Está en la página 1de 13

7 DE JUNIO DEL 2019

UCACUE - SISTEMAS
UNIDAD ACADEMICAS DE LAS TICS
El propósito de la seguridad de la información es asegurar la continuidad del negocio y
minimizar los daños, minimizando el impacto de los incidentes, la gestión de la seguridad
de la información, permite que la información sea compartida asegurando la protección
de la misma y todos los activos comprendidos en el alcance del sistema.
Un sistema de gestión de seguridad de información (SGSI) tiene tres componentes para
alcanzar confidencialidad y aseguramiento de la información.
Confidencialidad: Protección de la información sensitiva de intercepciones no
autorizadas
Seguridad: La propiedad de salvaguardar de intercepciones no autorizadas.
Disponibilidad: La propiedad de estar disponible y utilizable cuando lo requiera una
entidad autorizada. [1]

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad


de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de
Information Security Management System. [2]
El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en
preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas
implicados en el tratamiento dentro de la organización. [3]
La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy
importantes de una organización. La confidencialidad, integridad y disponibilidad de
información sensible pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para
lograr los objetivos de la organización y asegurar beneficios económicos. Las
organizaciones y sus sistemas de información están expuestos a un número cada vez
más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades
existentes, pueden someter a activos críticos de información a diversas formas de
fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los
ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero
también se deben considerar los riesgos de sufrir incidentes de seguridad causados
voluntaria o involuntariamente desde dentro de la propia organización o aquellos
provocados accidentalmente por catástrofes naturales y fallos técnicos.
Un SGSI Conoce los riesgos a los que está sometida su información y los asume,
minimiza, transfiere o controla mediante un sistema definido, documentado y conocido
por todos, que se revisa y actualiza continuamente.
Un SGSI Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma
UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque
de riesgo empresarial, que se establece para crear, implementar, operar, supervisar,
revisar, mantener y mejorar la seguridad de la información.
Los sistemas de gestión que definen las normas ISO siempre están documentados, ya
que, por un lado, es la mejor manera de formalizar normas e instrucciones y, por otro,
son más fáciles de transmitir y comunicar, cosa que no sucedería si se confía en un
traspaso de información verbal informal. La norma es compatible con el resto de las
normas ISO para sistemas de gestión (UNE-EN ISO 9001 y UNE- EN ISO 14001) y poseen
idéntica estructura y requisitos comunes, por lo que se recomienda integrar el SGSI con
el resto de los sistemas de gestión que existan en la empresa para no duplicar
esfuerzos.[4]

