Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
VICERRECTORÍA ACADÉMICA
ÁREA DE INFORMÁTICA
SUSTENTANTES
SALIANNY CORPORAN
JUNORKY MIESES
EMILIO J. HERNÁNDEZ
ASESOR
MTRA. RUTH SANTANA
VICERRECTORÍA ACADÉMICA
ÁREA DE INFORMÁTICA
SUSTENTANTES
ASESOR
MTRA. RUTH SANTANA
INTRODUCCIÓN ......................................................................................................... 5
CAPÍTULO I
ESTADO DEL ARTE
1.1 Antecedentes Históricos......................................................................................... 7
1.1.1 Empresa MEDTRONIC (historia) ...................................................................... 10
1.3 Antecedentes de investigación. ............................................................................ 14
1.4 Antecedentes bibliográficos ................................................................................. 16
1.5 Planteamiento y formulación del problema .......................................................... 18
1.6 Justificación.......................................................................................................... 23
1.7 Objetivos: general y específicos........................................................................... 27
CAPÍTULO II.
MARCO TEÓRICO CONCEPTUAL
Marco Conceptual ...................................................................................................... 28
CAPÍTULO III
ASPECTOS METODOLÓGICOS
3.1 Métodos ............................................................................................................... 31
3.2 Tipo de investigación ........................................................................................... 31
3.3 instrumentos de recoleccion de informacion ........................................................ 32
3.4 Fases Metodológicas ........................................................................................... 33
3.5 Población objeto de estudio ................................................................................. 33
3.6 Muestra ................................................................................................................ 33
3.7 Cronograma ......................................................................................................... 35
3.8 Presupuesto ......................................................................................................... 36
BIBLIOGRAFÍA .......................................................................................................... 97
ANEXOS .................................................................................................................. 108
INTRODUCCIÓN
Hoy en día, la información está definida como uno de los activos más valiosos y
primordiales para cualquier tipo de organización, la cual, sólo tiene sentido cuando
está disponible y es utilizada de forma adecuada, integra, oportuna, responsable y
segura, lo que implica, que es necesario que las organizaciones tengan una
adecuada gestión de sus recursos y activos de información con el objetivo de
asegurar y controlar el debido acceso, tratamiento y uso de la información.
5
información a través de los cuales se gestiona la información del negocio,
independientemente si está es de carácter organizacional o personal, o de tipo
pública o privada.
En la medida que las organizaciones tenga una visión general de los riesgos que
pueden afectar la seguridad de la información, podrán establecer controles y
medidas efectivas, viables y transversales con el propósito de salvaguardar la
integridad, disponibilidad y confidencialidad tanto de la información del negocio como
los datos de carácter personal de sus empleados y usuarios.
6
CAPÍTULO I
ESTADO DEL ARTE
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía
con una norma tan conocida como ISO 9001, como el sistema de calidad para la
seguridad de la información. Garantizar un nivel de protección total es virtualmente
imposible, incluso en el caso de disponer de un presupuesto ilimitado.
Estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la
seguridad de la información:
1
Sistema de Gestión de la Seguridad de la Información:, consulado en fecha 20/12/2018, disponible en:
http://www.iso27000.es/download/doc_sgsi_all.pdf
7
Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término se
usa también en otros ámbitos. Sería el documento que inspira y dirige todo el
sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de
forma eficaz la planificación, operación y control de los procesos de seguridad de la
información.
Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cómo se realizan
las tareas y las actividades específicas relacionadas con la seguridad de la
información.
8
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de
los requisitos del SGSI; están asociados a documentos de los otros tres niveles como
output que demuestra que se ha cumplido lo indicado en los mismos. De manera
específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio).
9
Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de
evaluación anteriormente mencionada a los activos de información de la
organización.2
Medtronic fue fundada en 1949 como un taller de reparación de equipos médicos por
EarlBakken y su cuñado, Palmer Hermundslie. ¿Era la intención de estos dos
hombres cambiar la tecnología médica y la vida de millones de personas? No, pero
les guiaba un propósito moral y la motivación personal de usar su conocimiento
científico y sus capacidades empresariales para ayudar a los demás.
A lo largo de los años hemos desarrollado otras tecnologías clave, entre ellas los
dispositivos mecánicos implantables, los dispositivos de liberación de fármacos, así
como instrumental quirúrgico eléctrico.Hoy en día nuestras tecnologías se utilizan
para tratar cerca de 40 trastornos médicos.
La referida empresa en marzo del 2018, inauguró su nueva planta en San Isidro, la
cual cuenta con un total de 450 empleados. El ministro Administrativo de la
Presidencia, José Ramón Peralta; Geoff Martha, ejecutivo de Medtronic; el
presidente Danilo Medina; la ministra de Educación Superior, Ciencia y Tecnología,
2
Sistema de Gestión de la Seguridad de la Información (pág. 5): consulado en fecha 20/12/2018, disponible en:
http://www.iso27000.es/download/doc_sgsi_all.pdf
10
Alejandrina Germán; y otros ministros y directivos de la empresa inauguraron la
nueva planta.3
Con esta ampliación, en la que se hizo una inversión aproximada de US$46 millones,
la inversión de Medtronic en el país supera los US$160 millones y pasarán de 4,000
los empleos generados en sus ahora cuatro fábricas, según el director de fabricación
de la empresa, Paolo Tolari.
