Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cesar Benites - Tesis - Titulo Profesional - 2019 PDF
Cesar Benites - Tesis - Titulo Profesional - 2019 PDF
largo de mi vida.
2
AGRADECIMIENTOS
3
RESUMEN
todos los pasos a seguir para el desarrollo del SGSI planteado, desde el análisis
4
• Finalmente se incluirán todas las conclusiones, referencias bibliográficas y
5
INDICE
INTRODUCCION .............................................................................................................................I
CAPITULO I ....................................................................................................................................9
PLANTEAMIENTO DEL ESTUDIO .............................................................................................9
1.1. DESCRIPCION DEL PROYECTO .............................................................................10
1.2. FORMULACION DEL PROBLEMA ..........................................................................13
1.2.1. PROBLEMA PRINCIPAL ..........................................................................................13
1.2.2. PROBLEMAS SECUNDARIOS ...............................................................................13
1.3. OBJETIVOS ..................................................................................................................14
1.3.1. OBJETIVO GENERAL ..............................................................................................14
1.4. JUSTIFICACION DEL PROYECTO ..........................................................................14
1.5. ALCANCE DE LA PROPUESTA ...............................................................................15
1.6. LIMITACIONES ............................................................................................................16
1.7. FORMULACIÓN DE LA HIPÓTESIS ........................................................................16
1.7.1. HIPÓTESIS GENERAL ........................................................................................16
1.7.2. HIPOTESIS ESPECÍFICAS.................................................................................16
1.8. IDENTIFICACIÓN Y CLASIFICACIÓN DE LAS VARIABLES ..............................17
1.8.1. VARIABLES INDEPENDIENTES .......................................................................17
1.8.2. VARIABLES DEPENDIENTES ...........................................................................17
1.8.3. DIMENSIONES .....................................................................................................17
1.8.4. INDICADORES .....................................................................................................17
CAPITULO II .................................................................................................................................18
MARCO TEÓRICO ......................................................................................................................18
2.1. ANTECEDENTES DE LA INVESTIGACIÓN. ..........................................................19
2.2. TEORÍA SUSTANTIVA ...............................................................................................20
2.2.1. Información y Seguridad de la Información. ................................................21
2.2.2. Sistema de Gestión de Seguridad de la Información - SGSI ....................23
2.2.3. Gestión del Riesgo. ............................................................................................27
2.2.3.1. Medir el nivel del riesgo ................................................................................29
2.2.3.2. De las actividades de gestión del riesgo ..................................................30
2.2.4. Etapas del proceso de gestión del riesgo ..........................................................33
2.2.4.1. Comunicación y consulta .............................................................................33
2.2.4.2. Determina el contexto....................................................................................34
2.2.4.3. Valoración del riesgo .....................................................................................34
2.2.4.4. Tratamiento del riesgo...................................................................................35
6
2.2.4.5. Seguimiento y revisión ..................................................................................35
2.2.5. Gestión del riesgo de Seguridad de la Información. ..................................35
CAPITULO III ................................................................................................................................37
METODOLOGÍA DE LA INVESTIGACIÓN..............................................................................37
3.1. OPERACIONALIZACIÓN DE LAS VARIABLES ....................................................38
3.2. TIPIFICACIÓN DE LA INVESTIGACIÓN .................................................................40
3.3. ESTRATEGIA PARA LA PRUEBA DE HIPÓTESIS ..............................................40
3.4. POBLACIÓN Y MUESTRA.........................................................................................41
3.5. INSTRUMENTOS DE RECOLECCIÓN DE DATOS ...............................................42
3.6. DESCRIPCIÓN DEL PROCESO DE PRUEBA DE HIPÓTESIS ...........................42
CAPITULO IV ...............................................................................................................................44
DESARROLLO DE LA INVESTIGACIÓN ................................................................................44
4.1. DESCRIPCIÓN DE LA SITUACIÓN ANTES DE IMPLEMENTAR LA
SOLUCIÓN PLANTEADA. .....................................................................................................45
4.2. IMPLEMENTACIÓN DE LA SOLUCIÓN PROPUESTA ........................................48
4.2.1. Situación inicial.......................................................................................................48
4.2.1.1. La entrevista ........................................................................................................49
4.2.1.2. La encuesta:.........................................................................................................51
ANÁLISIS DE BRECHA PARA EL SGSI .............................................................................69
ACTIVOS DE INFORMACIÓN Y ANÁLISIS DE RIESGOS. ...........................................115
4.3. DESARROLLO DE LAS PRUEBAS .......................................................................151
4.4. RECOPILACIÓN DE DATOS (RESULTADOS) ....................................................151
4.5. INTERPRETACIÓN DE DATOS (RESULTADOS) ...............................................152
4.6. DESCRIPCIÓN DE LA SITUACIÓN LUEGO DE IMPLEMENTAR LA
SOLUCIÓN PROPUESTA ....................................................................................................152
4.6.1. Sobre el conocimiento y el compromiso del SGSI .......................................153
4.6.2. Encuesta actual.....................................................................................................155
Se realizo una nueva encuesta para verificar el nuevo conocimiento de la cultura de
seguridad de la Información, así como el nivel de confianza con las TI. ........................155
CAPITULO V ..............................................................................................................................167
ASPECTOS ADMINISTRATIVOS ...........................................................................................167
5.1. CRONOGRAMA DE ACTIVIDADES. ......................................................................168
5.2. PRESUPUESTO Y FINANCIAMIENTO. .................................................................169
5.2.1. Análisis costo beneficio......................................................................................169
5.3. RESPONSABLES. .....................................................................................................171
CONCLUSIONES.......................................................................................................................173
7
RECOMENDACIONES .............................................................................................................174
ANEXOS......................................................................................................................................175
A1. MATRIZ DE CONSISTENCIA .......................................................................................176
A2. MODELO DE ENTREVISTA .........................................................................................179
A3. MODELO DE CUESTIONARIO A COLABORADOR ................................................180
A4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ...............................................186
A5. DIRECTIVA DE LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN .......194
DE LA FABRICA DE RADIADORES FORTALEZA .........................................................194
A6. DIRECTIVA DEL USO DE CONTRASEÑA EN EL ACCESO A LOS EQUIPOS
INFORMÁTICOS Y APLICACIONES DE LOS SERVICIOS DE LA FABRICA DE
RADIADORES FORTALEZA ...............................................................................................239
A7. DIRECTIVA SOBRE EL USO DEL SERVICIO DE INTERNET EN LA FABRICA
DE RADIADORES FORTALEZA ........................................................................................249
A 08. DECLARACIÓN DE APLICABILIDAD .....................................................................266
GLOSARIO DE TERMINOS .....................................................................................................267
BIBLIOGRAFÍA ..........................................................................................................................270
8
INTRODUCCION
cada vez mayor, las amenazas incrementadas han crecido exponencialmente con los años
claro ejemplo esta los llamados “anonymous”, que exponen información de organizaciones
públicas o privadas vulnerando todo tipo de infraestructura técnica para lograr su cometido,
no solo existen ataques técnicos si no también “físicos”, ya que con la ayuda de “ingeniera
voluntariamente por los dueños de las mismas, y tal es así que ahora en las noticias se
suelen escuchar “tal empresa ha sido víctima de Hackers o “una institución sufrió un filtrado
de información debido a la traición de uno de sus empleados internos”, también existe los
externa. Entre tales las más comunes son: Antivirus, firewalls, DLPs, Seguridad
Gestionada, etc.
I
El efecto de invertir en tales equipos, software, soluciones de seguridad, etc., no llegan a
Estas soluciones no son del todo complejas ya que la seguridad exige que el
actividad.
en el área de TI, por lo que genera desconfianza y falta de medios de defensa al personal
Por ende, la seguridad de información no recae solo a nivel técnico, ya que todo el personal
de la Fábrica de Radiadores Fortaleza debe de estar comprometida, desde las oficinas más
información tienen trabajo que hacer ya que seguir adquiriendo hardware y software para
información clasificada trasladada verbalmente, etc. Esto demuestra que la inversión para
incluya no solo controles a nivel técnico, sino que también apoye en el desarrollo de la
II
Fábrica de Radiadores Fortaleza es uno de los ejes centrales en el éxito de este
III
CAPITULO I
información, que como urgencia esta fábrica requiere, ya que, a competencia ha logrado
por lo que es necesario aplicar los controles respectivos para salvaguardarla. Sin
embargo, no solamente se necesitan controles a nivel técnico, estos tienen que estar
Al respecto, el ESET Security Report 2017 para Latinoamérica nos indica que los
controles tecnológicos más utilizados por las empresas a son el antivirus (83%), el
Figura 1. (ESET, 2017) Fuente: ESET Security Report 2017 para Latinoamérica
Las organizaciones aún confían que los antivirus brindaran solución óptima y total a sus
problemas.
10
Una de las problemáticas existentes en muchas organizaciones es la proliferación de
sortear las medidas de los productos de seguridad en los años 80, cuando un malware
seguridad no consiguieron leer su contenido. Hoy día los autores de malware emplean
llevar a la práctica un plan trazado que busca alcanzar los objetivos de protección de
El factor humano es muy indispensable para generar una correcta cultura de Seguridad
11
Figura 2 (IBM, 2018) IBM X-FORCE Treat Intelligence Index 2018
12
El desarrollo del SGSI se basa en el riesgo de los activos de información y en todas las
relaciones que tienen estos, por lo que las soluciones técnicas deben de estar
Fuente: www.iso27000.es
13
1.3. OBJETIVOS
Radiadores Fortaleza.
cumplen políticas básicas de informática, por lo que se requiere cumplir con los
Fortaleza.
Radiadores Fortaleza.
que esta medida no es suficiente. De este modo el SGSI plantea que los
14
seguridad, manteniendo y gestionando un sistema completo que es tratado
Este proyecto está diseñado para la Oficina de Proyectos que se encuentra dentro
el alcance definido que cubrirá todos los procesos relacionados con producción
digital de panales.
15
Esto solo estará implementado en la sede central en Lima, ya que sus sedes en
digitales archivadas.
1.6. LIMITACIONES
de Radiadores Fortaleza.
16
2. Un de un Sistema de Gestión de Seguridad de la Información influye
siguientes variables:
1.8.3. DIMENSIONES
o Inversión en TI.
1.8.4. INDICADORES
siguientes:
SGSI).
17
CAPITULO II
MARCO TEÓRICO
18
2.1. ANTECEDENTES DE LA INVESTIGACIÓN.
información, ya que, con el pasar de los años, la importancia de las TICs, han
determinado la continuidad y existencia del negocio. Por lo que todos los procesos
que no es parte de su negocio y solo lo toman como una necesidad obligada, por lo
herramientas.
Para el desarrollo de esta Tesis, use como referencia varios informes, estudios y
19
demostrar a la Gerencia de la Fábrica de Radiadores Fortaleza la importancia de
ven como un factor crítico importante que sus proveedores cuenten con certificación
Aprendí de esta tesis que los colaboradores de una organización deben de estar
Financiera” (Villena Aguilar, 2006), esta tesis nos señala los aspectos más
20
2.2.1. Información y Seguridad de la Información.
seguridad de “Información”.
Debe de existir una aclaración sobre esto ya que en muchos portales web
equipos especializados.
21
Si bien su concepto brinda medidas técnicas, estas se encuentran dentro de
así:
(propia)
seguridad.
información.
Información
Integridad
Figura 4: Basado en Iso 27000 Elaboración propia.
• Confidencialidad
22
Citando un ejemplo: Una entidad financiera no puede divulgar
empresa.
• Integridad
beneficio propio.
• Disponibilidad
Información
de la Información”.
23
Según el ISO 27001, la Seguridad de la Información, consiste en preservar
los sistemas que la procesan. El estándar ISO 27001:2013 para los SGSI
(ISOTOOLS, s.f.)
el ciclo de Deming
24
El ciclo de Deming (de Edwards Deming), o PDCA (del inglés plan-do-check-act,
manera:
Fortaleza. Luego del análisis, se define el plan de tratamiento de riesgos, esto nos
lleva a implementar los controles de seguridad para mitigar los riesgos que no se
sistema eficiente.
25
o Las medidas de seguridad incrementadas para acceso de los clientes.
o Integración posible con otros sistemas de gestión (ISO 9001, ISO 14001,
graves.
competitividad.
conciencia.
procesos.
26
vigente, apoyo de la directiva y gerencia, incluye también el grado de madurez en
consultores externos.
Para este proyecto se ha tomado como tentativa inicial de 6 meses, pero puede
El equipo de implantación deberá de estar formado por los jefes de todas las áreas
de Radiadores Fortaleza, estos dedican sus recursos para mantener los riesgos por
• Activo.
27
o deterioro predispone un agravio que involucra un costo a la Fábrica de
• Amenaza
bitácora.
• Vulnerabilidad
• Impacto y consecuencia.
• Probabilidad
Fortaleza.
28
AMENAZA
VULNERABILIDAD
EXPLOTA
ACTIVO
AFECTA
IMPACTO
PROVOCA
probabilidad de la misma
Figura 7: ISO 27005:2011 Information technology - Security techniques – Information security risk
management ,Guía ISO 73:2009, el vocabulario de gestión de riesgos, Gestión de riesgos. Una guía
• Daño personal
• Pérdida financiera
29
La posibilidad de un análisis cualitativo facilita trabajar con
de equilibrio”.
Grafica de ejemplo:
Coste de Protección
COSTE
Coste Riesgo
Equilibrio
Nivel de Seguridad
realizan en 2 tareas:
▪ Análisis de riesgos:
aceptado.
umbral.
31
Transferir Evitar
IMPACTO
Aceptar Mitigar
Probabilidad
http://www.iso27000.es/
gestión de riesgos.
estratégico y operativo.
32
• ISO/IEC 27001:2013 ISO 27001 Norma internacional que permite el
Determinar el contexto
Valoración de riesgos
Seguimiento y Revisión
Comunicación y consulta
Identificación
Análisis
Evaluación
33
2.2.4.2. Determina el contexto
responsabilidades.
34
2.2.4.4. Tratamiento del riesgo
las personas.
no autorizados.
35
• Integridad: Es el fundamento que indica que la información debe de
Información
Integridad
36
CAPITULO III
METODOLOGÍA DE LA INVESTIGACIÓN
37
3.1. OPERACIONALIZACIÓN DE LAS VARIABLES
reportados en un año
Cantidad de Independiente Total, de las políticas generales Cantidad de riesgos Ordinal Cantidad de
Radiadores
Fortaleza
Número de Independiente Total, de riesgos detectados, Equipos de Cantidad de incidentes Ordinal Número de
38
ligados a activos
de información
Gastos Dependiente Gasto total producido por los Cantidad de Ordinal Gastos
año. año.
39
3.2. TIPIFICACIÓN DE LA INVESTIGACIÓN
Tipo de Investigación
Nivel de Investigación
Fortaleza.
Diseño de la Investigación
las variables reales en el periodo de tiempo comprendido entre los meses de enero
y abril de 2017.
detallan a continuación:
• Especificación de la Hipótesis
Capítulo 1 punto 7.
40
• Un SGSI influye positivamente en la seguridad de la
Radiadores Fortaleza.
La población en este caso son todo el personal de dibujo mecánico del área
• Recolección de Datos
cuestionarios.
datos obtenidos.
