Documentos de Académico
Documentos de Profesional
Documentos de Cultura
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
Firma del tutor del proyecto
________________________________
Firma del jurado
________________________________
Firma del jurado
4
AGRADECIMIENTOS
Mi especial gratitud a:
El Ingeniero Carlos Julio Erazo, tutor del proyecto inicial por orientarme con
sus aportes y a la Ingeniera Eleonora Palta Velasco, por compartir sus
conocimientos, por su constante colaboracin y sus recomendaciones que
encaminaron a la realizacin del mismo.
pag.
INTRODUCCION
2. PROBLEMA DE INVESTIGACIN 17
5. ALCANCE Y LIMITACIONES 21
5.1 ALCANCE 21
5.2 LIMITACIONES 22
6. MARCO DE REFERENCIA 23
6.4 ANTECEDENTES 44
8. RESULTADOS 52
BIBLIOGRAFIA 130
ANEXOS 134
7
LISTA DE TABLAS
pag.
9
LISTA DE FIGURAS
pag.
Figura 1. Fase del Plan del modelo PDCA del ciclo de Deming 21
11
GLOSARIO
PDCA: Acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
Anlisis de Riesgos.
En la actualidad las Pymes afrontan una problemtica muy grande debido a que
muchas de ellas no destinan recursos para afrontar la falta de seguridad, ni
prevenir los riesgos de sus activos de informacin asociados a la misma, lo que en
muchas ocasiones genera en la organizacin prdidas tanto econmicas como de
informacin. Teniendo en cuenta lo anterior y buscando no verse afectada por un
incidente mayor es que Surez Padilla & Ca. Ltda ha decidido dar un paso
adelante e iniciar con el proceso de establecer un Sistema de Gestin de
Seguridad de la Informacin y as garantizar que los accedan a su informacin
sean quienes estn autorizados.
15
1. GENERALIDADES DEL PROYECTO
16
2. PROBLEMA DE INVESTIGACIN
La Empresa de seguros Surez Padilla & Ca. Ltda, recibe informacin personal y
financiera tanto de sus clientes como de sus proveedores por mltiples fuentes,
por diferentes medios y a travs de mltiples canales (personal, telefnico,
empresas de mensajera, electrnicos, redes de datos, sistemas en lnea, entre
otros); estos volmenes de datos e informacin constituyen la materia prima para
la gestin de la empresa, lo que la convierte en un activo de gran importancia que
debe ser protegida desde su origen hasta su destino final.
17
3. JUSTIFICACIN DEL PROYECTO
18
4. OBJETIVOS DEL PROYECTO
4.2.7 Sugerir polticas de seguridad que permitan hacer un uso aceptable de los
activos de informacin.
19
4.3 BENEFICIOS DE REALIZAR EL ANLISIS Y GESTIN DE RIESGOS
20
5. ALCANCE Y LIMITACIONES
5.1 ALCANCE
Figura 1. Fase del Plan del modelo PDCA del ciclo de Deming
Fuente:
descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/isoirc_27001_p
dca.html
Lo anterior teniendo en cuenta que con ellos se abordan las tres (3) reas crticas
de cualquier organizacin como son los activos, seguridad fsica y ambiental, y el
control de acceso y adicionalmente estos dominios estn directamente
relacionados con los tres pilares bsicos de la seguridad como son: la
confidencialidad, integridad y disponibilidad.
21
5.2 LIMITACIONES
5.2.3 Conceptual. Los conceptos a manejar en este proyecto son los relacionados
con la Seguridad de la Informacin, Sistema de Gestin de Seguridad de la
Informacin (SGSI), Riesgos, Administracin de Riesgos, Polticas de Seguridad
de la Informacin y Controles.
5.2.5 Personal. El estimular a las personas que laboran en Surez Padilla & Ca
Ltda sobre la importancia que tiene esta investigacin en relacin con sus labores
diarias, permitindoles trabajar con mayor seguridad.
22
6. MARCO DE REFERENCIA
Aun as una vez se haga una adecuada evaluacin de los riesgos ser ms
controlable la variable riesgo.
23
Marco Normativo (Normas y polticas) de un SGSI2 - Leonardo Camelo. El
tema de reglamentacin de seguridad de la informacin en Colombia es
prcticamente inexistente, por lo que todo SGSI est fundamentado netamente en
la 27001 con los controles de la 27002 (Anexo A de la 27001).
2 CAMELO, Leonardo. Seguridad de la Informacin en Colombia. Marco Normativo (Normas y polticas) de un SGSI. [En
lnea]. 2010. [Consultado 14 de diciembre, 2014]. Disponible en Internet:
(seguridadinformacioncolombia.blogspot.com.co/2010/03/marco-normativo-normas-y-politicas-de.html).
3 MINISTERIO DE TECNOLOGAS DE LA INFORMACIN Y LAS COMUNICACIONES. Modelo de Seguridad de la Informacin
para la Estrategia de Gobierno en Lnea 2.0. [En lnea].Versin 2.0.2. 49p.Bogot, 2011. [Consultado 15 de diciembre,
2014]. Disponible en Internet: (css.mintic.gov.co/ap/gel4/images/Modelo_Seguridad_Informacion_2_01.pdf)
4 PACHECO, Federico. La importancia de un SGSI. Welivesecurity en Espaol. [En lnea].2010. [Consultado 14 de
El segundo gol se produce debido a que uno, las empresas no le dan la suficiente
importancia al rea de tecnologa ocasionando la falta de recursos humanos
5
SALCEDO, Robin. Plan de Implementacin del SGSI basado en la Norma ISO 27001:2013. Memoria
Trabajo Final Mster MISTIC. Barcelona: Universidad Oberte Catalunya. [En lnea].2014. 43 p. [Consultado 13
de enero, 2015]. Disponible en Internet:
(openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214memoria.pdf)
6
CAO, Javier. Sistemas de Gestin Seguridad de la Informacin. Los malos 3, Los buenos 0. [En lnea]. 2014.
