Asignatura Datos del alumno Fecha

Apellidos: Zúñiga Suárez

Gestión de la
2017-12-05
seguridad
Nombre: María José

Actividades

Trabajo: Estudio de la norma ISO 27001

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de

seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la

información según ISO 27001, así como consulta las normas ISO 27001 y 27002,
disponibles en el aula virtual y responde a las siguientes preguntas de forma
breve:

1. Establece un objetivo de negocio para el que se sustente la necesidad de realizar un

SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de la
compañía para entender su objetivo. El objetivo debe estar suficientemente
explicado para justificar la necesidad de realizar un SGSI.

DESCRIPCIÓN

La Cooperativa de Ahorro y Crédito Vicentina “Manuel Esteban Godoy Ortega”,

CoopMego, es una entidad financiera controlada por la Superintendencia de Bancos y
Seguros del Ecuador. Actualmente dispone de 18 oficinas distribuidas en el austro
ecuatoriano. La cartera de clientes supera las 100,000 personas entre hombres,
mujeres y personas jurídicas. Su función principal es la captación y colocación de
dinero, para lo cual cuenta con un amplio portafolio de productos.

La Organización operativa de la CoopMego se fundamenta en cuatro direcciones:

 Dirección Administrativa Financiera,

 Dirección de Negocios,
 Dirección de Gestión y Desarrollo, y
 Dirección de Tecnología.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Gestión de la
2017-12-05
seguridad
Nombre: María José

Misión

“Ofrecemos productos y servicios financieros competitivos con eficiencia y calidez, a los

diferentes sectores socioeconómicos del país, sustentando nuestra gestión en los
principios cooperativos, en la generación de rentabilidad mutua y en la responsabilidad
social”.

Visión

“Liderar el sistema cooperativo de ahorro y crédito del sur del Ecuador, en la prestación
de productos y servicios financieros integrales”.

OBJETIVO DE NEGOCIO
Los principales motivos de seguridad por los que han decidido implantar ISO 27001
podrían describirse como:
 Tratar de que la información sea tan relevante y pertinente para los procesos de
la Cooperativa.
 Proveer de información a través del uso óptimo de los recursos, es decir la
manera más productiva y menos costosa.
 Aplicar un nivel de protección a la información a fin de que la misma no pueda
ser accedida por personas no autorizadas.
 Tratar que la información sea exacta y completa, y que la misma haya sido
validada apropiadamente.
 Mantener la información actual e histórica disponible cuando la misma fuese
requerida.
 Establecer que la información obedezca las leyes, reglamentos, normas, y
regulaciones contractuales de acuerdo al tipo de negocios que ejecuta la
Entidad.
 Entregar la información apropiada a la Administración para que la Cooperativa
tenga respaldo apropiado para ejercer sus responsabilidades sobre los informes
que le sirven para la toma de decisiones.

2. Respondiendo a ese objetivo de negocio, establece un posible alcance para

vuestro SGSI de forma justificada.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Gestión de la
2017-12-05
seguridad
Nombre: María José

La Dirección de Tecnología, es la encargada de administrar y gestionar los recursos de

la tecnología de la información (TI), cuya inversión supera el millón de dólares de
Estados Unidos. Es así que por definición, la CoopMego, igual que cualquier empresa
mediana o grande, es informático-dependiente, ya que todas sus transacciones se
procesan a través de equipos de computación, el procesamiento electrónico transforma
una montaña de datos que ingresan, en información con valor económico.
La información es uno de los activos más valiosos de la Cooperativa. Esto,
lamentablemente se entiende cuando dicha información se vuelve inaccesible, porque
se ha destruido o porque ha sido robada, lo cual implicaría un serio traspié para la
Cooperativa. Por consiguiente debemos conocer cómo se produce esa información y (lo
más importante) cómo debemos protegerla.
Esta política de seguridad afecta a toda la información de la cooperativa, incluidos los
sistemas de comunicaciones que sustentan la transferencia de información así como los
aplicativos que la manipulan. Todos los empleados internos y externos que utilicen
estos sistemas de información quedan incluidos en las políticas.

3. De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la

seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos
según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy
brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.

6. Organización de la seguridad de la información

6.1 Organización interna

6.1.1. Roles y responsabilidades en Seguridad Informática:

[N] En la guía de implementación se establece que se debería tener documentación los

niveles de autorización así como los aspectos de coordinación y supervisión de seguridad
de la información relativo a relaciones y a proveedores.

[O] Porque se establece individuos y áreas con responsabilidades específicas.

6.1.2. Segregación de tareas

[T] Se requieren implementar procedimientos técnicos para los diferentes controles.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Gestión de la
2017-12-05
seguridad
Nombre: María José

[O] Requiere supervisión de la Dirección.

6.1.3. Contacto con las autoridades

[O] Requiere que se conozca de las autoridades que se encuentran a cargo de los
diferentes procedimientos para ponerse en contacto con ellas.

6.1.4. Contacto con grupos de interés especial

[T] Creación de medios para el intercambio de la información.

[O] Relaciones entre grupos de interés para intercambio de conocimientos.

