PLAN DE IMPLEMENTACIN DE LA ISO/IEC 27001: 2005

ORGANIZACION UNIVERSITARIA

TRABAJO FINAL DE MASTER

Elaborado por: LORENA SUAREZ SIERRA

MASTER INTERUNIVERSITARIO EN SEGURIDAD DE LAS TIC

(MISTIC)
JUNIO 2013

1
ISO/IEC
27001

INDICE

INTRODUCCION

PREMBULO LAS NORMAS ISO/IEC 27000 ..

FASE 1: SITUACIN ACTUAL. .

1.2. ANALISIS DIFERENCIAL

1.3. ALCANCE ..

16

1.4. PLAN DIRECTOR .

16

2. FASE 2: SISTEMA DE GESTION DOCUMENTAL

16

3. FASE 3: ANALISIS DE RIESGOS

18

4. FASE 4: PLAN DE TRATAMIENTO DE RIESGOS . 18

5. FASE 5: AUDITORIA DE CUMPLIMIENTO .

18

6. CONCLUSIONES .

20

7. BIBLIOGRAFIA .

21

2
ISO/IEC
27001

INTRODUCCION

La utilizacin de la tecnologa de la informacin y las comunicaciones ha permitido a las

empresas ampliar su cobertura en servicios y hacerla cada da ms competitivas,
ofrecindoles a sus clientes una gran gama de posibilidades para acceder a ellos. As
mismo las TIC, han permitido que las empresas lleven de manera remota los procesos
administrativos as como la comunicacin entre sus empleados necesarios para su
funcionamiento. En este sentido, las facilidades de comunicacin para las empresas de
hoy, las ha conllevado a ser ms vulnerables o atacadas por cualquier persona que
tenga el conocimiento o tal vez por una organizacin delincuencial que utiliza diferentes
herramientas tecnolgicas para afectar a sus vctimas y obtener beneficios.
El mismo servicio en la web que las empresas de hoy presta a sus clientes, los ha
afectado a ellos de alguna manera, por cuanto a travs de los pagos en lnea que han
realizado para la compra de servicios, consultas, actualizacin de datos, entre otros son
aprovechados tambin por los delincuentes para acceder a sus claves o contraseas, a
sus computadoras personales para copia y/o eliminacin de su informacin entre otras. Lo
anterior hace que de alguna forma, los clientes se nieguen a realizar transacciones a
travs de estos medios de comunicacin masiva como internet perdiendo las
organizaciones posibles clientes potenciales a nivel mundial. En este orden las empresas
deben garantizar a sus clientes una transaccin protegida, as como las orientaciones
pertinentes para evitar fraudes internauticos.
En concordancia con la necesidad de las empresas de asegurar su informacin adems
de sus dispositivos computacionales y de comunicacin, de manera organizada,
sistemtica, documentada y conocida, que involucre todos los aspectos fsicos, lgicos y
humanos de la organizacin. ISO como organizacin Internacional de Estndares, ha
definido el estndar ISO 27001 para La gestin de la seguridad de la informacin anunciando
: El propsito de un sistema de gestin de la seguridad de la informacin es, por

tanto, garantizar que los riesgos de la seguridad de la informacin sean conocidos,

asumidos, gestionados y minimizados por la organizacin de una forma
documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las tecnologas.
http://www.iso27000.es/sgsi.html.
Con el desarrollo de este trabajo se presenta el establecimiento de las bases para
implementacin de un Sistema de Gestin de la Seguridad de la Informacin SGSI
con las normas de la ISO/IEC 27001:2005 en una empresa real, quin
proporcionar todos los insumos y colaboracin necesaria para el desarrollo del
3
ISO/IEC
27001

proyecto, lo cual redundar en su beneficio. Para la coherencia y organizacin del

trabajo, se desarrollar en 6 fases secuenciales as: fase 1: Situacin actual, fase
2: Sistema de gestin documental, fase 3: Anlisis de riesgos, fase 4: Plan de
tratamiento de riesgos y fase 5: Auditora de cumplimiento.