[Consultado 13 de diciembre, 2014]. Disponible en Internet: (sgsi-
iso27001.blogspot.com.co/2014/06/ciberseguridad-minuto-y-resultado-los.html)
25
especializados y recursos tecnolgicos para afrontar los peligros cibernticos
generados por la conexin a Internet y que da a da acechan las empresas, pues
como es sabido el delincuente online es internacional y el Internet no conoce
fronteras; y dos la prioridad que se da a perseguir a los ciberdelincuentes es
relativamente baja al igual que las penas por delitos ciberntico, transmitiendo
mensajes equivocados a la delincuencia online, la cual aumenta a gran velocidad.
El tercer gol se debe a que los malos desarrollaron una autntica industria del
malware logrado traspasar medidas de seguridad perimetral como Firewalls y
antivirus. El malware ahora viene como un software inofensivo que el antivirus no
detecta; en el fondo los malos estn utilizando las mismas tcnicas usadas en la
proteccin legtima de datos pero para unas finalidades diferentes. Es por esto que
con este nivel de sofisticacin las medidas tradicionales ya estn siendo
superadas.
7
COMUNIDAD INTERNACIONAL DE IMPLANTADORES DE ISO27000 DE ISO27001SECURITY.COM.
Consejos de implantacin y mtricas de ISO/IEC 27001 y 27002. Traducido por www.iso27000.es. [En lnea]
Versin 1, 16 p. 2007. [Consultado 26 de enero, 2014]. Disponible en Internet:
(www.iso27000.es/download/ISO_27000_implementation_guidance_v1_Spanish.pdf)
26
Elaboracin y Aplicacin de un Sistema de Gestin de la Seguridad de la
Informacin (SGSI) Para La Realidad Tecnolgica De La USAT8 - Csar
Wenceslao De La Cruz Guerrero / Juan Carlos Vsquez Montenegro. El concepto
central sobre el que se construye la norma ISO 27001, es el Sistema de Gestin
de Seguridad de la Informacin (SGSI).
27
Lo que no se puede olvidar
10
MENDOZA, Miguel y LORENZANA, Pablo. Normatividad en las organizaciones: Polticas de seguridad de la
informacin - Parte I. En: Revista.Seguridad. [En lnea]. no.16, (Ene-Feb 2013). p. 13-17. . [Consultado 17 de
diciembre, 2014]. Disponible en Internet:
(revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Seguridad_Num16_0.pdf)
11 MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE. Polticas Generales de Seguridad de la Informacin. [En lnea].
28
Herramientas para la implantacin de un SGSI12 Oscar de la Cuesta.
Listado de herramientas para la implantacin de un Sistema de Gestin de la
Seguridad de la Informacin.
La seguridad en el negocio
12 DE LA CUESTA, Oscar. Herramientas para la implantacin de un SGSI. [En lnea]. 2015. [Consultado 16 de enero, 2015]
Disponible en Internet: (www.palentino.es/blog/herramientas-para-la-implantacion-de-un-sgsi/)
13
ISOTOOLS EXCELLENCE. SGSI. La norma ISO 27001:2013 Cul es su estructura? [En lnea]. 2015.
[Consultado 18 de junio, 2015]. Disponible en Internet: (www.pmg-ssi.com/2015/08/norma-iso-27001-2013-
estructura/)
14 ISOTOOLS EXCELLENCE. SGSI. Los pilares del SGSI. [En lnea]. 2015. [Consultado 18 de junio, 2015]. Disponible en
Internet: (www.pmg-ssi.com/2015/07/pilares-sgsi/)
15 ISOTOOLS EXCELLENCE. SGSI. Por qu implantar un SGSI basado en la norma ISO 27001. [En lnea]. 2015. [Consultado
De Metas de la Direccin
Del riesgo
Del tiempo
16
CAO, Javier. Medicin de un SGSI: diseando el cuadro de mandos. [En lnea]. {12 de enero de 2011}.
Disponible en Internet: (www.securityartwork.es/2011/01/12/medicion-de-un-sgsi-disenando-el-cuadro-de-
mandos/)
17 SNCHEZ CRESPO, Luis, et al. Caractersticas deseables para un SGSI orientado a PYMES. [En lnea]. [03 de febrero de
Marco de trabajo: Describen los elementos que forman el SGSI luego de haberse
implantado.
Anlisis y gestin del riesgo: Los activos del sistema de informacin deben ser
sometidos a mecanismos de valoracin y gestin de los riesgos.
31
6.2 MARCO CONCEPTUAL
Recoleccin de la informacin.
Consolidar la informacin.
32
Actividades necesarias para la identificacin de propietarios, responsable y
ubicacin:
33
Tipo de activo Clase de activo
Empleados
Activos de Informacin Recurso Humano
Terceros
Tabla 1. (Continuacin)
Valoracin
Valoracin Cualitativa
Cuantitativa
1 Muy Bajo
2 Bajo
3 Medio
4 Alto
5 Muy Alto
Escala Escala
Descripcin
Cuantitativa Cualitativa
1 Muy Bajo Se puede acceder por cualquier usuario
Se puede acceder solo por empleados o contratistas de
2 Bajo
la organizacin.
3 Medio Se puede acceder por Lderes de Proceso.
Solo es posible el acceso para las personas citadas en
4 Alto
lista de control de acceso.
Solo es posible el acceso por personal de la Alta
5 Muy Alto
Direccin y externos pertenecientes al Estado, tambin
Fuente: El Autor
34
Tabla 4. Valoracin Integridad (I).
Escala Escala
Descripcin
Cuantitativa Cualitativa
Puede ser modificado en cualquier momento por
1 Muy Bajo
cualquier usuario
Es posible la modificacin por cualquier
2 Bajo
funcionario o contratista de la organizacin.
Es posible la modificacin por Lderes de
3 Medio
Proceso.
Solo se modifica bajo autorizacin del Comit de
4 Alto
Gerencia.
Solo se modifica con autorizacin de la Alta
5 Muy Alto
Direccin.
Fuente: El Autor
Escala Escala
Descripcin
Cuantitativa Cualitativa
El activo no est disponible por 1 semana y no
1 Muy Bajo
afecta a la Organizacin
El activo No est disponible hasta por 3 das y no
2 Bajo
afecta a la organizacin
El activo No est disponible hasta por 1 da y no
3 Medio
afecta a la organizacin
4 Alto El activo No est disponible hasta por 4 horas.
Valor Activo = C + I + D
Donde:
35
C= Confidencialidad, I = Integridad, D= Disponibilidad
36
a las vulnerabilidades y amenazas de los activos de informacin los cuales se
debern listar en la matriz de riesgos.
