XTBIyqAfj-
eX6f3drEonaU9N7moQQMVnA77aEW6DMZ5MMiBYgoxHmg&_hsmi=25816197
Helena Alemán Novoa, C. R. (s.f.). http://hemeroteca.unad.edu.co. Obtenido de
http://hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/view/1435/1874
Jimenez, D. P. (24 de abril de 2016). blog.davidpachecojimenez.com/. Obtenido de
https://blog.davidpachecojimenez.com/niveles-de-seguridad-informatica-orange-book/
Kosutic, D. (s.f.). advisera.com. Obtenido de https://advisera.com/27001academy/es/knowledgebase/lista-
de-documentos-obligatorios-exigidos-por-la-norma-iso-27001-revision-2013/
MINEDUCACIÓN. (s.f.). www.mineducacion.gov.co. Obtenido de
https://www.mineducacion.gov.co/1759/articles-322548_Manual_de_Seguridad_Informatica_.pdf
Plataforma educativa aragonesa. (2016). http://e-ducativa.catedu.es/. Obtenido de http://e-
ducativa.catedu.es/44700165/aula/archivos/repositorio/1000/1063/html/31_polticas_de_seguridad.html