Aunque todas las organizaciones están expuestas a los peligros en relación a la


seguridad de su información, como hemos comentado, especialmente aquellas
pertenecientes al Sector Público lo están en mayor medida.
Los principales problemas en la gestión de la Seguridad de la Información de las
organizaciones del Sector Público vienen derivados del avance de las Tecnologías de la
Información que abarcan cada vez más procesos internos de las organizaciones.
Concretamente con la conectividad a Extranet aumenta las amenazas y
vulnerabilidad existente cuando se generan los flujos de comunicación hacia fuera de la
organización, dónde la organización se pone en contacto con proveedores, socios y
clientes. En este sentido y aunque en las organizaciones ya se le esté dando importancia
a la seguridad de la información, no ha sido hasta la llegada de incidentes debido a las
redes, cuanto han visto peligrar en gran medida su seguridad. Tales amenazas les han
hecho considerar seriamente la necesidad de implantar SGSI certificados como manera
de salvaguardar la información.
Ante tales amenazas a las que se enfrenta las organizaciones con el avance de las
Tecnologías de la Innovación y en especial las organizaciones públicas por su enorme
dependencia de la información depositada en las mismas como núcleo de actividad
diaria, se recurre a la necesidad de implantar Sistemas de Gestión de la Seguridad de la
Información como solución a estos problemas.
Pero no sólo es necesario la implantación de un SGSI, sino que también se necesita
construir una adecuada capacitación interna como base para poder llegar a tener una
gran madurez en Seguridad de la Información y que la implantación del SGSI resulte ser
exitosa.
De esta manera, el cambio de requisitos junto con los cambios en la tecnología y
necesidades del negocio, acompañado de la capacitación interna para la correcta
implantación de Sistema de Gestión de la Seguridad de la Información, les
permite solventar todos los problemas a los que se enfrentaban en cuanto a amenazas
y vulnerabilidad en la seguridad de la información.
Software ISO 27001
Con el Software de ISOTools Excellece puedes implementar de manera automatizada un
Sistema de Gestión de la Seguridad de la Información. Este software cuenta con diversas
aplicaciones que trabajan por la seguridad de la información depositada en las
organizaciones privadas y públicas, contribuyendo a hacer más ágil y eficiente la gestión
del propio Sistema. [5]
La Seguridad informática ha tomado gran relevancia en nuestra sociedad y poco a poco
dentro de las empresas empieza a dársele importancia de tal forma que la alta dirección
le presta atención y empieza a preocuparse por proteger su información; en cambio en
las pymes no tiene la misma importancia y al pensar en seguridad de la Seguridad de la
Información en pequeñas y medianas empresas (pymes) se cometen errores como:
 No valorar la información: Las pymes por lo general piensan que su información
no tiene valor para otras personas y por tal motivo nadie se puede interesar en
ella.
 No valorar su infraestructura: El uso de computadoras en las actividades
laborales ya es un problema de seguridad, podemos ser tan vulnerables que una
computadora de la red puede ser utilizada por “botnets” o redes de
computadoras zombies controladas remotamente para divulgar spam o atacar
otros sistemas.
 La seguridad es solo hardware o Software: La seguridad de la información recae
en la compra de productos que mejoran la seguridad dentro de las empresas
(firewall, antivirus, etc.) dejando a un lado los procesos, las personas y los
aspectos legales y organizacionales.
 La seguridad equivale a un Antivirus: Muchas empresas carecen de antivirus y al
pensar en seguridad lo único que se implementa es uno de estos generando una
falsa sensación de protección descuidando muchas otras amenazas tanto
técnicas como organizacionales.
 Restarle importancia al know how: Se vuelve indispensable que toda empresa
cuente con mecanismos jurídicos que le permitan defender sus intereses frente
a cualquier eventualidad; es indispensable que los contratos laborales tengan
incluida(s) una(s) cláusula(s) de confidencialidad que resguarde los procesos de
las empresas para que no se ponga en riesgo el know how de la misma.
 No contemplar un plan de continuidad del negocio: La mayoría de las empresas
no toman acciones para prepararse para problemas o eventualidades que le
impidan su normal funcionamiento. La alta dirección le es indiferente y se piensa
que “a mi empresa no le va a pasar” o “los planes de continuidad de negocio son
costosos y solo las grandes compañías pueden darse el lujo de contar con ellos”
evaluando únicamente los costos.
 Inversión en tecnología no adecuada: Las pymes invierten poco en tecnología, y
cuando lo hacen, muchas veces adquieren equipos y software que no está acorde
con los avances
Un estudio elaborado por la compañía de seguridad Kaspersky denominado “Informe
Especial ¿Quién le espía? Ninguna empresa está a salvo del ciberespionaje” señala que
ninguna empresa está exenta de sufrir ciberataques o ciberespionaje. No obstante el
mayor riesgo lo tienen las pymes, más vulnerables a esta problemática por su mayor
falta de recursos y también por su menor concienciación en este aspecto. El problema
no es solo que éstas sean atacadas, aunque sean pequeñas no significa que no tengan
datos importantes e información confidencial a proteger, sino que, además, pueden
convertirse, sin quererlo, en una puerta de entrada de los atacantes a empresas grandes
de las que sean socios de confianza. “Los delincuentes están cada vez más dispuestos a
sacar provecho de esas relaciones” [6]
El 41% de las empresas de América Latina afirma haber sufrido infección por códigos
maliciosos, según información recopilada por el laboratorio de investigación de ESET
Latinoamérica y publicada en el “ESET Security Report”, informe que analiza el estado
de la seguridad informática en Latinoamérica y que presenta los resultados de encuestas
realizadas a más de 3300 profesionales de distintas organizaciones. [7]

El gobierno nacional dispone mediante leyes y decretos que en las ciudades para el
desarrollo urbano sean las curadurías urbanas o la oficina de planeación municipal las
encargadas de otorgar licencias urbanísticas en todas sus modalidades. Por lo tanto el
Curador Urbano es un particular con función pública encargado de estudiar, tramitar y
expedir licencias urbanísticas a todos los interesados que presenten solicitud de
obtención de licencia. Su función es verificar el cumplimiento de las normas urbanísticas
y de edificaciones vigentes, con autonomía en el ejercicio de sus funciones y responsable
conforme a la ley. Este proyecto se lleva a cabo para la Curaduría Urbana Segunda de
Pasto la cual pretende cada día implementar políticas y controles de seguridad para
proteger la información; mejorar la atención a sus clientes, brindándoles eficiencia y
calidad en la prestación de su servicio y asegurar la continuidad del negocio. Este trabajo
tiene como objetivo fundamental, diseñar un SGSI para el área de informática de la
Curaduría Urbana Segunda de Pasto bajo la Norma ISO/IEC 27001 con el fin de clasificar
la información, identificar vulnerabilidades y amenazas en el área de informática;
valorar los riesgos y con base en estos definir controles y políticas de seguridad que
deben ser de conocimiento de la empresa, instrucciones de los procedimientos a
realizarse y la documentación que se debe desarrollar en todo el proceso para la
posterior implementación del SGSI, aplicando el modelo PHVA (Planificar, hacer,
verificar y actuar) [8]