Luego se deber consolidar una matriz que describe cada uno de los activos
involucrados en el anlisis. Con ella se revisa cada uno de los riesgos existentens
en seguridad y se relacionaron con los activos de informacin.
Probabilidad P(A,V).
18
ICONTEC estndar Internacional ISO/IEC 27005:2008 Information Technology Security techniques Specification for an Information Security
Managment System
37
Valor Impacto (IMP).
Con la anterior formula se obtendr el valor del riesgo asociado a cada activo de
informacin en trminos de su confidencialidad, integridad, disponibilidad, valor
econmico, la probabilidad de ocurrencia y el impacto asociado al SGSI.
38
Figura 2. Gestin de Riesgos
Fuente: www.iso27000.es/sgsi_implantar.html#seccion1
Fuente: datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/31_leccin_11_proceso_de_identificacin_del_riesgo.html
39
6.2.6 Metodologa de anlisis de riesgos MAGERIT. Esta metodologa contempla
diferentes actividades enmarcadas a los activos que una organizacin posee para
el tratamiento de la informacin.
40
MAR Mtodo de Anlisis de Riesgos
MAR.21 Identificacin de las amenazas
MAR.22 Valoracin de las amenazas
41
Estado de riesgo: estimacin de impacto y riesgo, resultado de las dos subtareas
de esta actividad
Fuente: www.iso27000.es/sgsi_implantar.html#seccion1
Plan (planificar): Se establece el SGSI.
42
6.3 MARCO LEGAL
19COLOMBIA. CONGRESO DE LA REPBLICA. Ley Estatutaria de 2012. (17 octubre). Por la cual se dictan disposiciones
generales para la proteccin de datos personales. [en lnea]. Bogot D.C.: Alcalda de Bogot. 2012. [Consultado el 23 de
mayo, 2015]. Disponible en Internet: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981
43
por el titular, por tanto no debe estar disponible en internet u otros medios de
divulgacin, a excepcin de la informacin que es pblica.
6.4 ANTECEDENTES
20
CORLETTI, A. Anlisis de ISO-27001:2005. [en lnea], (abril 2006). [consultado 06 de mayo de 2015].
Disponible en Internet: www.criptored.upm.es/guiateoria/gt_m292g.htm
21 ASOCIACIN ESPAOLA PARA LA CALIDAD-AEC. La gestin de la seguridad en la empresa. En Revista Calidad. [en
44
A inicios de los 90, el Departamento de Comercio e Industria del Reino Unido dio
comienzo al desarrollo de la norma britnica BS, con el fin entre otros, de proteger
y regular la gestin de la seguridad en la empresa. La primera norma (BS 7799:95)
fue aprobada oficialmente en 1995 y nace como un cdigo de buenas prcticas
para la gestin de seguridad de la informacin.
2000, Tras una revisin de ambas partes de la norma, en diciembre ISO aprueba
la norma ISO 17799 Parte 1 Cdigo de Prctica para los requisitos de gestin de
seguridad de la informacin la cual no era certificable. Esta norma contiene un
conjunto completo de controles que conforman las buenas prcticas de seguridad
de la informacin, y que pueden ser aplicadas por toda organizacin sin importar
cul sea su tamao.
45
Informacin. Es originada por la ya anulada BS 7799-2:2002 y es la norma con la
cual se certifican como auditores externos los SGSIs de las organizaciones.22.
Fuente:es.slideshare.net/fabiandescalzo/270012013-seguridad-orientada-al-
negocio
22 PORTAL ISO 27001 EN ESPAOL. Origen serie 27K. [en lnea]. [Consultado 28 de noviembre, 2014]. Disponible en
internet: www.iso27000.es/iso27000.html
23 PORTAL ISO 27001 EN ESPAOL. Serie 27000.Evolucin [en lnea]. [Consultado 29 de noviembre, 2014]. Disponible en
internet: www.iso27000.es/iso27000.html
46
ISO/IEC 27000 Entrega informacin introductoria a la seguridad de la informacin
y la gestin de la seguridad de la informacin, el estado y la relacin de las
normas de la familia de estndares para un SGSI.
47
Figura 7. Familia ISO 27000 SI
48
7. DISEO METODOLGICO PRELIMINAR
49
7.2.1 Definir y documentar las polticas de seguridad que deban implementarse.
7.2.3 Seleccionar los objetivos de control y los controles del Anexo A de la Norma
ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos
identificados en el proceso de evaluacin del riesgo.
50
Tabla 8. Presupuesto del proyecto
Proyectado Proyectado
tem Descripcin Cantidad Unitario Total
Mes 1 Mes 2
Gastos de
$ 1.500.000 $1.500.000 $ 3.000.000
Personal
Ingeniero con
estudios en
Sueldo 1 $ 1.500.000 $ 1.500.000 $ 1.500.000 $ 3.000.000
especializacin
- Medio tiempo
Gastos
$ 860.000 $ 860.000 $ 1.880.000
Generales
Transporte Transporte $ 80.000 $ 80.000 $ 160.000
Servicios
$ 650.000 $ 650.000 $ 1.300.000
Tcnicos
Papelera,
Materiales fotocopias,
y argollados, $ 130.000 $ 130.000 $ 260.000
suministros impresiones,
etc.
Servicios Luz, telfono e
$ 80.000 $ 80.000 $ 160.000
pblicos internet
Fuente: El autor
51
8. RESULTADOS
a. Misin Surez Padilla & Ca. Ltda. Somos una empresa dedicada a la
asesora y comercializacin de seguros, con un equipo trabajo honesto y
comprometido que pone a disposicin de sus clientes, servicios de alta calidad,
proporcionndoles soluciones integrales, de ahorro y proteccin tanto personal
como empresarial a la medida de sus necesidades.
b. Visin Surez Padilla & Ca. Ltda. En el 2.018 ser la compaa aseguradora
preferida del Sector Solidario, las familias y las empresas, siendo reconocida por
ser lderes en asesora y comercializacin de seguros; altamente reconocidos por
el servicio al cliente, la honestidad y la experiencia, brindndoles seguridad a
travs de un amplio portafolio de servicios.
