2016 - 2017

De acuerdo al documento El Sistema de Gestin de Seguridad

de la Informacin Norma UNE-ISO/IEC 17799, subido en el
EVA. (4 puntos)
1. ISO
17799
es
una
norma
internacional
que
ofrece
recomendaciones para realizar la gestin de la seguridad de
la informacin dirigidas a los responsables de iniciar, implantar o
mantener la seguridad de una organizacin.
Esta norma establece diez dominios de control que cubren por
completo la Gestin de la Seguridad de la Informacin, de estos
Usted debe revisar el primer y segundo dominio de control.
Usted como responsable a iniciar la gestin de seguridad en una
organizacin, responda las siguientes preguntas con fundamento:
Dominios de control
Para implementar dos de los diez dominios de control se tiene los
siguientes pasos segn las normas Norma UNE-ISO/IEC 17799, del
documento subido en el EVA.
1. Poltica de seguridad
El documento de la poltica de seguridad de la informacin
debiera enunciar el compromiso de la gerencia y establecer el
enfoque de la organizacin para manejar la seguridad de la
informacin. El documento de la poltica debiera contener
enunciados relacionados con:
a. una definicin de seguridad de la informacin, sus
objetivos y alcance generales y la importancia de la
seguridad
como
un
mecanismo
facilitador
para
intercambiar informacin (ver introduccin);
b. un enunciado de la intencin de la gerencia,
fundamentando sus objetivos y los principios de la
seguridad de la informacin en lnea con la estrategia y los
objetivos comerciales;
c. un marco referencial para establecer los objetivos de
control y los controles, incluyendo la estructura de la
evaluacin del riesgo y la gestin de riesgo;

d. una explicacin breve de las polticas, principios,

estndares y requerimientos de conformidad de la
seguridad de particular importancia para la organizacin,
incluyendo:
1. conformidad con los requerimientos
reguladores y restrictivos,

legislativos,

2. educacin, capacitacin y conocimiento de seguridad,

3. gestin de la continuidad del negocio,
4. consecuencias de las violaciones de la poltica de
seguridad de la informacin;
e. una definicin de las responsabilidades generales y
especficas para la gestin de la seguridad de la
informacin incluyendo el reporte de incidentes de
seguridad de la informacin;
f. referencias a la documentacin que fundamenta la
poltica; por ejemplo, polticas y procedimientos de
seguridad ms detallados para sistemas de informacin
especficos o reglas de seguridad que los usuarios
debieran observar.
2. Organizacin de la seguridad de la informacin
Los lineamientos para la implementacin deberan ser:
a. Asegurar que los objetivos de seguridad de la informacin
estn identificados, cumplan con los requerimientos
organizacionales y estn integrados en los procesos
relevantes.
b. Formular, revisar y aprobar la poltica de seguridad de la
informacin.
c. Revisar la efectividad de la implementacin de la poltica
de seguridad de la Informacin.
d. Proporcionar una direccin clara y un apoyo gerencial
visible para las iniciativas de seguridad;
e. Proporcionar los recursos necesarios para la seguridad de
la informacin;
f. Aprobar la asignacin de roles y responsabilidades
especficas para la seguridad de la informacin a lo largo
de toda la organizacin;
g. iniciar planes y programas para mantener la conciencia de
seguridad de la informacin;
h. Asegurar que la implementacin de los controles de
seguridad de la informacin sea coordinada en toda la
organizacin.

