SISTEMA DE GSETIÓN DE SEGURIDAD INFORMATICA

TRABAJO FASE 2

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
PERIODO ACADÉMICO 2020 - 02
MAYO
 Contenido
INTRODUCCION .................................................................................................... 2
DESARROLLO ........................................................................................................ 3
1. El estudiante debe realiza listado con los requisitos de la norma ISO/IEC
27001:2013. ......................................................................................................... 4
2. El estudiante realiza una descripción de la seguridad informática como un
proceso y sus elementos como niveles, roles y procedimientos de la información.
6
3. El estudiante elabora un cuadro explicativo con la importancia de las
metodologías de gestión de riesgos, ventajas y desventajas de cada una. ....... 13
4. El estudiante elabora cuadro de dominios, objetivos y controles de la norma
ISO/IEC 27002:2013. ......................................................................................... 13
5. El estudiante define la importancia de la articulación de controles y sus tipos,
diferencia entre estándares, directrices, procedimientos, políticas y normas para
el SGSI............................................................................................................... 13
6. El estudiante realiza un cuadro comparativo de programas, procesos y
políticas de seguridad informática. ..................................................................... 14
7. Finalmente, el estudiante debe publicar sus aportes individuales en el foro
de trabajo inicial, para que sea visible a sus compañeros y posteriormente se
pueda consolidar un trabajo final. ...................................................................... 14
CONCLUSIONES Y RECOMENDACIONES ........................................................ 15
BIBLIOGRAFIA ..................................................................................................... 16

INTRODUCCION
La seguridad informática, también conocida como ciberseguridad o seguridad de
tecnología de la información, es el área relacionada con la informática y la
telemática que se enfoca en la protección de la infraestructura computacional y
todo lo relacionado con esta y, especialmente, la información contenida en una
computadora o circulante a través de las redes de computadoras.2 Para ello
existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la
información. La ciberseguridad comprende software (bases de datos, metadatos,
archivos), hardware, redes de computadoras y todo lo que la organización valore y
signifique un riesgo si esta información confidencial llega a manos de otras
personas, convirtiéndose, por ejemplo, en información privilegiada.

La definición de seguridad de la información no debe ser confundida con la de

«seguridad informática», ya que esta última solo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos.

La seguridad informática también se refiere a la práctica de defender las

computadoras y los servidores, los dispositivos móviles, los sistemas electrónicos,
las redes y los datos de ataques maliciosos1

DESARROLLO
Para el desarrollo de la actividad individual cada estudiante debe realizar un
informe que contenga los siguientes puntos o productos:

1 "What is Computer security?", Matt Bishop, IEEE Security and Privacy Magazine 1(1):67 - 69,
2003. DOI: 10.1109/MSECP.2003.1176998
 1. El estudiante debe realiza listado con los requisitos de la norma
ISO/IEC 27001:2013.
Dentro de las diez secciones en las que quedan divididos los requisitos de ISO
27001, las 3 primeras tratan de generalidades, definiciones y términos, que son
comunes a otras normas. Las siguientes, por su parte, solicitan los requisitos
concretos a cumplir.

A continuación, exponemos cada sección o capítulo que conforma la estructura de

ISO 27001:

Capítulo 1. Alcance

Antes de comenzar a implantar la norma, lo primero que se debe hacer es definir

su alcance o campo de actuación.

Capítulo 2. Referencias normativas

Esta sección se ocupa de la información adicional y los antecedentes a considerar

para la implementación. Si bien, ISO 27000 es una familia de estándares, a la cual
pertenece ISO 27001, los demás documentos no precisan ser conocidos para el
desarrollo y la implementación del sistema gracias a este segundo capítulo. Para
fines de certificación, solo es preciso conocer el texto y los requisitos de ISO
27001.

Capítulo 3. Términos y definiciones

En este punto, conocemos los términos en un breve glosario. Este glosario resulta
de gran utilidad para entrar en contacto con el vocabulario de la norma y
entenderla del modo adecuado.