Tolari destacó que esta es una planta de manufactura de última generación, de clase
mundial, en la que se generarán puestos de trabajo en disciplinas laborales como
ingeniería, logística, finanzas, calidad, entre otras.El ejecutivo indicó que con esta
ampliación de sus operaciones la empresa reafirma su confianza en República
Dominicana y manifestó que la calidad de la mano de obra, el alto nivel de
desempeño de los técnicos y profesionales, así como sus valores éticos, han hecho
del país un lugar propicio para hacer negocios.
11
de las exportaciones totales de este sector, así lo destacó la directora ejecutiva del
Consejo Nacional de Zonas Francas de Exportación, Luisa Fernández.
“Actualmente nueve de las treinta empresas más grandes del mundo de la industria
de dispositivos médicos tienen operaciones directas de manufactura en las zonas
francas de República Dominicana, las cuales han realizado inversiones directas por
un valor superior a los US$1,000 millones”, expresó Fernández.4
4
https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/historia.html
12
clientes, con el objetivo de ofrecer resultados de alta calidad para los pacientes,
ampliar el acceso de pacientes a la asistencia sanitaria y reducir los costes en los
sistemas sanitarios de todo el mundo. En 2014, Omar gestionó la adquisición de
Covidien, un fabricante global de productos y suministros quirúrgicos, con un
volumen de facturación de 10 mil millones de dólares. La adquisición de Covidien ha
sido la mayor adquisición en la historia del sector de la tecnología médica.
Omar se unió a Medtronic tras 16 años en General Electric Company, donde ocupó
en los últimos años la posición de Presidente y Consejero delegado de GE
HealthcareSystems. Esta división de GE Healthcare, con un volumen de facturación
de 12 mil millones de dólares, dispone de una amplia cartera de productos de
diagnóstico, imagen diagnóstica, monitorización de pacientes y sistemas de soporte
vital. Omar también desempeñó los cargos de Director y Vicepresidente sénior de
GE.
13
1.3 Antecedentes de investigación.
Además de identificar los riesgos y las medidas de mitigación del riesgo, un método y
proceso de gestión del riesgo ayudará a:
14
Para cumplir con la gestión de riesgos como componente de preparación para la
ciberseguridad, una organización debe crear un sólido programa de evaluación y
gestión del riesgo de la seguridad de la información. Si ya existe un programa de
gestión del riesgo empresarial (ERM),
El siguiente artículo, en base a una investigación realizada por el autor Peter Sulivan
en abril 2017, Gestión de riesgos de seguridad de la información: Comprensión
de los componentes, donde explica que la gestión del riesgo de seguridad de la
información permite a una organización evaluar lo que está tratando de proteger, y
por qué, como elemento de apoyo a la decisión en la identificación de medidas de
seguridad. Una evaluación integral del riesgo de seguridad de la información debería
permitir a una organización evaluar sus necesidades y riesgos de seguridad en el
contexto de sus necesidades empresariales y organizativas. 6
5
https://searchdatacenter.techtarget.com/es/consejo/Gestion-de-riesgos-de-seguridad-de-la-informacion-Comprension-de-los-
componentes
6
Sulivan, Peter (2017). Gestión de riesgos de seguridad de la información: Comprensión de los componentes,
extraído de: https://searchdatacenter.techtarget.com/es/consejo/Gestion-de-riesgos-de-seguridad-de-la-
informacion-Comprension-de-los-componentes
15
1.4 Antecedentes bibliográficos
16
“Guía para Implantar un Sistema de Gestión de Seguridad de Información:
Basada en la Norma ISO/IEC 27001” Por el autor García Gómez, Fernández;
Albarran T Silvia Edith, Silvia Edith Albarrán T., indican que un SGSI (Sistema de
Gestión de Seguridad de la Información) proporciona un modelo para crear,
implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la protección
de los activos de información para alcanzar los objetivos de negocio. La base de un
SGSI reside en, conociendo el contexto de la organización, evaluar los riesgos y fijar
los niveles determinados como adecuados por parte de la Dirección de la
organización para la aceptación de un nivel de riesgo de modo que se puedan tratar
y gestionar los riesgos con eficacia.
17
1.5 Planteamiento y formulación del problema
18
de la información, lo que implica, que no cuenta con una visión global del estado de
su seguridad.
La Dirección de Tecnología realiza algunas funciones propias de seguridad de la
información, lo cual va en contravía con las mejores prácticas definidas en modelos y
estándares de seguridad.
19
Figura 1. Identificación Situación Problema Fuente: El Autor
POLÍTICO DE LA EMPRESA
20
Situación Factores
21
Los siguientes son los indicadores que se establecieron con el objetivo de poder
identificar el estado actual de la situación problema:
7
3 XV Encuesta Global de Seguridad de la Información de Ernst & Young, Pág. 13
22
1.6 Justificación
23
Un Sistema de Gestión de Seguridad de la Información le permitirá a la Entidad
fortalecer integralmente en cada uno de sus colaboradores, los pilares
fundamentales de la seguridad correspondiente a la integridad, confidencialidad y
disponibilidad de la información, lo cual, ayuda a forjar, fomentar y extender en toda
la organización una cultura apropiada de seguridad de la información.
