[FECHA]

[NOMBRE DE LA COMPAÑÍA]
[Dirección de la compañía]
 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

Actividad

1. Empresa objeto de análisis: Fiscalía General de Justicia del Estado de

Tamaulipas.

Giro de la empresa: Impartición de Justicia y mantenimiento de la seguridad y el orden

público en el nivel estatal.

Misión de la Empresa: Somos una Fiscalía autónoma que garantiza el acceso a la justicia,
el debido proceso, la verdad y la reparación del daño a las personas víctimas de delito, el
respeto y protección a los derechos humanos mediante el profesionalismo y efectividad
en la investigación criminal para fomentar confianza y seguridad en la ciudadanía.

Visión de la Empresa: Ser una institución reconocida por su profesionalismo, eficiencia

en la procuración de justicia a través de personal comprometido, confiable, con sentido
humano y de pertenencia, así como vocación de servicio a la ciudadanía mediante
tecnología de vanguardia y recursos humanos especializados.

Objetivo: Evaluar el sistema informático para la atención de Constancia de Antecedentes

Penales para establecer un Sistema de Gestión de Seguridad de la información, para
garantizar la disponibilidad, integridad y confidencialidad de la información que se
maneja.

Sistema o Proceso Informático a Auditar: Sistema de Constancias de Antecedentes

Penales.

Justificación: Es una herramienta fundamental para la atención y elaboración de

Constancia de Antecedentes Penales solicitadas por la ciudadanía, este contiene
información privada de las personas que realizan el trámite, es por ello que es necesaria
la implementación de un SGSI.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

2. Qué objetivo pretende lograr y que alcance persigue con la implementación de un SGSI
en el sistema o proceso informático seleccionado, debidamente justificado.

Objetivo: Se pretende evaluar el Sistema de Constancia de Antecedentes Penales, el cual

en la actualidad no cuenta con un SGSI, y se requiere ser capaz de prevenir ataques
cibernéticos y el inadecuado uso de la información que interviene en el proceso de
realización de la Constancia, manteniendo la confidencialidad e integridad de la
información.

Alcance: Con base en la Norma ISO27000, se evaluarán las condiciones actuales y las
Acción que se requieren implementar para cumplir con la norma en base al sistema de
Constancias de Antecedentes Penales, los puntos a evaluar serán 6, 8, 9, y 17, con el
objetivo de determinar e implementar políticas, normas o procedimientos que nos
ayuden a la gestión de riesgos en cuanto a las vulnerabilidades detectadas en el sistema.

3. Desarrollo de los puntos de la Norma ISO27000

6. Organización de la seguridad de la información.

6.1 Organización interna.
6.1.1 Roles y responsabilidades en seguridad de la información.
[N] No implementado, no existe política documentada que especifique la
responsabilidad y rol de cada usuario. Acción a realizar, es necesario implementar
políticas para la definición de responsabilidades para cada rol.
[O] No implementado, el personal debería de conocer su rol y responsabilidad dentro del
sistema y el manejo de la información, además de que debe tener conocimiento y
entendimiento de las políticas a implementar. Acción a realizar, hacer de conocimiento
al personal del área las políticas a implementar dentro del proceso de atención de las
solicitudes de Constancias de Antecedentes Penales.
[T] Total, dentro del sistema existen diferentes roles, los cuales cuentan con los
privilegios que deben de tener para poder realizar su trabajo.
6.1.2 Segregación de tareas.
[N] No implementada, no existen políticas documentadas. Acción a realizar, definir
política que indique la función concreta de cada perfil.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