La empresa DECEVALE requiere implementar un sistema de gestión de seguridad de la


información con respecto a los recursos humanos debido a que regirían lineamientos
que permitirán reclutar personal calificado de acuerdo al rol a desempeñar. La empresa
maneja información de vital importancia para sus clientes, la cual se considera delicada
y no se puede arriesgar a incorporar personal que pueda hacer mal uso, voluntaria o
involuntariamente, de ésta.
La Compañía Depósito Centralizado de Compensación y Liquidación de Valores S.A., se
constituyó con la denominación Depósito Centralizado de Valores DECEVALE S.A.,
mediante Escritura Pública autorizada por el Notario Décimo Séptimo de Guayaquil,
Abogado Nelson Gustavo Cañarte Arboleda, el cuatro de Enero de mil novecientos
noventa y cuatro, inscrita en el Registro Mercantil del Cantón Guayaquil el treinta y uno
de marzo del mismo año, con un capital suscrito y pagado de diez millones de sucres
(S/.10.000.000,00) y un capital autorizado de veinte millones de sucres
(S/.20.000.000.00).
La seguridad de la información es la protección de los activos de la información de
un rango amplio de amenazas para poder asegurar la continuidad del negocio,
minimizar el riesgo comercial y maximizar el retorno de las inversiones y las
oportunidades comerciales. Estos activos se pueden detallar como: correos
electrónicos, páginas web, imágenes, base de datos, telecomunicaciones, contratos,
documentos, etc.
La seguridad de estos activos de la información se logra implementando un
adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos,
estructuras organizacionales y funciones de software y hardware. Se necesitan
establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea
necesario para asegurar que se cumplan los objetivos de seguridad y comerciales
específico [9]

Normar el registro, gestión y control de los activos fijos y bienes de propiedad de la


empresa Coka Tours.
Estandarizar el proceso para el manejo de los activos fijos y bienes el registro
informáticos y documentos en que conste la historia de cada bien, su destinación y uso;
e identificar y designar al personal que recibe el bien para el desempeño de sus
funciones.

 Todos los aspectos que no se encuentren normados de forma expresa en este


documento deben ser complementados o suplidos por las disposiciones de la
Gerencia de la Empresa.
 El personal que incumpliere sus obligaciones o contraviniere las disposiciones de
esta Política, así como las leyes y normativa conexa, debe incurrir en
responsabilidad administrativa que será sancionada disciplinariamente, sin
perjuicio de la acción civil o penal que pudiere originar el mismo hecho.
 La Gerencia debe contratar pólizas de seguro de los activos para protegerlos
contra diferentes riesgos que pudieran ocurrir; se actualizaran periódicamente,
a fin de que las coberturas mantengan su vigencia.
 El Departamento de Tecnología establecerá una codificación adecuada que
permita una fácil identificación, organización y protección de los activos. Todos
los activos llevarán etiquetas impresas con el código correspondiente en una
parte visible, permitiendo su fácil identificación.
 Es responsabilidad del Departamento de Tecnología mantener registros
actualizados, individualizados, numerados, debidamente organizados y
archivados, para que sirvan de base para el control, localización e identificación
de los equipos informáticos, hardware, software y medios de comunicación.
 Es responsabilidad de cada Jefatura garantizar el uso adecuado de los 42 activos
informáticos, a fin de determina si las condiciones de custodia son adecuados y
no se encuentran en riesgo.
 El Departamento de Seguridad de la Información debe tener un inventario de lo
siguiente:
 Procesos estratégicos y de apoyo para la empresa.
 Las normas y reglamentos que son la razón de ser de la empresa.
 Los archivos generados por el personal tanto de manera física como
digital, esto dependerá de las funciones que realiza en la empresa.
 Archivos del desarrollo, soporte de los nuevos y anteriores sistemas
informáticos.