24
comprobar el estado de las tareas, tanto si se trata de su grupo específico como del
global del negocio.
Adicional mente las estadísticas que miden los procesos internos circularan de forma
inmediata entre los distintos niveles y departamentos y se lograra una transferencia
de materiales eficaz y en función de la necesidad.
25
partes comunes que se pueden realizar y documentar a la vez, lo que facilita su
implantación.
Beneficios
Entre los beneficios que puede obtener una empresa que implemente un SGSI,
tenemos:
26
1.7 Objetivos: general y específicos
Objetivo general:
Objetivos específicos:
27
CAPÍTULO II.
MARCO TEÓRICO CONCEPTUAL
Marco Conceptual
28
Disponibilidad: Propiedad de determina que la información sea accesible y utilizable
por aquellas personas debidamente autorizadas.
29
SARL: Siglas del Sistema de Administración de Riesgo de Liquidez. 41 SARLAFT:
Siglas del Sistema de Administración del Riesgo de Lavado de Activos y Financiación
del Terrorismo.
30
CAPÍTULO III
ASPECTOS METODOLÓGICOS
3.1 Métodos
En el presente capitulo, se describe los métodos utilizados para alcanzar la solución
al problema planteado que corresponde a un Inadecuado Modelo de Gestión de
Seguridad de la Información de la empresa MEDTRONIC, teniendo en cuenta para
esto, los objetivos y el alcance que se plantearon en el presente trabajo de
investigación.
31
Con base en la anterior definición, el presente trabajo corresponde al análisis y
desarrollo de una propuesta para el diseño de un Sistema de Gestión de Seguridad
de la Información para empresa MEDTRONIC, de acuerdo al alcance definido, las
necesidades de la entidad y tomando para base para ello el modelo de referencia de
seguridad de la norma ISO/IEC 27001:2013.
Investigación de campo
LINEA DE INVESTIGACION
1. Cuestionario.
2. Observaciones.
32
3. Entrevistas con funcionarios y sobre todo con el personal de la Dirección de
Tecnología de la Entidad.
6. También, se usó diferentes fuentes de información, tales como tesis, libros, textos,
revistas, normas, etc., existentes tanto en medios físicos, electrónicos y publicados
en Internet.
3.6 Muestra
Para poder realizar la investigación se tomará como muestra 23 empleados de la
empresa Medtronic, a los cuales se le aplicará un cuestionario que permitirá
recolectar información sobre el tema relativo a la violencia de género. Para el cálculo
de la muestra se procedió a utilizar la siguiente fórmula para población finita:
33
N= N*Z2ap*
D2*(N-1) +Z2a *p*Q
N= es el tamaño de la muestra.
Fórmula finita:
N= 600*0.82*0.20*0.8 =23
0.202(4,621-1)+0.82*0.20*0.8
34
3.7 Cronograma
CRONOGRAMA DE ACTIVIDADES
Enero Febrero Marzo Abril
ACTIVIDADES Semanas Semanas Semanas Semanas
Enero S1 S2 S3 S4 S5 S1 S2 S3 S4 S1 S2 S3 S4 S5 S1 S2 S3 S4 S5
1- Reunión con el Asesor-Selección de Propuesta
2- Reunión con el Asesor-Informaciones General
3-Reunión con el Asesor-Formulación de Propuesta
4-Recopilación de información
5-Reunión con el Asesor: corrrecion de errores
6-Recopilación de información-Anteproyecto
7-Entrega del Anteproyecto
Febrero
8-Documentación del anteproyecto Antencedentes
9-Documentación del Anteproyecto Formulación del P.
10-Documentación del Anteproyecto Justificación
11-Entrega del Anteproyecto.
12-Correccion de errores
13-Desarrollo del Capítulo I
14-Desarrollo del Capítulo II
Marzo
15-Desarrollo del Capítulo III
16- Desarrollo del Capítulo III
17- Entrega del Proyecto
18- Exposición del proyecto
19- Corrección de Errores
21- Consulta con el Jurado
Abril
22 Correccion de errores por el asesor
23- Entrega Final de la Propuesta
24- Exposición final ante el Jurado
35
3.8 Presupuesto
UNIDAD DISPOSITIVO PRECIOS MARCAS
3 ROUTERF.O US $13,728
3 IMPRESORAS US $72,000 HP
1 US $7,254 MONOPRICE
CABLE UTP (CAT6)
1 US $2,036 LOGICO
CABLE UTP (CAT5)
36
3.9 Esquema tentativo
INTRODUCCIÓN…………………………………………….
JUSTIFICACIÓN………………………………………………………..
OBJETIVOS………………………………………………………………………………….
PRESUPUESTO……………………………………………………………………………
CRONOGRAMA DE ACTIVIDADES…………………………………………………
Capítulo 1
37
1.2.12. Ejemplos orientados a fortalecer la confidencialidad.
1.2.13. Ejemplo orientados a fortalecer la integridad.
1.2.14. Ejemplo orientado a fortalecer la disponibilidad.
1.2.15. Seguridad física, dispositivos que debemos proteger.
1.2.16. Algunos ejemplos.
1.2.17. Historia del sistema de gestión de seguridad de la información.
1.2.18. PDCA.
1.2.19. Concepto de un sistema de gestión de seguridad de la información.
1.2.20. Utilidad de un sistema de gestión de seguridad de la información.
1.2.21. Norma ISO 27000.
1.2.22. Software ISO 270001.
1.2.23. Beneficios de implementar un SGSI de acuerdo a ISO 27001.
1.2.24. Concepto de la norma ISO 27002.
1.2.25.