[O] Parcial, el personal que maneja el sistema, conoce las funciones y limitaciones para
su usuario dentro del sistema. Acción a seguir, hacer de conocimiento al personal de las
funciones a realizar en cada perfil de usuario.
[T] Parcial, ya que el sistema cuenta con diferentes roles para cumplir con el requisito de
las solicitudes y la búsqueda de los antecedentes de los solicitantes, siendo así que, para
la atención de una Constancia, están involucrados varios usuarios.
Por otra parte, el personal de desarrollo tiene acceso a la información en producción.
Acción a realizar, el personal de desarrollo, deberá trabajar en un ambiente de pruebas.
6.1.3 Contacto con las autoridades.
[N] No implementado, no existe ninguna política o procedimiento. Acción a realizar, se
deberá analizar y definir las políticas en caso de que sucedan intrusiones o fugas de
información, para que se procedan las investigaciones necesarias.
[O] No implementado, no existe un procedimiento en caso de algún suceso que
comprometa el sistema o la información que ahí se maneja. Acción a realizar, difundir a
los empleados el procedimiento que se deberá seguiría.
[T] No aplica, el contacto sería por parte externa del sistema.
6.1.4 Contacto con grupos de interés especial.
[N] [O] No aplica, no es necesario implementar políticas para esta categoría.
[T] No implementado, no se tiene contacto con grupos de interés para ver las mejoras en
cuestión de seguridad de la información. Acción a realizar, es importante asignar a una
persona para que se mantenga actualizado con respecto a grupos de interés sobre
seguridad de la información.
6.1.5 Seguridad de la información en la gestión de proyectos.
[N] No implementada, no existe política o procedimiento para que en la gestión de
proyectos se incluya la seguridad de la información. Acción a realizar, la norma indica la
integración de la seguridad de la información en el desarrollo de proyectos, por ello se
deberá establecer un proceso para su integración.
[O] No implementada, el personal tiene desconocimiento del procedimiento. Acción a
realizar, hacer del conocimiento a el personal de desarrollo de proyectos los
procedimientos a seguir.
[T] Parcial, el sistema cuenta con privilegios para cada tipo de usuario, se encuentra
incorporadas las bitácoras para el seguimiento de las acciones realizadas dentro del
sistema, aunque en la realización del proyecto no se siguió ningún procedimiento para la
incorporación de medidas para enfrentar algún ataque (ciber ataques, inyección SQL,

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

etc.). Acción a realizar, hacer revisión profunda en cuanto a las vulnerabilidades que se
puedan presentar dentro del sistema y realizar un análisis de riesgo de la información,
para que sean solventados los problemas encontrados.
6.2 Los dispositivos móviles y el teletrabajo.
6.2.1 Política de dispositivos móviles.
[N] No implementado. Acción a realizar, implementar normas en cuanto al uso de los
dispositivos móviles en horarios de oficina.
[O] [T] No aplica, no se puede acceder al sistema desde dispositivos móviles.
6.2.2 Teletrabajo.
[N] [O] [T] No aplica, ya que para trabajar con el sistema es necesario estar dentro de la
red interna, el personal no trabaja desde fuera de las instalaciones.
8. Gestión de activos
8.1 Responsabilidad sobre activos
8.1.1 Inventario de activos
[N] No implementado, no existen políticas para la clasificación e identificación de
activos. Acción a realizar, es necesario implementar políticas para la identificación de
activos y realizar la clasificación de la información manejada.
[O] No implementado. Acción a realizar, es necesario implementar procedimientos que
indiquen la clasificación de activos.
[T] No implementado. Acción a realizar, implementar software que ayuden al inventario
de activos dentro de la organización.
8.1.2 Propiedad de los activos
[N] No implementado. Acción a realizar, definir las obligaciones de los propietarios de la
información.
[O] No implementado. Acción a realizar, hacer de conocimiento al personal que se le
asigna la responsabilidad de gestionar el activo.
[T] No aplica, no es requerido ya que este punto se verá fuera del sistema.
8.1.3 Uso aceptable de los activos
[N] No implementado. Acción a realizar, creación de normas para indicar el uso
apropiado de la información.
[O] No implementado. Acción a realizar, informar al personal de la clasificación que se
tiene y seguir las normas implementadas para su debido uso.
[T] No aplica, será visto por fuera del sistema.
8.1.4 Devolución de activos

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

[N][O][T] No aplica, la información contenida dentro del sistema no es compartida con

