Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MÉXICO
Introducción............................................................................................................................3
Descripción del caso...............................................................................................................3
Primera Parte. Sistema de gestión de seguridad informática...........................................4
1. Proceso de planificación de SGSI....................................................................................4
1.1 Preparación...................................................................................................................4
1.1.1 Compromiso de la Dirección de la entidad con la seguridad informática..............5
1.1.2 Seleccionar y preparar a los miembros del equipo que participará en el diseño e
implementación del SGSI.......................................................................................................5
1.1.3 Recopilar información de seguridad........................................................................5
1.2 Determinación de las necesidades de protección.........................................................5
1.2.1 Caracterización del sistema informático..................................................................6
1.2.2 Identificación de las amenazas sobre el sistema informático...................................6
1.2.3 Estimación del riesgo sobre los bienes informáticos...............................................6
1.3 Establecimiento de los requisitos de Seguridad Informática........................................7
1.4 Selección de los controles de Seguridad informática..................................................7
1.4.1 Políticas de seguridad informática..........................................................................7
1.4.2 Medidas y procedimientos de Seguridad Informática.............................................8
1.5 Organización de la seguridad informática....................................................................8
1.5.1 Organización interna...............................................................................................8
1.5.2 Asignación de responsabilidades sobre Seguridad Informática..............................8
1.6 Elaboración del Plan de Seguridad Informática............................................................8
Segunda Parte. Estructura y contenido del Plan de Seguridad........................................9
1. Alcance del Plan de Seguridad Informática.....................................................................9
2. Caracterización del Sistema Informático..........................................................................9
3. Resultados del Análisis de Riesgos.................................................................................10
4. Políticas de Seguridad Informática.................................................................................10
5. Responsabilidades...........................................................................................................11
6. Medidas y Procedimientos de Seguridad Informática....................................................12
6.1 Control de medios informáticos..................................................................................12
6.2 Del personal.................................................................................................................12
6.3 Seguridad de operaciones............................................................................................12
6.4 Respaldo de la información.........................................................................................13
6.5 Gestión de incidentes de seguridad.............................................................................13
Conclusión.............................................................................................................................14
Referencias............................................................................................................................14
2
INTRODUCCIÓN
Sabemos que la información es el activo más importante de una organización, por ello
entendemos la importancia de contar con un sistema sólido para administrarla y protegerla.
Para ello podemos apoyarnos en un Sistema de Gestión de Seguridad de la Información,
que es básicamente un conjunto de políticas de administración de la información,
procedimientos y directrices junto a los recursos y actividades asociados que son
administrados colectivamente por una organización, en la búsqueda de proteger sus activos
de información esenciales, puede definirse también como un enfoque sistemático para
establecer, operar, monitorear, revisar, mantener y mejorar la seguridad de la información
de una organización y lograr sus objetivos comerciales y/o de servicio. Teniendo en cuenta
que la seguridad de la información es un tema crítico e importante, es necesario conocer
este tipo de técnicas o metodologías para poder identificar amenazas o puntos de debilidad
en los procesos de la organización o en la infraestructura, perder información o sufrir un
ataque puede llegar a ser muy perjudicial para la organización, y traer consecuencias a la
misma, desde la pérdida o filtración de información hasta el cese de operaciones debido a
malfuncionamiento de la infraestructura a causa de un ataque informático, estas
metodologías poseen aparte de procedimientos, una serie de buenas o mejores prácticas que
podemos implementar en la organización para reducir considerablemente el peligro de estar
expuestos a algún ataque, o en caso de que sea inevitable la incidencia, reducir el impacto
al mínimo y proveer un plan de recuperación rápido, para evitar pérdidas a la empresa por
el cese de operaciones.
