Proyecto Final - TSI - FINAL - AHORA SI

1
Centro de Excelencia en Seguridad Informática
Trabajo Práctico:
Propuesta de implementación de un Sistema de Gestión de Seguridad de la

Información para el Ministerio Administrativo de la Presidencia de la
República Dominicana
Diseñado por:
Franklyn Ramón Durán Soto | 2018-6478
Víctor Manuel Pérez Vásquez | 2019-8040
Aldo Rafael Lorenzo Volquez | 2019-7987
Para la Obtención del Título:
Tecnólogo en Seguridad Informática
Asesora:
María Pineda
Santo Domingo, República Dominicana
23 de abril de 2022
2
3
Índice
ÍNDICE ................................................................................................................................................................ 3
ÍNDICE DE IMÁGENES .......................................................................................................................................... 5
ÍNDICE DE TABLAS ............................................................................................................................................... 6
INTRODUCCIÓN................................................................................................................................................... 7
CAPÍTULO 1 - MARCO CONCEPTUAL ..................................................................................................................... 8
1.1 DESCRIPCIÓN DEL PROBLEMA. ...................................................................................................................................................8
1.2 JUSTIFICACIÓN .......................................................................................................................................................................9
1.3 OBJETIVOS ..........................................................................................................................................................................10
1.3.1 Objetivo General .........................................................................................................................................................10
1.3.2 Objetivos Específicos ...................................................................................................................................................10
1.4 ALCANCE ............................................................................................................................................................................11
1.5 DESCRIPCIÓN DE LA EMPRESA .................................................................................................................................................11
1.5.2 Visión ..........................................................................................................................................................................11
1.5.3 Valores ........................................................................................................................................................................11
1.5.4 Estructura organizacional ...........................................................................................................................................12
CAPÍTULO 2 – MARCO TEÓRICO ......................................................................................................................... 13
2.1 ANTECEDENTES DE LA INVESTIGACIÓN ......................................................................................................................................13
2.2 SEGURIDAD DE LA INFORMACIÓN.............................................................................................................................................14
2.2.1 Confidencialidad .........................................................................................................................................................14
2.2.2 Integridad ...................................................................................................................................................................14
2.2.3 Disponibilidad .............................................................................................................................................................14
2.3 SEGURIDAD INFORMÁTICA .....................................................................................................................................................15
2.3.1 Seguridad de hardware ...............................................................................................................................................15
2.3.2 Seguridad de software ................................................................................................................................................15
2.3.3 Seguridad de red .........................................................................................................................................................15
2.4 VULNERABILIDAD .................................................................................................................................................................16
2.4.1 Vulnerabilidades del sistema.......................................................................................................................................16
2.4.2 Vulnerabilidades producidas por contraseñas.............................................................................................................17
2.4.3 Vulnerabilidades producidas por usuarios...................................................................................................................17
2.5 AMENAZA...........................................................................................................................................................................18
2.5.1 Amenazas de Malware ...............................................................................................................................................18
2.5.1.1 Virus ..................................................................................................................................................................................... 18
2.5.1.2 Gusanos ............................................................................................................................................................................... 18
2.5.1.3 Troyanos .............................................................................................................................................................................. 19
2.5.1.4 Ransomware ........................................................................................................................................................................ 19
2.5.1.5 Keyloggers ............................................................................................................................................................................ 19
2.5.2 Amenazas de ataques de denegación de servicio .......................................................................................................19
2.5.3 Otras amenazas informáticas .....................................................................................................................................20
2.6 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN ...........................................................................................................21
2.6.1 Ventajas de la implantación de un SGSI ......................................................................................................................23
2.6.2 Desventajas de la implantación de un SGSI .................................................................................................................24
2.7 NORMA ISO/IEC 27001 ......................................................................................................................................................25
2.7.1 Beneficio de la Norma ISO/IEC 27001 .........................................................................................................................25
4
2.8 MARCO LEGAL .....................................................................................................................................................................26

