ETAPA 1

EDWINSON JAVIER TRIANA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2020

1
 ETAPA 1

EDWINSON JAVIER TRIANA

EDUARD ANTONIO MANTILLA

Director de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
FACATATIVÁ - CUNDINAMARCA
2020

2
 CONTENIDO

INTRODUCCIÓN 4

OBJETIVOS 6
OBJETIVOS GENERAL 6
OBJETIVOS ESPECÍFICOS 6

DESARROLLO DEL TRABAJO 6

CONCLUSIONES 3

BIBLIOGRAFÍA 4

3
 INTRODUCCIÓN

La familia ISO 27000 son unas normas regulatorias que permiten obtener resultados
exitosos de buenas prácticas en la ejecución del sistema de gestión de seguridad
de la información (SGSI), es por ello que se plantea un conocimiento amplio de
cómo se puede realizar una contención eficiente a partir de políticas, matrices de
impactos de riesgos, y auditorías para que haya un funcionamiento adecuado de la
protección de datos de la organización y los clientes.

4
 JUSTIFICACIÓN

El presente trabajo tiene como finalidad obtener el conocimiento sobre la familia de

normas 27000, es por ello que se ejecuta el desarrollo de diferentes métodos, para
dar un análisis conceptual de cómo la interpretación correcta puede obtener grandes
beneficios para una compañía que quiere atraer sus clientes y seguir creciendo en
su patrimonio.

5
 OBJETIVOS

1.1 OBJETIVOS GENERAL

Conocer la familia de las normas ISO 27000

1.2 OBJETIVOS ESPECÍFICOS

- Realizar mapa conceptual con la familia de las ISO 27000.

- Analizar y dar solución al problema planteado en la guía de actividades.

- Dar oportunidades de mejora a nivel de seguridad que puede obtener la

empresa del problema planteado.

6
 DESARROLLO DEL TRABAJO

1. Mapa conceptual en donde identifique las series de la familia ISO 27000.

1
 2. Revisión y justificación de las normas de la familia ISO 27000
necesarias para dar solución al problema propuesto.

Las normas ISO 27000, proporcionan un valor importante en el crecimiento de

nuevas metodologías del desarrollo de infraestructura de seguridad de la
información y protección de datos, es por ello que las compañías deben acogerse a
estos reglamentos que permitan la tranquilidad del cliente, por tal motivo realiza una
serie de recomendaciones para que la compañía RTT implemente:

Los servidores son el pilar fundamental de toda compañía, ya que es en esos donde
se corren aplicaciones, servicios corporativo o core de la compañía, sin embargo,
es muy mala práctica tener un servidor con todas las aplicaciones, cuentas de
usuarios, correos electrónicos y gestión de red en el mismo componente, es por ello
que se debe realizar la implementación de un sistema de seguridad informática, que
permita tener controles apropiados de las aplicaciones y redes de
telecomunicaciones.

Los riesgos en las compañías son altos, es por ello que no se pueden tener cuentas
genéricas, y las cuentas que son independientes deberán contar con una longitud
predeterminada por las políticas de seguridad, y un periodo de caducidad
correspondiente determinado por la organización, ya que la Norma ISO 27002
obedece a que se debe obtener un control de acceso, y un cumplimiento con las
normas de SGI

Cuando se realiza una contratación externa para el desarrollo de páginas web, se

debe tener todos los controles necesarios para garantizar la seguridad de la
plataforma de acceso a internet, es por ello que bajo la norma 27001 y 27002 se
deben obtener una implementación limpia, que permita operar, supervisar,
mantener y revisar de manera constante, para que no se vea comprometida la
seguridad del servidor en la cual está publicado el servicio, y como lo especifica la
ISO 27007 se debe hacer auditorias constantes para garantizar la seguridad de la
web.

Los canales ADSL representan un gran riesgo para las organizaciones, ya por estos
viaja información confidencial de voz y datos, las cuales no deberían estar
conectados entre sí, y por otro lado el Router como su nombre lo dice, es un
enrutador, y no es representado como un Firewall o un cortafuegos que tenga firmas
de IPS y puedan contener las amenazas provenientes de internet, es por ello que el

1
server y las máquinas son vulnerables a los hackers independientemente que las
máquinas tengan un antivirus actualizado, por ende como lo indica la ISO 27005 se
debe obtener una matriz de riesgo, para poder actuar ante esta posible fuga de
información por personal ajeno que se pueda presentar.

Las copias de seguridad o los backups hacen parte del control diario que se tiene
de una compañía, ya que esta información es importante en caso de que se
presente una falla con los servidores, y haya que realizar una restauración del
backup, sin embargo no es buena práctica almacenarlas dentro de la misma
infraestructura física, ya que se pueden presentar diferentes episodios que puedan
hacer que esta información sea extraviada, por ende es importante plantear una
política de seguridad, que permita obtener controles de acceso solo a personal
autorizado a la caja fuerte, y así poder minimizar los riesgos en la operación.

Las normas ISO representan una variada de controles que permiten a las
compañías y a los clientes estar seguros de sus datos, y que no van a estar en
manos equivocadas, es por ello que cuando una compañía se certifica en alguna de
las normas de la ISO 27000, tienen un plus ante otras organizaciones y los clientes,
ya que se garantiza que el riesgo de pérdida de datos se minimiza.

2
 CONCLUSIONES

Se realiza la interpretación de la familia ISO 27000, y como estas abordan

importantes leyes que permiten contener la fuga de información que puede haber
en una compañía, mediante buenas prácticas y controles de seguridad. Es
importante obtener mayor conocimiento sobre la regulación ya que permite ir
avanzando en pro de un bienestar social mediante controles de seguridad basados
en buenas prácticas.

3
 BIBLIOGRAFÍA

Fernández, S. C. M., & Piattini, V. M. (2012). Modelo para el gobierno de las TIC
basado en las normas ISO (pp 83-88). Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/53581?page=84

Mantilla, E. (2020). Introducción a Normatividad, Estándares y Modelos sobre

ciberseguridad. [OVI] Recuperado de
https://repository.unad.edu.co/handle/10596/35600