1.3.
CAPITULO I
38
1. MANTENER LA INTEGRIDAD, DISPONIBILIDAD, PRIVACIDAD Y
CONTROL DE LA INFORMACIÓN MANEJADA POR LA
INSTITUCIÓN.
39
La Seguridad Informática (S.I.) es la disciplina que se ocupa de diseñar las
normas, procedimientos, métodos y técnicas, orientados a proveer
condiciones seguras y confiables, para el procesamiento de datos en
sistemas informáticos.
40
Basándose en este principio, las herramientas de Seguridad Informática deben
reforzar la permanencia del sistema informático, en condiciones de actividad
adecuadas para que los usuarios accedan a los datos con la frecuencia y
dedicación que requieran.
41
Los virus informáticos son particularmente dañinos porque pasan desapercibidos
hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios
inocuos hasta la pérdida total del sistema.
42
La inmensa cantidad de virus existentes, sus diferentes propósitos, sus variados
comportamientos y sus diversas consecuencias, convierten su clasificación en un
proceso complejo y polémico.
Virus mutante: En general se comporta igual que el virus genérico, pero en lugar
de replicarse exactamente, genera copias modificadas de si mismo.
43
conectados.
Virus de macro: Se diseñan para infectar las macros que acompañan a una
aplicación específica. Una macro es un conjunto de instrucciones que ejecutan una
tarea particular, activada por alguna aplicación específica como MS – Word o MS –
Excel. Son virus muy fáciles de programar y se dispersan rápidamente a través de
anexos a e-mail, copia de archivos usando disquetes, etc.
44
que no tienen acceso autorizado. En general, los hackers persiguen dos objetivos:
1. Probar que tienen las competencias para invadir un sistema protegido.
2. Probar que la seguridad de un sistema tiene fallas.
45
caracterizan por enviar un aviso y registrar la incidencia.
46
deseadas a los sistemas.
Software para sincronizar transacciones: Ejercen control sobre las
transacciones que se aplican a los datos.
47
Todos los dispositivos que componen el hardware: Procesador, memoria principal,
dispositivos de entrada y de salida, dispositivos de almacenamiento y los
respaldos.
48
información, buscando asegurar la confidencialidad, integridad y disponibilidad de
los activos de información minimizando a la vez los riesgos de seguridad de la
información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un
largo tiempo adaptándose a los cambios internos de la organización así como los
externos del entorno.
1.1.9. PDCA.
SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares
publicados por la International Organization for Standardization (ISO) y
la International Electrotechnical Commission (IEC). JJO también define normas
estandarizadas de distintos SGSI.
49
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Information Security Management System.
La información, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organización.
50
vulnerabilidades existentes, pueden someter a activos críticos de información a
diversas formas de fraude, espionaje, sabotaje o vandalismo.
51
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una sistemática
definida, documentada y conocida por todos, que se revisa y mejora
constantemente.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de gestión
de seguridad de la información (SGSI) basado en ISO 27001.
Estas normas especifican los requerimientos que deben cumplir las organizaciones
para establecer, implementar, poner en funcionamiento, controlar y mejorar
continuamente un Sistema de Gestión de Seguridad de la Información.
52
En Colombia, el Instituto Colombiano de Norma Técnicas y Certificaciones,
ICONTEC, es el organismo encargado de normalizar este tipo de normas. Las
siguientes son algunas de las normas que componen la familia ISO/IEC 27000, las
cuales serán el marco teórico que se tendrá en cuenta para efectos del presente
trabajo: ISO/IEC 27000.
ISO/IEC 27001. La última versión de esta norma fue publicada a finales del 2013, y
corresponde a la principal norma de la serie 27000 debido a que contiene los
diferentes requisitos para establecer, implementar, mantener y 34 mejorar
continuamente un Sistema de Gestión de Seguridad de la Información en las
organizaciones independiente de su tipo, tamaño o naturaleza.
53
1.2.3. SOFTWARE ISO 27001
Como hemos mencionado más arriba, para las organizaciones la certificación bajo
la norma ISO 27001 de su Sistema de gestión de Seguridad de la
Información aporta:
54
6. Contar un SGSI otorga a la organización una garantía frente a clientes y socios
estratégicos ya que muestra a la misma como un organismo preocupado por la
confidencialidad y seguridad de la información que es depositada en la misma.
7. Permite a las organizaciones continuar operando con normalidad en caso de
producirse problemas importantes.
8. Se puede hacer una integración conjunta con otros Sistemas de Gestión
Normalizados tales como ISO 9001, ISO 14001, OHSAS 18001 ,entre otras.
9. Hace que la organización esté cumpliendo con la legislación vigente en materia de
información personal y propiedad intelectual.
10. La seguridad en la información que ofrece implantar un SGCI de acuerdo a ISO
27001 favorece una reducción de los costes y un mejor funcionamiento de los
procesos.