• Análisis de Datos
fue la correcta.
41
Población: Se considera como población a todo el personal de dibujo mecánico del
la población:
• Entrevistas realizadas con preguntas cerradas para los jefes y los encargados
de Radiadores Fortaleza.
Se detalla lo siguiente:
• Especificación de la Hipótesis
42
La gerencia asegura que existe fuga de información y desconfía del personal
• Recolección de Datos
• Análisis de Datos
43
CAPITULO IV
DESARROLLO DE LA INVESTIGACIÓN
44
4.1. DESCRIPCIÓN DE LA SITUACIÓN ANTES DE IMPLEMENTAR LA SOLUCIÓN
PLANTEADA.
algunos de ellos son: Komatsu Mitsui, Minera Chinalco, Compañía Minera Antamina,
Savia Perú, Modasa, DP World, Shougang Hierro Perú, Casa Grande, Rafersa,
otros.
siguiente manera:
45
ORGANIGRAMA
DIRECTORIO
GERENTE GENERAL
JEFE DE
JEFE DE RECURSOS
ADMINISTRACIÓN Y JEFE DE PLANTA JEFE DE VENTAS
HUMANOS
FINANZAS
ASISTENTE DE ASISTENTA
REPRESENTANTE DE
ASISTENTE SOCIAL DIBUJANTE ASISTENTE DE MECÁNICO DE ASISTENTE DE
ADMINISTRACIÓN Y VENTAS INDUSTRIAL
CONTABLE MECÁNICO MECANIZADO MANTENIMIENTO - Norte VENTAS
FINANZAS
- Centro
- Sur
AUXILIAR DE
AUXILIAR AUXILIAR DE AUXILIAR DE AUXILIAR DE AUXILIAR DE AUXILIAR DE
RECURSOS
CONTABLE COMPRAS TRÁMITES PLANTA MANTENIMIENTO VENTAS RECEPCIONISTA
HUMANOS
CHOFER DE CHOFER DE
COMPRAS PLANTA
AYUDANTE DE
AYUDANTE DE AYUDANTE DE AYUDANTE DE
PLANTA
ALMACÉN PLANTA PLANTA
SEDE AREQUIPA
46
Como se puede apreciar, el área de Tecnologías de Información es la encargada de
Para que las políticas pasen a regir en toda la Fábrica de Radiadores Fortaleza, se
Radiadores Fortaleza.
Las políticas aplicadas en las redes indican un control estricto para el acceso a
portales, correo, discos de red, etc. Esto debería aplicarse a toda la Fábrica de
Radiadores Fortaleza, pero existen usuarios que cuentan con privilegios especiales
47
• Si bien existen políticas, es necesaria una política general que agrupe a estas
los inconvenientes.
suministrada.
las preguntas fueron al azar sin tener registro alguno. Esto sirvió para poner
continuación.
48
4.2.1.1. La entrevista
área de la empresa.
ENTREVISTA SGSI
49
Como resultado inicial se obtuvo lo siguiente:
gerente general
jefe de administración
jefe de RR.HH.
jefe de planta
jefe de ventas
sub contador
coordinador de compras
coordinador de almacén
industrial
supervisor
automotrizde planta
supervisor de planta
mantenimiento
supervisor de
coordinador
calidad
supervisor de control de
integrado de gestión
coordinador de sistema
supervisor soma
de marketing
si no
¿Conoce el termino
1
SGSI? no no no no no no no no no no no no no no no 0 15
¿Conoce los
3 controles de
seguridad? si si si si no no no no no no no si no si no 6 9
¿Tienen identificados
4 sus activos de
información? no no no no no no no no no no no no no no no 0 15
5 de seguridad de
información? si si si si si si si si si si si si si si si 15 0
¿tiene controles o
6 políticas de
contraseñas? si si si si si si si si si si si si si si si 15 0
¿Se realizan
mantenimiento
7 preventivo a los
equipos informáticos
de su área? si si si si si si si si si si si si si si si 15 0
8 de seguridad
informática? si si si si si si si si si si si si si si si 15 0
9 de seguridad de
información? si no no si no no no no no no no no no no no 2 13
50
Entrevista inicial
16
14
12
10
8
6
4
2
0
1 2 3 4 5 6 7 8 9
si no
Análisis
4.2.1.2. La encuesta:
51
d. Clasificando documentos ( )
e. Otros, Especificar…………………………………… ( )
f. Ninguno. ( )
F. NINGUNO. 0
E. OTROS, ESPECIFICAR 0
D. CLASIFICANDO DOCUMENTOS 0
C.LOGUEO A SU CORREO
ORGANIZACIONAL
2.00
B. APOYO EN EL USO DE WORD, EXCEL,
POWERPOINT, ETC.
5.00
A. POR LLENAR O ELABORAR UN
DOCUMENTO
3.00
laboral?
SI ( ) NO ( )
NO ( ) 5
SI ( ) 2
0 1 2 3 4 5 6
informáticos:
f. Otros, Especifique………………………………………….. ( )
3. ¿Siente seguridad en las oficinas donde existen equipos informáticos dentro las
instalaciones de la fábrica?
SI ( ) NO ( )
NO ( ) 1
SI ( ) 6
0 1 2 3 4 5 6 7
SI ( ) NO ( )
53
¿Existen extintores cerca de los
equipos informáticos?
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
SI ( ) NO ( )
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
Fortaleza ( )
54
b. Charlas y capacitaciones dentro de la Fábrica de Radiadores
Fortaleza ( )
c. Manuales de extintor ( )
d. Internet ( )
oficinas y áreas?
SI ( ) NO ( )
SI ( ) 7
0 1 2 3 4 5 6 7 8
8. Cuándo su PC falla ¿ha tratado de manipular las conexiones del equipo para
tratar de corregirlo?
SI ( ) NO ( )
NO ( ) 3
SI ( ) 4
9. ¿Usted se siente responsable por el uso del equipo informático que se le tiene
55
SI ( ) NO ( )
NO ( ) 3
SI ( ) 4
10. ¿Analiza con el antivirus todos los dispositivos de almacenamiento que conecta
al equipo informático?
Si ( ) A veces ( ) Nunca ( )
NUNCA ( ) 3
2
SI ( ) 2
0 0.5 1 1.5 2 2.5 3 3.5
c. Elimina el archivo ( )
f. Otros, Especificar……………………………….. ( )
56
Cuándo detecta una infección en el equipo de computo
de la Fábrica de Radiadores Fortaleza, ¿Qué acción toma?
F. OTROS,… 0
E. NO SE USARLO Y NO HARE NADA 0
D. SI ES UN DISPOSITIVO EXTRAÍBLE, … 0
C. ELIMINA EL ARCHIVO 0
B. ANALIZA EL EQUIPO CON ANTIVIRUS 0
A. DEPENDE DE LA ACCIÓN… 7
0 1 2 3 4 5 6 7 8
12. ¿Usa la misma contraseña para todos los sistemas que brinda la Fábrica de
Radiadores Fortaleza?
SI ( ) NO ( )
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
a. Nombres ( )
b. Su cumpleaños ( )
e. No especifica ( )
57
Tu contraseña te recuerda:
E. NO ESPECIFICA 1
D. DATOS DE ALGÚN FAMILIAR 2
C. NÚMERO TELEFÓNICO (DE CASA O … 2
B. SU CUMPLEAÑOS 1
A. NOMBRES 1
SI ( ) NO ( )
…………………………………………………………………………………….
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
a. Alguien de mi oficina ( )
b. Un familiar ( )
c. Otros, Especifique……………………………………….… ( )
58
Su contraseña de su correo electrónico de la empresa la
comparte con:
C. OTROS, ESPECIFIQUE… 4
B. UN FAMILIAR 0
A. ALGUIEN DE MI OFICINA 3
Fortaleza?
CADA AÑO ( ) 0
CADA 30 DÍAS ( ) 0
CADA 15 DÍAS ( ) 0
CADA 7 DÍAS ( ) 0
0 1 2 3 4 5 6 7 8
a. Entre 1 a 10 ( )
b. Entre 10 a 20 ( )
c. 20 a más ( )
59
¿Cuántos correos no deseados reciben al día?
Fortaleza?
SI ( ) NO ( )
NO ( ) 6
SI ( ) 1
0 1 2 3 4 5 6 7
acceso de internet?
SI ( ) NO ( )
NO ( ) 0
SI ( ) 1
60
19. ¿ha recibido charlas acerca de Seguridad de la Información?
SI ( ) NO ( )
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
a. Medios impresos ( )
b. Presencial ( )
c. Capacitaciones programadas ( )
61
Si desea tener charlas de Seguridad de la Información, ¿qué
medio desea?
D. OTROS, ESPECIFICAR: 0
C. CAPACITACIONES PROGRAMADAS 2
B. PRESENCIAL 5
A. MEDIOS IMPRESOS 0
0 1 2 3 4 5 6
1. Instalar programas en su PC ( )
4. Otros, Especificar………………………………………….. ( )
5. Nada ( )
5. NADA 0
4. OTROS, ESPECIFICAR 0
3. DESMONTAR SU PC POR ALGUNA FALLA 0
2. LIMPIAR SU PC (TODAS SUS PARTES) 0
1. INSTALAR PROGRAMAS EN SU PC 7
0 1 2 3 4 5 6 7 8
D. OTROS, ESPECIFIQUE 0
0 1 2 3 4 5 6 7 8
equipos cercanos ( )
d. Otros, Especifique…………………………………… ( )
OTROS 0
C. FALTA DE UN EXTINTOR O
0
CONTRAMEDIDAS DE LOS
a. Por teléfono ( )
63
b. Por mail a ATI ( )
c. Me acerco a ATI ( )
f. Ninguna ( )
NINGUNA 0
E. BUSCO OTRA MANERA, ESPECIFICAR 0
D. ESPERO A MESA DE AYUDA 0
C. ME ACERCO A ATI 1
B. POR MAIL A ATI 3
A. POR TELÉFONO 3
0 0.5 1 1.5 2 2.5 3 3.5
Análisis:
de esta investigación.
situación actual y realizar una estimación del tiempo y los recursos necesarios
para la implementación.
Fortaleza
Nombre y cargo
Código del
Nombre completo del sub- del responsable
sub-proceso / Descripción del
proceso / Activo de del sub-proceso
Activo de activo
información / Activo de
información
información
se encuentran
AI-1 Sala de servidores ATI
almacenados los
servidores
Equipo informático
Base de Datos de Correo
donde se almacena la
AI-2 Electrónico de la Fábrica de ATI
información lógica de
Radiadores Fortaleza
la empresa
Archivo de panales de
desarrollo de la fábrica
con patentes
Software especializado
Software de desarrollo de Jefe de Planta/
AI-4 en actividades de
planos de panales ATI
ingeniería
Software de
registradas en la
65
fábrica de radiadores
fortaleza.
Archivos digitales
Información digital de los
almacenados en
AI-6 profesionales de diseño de ATI
unidades de red o en
panales
discos magnéticos.
Cámaras para la
empresa.
Infraestructura física
donde se encuentra la
AI-8 Infraestructura de Área Jefe de planta
oficina de los
colaboradores
Conexión de la red
AI-10 Infraestructura de red ATI
interna
Equipo generador de
AI-11 Grupo electrógeno Jefe de planta
energía eléctrica
Colaboradores
encargados de realizar
AI-12 Profesionales Jefes de Planta
las actividades del
proceso.
Tabla 32: Tabla de identificación de activos de Información Fuente: Elaboración propia. ISO
27000
66
Se presenta un cuadro de las herramientas necesarias para la implementación:
Implementación Herramientas
respecto a políticas.
establecer un SGSI.
internacional.
Tabla 33: Cuadro de Herramientas, Fuente: Elaboración propia basado en el ISO 27000
de la información
67
• Personal de apoyo secundario para este proyecto como usuarios de Recursos
Nivel de
Significado
Madurez
entrenamiento.
Tabla 34: Nivel de Madurez del SGSI. Elaboración propia basado en el ISO 27000: ISO 27000
68
ANÁLISIS DE BRECHA PARA EL SGSI
NIVEL
CONTROL DE
MADUREZ
SEGURIDAD -
DESCRIPCIÓN DE LA
OBJETIVO
CODIGO ANEXO A NTP REQUISITO ANÁLISIS DE BRECHA
ACTUAL
SITUACIÓN ACTUAL
ISO/IEC
27001:2014
69
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
A.6.1 ORGANIZACIÓN INTERNA
Se requiere que todos los roles y
responsabilidades de seguridad de
Roles y Todas las responsabilidades de Las designaciones de roles y
la información estén debidamente
responsabilidades la seguridad de la información responsabilidades se dan de
A.6.1.1 L2 L4 documentados, aprobados y
de la seguridad de deben ser definidas y manera intuitiva, hay
comunicados, además que estos
la información asignadas. encargados generales.
sean revisados cada cierto periodo
de tiempo en base a indicadores.
Las funciones y áreas de Se requiere que las funciones y
responsabilidad en conflicto tareas deban estar debidamente
deben ser segregadas para Las principales funciones están documentadas, aprobadas y
Segregación de
A.6.1.2 reducir oportunidades de segregadas en diversos roles L2 L4 comunicadas, además que estas
funciones
modificación no autorizada o de manera intuitiva. deban ser revisadas cada cierto
mal uso de los activos de la periodo de tiempo en base a
organización. indicadores.
Se requiere una confirmación vía
Contactos apropiados con
Contacto con correo electrónico o acta de
A.6.1.3 autoridades relevantes deben No los tiene. L0 L3
autoridades reunión donde se detallen el
ser mantenidos.
conversado en las reuniones.
Contactos apropiados con
grupos especiales de interés u
Contacto con
otros foros de especialistas en
A.6.1.4 grupos especiales - NA NA -
seguridad y asociaciones de
de interés
profesionales deben ser
mantenidos.
70
Se requiere que la seguridad de la
Seguridad de la La seguridad de la información Para cada proyecto se trata la
información esté explícitamente
información en la debe ser tratada en la gestión seguridad de la información de
A.6.1.5 L1 L3 definida y documentada en los
gestión del de proyectos, sin importar el manera diversa, ajustándose
proyectos de la fábrica de
proyecto tipo de proyecto. según las circunstancias.
radiadores fortaleza.
A.6.2 DISPOSITIVOS MÓVILES Y TRABAJO REMOTO
Una política y medidas de
Se requiere un documento formal,
Política de seguridad de soporte deben ser
No existe una política para la aprobado y comunicado para la
A.6.2.1 dispositivos adoptadas para gestionar los L0 L3
gestión de dispositivos móviles. política de dispositivos móviles de
móviles riesgos introducidos por el uso
la organización.
de dispositivos móviles.
Una política y medidas de
seguridad de apoyo deben ser
implementadas para proteger
A.6.2.2 Teletrabajo NA NA
información a la que se accede,
se procesa o almacena en sitios
de teletrabajo.
71
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
A.7.1 ANTES DEL EMPLEO
Las verificaciones de los
antecedentes de todos los
Se verifica de manera
candidatos a ser empleados deben
detallada los antecedentes y
ser llevadas a cabo en
documentos presentados por
concordancia con las leyes,
los postulantes a los diversos
A.7.1.1 Selección regulaciones y ética relevantes, y L3 L3 -
puestos de trabajo. Esto queda
debe ser proporcional a los
documentado y es aprobado
requisitos del negocio, la
por los jefes de las áreas
clasificación de la información a la
respectivas.
que se tendrá acceso y los riesgos
percibidos.
