Asignatura Datos del alumno Fecha

Apellidos: Feo Calderón

Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

Actividades

Trabajo: Estudio de la norma ISO 27001

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de

seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la

información según ISO 27001: 2005, así como consulta las normas ISO 27001:2015 y
27002:2015, disponibles en el aula virtual y responde a las siguientes preguntas de
forma breve:

» Establece un objetivo de negocio para el que se sustente la necesidad de realizar un

SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de la
compañía para entender su objetivo. El objetivo debe estar suficientemente explicado
para justificar la necesidad de realizar un SGSI.
» Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro
SGSI de forma justificada.
» De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la seguridad
de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean:
normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente,
teniendo en cuenta que pueden ser a la vez de más de un tipo.

Ejemplo para la categoría 5, el control: 5.1.1 Políticas para la seguridad de la información:

La respuesta sería [N], [O].

[N]: Se requiere un documento normativo que lo establezca.

[O]: En la guía de implantación se indica que deben asignarse las responsabilidades
generales.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

Tabla de contenido

Desarrollo de la actividad. .......................................................................... 3

Establece un objetivo de negocio para el que se sustente la
necesidad de realizar un SGSI dentro de una compañía.
Contextualizar la actividad (misión, visión) de la compañía
para entender su objetivo. El objetivo debe estar
suficientemente explicado para justificar la necesidad de
realizar un SGSI. ............................................................................................. 3
Misión ..........................................................................................................................3
Visión...........................................................................................................................3
Objetivos Estrategicos .........................................................................................3
Política del sistema integrado de gestión. ..................................................4
Caracterización del proceso ..............................................................................5
Objetivo............................................................................................................................................ 5
Factores claves de éxito ............................................................................................................ 6

Respondiendo a ese objetivo de negocio, establece un posible

alcance para vuestro SGSI de forma justificada. ............................. 6
OBJETIVO ..................................................................................................................6
DEFINICIONES ........................................................................................................7
Parte Interesada ........................................................................................................................... 7
4.3. Riesgo de Seguridad de la Información ..................................................................... 7
LINEAMIENTOS .......................................................................................................7
METODOLOGÍA ........................................................................................................7
De los controles de la ISO 27002:2015 de las categorías:
6.Organización de la seguridad de la información, 8. Gestión
de activos. y 9. Control de acceso, clasificarlos según sean:
normativos (N), organizativos (O) o técnicos (T) justificándolo
muy brevemente, teniendo en cuenta que pueden ser a la vez
de más de un tipo. .......................................................................................... 9
Categoría 6. Organización de la seguridad de la información ............9
Categoría 8 Gestión de activos ...................................................................... 10
Categoría 9. Control de acceso ...................................................................... 11
Bibliografía ...................................................................................................... 13

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

Desarrollo de la actividad.

Para el desarrollo de la actividad se ha tomado como ejemplo la entidad Distrital

colombiana Instituto de Recreación y deporte (IDRD):

Establece un objetivo de negocio para el que se sustente la necesidad de

realizar un SGSI dentro de una compañía. Contextualizar la actividad
(misión, visión) de la compañía para entender su objetivo. El objetivo debe
estar suficientemente explicado para justificar la necesidad de realizar un
SGSI.

Como proceso debemos identificar donde nos encontramos dentro la planeación

estratégica de la entidad, para esto a continuación se muestran los diferentes
mecanismos que utiliza el instituto:

Misión
Generar y fomentar espacios para la recreación, el deporte, la actividad física y la
sostenibilidad de los parques y escenarios, mejorando la calidad de vida, el sentido de
pertenencia y la felicidad de los habitantes de Bogotá

Visión
El IDRD en el año 2020, habrá generado cambios comportamentales en beneficio de la
población de Bogotá, y será líder en el desarrollo de innovadores programas recreativos
y deportivos y en la oferta de parques y escenarios, con altos estándares de calidad,
apoyado en una eficiente gestión institucional.