11. Se convierte en un elemento favorable para la empresa frente a la competencia,
pues el contar con un SGSI le hace aumentar su imagen a nivel internacional.
12. Contribuye al incremento en la motivación del personal, ya que se desempeñan en
una organización comprometida con la seguridad de la información.
Por todas estas razones, la implantación de un Sistema de Gestión de la Calidad
de la Información de acuerdo al estándar internacional ISO 27001 se considera un
elemento relevante como refuerzo de la seguridad de sus activos de información,
así como una ayuda para gestionar de manera más eficaz todos los procesos del
negocio.
Para conocer más aspectos sobre los pasos necesarios para la implantación de un
SGSI en la organización recomendamos la lectura del artículo “ ISO 27001: Pasos
para la implantación de la política de seguridad y los procedimientos”.
55
1.2.5. CONCEPTO DE LA NORMA ISO 27002
56
La estructura típica de los documentos de políticas puede ser:
Resumen: se establece una visión general de una extensión breve, uno o dos
frases y que pueden aparecer fusionadas con la introducción.
Resultados clave: describe todos los resultados relevantes para las actividades de
la empresa que se obtienen cuando se cumplen los objetivos.
57
Políticas relacionadas: se describen las políticas relevantes para cumplir con los
objetivos, se indican detalles adicionales en relación con los temas específicos.
La política de alto nivel se encuentra relacionada con un Sistema de Gestión de
Seguridad de la Información que suele estar apoyada por políticas de bajo nivel,
específicas para aspectos concretos en temáticas como el control de accesos, la
clasificación de la información, la seguridad física y ambiental, utilizar activos,
dispositivos móviles y protección contra los malware.
Si partimos del principio típico en seguridad “lo que no está permitido está
prohibido” cada empresa debe detectar las necesidades de los usuarios y valorar
los controles necesarios que fundamentan las políticas aplicables, que se aplican
en una mejor estructura y relaciones entre ellas para su gestión.
58
Métricas asociadas Cobertura de la política, es decir, el porcentaje de secciones
de la norma ISO 27002 para las cuales se han especificado, escrito, aprobado y
publicado políticas y sus normas, procedimientos y directrices asociadas. El grado
de despliegue y adoptar las políticas en las empresas.
59
Basado el Procesos - ISM3 v1.20 está basado en procesos, al igual que sistemas
de gestión populares como ISO9001 o ITIL.
60
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin
fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad
de la información y muchas empresas han certificado su cumplimiento; aquí se
puede ver la cantidad de certificados en los últimos años:
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin
fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la norma ISO 27001.
61
2.2 figura 1 Fuente: Encuesta ISO sobre certificaciones de la norma para sistemas de gestión
ISO 27001 tiene como objetivo proteger los activos de la información de cualquier
organización. Toda organización posee información importante que desea proteger
frente a cualquier situación que suponga un riesgo o amenaza. Esta información
que resulta fundamental para la organización es lo que se denomina activo.
Los activos de información pueden ser ficheros y bases de datos, contratos y
acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones,
software del sistema, etc.
Uno de los primeros pasos que se debe realizar es un inventario de los activos para
reconocerlos e identificarlos dentro de la organización. En este inventario hay que
clasificarlos y obtener toda la información posible como, por ejemplo, tipo de activo,
valor, localización, formato, etc.
Dentro del SGSI de ISO-27001, para cada activo, se debe establecer un propietario
que defina el grado de seguridad que hay que aplicarle al mismo, aunque no
necesariamente será la que gestione el día a día del mismo.
62
1.3 PARA IMPLEMENTAR LA NORMA ISO 27001 EN UNA
EMPRESA, USTED TIENE QUE SEGUIR ESTOS PASOS.
63
10) Implementar todos los controles y procedimientos necesarios
Figura 3
La información, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organización y asegurar
beneficios económicos. Las organizaciones y sus sistemas de información están
64
expuestos a un número cada vez más elevado de amenazas que, aprovechando
cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos
de información a diversas formas de fraude, espionaje, sabotaje o vandalismo.
65
1.3.2. UN SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION INCLUYE LO SIGUIENTES DOCUMENTOS.
Figura 4
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el
término se usa también en otros ámbitos. Sería el documento que inspira y
dirige todo el sistema, el que expone y determina las intenciones, alcance,
objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: documentos en el nivel operativo, que aseguran que se
realicen de forma eficaz la planificación, operación y control de los procesos de
seguridad de la información.
Documentos de Nivel 3
66
Instrucciones, checklists y formularios: documentos que describen cómo se
realizan las tareas y las actividades específicas relacionadas con la seguridad
de la información.
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGSI; están asociados a documentos de los
otros tres niveles como output que demuestra que se ha cumplido lo indicado en
los mismos.
De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):
67
5. Informe de evaluación de riesgos: estudio resultante de aplicar la metodología
de evaluación anteriormente mencionada a los activos de información de la
organización.
6. Plan de tratamiento de riesgos: documento que identifica las acciones de la
dirección, los recursos, las responsabilidades y las prioridades para gestionar
los riesgos de seguridad de la información, en función de las conclusiones
obtenidas de la evaluación de riesgos, de los objetivos de control identificados,
de los recursos disponibles, etc.
