SISTEMA DE GESTION DE SEGURIDAD

(233003A_614)

Escenario problema 1 - fase 2: Cumplimiento de la norma ISO/IEC 27001 y 27002.

CRISTIAN GÓMEZ RAVELO

DUVN ESTEBAN URREGO

Director EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS, TECNOLOGÌA E INGENIERÌA
ESPECIALIZACION
 OCTUBRE 2019

CONTENIDO

ACTIVIDAD ................................................................................................................. 3
INTRODUCCION ........................................................................................................ 4
MISION ....................................................................................................................... 4
VISION ........................................................................................................................ 4
OBJETIVO del NEGOCIO ........................................................................................... 5
JUSTIFICACIÓN EN LA IMPLEMENTACIÓN DEL SGSI ........................................... 6
ALCANCE ................................................................................................................... 7
BIBLIOGRAFÍA ........................................................................................................... 9
ACTIVIDAD

Dentro de la documentación requerida y solicitada para llevar a cabo dicho proceso se ha

solicitado:

1. Documento donde se defina el objetivo de negocio que justifique la necesidad de realizar

un SGSI dentro de la empresa u organización. De igual forma se debe contextualizar la
actividad de la compañía (mediante una introducción, explicando su misión y visión) y se
debe justificar cómo el SGSI sustentaría dicho objetivo (beneficio, alineación con los
objetivos estratégicos de la empresa).
2. Una vez realizado lo anterior y respondiendo a ese objetivo de negocio, se solicita
establecer un posible alcance que abarque (procesos involucrados, ubicaciones incluidas,
etc.) y de esta forma justificar el SGSI en la empresa.
INTRODUCCION

La Empresa QWERTY S.A. es una empresa del sector tecnológico que busca el desarrollo
tecnológico en comunidades colombianas a través del uso de Tecnologías de información.
Adicionalmente QWERTY SA ofrece soluciones concretas para lograr la mayor
productividad informativa con los costos más pequeños, optimizando el presupuesto
disponible.

Gracias a la experiencia de varios años de los miembros del personal en la gestión de

pequeñas y medianas empresas y a un profundo conocimiento de las últimas TIC, Qwerty
SA puede analizar procesos de negocios, sugerir soluciones y desarrollar estrategias.

Actualmente cuenta con 120 colaboradores entre directivos, administrativos y operativos.

MISION
Mantener con eficiencia, efectividad y calidad total el liderazgo como la mejor Compañía
de Servicios tecnológicos en Colombia; con el fin de satisfacer las necesidades de cada uno
de nuestros clientes ofreciéndoles soluciones seguras, confiables y con los más altos
estándares de calidad.

VISION

Para el año 2025 seremos una empresa líder en el sector tecnológico, caracterizándonos por
ser un referente en el mercado por la calidad en la prestación de servicios, enfocándonos en
la satisfacción de nuestros clientes a través de la adopción de tecnologías con los más altos
estándares de calidad internacional, pero sin olvidar el componente humano, pieza
fundamental para el crecimiento de nuestra organización
OBJETIVO DEL NEGOCIO

Diseñar un Sistema de Gestión de la Seguridad de la información, bajo la norma ISO/IEC

27001 en la Empresa QWERTY S.A para establecer un control interno de la información
en cada una de las áreas que la conforman.

ESPECIFICOS

 Aumentar el nivel de competencia, entrenamiento, capacitación y experiencia

apropiada del personal acorde a los requisitos del servicio, los peligros y aspectos
identificados.
 Mejorar la competitividad de la empresa y conseguir una posición de Liderazgo
permanente
 Suministrar a la empresa los recursos humanos y técnicos apropiados para el
cumplimiento del desarrollo del SGSI
 Incrementar las acciones de mejoramiento de nuestros procesos con el fin de
optimizarlos
JUSTIFICACIÓN EN LA IMPLEMENTACIÓN DEL SGSI

El diseño de un SGSI permitirá que la empresa pueda identificar, gestionar y disminuir los
riesgos reales y potenciales de la seguridad de la información en la entidad, de una forma
organizada, documentada, sistematizada, eficiente y acondicionada a los cambios que se
puedan generar en los riesgos.
El diseño de un SGSI permitirá a la empresa QWERTY S.A pueda identificar, gestionar y
disminuir los riesgos reales y potenciales de la seguridad de la información en la entidad, de
una forma organizada, documentada, sistematizada, eficiente y acondicionada a los
cambios que se puedan generar en los riesgos. El diseño del sistema bajo la norma ISO
27001 tiene como objetivo asegurar que la empresa pueda mantener su integridad,
confidencialidad y disponibilidad de la información teniendo en cuenta que es un modelo
efectivo para administrar la seguridad de la información.
2. Una vez realizado lo anterior y respondiendo a ese objetivo de negocio, se solicita
establecer un posible alcance que abarque (procesos involucrados, ubicaciones incluidas,
etc.) y de esta forma justificar el SGSI en la empresa.

