ESCUELA POLITÉCNICA NACIONAL

FACULTAD DE INGENIERÍA DE SISTEMAS

INGENIERÍA EN SISTEMAS INFORMÁTICOS Y DE
COMPUTACIÓN

GESTIÓN DE SEGURIDAD
GR1

Tarea: Informe presentación SGSI

Profesor:
Ing. William Andrade

Alumnos:
Alisson Sanmartín
Juan Valdiviezo

Fecha:
21- junio-2021
 Tabla de contenido

1. ISO/IEC 27001 ...................................................................................................................... 3

2. SGSI ....................................................................................................................................... 4
3. Objetivos de los SGSI ............................................................................................................ 4
4. Implementación.................................................................................................................... 5
5. Documentación de SGSI ....................................................................................................... 6
6. Fases de la documentación .................................................................................................. 7
7. Ejemplos ................................................................................................................................ 9
8. Referencias ......................................................................................................................... 12
9. Anexos................................................................................................................................. 12
1. ISO/IEC 27001

Es un enfoque sistemático para establecer,

implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la información
de una organización y lograr sus objetivos
comerciales y/o de servicio. [1]

Sistema de Gestión de la Seguridad de la

Información (SGSI) o su equivalencia en ingles
Information Security Management System.
En la búsqueda de proteger los activos de información esenciales un SGSI
consiste en conjunto de políticas, procedimientos y directrices junto a los recurso
y actividades asociados que son administrados colectivamente.
Independientemente del tipo de actividad y tamaño, cualquier organización
recopila, procesa, almacena y transmite información mediante el uso y aplicación
de procesos, sistemas, redes y personas internos y/o externos. [1]
Todos ellos son activos de información esenciales para lograr los objetivos de la
organización.
En función del contexto (tipo de industria, entorno de actuación, ...) y de cada
momento particular en que se desarrollan sus actividades, las organizaciones
están inevitablemente expuestas a situaciones de riesgo en base a diversos
factores que pueden afectar y que, de hecho, afectan, negativamente a los
activos de información más necesarios. [1]
Este sistema está basado en tres dimensiones fundamentales, las cuales son: [2]

• Confidencialidad. Consiste en no dar acceso a la información a

individuos, entidades o procesos no autorizados.
• Integridad. Es decir, la conservación de la completitud y exactitud de la
información y sus métodos de proceso.
• Disponibilidad. Individuos, entidades o grupos autorizados tienen acceso
a la información y a sus sistemas de tratamiento cuando lo requieran.
El término seguridad de la información generalmente se basa en que la
información se considera un activo que tiene un valor que requiere protección
adecuada, por ejemplo, contra la pérdida de disponibilidad, confidencialidad e
integridad. [1]
A nivel gerencial con la finalidad de dirigir y controlar diferentes ámbitos
especialmente la seguridad en primera instancia se ceunta con los sistemas de
gestión como una herramienta.
2. SGSI
Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la
que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la
seguridad de la información.

“Consiste en el conjunto de políticas, procedimientos y directrices junto a los recursos y

actividades asociados que son administrados colectivamente por una organización, en
la búsqueda de proteger sus activos de información esenciales.” [3]

Fig 2. SGSI
3. Objetivos de los SGSI
Los objetivos, a diferencia de las declaraciones de la política, sí deben determinar
qué se realizará, con qué recursos, quién es el responsable, cuándo se debe
completar y cómo se evalúan los resultados de los objetivos.

Objetivo General
Asegurar que las empresas tengan implementando todos los controles
adecuados sobre la confidencialidad, integridad y disponibilidad de la
información.

Objetivos Especificos
• Ayudar a las empresas a demostrar a sus clientes como evalúan
la seguridad de la información.
• Mostrar compromiso durante la gestión de seguridad.
• Garantiza el tratamiento de los problemas de seguridad.
 Fig 3. Objetivos SGSI

4. Implementación
El modelo PDCA se lo utiliza para la implantación de sistemas de gestión:
o Plan
En esta etapa se identifican los problemas específicos que se pueden
enfrentar en la ejecución de un proyecto, los recursos que se utilizarán,
que recursos están disponibles y cuales tendrán que ser solicitados, los
requisitos de las partes interesadas, las condiciones de ejecución, y los
objetivos finales del proyecto.
o Hacer
Una vez que se encuentra una solución al problema o un nuevo método
para optimizar el proceso, la fase de implementación comienza en la
práctica. En esta etapa, registre la información relevante, especialmente
la información sobre cualquier problema que pueda surgir. Recuerde,
nuestros planes en papel no siempre se reproducen fielmente en la
realidad.
o Verificar

En esta fase de verificación, los resultados se miden y evalúan y se

comparan con las expectativas establecidas. Cuando hay una gran
diferencia, es importante responder con prontitud y localizar la causa.