La Organizacin
Fuente: El autor
52
Funciones por dependencia
Subgerente
53
Fuentes de Informacin
8.1.2.1 Activos
Frecuencia
Procesos Descripcin (Diario/Semanal Responsable
Mensual)
Los agentes de seguros tienen a
su cargo un determinado nmero de Diario Pedro Pablo
Soporte clientes a los cuales dan soporte a Gonzlez
telefnico a cualquier solicitud o trmite con Santos
solicitud o respecto a los seguros que hayan
trmite adquirido.
54
Frecuencia
Procesos Descripcin (Diario/Semanal Responsable
Mensual)
Visita a clientes potenciales con el
Atencin
fin de mostrarles e informarles Pedro Pablo
personalizada
sobre el portafolio de servicios Diario Gonzlez
Clientes
Santos
Tipo de
N de
Nombre del Criticidad Sistema
Descripcin Equipos
Sistema (*) (PC/Servidor/ con la
Mainframe) aplicacin
55
Tipo de
N de
Nombre del Criticidad Sistema
Descripcin Equipos
Sistema (*) (PC/Servidor/ con la
Mainframe) aplicacin
Aplicacin en red
desarrollada en Access
para el manejo de la
informacin de los
clientes (registro de
B.D Clientes informacin personal y 2 Servidor 7
plizas de seguros
adquiridas por
intermedio de la
empresa
Desarrollo a la medida
hecho por Soporte
Lgico, para la gestin
Software del talento humano y 3 Servidor 4
"Humano" liquidacin de nmina,
permite registrar la
informacin de hoja de
vida de los empleados.
Software Contable
Administrativo y 2 Servidor 2
Interpaciolo
Financiero desarrollado
por Softstation
Fuente: El autor
56
Tabla 12 Otros activos
57
Figura 9 Identificacin de activos - Metodologa Margerit
ACTIVOS
[B]Activos esenciales: informacin & servicios
S [A_pers] Atencin personalizada clientes
S [Atn_Tel] Atencin telefnica a clientes
[IS]Servicios Internos
A [Lib_Cont] Libros contables
A [HV_Clientes]Carpetas Clientes
A [HV_Funcionarios]Hoja de Vida Funcionarios
[technical] Servicios tcnicos auxiliares
A [S_Internet] Acceso a Internet
A [S_telefonia] Telefonia IP
[E] Equipamiento
[SW] Aplicaciones
A [SW_Nom] Software de Nmina "Humano"
A SW_Clientes] B.D Clientes
A [SW_ Contable] Software de Contabilidad
[HW] Equipos
A [PC] Puestos de trabajo
A [SRV] Servidor
[COM] Comunicaciones
A [LAN] Red local
A [firewall] Cortafuegos
[SS] Servicios subcontratados
A [ADSL] Conexin a Internet
A [ADSL] Servicio de Telefona IP
[L] Instalaciones
A [offices] Oficinas
A [dc] sala de equipos
[P] Personal
Fuente: El autor
58
De igual manera se tendr en cuenta el valor econmico del activo de informacin
el cual corresponde al costo inicial que la entidad suministro para obtener el
activo de informacin.
59
Figura 10 Valoracin de activos
61
pueden ser explotadas para convertir una amenaza en un riesgo real causando
daos graves en la empresa:
Cableado inapropiado
62
No se cuenta con bloqueos automticos o polticas de bloqueo manual para la
pantalla
Amenaza Impacto
Fallos no intencionados Alteracin/prdida o Fuga de Informacin
Dao/ Prdida de activos o
indisponibilidad colateral de otros servicios
Costos excesivos
Informacin para toma de
decisiones errada o inoportuna
Interrupcin del servicio o del negocio
Prdida de credibilidad, competitividad
o imagen de la empresa
Prdida de productividad de los
empleados
63
Amenaza Impacto
Ataques deliberados o Alteracin/prdida o Fuga de Informacin
intencionados Dao/ Prdida de activos o
indisponibilidad colateral de otros
servicios
Fraude/Robo o malversacin de fondos
Interrupcin del servicio o del negocio
64
Probabilidad Impacto Tratamiento
No Riesgo
A M B L M C
R6 Falta de actualizacin del X X Mitigar
Software
Aplicaciones cliente
R7 X X
desactualizadas Mitigar
Instalacin de software con
R8 X X
las opciones por defecto Mitigar
Sistemas de informacin que
R9 no controlan el desbordamiento X X Mitigar
de buffer
Parches de
R10 X X
seguridad desactualizados. Mitigar
Datos
Redes y Comunicaciones
Acceso de personal no
R16 X X Mitigar
autorizado, al cuarto de
comunicaciones
R17 Deficiencia del
X X Eliminar
cableado estructurado
Acceso al FTP a travs de
R18 X X Eliminar
acceso annimo
R19 Puertos Abiertos X X Eliminar
65
Probabilidad Impacto Tratamiento
No Riesgo
A M B L M C
Personal
Falta de capacitacin
R22 X X Eliminar
y concienciacin
R23 Continua rotacin del personal X X Mitigar
TABLA 15 Continuacin
PROBABILIDAD
R3,R7,R10, R5,R12
ALTO (A)
R19,R21,R22
Guion:
Para total claridad y poder cerrar nuestro caso le quiero pedir su amable
colaboracin y validar el ingreso.
Ingreso sin contratiempo?
Respuesta del usuario
Si pude entrar sin ningn problema
Ya estoy dentro del portal
En esta prueba los resultados se vieron afectados debido a que de las llamadas
realizadas un gran porcentaje no contesto el telfono al momento de la prueba.
67
Figura 4 Grfico Suplantacin Mesa de Ayuda
Fuente: El autor
68
Fuente: El autor
Fuente: El autor
Con las anteriores pruebas se pudo evidenciar que aunque existen controles de
seguridad fsica como son el personal de vigilancia, es posible acceder a
69
informacin sensible, equipos de cmputo que se encuentran desatendidos o
sustraer porttiles, generando riesgos de prdida y fuga de informacin, por tanto
queda en evidencia la importancia de realizar capacitaciones y sensibilizaciones a
todos los empleados de Surez Padilla & Ca. Ltda, en seguridad de la
Informacin con el fin de mitigar riesgos de ataques de tipo ingeniera social.