Se requiere que se definan
Los acuerdos contractuales con los
No se estipulan las claramente las condiciones
Términos y empleados y contratistas deben
condiciones respecto a la contractuales respecto a la
A.7.1.2 condiciones del estipular responsabilidades de L0 L2
seguridad de la información en seguridad de la información en los
empleo éstos y de la organización respecto
las condiciones contractuales. contratos laborales, al menos de
de la seguridad de la información.
manera intuitiva.
A.7.2 DURANTE EL EMPLEO
La gerencia debe requerir a todos La gerencia tiene en cuenta la
los empleados y contratistas seguridad de la información,
Responsabilidades aplicar la seguridad de la siempre comunica e informa a
A.7.2.1 L3 L3
de la Gerencia información en concordancia con toda la organización la política
las políticas y procedimientos general de seguridad de la
establecidos por la organización. información.
72
Todos los empleados de la
organización y, cuando fuera
relevante, los contratistas deben Se requiere que se documenten,
Conciencia, recibir educación y capacitación Solo en ciertas áreas se insta aprueben y se realicen
educación y sobre la conciencia de la seguridad a que se tenga en cuenta la capacitaciones sobre seguridad de
A.7.2.2 capacitación sobre de la información, así como política de seguridad de la L1 L4 la información. Además, se debe
la seguridad de la actualizaciones regulares sobre información, no se capacita ni medir con indicadores el
información políticas y procedimientos de la se documenta. cumplimiento de las políticas de
organización, según sea relevante seguridad de la información.
para la función del trabajo que
cumplen.
Debe haber un proceso
Existe definido un proceso Se requiere se documente este
disciplinario formal y comunicado
disciplinario contra aquellos proceso disciplinario en base a las
Proceso para tomar acción contra
A.7.2.3 empleados que comenten una L2 L3 normas ya definidas, se apruebe y
disciplinario empleados que hayan cometido
falta a las normas, este se se comunique a toda la
una infracción a la seguridad de la
comunica. organización.
información.
A.7.3.1 TERMINACIÓN Y CAMBIO DE EMPLEO
Las responsabilidades y deberes
Existen procesos detallados
de seguridad de la información que
Terminación o que indican que al término o
siguen siendo válidos luego de la
cambio de cambio del empleo se tienen
A.7.3.1 terminación o cambio de empleo L2 L3
responsabilidades que firmar y aprobar un
deben ser definidos, comunicados
del empleo. documento sobre
a los empleados o contratista y
confidencialidad.
forzar su cumplimiento.
73
A.8 GESTIÓN DE LOS ACTIVOS
A.8.1 RESPONSABILIDAD POR LOS ACTIVOS
Información, otros activos
asociados con información e
instalaciones de procesamiento
Inventario de No se tiene inventario de activos Se requiere un inventario de
A.8.1.1 de información deben ser L2 L4
activos de información. activos de información.
identificados y un inventario de
estos activos debe ser elaborado
y mantenido.
Cada activo está asociado con el Se requiere que se documente
Propiedad de los Los activos mantenidos en el dueño de este, sin embargo, solo detalladamente que activo tiene
A.8.1.2 L2 L3
activos inventario deben ser propios. se documentan en algunos casos asignado cada colaborador de la
la asociación activo-responsable. organización.
Las reglas para el uso aceptable
de la información y activos
Existen normas definidas y Se requiere que se capacite y
asociados con la información y
Uso aceptable de documentadas, pero estas no concientice respecto al uso
A.8.1.3 con las instalaciones de L2 L3
los activos son aplicadas para todos los aceptable de los activos más
procesamiento de la información
activos relevantes. relevantes para la organización.
deben ser identificadas,
documentadas e implementadas.
Todos los empleados y usuarios
de partes externas deben
Existe un proceso definido para
Retorno de retornar todos los activos de la
A.8.1.4 la devolución de los activos con L3 L3 .
activos organización en su posesión a la
un formato definido.
conclusión de su empleo,
contrato o acuerdo.
74
A.8.2 CLASIFICACIÓN DE LA INFORMACIÓN
Es necesario que se documenten,
La información debe ser
aprueben y comuniquen la política
clasificada en términos de Existe una clasificación de la
para la clasificación de la
Clasificación de la requisitos legales, valor, criticidad información de manera genérica,
A.8.2.1 L2 L4 información. Así mismo se debe
información y sensibilidad respecto a una se realiza de manera intuitiva en
revisar y monitorear
divulgación o modificación no algunas áreas de la organización.
constantemente en base a
autorizada.
indicadores.
Un conjunto apropiado de
procedimientos para el
Se mantiene un procedimiento
etiquetado de la información Se requiere que se documente,
intuitivo para clasificar la
Etiquetado de la debe ser desarrollado e analice, verifique, apruebe y
A.8.2.2 información, no existe una L2 L3
información implementado en concordancia comunique una política sobre el
política para la clasificación de la
con el esquema de clasificación etiquetado de la información.
información.
de la información adoptado por la
organización.
Los procedimientos para el
Existen procedimientos para el Es necesario que se desarrollen,
manejo de activos deben ser
manejo de los activos, pero estos documenten, aprueben y
desarrollados e implementados
A.8.2.3 Manejo de activos están ligados a los L2 L3 comunique un proceso formal para
en concordancia con el esquema
procedimientos para el área de el manejo de los activos de la
de clasificación adoptado por la
Tecnologías de Información. organización.
organización.
75
A.8.3 MANEJO DE LOS MEDIOS
Se debe implementar los Se requiere que se definan,
No existe algún procedimiento
Gestión de los procedimientos para la gestión documenten, aprueben,
definido para el manejo de los
A.8.3.1 medios de los medios removibles, en L0 L4 comuniquen y capaciten esquemas
medios removibles en la
removibles concordancia con el esquema para el manejo de medios
organización.
adoptado por la organización. removibles para la organización.
Se debe poner a disposición los
Existe un procedimiento para la Se requiere de un procedimiento
medios de manera segura
Deposición de disposición final de los medios de formal, documentado, aprobado y
A.8.3.2 cuando ya no se requieran, L2 L3
Medios manera segura, se realiza de comunicado para la disposición
utilizando procedimientos
manera repetible. final de los medios.
formales.
Los medios que contengan
información deben ser protegidos
Transferencia
A.8.3.3 contra acceso no autorizado, el NA NA
física de medios
mal uso o la corrupción durante
el transporte.
76
A.9 CONTROL DE ACCESO
A.9.1 REQUISITOS DE NEGOCIO PARA EL CONTROL DE ACCESO
Una política de control de acceso Se requiere que esta política sea
Existe una política de control de
debe ser establecida, revisada de manera periódica y
Política de control acceso ya definida,
A.9.1.1 documentada y revisada basada L3 L4 que se mida su nivel de
de acceso documentada, aprobada y
en requisitos del negocio y de cumplimiento y efectividad en base
comunicada.
seguridad de la información. a indicadores.
Los usuarios deben tener acceso
Existe un procedimiento definido
solamente a la red y a servicios
Acceso a redes y de acceso a la red y servicios en
A.9.1.2 de red que hayan sido L3 L3
servicios de red base a una clasificación de
específicamente autorizados a
usuarios.
usar.
A.9.2 GESTIÓN DE ACCESO AL USUARIO
Un proceso formal de registro y
Existe un procedimiento manual Se requiere que se documente,
baja de usuarios debe ser
Registro y baja de documentado a través de correo apruebe y comunique un
A.9.2.1 implementado para permitir la L1 L3
usuarios electrónico, se realiza en base se procedimiento para el registro y la
asignación de derechos de
soliciten. baja de los usuarios.
acceso.
Un proceso formal de
aprovisionamiento de acceso a Se requiere que se documente,
El cambio de permisos del
Aprovisionamiento usuarios debe ser implementado apruebe y comunique un
acceso del usuario se realiza
A.9.2.2 de acceso a para asignar o revocar los L2 L3 procedimiento para el
manual y con confirmación vía
usuario derechos de acceso para todos aprovisionamiento del acceso a
correo electrónico.
los tipos de usuarios a todos los usuario.
sistemas y servicios.
77
Los accesos privilegiados están Se requiere que se detalle,
Gestión de
La asignación y uso de derechos controlados detalladamente y son documente, apruebe y comunique
derechos de
A.9.2.3 de acceso privilegiado debe ser siempre aprobados y L2 L3 un procedimiento formal para la
accesos
restringida y controlada. comunicados para su área gestión de accesos privilegiados
privilegiados
respectiva. en la organización.
Gestión de
La asignación de información de Se controla la autentificación
información de
autentificación secreta debe ser secreta a través de un proceso Se requiere que se documente
A.9.2.4 autentificación L2 L3
controlada a través de un formal de gestión de detalladamente y se pruebe.
secreta de
proceso de gestión formal. autentificación de usuarios.
usuarios.
Revisión de Los propietarios de los activos Se requiere que se establezca un
Se realiza una revisión solo en
derechos de deben revisar los derechos de procedimiento formal, detallado,
A.9.2.5 casos que se genere un incidente L1 L3
acceso de acceso de usuario a intervalos aprobado y comunicado a las
o se solicite explícitamente esto.
usuarios regulares áreas correspondientes.
Los derechos de acceso a
información e instalaciones de Los ajustes, cambios y remoción
Remoción o procesamiento de información de de derechos de acceso son
ajuste de todos los empleados y de los documentados y pedidos
A.9.2.6 L3 L3
derechos de usuarios de partes externas mediante un procedimiento
acceso deben removerse al término de formal a los responsables de
su empleo, contrato o acuerdo, o cada área.
ajustarse según el cambio.
78
A.9.3 RESPONSABILIDADES DE LOS USUARIOS
Los usuarios deben ser exigidos a Se le informa y exige al usuario
Uso de
que sigan las prácticas de la a que siga las buenas prácticas Se requiere se documente,
información de
A.9.3.1 organización en el uso de de la organización. No existe un L2 L3 apruebe un procedimiento formal y
autentificación
información de autentificación proceso de concientización además se concientice al usuario.
secreta
secreta. hacia los usuarios.
A.9.4 CONTROL DE ACCESO AL SISTEMA Y APLICACIONES
El acceso a la información y a las Se restringe el acceso a las
Se requiere un procedimiento
Restricción de funciones del sistema de aplicación funciones del sistema y a los
formal, aprobado y comunicado
A.9.4.1 acceso a la debe ser restringido en aplicativos en base a los L2 L3
para la restricción de acceso a la
información concordancia con la política de requerimientos de diversas
información.
control de acceso. áreas.
Donde la política de control de Se requiere desarrollar un
Procedimientos acceso lo requiera, el acceso a los Se controla de manera segura procedimiento que indique las
A.9.4.2 de ingreso sistemas y a las aplicaciones debe el acceso a los diversos L2 L3 formas en cómo acceder de
seguro ser controlado por un procedimiento sistemas y aplicaciones. manera segura a los diversos
de ingreso seguro. sistemas y aplicaciones.
Los sistemas de gestión de No existe un sistema de gestión Se necesitan sistemas y
Sistema de
contraseñas deben ser interactivos y de contraseñas ni de apoyo a documentación detallada que
A.9.4.3 gestión de L1 L3
deben asegurar contraseñas de los usuarios para que generen garanticen contraseñas de calidad
contraseñas
calidad. contraseñas seguras. para los usuarios.
El uso de programas utilitarios que
Uso de Se debe de adquirir herramientas
podrían ser capaces de pasar por
programas de filtro, control y comportamiento
A.9.4.4 alto los controles del sistema y de No se tiene control L0 L3
utilitarios de red. Junto a una política de uso
las aplicaciones debe ser restringido
privilegiados de recursos.
y controlarse estrictamente.
79
Se restringe el acceso al código
Control de Se requiere de un procedimiento
fuente de las aplicaciones
acceso al código El acceso al código fuente de los formal para restringir y controlar el
A.9.4.5 desarrollados solamente a los L2 L3
fuente de los programas debe ser restringido. acceso al código fuente de los
usuarios que tienen permiso
programas programas.
explícito.
80
A.10 CRIPTOGRAFÍA
A.10.1 CONTROLES CRIPTOGRÁFICOS
Se requiere del desarrollo,
aprobación y comunicación de una
Una política sobre el uso de
Política sobre el política para el uso de controles
controles criptográficos para la No existe una política para el
A.10.1.1 uso de controles L0 L4 criptográficos, además de la
protección de la información debe uso de controles criptográficos.
criptográficos revisión del cumplimiento de esta y
ser desarrollada e implementada.
sus procedimientos en base a
indicadores.
Se requiere del desarrollo,
Una política sobre el uso, protección aprobación y comunicación de una
y tiempo de vida de las claves política para el uso de claves
Gestión de No existe una política para el
A.10.1.2 criptográficas debe ser desarrollada L0 L4 criptográficas, además de la
claves uso de claves criptográficas.
e implementada a través de todo su revisión del cumplimiento de esta y
ciclo de vida. sus procedimientos en base a
indicadores.
81
A.11 SEGURIDAD FÍSICA Y AMBIENTAL
A.11.1 ÁREAS SEGURAS
Perímetros de seguridad deben ser
Se debe implementar puertas
definidos y utilizados para proteger Se protege con acceso con
Perímetro de eléctricas con acceso biométrico,
A.11.1.1 áreas que contienen información llave, vigilancia con personal de L1 L3
seguridad física así como un procedimiento de
sensible o crítica e instalaciones seguridad y cámaras de video
acceso físico a salas.
de procesamiento de información.
Las áreas seguras deben estar
Se requiere de un procedimiento
protegidas por controles de Se cuenta con controles y
Controles de detallado, documentado, aprobado
A.11.1.2 entrada apropiados para asegurar procedimientos definidos para el L2 L3
acceso físico y comunicado para el acceso a las
que se le permite el acceso solo al acceso a áreas seguras.
respectivas áreas seguras.
personal autorizado.
Los controles de seguridad son Se debe implementar puertas
Asegurar Seguridad física para oficinas,
ligeros, puertas con llave y eléctricas con acceso biométrico,
A.11.1.3 oficinas, áreas e áreas e instalaciones debe ser L1 L3
vigilancia por cámaras de así como un procedimiento de
instalaciones diseñada e implementada.
seguridad. acceso físico a salas.
Protección Se han definido y documentado
Protección física contra desastres
contra controles para la protección
naturales, ataque malicioso o
A.11.1.4 amenazas contra amenazas físicas y L3 L3
accidentes debe ser diseñada y
externas y ambientales para la fábrica de
aplicada.
ambientales radiadores Fortaleza
Procedimientos para el trabajo en Existen procedimientos
Trabajo en áreas
A.11.1.5 áreas seguras debe ser diseñado y documentados para el acceso a L3 L3
seguras
aplicado. las áreas seguras.
82
Los puntos de acceso, como las
áreas de despacho, carga y otros Las áreas de despacho y carga
puntos en donde personas no están alejadas de las
Se requiere un procedimiento
Áreas de autorizadas puedan ingresar al instalaciones de procesamiento
documentado, aprobado y
A.11.1.6 despacho y local deben ser controlados, y si de información, además se L2 L3
comunicado para el acceso de
carga fuera posible, aislarlos de las realizan de manera minuciosa en
personas externas.
instalaciones de procesamiento de base a las prácticas que se
la información para evitar el mantienen.
acceso no autorizado.