Objetivos Estrategicos

Mejorar la cobertura y las condiciones de infraestructura de los parques y escenarios para

el uso y disfrute de la población de Bogotá.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

Impulsar la participación de los habitantes de Bogotá en los servicios recreativos y

deportivos ofrecidos por la entidad fomentando el buen uso y aprovechamiento del
tiempo libre.

Política del sistema integrado de gestión.

El IDRD se compormente a:

1. Satisfacer las necesidades de nuestros usuarios en materia de recreación y

deporte, actividad física, parques y escenarios a través de la prestación de
servicios eficientes, eficaces y efectivos, en concordancia con el Plan de Desarrollo
apoyados en infraestructura y personal competente.
2. Proteger la seguridad y salud de las personas a través de la prevención de los
riesgos y la implementación del Sistema de Seguridad y Salud en el Trabajo.
3. Proteger el medio ambiente a través de la gestión de aspectos y el control de los
impactos ambientales generados en el desarrollo de nuestras actividades y
promover el uso responsable de los recursos.
4. Proteger la integridad, confidencialidad y disponibilidad de los activos de
información.
5. Administrar y conservar los documentos de archivo con el fin de preservar la
memoria institucional.
6. Cumplir con los requisitos legales.

Nuestro actuar se fundamenta en la mejora continua, la aplicación de prácticas de

responsabilidad social y la sostenibilidad del SIG.

Brindar apoyo a la preparación y participación de los deportistas del registro de Bogotá

para posicionarlos en las competencias nacionales e internacionales.

Fortalecer la eficiencia administrativa como eje del desarrollo de la entidad.

Satisfacer las necesidades de los usuarios a través de la prestación de servicios eficientes,

eficaces y efectivos.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

Prevenir los factores que afecten la salud y la seguridad a fin de mejorar las condiciones
del ambiente de trabajo.

Implementar buenas practicas ambientales para la prevención de la contaminación en el

marco de una Bogotá que defiende lo publico en su función administrativa y de desarrollo
institucional.

Proteger la integridad, confidencialidad y disponibilidad de la información.

Implementar las políticas y líneas de acción para la preservación e integridad de la

documentación.

Mejorar continuamente los procesos del Sistema Integrado de Gestión.

Implementar buenas prácticas asociadas con las materias fundamentales de

Responsabilidad Social.

Caracterización del proceso

Objetivo

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

Proporcionar soluciones estratégicas de tecnologías de la información y las

comunicaciones, para contribuir con la eficiencia administrativa, la mejora de los
tramites y servicios y la protección de los activos de información de la entidad.

Factores claves de éxito

 Proyectos y Gobierno Digital

 Avances en la implementación de gobierno digital de acuerdo con los
componentes evaluados por MINTIC.
 Cumplimiento del Plan Estratégico de Tecnologías de la Información PETI.
 Seguridad de la Información
 Aseguramiento de incidencias en la seguridad de la información que afecten la
confidencialidad, integridad y disponibilidad.
 Impacto del plan de remedición frente a las vulnerabilidades identificadas.

Respondiendo a ese objetivo de negocio, establece un posible alcance para

vuestro SGSI de forma justificada.

OBJETIVO

Establecer los lineamientos para llevar a cabo la gestión de riesgos de seguridad de la

información, con el fin de dar cumplimiento a la norma NTC ISO/IEC 27001:2015 y al
componente de seguridad y privacidad de la información de la Estrategia de Gobierno
en Línea, teniendo como base las normas NTC-ISO/IEC 27005 y NTC-ISO 31000.

RESPONSABLE
La gestión de riesgos de seguridad de la información estará a cargo del Oficial de
Seguridad o quien haga sus veces, en conjunto con los responsables de proceso. Cada
responsable de proceso debe asistir o designar a las personas que participará de las
mesas de trabajo que se programen para gestionar los riesgos de seguridad de la
información.