7. Procedimientos documentados: todos los necesarios para asegurar la
planificación, operación y control de los procesos de seguridad de la
información, así como para la medida de la eficacia de los controles
implantados.
8. Registros: documentos que proporcionan evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI.
9. Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas
inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de
evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
Control de la documentación Para los documentos generados se debe
establecer, documentar, implantar y mantener un procedimiento que defina las
acciones de gestión necesarias para:
68
6. Garantizar que los documentos permanecen disponibles para aquellas personas
que los necesiten y que son transmitidos, almacenados y finalmente destruidos
acorde con los procedimientos aplicables según su clasificación.
7. Garantizar que los documentos procedentes del exterior están identificados.
8. Garantizar que la distribución de documentos está controlada.
9. Prevenir la utilización de documentos obsoletos.
10. Aplicar la identificación apropiada a documentos que son retenidos con algún
propósito.
69
1. Incluya el marco general y los objetivos de seguridad de la información de la
organización.
2. Considere requerimientos legales o contractuales relativos a la seguridad de la
información.
3. Esté alineada con el contexto estratégico de gestión de riesgos de la
organización en el que se establecerá y mantendrá el SGSI.
4. Establezca los criterios con los que se va a evaluar el riesgo.
5. Esté aprobada por la dirección.
6. Definir una metodología de evaluación del riesgo apropiada para el SGSI y los
requerimientos del negocio, además de establecer los criterios de aceptación
del riesgo y especificar los niveles de riesgo aceptable.
Identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios
70
3. Evaluar el impacto en el negocio de un fallo de seguridad que suponga la
pérdida de confidencialidad, integridad o disponibilidad de un activo de
información.
4. Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad
en relación a las amenazas, vulnerabilidades, impactos en los activos y los
controles que ya estén implementados.
71
No se debe caer en el error de considerar un SGSI una mera cuestión técnica o
tecnológica relegada a niveles inferiores del organigrama; se están gestionando
riesgos e impactos de negocio que son responsabilidad y decisión de la
dirección.
El término Dirección debe contemplarse siempre desde el punto de vista del
alcance del SGSI.
72
1.4. PARA EL CORRECTO DESARROLLO DE TODAS LAS
ACTIVIDADES RELACIONADAS CON EL SGSI, ES
IMPRESCINDIBLE LA ASIGNACIÓN DE RECURSOS.
73
internacionales: se gestiona la calidad según ISO 9001, el impacto medio-
ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS
18001.
Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la
información. Las empresas tienen la posibilidad de implantar un número variable
de estos sistemas de gestión para mejorar la organización y beneficios sin
imponer una carga a la organización.
Algunos puntos que suponen una novedad en ISO 27001 frente a otros
estándares son la evaluación de riesgos y el establecimiento de una declaración
de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de
normas en un futuro.
74
PRESENTAR ESCENARIO DE APLICACIÓN DE LA PROPUESTA,
LEVANTAMIENTO DE RIGOR
75
1.5.1. DIAGNOSTICO
En este capítulo se presentan los diagnósticos que se realizaron con el objetivo
de poder tener un conocimiento inicial de la situación que presenta la entidad
frente al establecimiento de un Sistema de Gestión de Seguridad de la
Información basado en la norma ISO/IEC 27001:2013.
76
1.5.3. IDENTIFICACION ESTRATIFICACION DE LA ENTIDAD
77
El nivel de estratificación de la entidad, de acuerdo al puntaje obtenido, se determina
con base en los rangos de valores relacionados en la siguiente tabla:
78
anterior es indispensable para cumplir los requerimientos establecidos en los controles
‘Valoración de riesgos de la seguridad de la información’ y ‘Tratamiento de riesgos de
la seguridad de la información’ de la norma ISO/IEC 27001:2013.
Para realizar este diagnóstico se utilizó una lista de chequeo basada en un conjunto de
preguntas con opción de respuesta ‘SI’ o ‘NO’, que fue respondida por funcionarios de
las áreas de la entidad de acuerdo al objetivo de control que se estaba evaluando. Las
áreas que participaron en esta evaluación fueron, la Vicepresidencia de Riesgos,
79
Dirección de Tecnología, Gestión Humana y Jefatura de Recursos Físicos, ya que los
controles de la norma ISO/IEC 27001:2013 están orientados a proteger la seguridad de
las personas, de la infraestructura física y lógica, de los recursos tecnológicos y por
ende de la información.
El formato utilizado para realizar este diagnóstico corresponde al ANEXO B del
presente documento, el cual, contiene las preguntas que se plantearon para evaluar
cada uno de los controles y las respectivas respuestas dadas por los usuarios. Con
base en la información recopilada, los siguientes son los resultados del análisis
realizado:
80
cuyos costos pueden ser elevados y su implementación puede demandar un tiempo
considerable.
81
Tabla 2. Nivel de riesgos vs nivel cumplimiento controles
Porcentaje
Cumplimie
nto Nivel de riesgo e implicaciones
Controles
Medi
Medio o La entidad cuenta con controles implementados, algunos de ellos
no documentos o no adecuados, que requieren su revisión en un
Medio plazo para mejorar su efectividad y su cumplimiento. Esta
situación representa un Riesgo Medio para la entidad debido a la
presencia de debilidades en algunos de sus controles que
pueden ser aprovechadas por amenazas internas o externas
Para atentar contra la seguridad de la información. También es
necesario revisar el nivel cumplimiento de la normatividad
Vigente relacionada con seguridad de la información.