A.11.2 EQUIPOS
Los equipos deben ser ubicados y
protegidos para reducir los riesgos Los equipos están ubicados
Emplazamiento Se requiere un procedimiento
de amenazas y peligros correctamente en base las
A.11.2.1 y protección de L2 L4 detallado, aprobado y comunicado
ambientales, así como las buenas prácticas que se siguen
los equipos para la protección de los equipos.
oportunidades para el acceso no en cada área respectiva.
autorizado.
Los equipos deben ser protegidos Se cuenta con protección para
Servicios de contra fallas de electricidad y otras todos los equipos en caso
A.11.2.2 L3 L3
Suministro alteraciones causadas por fallas en suceda una falla o corte del
los servicios de suministro. servicio de suministro.
El cableado de energía y
El cableado se encuentra
telecomunicaciones que llevan
debidamente protegido contra el
Seguridad del datos o servicios de información de
A.11.2.3 daño, interceptación e L3 L3
cableado soporte debe ser protegido de la
interferencia siguiendo los
interceptación, interferencia o
lineamientos de la organización.
daño.
83
Los equipos deben mantenerse de Se conserva un programa para la
Mantenimiento manera correcta para asegurar su revisión periódica de los equipos
A.11.2.4 L3 L3
de equipos continua disponibilidad e en base a un procedimiento ya
integridad. definido.
Se requiere un procedimiento
Los equipos, la información o el El retiro de los equipos se realiza
Remoción de documentado, aprobado y
A.11.2.5 software no deben ser retirados de con autorización previa del área L2 L3
activos comunicado para la remoción de
su lugar sin autorización previa. respectiva.
los equipos.
84
Se verifica que los equipos Se requiere un proceso formal,
Equipos de Los usuarios se deben asegurar de
desatendidos se conserven bajo detallado, documentado y
A.11.2.8 usuario que a los equipos desatendidos se L1 L3
una protección adecuada, no hay comunicado para la revisión de los
desatendidos les da protección apropiada.
procedimientos definidos. equipos de usuario desatendidos.
Una política de escritorio limpio de
papeles y de medios de
Se mantiene un comportamiento Se requiere que se documente y
Política de almacenamiento removibles, así
intuitivo de escritorio limpio y defina un procedimiento formal
A.11.2.9 escritorio limpio como una política de pantalla L1 L3
pantalla limpia para los usuarios, para el escritorio y pantalla limpia
y pantalla limpia limpia para las instalaciones de
pero esta no se documenta. de los usuarios.
procesamientos de la información
debe ser adoptada.
85
A.12 SEGURIDAD DE LAS OPERACIONES
A.12.1 PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS
Se necesita que todos los
Los procedimientos operativos Solo están documentados
Procedimientos procedimientos estén debidamente
deben ser documentados y algunos procedimientos, los que
A.12.1.1 operativos L2 L3 documentados en base a las
puestos a disposición de todos se consideran en base a cada
documentados buenas prácticas de la
los usuarios que los necesitan. encargado del área.
organización.
Los cambios en la organización,
Se requiere que todos los cambios
procesos de negocio,
Se controlan los cambios y se que se realicen sobre los
instalaciones de procesamiento
Gestión del documentan de manera intuitiva procesos, instalaciones y sistemas
A.12.1.2 de la información y sistemas que L2 L3
cambio para cada área según se sean documentados, aprobados y
afecten la seguridad de la
requiera. comunicados a todo el personal
información deben ser
respectivo.
controlados.
El uso de recursos debe ser
Se necesita que este enfoque sea
monitoreado, afinado y se debe Se mantiene un enfoque de
documentado, aprobado y
Gestión de la hacer proyecciones de los gestión de la capacidad detallado
A.12.1.3 L2 L3 revisado constantemente para
capacidad futuros requisitos de capacidad para los activos de información
asegurar la disponibilidad de los
para asegurar el desempeño relevantes.
recursos.
requerido del sistema.
Separación de los Los entornos de desarrollo,
entornos de pruebas y operaciones deben ser Los entornos están separados Se requiere de implementar
A.12.1.4 desarrollo, separados para reducir los física y lógicamente pero no L2 L3 controles de desarrollo y área de
pruebas y riesgos de acceso no autorizado tienen control. trabajo.
operaciones o cambios al entorno operativo.
86
A.12.2 PROTECCIÓN CONTRA CÓDIGO MALICIOSO
Controles de detección, Se requiere un procedimiento
prevención y recuperación para Se tiene una protección contra el formal, detallado, aprobado y
proteger contra códigos código malicioso básica, pero no comunicado para controlar el
Controles contra
A.12.2.1 maliciosos deben ser se ha realizado una L2 L4 código malicioso, así también
códigos maliciosos
implementados, en combinación concientización a los usuarios como una concientización a los
con una concientización sobre este. usuarios. Esto tiene que ser
apropiada de los usuarios. medible en base a indicadores.
A.12.3 RESPALDO
Copias de respaldo de la
información, del software y de las
Existen procedimientos Se requiere una medición en base
imágenes del sistema deben ser
Respaldo de la detallados y documentados a indicadores para manejar de
A.12.3.1 tomadas y probadas L3 L4
información sobre el respaldo de la manera correcta el respaldo de
regularmente en concordancia
información. información de los equipos.
con una política de respaldo
acordada.
87
A.12.4 REGISTRO Y MONITOREO
Registros (logs) de eventos de Se requiere que todos los eventos
las actividades de usuarios, Se registran los eventos de los se registren en un repositorio
excepciones, fallas y eventos de usuarios en navegación, los común, además que exista un
Registro de
A.12.4.1 seguridad de la información eventos de seguridad no están L1 L4 procedimiento formal,
eventos
deben ser producidos, monitoreados, sin embargo, no documentado, aprobado y
mantenidos y regularmente hay conciencia acerca de esto. comunicado para el manejo de
revisados. estos eventos.
Las instalaciones para registros
El acceso a los registros de Se requiere de un procedimiento
Protección de la (logs) y la información de los
eventos está protegido por las detallado y documentado para la
A.12.4.2 información de registros (logs) deben ser L2 L3
políticas a nivel técnico de la protección de los registros de
registros protegidas contra adulteración y
organización. eventos.
el acceso no autorizado.
Las actividades del administrador
del sistema y del operador del Se requiere una revisión periódica
Registros del Los eventos del administrador no
sistema deben ser registradas y de estos registros, además de un
A.12.4.3 administrador y del son monitoreados ni L1 L3
los registros (logs) deben ser procedimiento formal para el
operador respaldados.
protegidos y revisados manejo de estos registros.
regularmente.
Los relojes de todos los sistemas
de procesamiento de la Se necesita un procedimiento
información relevantes dentro de Los relojes están sincronizados documentado, aprobado y
Sincronización de
A.12.4.4 una organización o dominio de en base a una fuente de L2 L3 comunicado para la sincronización
reloj
seguridad deben estar referencia única. de reloj de los sistemas de
sincronizados a una fuente de procesamiento de información.
tiempo de referencia única.
88
A.12.5 CONTROL DEL SOFTWARE OPERACIONAL
Se han implementado
Instalación de Procedimientos deben ser Se necesita documentación
procedimientos para evitar la
software en implementados para controlar la detallada, aprobada y
A.12.5.1 instalación de software sin L2 L3
sistemas instalación de software en documentada de estos
autorización de los
operacionales sistemas operacionales. procedimientos.
administradores.
A.12.6 GESTIÓN DE VULNERABILIDAD TÉCNICA
Información sobre
vulnerabilidades técnicas de los
sistemas de información
Se requiere de la implantación de
utilizados debe ser obtenida de No existe ningún procedimiento
Gestión de un enfoque documentado,
manera oportuna, la exposición ni iniciativa para el manejo de las
A.12.6.1 vulnerabilidades L0 L3 aprobado y comunicado para el
de la organización a dichas vulnerabilidades técnicas de los
técnicas tratamiento de las
vulnerabilidades debe ser sistemas de información.
vulnerabilidades.
evaluada y las medidas
apropiadas deben ser tomadas
para resolver el riesgo asociado.
Existen reglas que impiden que
Restricciones Reglas que gobiernen la un usuario estándar pueda
sobre la instalación de software por parte instalar software. El enfoque es
A.12.6.2 L3 L3
instalación de de los usuarios deben ser un proceso estándar
software establecidas e implementadas. documentado y comunicado,
apoyado por controles técnicos.
89
A.12.7 CONSIDERACIONES DE LA AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
Requisitos de auditorías y las
Se requiere un enfoque
actividades que involucran la
Se planifican y acuerdan las documentado, detallado, aprobado
Controles de certificación de sistemas
actividades de auditoría de en un y comunicado para la correcta
auditoría de operacionales deben ser
A.12.7.1 enfoque intuitivo en base a las L2 L3 planificación y acuerdos en los
sistemas de cuidadosamente planificados y
experiencias los administradores controles de auditoría y estos no
información acordados para minimizar la
de cada servidor. afecten a los procesos del
interrupción a los procesos del
negocio.
negocio.
90
A.13 SEGURIDAD DE LAS COMUNICACIONES
A.13.1 GESTIÓN DE SEGURIDAD DE LA RED
Existen gestión y controles para
Las redes deben ser gestionadas
la protección de la información,
y controladas para proteger la
A.13.1.1 Controles de la red estos se aplican en base a un L3 L3
información en los sistemas y las
procedimiento documentado,
aplicaciones.
aprobado y comunicado.
Mecanismos de seguridad,
niveles de servicio y requisitos
de todos los servicios de red
Se necesita documentación
deben ser identificados e
Seguridad de No existen acuerdos de servicio detallada, aprobada y comunicada
A.13.1.2 incluidos en acuerdos de L0 L3
servicios de red para los servicios de red. para mantener la seguridad de los
servicios de red, ya sea que
servicios de red.
estos servicios se provean
internamente o sean
Tercerizados.
Las redes están segregadas en
Grupos de servicios de
base a las buenas prácticas de la Se requiere documentación
Segregación en información, usuarios y sistemas
A.13.1.3 organización. No existe L2 L3 respecto a la segregación de las
redes de información deben ser
documentación detallada sobre redes.
segregados en redes.
la segregación de la red.
91
A.13.2 TRANSFERENCIA DE INFORMACIÓN
Políticas, procedimientos y Se requiere de una política
Existen controles técnicos para
controles de transferencia documentada, aprobada y
Políticas y controlar la transferencia de
formales deben aplicarse para comunicada para la transferencia
procedimientos de información dentro de la
A.13.2.1 proteger la transferencia de L1 L4 de información en la organización.
transferencia de organización. No existen
información a través del uso de Así mismo es necesario la
información procedimientos definidos ni
todo tipo de instalaciones de medición de estos en base a
detallados para esto.
comunicación. indicadores.
Se requieren procedimientos
Los acuerdos deben dirigir la Existen acuerdos de
Acuerdo sobre la documentados, aprobados y
transferencia segura de transferencia de información en
A.13.2.2 transferencia de L1 L3 comunicados sobre los acuerdos
información del negocio entra la base a enfoques ad-hoc
información para la transferencia de
organización y partes externas. realizados en diferentes casos.
información del negocio.
La información involucrada en Existen políticas y controles
Mensajes
A.13.2.3 mensajería electrónica debe ser técnicos para el control de la L3 L3
electrónicos
protegida apropiadamente. mensajería electrónica.
Requisitos para los acuerdos de
confidencialidad o no divulgación
Existen acuerdos de Es necesaria la creación de
que reflejan las necesidades de
Acuerdos de confidencialidad que se dan bajo procedimientos para definir los
la organización para la
A.13.2.4 confidencialidad o enfoques intuitivos en algunas L1 L3 acuerdos de confidencialidad.
protección de la información
no divulgación áreas de la Fábrica de Estos deben ser documentados,
deben ser identificados,
Radiadores Fortaleza. aprobados y comunicados.
revisados regularmente y
documentados.
92
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
A.14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
Requisitos relacionados a la Se requiere de procedimientos y
Los requisitos de seguridad de la
Análisis y seguridad de la información deben controles documentados,
información son tomados en
especificación ser incluidos dentro de los aprobados y comunicados para el
cuenta bajo enfoques de acuerdo
A.14.1.1 de requisitos de requisitos para nuevos sistemas de L1 L3 análisis de los requisitos a la
al escenario en desarrollo o
seguridad de la información o mejoras a los seguridad de la información para el
mejora de los sistemas de
información sistemas de información desarrollo y actualización de
información.
existentes. sistemas.
La información involucrada en
Aseguramiento
servicios de aplicaciones que pasa Se requiere de procedimientos
de servicios de Se han establecido controles a
sobre redes públicas debe ser más intuitivos y repetibles para
A.14.1.2 aplicaciones nivel técnico para algunas L1 L2
protegida de actividad fraudulenta, asegurar las aplicaciones sobre
sobre redes aplicaciones publicadas.
disputa de contratos o divulgación redes públicas.
públicas
no autorizada y modificación.
La información involucrada en las
transacciones de servicios de
aplicación debe ser protegida para
Protección de Existen controles técnicos para Se requiere documentación
prevenir transmisión incompleta,
transacciones en las transacciones de los servicios aprobada y comunicada para la
A.14.1.3 ruteo incorrecto, alteración no L2 L3
servicios de de aplicación. Estos se dan de protección de transacciones en
autorizada de mensajes,
aplicación manera intuitiva. servicios de aplicación.
divulgación no autorizada,
duplicación o respuesta no
autorizada de mensajes.
93
A.14.2 SEGURIDAD EN PROCESOS DE DESARROLLO Y SOPORTE
No existe una política de
desarrollo seguro de las
Reglas para el desarrollo de Se requiere una política
aplicaciones. Se manifiestan
Política de software y sistemas deben ser documentada, aprobada y
enfoques según el escenario en
A.14.2.1 desarrollo establecidas y aplicadas a L1 L4 comunicada para el desarrollo
algunas partes. Existe una
seguro desarrollos dentro de la seguro de software para la
metodología usada por la
organización. organización.
organización que no contempla
el desarrollo seguro.
Cambios a los sistemas dentro del
Procedimientos Se manejan procedimientos
ciclo de vida del desarrollo deben Se requiere documentación y
de control de formales de control de cambios
A.14.2.2 ser controlados por medio del uso L2 L3 proceso definido para cambios en
cambio del de los sistemas. Pero no están
de procedimientos formales de los sistemas desarrollados.
sistema documentados.
control de cambios
Cuando se cambian las
Revisión técnica plataformas operativas, las Existen revisiones técnicas de Se necesitan procedimientos
de aplicaciones aplicaciones críticas para el las aplicaciones después de formales documentados,
después de negocio deben ser revisadas y cambios de plataforma, pero son aprobados y comunicados para las
A.14.2.3 L2 L3
cambios a la probadas para asegurar que no procedimientos informales y revisiones técnicas de las
plataforma haya impacto adverso en las repetitivos en muchos de los aplicaciones después de un
operativa operaciones o en la seguridad de casos. cambio de la plataforma operativa.
la organización.