8.1.4 Hallazgos Seguridad De La Informacin En Suarez Padilla & Cia & Ltda. Se
utilizaron tcnicas para conocer el estado actual de la organizacin en materia de
seguridad de la informacin con el fin de establecer los tiempos de diseo del
SGSI segn la norma ISO/ IEC 27001:2013. Las herramientas y tcnicas utilizadas
fueron:
70
Tabla 17 Cumplimiento Norma ISO/IEC 27001:2013
4. Contexto de la Organizacin
Comprender la organizacin y El entendimiento de modelo de negocio en la
4.1
su contexto organizacin es vital para el logro de los resultados del
Comprender las necesidades SGSI en la organizacin, es por ello que se ha iniciado
4.2 y expectativas de las partes con esta primera fase del SGSI.
interesadas
Alcance del SGSI De acuerdo con los requisitos para definir el alcance
4.3
Documentado del SGSI, debe estar expresado en el mbito de
asuntos internos y externos, necesidades de las partes
interesadas e interfaces y dependencias entre las
4.3 Alcance del SGSI Aprobado
actividades realizadas por la organizacin y
organizaciones terceras.
5 Liderazgo
Se debe tener un liderazgo por parte de la alta
direccin de la organizacin en cuanto a definir los
5.1 Liderazgo y compromiso objetivos del SGSI, proporcionar los recursos
necesarios para la implantacin y asegurar que se
logren lo resultados esperados del SGSI.
Poltica General del SGSI La poltica de seguridad, debe establecer directrices de
5.2 gestin en cuanto al propsito de la organizacin,
Documentada
objetivos de seguridad, garantizar una mejora continua
Poltica General del SGSI entre otros requisitos, los cuales no se evidencian en
5.2 la organizacin por cuanto no existe un documento
Aprobada
sobre polticas de seguridad de la informacin. Se
Poltica General del SGSI requiere definirlas, documentarlas e implementarlas,
5.2
Difundida procurando el compromiso de la Alta direccin.
6 Planificacin
71
SUREZ PADILLA & CA LTDA- NORMA ISO/IEC 27001:2013
7 Soporte
Tabla 17 Continuacin
72
SUREZ PADILLA & CA LTDA- NORMA ISO/IEC 27001:2013
Tabla 17 Continuacin
Fuente: El autor
73
8.1.4.2 Controles del anexo A de la Norma ISO/IEC 27001:2013. A continuacin
se describe la revisin del cumplimiento de los objetivos de control y controles
descritos en el anexo A de la norma ISO 27001:2013:
Dominios de Control
En la organizacin cada uno de los empleados tiene asignadas la realizacin de actividades que
hacen parte de sus procesos, los cuales No estn documentados en un Manual de Procesos y
Procedimientos, en los cuales se establecen los responsables y controles en materia de manejo
de la informacin. Igualmente no se evidencia las asignacin de roles y responsabilidades en
seguridad de la Informacin.
La organizacin no cuenta con contactos de grupos de inters en seguridad de la informacin.
Durante las entrevistas realizadas a los empleados y contratistas se menciona que no cuentan
con polticas de seguridad de la Informacin.
74
SUREZ PADILLA & CA LTDA ANEXO A de la NORMA ISO 27001
Dominios de Control
Surez Padilla & Ca Ltda no cuenta con un inventario de activos de informacin consolidado
donde tenga asociado los responsables.
Durante las entrevistas realizadas a los empleados y contratistas se menciona que no cuentan
con polticas de seguridad de la Informacin.
75
SUREZ PADILLA & CA LTDA ANEXO A de la NORMA ISO 27001
Dominios de Control
A.9.4 Control de acceso a sistemas y aplicaciones
Dominio 10 Criptografa
A.10.1 Controles Criptogrficos
A.11.2 Equipos
Existe cableado estructurado en buen estado, se realiza mantenimiento a los equipos de cmputo,
se cuenta con control de ingreso y salida de equipos.
Surez Padilla & Ca Ltda, tiene implementado antivirus en los equipos de cmputo, cuenta con
controles de acceso lgico mediante un firewall.
A.12.3 Backups
Las copias de respaldo se realizan a las Bases de Datos de Clientes, de Nmina "Humano" y de
Contabilidad, de forma completa con una frecuencia quincenal.
Tabla 18 (Continuacin)
76
SUREZ PADILLA & CA LTDA ANEXO A de la NORMA ISO 27001
Dominios de Control
A.12.5 Control de software en el sistema operativo
Surez Padilla & Ca Ltda, cuenta con la implementacin de controles en las redes con firewall, y
polticas de directorio activo.
Para la validacin de los sistemas de informacin se realiza con datos de produccin, los cuales
son eliminados al momento de finalizacin de las pruebas.
Tabla 18 Continuacin
77
SUREZ PADILLA & CA LTDA ANEXO A de la NORMA ISO 27001
Dominios de Control
A.16 Gestin de incidentes de seguridad de la informacin
Surez Padilla & Ca Ltda no cuenta con Plan de continuidad de negocio o plan de recuperacin
de desastres de forma que se pueda mantener la operacin de los sistemas crticos de la
organizacin ante la materializacin de escenarios catastrficos. Se requiere dar una mayor
relevancia a este dominio ya que se est arriesgando la subsistencia de la organizacin.
A.17.2 Redundancia
Surez Padilla & Ca Ltda, no cuenta con redundancia en firewall, canales, UPS
A.18 Cumplimiento
Tabla 18 (Continuacin)
78
Figura 8 Implementacin de controles Anexo A Norma ISO 27001
Fuente: El autor
79
OBJETIVOS
RESPONSABILIDAD
80
ORGANIZACIN DE LA SEGURIDAD
81
SEGURIDAD EN EL RECURSO HUMANO
83
Los datos de acceso a los sistemas de informacin debern estar
compuestos por un ID o nombre de usuario y contrasea que debe ser nico por
cada empleado o tercero.
c) No estn basadas en algn dato que otra persona pueda adivinar u obtener
fcilmente mediante informacin relacionada con la persona, por ejemplo
nombres, nmeros de telfono, fecha de nacimiento, etc.
84
d) Notificar de acuerdo a lo establecido cualquier incidente de seguridad
relacionado con sus contraseas: Prdida, robo o indicio de prdida de
confidencialidad.