4
ISO/IEC
27001

Prembulo Las normas ISO/IEC 27000

La serie ISO/IEC 27000, es un conjunto de normas de gestin de la seguridad de
la informacin con la IEC (International Electrotechnical Commission), comisin
internacional de electrotena, tiene algunas similitudes a la familia de las normas
de gestin de la calidad ISO 9000. Cada una de las normas de la familia 27000,
define y centra todos los aspectos importantes en el contexto de la gestin de la
seguridad de la informacin en cualquier empresa pequea, mediana o grande,
as como pblicas y privadas.
A continuacin se relacionan en la siguiente tabla No. 3, la temtica que define
cada norma.
Tabla No. 3 Relacin de serie de las normas ISO/IEC 27000
Normas
ISO 27000
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27006
ISO 27007
ISO/IEC TR 27008:
ISO/IEC 27010:

Temtica
Gestin de la seguridad de la informacin ( Fundamentos
y vocabulario)
Especificaciones para un SGSI
Cdigo de buenas prcticas
Gua de implantacin de un SGSI
Sistema de mtricas e indicadores
Gua de anlisis y gestin de riesgos
Especificaciones para Organismos Certificadores de
SGSI.
Gua para auditar un SGSI.
Gua de auditora de los controles seleccionados en el
marco de implantacin de un SGSI
Gua para la gestin de la seguridad de la informacin
cuando se comparte entre organizaciones o sectores.

5
ISO/IEC
27001

1. FASE 1: SITUACION ACTUAL. CONTEXTUALIZACION, OBJETIVOS Y

ANALISIS DIFERENCIAL
Descripcin y entorno de la actividad de la empresa
La empresa seleccionada para la implementacin de la ISO/IEC 27001:2005, es
una universidad de formacin de pregrado y postgrado de modalidad presencial de
orden regional. Posee una estructura jerrquica, donde el rector es la mxima
autoridad despus del consejo superior, quin es el encargado de la toma de
decisiones importantes que involucren aspectos presupuestales, reorganizacin o
cambios estructurales de la institucin, creacin de nuevos programas de
formacin, proyectos de inversin entre otras. La universidad posee dos sedes,
donde ofrece sus programas, ubicados en ciudades diferentes. La empresa se
encuentra organizada operativamente a travs del modelo por procesos, la cual
se esquematiza en el grfico 1.
Grafico No. 1 Organizacin por mapa de procesos

Por ser una entidad universitaria sus clientes son los estudiantes matriculados en
los diferentes programas de formacin de pregrado y postgrado que actualmente
ofrece con 12.285 estudiantes en una sede y en la otra sede 645 estudiantes en
pregrado y 35 estudiantes en postgrado. Tambin posee empleados acadmicos
y administrativos, es decir, acadmicos como el personal docente, que se encarga
de la atencin estudiantil y algunos procesos acadmicos y el personal
6
ISO/IEC
27001

administrativo encargada de toda la operatividad de la institucin que incluye las

dependencias de recursos humanos, jurdicos, inventarios, tesorera, contabilidad,
entre otros. En la siguiente tabla se encuentra la relacin de empleados en las dos
reas anunciadas con un total del 698 empleados. Por el nmero de empleados
que posee la empresa, esta es considerada una empresa mediana
Tabla No. 1 Listado de empleados acadmicos y administrativos

Tipos de empleados

Nmero de empleados

Acadmicos (docentes)

478

Administrativos(
funcionarios)

220

Total empleados

698

Actualmente la oficina de sistemas es la encargada de administrar, dar soporte,

desarrollar sistemas de informacin y responsabilizarse de toda la infraesctructura
tecnolgica de la universidad, tiene 5 empleados, nicamente de planta la jefe de
sistemas y el otro personal se encuentra por contractos a trmino fijo muy cortos,
lo cual no garantiza el compromiso de parte de los empleados por la preservacin
y seguridad de los activos que actualmente posee la universidad.

1.2 ANALISIS DIFERENCIAL

Estado inicial de la seguridad
En relacin a la evaluacin de la aplicabilidad e implementacin de los controles
de la ISO/IEC 27001 e ISO/IEC 27002, en la empresa, se puede determinar que el
sistema de seguridad es bajo, ya que a pesar de existen implementados algunos
controles, la mayora no estn implementados o medianamente implementados. El
nivel de seguridad bajo que actualmente posee la empresa, se puede observar en
la evaluacin de cada uno de los controles que se realizaron a travs de la tabla 2
de Anlisis diferencial de la institucin.