6.1.5. Seguridad de la Información en la gestión de proyectos

[N] Al indicar que debería integrarse en el método o métodos de la gestión de proyectos

de la organización, indica un agregado a la normativa de la empresa.

[T] Al tener que revisarse que revisarse con regularidad las implicaciones de seguridad se
debe establecer metodologías y técnicas para realizarlo.

6.2 Los dispositivos móviles y el teletrabajo

6.2.1. Política de dispositivos móviles

[N] Al indicar una política establecería que debe incluirse en la documentación de la

empresa.

[T] Al establecer actividades para el control de dispositivos móviles se deberá utilizar

procedimientos técnicos.

6.2.2. Teletrabajo

[T] Al establecer las seguridades y condiciones del lugar de teletrabajo

[N] Al crear políticas y condiciones para al acceso de la información a través de este

medio.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Gestión de la
2017-12-05
seguridad
Nombre: María José

7 Seguridad relativa a los recursos humanos

7.1 Antes del empleo

7.1.1. Investigación de antecedentes

[O] Es de tipo ya que se basa en el manual de funciones de la empresa y del perfil

profesional que debe cumplir el candidato.

[N] Al indicar que dentro de la organización la información y documentación del

candidato debe ser recopilada y ser tratada de acuerdo a la legislación aplicable existente
en la jurisdicción correspondiente.

7.1.2. Términos y condiciones del empleo

[N] Se requiere un documento normativo que lo establezca ya que se requiere la firma

de documentos de confidencialidad.

7.2 Durante el empleo

7.2.1. Responsabilidades de gestión

[O] La información de la empresa y de la gestión debe ser brindada por los directivos a
través de manuales de funciones.

[N] Conocimiento de los lineamientos y políticas que como empleado se debe cumplir.

7.2.2. Concienciación, educación y capacitación en seguridad de la

información.

[T] Procedimientos técnicos utilizados para la difusión de la seguridad de la información.

[N] Conocimiento de la normativa y políticas del uso de la información de la empresa.

7.2.3. Proceso Disciplinario

[N] Deberes y obligaciones de los empleadores con la empresa, a través de compromisos

de confidencialidad.

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Gestión de la
2017-12-05
seguridad
Nombre: María José

7.3 Finalización del empleo o cambio en el puesto de trabajo

7.3.1. Responsabilidades ante la finalización o cambio

[O] Documentación de bloqueo de claves y de desvinculación.

8 Gestión de activos

8.1 Responsabilidad sobre los activos

[N] Se requiere un documento normativo que lo establezca.

8.1.1 Inventario de Activos

[N] Se requiere un documento normativo que lo establezca.

8.1.2. Propiedad de los activos

[N] Se requiere un documento normativo que lo establezca.

8.1.3 Uso aceptable de los activos

[N] Se requiere un documento normativo que lo establezca.

8.1.4. Devolución de los activos

8.2 Clasificación de la información

8.2.1 Clasificacion de la información

[N] Se requiere un documento normativo que lo establezca

8.2.2. Etiquetado de la Información

[N] Se requiere un documento normativo que lo establezca

8.2.3. Manipulado de la información

[N] Se requiere un documento normativo que lo establezca

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Gestión de la
2017-12-05
seguridad
Nombre: María José

8.3 Manipulación de los soportes

8.3.1. Gestión de soportes extraíbles

[T] Procedimientos técnicos

8.3.2. Eliminación de soportes

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

8.3.3. Soportes físicos en transito

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9 Control de acceso

9.1 Requisitos de negocio para el control de acceso

9.1.1 Política de control de acceso

[N] Se requiere un documento normativo que lo establezca

9.1.2. Acceso a las redes y a los servicios de red

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.2 Gestión de acceso de usuario

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.2.1 Registro y baja del usuario

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Gestión de la
2017-12-05
seguridad
Nombre: María José

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.2.2. Provisión de acceso al usuario

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.2.3 Gestión de privilegios de acceso

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.2.4 Gestión de la información secreta de autenticación de usuarios

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.2.5. Revisión de los derechos del usuario

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.2.6. Retirada o reasignación de los derechos de acceso

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.3 Responsabilidades del usuario

9.3.1. Uso de la información secreta de autentificación

[N] Se requiere un documento normativo que lo establezca

TEMA 2 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Gestión de la
2017-12-05
seguridad
Nombre: María José

[T] Procedimientos técnicos

9.4 Control de acceso a sistemas y aplicaciones

9.4.1 Restricción de acceso a la información

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

[O] Accesos de acuerdo a manual de funciones

9.4.2. Procedimientos seguros de inicio de sesión

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

9.4.3. Sistema de gestión de contraseñas

[T] Procedimientos técnicos

9.4.4. Uso de utilidades con privilegios de sistema

[T] Procedimientos técnicos

9.4.5. Control de acceso a código fuente de los programas

[N] Se requiere un documento normativo que lo establezca

[T] Procedimientos técnicos

[O] Accesos de acuerdo a manual de funciones y actividades

TEMA 2 – Actividades