Los empleados o terceros que presten sus servicios a Surez Padilla & Ca
Ltda, no deben intentar ingresar a reas a las cuales no tengan la debida
autorizacin.
85
La seguridad de los equipos de cmputo fuera de las instalaciones ser
responsabilidad de cada funcionario y contratista asignado, junto con una
autorizacin del jefe inmediato.
86
El acceso a la informacin de Surez Padilla & Ca Ltda, deber ser
otorgado slo a Usuarios autorizados, basados en lo que es requerido para
realizar las tareas relacionadas con su responsabilidad.
87
Controlar el acceso lgico a los servicios, tanto a su uso como a su
administracin mediante bloqueo de puertos en el firewall de la organizacin.
La informacin tratada por las aplicaciones aceptadas por Surez Padilla &
Ca Ltda, debe preservar su confiabilidad desde su ingreso, transformacin y
entrega a las aplicaciones de la Organizacin.
88
continuidad y de recuperacin ante desastres para propender por la continuidad
de la misma.
Para los procesos crticos del negocio, Surez Padilla & Ca Ltda debe
contar con instalaciones alternas y con capacidad de recuperacin, que permitan
mantener la continuidad del negocio an en caso de desastre en las instalaciones
de los lugares de Operacin.
CUMPLIMIENTO
89
Reportar incidentes de seguridad.
90
No. Actividad Responsables Fecha
Tabla 19 (Continuacin)
8.2.3 Plan De Continuidad De Negocio De Suarez Padilla & Cia Ltda. Para
desarrollar nuestro Plan de Continuidad y garantizar su xito, lo primero es
determinar los procesos esenciales del negocio dentro de la compaa, con el
objetivo de asegurar la continuidad de la actividad en caso de contingencia.
Necesidades de Criticidad
Proceso
Recuperacin (*) (*)
Soporte telefnico a solicitud o Da 1-7 2
trmite
91
Necesidades de Criticidad
Proceso
Recuperacin (*) (*)
Atencin personalizada Da 1-7 2
Clientes
Legalizacin de plizas Da 1-7 2
Control y verificacin de pagos Da 730 2
Gestin de Nmina Da 730 3
Gestin de Talento Humano Da 730 3
(*)Necesidad de Recuperacin:
Da 0: Recuperacin inmediata
Da 1-7: El proceso debe ser recuperado entre el primer y el quinto da despus
de un incidente.
Da 730: El proceso debe ser recuperado despus de la primera semana y
antes de un mes.
Ms 30 das: El proceso pude esperar ms de 30 das a ser recuperado.
Estrategia de Respaldo
92
Tabla 21 Estrategias de Respaldo
Fuente: El autor
94
Funciones:
Anlisis de la situacin.
Equipo de Recuperacin:
Surez Padilla & Ca Ltda por el tamao de la empresa a la fecha cuenta con un
ingeniero de sistemas por contrato y un tcnico, quienes debern llevar a
cabo todo el proceso de recuperacin, para lo cual deber desarrollar las
siguientes actividades:
95
Punto de Reunin: Campo de futbol Jorge Avellano. Si por motivo de la magnitud
de los daos es imposible reunirse en el campo de futbol, se tomar como punto
de reunin el parque principal Metrpolis, situado a 800 metros del Campo de
futbol Jorge Avellano.
Desarrollo De Procedimientos
97
Continuidad porque la gravedad del incidente no lo requiere, se requerir gestionar
el incidente para que no aumente su gravedad.
Ejecucin del Plan: Una vez que el Comit de Crisis ha decidido poner en
marcha el Plan de Recuperacin, deber comunicarse con los responsables de los
equipos de recuperacin y logstica informando el inicio de las actividades del Plan
para que inicien los procedimientos de actuacin de cada uno de ellos.
99
soporte, se deben corregir los procedimientos de recuperacin para adaptarse a
las nuevas condiciones.
100
b) El anlisis de la situacin se llevar a cabo sobre las siguientes
reas/controles:
101
9. POLTICAS RECOMENDADAS EN LA ORGANIZACIN
ALCANCE
Esta poltica es de aplicacin para todas las reas que hacen parte de la empresa
Surez Padilla & Cia Ltda, a sus recursos, a la totalidad de los procesos internos o
externos vinculados a la empresa a travs de contratos o acuerdos con terceros y
a todo el personal de la entidad, cualquiera sea su situacin contractual, la
dependencia en la cual se encuentre prestando sus servicios y el nivel de las
tareas que desempee.
Acuerdos de confidencialidad
Todos los funcionarios de Surez Padilla & Cia Ltda y/o terceros deben aceptar los
acuerdos de confidencialidad, donde cada funcionario individualmente se
comprometan a no divulgar, usar o explotar la informacin confidencial a la que
tengan acceso, respetando los niveles establecidos para la clasificacin de la
informacin; cualquier violacin a lo establecido en este pargrafo ser
considerado como un incidente de seguridad.
102
Acceso a Internet
a) No est permitido:
Recursos tecnolgicos
103
responsabilidad de la persona encargada de la administracin de los recursos
informticos y por tanto es el nico autorizado para realizar estas labores.
104
b) Los funcionarios y/o contratistas, que tengan acceso a los equipos que
componen la infraestructura tecnolgica de Surez Padilla & Cia Ltda no pueden
fumar, beber o consumir algn tipo de alimento cerca de los equipos.
a) Todos los sistemas informticos deben ser protegidos por software antivirus
con capacidad de actualizacin automtica.
Copias de respaldo
a) Surez Padilla & Cia Ltda debe asegurar que la informacin con cierto nivel
de clasificacin, contenida en la plataforma tecnolgica de la empresa, sea
peridicamente resguardada mediante mecanismos y controles adecuados que
garanticen su identificacin, proteccin, integridad y disponibilidad.
105
c) El identificador de usuario dentro de la red es nico y personalizado, por lo
tanto el usuario es responsable de todas las actividades realizadas con su
identificador de usuario
106
b) Al finalizar las actividades diarias, se deben cerrar todas las aplicaciones y
dejar los equipos apagados.