La gerencia debiera identificar las necesidades de consultora

especializada interna o externa para la seguridad de la
informacin, y revisar y coordinar los resultados de la consultora
a travs de toda la organizacin.
Dependiendo
del
tamao
de
la
organizacin,
estas
responsabilidades podran ser manejadas por un foro gerencial
dedicado o por un organismo gerencial existente, como la junta
de directores.
La organizacin de la cual se va a utilizar para este ensayo es
la empresa SALINAS RAMON CONSTRUCTORES CIA. LTDA. Se
describe la forma como se implementar los dos de los diez
dominios
de
control
segn
las
normas
descritas
anteriormente.
1. Polticas de seguridad de la informacin.
Definicin. La seguridad de la informacin dentro de la
organizacin debe garantizar que la informacin de procesos,
actividades, datos, modelo de trabajo, polticas y procesos se
encuentre protegidas.
Objetivo. El principal objetivo de este proceso es el de
proteger todos los datos que la empresa posee de cada una de
sus actividades, no sean vulnerados y de esta manera lograr que
esta se encuentre protegida ya que la informacin de cmo se
desarrollan las actividades son un activo muy importante.
Alcance. Las polticas de seguridad debe garantizar que,
dentro de todos los niveles de la organizacin, la informacin se
mantenga de segura. Estas polticas sern aplicables a todos los
individuos que se encuentren laborando dentro de la misma y
tambin se debe garantizar que estas no sean divulgadas luego
que el personal deje de laborar.
Importancia. Es de vital importancia que cada uno de los
procesos que se realicen dentro de la organizacin se
encuentren protegidas ya que son la base de cada proceso que
la misma realiza y son propias de la organizacin, estas son
creadas por el personal que labora dentro de esta. Entonces es
importante mantener segura esta informacin.
La informacin se debe proteger con la utilizacin de las normas
y leyes que existen en el pas para logra el objetivo de proteger
esta, las estrategias creadas para logra el desarrollo de la
organizacin ha requerido de un gran esfuerzo econmico e
intelectual dentro de est, por lo tanto, es un deber de la
administracin de la empresa crear las normas necesarias para
poder proteger dicha informacin. Las decisiones tomadas por la

gerencia deben ser de aplicacin inmediata a cada uno de los

integrantes que se encuentren dentro de esta y con el uso de
normas y leyes vigentes lograr que el personal que salga de la
empresa, no divulgue informacin que haya adquirido durante el
tiempo que laboro dentro de esta empresa.
El marco referencial para lograr el objetivo, se debe tener una
lista clara de las normas y leyes existentes dentro de la
legislacin ecuatoriana, para lograr que cada miembro de la
organizacin no divulgue datos que sean considerados privados,
un marco conceptual (ejemplo: construccin de obras:
actividades para lograr una rpida ejecucin de estas), dentro
de este marco se debe describir todas las actividades crticas y
de esta manera logra una base de informacin a ser protegida.
Dentro del marco referencial, se debe tener claro que normativa
se va a plantear para logra proteger la informacin.
Las polticas de seguridad que la empresa posee son muy
bsicas solo se realiza mediante artculos especficos en el tipo
de contrato que se realiza con cada miembro que conforman la
empresa.
2. Organizacin de la seguridad de la informacin
Para lograr el objetivo de organizar la informacin se debe tener
un anlisis de toda la informacin, para que esta pueda estar
organizada.
La gerencia deber aprobar el sistema de proteccin de la
informacin que se plantee por parte de grupo tcnico
encargado del anlisis.
Con las pruebas del sistema de seguridad de la informacin
planteado, se podrn conocer si el sistema que se propone
resultara de utilidad para la organizacin, si este ser efectivo y
no presente fallas.
Se deber tener claras las normas legales y de manejo de las
TIC que se proponga para la utilizacin de la informacin.
Se deber tener aprobada la forma en la cual se va a manejar la
informacin, este ser aprobado por parte del personal
encargado del manejo de la organizacin, luego de esta
aprobacin se deber dar inicio al sistema planteado para
controlar la seguridad de la informacin y se deber asegurar
que la implementacin sea coordinada con los objetivos de la
organizacin.
Se deber realizar planes y programas para poder concienciar al
personal sobre la importancia de la seguridad de la informacin
dentro de la empresa.

Respuestas a preguntas segn la descripcin anterior

a. Qu poltica de seguridad planteara en su organizacin
para preservar la confidencialidad de la informacin?
Ya que la informacin es uno de los activos ms valiosos para una
organizacin se debe implementar una adecuada norma que
controle la perdida de la misma ya sea a nivel interno o externo.
Para preservar la confidencialidad de la informacin dentro de la
empresa se la realizara aplicando normas extras en el acceso a
las aplicaciones tecnolgicas, en las aplicaciones nuevas
aplicaciones se deber tener un nuevo sistema se gestin de TIC
para que en esta se pueda plantear las normas de seguridad de
acuerdo a las tecnologas existentes.
En la parte legar se deber tener la asesora de un profesional en
leyes para con el uso de un marco legar poder comprometer al
personal que labora dentro de la empresa a que luego que sean
desvinculados de la misma se mantenga la confidencialidad de la
informacin que hayan adquirido durante la gestin realizada
dentro de la empresa.
La principal medida para preservar la confidencialidad de la
informacin se deber realizar un plan de manejo de esta, ya que
con esto se lograr que solo el personal autorizado pueda tener
acceso a la informacin de acuerdo a la actividad que dicho
personal ejecute dentro de la empresa.
b. Qu poltica de seguridad planteara en su organizacin
para preservar la integridad de la informacin?
Con la utilizacin de la normativa legal en la forma descrita en el
punto anterior se podr proteger la informacin.
Adems de la utilizacin de un plan de manejo de la informacin
en el cual este descrito que personal y a que informacin debe
tener acceso, ya sea mediante el uso de tecnologa o con el
manejo fsico de documentos.
A cada persona se le asignara las responsabilidades de preservar
la informacin a cada persona entregada.
La informacin que con el uso de tecnologas se pueda manejar,
se puede plantear que:

