Está en la página 1de 3

“Implementación de un SGSI en la empresa EUREKA

estudio gráfico, bajo la norma ISO 27001”


RESUMEN 1. INTRODUCCIÓN
El presente artículo es el resultado de un Partiendo de una definición general de lo que es
estudio investigativo sobre la seguridad de la seguridad informática podemos considerar que
información en la Empresa EUREKA estudio es una disciplina que se encarga de proteger la
gráfico de la Ciudad de Riobamba. En la integridad y la privacidad de la información
institución se realizó una serie de etapas almacenada en un sistema informático. De todas
investigativas que abarcan desde el Análisis formas, no existe ninguna técnica que permita
Diferencial que establece un indicador sobre asegurar la inviolabilidad de un sistema.
la situación inicial en cuanto a seguridad de la
información que arroja un resultado del 31% EUREKA estudio gráfico, es una microempresa
de controles establecidos. A continuación se privada que se dedica al diseño y desarrollo de
implementa un sistema de gestión de la plataformas web e infraestructuras informáticas.
seguridad de la información (SGSI) utilizando Es importante entender que la seguridad de la
la metodología PDCA (plan, do, check, actua) información, se refiere a la protección de los
el cual aborda algunos temas que la empresa activos de información fundamentales para el
necesariamente debe implementar para éxito de cualquier organización; por tal razón es
mejorar su seguridad informática; al final del imprescindible que EUREKA estudio gráfico
proceso nos brinda un resultado positivo del posea este tipo de sistemas que garanticen la
62%. El efecto obtenido indica que la confidencialidad, integridad y disponibilidad de
aplicación de las herramientas planificadas su información.
mejora significativamente la seguridad en la
empresa, además de brindar confiabilidad,
disponibilidad e integridad. 2. ANÁLISIS DIFERENCIAL
Palabras clave: PDCA, seguridad informática, El análisis de situación de la empresa respecto a
calidad, metodología, SGSI. la norma no es obligatorio según la ISO 27001
pero si aconsejable para entender dónde nos
encontramos. El análisis diferencial nos
permitirá evaluar el grado de cumplimiento de la
ABSTRACT norma y nos permitirá tener una versión
This article is the result of a research study on preliminar de la declaración de aplicabilidad
the security of information in the EUREKA 3. PLANIFICACION DEL SGSI
Enterprise graphic study of the City of
Riobamba. In the institution, a series of A. Alcance del SGSI
investigative stages were carried out, ranging El alcance es para todos los sistemas
from the Differential Analysis that establishes dirigidos al manejo de la información del proceso
an indicator about the initial situation in
de diseño y desarrollo de los sistemas
terms of information security that yields a
result of 31% of established controls. Next, an informáticos.
information security management system
(SGSI) is implemented using the PDCA B. Políticas de Seguridad
methodology (plan, do, check, act) which  La política de seguridad es un conjunto de
addresses some issues that the company must normas y procedimientos de obligado
necessarily implement to improve its cumplimiento para el tratamiento de los
computer security; At the end of the process, riesgos de seguridad empresariales.
it gives us a positive result of 62%. The  EUREKA estudio gráfico, dentro de su
obtained effect indicates that the application estructura organizacional establece un
of the planned tools significantly improves the comité de seguridad de la información
security in the company, in addition to
conformado por un grupo interdisciplinario
providing reliability, availability and
integrity. de colaboradores responsables de todas las
acciones referidas a la seguridad de la
Key words: PDCA, computer security, quality, información de la empresa, controles y
methodology, procedimientos según sus requerimientos,

Página 1 de 3
mismo que es aprobado por el directorio información no esté segura y se pueda
principal de la Empresa. provocar un acceso indebido a la misma,
 Implantar responsabilidades, roles y especialmente en los archivos que
funciones para el sistema de seguridad de la corresponden a la creación de las
información. plataformas informáticas.
 Revisar el SGSI con planificación o en el  Los accesos no autorizados generan
caso que se produzcan cambios escenarios que provocan un sistema
significativos para asegurar la idoneidad, vulnerable e inseguro.
adecuación y la eficacia de la continuidad.
 La información debe estar clasificada según 4. IMPLEMENTACION DEL SGSI
su valor, requisitos legales y criticidad para
la organización A continuación establecemos los parámetros
 Todos los empleados deberán recibir una del cómo se implementarán los controles del
formación adecuada y actualizada referente documento de aplicabilidad, se designarán
a las políticas y procedimientos de responsables y los recursos.
seguridad. A. Plan de tratamiento de riesgos
 Procedimiento de registro formal de  Crear credenciales seguras para las cuentas
usuarios para conceder y revocar accesos a de usuarios
todos los sistemas.  Delegar responsabilidades en la seguridad
de las contraseñas a los usuarios asignados.
C. Metodología de evaluación de Riesgos  Demarcar el acceso de los usuarios a los
 La evaluación de riesgos se gestiona bajo las servicios del sistema informático.
siguientes normas:
 Construir objetivos de la evaluación
 Plantear el alcance de cada evaluación B. Implantar el plan de gestión de riesgos
 Definir los criterios para seleccionar el  Generar métodos de control sobre las
equipo evaluador o validar las competencias credenciales para disminuir el riesgo
de los evaluadores o aspectos éticos y  Delegar las credenciales a los usuarios
morales. autorizados para el efecto evitando al
mínimo la proliferación de múltiples
 Documentar y registrar las actividades
contraseñas.
realizadas  El acceso a los sistemas será autorizado
 Identificar herramientas y procedimientos a únicamente a aquellos datos y recursos que
utilizar en la evaluación precisen para el desarrollo de sus funciones.
 Testear las competencias del personal de la  El tamaño en la longitud mínima de las
empresa. contraseñas será igual o superior a ocho
caracteres, y estarán constituidas por
D. Identificar amenazas y vulnerabilidades combinación de caracteres alfanuméricos y
 Identificamos las amenazas que pueden especiales.
afectar y vulnerar nuestros sistemas  La responsabilidad será única y exclusiva de
informáticos desde cualquier acción o la persona asignada, no existirá delegación
acontecimiento que orientadas a la seguridad de responsabilidades.
informática.
C. Implementar los controles
 En nuestro caso nos enfocaremos en el  Designar contraseñas solo a las personas
control de acceso a las cuentas de usuarios responsables
en nuestros sistemas informáticos.  No compartir las contraseñas
 Actualizar las contraseñas cada seis meses
E. Identificar impactos  Limitar el acceso a los sistemas informáticos
 Acceso indebido a información no asignada
al usuario o mal uso de la información D. Formación y concienciación
 Pérdida, manipulación de la información o  Impartir capacitaciones sobre el uso de las
daño en los equipos informáticos credenciales al personal.
 Establecer un manual de funciones para
F. Análisis y evaluación de riesgos delegar responsabilidades a los usuarios del
 El uso incorrecto de contraseñas en las servicio informático.
cuentas de usuario implica que la