Capítulo 4. Contexto de la Organización

En esta sección debemos comprender el contexto interno y externo de la

organización. De la definición del contexto se deriva el alcance de la norma. Esto
implica identificar los problemas que pueden afectar a la seguridad de la
información, también en cuanto a las partes interesadas.

Capítulo 5. Liderazgo

ISO 27001 exige la participación de la alta dirección. Esta sección nos indica cómo
liderar la organización y qué aprobaciones se requieren para implementar un
sistema de gestión de seguridad de la información.
Este compromiso de la alta dirección debe ser comprobable y, además, ISO 27001
exige establecer una política de acuerdo con la seguridad de la información. Esta
política debe documentarse y ser comunicada dentro de la organización y a las
partes interesadas.

Capítulo 6. Planificación

Esta etapa considera el entorno de seguridad de la información y los riesgos que

pueden afectar en ella. Los objetivos de seguridad que se definan deben estar
alineados con la estrategia de negocios de la organización y ser promovidos en
todos los niveles.

La evaluación de riesgos y los objetivos de seguridad son la base para la

construcción de un plan de tratamiento de riesgos, que a su vez, debe atenerse a
los controles contenidos en el anexo A, junto con la Declaración de Aplicabilidad.

Capítulo 7. Soporte

El soporte requiere una amplia comprensión de los activos de seguridad de la

información y sus capacidades. Permite definir y asegurar los recursos adecuados
para administrar el sistema, desde la implementación hasta la revisión. Y todo ello
debe ser documentado y actualizado de forma periódica.

Capítulo 8. Operación

En los estándares de ISO que comparten esta estructura, el octavo es el apartado

de los requisitos únicos de la norma. ISO 27001 presenta una variación al
respecto. Los requisitos se abordan a través del proceso de gestión de riesgos
que se definió en el capítulo 6, y se complementan a través de los controles y
objetivos contenidos en el Anexo A.

Capítulo 9. Evaluación del desempeño

Monitoreo, medición, análisis y evaluación del SGSI es lo que pide la norma en

este apartado. Para ello se recomienda el modelo Deming PDCA. Y se contempla
la realización de auditorías internas a intervalos determinados y establecidos por
la alta dirección.

Capítulo 10. La mejora continua

La consecuencia de la implementación y aplicación de los nueve primeros

capítulos no puede ser otra que la mejora continua del sistema. Las no
conformidades deben abordarse tomando medidas correctivas, identificando la
causa raíz y eliminándola, y haciendo el debido seguimiento para comprobar su
efectividad.
El anexo A

A diferencia de otras normas, ISO 27001 cuenta con 114 controles y objetivos de
control que pueden utilizarse para gestionar los riesgos identificados en la cláusula
6, o simplemente para su tranquilidad.

Este anexo se divide en 14 secciones y los controles que contiene reafirman uno
de los conceptos esenciales de la norma: la seguridad de la información no es una
competencia de TI. Así, los controles cubren una variedad de áreas del negocio, lo
que significa que se deben considerar recursos humanos para diferentes áreas y
para asegurar su efectividad.

Estos controles no son obligatorios. Sin embargo, si se excluye alguno, debe

existir una razón justificada y documentada en la Declaración de Aplicabilidad.

2. El estudiante realiza una descripción de la seguridad informática como

un proceso y sus elementos como niveles, roles y procedimientos de
la información.
El Sistema de Gestión de Seguridad de la Información ISO 27001 persigue la
protección de la información y de los sistemas de información del acceso, de
utilización, divulgación o destrucción no autorizada.

Los términos seguridad de la información, seguridad informática y garantía de la

información son utilizados con bastante frecuencia. El significado de dichas
palabras es diferente, pero todos persiguen la misma finalidad que es proteger la
confidencialidad, la integridad y la disponibilidad de la información sensible de la
organización.

La seguridad informática es muy importante en una organización o entidad ya que

es el activo que sostiene la funcionalidad empresarial, por tal motivo es de vital
importancia que dentro de las organizaciones se cree un área de seguridad; la
cual está encargada de velar por todos los activos informáticos implementando
metodologías y técnicas de seguridad informática.