82
De acuerdo al nivel de cumplimento frente al Anexo A de la norma ISO/IEC
27001:2013, la entidad se encuentra en un grado MEDIO de implementación (46.09%)
de los requerimientos establecidos en los objetivos de control y controles de este anexo
y en un nivel de riesgo MEDIO con relación al nivel de protección y efectividad de los
controles implementados.
83
CAPITULO II
84
1. Fomentar la cultura de Seguridad de la Información en todos los niveles de la
organización, lo cual facilita la tarea de proteger sus activos de información.
2. Generar sentido de pertenencia y apropiación en temas de seguridad en cada uno de
los funcionarios de la entidad, logrando con ello la participación activa de toda la
organización con relación a la planeación, definición, identificación e implementación
de controles y medidas orientadas a salvaguardar la seguridad de la información de
la organización.
3. Generar mayor conciencia en los funcionarios de la Entidad con relación a los
riesgos que pueden afectar la seguridad de la información evitando fugas de
información por ataques externos.
4. Promover a que los funcionarios adopten, interioricen y acaten la política,
procedimientos y las prácticas de seguridad definidas en la entidad, y a su vez
comprendan las implicaciones, peligros y riesgos de sus acciones.
Identificar los activos que están dentro del alcance del SGSI y a sus responsables
directos, denominados propietarios.
5. Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
6. Identificar los impactos en la confidencialidad, integridad y disponibilidad de los
activos. Analizar y evaluar los riesgos.
7. Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de
confidencialidad, integridad o disponibilidad de un activo de información.
8. Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en
relación a las amenazas, vulnerabilidades, impactos en los activos y los controles
que ya estén implementados.
85
2.3. ESTIMAR LOS NIVELES DE RIESGO.
87
4. Realizar revisiones cuando sea necesario y actuar adecuadamente según los
resultados de las mismas.
5. Mejorar la eficacia del SGSI donde sea necesario.
Con el propósito de proteger su exactitud y totalidad con el fin de que los mismos
solo sean accesibles por aquellas personas que estén debidamente autorizadas.
88
La empresa MEDTRONIC no cuenta con una metodología para la identificación y
clasificación de sus activos de información y para la valoración y tratamiento de
riesgos de seguridad de la información, lo que implica, que no cuenta con una visión
global del estado de su seguridad.
89
tecnológicos orientadas a proteger los activos de información a través de los cuales
se gestiona la información del negocio.
Esta labor es esencial, para que los usuarios no vean en estas políticas como una
serie de restricciones que les complicaran sus labores diarias, sino por el contrato, lo
que se busca con una adecuada socialización es conseguir que los usuarios
entiendan los riesgos a los cuales está expuesta la entidad y las necesidades de
tener unas normas para evitarlos.
90
3. Se implementan las medidas de seguridad adecuadas con el objetivo de mitigar
los incidentes presentados.
4. La entidad aprende de las lecciones que dejan los incidentes de seguridad, con el
fin de mejorar las medidas y mecanismos orientados a proteger la seguridad de la
información.
Para una adecuado gestión de incidentes se seguridad, es necesarios que todos los
colaboradores y terceros que laboren o tengan relación con la entidad, identifiquen o
detecten un evento de seguridad de la información que pueden afectar la
Disponibilidad, Integridad y Confidencialidad de los activos de información a través
de los cuales se gestiona la información de la entidad, y los reportar de manera
oportuna a la áreas encargadas de analizar y determinar las medidas para contener
los incidentes de seguridad.
El ciclo de mejora continua, también conocido como ciclo PDCA (del inglés plan-do-
check-act) o PHVA (planificar-hacer-verificar-actuar) o Ciclo de Deming por ser
Edwards Deming su creador, es uno de los sistemas más usados para la
implementación de un sistema de mejora continua, el cual establece los siguientes
cuatro pasos o fases esenciales que de forma sistemática las organizaciones deben
llevar a cabo para lograr la mejora continua de sus sistemas de gestión:
91
Figura 7. Ciclo de mejora continua (Ciclo Deming).
1. Fase Planificar (Plan): En esta fase se establecen los objetivos a alcanzar y las
actividades del proceso susceptibles de mejora, así como los indicadores de
medición para controlar y cuantificar los objetivos.
2. Pase Hacer (Do): En esta fase se ejecuta el plan establecido que consiste en
implementar las acciones para lograr mejoras planteadas.
3. Fase Verificar (Check): Una vez implantada la mejora, se establece un periodo de
prueba para verificar el correcto funcionamiento de las acciones implementadas.
4. Fase Actuar (Act): Se analizan los resultados de las acciones implementadas y si
estas no se cumplen los objetivos definidos se analizan las causas de las
desviaciones y se generan los respectivos planes de acciones.
92
CAPITULO III
3. OBJETO Y ALCANCE
93
El alcance del proyecto se encuentra definido en el documento llamado “SGSI-
SIS001-Alcance del Sistema”.