7
ISO/IEC
27001

Tabla No. 2 Anlisis diferencial de la empresa seleccionada

Seccin
C
C.4
C.5
C.6
C.7
C.8
A.5
A.5.1
A.5.1.1

Control

Aplica

Clusulas
Sistemas de Gestin de la Seguridad de
la Informacin
Responsabilidad de la direccin
Auditoras Internas del SG
Revisin por la direccin
Mejora del SG
POLTICA DE SEGURIDAD
Poltica de seguridad de la informacin
Documento de poltica de seguridad de la
informacin
Revisin de la poltica de seguridad de la
informacin
ASPECTOS ORGANIZATIVOS DE LA
SEGURIDAD DE LA INFORMACION
Organizacin interna
Compromiso de la Direccin con la
seguridad de la informacin
Coordinacin de la seguridad de la
informacin
Asignacin de responsabilidades relativas
a la seguridad de la informacin

Estado

Observaciones

No aplica

No aplica

No aplica
No aplica
No aplica
No aplica

No aplica
No aplica
No aplica
No aplica

Le falta la
aprobacin

Aplica

Parcialmente
implementado
Sin implementar

Aplica

Sin implementar

Existe
desconocimiento

Aplica

Sin implementar

Aplica

Parcialmente
implementado

Aplica

Implementado

A.6.1.5

Proceso de autorizacin de recursos para

el procesado de la informacin
Acuerdos de confidencialidad

Aplica

Parcialmente
implementado

A.6.1.6

Contacto con las autoridades

Aplica

A.6.1.7
A.6.1.8

Contacto con grupos de especial inters

Revisin independiente de la seguridad
de la informacin

Aplica
Aplica

Parcialmente
implementado
Sin implementar
Parcialmente
implementado

A.6.2
A.6.2.1

Terceros
Identificacin de los riesgos derivados del
acceso de terceros
Tratamiento de la seguridad en la
relacin con los clientes
Tratamiento de la seguridad en contratos
con terceros

A.5.1.2
A.6
A.6.1
A.6.1.1
A.6.1.2
A.6.1.3

A.6.1.4

A.6.2.2
A.6.2.3

Aplica

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Responsabilidades
a nivel de
seguridad
perimetral y control
de acceso a SI
PRESUPUESTAL
Solo implementado
parcialmente para
contratistas
Con el equipo
forense del CTI
Contratacin
externa para
seguridad
perimetral con la
firma GLOBALTEK
SECURITY

8
ISO/IEC
27001

A.7
A.7.1
A.7.1.1
A.7.1.2

GESTIN DE ACTIVOS
Responsabilidad sobre los activos
Inventario de activos
Propiedad de los activos

A.7.1.3
A.7.2
A.7.2.1

A.7.2.2

Aplica
Aplica

Implementado
Implementado

Uso aceptable de los activos

Clasificacin de la informacin
Directrices de clasificacin

Aplica

Implementado

Aplica

Sin implementar

Aplica

Sin implementar

A.8.1
A.8.1.1

Etiquetado y manipulado de la
informacin
SEGURIDAD LIGADA A LOS
RECURSOS HUMANOS
Antes del empleo
Funciones y responsabilidades

Aplica

A.8.1.2

Investigacin de antecedentes

Aplica

Parcialmente
implementado
Implementado

Solo para recurso

humano en planta
Procuraduria y
contralora

A.8.1.3

Trminos y condiciones de contratacin

Aplica

Implementado

Clusulas de
confidencialidad en
contratos cuando
as es requerido.

A.8.2
A.8.2.1
A.8.2.2

Durante el empleo
Responsabilidades de la Direccin
Concienciacin, formacin y capacitacin
en seguridad de la informacin

Aplica
Aplica

Sin implementar
Parcialmente
implementado

A.8.2.3
A.8.3

Aplica

Sin implementar

A.8.3.1

Proceso disciplinario
Cese del empleo o cambio de puesto de
trabajo
Responsabilidad del cese o cambio

Aplica

Parcialmente
implementado

A.8.3.2

Devolucin de activos

Aplica

Implementado

A.8.3.3

Retirada de los de derechos de acceso

Aplica

Parcialmente
implementado

A.8

Responsabilidad de
activos

No existen polticas
de clasificacin de
informacin

Slo para
responsable del
Centro de Cmputo
se ha dado
formacin y
participacin en
eventos de
seguridad
informtica

La responsabilidad
de notificacin es
de la Oficina de
talento humano
Los bienes en
delegacin se
entregan al finalizar
un contrato o un
nombramiento
Para los SI siempre
y cuando la Oficina
de Informtica sea
notificada del retiro
del funcionario o