La seguridad informática es un deber que toda área debe implementar, aunque

exista un área específica donde se asigna roles a cada funcionario para el
cumplimiento de la custodia de la información y los activos que la contienen.
Las asignaciones de roles al personal para la seguridad informática se realizan
mediante pruebas de conocimiento y actitudes con el fin de garantizar el
cumplimiento de la norma de seguridad que se implementa en la entidad, en
conclusión, la seguridad informática es la encargada de diseñar métodos, técnicas
y procedimientos con el objetivo de crear un sistema de información seguro y
confiable con el fin de mantener la integridad, disponibilidad y confidencialidad de
la información.

La Seguridad de la Información, según ISO27001, se refiere a la confidencialidad,

la integridad y la disponibilidad de la información y los datos importantes para la
organización, independientemente del formato que tengan, estos pueden ser:

• Electrónicos
• En papel
• Audio y vídeo, etc.

Los gobiernos, las instituciones financieras, los hospitales y las organizaciones

privadas tienen enormes cantidades de información confidencial sobre sus
empleados, productos, investigación, clientes, etc. La mayor parte de esta
información es reunida, tratada, almacenada y puesta a disposición de las
personas que deseen revisarla.

Si se da el caso de que información confidencial de la organización, de sus

clientes, de sus decisiones, de sus cuentas, etc. caen en manos de la
competencia, esta se hará pública de una forma no autorizada y esto puede
suponer graves consecuencias, ya que se perderá credibilidad de los clientes, se
perderán posibles negocios, se puede enfrentar a demandas e incluso puede
causar la quiebra de la organización.

Es por todo esto que se convierte en una necesidad proteger la información

confidencial, ya que es un requisito del negocio, y en muchos casos se convierte
en algo ético y una obligación legal.

Para una persona normal, la Seguridad de la Información puede provocar un

efecto muy significativo ya que puede tener diferentes consecuencias la violación
de su privacidad dependiendo de la cultura del mismo.

La Seguridad de la Información ha crecido mucho en estos últimos tiempos,

además ha evolucionado considerablemente. Se ha convertido en una carrera
acreditada mundialmente. Dentro del éste área se ofrecen muchas
especializaciones que se pueden incluir al realizar la auditoría del Sistema de
Gestión de Seguridad de la Información ISO-27001, como pueden ser:
 • Planificación de la continuidad de negocio
• Ciencia forense digital
• Administración de Sistemas de Gestión de Seguridad

Realizar correctamente la Gestión de la Seguridad de la Información quiere

establecer y mantener los programas, los controles y las políticas de seguridad
que tienen la obligación de conservar la confidencialidad, la integridad y la
disponibilidad de la información de la empresa.

• Confidencialidad: es la propiedad de prevenir que se divulgue la

información a personas o sistemas no autorizados.
• Integridad: es la propiedad que busca proteger que se modifiquen los datos
libres de forma no autorizada.
• Disponibilidad: es una característica, cualidad o condición de la información
que se encuentra a disposición de quien tiene que acceder a esta, bien
sean personas, procesos o aplicaciones.

Los siguientes son los roles que se deben asignar para la seguridad de la
información (Gómez Fernández Luis, 2012):

• Dirección: Es el encargado de aprobar y verificar las políticas del sistema

de seguridad de la información, Divulgar las responsabilidades de
seguridad de la información.
• Responsable de la seguridad: Son los encargados de brindar el soporte a
los usuarios, gestionar el sistema de seguridad, proteger la información y
proteger los sistemas donde se gestiona la información.
• Propietario de los activos: Define quien, como y cuando pueden acceder a
la información; clasifica la información según las funciones a utilizar y debe
asegurar que el activo este en óptimas condiciones para su funcionamiento.
• Responsable de sistemas: Es el encargado de la administración de la
cuenta de los usuarios, crea cuentas y otorga privilegios con el fin de que
proteger la información.
• Personal: Es el encargado de aplicar las políticas de seguridad según su
perfil, de igual manera debe informar si se presenta alguna novedad que
percutan con la integridad, disponibilidad y confidencialidad de la
información.