Los resultados de la inspección pueden ser la etapa más importante del

ciclo PDCA. Se debe prestar suficiente atención para evitar que vuelvan a
aparecer errores recurrentes, lo que lleva a mejoras notables. La
característica de esta etapa es verificar y evaluar activamente la
efectividad del plan original.
 o Actuar

Por último, generalmente se pueden tomar acciones correctivas, pero

también se pueden realizar mejoras cuando se descubren oportunidades,
que se pueden aplicar a toda la organización. Si todo va según lo previsto
y los resultados son satisfactorios, no hay necesidad de desviarse del
curso original. [4]

Fig 4. Modelo PDCA

5. Documentación de SGSI
Como se muestra a continuación gráficamente podemos interpretar la
documentación del sistema como una pirámide de cuatro niveles.
o Documentos de Nivel 1
Manual de seguridad: Documentación que inspira y dirige todo el sistema, el
que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, etc., del SGSI.

o Documentos de Nivel 2
Procedimientos: Documentación en el nivel operativo, que aseguran que se
realicen de forma eficaz la planificación, operación y control de los procesos
de seguridad de la información.
o Documentos de Nivel 3
Instrucciones, checklists y formularios: Documentación que describen cómo
se realizan las tareas y las actividades específicas relacionadas con la
seguridad de la información.
 o Documentos de Nivel 4
Registros: Documentación que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGSI; están asociados a documentos de
los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos.

Fig 5. Niveles de documentación SGSI. [5]

6. Fases de la documentación
De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):

o FASE 1: Definir Política y objetivos de seguridad: Documento de

contenido genérico que establece el compromiso de la dirección y el
enfoque de la organización en la gestión de la seguridad de la
información.

o FASE 2: Definir el Alcance del SGSI: Ámbito de la organización que queda

sometido al SGSI, incluyendo una identificación clara de las
dependencias, relaciones y límites que existen entre el alcance y aquellas
partes que no hayan sido consideradas (en aquellos casos en los que el
ámbito de influencia del SGSI considere un subconjunto de la
organización como delegaciones, divisiones, áreas, procesos, sistemas o
tareas concretas).

o FASE 3: Enfoque de evaluación de riesgos: Descripción de la metodología

a emplear cómo se realizará la evaluación de las amenazas,
vulnerabilidades, probabilidades de ocurrencia e impactos en relación a
los activos de información contenidos dentro del alcance seleccionado,
desarrollo de criterios de aceptación de riesgo y fijación de niveles de
riesgo aceptables.
o FASE 4: Informe de evaluación de riesgos: Estudio resultante de aplicar
la metodología de evaluación anteriormente mencionada a los activos de
información de la organización.

o FASE 5: Plan de tratamiento de riesgos: Documento que identifica las

acciones de la dirección, los recursos, las responsabilidades y las
prioridades para gestionar los riesgos de seguridad de la información, en
función de las conclusiones obtenidas de la evaluación de riesgos, de los
objetivos de control identificados, de los recursos disponibles, etc.

o FASE 6: Declaración de aplicabilidad: (SOA -Statement of Applicability-,

en sus siglas inglesas); documento que contiene los objetivos de control
y los controles contemplados por el SGSI, basado en los resultados de los
procesos de evaluación y tratamiento de riesgos, justificando inclusiones
y exclusiones.

o FASE 7: Procedimientos documentados: Todos los necesarios para

asegurar la planificación, operación y control de los procesos de
seguridad de la información, así como para la medida de la eficacia de los
controles implantados.

Fig 6. Fases de la documentación SGSI [6]

7. Ejemplos
Los SGSI se han ido adoptando y particularizando a las actividades de diversos
sectores industriales, incluido el ámbito de la protección de la información
personal.

• Administración pública
Es vital establecer y normalizar la seguridad de la información con el
cumplimiento de aquellas normativas y políticas en el ámbito de los
servicios públicos, que siempre ha sido fundamental pero que cobra
mayor importancia con el uso de los medios electrónicos con la
obligatoriedad de la transformación digital.
Esta transformación debe ir acompañada de medidas organizativas y
técnicas que protejan de forma proporcional la información gestionada
por los diferentes organismos públicos y los servicios públicos que
prestan. [1]

• Automoción
El sector de la automoción está experimentando una profunda
transformación con la digitalización de los sistemas en el automóvil que
son necesarios para brindar automatización, conectividad y movilidad
compartida de los vehículos.

Hoy en día, los automóviles contienen hasta 150 unidades de control

electrónico y alrededor de 100 millones de líneas de código de software,
cuatro veces más que un avión de combate, que se prevé que aumente a
300 millones de líneas de código para 2030. Esto conlleva importantes
riesgos de ciberseguridad que amenazan la seguridad del vehículo y la
privacidad del consumidor.
El objetivo de la norma es gestionar las amenazas de ciberseguridad de
los sistemas eléctricos y electrónicos en los vehículos de carretera, de
forma similar a cómo ISO 26262 gestiona los requisitos de seguridad
funcional. [1]

• Financiero
El sector financiero proporciona una columna vertebral crucial para la
economía mundial con una creciente dependencia de las infraestructuras
de TIC, los proveedores y su cadena de suministro.
 La importancia de la seguridad y la resiliencia de las TIC en apoyo del
sector financiero creció considerablemente y el objetivo de proteger las
transacciones interbancarias automatizadas y, en general, todos los tipos
de comunicaciones, es más crítico y complejo al mismo tiempo. [1]

• Salud
El sector de la salud está pasando un proceso intensivo de digitalización
adoptando progresivamente nuevas tecnologías para mejorar y ofrecer
nuevos y mejores servicios centrados en la atención del paciente en el
hogar y alcanzar la excelencia operativa.