otras áreas dentro de la organización o con instituciones externas.
8.2 Clasificación de la información
8.2.1 Clasificación de la información
[N] No implementado, no existe documentación que especifique la clasificación de la
información. Acción a realizar, basarse en la norma para la identificación de clasificación
de la información por su nivel de divulgación.
[O] No implementado. Acción a realizar, el personal debe de tener conocimiento y
entendimiento de los niveles de divulgación para ser conscientes de la información que
debe cuidarse y ser estrictamente confidencial.
[T] Parcial, como tal no existe una clasificación en cuanto a su divulgación, pero en base
a los privilegios de los usuarios se puede controlar el acceso que se tiene a la información.
Acción a realizar, con la clasificación implementada, dentro del sistema mostrar la
clasificación que tiene la información.
8.2.2 Etiquetado de la información
[N] [T] No aplica, el etiquetado no tiene que estar documentado.
[O] No implementado, dentro del sistema no existe el etiquetado de la clasificación de
información. Acción a realizar, se debe de implementar el etiquetado de la información
según la clasificación de la categoría anterior.
8.2.3 Manipulado de la información
[N] No implementado, no existe ningún procedimiento para el manejo de los activos.
Acción a realizar, desarrollo de procedimientos de manejo de la información que tengan
en cuenta la clasificación de los activos de información.
[O] No implementado, desconocimiento total del personal que opera el sistema.
Acción a realizar, difundir los procedimientos para el correcto manejo de activos según
sea su clasificación.
[T] Total, realización de copias de seguridad para la protección de los activos.
8.3 Manipulación de los soportes
8.3.1 Gestión de soportes extraíbles
[N] No implementado, no existen políticas, normas o procedimientos para el uso de
soportes extraíbles. Acción a realizar, la norma indica las consideraciones que se
deberían de tomar para la utilización de soportes extraíbles, en base a ello definir las
normas.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

[O] No implementado, el personal tiene desconocimiento total de los procesos para usar
soportes extraíbles. Acción a realizar, difundir las normas para su uso con el personal.
[T] No aplica, dentro del sistema no es necesaria la utilización de soportes extraíbles.
8.3.2 Eliminación de soportes
[N] No implementado, no existe procedimiento o regla. Acción a realizar, definir
procedimientos para la eliminación segura de datos.
[O] No implementado. Acción a realizar, hacer del conocimiento a los empleados de los
procedimientos.
[T] No aplica, esto es procedimiento fuera del sistema.
8.3.3 Traslado de soportes físicos
[N] No implementado. Acción a realizar, definir las normas que deberán seguirse para el
traslado de soportes físicos.
[O] No implementado. Acción a realizar, hacer de conocimiento al personal las normas
que deberán de seguirse para el tratamiento de traslado de los soportes físicos.
[T] No aplica, este apartado será implementado por fuera del sistema.
9. Control de acceso
9.1 Requisitos de negocio para el control de acceso
9.1.1 Política de control de acceso
[N] Total, para la solicitud de usuarios nuevos es necesario realizar una solicitud previa
al jefe inmediato el cual será el encargado de solicitar dicha petición a la Dirección
General de Tecnologías, Información y Telecomunicaciones.
[O] Total, cada empleado con acceso al sistema conoce las limitaciones, ya que solamente
tiene acceso a las funciones que se requieren realizar para la atención de Constancias.
[T] Total, el empleado tiene asignado un rol para realizar sus funciones dentro del
sistema.
9.1.2 Acceso a las redes y a los servicios de red
[N] No implementado, no existe política. Acción a realizar, definición de políticas para la
identificación de procedimientos en los accesos y servicios de red.
[O] Total, para que la persona tenga acceso al sistema, debe tener la configuración
requerida en la máquina, además de estar dentro de la red interna de la institución.
[T] Total, la configuración es por parte de la DGTIT.
9.2 Gestión de acceso de usuario
9.2.1 Registro de usuarios y cancelación del registro

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

[N] No implementado, no existen procedimientos definidos para la baja de los usuarios.