94
Modificaciones a los paquetes de Se necesitan procedimientos
Restricciones Hay procedimientos
software deben ser disuadidas, formales documentados,
sobre cambios a determinados e informales sobre
A.14.2.4 limitadas a los cambios necesarios L2 L3 aprobados y comunicados para las
los paquetes de los cambios a los paquetes de
y todos los cambios deben ser restricciones sobre los cambios a
software software de la organización.
estrictamente controlados. los paquetes de software.
95
Se requiere una documentación
Pruebas de Pruebas de funcionalidad de la Se realizan pruebas bajo detallada, aprobada y comunicada
A.14.2.8 seguridad del seguridad deben ser llevadas a enfoques intuitivos para el L2 L3 para la realización de pruebas de
sistema cambio durante el desarrollo. desarrollo de aplicaciones. seguridad del sistema durante el
desarrollo.
Programas de pruebas de
aceptación y criterios relacionados Se realizan pruebas de Se necesita un procedimiento
Pruebas de
deben ser establecidos para aceptación de los sistemas bajo formal documentado, aprobado y
A.14.2.9 aceptación del L2 L3
nuevos sistemas de información, enfoques informales sin comunicado para las pruebas de
sistema
actualizaciones y nuevas documentación detallada. aceptación del sistema.
versiones.
A.14.3 DATOS DE PRUEBA
Los datos de prueba son
Se requiere de un enfoque
Los datos de prueba deben ser seleccionados aleatoriamente, en
Protección de documentado, aprobado y
A.14.3.1 seleccionados cuidadosamente, algunos casos aislados si se L1 L3
datos de prueba comunicado para la protección de
protegidos y controlados. tienen en cuenta algunos
los datos de prueba.
criterios.
96
A.15 RELACIONES CON LOS PROVEEDORES
A.15.1 SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS PROVEEDORES
Requisitos de seguridad de la No existen procedimientos ni Es necesaria la creación de una
Política de información para mitigar los documentos definidos para la política documentada, aprobada y
seguridad de la riesgos asociados con el acceso seguridad de la información en comunicada para la seguridad de
A.15.1.1 información para por parte del proveedor a los las relaciones con los L1 L4 la información en la relación con
las relaciones con activos de la organización deben proveedores. En algunos casos los proveedores. Así mismo el
los proveedores ser acordados con el proveedor y solo se menciona que no se cumplimiento de esta es necesario
documentados. debe revelar la información. a través de indicadores.
Todos los requisitos relevantes
de seguridad de la información
deben ser establecidos y Se requieren procedimientos
Abordar la
acordados con cada proveedor Solo para algunos acuerdos con formales, detallados, aprobados y
seguridad dentro
A.15.1.2 que pueda acceder, procesar, proveedores se tienen en cuenta L2 L3 comunicados para abordar la
de los acuerdos
almacenar, comunicar o proveer la seguridad de la información. seguridad dentro de los acuerdos
con proveedores
componentes de infraestructura con los proveedores.
de TI para la información de la
organización.
Los acuerdos con proveedores
deben incluir requisitos para
Cadena de
abordar los riesgos de seguridad
suministro de
de la información asociados con
A.15.1.3 tecnología de NA NA
los servicios de tecnología de la
información y
información y comunicaciones y
comunicación
la cadena de suministro de
productos.
97
A.15.2 GESTIÓN DE ENTREGA DE SERVICIOS DEL PROVEEDOR
Las organizaciones deben No se revisa ni audita Se requiere de un procedimiento
Monitoreo y
monitorear, revisar y auditar regularmente los servicios con formal, aprobado y comunicado
revisión de
A.15.2.1 regularmente la entrega de los proveedores, solamente en L1 L3 para la revisión periódica y regular
servicios de los
servicios por parte de los caso se pida explícitamente la de los servicios entregados por los
proveedores
proveedores. realización de estas tareas. proveedores.
Los cambios a la provisión de
servicios por parte de
proveedores, incluyendo el
mantenimiento y mejoramiento
de políticas, procedimientos y Existe un enfoque de gestión de Se requiere un procedimiento
Gestión de
controles existentes de cambios a los servicios de formal, aprobado y comunicado
cambios a los
A.15.2.2 seguridad de la información proveedores de manera ad-hoc L1 L3 para controlar la gestión de
servicios de
deben ser gestionados tomando en base a la necesidad de cada cambios a los servicios de
proveedores
en cuenta la criticidad de la caso. proveedores.
información del negocio,
sistemas y procesos
involucrados y una reevaluación
de riesgos.
98
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
A.16.1 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Y MEJORAS
Las responsabilidades de gestión Se Requiere un procedimiento
y los procedimientos deben ser Se han establecido formal, aprobado y comunicado
Responsabilidades establecidos para asegurar una responsabilidades para la gestión que indique las responsabilidades
A.16.1.1 L2 L3
y procedimientos respuesta rápida, efectiva y de incidentes bajo un enfoque y procedimientos para la gestión
ordenada a los incidentes de repetitivo y no formal. de incidentes de seguridad de la
seguridad de la información. información.
Los eventos de seguridad de la No existe un reporte formal y Se requiere un procedimiento
Reporte de
información deben ser periódico de los eventos de documentado, aprobado y
eventos de
A.16.1.2 reportados a través de canales seguridad de la información, L1 L3 comunicado para reportar los
seguridad de la
de gestión apropiados tan solamente se realiza este cuando eventos de seguridad de la
información
rápidos como sea posible. es requerido explícitamente. información.
Empleados y contratistas que
usen los sistemas y servicios de
información de la organización
Reporte de Se requiere de un procedimiento
deben ser exigidos a advertir y Se mantiene un enfoque informal
debilidad de detallado, aprobado y comunicado
A.16.1.3 reportar cualquier debilidad para reportar la debilidad en L1 L3
seguridad de la para reportar la debilidad de
observada o de la que se seguridad de la información.
información seguridad de la información.
sospecha en cuanto a la
seguridad de la información en
los sistemas o servicios.
Evaluación y Los eventos de seguridad de la Se realiza una evaluación Se requiere un documento formal,
A.16.1.4 decisión sobre información deben ser evaluados informar y repetitiva para los L1 L3 aprobado y comunicado para
eventos de y deben decidirse si son incidentes de seguridad de la tomar decisiones respecto a la
99
seguridad de la clasificados como incidentes de información sin tomar en cuenta clasificación de incidentes de
información. seguridad de la información. alguna clasificación. seguridad de la información.
Se requiere de un procedimiento
Respuesta a Los incidentes de seguridad de Se responden los incidentes de
formal, aprobado y comunicado
incidentes de la información deben ser seguridad bajo un enfoque
A.16.1.5 L2 L3 para la respuesta ante los
seguridad de la respondidos de acuerdo con los informal sin un procedimiento
incidentes de seguridad de la
información procedimientos documentados. determinado.
información.
El conocimiento adquirido a partir
Se requiere de un procedimiento
Aprendizaje de los de analizar y resolver los Se utiliza el conocimiento
formal, aprobado y comunicado
incidentes de incidentes de seguridad de la adquirido, pero sin manejar algún
A.16.1.6 L1 L3 para conservar todo el aprendizaje
seguridad de la información debe ser utilizado documento formal, solo mediante
sobre los incidentes de seguridad
información para reducir la probabilidad o el un enfoque ad-hoc.
de la información.
impacto de incidentes futuros.
La organización debe definir y Se requiere de un procedimiento
aplicar procedimientos para la No existen enfoques para la formal, detallado, documentado,
Recolección de identificación, recolección, recolección de evidencia sobre aprobado y comunicado para
A.16.1.7 L0 L3
evidencia adquisición y preservación de los incidentes de seguridad de la recolectar evidencia sobre los
información que pueda servir información. incidentes de seguridad de la
como evidencia. información.
100
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
A.17.1 CONTINUIDAD DE SEGURIDAD DE LA INFORMACIÓN
La organización debe determinar
sus requisitos de seguridad de la
Planificación de No tiene planes ni sistemas de
información y continuidad de la Se requiere un procedimiento para
continuidad de restauración de servicios de
A.17.1.1 gestión de seguridad de la L1 L3 el respaldo de información a cintas
seguridad de la información. Solo gestión de
información en situaciones y trasladarlo a un archivo.
información back ups internos.
adversas, por ejemplo, durante
una crisis o desastre.
La organización debe establecer,
documentar, implementar y
Implementación de mantener procesos,
No posee procesos, Se requiere la imple mención de
continuidad de procedimientos y controles para
A.17.1.2 procedimientos ni controles de L0 L3 controles de seguridad de la
seguridad de la asegurar el nivel requerido de
seguridad de la información. información.
información continuidad de seguridad de la
información durante una
situación adversa.
La organización debe verificar
Verificación, los controles de continuidad de
revisión y seguridad de la información que
No posee procesos, Se requiere la creación de
evaluación de han establecido e implementado
A.17.1.3 procedimientos ni controles de L0 L3 controles de seguridad de la
continuidad de a intervalos regulares para
seguridad de la información. información.
seguridad de la asegurarse que son válidos y
información efectivos durante situaciones
adversas.
101
A.17.2 REDUNDANCIAS
Las instalaciones de
procesamiento de la información
Instalaciones de Se requiere la implementación de
deben ser implementadas con No posee sistemas de
A.17.2.1 procesamiento de L0 L3 servicios de redundancia de
redundancia suficiente para redundancia
la información servicios out site.
cumplir con los requisitos de
disponibilidad.
A.18 CUMPLIMIENTO
A.18.1 CUMPLIMIENTO CON REQUISITOS LEGALES Y CONTRACTUALES
Todos los requisitos legislativos,
estatutarios, regulatorios y
Identificación de contractuales relevantes, así como Se han identificado, documentado
requisitos el enfoque de la organización para y mantenido todos los requisitos
A.18.1.1 contractuales y de cumplir con estos requisitos deben contractuales y de legislación L3 L3
legislación ser explícitamente identificados, aplicables para la organización y
aplicables documentados y mantenidos al día cada sistema de información.
para cada sistema de información
y para la organización.
Procedimientos apropiados deben
ser implementados para asegurar
el cumplimiento de requisitos Se han establecido los
Derechos de
legislativos, regulatorios y procedimientos para asegurar los
A.18.1.2 propiedad L3 L3
contractuales relacionados a los derechos de propiedad intelectual
intelectual
derechos de propiedad intelectual en la organización.
y uso de productos de software
propietario.
102
Los registros deben ser protegidos
de cualquier pérdida, destrucción,
falsificación, acceso no autorizado Se han implementado controles
Protección de
A.18.1.3 y divulgación no autorizada, de para la protección de registros L3 L3
registros
acuerdo con los requisitos importantes en la organización.
legislativos, regulatorios,
contractuales y del negocio.
La privacidad y la protección de
Se han implementado controles de
Privacidad y datos personales deben ser
acuerdo a la legislación vigente
A.18.1.4 protección de datos aseguradas tal como se requiere L3 L3
para asegurar la privacidad y la
personales en la legislación y regulación
protección de datos personales.
relevantes donde sea aplicable.
Controles criptográficos deben ser
Regulación de
utilizados en cumplimiento con
A.18.1.5 controles NA NA
todos los acuerdos, legislación y
criptográficos
regulaciones relevantes.
103
Los gerentes deben revisar
Solo se revisa el cumplimiento de
regularmente el cumplimiento del
las políticas y normas de seguridad Se requiere de un procedimiento
Cumplimiento de procesamiento de la información y
cuando se van a realizar cambios detallado, documentado, aprobado y
A.18.2.2 políticas y normas de los procedimientos dentro de su L1 L3
o durante las auditorías. No existe comunicado para la revisión del
de seguridad área de responsabilidad con las
un enfoque periódico ni un cumplimiento.
políticas, normas y otros requisitos
procedimiento definido.
de seguridad apropiados.
Solo se revisa el cumplimiento de
Los sistemas de información
las políticas y normas de seguridad Se requiere de un procedimiento
Revisión del deben ser revisados regularmente
cuando se van a realizar cambios detallado, documentado, aprobado y
A.18.2.3 cumplimiento respecto al cumplimiento de las L1 L3
o durante las auditorías. No existe comunicado para la revisión del
técnico políticas y normas de seguridad de
un enfoque periódico ni un cumplimiento.
la información de la organización
procedimiento definido.
Tabla 35: Análisis de Brecha del SGSI Fuente Elaboración propia basado en el ISO 27000.
104
• Valorización de Confidencialidad: Se deberá considerar uno de los siguientes valores:
105
• Valorización de Integridad: Se deberá considerar una de los siguientes valores:
La disponibilidad de la
información es necesaria para
la continuidad de la fábrica de La falta de disponibilidad produce:
radiadores fortaleza., pero -Que los niveles de servicio acordados se
existen canales alternativos puedan ver afectados en la transición entre
para contrarrestar una el medio principal y el alternativo.
2 Media pérdida de disponibilidad en -Perjuicios legales que no comprometen la
un tiempo razonable. imagen de la fábrica de radiadores fortaleza.
El recurso principal y el -Perjuicios económicos que pueden ser
alternativo pueden quedar absorbidos por la fábrica de radiadores
fuera de servicio por un fortaleza.
periodo mínimo de tiempo en
horarios críticos.
107
• Tabla de Valor del Activo: Con el valor obtenido de la confidencialidad, integridad y
siguiente tabla:
Aspecto de
Seguridad
riesgo
C I D
1 1 1 No Significativo
1 1 2 Menor
1 1 3 Significativo
1 2 1 Menor
1 2 2 Moderado
1 2 3 Significativo
1 3 1 Significativo
1 3 2 Significativo
1 3 3 Catastrófico
2 1 1 Menor
2 1 2 Moderado
2 1 3 Significativo
2 2 1 Moderado
2 2 2 Moderado
108
2 2 3 Significativo
2 3 1 Significativo
2 3 2 Significativo
2 3 3 Catastrófico
3 1 1 Significativo
3 1 2 Significativo
3 1 3 Catastrófico
3 2 1 Significativo
3 2 2 Significativo
3 2 3 Catastrófico
3 3 1 Catastrófico
3 3 2 Catastrófico
3 3 3 Catastrófico
Tabla 39: Tabla de Valor de activos. Fuente: Elaboración Propia basado Enel ISO 27000
109
• Valoración del Impacto: Se deberá determina el impacto de acuerdo a la siguiente tabla:
110
• Valoración de la Probabilidad de Ocurrencia: Se deberá determinar la probabilidad de
al año.
o más.
Tabla 41: Valorización de la probabilidad de ocurrencia. Fuente: Elaboración Propia basado Enel
ISO 27000
111
• Valorización del Riesgo: Con el valor obtenido del producto del Impacto por la
Probabilidad obtenemos el nivel del Riesgo, para ello se tendrá en cuenta la siguiente
tabla:
112
Moderado 3 Baja 2 Mediano 6
Tabla 42: Tabla de Valorización de Riesgos. Fuente: Elaboración Propia basado Enel ISO 27000
113
Los riesgos serán clasificados de acuerdo a niveles, según su grado de exposición,
Tabla 43: Nivel de Riesgo. Fuente: Elaboración Propia basado Enel ISO 27000
114
ACTIVOS DE INFORMACIÓN Y ANÁLISIS DE RIESGOS.