3
Primera parte. Sistema de Gestión de la Seguridad Informática
El SGSI se compone de cuatro procesos básicos:
Planificar
Actuar Hacer
Requisitos y expectativas
de seguridad Seguridad Gestionada
Verificar
1.1 Preparación
Durante la preparación se crean las condiciones para el diseño e implementación del SGSI,
considerando los aspectos siguientes:
4
1.1.1 Compromiso de la dirección de la entidad con la Seguridad
Informática
La dirección apoyará activamente la seguridad dentro de la organización mediante una
orientación clara, compromiso demostrado y la asignación explícita de las
responsabilidades de seguridad informática y su reconocimiento:
. Asegurando que los objetivos de seguridad informática estén identificados, cumplen los
requisitos de la organización y están integrados en los procesos principales
. Formula, revisa y aprueba las políticas de seguridad informática y revisa su efectividad
. Proporciona los recursos necesarios para la seguridad
. Aprueba la asignación de los roles específicos y responsabilidades en seguridad
informática en la organización
. Asegura que la implementación de los controles de seguridad informática sea coordinada
en toda la organización
5
c) La evaluación de los bienes informáticos a proteger en orden de su importancia para la
organización
d) La identificación y evaluación de amenazas y vulnerabilidades
e) La estimación de la relación importancia-riesgo asociada a cada bien informático
6
es máxima). La evaluación de los riesgos posibilita conocer que bienes informáticos, o que
áreas en particular están sometidas a un mayor peso de riesgo y su naturaleza, lo que
permite a selección adecuada de los controles de seguridad que deben ser establecidos en
cada uno de los casos, garantizándose de esta manera una correcta proporcionalidad por
medio de una adecuada relación entre costos y beneficios.
7
1. ¿Qué estrategia se adoptará para la gestión de la seguridad informática?
2. ¿A quien se le permite utilizar los bienes informáticos?
3. ¿Quién esta autorizado para garantizar el acceso y aprobar el uso de los bienes
informáticos?
4. ¿Quién debe tener privilegios de administración de los sistemas?
5. ¿Cuáles son los derechos y responsabilidades de los usuarios?
6. ¿Cuáles son los derechos y responsabilidades de los administradores de sistemas frente a
los de los usuarios?
7. ¿Qué hacer con la información clasificada y limitada?
8. ¿Qué hacer ante la ocurrencia de un incidente de seguridad?
8
diseñado y constituye el documento básico que recoge claramente las responsabilidades de
cada uno de los participantes en el proceso informático y establece los controles que
permiten prevenir, detectar y responder a las amenazas que gravitan sobre el sistema
informático de cada entidad.
El cableado de la red esta soportado por cable UTP categoría 5, con capacidades de
100Mbits, con topología estrella, protegido con canaletas, las estaciones de trabajo se
agrupan por áreas
9
o departamentos a partir de switches que van conectados al firewall principal, además, se
cuenta con dos puntos de acceso inalámbrico (Access Point) a la red de Internet, uno en la
recepción y otro en la sala de juntas principal.
La conexión con el exterior se realiza disponiendo de una línea arrendada de 100 Mbits
conectada directamente al proveedor de servicios de Internet.
El edificio de Av. Constituyentes de Nuevo León tiene buenas condiciones constructivas,
adecuadas tanto para la protección como para la preservación de los equipos y la visibilidad
de las pantallas desde el exterior es prácticamente nula. El personal que opera los equipos
posee conocimientos básicos y la preparación necesaria para su empleo y en la mayor parte
de los casos tiene nivel medio o superior.