Seguridad Informática

La Seguridad de la Información consiste en asegurar que los recursos del Sistema

de Información de una empresa se utilicen de la forma que ha sido decidido y el
acceso de información se encuentra contenida, así como controlar que la
modificación solo sea posible por parte de las personas autorizadas para tal fin y
por supuesto, siempre dentro de los límites de la autorización.

Los objetivos de la seguridad informática:

Los activos de información son los elementos que la Seguridad de la Información

debe proteger. Por lo que son tres elementos lo que forman los activos:

• Información: es el objeto de mayor valor para la empresa.

• Equipos: suelen ser software, hardware y la propia organización.
• Usuarios: son las personas que usan la tecnología de la organización.

Análisis de riesgos

El activo más importante que tiene la organización la propia información, por lo

que tienen que existir técnicas que las mantengan seguras, mucho más allá de la
seguridad física que se puede estableces gracias a los equipos con los que cuenta
la organización para almacenar dicha información.

La información se blinda con seguridad lógica, es decir, aplicar barreras y

procedimientos que resguardan el acceso a todos los datos y restringe el acceso a
las personas autorizadas.

Los medios necesarios para conseguirlo son:

• Restricción del acceso: de las personas que forman parte de la

organización a los programas y a los archivos más importantes.
• Se debe asegurar de que los operados pueden realizar su trabajo pero que
no puedan realizar modificaciones en los programas ni en los archivos que
no sea necesario.
• Hay que asegurar la utilización de los datos, archivos y los programas
correctos en los procedimientos elegidos.
• Se tiene que asegurar la información transmitida, es decir, que la
información transmitida sea la misma que se reciba por el destinatario.
• Asegurarse de que existen diferentes sistemas en caso de emergencia y
estos están distribuidos por toda la organización.
• Hay que organizar a todos los trabajadores y otórgales distintas claves, que
sean intransferibles.
• Se debe actualizar de forma constante todas las contraseñas de acceso a
los sistemas de cómputo.

Procedimientos de la seguridad de la información:

Para poder definir los procedimientos de seguridad se tuvo en cuenta los 14
numerales del control de seguridad estipuladas en la ISO/IEC 27001 (MINITIC,
2016):

a) Seguridad del Recurso Humano:

Se define los procesos de este ítem relacionado con el empleado que labora en la
entidad.

• Capacitación y sensibilización: mediante este procedimiento se implementa

metodologías con el fin de capacitar y sensibilizar al personal laboral sobre
la importancia de la seguridad de la información.
• Ingreso y despido del personal: Mediante este procedimiento se verifica los
antecedentes, firmas de acuerdos del personal a contratar con el fin de
asegurar la forma segura del ingreso; para el personal que desvincula de la
entidad se realiza verificación de la información a entregar, bloqueos de
usuarios y contraseñas al personal desvinculado.

b) Gestión de activos: En este procedimiento mediante inventarios e

identificación de los activos de información se clasifican de acuerdo a su nivel de
confidencialidad, se estipulan las normas a seguir en el momento en que se hace
la entrega o devolución del activo. Es importante hacer un proceso de bajas con
las normas adecuadas para salvaguardar la información.

c) Control de acceso: Se refiere todo lo relacionado al acceso e instalaciones

del proceso de la información:

• Ingreso seguro a la información: Mediante este procedimiento se gestiona

el ingreso de forma segura a la información, se implantan técnicas de
seguridad para evitar ataques de fuera bruta, utilización de certificados y
cifrado de la información.
• Usuarios y Contraseñas: mediante este proceso se crea los usuarios y
contraseñas mediante unas políticas de seguridad como: las contraseñas
deben tener como mínimo 8 caracteres, se beben cambiar periódicamente
sin repetir, por ultimo se debe crear los usuarios con roles que le permitan
ingresar a la información según sea su cargo.
d) Criptografía: Para poder garantizar la disponibilidad, integridad y
confidencialidad de la información se realizan los siguientes procesos:

• Controles Criptográficos: Mediante este procedimiento se especifica como

se debe implementar la criptografía en los procesos de información, se
especifican los controles a seguir con el fin garantizar la seguridad de la
información.
• Gestión de Llaves Criptográficas: Si es necesario en este procedimiento se
especifica la vida útil de las llaves criptográficas, como se elaboran,
certificados a utilizar, cambio, recuperación o actualización de las llaves.

e) Seguridad Física y del Entorno: Se relaciona al acceso a la infraestructura

del personal no autorizado, se realizará los siguientes procesos:

• Control de acceso físico: En este procedimiento se implementa

metodologías para controla el ingreso del personal a la infraestructura,
puede ser por medio de minutas donde se relacione la información de la
persona, fecha, hora y motivo.
• Protección de activos: Mediante este procedimiento se realiza un control de
la ubicación de los activos, se implementan estrategias que mitiguen los
riesgos y amenazas tanto como naturales o causadas por el hombre.
• Retiro de activos: Mediante este procedimiento se realiza un control sobre
los equipos que salen de la entidad, se verifica los permisos del usuario,
cifrado del disco, autorizaciones y el tiempo que dura fuera de la institución.
• Mantenimientos de activos: En este procedimiento se crea un plan de
mantenimiento de equipos, se implementa hoja de vida de los equipos.

f) Seguridad de las Operaciones: Se asegura las operaciones correctas sobre

el procesamiento de la información:

• Gestión de Cambios: Mediante este procedimiento se realizará control

sobre los cambios que se realizan en la entidad; los impactos que generan
los cambios, procedimientos de reversa entre otros.
• Gestión de Capacidad: Se lleva un control sobre la capacidad que tiene la
entidad para responder la escasez de recursos, valor comercial o el tiempo
en llegar a la organización. Se puede realizar cierres de aplicaciones,
información obsoleta entre otros.
• Separación de Ambiente: Mediante este procedimiento se aplica
metodologías para controlar los sistemas de información en el momento de
 hacer algún cambio como crear un ambiente de pruebas y otro de
producción con el fin de mitigar perdida de información en el cambio.
• •rotección contra códigos maliciosos: Mediante este procedimiento se
implementan software como son los antivirus, el malware con el fin mitigar
el riesgo de contagio de virus; también se implementa firewall para controla
el acceso a la red.

g) Seguridad de las Comunicaciones: Se busca la protección y aseguramiento

de la información por los medios de comunicación.

• Aseguramiento de los servicios en la red: Con el fin de proteger la

información en la red se realiza procedimientos de controles de seguridad
como, verificar registro de logs, acceso a la red y cifrado de datos.
• Transferencia de la información: mediante este procedimiento se genera
unas políticas de seguridad donde se implementa acuerdos con los
usuarios que acceden a la información con el fin de proteger la
confidencialidad, integridad y disponibilidad de la información.

h) Relaciones con los proveedores: mediante este procedimiento se genera un

acuerdo con los terceros en el momento de acceder algún activo de la información
de la entidad, se crean acuerdos legales sobre los limites que tenga para acceder
a la información, auditorias sobre los reportes entregados por los terceros. Si debe
realizar reportes periódicos.

i) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información:

• Adquisición, Desarrollo y Mantenimiento de Software: mediante este

procedimiento se describe como se realiza la gestión de la información en
los aplicativos desarrollas tanto los internos como los externos, se aplica
también si se debe actualizar los aplicativos existente. La finalidad es
mantener la integridad, disponibilidad y confidencialidad de la información.
• Control Software: En este procedimiento se lleva un control del software
que se pueden instalar en la organización, se debe implementar una
metodología para la solicitud de instalación de los softwares con el fin de
gestionar quien, como y cuando se instala el software solicitado.
j) Gestión de Incidentes de Seguridad de la Información: Mediante este
proceso la entidad responde si se ve afectado los servicios fundamentales de la
información. Se especifican las responsabilidades y roles que se deben tener en la
entidad para poder documentar todo el proceso y hacer darle una respuesta
eficiente por medio del BCP.

k) Aspectos de Seguridad de la Información de la Gestión de Continuidad de

Negocio: La finalidad de este procedimiento es que la entidad pueda garantizar la
continuidad de los procesos misionales ante cualquier calamidad. Se debe indicar
los pasos a seguir como el tiempo de ejecución del plan de continuidad, quien o
quienes deben actuar para cumplir con la continuidad de los procesos.