2.8.1 Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología. .......................................................................................26
2.8.2 Ley No. 126-02 sobre el Comercio Electrónico, Documentos ......................................................................................27
y Firmas Digitales .....................................................................................................................................................................27
2.8.3 Ley de Budapest ..........................................................................................................................................................27
2.8.4 Normas sobre Tecnologías de la Información y Comunicación –NORTIC ....................................................................28
CAPÍTULO 3 - MARCO METODOLÓGICO.............................................................................................................. 29
3.1 TIPO DE INVESTIGACIÓN.........................................................................................................................................................29
3.1.1 Investigación aplicada ................................................................................................................................................29
3.1.2 ¿Por qué realizar la investigación aplicada? .............................................................................................................................. 29
3.1.3 Características de la investigación aplicada .............................................................................................................................. 30
3.2 MÉTODOS DE INVESTIGACIÓN .................................................................................................................................................31
3.2.1 Método cualitativo ......................................................................................................................................................31
3.2.2 Características del método cualitativo ........................................................................................................................31
3.3 METODOLOGÍA DEL PROYECTO ................................................................................................................................................32
3.3.1 Metodología de Deming -PDCA ..................................................................................................................................32
3.4 ALCANCE DEL SGSI ...............................................................................................................................................................33
3.5 METODOLOGÍA PARA EL ANÁLISIS DE RIESGOS ............................................................................................................................34
3.5.1 ISO 27005 ....................................................................................................................................................................34
3.6 ACTIVOS.............................................................................................................................................................................35
3.6.1 Valoración de Activos..................................................................................................................................................35
3.6.2 Amenazas y Vulnerabilidades según la ISO ................................................................................................................36
3.6.3 Tablas de Riesgos ........................................................................................................................................................37
3.6.4 Inventario de Activos ..................................................................................................................................................38
3.6.5 Análisis de Riesgo........................................................................................................................................................40
3.6.6 Riesgo Residual ...........................................................................................................................................................41
3.7 DOMINIOS Y CONTROLES .......................................................................................................................................................42
A5. Políticas de seguridad de la información ...........................................................................................................................42
A6. Organización de la seguridad de la información ...............................................................................................................44
A7. Seguridad relativa a los recursos .......................................................................................................................................49
A8. Gestión de Activos .............................................................................................................................................................51
A9. Control de acceso...............................................................................................................................................................54
A10. Criptografia ......................................................................................................................................................................57
A11. Seguridad física y del entorno..........................................................................................................................................59
A12. Seguridad de las operaciones ..........................................................................................................................................61
A13. Seguridad en las comunicaciones ....................................................................................................................................64
A14. Adquisición, desarrollo y mantenimiento de los sistemas de información ......................................................................66
A15. Relación con proveedores ................................................................................................................................................67
A16. Gestión de incidentes de la seguridad de la información ................................................................................................68
A17. Aspectos de seguridad de la información en la gestión de continuidad del negocio .......................................................70
A18. Cumplimiento ..................................................................................................................................................................72
3.8 TABLAS CONTROLES ISO 27002 ............................................................................................................................................74
3.9 DECLARACIÓN DE APLICABILIDAD ............................................................................................................................................92
ANEXO .............................................................................................................................................................. 98
GLOSARIO DE TÉRMINOS. ...................................................................................................................................................................98
REFERENCIAS BIBLIOGRÁFICAS .......................................................................................................................................................... 101
CONCLUSIÓN................................................................................................................................................... 102
RECOMENDACIONES ....................................................................................................................................... 103
5
Índice de imágenes
Imagen-01-estructura ........................................................................................................................................... 12
Imagen-02-triada_seguridad_informatica ................................................................................................................ 14
Imagen-03-areas_de_la_seguridad ......................................................................................................................... 15
Imagen-04-vulnerabilidades .................................................................................................................................. 16
Imagen-05-amenazas ........................................................................................................................................... 18
Imagen-06-ataque_ddos ....................................................................................................................................... 19
Imagen-07-mitm ................................................................................................................................................. 20
Imagen-09-inyeccion_sql ...................................................................................................................................... 20
Imagen-10-pdca .................................................................................................................................................. 22
Imagen-11-iso-27001 ........................................................................................................................................... 25
Imagen-12-etapas_investigacion ............................................................................................................................ 30
Imagen-13-criptografia ......................................................................................................................................... 58
6
Índice de tablas
Tabla-01-articulos_ley53-07 ................................................................................................................................... 26
Tabla-02-articulos_ley126-02 ................................................................................................................................. 27
Tabla-03-articulos_ley_budapest............................................................................................................................. 27
Tabla-04-articulos_nortic ...................................................................................................................................... 28
Tabla-05-fases_pdca ............................................................................................................................................ 32
Tabla-06-confidencialidad ..................................................................................................................................... 35
Tabla-07-integridad ............................................................................................................................................. 35
Tabla-08-disponibilidad ......................................................................................................................................... 35
Tabla-09-amenazas_vulnerabilidades ...................................................................................................................... 36
Tabla-10-tabla_riesgos ......................................................................................................................................... 37
Tabla-11-clasificacion_riesgos ................................................................................................................................ 37
Tabla-12-invetario_activos .................................................................................................................................... 38
Tabla-13-analisis_riesgo ........................................................................................................................................ 40
Tabla-14-riesgo_residual ....................................................................................................................................... 41
Tabla-15-controles_a5 .......................................................................................................................................... 42
Tabla-19-clasificacion_informacion ......................................................................................................................... 53
Tabla-21-controles_a10 ........................................................................................................................................ 57
Tabla-26-controles_a16 ......................................................................................................................................... 68
Tabla-29-controles_iso27002 ................................................................................................................................. 74
Tabla-29-declaracion_aplicabilidad ......................................................................................................................... 92
7
Introducción
La información es un recurso imprescindible, llegando al punto de ser un recurso vital para cualquier
organización, por esta razón, es de suma importancia la gestión adecuada para todos los procesos que
impliquen el tratamiento de la información, debido a que su manejo será un indicador de éxito o fracaso
para los objetivos dentro de una empresa que busca desarrollarse de manera exitosa.
El flujo de información, dentro de las empresas cambia a diario, con las operaciones logísticas, financieras,
administrativas, de recursos humanos, producción y en general todos los datos que se manejen dentro de
ella, y el éxito de las mismas dependen en su mayoría de los objetivos fijados.
Las empresas de carácter público tienen la necesidad de asegurar los activos concernientes a ella, debido a
que se le exige la seguridad de los mismos a la vista de todas las amenazas que surgen cada día y los
diversos ataques que enfrentan muchas instituciones a nivel mundial, aquí es donde la seguridad toma el
papel más importante guiando a las entidades a un entorno seguro y confiable por medio de procedimientos,
políticas, estándares, controles, sistemas, etc.
Es por eso que se estará presentando la propuesta de un Sistema de Gestión de la Seguridad de la

Información, donde le permitirá al Ministerio Administrativo de la Presidencia ser más resistentes a los
ciberataques y prevalecer lo que conocemos como la tríada de la seguridad (Confidencialidad, integridad y
Disponibilidad).
8
Capítulo 1 - Marco conceptual
1.1 Descripción del problema.
Debido a las múltiples amenazas y riesgos que se generan en el espacio cibernético, es de vital
importancia que las empresas cuenten con una estrategia de seguridad basada en los riesgos
que podrían ocurrir y que estén alineadas con las necesidades de la organización, con elobjetivo
de contar con un Sistema de Gestión de Seguridad de la información que respalde los activos
esenciales de la empresa.
El Ministerio Administrativo de la Presidencia tiene deficiencia con algunos procesos,

tales como los controles de acceso, donde usuarios acceden a áreas restringidas, centro de
datos y dispositivos a los cuales no deberían tener acceso. También cuenta con problemas de
encriptación, ya que los datos que se intercambian dentro de su red local, no cuentan con un
cifrado la cual pudiera ser interceptado por algún tercero. Otro problema es que no tienen un
control para la ejecución de los procesos como El Proceso de Gestión de Continuidad.
9
1.2 Justificación
Estamos viviendo una era donde las empresas están apoyadas de la tecnología y los datos son el principal
activo que buscan proteger. Con la tecnología podemos brindar un alto nivel de competitividad y brindar
un buen servicio a nuestros clientes, sin embargo, nuestro principal activo está en constantes amenazas y
riesgos, ya sea por procesos que priven de la confidencialidad, integridad y disponibilidad de los datos y
los factores humanos.
Como nos indica la ISO 27001:2013, esta una norma internacional emitida por la Organización
Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa, la cuales nos permitirán Obtener nuevos negocios y fidelizar clientes, Evitar las pérdidas
financieras y las sanciones asociadas con las vulneraciones de datos, Proteger y mejorar la reputación de
la organización y Cumplir con los requisitos comerciales, legales, contractuales y reglamentario.
Al implementar el Sistema de Gestión de seguridad de la Información basado en la ISO 27001:2013 al