9
ISO/IEC
27001

contratista.
A.9
A.9.1
A.9.1.1
A.9.1.2
A.9.1.3

SEGURIDAD FSICA Y AMBIENTAL

reas seguras
Permetro de seguridad fsica
Controles fsicos de entrada
Seguridad de oficinas, despachos e
instalaciones

A.9.1.4

Aplica
Aplica
Aplica

Implementado
Implementado
Parcialmente
implementado

Aplica

Implementado

Aplica
Aplica

Implementado
Implementado

A.9.2
A.9.2.1

Proteccin contra las amenazas externas

y de origen ambiental
Trabajo en reas seguras
reas de acceso pblico y de carga y
descarga
Seguridad de los equipos
Emplazamiento y proteccin de equipos

Aplica

A.9.2.2
A.9.2.3

Instalaciones de suministro
Seguridad del cableado

Aplica
Aplica

A.9.2.4

Mantenimiento de los equipos

Aplica

Parcialmente
implementado
Sin implementar
Parcialmente
implementado
Parcialmente
implementado

A.9.2.5

Seguridad de los equipos fuera de las

instalaciones
Reutilizacin o retirada segura de
equipos
Retirada de materiales propiedad de la
empresa

No aplica

A.9.1.5
A.9.1.6

A.9.2.6
A.9.2.7

A.10

Aplica

Sin implementar

Aplica

Parcialmente
implementado

Aplica

Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado

A.10.1.2

GESTIN DE COMUNICACIONES Y
OPERACIONES
Responsabilidades y procedimientos de
operacin
Documentacin de los procedimientos de
operacin
Gestin de cambios

A.10.1.3

Segregacin de tareas

Aplica

A.10.1.4

Separacin de los recursos de desarrollo,

prueba y operacin

Aplica

A.10.2

Gestin de la provisin de servicios por

terceros
Provisin de servicios
Supervisin y revisin de los servicios
prestados por terceros
Gestin de cambios en los servicios
prestados por terceros
Planificacin y aceptacin del sistema

A.10.1
A.10.1.1

A.10.2.1
A.10.2.2
A.10.2.3
A.10.3

Aplica

Aplica
Aplica

Implementado
Implementado

Aplica

Parcialmente
implementado

Algunas oficinas
presentan
deficiencias

Limitaciones para
el mantenimiento
de algunos equipos

Existe deficiencias
en control de la
vigilancia

Existe separacin
de los recursos
para desarrollo de
software

10
ISO/IEC
27001

A.10.3.1
A.10.3.2
A.10.4

Gestin de capacidades
Aceptacin del sistema
Proteccin contra cdigo malicioso y
descargable
Controles contra el cdigo malicioso

Aplica
Aplica

Sin implementar
Sin implementar

Aplica

A.10.4.2

Controles contra el cdigo descargado en

el cliente

Aplica

Parcialmente
implementado
Parcialmente
implementado

A.10.5
A.10.5.1
A.10.6
A.10.6.1

Copias de seguridad
Copias de seguridad de la informacin
Gestin de la seguridad de las redes
Controles de red

A.10.6.2

Seguridad de los servicios de red

A.10.7
A.10.7.1
A.10.7.2
A.10.7.3

Manipulacin de los soportes

Gestin de soportes extra-bles
Retirada de soportes
Procedimientos de manipulacin de la
informacin
Seguridad de la documentacin del
sistema
Intercambio de informacin
Polticas y procedimientos de intercambio
de informacin

A.10.4.1

A.10.7.4
A.10.8
A.10.8.1

Aplica

Implementado

Aplica

Parcialmente
implementado
Parcialmente
implementado

Aplica

No aplica
No aplica
Aplica
Aplica

Parcialmente
implementado
Parcialmente
implementado

Aplica

Parcialmente
implementado
Sin implementar
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado

A.10.8.2
A.10.8.3

Acuerdos de intercambio
Soportes fsicos en trnsito

Aplica
Aplica

A.10.8.4

Mensajera electrnica

Aplica

A.10.8.5

Sistemas de informacin empresariales

Aplica

A.10.9
A.10.9.1
A.10.9.2
A.10.9.3
A.10.10
A.10.10.1

Servicios de comercio electrnico

Comercio electrnico
Transacciones en lnea
Informacin puesta a disposicin pblica
Supervisin
Registro de auditoras