La integración de nuevas tecnologías en infraestructuras TI ya de por sí

complejas abre nuevos desafíos en materia de protección de datos y
ciberseguridad como ha demostrado la pandemia de COVID-19, como
importante catalizador del aumento de ciberataques a las organizaciones
sanitarias (phishing, ransomware contra hospitales y otras organizaciones
sanitarias). [1]

• Telecomunicaciones
Internet es posible gracias a la interconexión de las diferentes redes que
la componen.
La conectividad es la base fundamental sobre la que se asienta el
desarrollo de las economías y sociedades del siglo XXI y que ha llega a su
máxima expresión con la intercomunicación de miles de millones de
diversos dispositivos que capturan, tratan, comparten datos e
información de todo tipo. [1]

• Firmas e Infraestructuras Electrónicas.

Generar confianza en entornos digitalizados es clave para el desarrollo
económico y social. La falta de confianza, en particular por una falta de
percepción en la seguridad, hace que los consumidores, las empresas y
las administraciones duden en realizar las transacciones
electrónicamente y adoptar nuevos servicios.
Los proveedores de servicios de confianza suelen ser un elemento
esencial para generar confianza entre partes que realizan transacciones
electrónicas, particularmente en redes públicas abiertas y se puede
utilizar, por ejemplo, para proporcionar información de identidad
confiable y ayudar a establecer comunicaciones seguras entre las partes
en la transacción. Algunos ejemplos de proveedores de servicios de
confianza son emisores de certificados de clave pública, proveedores de
 servicios de sellado de tiempo, proveedores de servicios de generación o
validación de firmas electrónicas. [1]

• Redes inteligentes
Las redes inteligentes se refieren a aquellas redes eléctricas que pueden
integrar el comportamiento y las acciones de todos los usuarios
conectados (generadores, consumidores y los que desarrollan ambos
roles) para asegurar un sistema energético económicamente eficiente,
sostenible, con bajas pérdidas y altos niveles de calidad y seguridad de
suministro.

Las redes inteligentes tienen un papel fundamental en el proceso de

integración de los recursos variablemente distribuidos en las redes
eléctricas y la prestación de un servicio orientado al usuario. [1]

• Servicios de la nube
El número de servicios en nube se incrementa continuamente con
diversas funcionales para la creación, transferencia y almacenamiento de
todo tipo de datos e información más o menos sensible.
La contratación de servicios de nube supone para las organizaciones un
modelo de responsabilidad compartida con un proveedor que debe
cumplir con el nivel de seguridad alineado con el de la organización que
delega los datos. [1]
Se deben verificar aspectos adicionales relevantes como la cadena de
proveedores asociada al proveedor de los servicios finales, el control de
la ubicación en las transferencias de los datos, así como, el análisis y
gestión adecuada de los riesgos que las propias organizaciones que
contratan estos servicios deben aplicar antes de contratar servicios en la
nube.

• Trasporte
El sector del trasporte de pasajeros y mercancías está experimentando
una importante transformación en sus operaciones, sistemas e
infraestructura debido a la digitalización de los sistemas e infraestructura
de OT e IT.
La automatización de los procesos, los problemas del transporte público
y el creciente número de las interconexiones con servicios externos y
multimodales quedan expuestas sin una protección adecuada. [1]
 8. Referencias

[1] «ISO 217001.ec,» [En línea]. Available: https://www.iso27000.es. [Último acceso: 21 junio
2021].

[2] ISO 27001:2013, SGSI, «¿Qué es SGSI?,» 28 julio 2015. [En línea]. Available:
https://www.pmg-ssi.com/2015/07/que-es-sgsi/. [Último acceso: 21 junio 2021].

[3] «SGSI,» [En línea]. Available: https://www.iso27000.es/sgsi.html. [Último acceso: 21 junio

2021].

[4] H. C. I. Aleman Novoa, Metodología para la implementacion de un SGSI en la fundacion

universitaria Juan de Castellos, bajo la norma ISO 27001, Tunja, 2015.

[5] «¿Qué incluye un SGSI?,» [En línea]. Available:

https://sites.google.com/a/istpargentina.edu.pe/marisol-ojanamav/-que-es-un-sgsi/qu-
incluye-un-sgsi. [Último acceso: 21 junio 2021].

[6] Normas ISO, «ISO 27001 SEGURIDAD DE LA INFORMACIÓN,» [En línea]. Available:
https://www.normas-iso.com/iso-27001/. [Último acceso: 21 junio 2021].

9. Anexos

Se presenta unos videos complementarios a lo expuesto en clases,

explicando lo conceptos básicos sobre la seguridad de la información.

Link de acceso: https://www.youtube.com/watch?v=zV2sfyvfqik

En este video se muestra un video donde se explica de manera más clara
sobre a implantación de un SGSI.

Link de acceso: https://www.youtube.com/watch?v=i_3z68QGaJs