Ministerio Administrativo de la Presidencia, le permitirá protegerse de ataques y amenazas que llegaran
a ocurrir. También ayudará a administrar los activos de la organización para prevalecer de lo que
conocemos comola tríada de la seguridad (Confidencialidad, integridad y Disponibilidad) y garantizar
la protección de ella.
10
1.3 Objetivos
1.3.1 Objetivo General

Proponer un Sistema de Gestión de Seguridad de la Información “SGSI” que proteja los activos de la
organización para el “MINISTERIO ADMINISTRATIVO DE LA PRESIDENCIA”, alineado con la
norma ISO 27001:2013
1.3.2 Objetivos Específicos

• Mantener la confidencialidad, integridad y disponibilidad de la información en los
activos de la organización.
• Monitorear el desempeño del Sistema de Gestión de Seguridad.
• Definir las políticas para el SGSI aplicadas para cada proceso.
• Implementación de medidas para mitigar y evitar los riesgos.
• Mantener la infraestructura segura de amenazas externas e internas.
• Mantener a nuestros usuarios informados y capacitados de posibles amenazas y cómo
evitarlas.
11
1.4 Alcance
Este proyecto abarcará el diseño de un Sistema de Gestión de Seguridad de la Información “SGSI”, donde
se estarán aplicando políticas al departamento de tecnología de la información basándose en la norma ISO
27001:2013.
1.5 Descripción de la empresa
1.5.1 Misión
Ofrecer apoyo administrativo transparente y eficiente a las ejecutorías de la Presidencia de la

República.
1.5.2 Visión
Ser el Ministerio modelo de gestión en la administración pública a favor de la ciudadanía.
1.5.3 Valores
• Integridad: Todas las actuaciones del personal que labora en el Ministerio Administrativo de la
Presidencia (MAPRE) se realizan con transparencia y responsabilidad.
• Innovación: El personal del MAPRE desempeña sus funciones utilizando de manera creativa las
herramientas con las que cuenta para ello.
• Compromiso: Todos los colaboradores y colaboradoras del MAPRE están identificados con el
logro de los objetivos institucionales.
• Inclusión: En el MAPRE se respeta la diversidad en el marco del respeto a los derechos humanos.
• Transparencia: El personal del MAPRE ejecuta de forma transparente las actividades que realiza,
las cuales son de carácter público y deben ser accesibles al conocimiento de toda persona física o
jurídica.
12
1.5.4 Estructura organizacional
Imagen-01 | Estructura Organizacional

13
Capítulo 2 – Marco Teórico
2.1 Antecedentes de la Investigación

Desde los inicios de la tecnología, las organizaciones y empresas se han enfocado en mejorar los sistemas
de información, dejando de lado la seguridad de la información. Hoy en día, los sistemas informáticos, los
sistemas computacionales y lo que conocemos como IoT (Internet of Thing / internet de las cosas), se han
dado cuenta del valor de la información de cada una de las personas y lo fácil que es acceder a ella,
exponiendo a que esa información sea utilizada por terceros o personas no autorizada.
Hoy en día, existen personas en todo el mundo que se han dedicado a realizar ataques a empresas,
organizaciones y hasta ataques dirigidos a personas específicas con el fin de obtener información paracometer
actos delictivos, con el fin de perjudicar a la víctima.
Actualmente se necesita garantizar que los sistemas de información incluyan criterios de seguridad, ya
que, esta debe de mantenerse segura para evitar exponer información confidencial, manteniendo su
integridad y confidencialidad de ella misma. Para garantizar esto, se implementan controles de seguridad,
las cuales son un conjunto de normas y procedimientos para garantizar lo que conocemos como la tríada de
la seguridad informática (Confidencialidad, integridad y disponibilidad) en los sistemas de información.
En la investigación relacionada al SGSI, se ha tomado como punto de referencia el SGSI basado en la norma
ISO/IEC 27001:2013 para el Ministerio administrativo de la Presidencia de 2021, donde habían propuesto
un SGSI para proteger los activos y procesos de la organización.
El Sistema de Gestión de Seguridad que nos basaremos, tiene como objetivo mantener el compromiso de
la alta dirección en la asignación de recursos, el compromiso del personal y el cumplimiento de objetivos,
sin descuidar el apego al marco legal y regulatorio que rige al ministerio.
14
2.2 Seguridad de la Información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las

organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información
buscando mantener la confidencialidad, la disponibilidad e integridad de datos.
2.2.1 Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de información a individuos,

entidades o procesos no autorizados. A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la debida autorización.
2.2.2 Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es
igual a integridad referencial en bases de datos.) A grandes rasgos, la integridad es mantener
con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas
o procesos no autorizados.
2.2.3 Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a

disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A
grandes rasgos, la disponibilidad es el acceso a la información y a los sistemas por personas
autorizadas en el momento que así lo requieran.
Imagen-02 | Triada de la Seguridad