3. El estudiante elabora un cuadro explicativo con la importancia de las

metodologías de gestión de riesgos, ventajas y desventajas de cada
una.

4. El estudiante elabora cuadro de dominios, objetivos y controles de la

norma ISO/IEC 27002:2013.

5. El estudiante define la importancia de la articulación de controles y

sus tipos, diferencia entre estándares, directrices, procedimientos,
políticas y normas para el SGSI.
 6. El estudiante realiza un cuadro comparativo de programas, procesos y
políticas de seguridad informática.

7. Finalmente, el estudiante debe publicar sus aportes individuales en el

foro de trabajo inicial, para que sea visible a sus compañeros y
posteriormente se pueda consolidar un trabajo final.

Para el desarrollo de la actividad colaborativa se debe considerar la información

previa de los aportes del trabajo individual de cada estudiante y se debe realizar
un documento que contenga lo siguiente:

• El grupo debe revisar cada uno de los productos que fueron presentados de
manera individual sobre los temas propuestos; y deben seleccionar cuál de
estos es el mejor para su evaluación y consolidación en el documento final.
• El grupo realiza la práctica de aplicación de pruebas basado en un supuesto
para el tema de metodologías de análisis de riesgos. La guía se encuentra en
el entorno de aprendizaje practico.
• El grupo resuelve y presenta en conjunto la situación problema presentado de
la fase No. 2 que está en el entorno de aprendizaje práctico.
• Al finalizar el documento todos los integrantes del grupo deben dar el visto
bueno para la entrega del trabajo final y el líder del grupo es el encargado de
hacer la entrega del mismo; en el espacio del entorno de seguimiento y
evaluación.
CONCLUSIONES Y RECOMENDACIONES
 BIBLIOGRAFIA
Introducción y comprensión a los sistemas de gestión de seguridad de la
información SGSI (ISO/IEC 27001-27002):

Gómez, L. & Álvarez, A. (2012). Guía de aplicación de la Norma UNE-ISO/IEC

27001 sobre seguridad en sistemas de información para pymes. (pp. 13-34, 45-
47). Recuperado de:
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=13&docID
=3205110&tm=1543960307637

Gómez, L. & Álvarez, A. (2012). Guía de aplicación de la Norma UNE-ISO/IEC

27001 sobre seguridad en sistemas de información para pymes. (pp. 36-44).
Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=36&docID
=3205110&tm=1545148818931

Gómez Vieites, Á. (2014). Auditoría de seguridad informática. (pp. 71-82).

Recuperado de:
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=69&docID
=3229330&tm=1543964016073

Fernández, C. & Piattini, M. (2012). Modelo para el gobierno de las TIC basado en
las normas ISO. (pp. 19-62). Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=20&docID
=3205141&tm=1545149574081

Costas, J. (2014). Mantenimiento de la seguridad en sistemas informáticos. (pp.

35-38, 45-57, 147-161) Recuperado de:
https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=31&docID
=3229551&tm=1545147560759
Fernández, C. & Piattini, M. (2012). Modelo para el gobierno de las TIC basado en
las normas ISO. (pp. 83-87, 89-104). Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=84&docID
=3205141&tm=1543960740678

Costas, J. (2014). Mantenimiento de la seguridad en sistemas informáticos. (pp.

15-34) Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=11&docID
=3229551&tm=1543961183981

Gómez, Á. (2014). Auditoría de seguridad informática. (pp. 15-39). Recuperado de:

https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=15&docID
=3229127&tm=1543961770808