A.10.10.2

Supervisin del uso del sistema

Aplica

A.10.10.3

Aplica

A.10.10.4
A.10.10.5

Proteccin de la informacin de los

registros
Registros de administracin y operacin
Registro de fallos

A.10.10.6

Sincronizacin del reloj

Aplica

Aplica
Aplica
Aplica

Implementado
Implementado
Implementado

Aplica

Parcialmente
implementado
Parcialmente
implementado
Implementado

Aplica
Aplica

Proteccin con
antivirus
corporativo y
polticas en el
firewall

Sin implementar
Parcialmente
implementado
Implementado

Los servidores
tiene la hora

11
ISO/IEC
27001

nacional de
Cmara de
comercio.
A.11
A.11.1
A.11.1.1
A.11.2
A.11.2.1
A.11.2.2
A.11.2.3
A.11.2.4
A.11.3
A.11.3.1
A.11.3.2
A.11.3.3

CONTROL DE ACCESO
Requisitos de negocio para el control de
acceso
Poltica de control de acceso
Gestin de acceso de usuario
Registro de usuario
Gestin de privilegios
Gestin de contraseas de usuario
Revisin de los derechos de acceso de
usuario
Responsabilidades de usuario
Uso de contrasea

Aplica

Parcialmente
implementado

Aplica
Aplica
Aplica
Aplica

Implementado
Implementado
Implementado
Parcialmente
implementado

Aplica

Parcialmente
implementado
Sin implementar
Parcialmente
implementado

Equipo de usuario desatendido

Pol-tica de puesto de trabajo despejado
y pantalla limpia
Control de acceso a la red
Poltica de uso de los servicios en red

Aplica
Aplica

Autenticacin de usuario para conexiones

externas
Identificacin de equipos en las redes
Diagnstico remoto y proteccin de los
puertos de configuracin

Aplica

A.11.4.5

Segregacin de las redes

Aplica

A.11.4.6

Control de la conexin a la red

Aplica

A.11.4.7

Aplica

A.11.5.2
A.11.5.3

Control de encaminamiento (routing) de

red
Control de acceso al sistema operativo
Procedimientos seguros de inicio de
sesin
Identificacin y autenticacin de usuario
Sistema de gestin de contraseas

A.11.5.4

Uso de los recursos del sistema

Aplica

A.11.5.5

Desconexin automtica de sesin

Aplica

A.11.5.6

Limitacin del tiempo de conexin

Aplica

A.11.6

Control de acceso a las aplicaciones y a

la informacin
Restriccin del acceso a la informacin
Aislamiento de sistemas sensibles
Ordenadores porttiles y teletrabajo

A.11.4
A.11.4.1
A.11.4.2
A.11.4.3
A.11.4.4

A.11.5
A.11.5.1

A.11.6.1
A.11.6.2
A.11.7

Aplica

Aplica
Aplica

Parcialmente
implementado
Parcialmente
implementado
Implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado

Aplica

Implementado

Aplica
Aplica

Implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado

Aplica
Aplica

Implementado
Implementado

12
ISO/IEC
27001

A.11.7.1

Aplica

Sin implementar

No aplica

Sin implementar

Aplica

Parcialmente
implementado

A.12.2
A.12.2.1

Ordenadores porttiles y comunicaciones

mviles
Teletrabajo
ADQUISICIN,DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIN
Requisitos de seguridad de los sistemas
de informacin
Anlisis y especificacin de los requisitos
de seguridad
Tratamiento correcto de las aplicaciones
Validacin de los datos de entrada

Aplica

A.12.2.2

Control del procesamiento interno

Aplica

A.12.2.3

Integridad de los mensajes

Aplica

A.12.2.4

Validacin de los datos de salida

Aplica

Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado

A.12.3
A.12.3.1
A.12.3.2

Controles criptogrficos
Poltica de uso de los controles
criptogrficos
Gestin de claves

A.12.4
A.12.4.1

Seguridad de los archivos de sistema

Control del software en explotacin

A.12.4.2

Proteccin de los datos de prueba del

sistema
Control de acceso al cdigo fuente de los
programas
Seguridad en los procesos de desarrollo
y soporte
Procedimientos de control de cambios

Aplica

Revisin tcnica de las aplicaciones tras

efectuar cambios en el sistema operativo
Restricciones a los cambios en los
paquetes de software
Fugas de informacin
Externalizacin del desarrollo de software