15
2.3 Seguridad Informática
Proceso de prevenir y detectar el uso no autorizado de un sistema informático. Implica el proceso de

proteger contra intrusos el uso de nuestros recursos informáticos con intenciones maliciosas o con
intención de obtener ganancias, o incluso la posibilidad de acceder a ellos por accidente.
Al hablar de seguridad informática es fundamental distinguir algunas de las tipologías que existen, siendo
los principales elementos a dar protección el software, la red y el hardware.1
2.3.1 Seguridad de hardware
Este tipo de seguridad se relaciona con la protección de dispositivos que se usan para proteger sistemas y
redes —apps y programas de amenazas exteriores—, frente a diversos riesgos.
2.3.2 Seguridad de software
Usado para salvaguardar los sistemas frente ataques malintencionados de hackers y otros riesgos
relacionados con las vulnerabilidades que pueden presentar los softwares.
2.3.3 Seguridad de red
Principalmente relacionada con el diseño de actividades para proteger los datos que sean accesibles por
medio de la red y que existe la posibilidad de que sean modificados, robados o mal usados. Las
principales amenazas en esta área son: virus, troyanos, phishing, programas espía, robo de datos y
suplantación de identidad.
Imagen-03 | Áreas de la Seguridad Informática

16
2.4 Vulnerabilidad
Una vulnerabilidad de seguridad es una falla o debilidad en un sistema de información que compromete
su seguridad. Es un "defecto" que puede ser causado por un error de configuración, falta de proceso o
falla de diseño. Los ciberdelincuentes aprovechan las vulnerabilidades en un sistema informático (como
un sistema operativo) para infiltrarse y participar en actividades ilegales, robar información confidencial
o evitar que funcione.
Esta son las principales vulnerabilidades que pueden afectar las empresas y organizaciones hoy en día:
2.4.1 Vulnerabilidades del sistema
Los sistemas y aplicaciones informáticos siempre tienen algún error en su diseño, estructura o código que
genera alguna vulnerabilidad. Por muy pequeño que sea ese error, siempre podrá generar una amenaza
sobre los sistemas y la información, siendo la puerta de entrada para recibir ataques externos o internos.
Las principales vulnerabilidades suelen producirse en:
• Errores de configuración. Errores en la gestión de recursos.

• Errores en los sistemas de validación. Errores que permiten el acceso a directorios.
• Errores en la gestión y asignación de permisos.
Imagen-04 | Vulnerabilidades
17
2.4.2 Vulnerabilidades producidas por contraseñas
Con el teletrabajo y el cloud computing la gestión de contraseñas se ha convertido en uno de los puntos
más importantes en ciberseguridad. Para acceder a las plataformas de trabajo de las empresas es necesario
utilizar un usuario y contraseña. Utilizar contraseñas poco seguras genera vulnerabilidades en los sistemas,
pues si son fácilmente descifrables pueden generar incursiones de terceros no autorizados que pueden robar,
modificar o eliminar información, cambiar configuraciones si disponen de los privilegios apropiados, o
incluso apagar equipos
.
La generación de contraseñas seguras es una de las claves para incrementar el nivel de ciberseguridad de
las empresas.
2.4.3 Vulnerabilidades producidas por usuarios
Una de las principales causas de los ataques informáticos está relacionada con un uso incorrecto o
negligente por parte de un usuario. Una mala asignación de privilegios o permisos puede hacer que un
usuario tenga acceso a opciones de administración o configuración para las que no está preparado,
cometiendo errores que suponen una amenaza para la empresa.
El error humano es otra causa de riesgos en ciberseguridad. El usuario siempre tiene el riesgo de cometer
un error que pueda generar una vulnerabilidad que suponga una amenaza informática. Por eso en
ciberseguridad se tiende a automatizar procesos críticos para minimizar o eliminar el factor de riesgo del
error humano.
Las malas prácticas o la falta de formación en ciberseguridad también generan vulnerabilidades, como la
apertura de ficheros de dudosa procedencia, engaños por publicidad falsa, apertura de correos fraudulentos
y similares. Estas acciones son una amenaza a sufrir ataques como el phishing (suplantación de identidad)
o similares.
18
2.5 Amenaza
Es toda aquella acción que aprovecha una vulnerabilidad para atacar o invadir un sistema informático.
Las amenazas informáticas para las empresas provienen en gran medida de ataques externos, aunque
también existen amenazas internas (como robo de información o uso inadecuado de los sistemas).
Esta son las principales vulnerabilidades que pueden afectar las empresas y organizaciones hoy en día:
2.5.1 Amenazas de Malware

Los programas maliciosos son una de las mayores ciber amenazas a la que se exponen las empresas.
Dentro del malware existen distintos tipos de amenazas, siendo las principales.
2.5.1.1 Virus
Los virus informáticos son un software que se instalan en un dispositivo con el objetivo de ocasionar
problemas en su funcionamiento. Para que un virus infecte un sistema es necesaria la intervención de un
usuario (intencionada o inintencionadamente).
2.5.1.2 Gusanos
Es uno de los malware más comunes que infectan los equipos y sistemas de una empresa, ya que no
requieren de la intervención del usuario ni de la modificación de algún archivo para poder infectar un
equipo. El objetivo de los gusanos es el de replicarse e infectar el mayor número de dispositivos posibles
utilizando la red para ello. Son una amenaza para las redes empresariales, porque un solo equipo infectado
puede hacer que la red entera se vea afectada en un espacio corto de tiempo.
Imagen-05 | Amenazas
19
2.5.1.3 Troyanos
Los troyanos son programas que se instalan en un equipo y pasan desapercibidos para el usuario. Su
objetivo es el de ir abriendo puertas para que otro tipo de software malicioso se instale.
2.5.1.4 Ransomware
El Ransomware se ha convertido en el malware más temido en la actualidad por las empresas. Consiste en
encriptar toda la información de la empresa, impidiendo el acceso a los datos y los sistemas y se pide un
rescate para poder liberar la información (normalmente en criptomonedas como bitcoins).
2.5.1.5 Keyloggers
Se instalan a través de troyanos y se encargan de robar datos de acceso a plataformas web, sitios
bancarios y similares.
2.5.2 Amenazas de ataques de denegación de servicio
Un ataque de denegación de servicio distribuido (DDoS) se produce cuando un servidor recibe muchas
peticiones de acceso, sobrecargando el sistema y haciendo que el servidor caiga o funcione de forma
incorrecta (acceso lento o rebotando mensajes de errores). Para realizar este tipo de ataques se utilizan
muchos ordenadores (bots) que de forma automatizada hacen peticiones a ese servidor.
Los ataques DDoS son muy habituales contra servidores o servidores web de empresas, por lo que es muy
importante disponer de medidas protectoras contra esta peligrosa amenaza que puede dejar fuera de servicio
la actividad de una empresa.
Imagen-06 | Ataque DDOS