Página 2 de 3
 Concientizar sobre los riesgos del uso o
accesos indebidos para evitar alteraciones en
el sistema

E. Operar el SGSI
 Ejecutar la operatividad del sistema de
seguridad de la información a todos los
miembros de la empresa para monitoreo y
seguimientos futuros.

5. MONITOREO Y SEGUIMIENTO
DEL SGSI

EUREKA estudio gráfico ejecutará


procedimientos de monitorización y revisión
para: 7. CONCLUSIONES
 Identificar con prontitud los errores en los
 Se evidenciaron diferentes riesgos que
resultados generados por el tratamiento de la
podían afectar a puntos críticos dentro de la
información.
empresa de forma que para cada riesgo se
 Determinar incongruencias y sucesos especificaron controles puntuales de
producidos sobre el tema de seguridad. acuerdo con la norma ISO 27001.
 Prevenir posibles incidentes de seguridad  EUREKA estudio gráfico poseía niveles
mediante la lectura de indicadores. muy bajos en cuanto a la seguridad de la
 Inteligenciar acciones dedicadas a resolver información. Con la implementación del
vacíos de seguridad no detectadas. SGSI, se ha garantizado un porcentaje
importante en cuanto a seguridad se refiere.
6. MANTENER Y MEJORA  Los sistemas de Gestión de Seguridad de
Información bajo la norma ISO 27001, se
CONTINUA DEL SGSI basan en la prevención, por lo tanto, es muy
EUREKA estudio gráfico ejecutará importante identificar los riesgos a los que
procedimientos de monitorización y revisión están expuestos los activos para así evitar
para: pérdidas económicas u operacionales.
 El Sistema de Gestión de Seguridad de la
Información debe ser revisado 8. BIBLIOGRAFÍA
periódicamente para asegurar que se i. Silberschatz, A., GAGNE, G., & GALVIN, P.
B. (2006). Fundamentos de sistemas
cumplan los objetivos marcados por la operativos. McGraw-Hill,
organización.
 La implementación de indicadores sobre la ii. Pallas, G., & Corti, E. (2009). Metodología de
Implantación de un SGSI en un grupo empresarial
seguridad de la información nos brindará su jerárquico. Universidad de la República,
estado actual, asociado a los registros que en Montevideo Uruguay.{En línea}.{15 de Marzo de
él se producen de tal forma que se 2015} disponible en:(http://www. fing. edu.
recolectarán datos precisos para su estudio y uy/inco/pedeciba/bibliote/cpap/tesis-pallas. pdf).
análisis. iii. Martelo, R. J., Madera, J. E., & Betín, A. D.
(2015). Software para Gestión Documental, un
EUREKA estudio gráfico ejecutará Componente Modular del Sistema de Gestión de
regularmente las siguientes acciones: Seguridad de la Información (SGSI). Información
tecnológica, 26(2), 129-134.
Implementar en el SGSI las actualizaciones
sugeridas. iv. Alexander, A. G., & IRCA, A. S. C. (2006).
 Ejecutar actividades de prevención y ANÁLISIS DE RIESGOS Y EL SISTEMA DE
correcciones periódicas. GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN: EL ENFOQUE ISO 27001:
La implementación del Sistema de Gestión 2005. LIMA, PERÚ. Obtenido de www.
de la Seguridad de la Información generó eficienciagerencial. com.
indicadores que proporcionan logros
alcanzados un porcentaje aceptable del 62% v. Oidor González, J. C. (2017). Diseño de un
Sistema de Gestión de Seguridad de la
como se muestra a continuación: Información-SGSI bajo la norma ISO/IEC 27001:
2013 para la empresa “en Línea Financiera” de la
ciudad de Cali–Colombia.

Página 3 de 3