Las amenazas más importantes por considerar de acuerdo con el impacto que pudieran tener
sobre la empresa son:
. El acceso no autorizado a la red, tanto producto de un ataque externo como interno
. La pérdida de disponibilidad de las máquinas virtuales o del servicio de algún aplicativo
. La fuga de información clasificada
. Sustracción, alteración o perdida de datos
Las áreas sometidas a un mayor riesgo y las amenazas que lo motivan son:
. El departamento de redes (acceso no autorizado a los equipos del site y pérdida de
disponibilidad)
. El departamento de ventas (alteración, pérdida o fuga de datos confidenciales y sensibles)
. El área de sistemas (pérdida de disponibilidad del sistema de monitoreo, pérdida o fuga de
datos de logs de monitoreo)
10
5. Responsabilidades
Estructura organizacional de la Empresa “X”
Director General
Responsabilidades de Vendedores
. Dar aviso inmediato en caso de incidencia (alteración, perdida o filtrado de información
sensible) al departamento de redes o sistemas para que se tome una acción rápida
. Saber identificar posibles ciberataques más conocidos (phishing, por ejemplo), de lo
contrario capacitarse para saberlos identificar
Responsabilidades de Contadores
. Dar aviso inmediato en caso de incidencia (alteración, perdida o filtrado de información
sensible) al departamento de redes o sistemas para que se tome una acción rápida
. Saber identificar posibles ciberataques más conocidos (phishing, por ejemplo), de lo
contrario capacitarse para saberlos identificar
11
6. Medidas y Procedimientos de Seguridad Informática
En este segmento del Plan de Seguridad Informática, se describen como se implementan, en
las áreas a proteger, las políticas que han sido definidas para la entidad, en correspondencia
con las necesidades de protección de cada una de ellas.
12
3. Mantener los equipos protegidos y siempre visibles en la consola de administración de la
solución de protección para endpoint.
Responsable: Administradores de la red
13
CONCLUSIÓN
Con base en la información mencionada en el documento podemos decir que este es un
caso bastante sencillo, se buscaba ejemplificar la manera de desarrollar y aplicar las
metodologías a un ejemplo real, cabe mencionar que por la extensión del documento queda
un poco corto en cuestión de políticas, me hubiera gustado incluir un procedimiento
especifico para la capacitación del personal y que aprendan a identificar ataques, existen
soluciones que se especializan en el despliegue de campañas para crear concientización en
los usuarios, como por ejemplo Phish Threat de Sophos, en las cuales te simulan un ataque
de phishing en el correo electrónico, y en base a esas campañas desplegadas, te genera
reportes por campaña, la cantidad de usuarios, y cuantas campañas detonó la incidencia del
total a las que se han desplegado, esta solución vendría a ser implementada como un
procedimiento adicional a los establecidos, y pasaría a crear conciencia en los usuarios de
ventas por ejemplo, y así disminuir la probabilidad de generar un ataque o una incidencia
por causa del factor humano, pasaría a ser aprobada por el Jefe del departamento de redes y
por el Director General de la empresa en cuestión, por lo demás, creo que sería suficiente
para poder evitar reincidencias del mismo tipo en la empresa ya que con un sistema de
copias de respaldo, se puede llegar a una reanudación de operaciones bastante rápida, el
principal problema del ejemplo fue la falta de conocimiento por parte de las personas
que implementan las herramientas de seguridad, y que no poseían un plan de
recuperación adecuado, con estas políticas y procedimientos se busca cerrar esa brecha.
REFERENCIAS
[1] Claudia Victoria Alvarado. (2021). Sistema de gestión de seguridad de la información: qué es y
sus etapas. 19 de julio del 2021, de Pensemos Sitio web: https://gestion.pensemos.com/sistema-de-
gestion-de-seguridad-de-la-informacion-que-es-etapas
[2] Normas ISO. (2005). ISO 27001 SEGURIDAD DE LA INFORMACIÓN. 19 de julio del 2021,
de Normas ISO Sitio web: https://www.normas-iso.com/iso-27001/
[3] ISOTools. (2019). ISO 27002. La importancia de las buenas prácticas en los Sistemas de
Seguridad de la Información. 19 de julio del 2021, de ISOTools Sitio web:
https://www.isotools.org/2019/06/11/iso-27002-la-importancia-de-las-buenas-practicas-en-los-
sistemas-de-seguridad-de-la-informacion/
[4] ISOTools. (2013). ISO 27001. 19 de julio del 2021, de ISOTools Excellence Sitio web:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001
14