20
2.5.3 Otras amenazas informáticas
Existen muchas otras amenazas informáticas que afectan a las empresas como los ataques por Inyección
SQL que afectan a servidores de bases de datos empresariales, red de equipos zombies (utilizando
recursos de la empresa para actividades ilícitas), ataques MITM (man in the middle), etc.
Los ciberdelincuentes no descansan y siempre buscan nuevas formas de atacar, infectar y robar
información de las empresas, por lo que la ciberseguridad debe ser una actividad flexible y dinámica que
se adapte a las nuevas amenazas.
Las vulnerabilidades hacen susceptibles a las empresas de las amenazas informáticas. Eliminar
vulnerabilidades será por lo tanto una de las principales acciones de la ciberseguridad para reducir las
amenazas informáticas.
Imagen-07 | MITM
Imagen-08 | Phising
Imagen-09 | Inyección SQL

21
2.6 Sistema de Gestión de la Seguridad de Información
Un Sistema de gestión de seguridad de la información (SGSI) lo podemos definir como un

conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociadas
que son administradas colectivamente por una organización, en la búsqueda de proteger sus
activos de información esenciales.2
Su implantación es una decisión estratégica de la dirección de la empresa y su objetivo

principal es preservar la confidencialidad, integridad y disponibilidad de los activos de
información de la organización.
En los SGSI se tienen en cuenta cinco niveles básicos de aplicación:
● La Seguridad en las redes: Transporte seguro de la información a través de

infraestructuras de comunicación.
● La Gestión de acceso e identidad: Protección de los mecanismos responsables de

establecer permisos y vigilar accesos a los sistemas y aplicaciones.
● La Seguridad en los sistemas: Asesoría específica para técnicos y administradores

de sistemas sobre la aplicación de medidas de protección de forma centralizada,
preventiva y reactiva.
● La Seguridad en aplicaciones y datos: Seguridad de los sistemas de almacenamiento

remotos y locales.
● La Protección en el puesto de trabajo: Protección del usuario y de su equipo,

incluyendo hardware y software.
22
Con el fin de guiar a las empresas en este proceso, la norma ISO/IEC 27001 establece un conjunto
de estándares internacionales para el diseño, la implantación y el mantenimiento deun SGSI. En
este sentido, la norma señala el modelo PDCA (Plan, Do, Check, Act), que permite verificar los
resultados obtenidos y mejorar el sistema a través de cuatro fases cíclicas de gestión.
Imagen-10 | PDCA
La norma iso 27000 incluye el ciclo de Deming, como bien sabemos consiste en Planificar-
Hacer-Verificar-Actuar (PHVA) y puede ser aplicado a todos los procesos. La metodología
PHVA se puede describir de la siguiente forma:
● Fase Plan (Planificación): Establece los objetivos de la seguridad de la información

y selección de los controles adecuados de seguridad.
● Fase Hacer (Implementación): La etapa de implementación se estructura en el
período anterior. Dar instrucciones adecuadas sobre cómo hacerlo.
● Fase Verificar (Revisión): Durante este período de observación Implementación de
SGSI a través de diferentes "canales", se verifican siempre los resultados cumplen con
los objetivos marcados.
● Fase Actuar, Mantenimiento y Mejora: Genera la imagen completa, medidas para
prevenir y corregir SIG, para asegurar la mejora continua de él.
23
2.6.1 Ventajas de la implantación de un SGSI
Ventajas que podemos obtener al implementar un Sistema de Gestión de Seguridad:
Asegura la continuidad del negocio
Una filtración de datos puede dañar una empresa hasta el punto de comprometer su viabilidad. La
implantación de un SGSI prepara a las organizaciones para reaccionar rápidamente ante cualquier amenaza o
eventualidad, minimizando su impacto o inclusoevitándose.
Optimización de recursos y costes
Un sistema de gestión garantiza que los riesgos sean asumidos, gestionados y minimizados de forma
sistemática. El proceso de evaluaciones periódicas ayuda a mejorar continuamente el sistema asegurando su
fiabilidad y máxima eficiencia. Un mal funcionamiento del SGSI podría comportar pérdidas económicas
asociadas tanto a ataques cibernéticos y filtraciones de datos como a interrupciones del servicio y fallos del
sistema.
Ventaja competitiva
Los SGSI mejoran la credibilidad de las organizaciones, ya que su implantación supone una garantía de
calidad que demuestra el compromiso de la empresa con la protección de la información que almacena y/o
transmite. En este sentido, disponer de la certificación ISO/IEC 27001 puede convertirse en un elemento que
diferencia una empresa de sus competidores.
Fortalece la confianza en la empresa
Mantener la privacidad y la integridad de los datos es una prioridad de la mayoría de las organizaciones y,
especialmente, de aquellas que manejan información personal y sensible de sus clientes, usuarios y
proveedores.
24
Cumplimiento de la ley
Las empresas evitan sanciones relacionadas con datos almacenados, privacidad y protección
de datos, adecuando sus políticas de seguridad a las normativas y requisitos legales tanto
nacionales como internacionales.3
2.6.2 Desventajas de la implantación de un SGSI
● Su puesta en marcha implica una inversión inicial de recursos dinerarios para hacer
frente a los gastos de implantación y auditoría.
● Existe detraer recursos humanos de la empresa, que deberán dedicar parte de su tiempo
a preservar que el proceso se ejecute según lo previsto. La persona o personasque se
involucren en el SGSI podrían dedicar entre el 10 y el 15 por ciento de su jornada
laboral a este proceso.
● Los procesos de implantación de un SGSI exigen un cambio de mentalidad y de
rutinas laborales frente a los que suelen aflorar reticencias.
● En ocasiones, estos procesos siguen las reglas del estándar internacional, pero podrían
no asegurar el cumplimiento de las normas internas. En el caso de la normativa de
protección de datos, la función de velar por su cumplimiento se atribuye a la AEPD por
Ley.
● Mayor costo de implantación, en relación con un solo sistema particular de gestión.
● Mayor esfuerzo en materia de formación, de organización y de cambio de la cultura
empresarial.
● Déficit de personal capacitado para la realización de auditorías de los sistemas de
gestión existentes.
● Se requiere de mayor esfuerzo en la planificación, el control de los procesos y en la
toma de decisiones.4
3
cenntanni. (1 de octubre de 2013).
4
protecciondatos. (24 de julio de 2018)
25
2.7 Norma ISO/IEC 27001
Es un estándar internacional emitido por la organización internacional. La estandarización (ISO) describe