3.1. REFERENCIAS.
Esta Política está ampliada y respaldada por los siguientes documentos del SGSI:
Tabla 3
Código Documento
SGSI-SIS-001 Alcance del Sistema
SGSI-SIS-002 Metodología de Análisis de Riesgo
SGSI-REG-AR-R01 Análisis de Riesgo
SGSI-REG-AR-R02 Tratamiento de Riesgo
SGSI-SIS-005 Declaración de Aplicabilidad
SGSI-SIS-006 Manual de Gestión del SGSI
MEDTRONIC como empresa de logística que lleva años dando servicios a clientes,
es consciente de la importancia que adquiere la Seguridad de la Información para las
actividades de negocio de la propia organización y de los servicios que ofrece.
Es por ello es que MEDTRONIC ha implantado un Sistema de Gestión de Seguridad
de la Información (SGSI) basado en la norma internacional ISO/UNE 27001 que
garantiza todos los aspectos de seguridad de la información, en términos de
confidencialidad, integridad y disponibilidad de la información, relacionados con sus
procesos de negocio, servicios ofrecidos a sus clientes y cualquier otra actividad
relacionada con la operativa de la compañía.
94
La presente Política establece los objetivos de seguridad de la Empresa y se
desarrolla mediante normativas, procedimientos e instrucciones técnicas para
obtener los objetivos globales de seguridad exigidos.
MEDTRONIC se apoya en: La aplicación de una Metodología de Análisis y Gestión
de Riesgos, definida por la Organización y aprobada por la Dirección, para identificar,
evaluar y tratar los riesgos a los que está expuesta en base a criterios previamente
definidos por la Metodología y cumplir sus objetivos de negocio.
Con todo ello, MEDTRONIC, establece y aprueba unos objetivos en Seguridad para
el logro de:
Las políticas definidas en este documento están relacionadas con los activos que
manejan información y que son asignados a usuarios, el CPD (Centro de Procesos
de Datos), aspectos relacionados con la propiedad de la información que es creada y
manipulada por los usuarios y la utilización inadecuada de los recursos que la
Empresa pone a disposición de los empleados para que desarrollen sus actividades.
3.4. CONTRASEÑAS.
96
El cumplimiento de las políticas de contraseñas por parte de los empleados de
MEDTRONIC es extremadamente importante ya que constituyen la primera línea de
defensa para garantizar que la información solo sea accedida por el personal
autorizado.
Es por ello que desde MEDTRONIC, se ha establecido una política de uso que es de
obligado cumplimiento para los empleados que utilicen los medios de los que
dispone la empresa para el acceso a Internet
97
Como despliegue de la Política General de Seguridad descrita en el punto anterior,
MEDTRONIC ha definido otras políticas de menor nivel que informan de manera más
detallada a las partes interesadas para facilitar su cumplimiento. No se trata de
redactar procedimientos operativos o instrucciones de trabajo, sino directrices
definidas por la alta dirección para alertar a los intervinientes y participantes del SGSI
de la importancia del cumplimiento de los requisitos establecidos.
98
El acceso de personal ajeno a la empresa a zonas con información sensible estará
permanentemente supervisado por una persona con responsabilidad dentro del
organigrama de la empresa.
1. Existen niveles y horarios de acceso para todo el personal del grupo MEDTRONIC.
2. Cualquier visita fuera del horario establecido estará debidamente autorizada por la
Dirección de la Organización y queda totalmente prohibido el paso de personal no
autorizado.
3. Se han establecido sistemas de protección de las instalaciones que impiden el
acceso sin autorización por lugares diferentes a los destinados para ello.
99
3.8. POLITICA DE COPIA DE SEGURIDAD Y CONTINUIDAD DEL
NEGOCIO.
100
3.9. POLITICA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN EN EL PUESTO DE TRABAJO.
101
además de requerirles que informen de cualquier vulnerabilidad o debilidad que
detecten durante el desarrollo de sus actividades. Así pues MEDTRONIC, notifica a
los usuarios que está totalmente prohibido:
102
3.1.1. POLITICA DE USO DE TERMINALES MÓVILES.
103
Departamento de Sistemas, quien está facultado para monitorear la actividad de
cada usuario con la finalidad de:
105
7. Las sesiones se bloquearán automáticamente transcurrido un periodo de tiempo de
inactividad y será necesaria la introducción de la contraseña para desbloquearlas.
8. Las contraseñas de las cuentas de correo no serán notificadas a los empleados para
evitar la configuración de cuentas en dispositivos no controlados.
9. Queda terminantemente prohibido: o Revelar las contraseñas a personal no
autorizado o Anotar la contraseña en zonas accesibles y/o visibles.
106
BIBLIOGRAFÍA
1. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/historia.html
2. https://www.diariolibre.com/economia/medina-encabeza-inauguracion-de-cuarta-
planta-industrial-de-la-multinacional-medtronic-DB9452173
3. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/liderazgo.html
4. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/ubicaciones.html
5. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/mission.html
6. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/gobernanza-
corporativa.html
7. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/responsabilidad-
social-corporativa.html.
8. http://www.criptored.upm.es/guiateoria/gt_m446a.htm
9. https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
10. http://www.rallo.com/wp-content/uploads/2016/05/SGSI-POL-001-Politica_5.0.pdf
107
ANEXOS
108