Acciones a realizar, definición de los procedimientos para el registro y baja de usuarios
dentro del sistema.
[O] No implementado, el personal con acceso al sistema desconoce los procedimientos a
realizar cuando se tiene que dar de baja el usuario. Acción a realizar, hacer de
conocimiento al personal el procedimiento a implementar.
[T] Parcial, la baja de los usuarios es realizada pero no de forma automática, es solicitada
mediante oficio a la DGTIT, por el área dueña de la información. Acción a realizar,
implementar las bajas automáticas cuando el empleado sea dado de baja.
9.2.2 Gestión de acceso a los usuarios
[N] No implementado, no existe política para este punto. Acción a realizar, la norma
exige la definición de políticas para el uso de recursos, estableciendo un proceso formal
para asignar y revocar accesos dentro del sistema.
[O] Total, los usuarios saben que para el ingreso del sistema se requiere contar con un
usuario y contraseña.
[T] Parcial, el sistema cuenta con la lógica para su acceso, en el cual el usuario tiene
acceso a los recursos que requiere, el cual solamente puede acceder desde la red interna
de la organización. Acción a realizar, implementar otro método de acceso al sistema y
revisar periódicamente los accesos al sistema.
9.2.3 Gestión de privilegios de acceso
[N] No implementado, no existe política documentada. Acción a realizar, definir los
procedimientos para la revisión y gestión de acceso de los usuarios.
[O] Parcial, el personal no tiene conocimiento de las políticas porque no se encuentra
documentado, pero conoce los privilegios que se manejan dentro del sistema. Acción a
realizar, difundir las políticas al personal.
[T] Parcial, el sistema cuenta con la lógica integrada de privilegios para cada usuario.
Acción a realizar, se deberá revisar periódicamente las competencias de los usuarios,
además de incluir el cambio de contraseñas cada cierto tiempo.
9.2.4 Gestión de la información secreta de autenticación de los usuarios
[N] Total, cuando se solicita un usuario para el acceso al sistema, se entrega un formato
con las cláusulas y avisos de privacidad.
[O] Total, el personal tiene conocimiento y tiene que firmar el formato de usuario y
regresar dicho formato a la DGTIT.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

[T] Total, cuando acceden por primera vez al sistema, es requisito indispensable
personalizar la contraseña para poder continuar.
9.2.5 Revisión de los derechos de acceso de usuario
[N] No implementado, no existe procedimiento documentado o definido. Acción a
realizar, establecer el periodo para la revisión de acceso al sistema.
[O] No implementado, el personal no tiene asignado el trabajo de revisión de accesos
para los usuarios. Acción a realizar, capacitar y difundir con el personal las revisiones
que deben de realizarse en cuanto a los accesos del personal dentro del sistema.
[T] No implementado. Acción a realizar, implementar dentro del sistema apartado
donde pueda ser visualizado el historial de la bitácora por cada usuario.
9.2.6 Retirada o reasignación de los derechos de acceso
[N] No implementado, no existe procedimiento definido para retirar los accesos dentro
del sistema. Acción a seguir, se deberá definir el procedimiento a seguir cuando un
empleado sea cambiado de área o dado de baja de la institución.
[O] No implementado, la persona desconoce que se debe de hacer en caso de cambio de
área o separación de la institución. Acción a realizar, el área deberá de difundir el
procedimiento al personal.
[T] Parcial, la baja o retirada de acceso de algún usuario se hace mediante solicitud previa
del director del área. Acción a realizar, se debería de hacer la identificación automática
cuando un usuario cambie de puesto o finalice su trabajo en la institución.
9.3 Responsabilidades del usuario
9.3.1 Uso de la información secreta de autenticación
[N] Total, dentro del formato que firma el usuario, se hace responsable del debido uso
de la información a la cual tendrá acceso.
[O] Total, el personal tiene claro qué sucederá en caso de difundir o hacer mal uso de la
información a la cual tiene acceso.
[T] Total, el sistema tiene bloqueada la opción de guardar las credenciales de acceso y
recordar el usuario, tiene definida la estructura de contraseña segura y forzar al usuario
a personalizar su contraseña al iniciar sesión.
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso a la información
[N][O] No aplica, no se requiere ninguna política, el personal solamente accede al
sistema con los privilegios que le fueron solicitados para realizar sus funciones.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