cómo administrar la seguridad de la información. En compañía. La revisión másreciente de esta norma es
ISO/IEC 27001:2013. Se ha publicado la primera enmienda en 2005 y desarrollado en base a la norma
británica BS 7799-2.
2.7.1 Beneficio de la Norma ISO/IEC 27001
Le permite reducir los riesgos potenciales de vulnerabilidades en sus sistemas de TI, También mejora la
información que suelen manejar los empleados de la empresa Operaciones y servicios prestados, mejor
organización de las operaciones, Incrementar la competitividad de la empresadebido al interés en la misma,
proteger la integridad, confiabilidad y disponibilidad de la información.
Imagen-11 | Iso 27001

26
2.8 Marco legal
Al momento de implementar un SGSI, debemos tomar en cuenta las implicaciones que estasconllevan, entre
ellas, las implicaciones legales, en el caso del SGSI para el Ministerio Administrativo de la Presidencia, este
marco legal nos permitirá conocer qué leyes pueden soportar, ya que, si se realiza un incumplimiento de
alguno de estos controles, puede estar cometiendo un delito en las regulaciones legales dominicana.
2.8.1 Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología.
Esta ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información y
comunicación y su contenido, así como la prevención y sanción de los delitos cometidos contra éstos o
cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías en perjuicio de personas
física o morales, en los términos previstos en estaley. La integridad de los sistemas de información y sus
componentes, la información o los datos, que se almacenan o transmiten a través de éstos, las transacciones
y acuerdos comerciales o de cualquiera otra índole que se llevan a cabo por su medio y la confidencialidad
de éstos, son todos bienes jurídicos protegidos.
Tabla-01 | Artículos ley 53-07

Artículos que tomaremos en cuenta a respetar
Artículo 5 Códigos de Acceso.
Artículo 6 Acceso Ilícito.
Artículo 9 Interceptación e Intervención de Datos o Señales.
Artículo 10 Daño o Alteración de Datos.
Artículo 11 Sabotaje.
Artículo 18 De la Falsedad de Documentos y Firmas.
27
2.8.2 Ley No. 126-02 sobre el Comercio Electrónico, Documentos

y Firmas Digitales
La cual regula toda relación comercial, estructurada a partir de la utilización de uno o más
documentos digitales o mensajes de datos o de cualquier otro medio similar. Aquí haremos
énfasis en los siguientes artículos:7
Tabla-02 | Artículos ley 126-02

Artículo 8 Integridad del documento digital o mensaje de datos.
Artículo 10 Criterio para valorar probatoriamente un documento digital o un mensajede datos.
Artículo 34 Documentos digitales firmados digitalmente
Artículo 59 Certificacionesrecíprocas.
2.8.3 Ley de Budapest
Esta trata del primer tratado internacional creado con el objetivo de proteger a la sociedadfrente a los delitos
informáticos y los delitos en Internet, mediante la elaboración de leyes adecuadas, la mejora de las técnicas
de investigación y el aumento de la cooperación internacional.
Tabla-03 | Artículos ley Budapest

Artículo 8 Fraude informático
Artículo 24 Extradición
28
2.8.4 Normas sobre Tecnologías de la Información y Comunicación –NORTIC
Las NORTIC son normas de tecnologías de la información y comunicación, creadas por el

Departamento de Estandarización, Normativa y Auditoría Técnica (ENAT), en el 2013, lascuales tienen
como objetivo principal el establecimiento de estándares generales, relacionados con aspectos tecnológicos.
Se estarán aplicando normas de categoría A y E.
● Categoría A (normas universales), para las normas que aplican para todos los
organismos gubernamentales.
● Categorías E (normas especiales), para las normas que aplican a organismos
gubernamentales con características específicas dependiendo de sus funciones y
estructura orgánica, así como para iniciativas, proyectos o programas de gobierno, en
el cual se haga uso de las TIC.
Tabla-04 | Nortic

NORTIC A2 Es la norma para la Creación y Administración de Portales Webdel Gobierno
Dominicano. Esta norma indica las directrices y recomendaciones que debe
seguir cada organismo del Gobierno Dominicano para la creación y gestión de su
portal web, la versión móvil del mismo, y el sub-portal de transparencia, con el
fin de lograr una forma de visual y navegación web homogénea entre toda la
administración pública de la República Dominicana.
NORTIC A3 Es la norma que establece las pautas necesarias para lacorrecta implementación
de Datos Abiertos en el Estado Dominicano.
NORTIC A4 Establece las directrices que deben seguir los organismos a fin de lograr
interoperar con organismos del Estado Dominicano, permitiendo así el
intercambiode información de una manera efectiva.
NORTIC A5 Esta norma regirá la prestación y automatización de los serviciospúblicos del
Estado Dominicano.
NORTIC E1 Establece las directrices que deben seguir los organismos gubernamentales para
establecer una correcta comunicación con el ciudadano por medio delas redes
sociales.
29
Capítulo 3 - Marco metodológico
3.1 Tipo de investigación

El tipo de investigación que estaremos desarrollando será la investigación aplicada.
3.1.1 Investigación aplicada
Este tipo de investigación tiene como finalidad resolver un determinado problema, se enfocaen la búsqueda
y consolidación del conocimiento para su aplicación y, por ende, para el enriquecimiento del desarrollo
cultural y científico. Este tipo de investigación se divide en dos: Investigación aplicada tecnológica e
investigación aplicada científica.
3.1.2 ¿Por qué realizar la investigación aplicada?