Nombre
información / Activo de
información
incendios
115
algún evento
catastrófico
Inundación en la Sala de
Mantenimiento
servidores por mantenimiento 4 1 Bajo
insuficiente
insuficiente
Inundación en la Sala de
Inadecuado
servidores por Inadecuado 4 1 Bajo
ambiente físico
ambiente físico
Inundación
Falta de
catastrófico
Falta de
Se deberá de desarrollar una directiva
procedimiento Acceso indebido a la Sala de
donde se indique el procedimiento para
formal de servidores por falta de
3 3 Alto gestionar los accesos a la Sala de
Ingreso a la procedimiento formal de Ingreso a
servidores y las medidas de seguridad
Sala de la Sala de servidores
que se deberán cumplir
servidores
116
supervisión/mo mecanismos de servidores y las medidas de seguridad
Falta de
Daño por fenómeno sísmico en la
técnicas
Daño por Sala de servidores debido a la
apropiadas
fenómeno falta de técnicas apropiadas para 4 1 Bajo
para controlar
sísmico controlar algún evento
algún evento
catastrófico
catastrófico
Fallas en el control de
Se deberá de realizar mantenimiento
Mantenimiento temperatura y humedad de la
5 1 Mediano periódicamente al sistema de aire
insuficiente Sala de servidores por
Fallas en el acondicionado
mantenimiento insuficiente
control de
Fallas en el control de
temperatura
Uso incorrecto temperatura y humedad de la
y humedad
del software y Sala de servidores por uso 4 1 Bajo
hardware
117
acondicionad Fallas del sistema de aire
Uso incorrecto
o acondicionado de la Sala de
del software y 4 1 Bajo
servidores por uso incorrecto del
hardware
software y hardware
118
AI-2 Base de Datos de Correo Electrónico de la Fábrica de Radiadores Fortaleza.
subproces completo
informació / Activo de
n información
119
Servidores
(parche)
Mala
Uso no autorizado de los
administración
Servidores por Mala Se deberá de verificar el cumplimiento
de la 5 1 Mediano
administración de la contraseña de la directiva de contraseñas
contraseña del
del equipo
equipo
del equipo conciencia de Servidores por falta de conciencia 5 1 Mediano personal capacitado tenga acceso a los
mecanismos de Servidores por falta de 5 1 Mediano con logs de auditoria, los cuales deberán
120
Falta de
de usuario
Falta de
ejecución del
Uso no autorizado de los
procedimiento Se deberá de verificar que solo el
Servidores por Falta de ejecución
formal de altas, 5 1 Mediano personal autorizado tenga acceso a los
del procedimiento formal de altas,
bajas y Servidores
bajas y modificaciones de usuario
modificaciones
de usuario
Falta de
Hacking de los Servidores por
mecanismos de
Falta de mecanismos de Se deberá de realizar análisis de la
configuración 5 1 Mediano
configuración de seguridad del configuración de los Servidores
de seguridad
equipo
del equipo
Hacking Falta de
afinamiento en
de seguridad
perimetral
121
Falta Se deberá de verificar que los Servidores
Hacking de los Servidores por
actualización 5 1 Mediano se encuentren con los parches
Falta actualización del Sistema
del Sistema actualizados
Red inestable Indisponibilidad de los Servidores Se deberá de contar con un UPS para
Falta de
Pérdida de información de los Se deberá de verificar que se estén
Pérdida de pruebas
Servidores por falta de pruebas 5 2 Alto realizando pruebas de restauración de
información periódicas de
periódicas de restauración las copias de respaldo de los Servidores
restauración
maliciosos actualización (ej. Virus, bomba lógica, troyano) 5 1 Mediano Parches y Actualizaciones en los
122
bomba Servidores actualización del Software de
Falta de (ej. Virus, bomba lógica, troyano) Se deberá de verificar que los Servidores
5 1 Mediano
antivirus en los Servidores por falta de cuenten con antivirus
antivirus
123
Asignación Fuga de información de los
Se deberá de verificar que solo el
equivocada de Servidores por Asignación
5 2 Alto personal capacitado tenga acceso a los
derechos de equivocada de derechos de
Servidores
acceso acceso
Falta de
de usuario
124
AI-3 Planos Digitales de Panales.
Nombre
Probabilidad
subproceso del Descripción Nivel de
Impacto
C I D Valor CID Amenaza Vulnerabilidad Descripción del Riesgo Controles
/ Activo de subproceso del activo Riesgo
información / Activo de
información
desarrollo
de la fábrica Falta de protección Robo de planos digitales de panales Se deberá de verificar que solo el
Planos
de Robo de física del edificio, por falta de protección física del 5 1 Mediano personal autorizado tenga acceso
AI-3 Digitales de 1 2 3 Significativo
radiadores equipos puertas y ventanas edificio, puertas y ventanas (en el marcador biométrico) al área
Panales
fortaleza
Se deberá de contar con una
que cuentan Lineamientos Robo de planos digitales de panales
directiva para el retiro de equipos
con inexistentes o por Lineamientos inexistentes o 5 1 Mediano
que almacenen planos digitales de
patentes. insuficientes insuficientes
panales.
Falta de política
Robo de planos digitales de panales Se deberá de establecer los
formal sobre el uso
por falta de política formal sobre el 5 1 Mediano lineamientos de seguridad para el
de computadoras
uso de computadoras portátiles uso de equipos portátiles.
portátiles
125
Almacenamiento no Robo de planos digitales de panales Se deberá verificar el retiro de
5 1 Mediano
protegido por Almacenamiento no protegido equipos informáticos
Falta de
información
Ausencia o
Mal uso de información de las
insuficiencia de
estaciones de trabajo que cuentan
lineamientos Se deberá colocar cláusulas de
planos digitales de panales por
Mal uso de (concernientes a la seguridad en los contratos y hacer
Ausencia o insuficiencia de 5 1 Mediano
información seguridad de la firmar acuerdos de confidencialidad
lineamientos (concernientes a la
información en a todos los empleados
seguridad de la información en
contratos con
contratos con empleados)
empleados)
126
Mal uso de información de las
Falta de
estaciones de trabajo que contienen
procedimiento de Se deberá de implementar una
planos digitales de panales por Falta
rehúso y eliminación 5 2 Alto directiva de rehúso y eliminación
de procedimiento de rehúso y
segura de equipos y segura de medios.
eliminación segura de equipos y
medios
medios
de la contraseña del planos digitales de panales por Mala 5 2 Alto cumplimiento de la directiva de
equipo
127
Infección de Códigos maliciosos (ej.
Se deberá de verificar que las
Virus, bomba lógica, troyano) en
estaciones de trabajo que contienen
Falta de antivirus estaciones de trabajo que contienen 5 1 Mediano
planos digitales de panales cuenten
planos digitales de panales por Falta
con antivirus
de antivirus
de conciencia de seguridad
humano
128
Mal funcionamiento de las Se deberá de tener un plan de
equipo
humano
Uso no No hacer "logout" de trabajo que contienen planos Política en el AD, la cual bloquee las
autorizado de cuando se sale de la digitales de panales por No hacer 5 1 Mediano estaciones de trabajo que contienen
las estaciones estación de trabajo "logout" cuando se sale de la planos digitales de panales a los 5
Las estaciones de
contraseña
conciencia de seguridad
129
Ausencia o
insuficiencia de
contratos con
empleados)
humano
equivocada de estaciones de trabajo que contienen 5 1 Mediano los permisos de acceso a las
130
Asignación equivocada de derechos
de acceso
131
AI-4 Software de desarrollo de planos de panales.
Nombre
información / Activo de
información
Mal
Mal funcionamiento del
funcionamient Software desfasado Se deberá de verificar las versiones
software de ingeniería
o del software por vigencia del software de ingeniería y de
por software desfasado
Software tecnológica y sin 5 2 Alto encontrarse alguno que se encuentre
por vigencia tecnológica
Software de especializad soporte por parte del desfasado tecnológicamente, se
y sin soporte por parte
desarrollo o en Significativ fabricante deberá de migrar.
AI-4 1 2 3 del fabricante
de planos de actividades o
Indisponibilidad del
Indisponibilida Software desfasado
software de ingeniería
d del Software por vigencia
por software desfasado
tecnológica y sin 4 1 Bajo
por vigencia tecnológica
soporte por parte del
y sin soporte por parte
fabricante
del fabricante
132
Indisponibilidad del Se deberá de verificar que solo el
Indisponibilidad del
Se deberá de verificar que solo el
Uso incorrecto del software de ingeniería
5 1 Mediano personal capacitado y autorizado
software por uso incorrecto del
tenga acceso al software de ingeniería
software
Acceso no autorizado al
Se deberá de verificar que solo el
Acceso no Incorrecta software de ingeniería
5 1 Mediano personal autorizado tenga acceso al
autorizado al configuración por incorrecta
software de ingeniería
sistema configuración
Acceso no autorizado al
133
AI-5 Software de autenticación de directorio activo.
Nombre
información / activo de
información
Falta de
Hacking del Software de
mecanismos de Se deberá de realizar análisis de
Servidores por falta de
configuración de 5 1 Mediano la configuración del Software de
Software de mecanismos de configuración
seguridad del Servidores
almacenamiento de seguridad del equipo
equipo
Software de de cuentas de
Falta de
autenticación usuario
AI-5 1 2 3 Significativo Hacking afinamiento en los Hacking del Software de
de directorio registradas en
mecanismos de Servidores por falta de Se deberá de realizar análisis de
activo. la fábrica de
seguridad del afinamiento en los 5 1 Mediano la configuración de los equipos de
radiadores
equipamiento de mecanismos de seguridad seguridad perimetral
fortaleza.
seguridad perimetral
perimetral
Se deberá de capacitar al
Hacking del Software de
Mala administración personal sobre la directiva de
Servidores por mala 5 1 Mediano
de claves contraseñas y la política de
administración de claves
seguridad de la información
134
Hacking del Software de Se deberá de capacitar al
Falta de conciencia
Servidores por falta de 5 1 Mediano personal sobre la política de
de seguridad
conciencia de seguridad seguridad de la información
Se deberá de verificar la
Hacking del Software de
Falta actualización instalación de Parches y
Servidores por falta 5 1 Mediano
del Sistema Actualizaciones en el Software de
actualización del Sistema
Servidores
Infección de códigos
Se deberá de verificar la
Falta actualización maliciosos (ej. Virus, bomba
instalación de Parches y
del Software de lógica, troyano) en el Software 5 2 Alto
Actualizaciones en el Software de
Servidores (parche) de Servidores por falta de
Servidores
actualización (parche)
Infección de códigos
antivirus actualizado
Infección de códigos
conciencia de seguridad
135
Se deberá de verificar que solo el
Mal funcionamiento del
personal capacitado tenga acceso
Error humano Software de Servidores por 5 1 Mediano
a la administración del Software
error humano
de Servidores
Error humano Software de Servidores por 5 1 Mediano personal capacitado tenga acceso
136
contraseñas y la política de
seguridad de la información
Falta de
Fuga de información del
procedimiento Se deberá elaborar lineamientos
Software de Servidores por
formal de altas, que indiquen la verificación de los
falta de procedimiento formal 5 1 Mediano
bajas y usuarios con acceso al software
de altas, bajas y
modificaciones de de los servidores
modificaciones de usuario
usuario
137
AI-6 Información digital de los profesionales de diseño de panales.
Nombre
información / activo de
información
Error humano Software de Aplicaciones por 5 1 Mediano personal capacitado tenga acceso al
Mal Software
Mal funcionamiento del Se deberá de verificar las versiones
funcionamiento desfasado por
Software de Aplicaciones por del Software de Aplicaciones y de
del software vigencia
Archivos software desfasado por 5 2 Alto encontrarse alguno que se encuentre
tecnológica y sin
Información digitales vigencia tecnológica y sin desfasado tecnológicamente, se
soporte por parte
digital de los almacenados soporte por parte del fabricante deberá de migrar.
del fabricante
AI-6 profesionales en unidades 1 2 3 Significativo
Indisponibilidad del Software de
de diseño de de red o en Software
Aplicaciones por Software 4 1 Bajo
panales. discos obsoleto
obsoleto
magnéticos
Software
Indisponibilidad Indisponibilidad del Software de
desfasado por
del Software Aplicaciones por software
vigencia
desfasado por vigencia 4 1 Bajo
tecnológica y sin
tecnológica y sin soporte por
soporte por parte
parte del fabricante
del fabricante
138
Se deberá de verificar que solo el
Indisponibilidad del Software de
Error humano 5 1 Mediano personal capacitado y autorizado tenga
Aplicaciones por error humano
acceso al Software de Aplicaciones
Error humano Software de Aplicaciones por 5 1 Mediano personal autorizado tenga acceso al
personal personal
139
AI-7 Información de actividad diaria del personal de planta.
Nombre
información / activo de
información
actualización del cámaras de Seguridad por falta 5 1 Mediano actualizaciones del software del
140
Acceso no autorizado al Sistema Se deberá de concientizar al personal
Error humano de cámaras de Seguridad por 5 1 Mediano sobre el uso adecuado del sistema de
141
AI-8 Infraestructura de área.
Nombre
Código del
completo del
subproceso Descripción Nivel de
subproceso / C I D Valor CID Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad Controles
/ activo de del activo riesgo
activo de
información
información
Incendio en la
Capacitación de Se deberá de capacitar al personal
Infraestructura por
seguridad 5 1 Mediano sobre medidas de seguridad y
Capacitación de seguridad
insuficiente manipulación de extintores
insuficiente
Incendio en la
Infraestructura Incendio Se deberá de capacitar al personal
Inadecuado Infraestructura por
física donde 5 1 Mediano sobre medidas de seguridad y
ambiente físico Inadecuado ambiente
Infraestructura se encuentra manipulación de extintores
AI-8 3 2 2 Significativo físico
de Área la oficina de
Incendio en la
los Falta de técnicas
Infraestructura por Falta Se deberá de capacitar al personal
colaboradores apropiadas para
de técnicas apropiadas 5 1 Mediano sobre medidas de seguridad y
controlar algún
para controlar algún manipulación de extintores
evento catastrófico
evento catastrófico
Inundación de la
inundaciones
142
Inundación de la
Falta de técnicas
Infraestructura por Falta
apropiadas para
de técnicas apropiadas 4 1 Bajo
controlar algún
para controlar algún
evento catastrófico
evento catastrófico
143
AI-9 Servicio de Energía Eléctrica.
Nombre
Código del
completo del Nivel
Probabilidad
subproceso / Descripción del
Impacto
subproceso / C I D Valor CID Amenaza Vulnerabilidad Descripción del riesgo de Controles
activo de activo
activo de riesgo
información
información
144
AI-10 Infraestructura de Red.
Nombre
Código del
completo del
subproceso Descripción del Descripción del Nivel de
subproceso / C I D Valor CID Amenaza Vulnerabilidad Impacto Probabilidad Controles
/ activo de activo riesgo riesgo
activo de
información
información
Infraestructura Conexión de la Error Humano Infraestructura de red 5 1 Mediano personal capacitado manipule la
AI-10 3 3 3 Catastrófico
de red red interna por Error Humano Infraestructura de red
Falla mayor de la
Se deberá contar con un plan de
Cableado Infraestructura de red
mantenimiento de la Infraestructura de
desordenado sin por Cableado 5 2 Alto
red y se deberá de verificar
rotulado desordenado sin
periódicamente su ejecución
rotulado
145
Hacking de la Se deberá contar con un plan de
Hacking de la
equipamiento
146
AI-11 Grupo electrógeno.