Aplica

A.11.7.2
A.12

A.12.1
A.12.1.1

A.12.4.3
A.12.5
A.12.5.1
A.12.5.2
A.12.5.3
A.12.5.4
A.12.5.5
A.12.6
A.12.6.1
A.13
A.13.1
A.13.1.1
A.13.1.2

Gestin de la vulnerabilidad tcnica

Control de las vulnerabilidades tcnicas
GESTIN DE INCIDENTES EN LA
SEGURIDAD DE LA INFORMACIN
Notificacin de eventos y puntos dbiles
de la seguridad de la informacin
Notificacin de los eventos de seguridad
de la informacin
Notificacin de puntos dbiles de la
seguridad

Aplica

Sin implementar

Aplica

Parcialmente
implementado

Aplica

Parcialmente
implementado
Parcialmente
implementado
Implementado

Aplica

Aplica

Aplica

Parcialmente
implementado
Parcialmente
implementado
Sin implementar

Aplica
Aplica

Sin implementar
Parcialmente
implementado

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

13
ISO/IEC
27001

A.13.2

A.15
A.15.1
A.15.1.1

Gestin de incidentes de seguridad de la

informacin y mejoras
Responsabilidades y procedimientos
Aprendizaje de los incidentes de
seguridad de la informacin
Recopilacin de evidencias
GESTIN DE LA CONTINUIDAD DEL
NEGOCIO
Aspectos de seguridad de la informacin
en la gestin de la continuidad del
negocio
Inclusin de la seguridad de la
informacin en el proceso de gestin de
la continuidad del negocio
Continuidad del negocio y evaluacin de
riesgos
Desarrollo e implantacin de planes de
continuidad que incluyan la seguridad de
la informacin
Marco de referencia para la planificacin
de la continuidad del negocio
Pruebas, mantenimiento y reevaluacin
de planes de continuidad
CUMPLIMIENTO
Cumplimiento de los requisitos legales
Identificacin de la legislacin aplicable

A.15.1.2

Derechos de propiedad intelectual (DPI)

Aplica

A.15.1.3

Proteccin de los documentos de la

organizacin
Proteccin de datos y privacidad de la
informacin personal
Prevencin del uso indebido de los
recursos de tratamiento de la informacin
Regulacin de los controles criptogrficos
Cumplimiento de las polticas y normas
de seguridad y cumplimiento tcnico
Cumplimiento de las polticas y normas
de seguridad
Comprobacin del cumplimiento tcnico
Consideraciones de las auditoras de los
sistemas de informacin
Controles de auditora de los sistemas de
informacin
Proteccin de las herramientas de
auditor-a de los sistemas de informacin

Aplica

A.13.2.1
A.13.2.2
A.13.2.3
A.14
A.14.1

A.14.1.1

A.14.1.2
A.14.1.3

A.14.1.4
A.14.1.5

A.15.1.4
A.15.1.5
A.15.1.6
A.15.2
A.15.2.1
A.15.2.2
A.15.3
A.15.3.1
A.15.3.2

Aplica
Aplica

Sin implementar
Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Aplica

Parcialmente
implementado
Parcialmente
implementado
Parcialmente
implementado
Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Sin implementar

Aplica

Parcialmente
implementado
Parcialmente
implementado

Aplica

En el siguiente grfico 1, obtenido de la tabla resumen del anlisis diferencial,

sobre el grupo de controles de la normativa ISO/IEC 27000 se ilustra el estado
14
ISO/IEC
27001

actual de implementacin de controles de seguridad de la informacin en la

institucin universitaria.

Tabla No. 3 Resumen anlisis diferencial

CONTROLES DE SEGURIDAD

ESTADO

Poltica de Seguridad

Gestin de comunicacin y operaciones

Control de acceso

10

Adquisicin de desarrollo y mantenimiento de los sistemas de

informacin

Gestin de incidentes de la seguridad de la informacin

Gestin de la continuidad del negocio

Cumplimiento

Grfico No. 1 Estado anlisis diferencial

ESTADO ACTUAL CONTROLES IMPLEMETADOS

Poltica de Seguridad
10
8
Cumplimiento

Gestin de
comunicacin y
operaciones

6
4
2

Gestin de la
continuidad del
negocio

ESTADO

0
Control de acceso

Gestin de
incidentes de la
seguridad de la
informacin

Adquisicin de
desarrollo y
mantenimiento de
los sistemas de

15
ISO/IEC
27001

1.3 Alcance
Teniendo en cuenta que la organizacin que se ha seleccionado para este
proyecto de implementacin de acuerdo a la normativa ISO/IEC 27001:2005 es
una empresa mediana que posee procesos acadmicos y administrativos y
presenta un nivel de seguridad bajo, es necesario empezar por las reas o
servicios que la empresa presta para cumplir su misin institucional, es decir,
salvaguardar todos los sistemas de informacin que permiten dar un buen servicio
a los estudiantes como clientes potenciales. En concreto, se debe implementar
todos los controles de seguridad necesarios en todos los procesos acadmicos de
la organizacin universitaria escogida ms an en los controles crticos que se
evaluaron en el anlisis diferencial reflejado en la tabla 2, anexada anteriormente.
A continuacin se relacionan el grupo de controles de la norma que son de
carcter crticos en la empresa por no tenerlos implementados y marcan el nivel
de seguridad actual de la empresa.