ALCANCE
Inicia con el establecimiento del contexto, la identificación, estimación, evaluación,
tratamiento, aceptación, comunicación y finaliza con el monitoreo y revisión continua
de los riesgos, con el fin de evitar su materialización y de esta forma mantener y
mejorar la gestión del riesgo en la seguridad de la información.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

DEFINICIONES

Escenario de Incidente
Es la descripción de una amenaza que explota una vulnerabilidad determinada o un
conjunto de vulnerabilidades relacionadas a un activo.

Parte Interesada

Persona, dependencia, proceso u organización que puede afectar a, ser afectado por o
percibirse a sí mismo como afectado por una decisión o actividad (en este caso la
gestión de riesgos). Algunos ejemplos de partes interesadas son:

● Funcionarios
● Contratistas
● Proveedores
● Ciudadanos

4.3. Riesgo de Seguridad de la Información

Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o
grupos de activos causando así daño a la organización (NTC-ISO/IEC 27005).

LINEAMIENTOS

5.1. El inventario de activos de información es un prerrequisito para la gestión de

riesgos de seguridad de la información y se tendrán en cuenta aquellos activos con
calificación alta o crítica, de acuerdo con el instructivo de gestión de activos.

5.2. El seguimiento a la implementación y eficacia de los controles de seguridad de la

información se realizará trimestralmente.

METODOLOGÍA

El proceso de gestión del riesgo en la seguridad de la información está soportado en la

norma NTC-ISO/IEC 27005 y la norma NTC-ISO 31000 cuya visión general se
presenta a continuación

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

Ilustración 1
Fuente: Guía No 7. Guía de Gestión de Riesgos - MinTIC

Las actividades de gestión de riesgos de seguridad de la información están

enmarcadas dentro de las cuatro (4) fases del ciclo PHVA del Sistema de Gestión de
Seguridad de la Información (en adelante SGSI), así:

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

De los controles de la ISO 27002:2015 de las categorías: 6.Organización de

la seguridad de la información, 8. Gestión de activos. y 9. Control de
acceso, clasificarlos según sean: normativos (N), organizativos (O) o
técnicos (T) justificándolo muy brevemente, teniendo en cuenta que
pueden ser a la vez de más de un tipo.

Categoría 6. Organización de la seguridad de la información

6.1 Organización interna

6.1.1 Roles y responsabilidades en seguridad de la información. [O]

[O]= En la guía de implantación se indica que deben asignarse las responsabilidades
especificas

6.1.2 Segregación de tareas. [O]

[O] = habla exclusivamente de la importancia de que las tareas sean asignadas y que
funcionen independientemente

6.1.3 Contacto con las autoridades. [N] [T] [O]

[N]= Se requiere mantener contacto con entidades encargadas de vigilar el
cumplimiento de la Ley
[T] y [O]= Se requiere, mantener contacto con entidades que se relacionen con la
continuidad del negocio

6.1.4 Contactos con grupos de interés especial. [T] [N] [O]

[T]= La guía de implementación menciona que se debe mantener actualizado en cuanto
parches, vulnerabilidades, nuevas tecnologías o amenazas.
[N]=La guía de implementación menciona que se debe proporcionar adecuados puntos
de enlace relacionados con incidentes de seguridad y asesoramiento especializado en
seguridad de la información (este último también puede ser técnico)
[O]=La guía de implementación menciona que control sirve para mejorar el
conocimiento sobre mejores prácticas, además dichos intercambio sirven para mejorar
la cooperación y coordinación en los asuntos de seguridad.

6.1.5 Seguridad de la información en gestión de proyectos. [O]

[O]= La guía de implementación dice que la seguridad de la información debe estar
integrada a todas las fases de la metodología aplicada en el proyecto. (La gestión de
proyectos es la disciplina del planeamiento, la organización, la motivación, y el control
de los recursos para alcanzar un objetivo)

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

6.2 Los dispositivos móviles y el teletrabajo

6.2.1 Política de dispositivos móviles. [T] [N]

[T] = La gran mayoría de los puntos mencionados en la guía de implementación para
asegurar la información corporativa en un dispositivo móvil son de orden técnico tales
como restricción y uso de determinado software, accesos remotos, copias de respaldo y
protección para accesos no autorizados entre otros.
[N]= Debe ser tenida en cuenta la legislación de privacidad

6.2.2 Teletrabajo[T] [N] [O]

[T]= Menciona todo lo concerniente a la seguridad en el canal de comunicación y al
software y hardware que interviene en el proceso todo en miras a salvaguardar la
información.
[O]= En cuanto a las reglas a tener en cuenta para el acceso a familia o visitantes al
equipo de cómputo.
[N]= Directrices en cuanto a propiedad intelectual y se debe tener en cuenta la
legislación en cuanto privacidad.