El método científico permite explicar el mundo que nos rodea. Los conocimientos teóricos son necesarios
para descubrir leyes generales, pero deben aplicarse a la realidad. Así, esto es lo que hace que mejoren
nuestras vidas.
Por eso, este tipo de investigación tiene una razón de ser:
1. En primer lugar, toda teoría tiene, en definitiva, una aplicación práctica. Desde la macroeconomía,
permitiendo realizar políticas económicas, hasta la medicina y los tratamientos de enfermedades.
2. Por otro lado, es de utilidad en el sector privado. Así, permite generar un nuevo conocimiento que
mejora los procesos productivos o la prestación de un servicio. A su vez, puede dar lugar a un
aumento en la calidad, una reducción de costes o una mayor protección medioambiental.
3. En otro orden, la propia Administración Pública también puede verse beneficiada. Las aplicaciones
prácticas sirven para mejorar las vidas de los ciudadanos. Conociendo esto, se puede administrar
de forma racional el dinero público.
30
3.1.3 Características de la investigación aplicada
La investigación aplicada tiene una serie de características basadas en su objetivo principal:
1. Permite aplicar la ciencia a los problemas de la sociedad y las empresas. Para hacerlo, se nutre de
las enseñanzas de la investigación básica, de la que toma los conocimientos necesarios.
2. Su objetivo es resolver situaciones que se presentan en la realidad. Por eso, su enfoque es claro,
analizar y estudiar dichos problemas para encontrar soluciones.
3. Una vez se encuentran las respuestas, se puede aplicar en situaciones similares. Por este motivo,
puede ser duplicada por otros investigadores.
4. Su fin es crear nuevo conocimiento que mejore la vida de las personas, los procesos productivos
de las empresas o la prestación de servicios públicos y privados.
Imagen-12 | Etapas de la Investigación Aplicada

31
3.2 Métodos de investigación
3.2.1 Método cualitativo
Esta se refiere al tipo de procedimientos de recopilación de información más empleados en las ciencias
sociales. Se trata de métodos de base lingüístico-semiótica. Emplean técnicas distintas a la encuesta y
al experimento, tales como entrevistas abiertas, grupos de discusión, o técnicas de observación
participante.
Todo método cualitativo aspira a recoger los discursos completos sobre un tema específico, para luego
proceder a su interpretación, enfocándose así en los aspectos culturales e ideológicos del resultado, en
lugar de los numéricos o proporcionales. Esto implica comprender el contexto natural y cotidiano del
fenómeno estudiado. También considera lossignificados que se le atribuyen y las valoraciones que las
personas hacen. Dicho de otro modo, y parafraseando a Taylor y Bogdan (1984), el método cualitativo
8
plantea comprender lo que la gente piensa y dice.
3.2.2 Características del método cualitativo

Las investigaciones cualitativas suelen ser multi metódicas en su aproximación al objeto de estudio, es
decir, que suelen aplicar distintos métodos de obtención de información al mismo tiempo. Arroja datos de
tipo descriptivo: el contenido cultural de las personas, los datos observables de lo que dicen, etc. 9
32
3.3 Metodología del proyecto
3.3.1 Metodología de Deming -PDCA
La metodología que vamos a implementar para este proyecto se basará en el ciclo de mejora continua
PDCA (planear, hacer, verificar, actuar) o ciclo de Deming de la iso 27001.
las fases y actividades que estaremos desarrollando serán presentada en el siguiente recuadro10
Tabla-05 | Fases ciclo PDCA

33
3.4 Alcance del SGSI
Este proyecto abarca el diseño de un Sistema de Gestión de Seguridad de la Información “SGSI”, donde
se estarán aplicando políticas al departamento de tecnología de la información basándose en la norma ISO
27001:2013.
Se pretende alcanzar primera etapa del ciclo de Deming, permitiendo reevaluar los procesos una y otra vez,
de forma cíclica, asegurando así el progreso continuo de la organización. Estas etapas consisten en:
Plan (planificar): es la primera etapa del ciclo de Deming y es donde se identifica el problema, se crean
objetivos para solucionarlo (como los SMART) y se designan los deberes para lograr dichos objetivos.
Do (hacer): en la segunda etapa del ciclo PHVA los empleados empiezan a trabajar en los cambios para
lograr los objetivos planteados, bajo instrucciones previas. En este proceso es recomendable mantener al
equipo supervisado y, de ser necesario, hacer una prueba piloto.
Check (verificar): transcurrido un periodo de tiempo previamente definido desde que se comienzan a hacer
las actividades, en la tercera etapa del ciclo de Deming se procede a evaluar los resultados con base en
los KPI seleccionados para cada objetivo. De este análisis se comprueba la eficiencia y eficacia de las
acciones tomadas.
Act (Actuar): en la “última” etapa del ciclo de Deming se toman decisiones con base en el aprendizaje
obtenido. Si hubo fallas, se definen acciones correctivas. Si, por el contrario, los resultados fueron óptimos,
se documenta dicho cambio y se integra dentro de los procesos empresariales.
34
3.5 Metodología para el análisis de riesgos
3.5.1 ISO 27005

Establece lineamientos para la gestión de riesgos relacionados con la seguridad de la información,
establece cuatro pasos fundamentales para la implementación de la misma:
3.5.2 Establecer el contexto.