Poltica de Seguridad
Gestin de comunicacin y operaciones
Control de acceso
Adquisicin de desarrollo y mantenimiento de los sistemas de informacin
Gestin de incidentes de la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento

1.4 Plan director

Objetivos Generales
Elaborar el plan de implementacin de Sistema de Gestin de la Seguridad de la
Informacin bajo la ISO/IEC 27001:2005 del rea acadmica de la universidad.
Objetivos especficos
Analizar y conocer a fondo el grado de seguridad de informacin que
actualmente posee la empresa
Realizar planes de accin que permitan involucrar al personal encargado de
la oficina de sistemas para todo el procesos de planeacin para la
implementacin del SGSI
16
ISO/IEC
27001

 Realizar el anlisis de riesgos para la evaluacin exahustiva de los activos

que la empresa actualmente posee y la valoracin de los mismos.
Proponer las medidas correctoras planificadas para garantizar el nivel de
seguridad ms adecuado a las necesidades de la universidad.
Definir los documentos que soportan los sistemas de seguridad de la
organizacin
Definir los planes de continuidad de negocio necesario para la preservacin
en caso de incidentes
Determinar las amenazas a las que se encuentra expuesta la organizacin
Definir los costos de inversin que aseguren la implentacin del SGSI con
todos los recursos fsicos, lgicos y de personal necesario.
Definir los planes de capacitacin para la formacin en el rea de la
seguridad informtica al personal de la oficina de sistemas de la
universidad.

17
ISO/IEC
27001

2. FASE 2: SISTEMA DE GESTION DOCUMENTAL

En esta fase se relacionan todos los documentos que definen la ISO/IEC 27001
necesarios para certificar el sistema de gestin de seguridad implantados en la
universidad. Cada documento se desarrolla en forma independiente, los cuales se
relacionan y describen a continuacin de manera resumida. .
Poltica de Seguridad:

En este documento se especifica toda la normativa interna de la institucin con el

objetivo de que los funcionarios conozcan y cumplan sobre el sistema de gestin
de la seguridad informtica (SGSI) implantado. As mismo contempla todos los
aspectos orientados al acceso a la informacin, utilizacin de los activos fsicos y
lgicos de la organizacin y el comportamiento que deben hace en caso de que
ocurra un incidente de seguridad.

Gestin de roles y responsabilidades

El SGSI, implantado en la institucin se compone de un grupo que se encarga de
crear, mantener, revisar , auditar y mejorar el sistema. Por lo tanto se hace
necesario especificar en este documento los compromisos y responsabilidades
que asume el equipo de trabajo que se estipula como comit de seguridad. En
dicho comit hace parte por lo menos una persona de direccin para tener el
respaldo de las directivas institucionales las decisiones que se requieran tomar.
Procedimientos de revisin por direccin
La revisin por direccin es uno de los aspectos que contempla la normativa
ISO/IEC 27001:2005 para la revisin anualmente de los aspectos ms importantes
que se han presentado con relacin al SGSI implantados, revisando los elementos
de entrada y salida de la revisin que establece la norma. De esta manera la
direccin puede verificar y/o monitorear el sistema y establecer compromisos para
realizar las mejoras necesarias.
Procedimientos de auditoras internas