Categoría 8 Gestión de activos

8.1 Responsabilidad sobre los activos

8.1.1 Inventario de activos. [O]

[O]= La guía de implementación menciona el levantamiento, actualización y asignación
de propietario, a los activos de información.

8.1.2 Propiedad de activos. [O]

[O]=establece directrices para la asignación del propietario de cada uno de los activos,
así como las tareas que deben ser ejecutadas por el mismo.

8.1.3 Uso aceptable de los activos. [O]

[O]= Menciona que se deben implementar reglas para el uso de los activos.

8.1.4 Devolución de activos. [O]

[O]= Menciona los puntos a tener en cuenta para garantizar la devolución de los activos.

8.2 Clasificación de la información

8.2.1 Clasificación de la información [N] [O]

[N]= La información debe ser clasificada siguiendo requisitos legales.
[O]=En si la clasificación es una tarea organizativa y en la guía de implementación
menciona los puntos a tener en cuenta para que el propietario de activo de información
la clasifique.

8.2.2 Etiquetado de la información. [O]

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

[O]= EL control dice que se deben desarrollar e implementar un conjunto de

procedimientos para etiquetar la información.

8.2.3 Manipulado de la información. [O]

[O]= EL control dice que se deben desarrollar e implementar un conjunto de
procedimientos para manipular la información.

8.3 Manipulación de los soportes

8.3.1 Gestión de soportes extraíbles. [O]

[O]= El control menciona que se deben implementar procedimientos para la gestión de
soportes extraíbles y en la guía de control dan algunas directrices a tener en cuenta.

8.3.2 Eliminación de soportes. [O]

[O]= Menciona algunas directrices a tener en cuenta para la eliminación segura de
soportes.

8.3.3 Soportes físicos en tránsito. [O]

[O]= Menciona algunos puntos a tener en cuenta al trasportar fuera de la organización
soportes que contengan información.

Categoría 9. Control de acceso

9.1 Requisitos del negocio para el control de acceso

9.1.1 Política de control de acceso. [O] [N] [T]

[O]= Dado que contempla acceso físico
[N]= Para establecer la política se debe tener en cuenta la legislación aplicable relativa a
la limitación de acceso a datos y servicios.
[T]= Dado que contempla también acceso lógico.

9.1.2 Acceso a las redes y a los servicios de red. [T] [O]

[T]=Dado que los procedimientos para otorgar o denegar permisos en la red son
técnicos.
[O]= Menciona que se debe formular la política.

9.2 Gestión de acceso de usuario

9.2.1 Registro y baja de usuario. [O] [T]

[O]=El control menciona que debe implantarse un procedimiento.
[T]= El registro y baja de usuario requieren de procedimientos técnicos.

9.2.2 Provisión de acceso de usuario. [O] [T]

[O]=El control menciona que debe implantarse un procedimiento.
[T]= La provisión de acceso de usuario requieren de procedimientos técnicos.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

9.2.3 Gestión de privilegios de acceso. [O] [T]

[O]= La identificación de derechos de acceso y de necesidades de uso son de orden
organizativo.
[T]=La provisión de privilegios de acceso requiere de procedimientos técnicos.

9.2.4 Gestión de la información secreta de la autenticación de usuario. [O] y [T]

[O]= Se bebe establecer un proceso formal de gestión

9.2.5 Revisión de los derechos de acceso de usuario. [T]

[T]= La revisión de derechos de acceso y cuentas privilegiadas se realiza a través de
procedimientos técnicos.