 La empresa Coka Tours es responsable de la protección y custodia de toda la


información de la empresa que corresponda a la información recibida o
producida por el personal, para el cumplimiento de sus funciones, atención de
trámites y transacciones asociadas a su gestión; la misma podrá estar contenida
en documentos, informes, reportes, bases de datos, archivos temporales o
permanentes sean estos físicos o digitales.
 La información, documentos y archivos de propiedad de terceros que ingrese a
los distintos sistemas administrativos, aplicaciones informáticas o servicios
tecnológicos de la empresa, estarán bajo custodia de la empresa Coka Tours y
serán sujetos a las normas y procedimientos de control aplicados.
 La información considerada como “Información Confidencial” que sea entregada
por parte de la empresa Coka Tours a otras organizaciones, debe ser aprobado
por la Gerencia.
 La información de la empresa a la cual tenga acceso el personal externo que
preste servicios a la empresa Coka Tours, estará regulada por los respectivos
contratos y acuerdos de confidencialidad que se suscriban para el efecto.
 La información que se genera para la gestión de los procesos de la 43 empresa
debe sujetarse a las normas internas sobre custodia, archivo y plazos de
retención

La gestión de la seguridad de la información se realiza mediante un proceso sistemático,


documentado y conocido por toda la organización. La utilización de un SGSI permite
dotar a la entidad de las herramientas o mecanismos necesarios para poder afrontar los
riesgos presentes en las empresas.
Una de las razones más importantes para implementar un SGSI es la de atenuar los
riesgos propios de los activos de información de la empresa. Una acertada identificación
de tales activos, su definición correcta del alcance y unas políticas de seguridad claras y
La implantación y operación de un SGSI ofrece ventajas para la empresa al disponer de
una metodología dedicada a la seguridad de la información reconocida
internacionalmente, contar con un proceso definido para evaluar, implementar,
mantener y administrar la seguridad de la información, diferencia una empresa de otro
con esto satisfacemos de una mejor manera los requerimientos de clientes,
proveedores y organismos de control, formalizando las responsabilidades operativas y
legales de los usuarios internos y externos de la Información y ayuda al cumplimiento
de las disposiciones legales nacionales e internacionales.
ISO 27000. Las normas NTE INEN - ISO/IEC 27000:2012, en especial la NTE INEN - ISO/IEC
27001:2011 e NTE INEN - ISO/IEC 27002:2009,

 Establecer el marco metodológico para un Sistema de Gestión de la Seguridad


de la Información.
 La gestión de controles proporcionales a los riesgos.
 La documentación de políticas, procedimientos, controles, estándares y
tratamiento a los riegos.
 Identificación y asignación de responsabilidades dentro de la empresa por un
nivel optimó.
 Formalización, seguimiento y revisión de los controles y riesgos, de forma
sistemática y metodológica.
 La gestión de los incidentes de seguridad de la información.
 Control, revisión y mejora continua del Sistema de Gestión de Seguridad de
Información
 La gestión y tratamiento de los Riesgos de la empresa.
 La medición de la efectividad y eficiencia de los controles y del modelo del
Sistema de Gestión de Seguridad de la Información Todos estos lineamientos
metodológicos y los requerimientos de la norma NTE INEN- ISO/IEC 27001:2011
son propuestos bajo el enfoque metodológico del Ciclo de Deming: Planificar –
Hacer – Verificar – Actuar (PHVA)

BIBLIOGRAFIA:

[1 «http://www.iso27000.es/download/Analisis_del_Riesgo_y_el_ISO_27001_2005.pdf,» [En
] línea]. [Último acceso: 07 2019].

[2 «http://www.iso27000.es/download/doc_sgsi_all.pdf,» [En línea]. [Último acceso: 07


] 2019].
[3 «https://www.pmg-ssi.com/2015/07/que-es-sgsi/,» [En línea]. [Último acceso: 2019].
]

[4 «https://es.slideshare.net/joelsorto96/sistemas-de-gestin-de-seguridad-informtica-sgsi,»
] [En línea]. [Último acceso: 07 2019].

[5 «https://www.isotools.cl/caso-exito-iso-27001-aplicada-sector-publico/,» [En línea].


] [Último acceso: 07 2019].

[6 «http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2860/00002332.pdf?
] sequence=1,» [En línea]. [Último acceso: 07 2019].

[7 «http://www.eset-la.com/centroprensa/articulo/2014/empresas-america-latina,» [En
] línea]. [Último acceso: 07 2019].

[8 «https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/3627/1,» [En
] línea]. [Último acceso: 07 2019].

[9 «https://www.dspace.espol.edu.ec/.../1PROYECTO%20DE%20GRADUACION,» [En línea].


] [Último acceso: 07 2019].