[T] Total, ya que el sistema está basado en privilegios, el usuario solamente podrá tener
acceso a las opciones del menú que le fueron autorizadas.
9.4.2 Procedimientos de conexión (log-on) seguros
[N] No implementado, no existen procedimientos para la identificación de inicios de
sesión seguros. Acciones a realizar, definir el procedimiento que se debe de realizar para
corroborar que el usuario es quien dice ser.
[O] No implementado, el usuario puede intentar poner su contraseña las veces que
considere necesario. Acciones a realizar, hacer de conocimiento al usuario los intentos
fallidos que tuvo después en el día.
[T] No implementado, no se sigue ningún procedimiento para la detección de intentos
fallidos por parte del usuario que intenta acceder al sistema. Acciones a realizar, se
deberá de incluir un límite de intentos para que cuando sea rebasado, se tenga que
realizar otra acción por parte de la DGTIT.
9.4.3 Sistema de gestión de contraseñas
[N] No implementado, no existen normas documentadas que señalen las características
de una contraseña segura. Acción a realizar, definir las normas para la implementación
de contraseñas seguras.
[O] Total, dentro del sistema se solicita que la contraseña contenga números, letras
mayúsculas y minúsculas.
[T] Parcial, el sistema pide la confirmación de la contraseña y cuando es la primera vez
que inicia o se restablece la contraseña, pedirá que sea personalizada. Acciones a realizar,
se deberá implementar dentro del sistema el cambio de contraseñas cada cierto tiempo.
9.4.4 Uso de programas de utilidad privilegiados
[N] [O] [T] No aplica, el sistema no requiere autenticación por separado.
9.4.5 Control de acceso al código fuente de los programas
[N] No implementado, no existe ninguna política o procedimiento documentado para el
control de acceso al código fuente. Acción a realizar, desarrollar las normas para
controlar quienes serán los responsables de resguardar el código fuente del aplicativo.
[O] No implementado, el personal de desarrollo no tiene reglas definidas para el control
de acceso o modificaciones al código fuente. Acción a realizar, hacer de conocimiento al
personal las normas que se deberán seguir.
[T] No implementado, no se mantienen los registros de cambios al sistema y se realizan
en mínimo de prueba antes de su implementación. Acción a realizar, implementar

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

bitácora de qué modificación se realizó y quién fue el responsable de los cambios en el

sistema, además de realizar las pruebas suficientes antes de liberar el sistema.
17. Aspectos de seguridad de la información para la gestión de la
continuidad del negocio
17.1 Continuidad de la seguridad de la información
17.1.1 Planificación de la continuidad de la seguridad de la información
[N] No implementado, no existen procedimientos documentados. Acción a realizar,
definir los planes de contingencia en caso de ocurrencia de desastres naturales o eventos
fuera del alcance.
[O] No Implementado. Acción a realizar, difundir al personal los planes que se deberán
de aplicar para mantener la disponibilidad de la información.
[T] No implementado, no existe plan de contingencia en caso de fallos de energía, cortes
en la red o desastres naturales. Acción a realizar, la DGTIT deberá apegarse a los planes
de contingencia en caso de siniestros.
17.1.2 Implementación de la continuidad de seguridad de la información
[N] No implementado, no existen procedimientos definidos para mantener la seguridad
de la información. Acción a realizar, definir los procedimientos y responsabilidades de
las personas involucradas en mantener la seguridad de la información y su
disponibilidad.
[O] No implementado, la persona no tiene conocimiento de las acciones a realizar ante
situaciones adversas. Acción a realizar, hacer de conocimiento al personal encargado de
los procedimientos a seguir en situaciones de emergencia.
[T] Total, la programación de backups para el resguardo de información es diaria.
17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la
información
[N] No implementado, no existen procedimientos. Acción a realizar, definir los planes de
continuidad de seguridad de la información que involucren.
[O] No implementado, el personal desconoce los métodos a implementar para la revisión
continua. Acción a realizar, capacitar al personal que será responsable de verificar,
revisar y evaluar la continuidad de la información.
[T] No implementado, no se está preparado para la continuidad del servicio del sistema
en caso de fallas presentadas por desastres naturales. Acción a realizar, implementar
plan de acción y recuperación, para seguir ofreciendo el servicio oportuno a la
ciudadanía.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén

17.2 Redundancias
17.2.1 Disponibilidad de las instalaciones de procesamiento de
información
[N] [O] No aplica, no es necesario la implementación de políticas
[T] No implementado, no se tiene el ambiente preparado en caso de caída del sistema.
Acción a realizar, implementar un servidor espejo que, en caso de cualquier caída del
servidor principal, pueda continuar brindándole el servicio.

Referencias:

INGERTEC. (24/05/2021). A6 ORGANIZACIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN. ISO27001. https://normaiso27001.es/a6-organizacion-de-la-
seguridad-de-la-informacion/
INGERTEC. (25/05/2021). A8 GESTIÓN DE ACTIVOS. ISO27001.
https://normaiso27001.es/a8-gestion-de-activos/
INGERTEC. (26/05/2021). A9 CONTROL DE ACCESO. ISO27001.
https://normaiso27001.es/a9-control-de-acceso/
INGERTEC. (27/05/2021). A17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN
EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO. ISO27001.
https://normaiso27001.es/a17-aspectos-de-seguridad-de-la-informacion-en-la-
gestion-de-continuidad-del-negocio/

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)