9.2.6 Retirada o reasignación de los derechos de acceso. [T] [O]

[T]= Los procedimientos para la retirada o reasignación de derechos de acceso son
técnicos.
[O]= en la información adicional menciona que se debe informar a los demás empleados
que se ha presentado la novedad para que no comparta más información con el
empleado saliente.

9.3 Responsabilidades del usuario.

9.3.1 Uso de la información secreta de autenticación [O]

[O]= Dado que se basa en la concientización del usuario.

9.4 Control de acceso a sistemas y aplicaciones

9.4.1 Restricción de acceso a la información. [T]

[T]= Los requisitos mencionados en la guía de implantación son de orden técnico.

9.4.2 Procedimientos seguros de inicio de sesión. [T]

[T]= la guía de implantación menciona diferentes directrices para llevar a cabo una
autenticación adecuada para confirmar la identidad. Tales como el uso de diferentes
dispositivos, contraseñas encriptadas entre otros.

9.4.3 Sistema de gestión de contraseñas. [T]

[T]= Los procedimientos para gestión y políticas de contraseñas mencionados en al guía
de implantación son de orden técnico.

9.4.4 Uso de utilidades con privilegios del sistema. [T]

[T]= El control y su guía de implantación se refiere únicamente a software que pueda
eliminar controles del sistema.

9.4.5 Control de acceso al código fuente de los programas. [T]

[T]=Las directrices mencionadas en la guía de implantación para controlar el acceso a
código fuente son procedimientos técnicos.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Feo Calderón
Gestión de la
01/02/2019
Seguridad
Nombre: Daniel Andres

Bibliografía

Villafuerte, D. R., & Constante, J. V. (2012). Análisis e Implementación de la Norma

ISO 27002 para el Departamento de Sistemas de la Universidad Politécnica
Salesiana Sede Guayaquil. Recuperado el 3 de 2 de 2020, de
http://dspace.ups.edu.ec/bitstream/123456789/3163/1/ups-gt000319.pdf
Valduciel, H. R. (2018). Plan De Implementación De La ISO/IEC 27001:2013.
Recuperado el 3 de 2 de 2020, de https://morebooks.de/store/de/book/plan-de-
implementación-de-la-iso-iec-27001:2013/isbn/978-620-2-11925-2
Cornejo, G. F., & Yungazaca, L. A. (2012). Guía Metodológica para la Implementación
de un sistema Integrado de Gestión en la Empresa CORTIPLAST S.A.
Recuperado el 3 de 2 de 2020, de
http://dspace.ups.edu.ec/bitstream/123456789/3327/1/ups-gt000353.pdf
Carravilla, D. F. (2013). Introducción a los sistemas de gestión de la seguridad basados
en ISO 27001 y desarrollo de herramienta de soporte a la implantación.
Recuperado el 3 de 2 de 2020, de http://oa.upm.es/32394
dom, s. (2014). ¿Cómo implantar un SGSI en un PYME según la ISO 27001? Objetivos
del SGSI y certificación. Recuperado el 3 de 2 de 2020, de
https://isotools.org/2014/07/29/como-implantar-un-sgsi-en-un-pyme-segun-la-
iso-27001-objetivos-del-sgsi-y-certificacion
Freire, R., & José, M. (2015). Migración de un SGSI basado en ISO/IEC 27001:2005 a
la versión ISO/IEC 27001:2013. Recuperado el 3 de 2 de 2020, de
http://dspace.espol.edu.ec/xmlui/handle/123456789/31352
García, V., & Javier, C. (2013). Metodología para alinear la ISO 27001 al modelo
operativo de una entidad aseguradora: caso de estudio. Recuperado el 3 de 2 de
2020, de https://repository.unimilitar.edu.co/handle/10654/10417
Castaño, L., & Alberto, L. (2013). Sistema de gestión de seguridad de la información en
el Club Militar desde la norma ISO 27001:2005. Recuperado el 3 de 2 de 2020,
de https://repository.unimilitar.edu.co/handle/10654/10661

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)