Se deber asignar responsabilidades al personal que

maneja la informacin.

El personal tendr la factibilidad de subir informacin al

sistema informtico.

La informacin deber ser verificada y revisada por el

personal encargado antes de subirle al sistema.

Una vez subida la informacin solo podr ser modificada por

el personal de alta gerencia.

Solo informacin de poca importancia podra ser manejada

(subida, modificada) por el personal que labora en la
empresa

El sistema se encargar de realizar copias de seguridad de

acuerdo a la programacin que en el anlisis de creacin de
sistema se haya propuesto. Cada archivo o informacin
subida a un sistema informtico creara una copia
automticamente, si esta informacin es modificada el
sistema enviara esta informacin a una copia especial para
luego de ser revisada por el personal autorizado se pueda
dar de baja, la nueva informacin ser la que el sistema
oficialmente presente. Con esta medida se podr verificar si
el cambio en la informacin no afecta a la integridad de los
datos que la empresa posee.

c. Qu poltica de seguridad planteara en su organizacin

para preservar la disponibilidad de la informacin?
Para garantizar que la informacin est disponible para cuando se
la necesite el sistema informtico que se plantee para la
empresa, deber poseer todos los documentos que la empresa
maneje en forma electrnica, ya sean que estos se generen
dentro del sistema o si esto se encuentran en forma fsica se
deber digitalizarlos (escanearlos), y el sistema deber posee la
capacidad de poder presentarlos y que estos sean asequibles
desde cualquier lugar, mediante el uso de la red sea esta interna
o externa.
Para mantener la seguridad de estos datos se deber implantar
las seguridades necesarias para que estos no sean mal utilizados
por otro personal no autorizado.
Algunas caractersticas para mantener la seguridad serian:

Solo el personal autorizado podr subir informacin al

sistema.

Se deber plantear las medidas de seguridad para cada tipo

de informacin.

Se deber tener toda la informacin en forma electrnica,

en sus diferentes formas.

Se deber implementar las normas legales de acuerdo a la

normativa legal existente en el pas.

Tener un sistema estable en lo que se refiere a TIC para que

la informacin se pueda acceder cuando se necesario sin
tener retados en la entrega de la misma.

Los controles que se implementen debern ser coordinados

por la organizacin.

Se deber a capacitar al personal sobre la forma en que se

maneja y como se manejar la informacin dentro de la
organizacin

Aprobar los planes de manejo propuesto.

d. Qu estructura organizativa propondra dentro de la

organizacin que defina responsabilidades que en materia
de seguridad tiene cada rea de trabajo relacionada con
los sistemas de informacin?
La estructura que se propondra para el sistema de control de la
informacin seria:

Primer nivel en el cual se puede tener acceso a toda la

informacin estara a cargo de los altos directivos.

Los tcnicos encargados del manejo de las TIC sern los

encargados del manejo de la informacin, con la respectiva
supervisin de los altos directivos, estos no podrn
cambiar la informacin con los cambios pudieran realizar
esta estar a cargo del primer nivel de manejo. Este nivel
solo podr cambiar la informacin que de acuerdo al
anlisis del manejo de la informacin se les designe.

El personal administrativo se encontrar en el tercer nivel

de manejo de la informacin.

El personal de obra se encontrar en cuarto nivel de

acceso a la informacin, este nivel solo podr manejar
informacin de las obras que se encuentre ejecutando.

Los grupos de personas externas solo podrn tener acceso

a informacin que este por otros medios distinta a los
sistemas de la empresa, este sistema ser de uso exclusivo
del personal de la empresa. Las personas externas solo

podrn revisar la informacin y utilizar los medios que en

el sistema estn habilitados.