ALCANCE

Implementación del SGSI basado en la Gestión de la Seguridad de la Información que

soportan las actividades de los procesos críticos para la empresa; incluye el área
administrativa y de desarrollo.
El diseño del SGSI bajo la norma ISO 27001 tiene como objetivo asegurar que la empresa
pueda mantener su integridad, confidencialidad y disponibilidad de la información teniendo
en cuenta que es un modelo efectivo para administrar la seguridad de la información.
El resultado del informe entregado tras pasar la pre-auditoría, se detectaron e identificaron
deficiencias en los siguientes controles:

1. ROLES Y RESPONSABILIDADES EN SEGURIDAD DE LA INFORMACIÓN

Con el fin de dar cumplimiento a los procesos de certificación todo el equipo QWERTY es
responsable de la seguridad de la información. Adicionalmente se asignarán los siguientes
roles con las respectivas responsabilidades específicas dentro de un SGSI.
Rol Responsabilidad
Coordinar la gestión de riegos de acuerdo con la periodicidad
establecida, incluye la actualización de amenazas,
vulnerabilidades y riesgos en los activos críticos e información
sensible.
Vigilar el seguimiento a las no conformidades, el estado de las
acciones correctivas, además de las quejas reclamos y
Líder de seguridad de sugerencias sobre la seguridad digital.
la información Organizar las reuniones del comité de seguridad digital y/o
convocar a comité extraordinario cuando las circunstancias o
uno de sus miembros lo requieran, con motivo de riesgo mayor
para la institución.
Informar a la Alta Dirección sobre el desempeño del sistema
de gestión de seguridad de la información y de cualquier
necesidad de mejora.
Coordinar la administración, configuración de los recursos
informáticos dentro de la plataforma tecnológica de seguridad.
Participar en la elaboración del cronograma de capacitación de
seguridad digital en la entidad.
Director de TI Implementar las mejorar identificadas en la plataforma de
seguridad que estén relacionadas con hardware, software,
canales de comunicaciones de datos o infraestructura TI.
Identificar y reportar riesgos, eventos o incidentes de
ciberseguridad a través de los canales definidos
Cumplir con la política de seguridad de la información
aprobada por el comité de seguridad de la información.
Clasificar los activos de información siguiendo la
Propietario de los metodología de identificación y clasificación de activos
activos de información aprobada por el responsable del funcionamiento del SGSI
Definir los requerimientos de seguridad de los activos de
información en relación con su confidencialidad, integridad y
disponibilidad
 Informar los requerimientos y controles requeridos por los
activos de información a los custodios y usuarios de los
activos de información
Dueño de procesos Apoyar la identificación de los activos de información que
intervienen en el proceso correspondiente.
Validar los activos de información identificados junto con las
características básicas de cada uno de ellos.
Apoyar y validar la identificación y designación de los
propietarios de los activos de información de su proceso
Utilizar los activos de información exclusivamente para el
desempeño de sus funciones y obligaciones dentro y fuera de
Colombia Compra Eficiente.
Usuario de la
Preservar la seguridad de la información utilizada en el
información
desempeño de sus funciones y obligaciones
Procurar el buen manejo de todos los activos, buscando
protegerlos en relación con los principios de seguridad.

2. CONCIENCIACIÓN, EDUCACIÓN Y CAPACITACIÓN EN SEGURIDAD DE

LA INFORMACIÓN.
Con el fin de dar cumplimiento a la normativa todos los empleados de QWERTY y donde
sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado
del conocimiento y actualizaciones regulares en políticas y procedimientos
organizacionales como sean relevantes para la función de su trabajo.
Por lo anterior se identificaron algunas necesidades en la compañía QWERTY el resultado
de identificar estas necesidades, es la justificación que tendremos para implementar el plan
de Concienciación.
Rol Necesidad
Estas personas por su cargo y rol que desempeñan dentro de la
compañía deben conocer y entender las leyes y directivas que
forman la base del programa de seguridad, también deben
Alta gerencia
comprender el liderazgo que su rol tiene y que son el ejemplo
para seguir de todas las demás unidades organizacionales.