107
Tabla 24 Recomendaciones Acordes A Estndar ISO 27002
108
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Realizar contactos con grupos de
investigacin, pginas de
A.6.1.4 Contacto con Grupos de Inters Especiales. X informacin, para mantener
actualizada la organizacin en
seguridad de la informacin
Definir polticas, normas o
Organizacin de A.6.1.5 Seguridad de la Informacin en la gestin de estndares de seguridad en los
X X
la Seguridad de proyectos.
nuevos proyectos de la organizacin.
la Informacin
A.6.2 Dispositivos mviles y teletrabajo.
Garantizar la seguridad del teletrabajo y el uso de dispositivos mviles.
Definir poltica de acceso a reas
A.6.2.1 Poltica para dispositivos mviles. X seguras de los dispositivos mviles.
Si se contempla por parte de la
organizacin aprobar el teletrabajo,
se deben establecer polticas de
acceso remoto a los servidores o
A.6.2.2 Teletrabajo. X aplicaciones de la organizacin el
cual debe ser por un canal seguro
(Cifrado) y tener un listado de que
empleado y contratistas estarn
autorizados.
109
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Control adecuado con posibilidades
A.7.1.2 Trminos y condiciones de empleo. X X
de mejora
A.7.2 Durante la ejecucin del empleo.
Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad
de la informacin y las cumplan.
Incluir en el contrato laboral, la
aceptacin por parte de los
empleados o contratistas el
A.7.2.1 Responsabilidades de la direccin. X X
cumplimiento de las Polticas de
Seguridad de la Informacin
Seguridad de los establecidas en la organizacin.
Recursos Definir un plan de capacitaciones a
Humanos los empleados y contratistas en
Toma de conciencia, educacin y formacin temas de seguridad de la
A.7.2.2 X X
en la seguridad de la informacin. informacin, y realizar
sensibilizaciones al interior de la
organizacin del SGSI.
Integrar en un documento de
"PROCEDIMIENTO FUNCIONES
A.7.2.3 Proceso disciplinario. X X DISCIPLINARIAS" el incumplimiento
de los procedimientos, normas o
polticas de seguridad de la
informacin en la organizacin.
A.7.3 Terminacin y cambio de empleo.
Proteger los intereses de la organizacin como parte del proceso de cambio o terminacin de empleo.
110
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Incluir en el documento:
PROCEDIMIENTO
ADMINISTRACIN DE
Terminacin o Cambio de responsabilidades PERSONAL" o definir uno nuevo,
A.7.3.1 X donde se indique las actividades en
de empleo.
el momento de la terminacin laboral
Seguridad de los o cambios en la contratacin de los
Recursos empleados o contratistas de la
Humanos organizacin.
111
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Asegurar que la informacin recibe un nivel apropiado de proteccin, de acuerdo con su importancia para
la organizacin.
No existe un proceso formal donde
A.8.2.1 Clasificacin de la informacin. X se determine la clasificacin de la
informacin de la organizacin.
La documentacin de la organizacin
debe contar con etiquetado segn los
A.8.2.2 Etiquetado de la informacin. X X
niveles de clasificacin definidos y
establecidos por la organizacin.
El manejo de la informacin deber
estar definido en el proceso o
Gestin de A.8.2.3 Manejo de activos. X X procedimiento de clasificacin de la
activos informacin y depender de su nivel
de clasificacin.
8.3 Manejo de medios.
112
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Limitar el acceso a informacin y a instalaciones de procesamiento de informacin.
A.9.1.1 Poltica de control de acceso. X Realizar aprobacin y divulgacin de
las polticas de Seguridad de la
A.9.1.2 Acceso a redes y servicios de red. Informacin
A.9.2 Gestin de acceso de usuarios.
Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.
Sugerencia: Definir el proceso de
Registro y cancelacin del registro de creacin y cancelacin de usuarios,
9.2.1 X
usuarios. para tener control de los usuarios
Control de que acceden a las aplicaciones.
acceso Con el proceso o procedimiento que
9.2.2 Suministro de acceso de usuarios. X se defina en la creacin y
cancelacin de usuarios es
importante definir los diferentes
niveles de privilegios que pueden
9.2.3 Gestin de derechos de acceso privilegiado. X asignar a los sistemas de
informacin.
Definir en el proceso o procedimiento
de creacin y cancelacin de
usuarios los lineamientos de
Gestin de informacin de autenticacin asignacin de nombre de usuario y
9.2.4 X estructura de contraseas seguras
secreta de usuarios.
para el acceso por parte de los
usuarios de cada sistema de
informacin.
114
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
No se puede controlar de manera
A.9.4.4 Uso de programas utilitarios privilegiados. X X centralizada qu programas puede o
no ejecutar el usuario
Definir un lugar de almacenamiento
de los cdigos fuentes de las
Control de acceso a cdigos fuente de
A.9.4.5 aplicaciones de la organizacin
Control de programas.
donde solo tenga acceso el personal
acceso autorizado para su consulta.
115
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
A.11.2 Equipos.
Prevenir la prdida, dao, robo o compromiso de activos y la interrupcin de las operaciones de la
organizacin.
Se debe fortalecer el control de
salida de equipos y sensibilizar a los
usuarios en la proteccin fsica de los
A.11.2.1 Ubicacin y proteccin de los equipos. X mismos, ya que en las pruebas de
Ingeniera Social realizadas se
evidenciaron muchos equipos
porttiles sin proteccin
Control adecuado con posibilidades
A.11.2.2 Servicio de suministro. X
de mejora
116
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
117
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
118
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
A.12.4 Registro y seguimiento.
119
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Control adecuado con posibilidades
A.12.6.2 Restriccin sobre la instalacin de software. X de mejora
Consideraciones sobre auditoras de sistemas de informacin.
A.12.7
Seguridad de las
operaciones Minimizar el impacto de las actividades de auditora sobre los sistemas
Se debe implementar un mecanismo
Controles de auditoras de sistemas de de monitoreo de logs y correlacin
A.12.7.1 X
informacin. de eventos de la plataforma ms
crtica
120
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
A.13.2 Transferencia de informacin.
Mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier
organizacin externa.
Polticas y procedimientos de transferencia Definir e implementar polticas de
Seguridad de las A.13.2.1 de informacin. X transferencia de informacin en la
comunicaciones organizacin.
A.13.2.2 Acuerdos sobre transferencia de informacin. X
Verificar que el cifrado de correo
A.13.2.3 Mensajera electrnica. X X electrnico se encuentre activado.