Nombre
Código del
completo del
Probabilidad
subproceso Descripción Nivel de
Impacto
subproceso / C I D Valor CID Amenaza Vulnerabilidad Descripción del riesgo Controles
/ activo de del activo riesgo
activo de
información
información
147
Se deberá de realizar pruebas
Falta de Mal funcionamiento del equipo del
periódicas del Grupo Electrógeno
mecanismos de Grupo Electrógeno por Falta de 5 1 Mediano
para verificar que se encuentran en
monitoreo mecanismos de monitoreo
buen estado.
148
AI-12 Profesionales.
Nombre
Código del
completo del
subproceso Descripción del Nivel de
subproceso / C I D Valor CID Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad Controles
/ activo de activo riesgo
activo de
información
información
seguridad de la
Capacitación Se deberá de capacitar al personal
información de los
de seguridad 5 3 Extremo sobre temas relacionados a
Profesionales por
Poco insuficiente seguridad de la información
Capacitación de
compromiso
seguridad insuficiente
con la
Poco compromiso con la
seguridad de
seguridad de la
la información Falta de Se deberá de capacitar al personal
Colaboradores información de los
conciencia de 5 3 Extremo sobre temas relacionados a
encargados de Profesionales por Falta
seguridad seguridad de la información
AI-12 Profesionales realizar las 2 3 2 Significativo de conciencia de
proceso Divulgación de
Ruptura en la
149
Ingeniería social del
seguridad insuficiente
150
4.3. DESARROLLO DE LAS PRUEBAS
Las pruebas de implementación del SGSI vienen dadas por el desarrollo de las
sección anterior.
Sin embargo, es necesario tener en cuenta los riesgos que tiene este proyecto, que
a continuación se presentan:
siguiente:
de la información.
Fortaleza.
Radiadores Fortaleza.
Fortaleza.
151
• Directiva de uso de Contraseñas en el acceso a los equipos informáticos y
PROPUESTA
apreciar lo siguiente:
152
• La aceptación de controles por parte de los usuarios fue penosa y causaron
activos de información.
terceros.
• La implementación temprana del SGSI redujo los riesgos, pero la poca cultura
cambio. Por otro lado, la propuesta pretende una mejora continua a largo
global de 5.
153
Gerente general
Jefe de administración
Jefe de RR.HH.
Jefe de planta
Jefe de ventas
Sub contador
Coordinador de compras
Coordinador de almacén
industrial
Supervisor de planta
automotriz
Supervisor de planta
mantenimiento
Supervisor de
Coordinador de marketing
calidad
Supervisor de control de
integrado de gestión
Coordinador de sistema
Supervisor soma
Si No
¿Conoce el
termino SGSI? si si si si si si si si si si si si si si si 15 0
¿Su área cuenta
o participa en el
SGSI? si si si si si no no no si si si no si si no 10 5
¿Conoce los
controles de
seguridad? si si si si si si si si si si si si si si si 15 0
¿Tienen
identificados sus
activos de
información? no no no no no no no no no no no no no no no 0 15
¿Cuenta con
políticas de
seguridad de
información? si si si si si si si si si si si si si si si 15 0
¿tiene controles
o políticas de
contraseñas? si si si si si si si si si si si si si si si 15 0
¿Se realizan
mantenimiento
preventivo a los
equipos
informáticos de
su área? si si si si si si si si si si si si si si si 15 0
¿Ha tenido
incidentes de
seguridad
informática? si si si si si si si si si si si si si si si 15 0
¿ha tenido
incidentes de
seguridad de
información? no no no no no no no no no no no no no no no 0 15
154
Entrevista actual
20
15
10
5
0
1 2 3 4 5 6 7 8 9
si no
j. Clasificando documentos ( )
k. Otros, Especificar…………………………………… ( )
l. Ninguno. ( )
F. NINGUNO. 0
E. OTROS, ESPECIFICAR 0
D. CLASIFICANDO DOCUMENTOS 0
C. LOGUEO A SU CORREO… 0.00
B. APOYO EN EL USO DE WORD, EXCEL, … 4.00
A. POR LLENAR O ELABORAR UN… 4.00
0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50 4.00 4.50
laboral?
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
informáticos:
l. Otros, Especifique………………………………………….. ( )
156
3. ¿Siente seguridad en las oficinas donde existen equipos informáticos dentro las
instalaciones de la fábrica?
SI ( ) NO ( )
NO ( ) 1
SI ( ) 6
0 1 2 3 4 5 6 7
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
157
6. ¿Ha recibido capacitación para el uso de un extintor?
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
Fortaleza ( )
Fortaleza ( )
g. Manuales de extintor ( )
h. Internet ( )
oficinas y áreas?
SI ( ) NO ( )
0 1 2 3 4 5 6 7 8
8. Cuándo su PC falla ¿ha tratado de manipular las conexiones del equipo para
tratar de corregirlo?
SI ( ) NO ( )
158
Cuándo su PC falla ¿ha tratado de manipular las
conexiones del equipo para tratar de corregirlo?
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
9. ¿Usted se siente responsable por el uso del equipo informático que se le tiene
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
10. ¿Analiza con el antivirus todos los dispositivos de almacenamiento que conecta
al equipo informático?
Si ( ) A veces ( ) Nunca ( )
NUNCA ( ) 0
A VECES ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
159
11. Cuándo detecta una infección en el equipo de computo de la Fábrica de
i. Elimina el archivo ( )
l. Otros, Especificar……………………………….. ( )
F. OTROS, ESPECIFICAR 0
E. NO SE USARLO Y NO HARE NADA 0
D. SI ES UN DISPOSITIVO EXTRAÍBLE, LO… 0
C. ELIMINA EL ARCHIVO 1
B. ANALIZA EL EQUIPO CON ANTIVIRUS 4
A. DEPENDE DE LA ACCIÓN AUTOMÁTICA … 2
0 0.5 1 1.5 2 2.5 3 3.5 4 4.5
12. ¿Usa la misma contraseña para todos los sistemas que brinda la Fábrica de
Radiadores Fortaleza?
SI ( ) NO ( )
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
160
13. Tu contraseña te recuerda:
f. Nombres ( )
g. Su cumpleaños ( )
j. No especifica ( )
Tu contraseña te recuerda:
E. NO ESPECIFICA 7
D. DATOS DE ALGÚN FAMILIAR 0
C. NÚMERO TELEFÓNICO (DE CASA O… 0
B. SU CUMPLEAÑOS 0
A. NOMBRES 0
0 1 2 3 4 5 6 7 8
SI ( ) NO ( )
…………………………………………………………………………………….
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
161
15. Su contraseña de su correo electrónico de la empresa la comparte con
d. Alguien de mi oficina ( )
e. Un familiar ( )
f. Otros, Especifique……………………………………….… ( )
C. OTROS, ESPECIFIQUE… 0
B. UN FAMILIAR 0
A. ALGUIEN DE MI OFICINA 0
Fortaleza?
0 1 2 3 4 5 6 7 8
e. Entre 1 a 10 ( )
f. Entre 10 a 20 ( )
g. 20 a más ( )
162
¿Cuántos correos no deseados reciben al día?
0 1 2 3 4 5 6 7
Fortaleza?
SI ( ) NO ( )
NO ( ) 6
SI ( ) 1
0 1 2 3 4 5 6 7
acceso de internet?
SI ( ) NO ( )
NO ( ) 0
SI ( ) 1
163
19. ¿ha recibido charlas acerca de Seguridad de la Información?
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
e. Medios impresos ( )
f. Presencial ( )
g. Capacitaciones programadas ( )
D. OTROS, ESPECIFICAR: 0
C. CAPACITACIONES PROGRAMADAS 7
B. PRESENCIAL 0
A. MEDIOS IMPRESOS 0
0 1 2 3 4 5 6 7 8
164
21. ¿Qué acciones ha realizado en su PC?
6. Instalar programas en su PC ( )
9. Otros, Especificar………………………………………….. ( )
10. Nada ( )
5. NADA 7
4. OTROS, ESPECIFICAR 0
3. DESMONTAR SU PC POR ALGUNA FALLA 0
2. LIMPIAR SU PC (TODAS SUS PARTES) 0
1. INSTALAR PROGRAMAS EN SU PC 0
0 1 2 3 4 5 6 7 8
D. OTROS, ESPECIFIQUE 0
C. SOLICITA AYUDA AL PERSONAL DEL… 7
B. LE DIGO A MI COMPAÑERO QUE LO… 0
A. LO ARREGLO HASTA DONDE PUEDO 0
0 1 2 3 4 5 6 7 8
165
23. Su equipo de cómputo está seguro ante ataques, por ejemplo:
equipos cercanos ( )
h. Otros, Especifique…………………………………… ( )
OTROS 0
C. FALTA DE UN EXTINTOR O… 0
B. INFECCIÓN POR VIRUS 1
A. ACCESO A INFORMACIÓN PERSONAL 6
0 1 2 3 4 5 6 7
g. Por teléfono ( )
i. Me acerco a ATI ( )
l. Ninguna ( )
NINGUNA 0
E. BUSCO OTRA MANERA, ESPECIFICAR 0
D. ESPERO A MESA DE AYUDA 0
C. ME ACERCO A ATI 1
B. POR MAIL A ATI 1
A. POR TELÉFONO 5
0 1 2 3 4 5 6
ASPECTOS ADMINISTRATIVOS
167
5.1. CRONOGRAMA DE ACTIVIDADES.
actividades es el siguiente:
CRONOGRAMA DE ACTIVIDADES
Tabla 72: Cronograma de actividades. Fuente: Elaboración Propia basado En el Ciclo de Deming
168
5.2. PRESUPUESTO Y FINANCIAMIENTO.
Costos Beneficios
internacional
implementación
información
Tabla 73: Análisis costo beneficio; Modelo Genérico ISOTOOLS, www.iso27000.es. 15 enero
2008
169
Después de implementar el proyecto.
información
información
panales.
aceptados de TI desvían.
170
Costo antes del proyecto – (implementación del proyecto + costo después del
proyecto) = Beneficio
al implementar el SGSI.
Tabla 77: Justificación del gasto. Fuente: Elaboración Propia basado En el Ciclo de
Deming
5.3. RESPONSABLES.
integrantes:
de la información
171
• Un oficial de Seguridad de la Información, con experiencia y certificado en la
172
CONCLUSIONES
SGSI viene acompañada del compromiso de los jefes de cada área ya que son
173
controles del SGSI. Esto influyó al cambio de comportamiento en seguridad de
RECOMENDACIONES
la responsabilidad a la gerencia.
174
ANEXOS
175
A1. MATRIZ DE CONSISTENCIA
RADIADORES FORTALEZA”
seguridad de la Radiadores Fortaleza. Fábrica de Radiadores ligados a activos de cada área. Cantidad de
176
SECUNDARIOS Determinar y elaborar de la Información Cantidad de
¿Cómo influye la políticas, capacitaciones influye positivamente Gastos producidos por Incidentes
Sistema de Fortaleza.
177
Gestión de
Seguridad de la
Información en el
control de la
cultura
organizacional y
concientización
en seguridad de
la información en
la Fábrica de
Radiadores
Fortaleza?
Tabla 78: Matriz de consistencia. Fuente: Elaboración Propia Basado en el ISO 27000
178
A2. MODELO DE ENTREVISTA
179
A3. MODELO DE CUESTIONARIO A COLABORADOR
Cargo: …………………………………………………………………
d. Clasificando documentos ( )
e. Otros, Especificar…………………………………… ( )
f. Ninguno. ( )
laboral?
SI ( ) NO ( )
informáticos:
f. Otros, Especifique………………………………………….. ( )
4. ¿Siente seguridad en las oficinas donde existen equipos informáticos dentro las
instalaciones de la fábrica?
SI ( ) NO ( )
180
5. ¿Existen extintores cerca de los equipos informáticos?
SI ( ) NO ( )
SI ( ) NO ( )
SI ( ) NO ( )
Fortaleza ( )
Fortaleza ( )
c. Manuales de extintor ( )
d. Internet ( )
oficinas y áreas?
SI ( ) NO ( )
14. Cuándo su PC falla ¿ha tratado de manipular las conexiones del equipo para
tratar de corregirlo?
SI ( ) NO ( )
15. ¿Usted se siente responsable por el uso del equipo informático que se le tiene
SI ( ) NO ( )
181
16. ¿Analiza con el antivirus todos los dispositivos de almacenamiento que conecta
al equipo informático?
Si ( ) A veces ( ) Nunca ( )
c. Elimina el archivo ( )
f. Otros, Especificar……………………………….. ( )
19. ¿Usa la misma contraseña para todos los sistemas que brinda la Fábrica de
Radiadores Fortaleza?
SI ( ) NO ( )
a. Nombres ( )
b. Su cumpleaños ( )
e. No especifica ( )
182
21. ¿Ha cambiado alguna vez la clave de acceso a su correo electrónico de la
SI ( ) NO ( )
…………………………………………………………………………………….
a. Alguien de mi oficina ( )
b. Un familiar ( )
c. Otros, Especifique……………………………………….… ( )
Fortaleza?
a. Entre 1 a 10 ( )
b. Entre 10 a 20 ( )
c. 20 a más ( )
Fortaleza?
SI ( ) NO ( )
acceso de internet?
SI ( ) NO ( )
183
26. ¿ha recibido charlas acerca de Seguridad de la Información?
SI ( ) NO ( )
SI ( ) NO ( )
a. Medios impresos ( )
b. Presencial ( )
c. Capacitaciones programadas ( )
a. Instalar programas en su PC ( )
d. Otros, Especificar………………………………………….. ( )
e. Nada ( )
184
c. Falta de un extintor o contramedidas de los
equipos cercanos ( )
d. Otros, Especifique…………………………………… ( )
a. Por teléfono ( )
c. Me acerco a ATI ( )
f. Ninguna ( )
185
A4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1. PRESENTACIÓN
la normatividad vigente.
186
La Política de Seguridad de la Información la Fábrica de Radiadores Fortaleza,
Fortaleza.
Radiadores Fortaleza.
3. ALCANCE
laboral, modalidad de contratación o nivel jerárquico; así como los externos que
en la gestión de los procesos de la Fábrica, así como sus sistemas y datos asociados
4. BASE LEGAL
187
5. PRINCIPIOS
Los siguientes principios constituyen los fundamentos sobre los que se basa
Fortaleza.
5.1 Confidencialidad
5.2 Integridad
sea alterada.
5.3 Disponibilidad
5.4 Propiedad
188
5.5 Auditabilidad
posterior.
5.6 Autenticación
autenticación.
6. LINEAMIENTOS
autorizados.
autorizar los perfiles y privilegios para los usuarios que necesiten acceder a
evaluados.
189
d) Los accesos a los recursos informáticos deben tener un medio de
El acceso de los usuarios al servicio de internet, debe ser otorgado solo para
190
b) Todo el personal, indistintamente de su régimen laboral o modalidad de
disponibilidad e integridad.
efectiva ante algún posible evento que pudiera afectar la continuidad informática
y disponibilidad de la información.
191
contratación o nivel jerárquico, reporte, ocurrencias de seguridad, incidente
7. RESPONSABILIDADES
encargado.