18
ISO/IEC
27001

En este documento, se presenta toda la planificacin de la auditora que se debe

realizar para mantener la vigencia de certificacin obtenida en la implantacin del
SGSI de la institucin. En dicho documento se establecen los requisitos que los
auditores internos deben tener y se establece la forma como se presentar el
informe de la auditora.
Declaracin de aplicabilidad
En este documento se especifican todos los controles de seguridad que se
establecieron en la organizacin y con el detalle de su aplicabilidad y descripcin
de cada uno.
Los anteriores documentos relacionados se anexan en archivos independientes en
pdf.
3. FASE 3: METODOLOGIA DE ANALISIS DE RIESGOS
El anlisis de riesgos es el proceso que determina el estado actual de la institucin
sobre la seguridad de la informacin. A travs de este proceso se identifican las
reas que requieren medidas de proteccin. Para el caso de la institucin el rea
identificada, es la parte acadmica teniendo en cuenta que es la razn de ser de la
universidad y es su componente misional.
Esta fase se desarroll en un documento independiente por cuanto la realizacin
de este proceso es extensa y contiene elementos que se deben contemplar en
forma independiente, ordenada y comprensible para la institucin y verificacin.
Entre los componentes del documento se tiene el inventario de activos del rea
acadmica de la empresa, valoracin de los activos, el anlisis de las amenazas,
la estimacin del riesgo entre otras. El archivo que se adjunta tambin se
encuentra en un formato en pdf.

4. FASE 4: PLAN DE TRATAMIENTO DE RIESGOS

En el plan de tratamiento de riesgos se indican todas las medidas de seguridad o
controles que son necesarios para reducir los riesgos por cada activo, es decir
todas las acciones que sern necesarias para implementar controles. Este plan de
tratamiento tambin se estipula en un documento independiente en pdf.

19
ISO/IEC
27001

5. FASE 5: AUDITORIA DE CUMPLIMIENTO

En esta fase se evala la madurez de la seguridad en los que corresponde a los
diferentes dominios de control y los 133 controles planteados por la ISO/IEC
27002:2005 Tambin se anexa en forma independiente en formato en pdf por su
extensin y necesidad de especificacin.

20
ISO/IEC
27001

6. CONCLUSIONES

Implantar un Sistema de Gestin de la seguridad informtica (SGSI) bajo la

normativa ISO/IEC 27001:2005 en una organizacin real, permite en forma
positiva identificar el estado en que se encuentran la seguridad los sistemas de
informacin en las empresas y viviendo de primera mano la falta de
conocimiento, sobre la necesidad de proteccin de la informacin como el
activo ms importante de las empresas y que ellas, an no han ni siquiera
estimado o contemplado los riesgos o perdidas econmicas y los impactos que
podran tener si llegase a materializar una amenaza de seguridad a los
sistemas de informacin que poseen para desarrollo de su actividad misional.
Otra de las conclusiones que se pueden presentar de este proyecto, es la
experiencia y profundizacin que el estudiante obtiene al desarrollar cada uno
de los elementos o aspectos que se deben realizar para una la implantacin de
un SGSI bajo la normativa ISO.
Es de anotar que realizar la implantacin de un SGSI con xito en una
empresa, requiere tiempo, dedicacin y compromiso tanto de los funcionarios
como de las directivas de la empresa.

21
ISO/IEC
27001

7. BIBLIOGRAFIA

Casanovas, Ins. Gestin de archivos electrnicos. , , Argentina: Alfagrama Ediciones,

2009. p 205. http://site.ebrary.com/lib/unadsp/Doc?id=10345376&ppg=205 Copyright
2009. Alfagrama Ediciones. All rights reserved.
Seguridad Informtica en Colombia. Tendencias 2008. Jeimy J. Cano, Ph.D, CFE

Gestin de la Seguridad Informtica. Universidad Oberta de Catalunya. Daniel Cruz

Allende.2007.
Casanovas, Ins. Gestin de archivos electrnicos. , , Argentina: Alfagrama Ediciones,
2009. p 205. http://site.ebrary.com/lib/unadsp/Doc?id=10345376&ppg=205 Copyright
2009. Alfagrama Ediciones. All rights reserved.
Seguridad Informtica en Colombia. Tendencias 2008. Jeimy J. Cano, Ph.D, CFE
Coordinador Segurinfo
.
Seguridad de la Informacin ISO/IEC 27001. http://www.bsigroup.es/certificacion-yauditoria/Sistemas-de-gestion/estandares-esquemas/Seguridad-de-la-InformacionISOIEC27001/
El portal de ISO 27001 en Espaol. http://www.iso27000.es/sgsi.html

Plan director de seguridad de la subdireccin general de informtica.

http://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja
&ved=0CDkQFjAC&url=http%3A%2F%2Fadministracionelectronica.gob.es%2Frec
ursos%2Fpae_000002763.pdf&ei=zJxDUZu2FNKz4AOI8oCQDw&usg=AFQjCNH
UPTHPOKrzwC6dqg3dnoqZqvO97w

22
ISO/IEC
27001