Asegurar que la seguridad de la informacin sea una parte integral de los sistemas de informacin durante
Adquisicin, todo el ciclo de vida. Esto incluye tambin los requisitos para sistemas de informacin que prestan
desarrollo y servicios sobre redes pblicas.
mantenimiento Definir poltica para que en todos los
de sistemas Anlisis y especificaciones de requisitos de proyectos de la organizacin se
A.14.1.1 X
seguridad de la informacin. tenga en cuenta requisitos de
seguridad de la informacin.
Seguridad de servicios de las aplicaciones en Se debe asegurar el FTP que est
A.14.1.2 redes pblicas. X X expuesto con acceso annimo
121
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Proteccin de transacciones de los servicios
A.14.1.3 de las aplicaciones. X
122
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
123
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Cadena de suministro de tecnologa de Control adecuado con
A.15.1.3 X
informacin y comunicacin. posibilidades de mejora
124
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Aprendizaje obtenido de los incidentes de
A.16.1.6 seguridad de la informacin. X X
Planificacin de la continuidad de la
Aspectos de A,17.1.1 seguridad de la informacin. X X Aprobar, divulgar, implementar y
seguridad de la probar en plan de continuidad del
Implementacin de la continuidad de la
informacin de la A,17.1.2 X X negocio.
seguridad de la informacin.
gestin de
continuidad de Verificacin, revisin y evaluacin de la
negocio A,17.1.3 continuidad de la seguridad de la X X
informacin.
A.17.2 Redundancias.
Asegurar la disponibilidad de instalaciones de procesamiento de informacin.
Disponibilidad de instalaciones de Control adecuado con posibilidades
A.17.2.1 X X
procesamiento de informacin. de mejora
125
CONTROLES ISO 27002 Seleccin Controles y Razn
Recomendacin
RL OC RN/MP RER
CLAUSULA Sec Objetivo de Control
Control adecuado con
A.18.1.2 Derechos de propiedad intelectual. posibilidades de mejora
Se debe fortalecer los controles de
A.18.1.3 Proteccin de registros. X acceso a la informacin
Se debe documentar e implementar
Privacidad y proteccin de informacin de
A.18.1.4 X X X controles sobre los datos personales
datos personales.
que se manipulan en la organizacin
Definir, divulgar e implementar
A.18.1.5 Reglamentacin de controles criptogrficos. X poltica de controles criptogrficos.
Cumplimiento
A.18.2 Revisiones de seguridad de la informacin.
Asegurar que la seguridad de la informacin se implemente y opere de acuerdo con las polticas y
procedimientos organizacionales.
Se deben aprobar, dar o a conocer y
Revisin independiente de la seguridad de la
A.18.2.1 X entender las polticas de seguridad
informacin.
de la informacin
Se deben implementar mecanismos
Cumplimiento con las polticas y normas de que permitan medir el cumplimiento
A.18.2.2 X X
seguridad.
de las polticas de seguridad
Se deben implementar mecanismos
A.18.2.3 Revisin del cumplimiento. X X que permitan medir el cumplimiento
de las polticas de seguridad
126
CRONOGRAMA
127
10. CONCLUSIONES
128
11. RECOMENDACIONES
129
BIBLIOGRAFA
130
COMUNIDAD INTERNACIONAL DE IMPLANTADORES DE ISO27000 DE
ISO27001SECURITY.COM. Consejos de implantacin y mtricas de ISO/IEC
27001 y 27002. Traducido por www.iso27000.es. [En lnea] Versin 1, 16 p. 2007.
[Consultado 26 de enero, 2014]. Disponible en Internet:
(www.iso27000.es/download/ISO_27000_implementation_guidance_v1_Spanish.p
df)
ISOTOOLS EXCELLENCE. SGSI. Los pilares del SGSI. [En lnea]. 2015.
[Consultado 18 de junio, 2015]. Disponible en Internet: (www.pmg-
ssi.com/2015/07/pilares-sgsi/)
131
ISOTOOLS EXCELLENCE. SGSI. Por qu implantar un SGSI basado en la norma
ISO 27001. [En lnea]. 2015. [Consultado 18 de junio, 2015]. Disponible en
Internet: (www.pmg-ssi.com/2015/05/por-que-implantar-un-sgsi-basado-en-la-
norma-iso-27001/)
GUTIRREZ, Camilo. Lo que no debes pasar por alto para gestionar la seguridad
de la informacin. En: Revista.Seguridad. [En lnea]. no.22 (ago-sep.2014). p.04-
06. [Consultado 26 de enero, 2015]. Disponible en Internet:
(revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num
22.pdf)
132
PORTAL ISO 27001 EN ESPAOL. Origen serie 27K. [En lnea]. [Consultado 28
de noviembre, 2014]. Disponible en internet: www.iso27000.es/iso27000.html
133
ANEXOS
cumple
Elemento Criterio / elementos Argumento
SI/NO
Abarca el qu, el cmo y el dnde del tema de investigacin de forma
clara y concisa
SI
Ttulo
Mayscula sostenida, en negrilla, sin punto al final SI
Verificar limitaciones de tipo temporal, econmico o de
SI
complejidad
Pertinencia y relevancia del tema de estudio en el rea en el que
Delimitacin del tema de SI
se desarrolla
estudio
La realizacin de la investigacin no implica riesgos para la
Todo el desarrollo del trabajo se realiza en
seguridad del investigador, o el investigador es plenamente SI
las instalacines de entidad.
consciente de ellos y decide asumirlos
La seguridad informtica es un tema que
Disponibilidad de la Es posible encontrar la suficiente informacin y asesora respecto
SI esta voga en las organizaciones, por lo tanto
informacin al tema en cuestin
la documentacin es amplia
Adecuacin textual SI
Coherencia textual SI
Redaccin
Cohesin textual SI
Correccin gramatical SI
Ortografa No se presentan errores ortogrficos SI
Se hace una formulacin clara y sin ambigedades SI
Formulacin del problema Evidencia la relacin entre variables en un contexto temporal y
SI
espacial
Argumenta las razones por las cuales se escogi el tema de
SI
estudio y evidencia su importancia
Describe y argumenta claramente los beneficios al realizar el
Justificacin SI
proyecto
Grado de innovacin del proyecto, su valor cientfico, acadmico
SI
o tcnico.