192
8. DIFUSIÓN
9. REVISIONES
10. SANCIONES
Radiadores Fortaleza.
193
A5. DIRECTIVA DE LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN
I. OBJETIVO
II. FINALIDAD
III. ALCANCE
V. DISPOSICIONES GENERALES
de la Información.
194
VI. DISPOSICIONES ESPECIFICAS
información.
Las directivas y/o políticas que estén afectas al ISO/IEC 27001, deben
27001 Cl A.5.1.2]
Radiadores Fortaleza.
195
• El Comité de Gestión de Seguridad de la Información debe
Información.
conformado por:
ausencia del presidente del comité este debe ser presidido por
agenda.
196
de Organización y Funciones (MOF) de la Fábrica de Radiadores
Fortaleza.
corresponda).
de información.
197
• Las áreas con la asesoría del Oficial de Seguridad de la
información confidencial.
Cl A.6.1.5]
198
que utiliza un dispositivo móvil de la Fábrica de Radiadores
Fortaleza.
199
sujeto a autenticación con un nivel adecuado de protección y
profesionales.
200
6.3.2. Términos y Condiciones de Empleo [ISO 27001 Cl A.7.1.2]
de la información.
leyes aplicables.
Radiadores Fortaleza.
201
• Se deben realizan charlas de inducción y sensibilización al
Cl A.7.3.1]
202
debe trabajar conjuntamente con el jefe del trabajador cesante y,
Activos de Información.
203
• Para el desarrollo del Inventario de Activos de Información se
Gestión de Riesgos.
se procesen.
funciones asignadas.
204
información de la Fábrica de Radiadores Fortaleza sea transferida
de la misma.
pérdida de imagen.
Fortaleza.
impacto en la empresa.
205
los activos de información lleven un rótulo que identifique en qué
almacenamiento.
206
transportada en forma segura y controlada previa a su salida. Esto
Fortaleza.
de acceso a la información.
207
6.5.2. Acceso a redes y servicios de red [ISO 27001 Cl A.9.1.2]
formales.
208
cualquier actividad no autorizada en la red o sistemas
informáticos.
formales.
A.9.2.3]
documentos formales.
A.9.2.5]
no correspondan.
de área.
209
• La Fábrica de Radiadores Fortaleza debe establecer que los
información.
formales.
A.9.4.5]
modificación.
210
6.6. Criptografía (ISO 27001-A.10)
A.10.1.1]
casos:
de Radiadores Fortaleza.
211
6.7. Seguridad Física y Ambiental (ISO 27001-A.11)
Fortaleza.
procedimiento adecuado.
Cl A.11.1.4]
212
• Las áreas deberán contar con equipos apropiados de seguridad
actualizado.
tecnológicos.
mecanismo de seguridad.
213
• Se deberán instalar sistemas de protección eléctrica en el Centro
perdida de información.
214
cumplir con todos los requisitos impuestos por las pólizas de
Fortaleza.
modelo y serie).
215
dispositivos que contengan información y archivos de la Fábrica
de Radiadores Fortaleza.
su eliminación o reutilización.
216
6.7.12. Equipos de usuarios no atendidos [ISO 27001 Cl A.11.2.8]
confidencial.
A.12.1.1]
217
de los activos y presentar los cambios al comité de seguridad de
información.
información.
informáticos actuales.
Fortaleza.
218
de evitar errores de integridad de la información utilizada en la
deshabilitado.
Fortaleza.
sea requerida.
219
• La Fábrica de Radiadores Fortaleza deberá establecer los
resguardada.
periódica de auditoría.
Radiadores Fortaleza.
220
• Los registros de auditoría deberán protegerse contra su alteración
de la Información.
Radiadores Fortaleza.
Fortaleza.
A.12.5.1]
221
• La instalación de software en sistemas operacionales deberá
asociado.
A.12.7.1]
Fortaleza.
222
• Las auditorias serán coordinadas con el Oficial de Seguridad
SGSI.
información.
Radiadores Fortaleza.
223
parches y recomendaciones de los fabricantes para asegurar los
Radiadores Fortaleza.
224
advertencia en cuanto a su uso y autorizaciones al respecto,
resguardo de la información.
Fortaleza.
de la empresa. .
A.13.2.4]
para que exista una previsión sobre la calidad del servicio recibida
225
6.10. Adquisición, Desarrollo y Mantenimiento de Sistemas (ISO 27001-
A.14)
27001 Cl A.14.1.2]
Radiadores Fortaleza.
Radiadores Fortaleza.
226
➢ Se debe elaborar, mantener y aplicar un procedimiento para
calidad.
A.14.2.2]
27001 Cl A.14.2.4]
227
• Los cambios en el software deberán limitarse a los necesarios y
Fortaleza.
A.14.2.5]
revisarse periódicamente.
de software.
228
• Los cambios se deben regir por los lineamientos formalmente
producción.
proveedores:
229
anterior, la Fábrica de Radiadores Fortaleza deberá ser
Fortaleza.
excepción.
necesidades justificadas.
equipos tecnológicos.
mecanismo de seguridad.
230
equipo de comunicaciones, medios de almacenamiento y
Radiadores Fortaleza.
Terceros.
Cl A.15.2.1]
A.15.2.2]
cambios.
231
• Los terceros deberán gestionar los cambios siguiendo los
27001-A.16)
A.16.1.2]
Información.
Cl A.16.1.3]
232
es necesario se deberá modificar las políticas de seguridad de la
información.
27001 Cl A.16.1.5]
233
mejoras en las acciones de control y las políticas de seguridad de
su acción.
Cl A.17.1.1]
234
elaborado con base en los lineamientos y requerimientos de la
pruebas.
235
• Se deberá contar con máquinas virtualizadas para operación
intelectual.
236
encontrar software ilegal, de ser encontrado, el usuario será
A.18.1.4]
de Radiadores Fortaleza.
27001 Cl A.18.2.1]
Cl A.18.2.2]
237
Radiadores Fortaleza son cumplidas en su totalidad, las reuniones
Reunión.
SGSI.
238
A6. DIRECTIVA DEL USO DE CONTRASEÑA EN EL ACCESO A LOS EQUIPOS
RADIADORES FORTALEZA
I. OBJETIVO
II. FINALIDAD
información.
III. ALCANCE
modalidad de contratación o nivel jerárquico; así como por las personas naturales
4.1. Ley N° 27309, Ley que incorpora los Delitos Informáticos al Código Penal.
239
V. DISPOSICIONES GENERALES
5.1. La presente Directiva regula el correcto uso de las contraseñas y del acceso
Radiadores Fortaleza.
seguridad.
5.3. Para cumplir este objetivo nos basamos en la norma ISO 27002 – control de
accesos”.
contraseñas de calidad.
programas utilitarios que podrían ser capaces de pasar por alto los
controlarse estrictamente.
240
• A.9.4.5 Control de acceso al código fuente de los programas – Control: El
6.1.1 Todos los equipos (PC, laptop, tableta, teléfono, etc.) en uso, contarán con
confidencialidad.
6.1.3 Los usuarios de los equipos deben seguir las buenas prácticas de
las contraseñas en por ejemplo papel, archivo digital con texto plano u otros
6.1.5 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
241
6.1.6 La contraseña debe ser cambiada periódicamente, pudiendo ser
6.1.8 Cuando el usuario abandone su equipo, deberá bloquearlo para evitar que
6.2.2 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
confidencialidad.
242
6.2.4 La contraseña debe ser cambiada periódicamente, pudiendo ser
contraseña es de 3 meses.
desbloquear la contraseña.
6.2.8 Tener cuidado con los navegadores Web que ofrecen recordar la
información
una contraseña.
6.3.2 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
243
• No usar nombres, números ni fechas de eventos relacionados con el
usuario.
6.3.4 Los usuarios de los sistemas de información deben seguir las buenas
requerimientos de su trabajo.
de ellas.
6.3.8 No se debe ingresar, modificar y/o eliminar data por fuera de la aplicación;
244
6.3.12 Se debe revisar periódicamente los derechos de acceso de los usuarios y
permanecer en inactividad.
6.3.15 Evitar usar la misma contraseña en cuentas distintas; por ejemplo, para
6.4.1 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
6.4.2 Los usuarios de los servidores deben seguir las buenas prácticas de
245
las contraseñas en por ejemplo papel, archivo digital con texto plano u otros
6.5.1 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
6.5.2 Los usuarios de las bases de datos deben seguir las buenas prácticas de
las contraseñas en por ejemplo papel, archivo digital con texto plano u otros
246
6.5.4 Recién después de utilizar cinco (05) contraseñas diferentes se puede
6.5.6 Solo los administradores tienen acceso directo a las bases de datos; los
nominales.
6.5.8 Toda solicitud de acceso debe contar con la aprobación del Área de TI y
no autorizado.
registre los eventos relacionados con la seguridad, para impedir que los
247
debe implementarse un sistema de control de acceso automático o adoptar
acceso no autorizado.
registre los eventos relacionados con la seguridad, para impedir que las
248
A7. DIRECTIVA SOBRE EL USO DEL SERVICIO DE INTERNET EN LA FABRICA DE
RADIADORES FORTALEZA
I. OBJETIVO
fábrica de Radiadores Fortaleza; así como precisar los riesgos y establecer las
II. FINALIDAD
Definir los criterios que permitan establecer los niveles de acceso de navegación en
habilitado.
III. ALCANCE
modalidad de contratación o nivel jerárquico; así como por las personas naturales
4.1. Ley N° 27309, Ley que incorpora los Delitos Informáticos al Código Penal.
4.2. Ley N° 29139, Ley que modifica la Ley N° 28119, Ley que prohíbe el acceso
249
V. DISPOSICIONES GENERALES
de su dependencia.
niveles de acceso según las categorías comunes de trabajo que para fines
asignación de privilegios.
250
El detalle de acceso a cada NIVEL se describe en el Anexo 1: Cuadro de
categorías de navegación.
a. Los jefes de área o gerencia deben remitir su autorización para los niveles
su realización.
251
deberá remitir su solicitud mediante correo electrónico, dirigido a la ATI
y notificará su realización.
uso.
Tecnología de Información.
252
entre otros; relativos a estudios de capacitación y/o especialización,
Disposiciones Específicas.
carácter personal.
uso de la red.
autorizado.
de la presente Directiva.
h. Utilizar los servicios de Internet para otros fines distintos a los de interés
dañar su imagen.
253
m. Utilizar programas de mensajería en línea, salvo por orden expresa del
Jefe inmediato.
usuario.
de Red.
Fortaleza.
254
u. Acceder a sitios Web de “hacking” o sitios catalogados como inseguros
archivos de Internet.
aa. Efectuar llamadas telefónicas usando algún software para este propósito.
Para las restricciones del acceso a Internet la ATI deberá tomar en cuenta las
siguientes categorías:
255
b. Por seguridad: Páginas que pueden ocasionar un riesgo de mediano
las necesidades de las labores diarias, así como los servicios prestados
256
c. Sólo se podrá hacer uso de los servicios de Internet (navegación, correo
inmediato.
Gerencia.
Radiadores Fortaleza.
presente Directiva.
257
6.9. Uso del servicio de Intranet
interno.
de Intranet.
Fábrica.
258
directorios de archivos personales y cualquier otra información
Internet.
uso.
7.4. Es recomendable que los usuarios lean las políticas de privacidad de las
páginas Web que visite, las que informan a los usuarios sobre la
259
VIII. RESPONSABILIDADES
Internet.
autorizados.
servicio.
áreas interesadas.
260
ANEXO I
GRUPOS DE NAVEGACIÓN
NAVEGACIÓN
Análisis y clasificación
X X
de sitios web
Anuncios clasificados X X
Arte / Cultura X X X
Banners X X
Bienes Raíces X X
Buscadores de empleo X X X
Chat (IM/SMS) X
Compartido de medios X
Computación X X
Correo X X
Deporte / Recreación X
Educación X X X
Entretenimiento X
Finanzas X X X
Foros X X
Fotos y videos X
Gobierno / Contenido
X X X X
legal
Militar X X
Motores de búsqueda X X X
261
Negocios / Economía X X X
Noticias X X X
Oficina / Aplicaciones de
X X
negocios
Radio / Audio X
Redes sociales X X
Referencias X X
Religión X X
Restaurantes X
Salud X X X
Servidores de
X X
almacenamiento
Sitios de información
X
personal
Tecnología X X X
Tiendas / Compras X
Traductores X X X
Viajes X X X
Web hosting X X
262
ANEXO 2
DNI/Car
Categoría
Acción net Tipo de Ubicaci Funciona Direcci Fecha
Usuar Apellidos/No Car Cargo de de Fecha de Observac
N° Solicita de Contrat ón rio que ón/Ofici de
io mbre go Mantiene Navegació Solicitud ión
da extranje o Física Autoriza na Cese
n
ría
10
263
Leyenda:
Campo Detalle
CON: Contratado
NAVEGACIÓN NIVEL_1
NIVEL_2
NIVEL_3
NAVEGACIÓN
264
ANEXO 3
tabaco.
265
A 08. DECLARACIÓN DE APLICABILIDAD
266
GLOSARIO DE TERMINOS
vulnerable.
proceso.
Aceptación del riesgo. Evento que se acepta sin importar las consecuencias. En
Activo. La seguridad de la información determina todo bien con valor para una
organización.
de incidente.
la realidad de la organización.
Auditoría. Actividad independiente que muestra las evidencias del análisis del
267
no era certificable, la segunda versión fue publicada en 1998 esta especifica el
información.
genere errores.
magnitud y aceptación.
incidentes.
268
Incidente de seguridad de la información. Ocurrencia única que compromete a
la seguridad de la información.
Inventario de activos. Lista que debe de ser protegida, ésta identifica todos los
27002.
información.
implementados.
269
BIBLIOGRAFÍA
especializadas:
Fuentes escritas:
Fuentes virtuales:
270
• http://www.bib.uia.mx/tesis/pdf/014663/014663.pdf
• http://www.welivesecurity.com/la-es/2017/01/11/desarrollo-programa-de-
seguridad-informacion/
• https://www-935.ibm.com/services/pe/es/it-services/data-breach/data-breach-
statistics.html
• https://www-
935.ibm.com/services/us/en/security/infographic/cybersecurityindex.html
• http://www.eset-la.com/centro-prensa/prensa/2016
• http://www.eset-la.com/centro-prensa/articulo/2016/40-empresas-sufrio-ataque-
malware-eset-security-report/4290
• http://iso27000.es/sgsi.html
• http://www.csoonline.com/article/3149556/security/top-15-security-predictions-for-
2017.html#slide10
• https://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la
_informaci%C3%B3n
• http://www.ingeniaperu.com.pe/pe/servicio/sistemas-de-gestion-de-la-seguridad-
de-la-informacion-sgsi
• http://www.bureauveritasformacion.com/sistemas-de-gestion-de-seguridad-de-la-
informacion-ISO-27001-2013-1984.aspx
• https://www.isotools.org/2016/07/07/sistema-gestion-seguridad-la-informacion-
basado-la-norma-iso-27001/
• https://www.isotools.org/2015/10/05/como-implantar-eficazmente-la-norma-iso-
27005/
• http://www.isotools.pe/iso-27005-analisis-de-riesgos/
271