Son los asesores expertos en seguridad, por ende, deben tener

Líder de seguridad de un amplio conocimiento y estar bien preparados y actualizados
la información en políticas de seguridad y buenas prácticas en todo el ámbito
de la seguridad informática.
Dueño de procesos y Estos por el rol y entendimiento que tienen en cada uno de los
sistemas procesos y sistemas que rigen en la compañía deben entender
bien las políticas de seguridad, así como también conocer
sobre los controles de seguridad y la relación que tienen con
los procesos y sistemas que manejan
 Personal de soporte EL trabajo realizado por el personal de soporte debe estar
alineado a las políticas de seguridad de la compañía por lo
tanto estos funcionarios deben tener un buen nivel de
preparación a nivel técnico de seguridad (implementación y
prácticas de seguridad efectivas) para soportar las operaciones
críticas del Entidad de manera apropiada.
Ya que este rol puede llegar a ser el eslabón más débil de la
compañía requieren de un alto grado de sensibilización sobre
Usuario final
la seguridad y las reglas de comportamiento adecuadas con los
sistemas que tienen a disposición

Tenido en cuenta las necesidades dentro de la compañía se realizará la contratación de una

plataforma de sensibilización que nos permite llevar a cabo la concienciación, educación y
capacitación de todos los roles y personal involucrado en la compañía, por medio de
materiales de entrenamiento que se listan a continuación:
Entrenamiento A Través De Video Interactivo: Este método nos permitirá tener un
entrenamiento distancia y al mismo tiempo permite la interacción con el instructor.
Entrenamiento Web: La plataforma contratada es totalmente web lo que permite a su vez
de disponer el material necesario, realizar pruebas y mediciones que serán entregadas al
personal correspondiente con el fin de tener un control sobre el entrenamiento de cada
usuario. Esta plataforma también nos permite que los usuarios se conecten en horarios
diferentes y desde el lugar donde se encuentren.
Entrenamiento En Sitio (Presencial): Dentro de la contratación realizada se asignaron
algunas horas con el fin de realizar charlas presenciales con personal profesional de
seguridad, estas charlas son orientadas según las necesidades de cada uno de los roles
identificados dentro de la compañía.
3. CLASIFICACIÓN DE LA INFORMACIÓN.

No se ha establecido y definido un sistema de clasificación de la información para la

protección de esta.

4. POLÍTICA DE CONTROL DE ACCESO.

Se detectó que existe acceso global por parte de todos los usuarios a las principales
aplicaciones de negocio de la entidad.
Lo anterior, es de gran importancia para cada uno de estos controles que se han identificado
proponer acciones de mejora que permitan cumplir con la norma. Si en alguno de ellos
considera necesario hacer exaltaciones o modificaciones sobre otros controles, éstas deben
estar debidamente justificadas.

Criterios de evaluación

Se valorará positivamente las referencias de las normas ISO/IEC 27001 y 27002 propuesta
en el desarrollo del trabajo. Es necesario indicar claramente qué epígrafe concreto sustenta
lo escrito.
 BIBLIOGRAFÍA

iso27000.es. (2005). ISO 27002 - Controles de seguridad. Recuperado el 26 de 08 de 2019,

de http://www.iso27000.es/iso27002.html
Machado, A. A. (s.f.). Recuperado el 14 de 09 de 2019, de
Rico, J. C. (s.f.). Gestión de la Seguridad. Recuperado el 13 de 09 de 2019, de
https://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/GestionDeLaSe
guridad.pdf
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre
el que se construye ISO 27001. Fuente:
http://www.iso27000.es/download/doc_sgsi_all.pdf
CUEVAS, M. (2011). AMPLIAR EL ALCANCE DEL SISTEMA DE GESTION DE LA
CALIDAD PARA LA PRESTACION DE SERVICIOS DE SEGURIDAD DE LA
INFORMACIÓN EN LA EMPRESA DSC. Retrieved 6 October 2019, from
https://repository.unilibre.edu.co/bitstream/handle/10901/9899/Monografia.pdf?sequence=
1&isAllowed=y
Bojorque, R. (2015). laboración de un Plan de Implementación de la ISO/IEC 27001:2013.
Retrieved 6 October 2019, from
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/40412/7/rbojorqueTFM0115memor
ia.pdf