3.5.3 Identificación de los riesgos relacionados con seguridad de la información.
3.5.4 Análisis.
3.5.5 Evaluación.
Al respecto también es importante tener en cuenta en el caso de los riesgos de seguridad de la

información, establecer un inventario y calificación de activos de la información que se integran
posteriormente a la gestión de los riesgos.
La norma ISO 27005 contiene diferentes recomendaciones y directrices generales para la gestión de riesgo
en Sistemas de Gestión de Seguridad de la Información. Puedes conocer más sobre la norma ISO27005 en
el siguiente post ISO/IEC 27005. Gestión de riesgos de la Seguridad de la Información.
Es compatible con los conceptos generales especificados en la norma ISO 27001 y se encuentra diseñada
como soporte para aplicar de forma satisfactoria un SGSI basado en el enfoque degestión de riesgos.
35
3.6 Activos
3.6.1 Valoración de Activos
Tabla-06 | Confidencialidad
Tabla-07 | Integridad
Tabla-08 | Disponibilidad
36
3.6.2 Amenazas y Vulnerabilidades según la ISO
Tabla-09 | Amenazas y vulnerabilidades

37
3.6.3 Tablas de Riesgos
Para calcular el análisis de Riesgo se tomará como referencia la siguiente tabla:
Tabla-10 | Tabla de Riegos
Tabla-11 | Clasificación de Riegos

38
3.6.4 Inventario de Activos

La siguiente tabla muestra los inventarios de activos de la organización, teniendo énfasis y enfocándose en el
área de TI
Tabla-12 | Inventario de Activos

39
40
3.6.5 Análisis de Riesgo
Tabla-13 | Análisis de Riesgo

41
3.6.6 Riesgo Residual
Tabla-14 | Riesgo Residual

42
3.7 Dominios y controles
A5. Políticas de seguridad de la información
Objetivo:
Proporcionar dirección y apoyo administrativo en materia de seguridad

de la información, de conformidad con los requisitos comerciales y las
leyes y reglamentos pertinentes, guiando en cómo serán escritas y
revisadas las políticas de seguridad.
Alcance:
Esta política se aplicará a todos los activos tanto físicos y tecnológicos
que sean
pertenecientes únicamente a la organización
Controles:
A5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

A5.1.1 Políticas para la seguridad de la información
A5.1.2 Revisión de las políticas de seguridad de la información
Área responsable:
Departamento de TI, división de seguridad de la información.

43
Políticas:
• Toda política que sea: agregada, modificada o eliminada, debe ser aproada por la alta gerencia a cargo
de la seguridad de la organización.
• Toda política que sea: agregada, modificada o eliminada, debe ser emitida y notificada a todo el
personal interno y externo que laboren en la organización.
• Es responsabilidad de todo el personal de la organización, mantener la seguridad de la información
• Toda la información debe ser clasificada para determinar la valoración que tenga para la organización.
Independientemente del cargo que tenga en ella.
• La información interna o confidencial de la organización y usuarios en ella no puede estar disponible
ya sea, a personas o entidades que no pertenezcan a la organización, o sea, externas.
• Todo personal de la organización o aquellos que presten servicios a ella, debe tener el conocimiento
del SGSI.
• Todo personal de la organización sólo tendrá acceso a la información necesaria para cumplir con su
labor en la organización.
• Todo incumplimiento de una de las políticas implementadas en este SGGI, será sancionado por la
falta grave de incumplir las normas.
44
A6. Organización de la seguridad de la información
Objetivo:
Garantizar la seguridad del teletrabajo y del uso de los dispositivos móviles

dentro de la organización.
Alcance:
Esta política se aplicará para todo el personal de la organización que labore de
manera interna o externa a ella.
Controles:
A6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

A6.1.1 Roles y responsabilidad de seguridad de la información
A6.1.2 Segregación de deberes
A6.2.1 Política de dispositivos móviles.
A6.2.2 Teletrabajo
Área responsable:
Departamento de Recursos Humanos.

45
Políticas:
Roles y responsabilidades de seguridad de la información
Departamento:
• Dirección General Administrativa.
Rol o función a desempeñar:
• Supervisión General de los procesos administrativos y operativos de la organización.
Responsabilidades:
• Aprobar y comunicar las políticas de seguridad de la información emitidas por el departamento de

seguridad de la información.
• Supervisar y evaluar el trabajo que desempeñan los empleados.
• Mejorar los proyectos y las políticas legales de la compañía.
Departamento:
• Dirección de TI.
• Realizar el mantenimiento de equipos y soporte, así como la detección y resolución de posibles

averías.
• Gestionar y asignar las cuentas y recursos de los usuarios.
• Instalación, configuración y actualización de softwares.
Responsabilidades:
• Incorporar estándares de calidad asociados a Tecnologías de Información y Comunicación que

permitan realizar mejoras continuas en los procesos de la Dirección del Trabajo.
• Coordinar y velar por el cumplimiento de políticas e instrucciones gubernamentales dictadas en el
ámbito de tecnologías de información y comunicación.
• Evaluar e incorporar nuevas tecnologías en la Dirección del Trabajo.
46
Departamento:
• Encargado de Ciberseguridad.
• Supervisión de las decisiones tomadas en tecnología para mantener protegida la organización.
Responsabilidades:
• Diseño e implementación de medidas y controles de seguridad

• Supervisión de la actividad de la red para identificar puntos vulnerables de acceso
• Actuar frente a infracciones a la privacidad y amenazas de malware
Departamento:
• Dirección de Recursos Humanos (RR-HH).
• atraer los mejores candidatos

• obtener las mejores competencias
• retener y motivar a los mejores empleados dentro de la empresa siempre con el objetivo macro, de
mejorar la productividad de la organización.
Responsabilidades:
• Planificar, dirigir y coordinar las actividades del personal y las relaciones laborales, así como las
políticas y prácticas de una compañía.
• Reclutar y seleccionar personal, sabiendo concretamente cuáles son las carencias de talento y qué
perfil de persona podrá encajar en cada puesto de trabajo.
• Organizar los procedimientos de capacitación, promoción, transferencia y despido de personal.
• Planificar las negociaciones y procedimientos para la determinación de las estructuras salariales o
laborales.
• Evaluar el entorno de trabajo teniendo en cuenta el ambiente y el estado de cada trabajador.
• Llevar a cabo la administración de personal y de trámites como contratos, nóminas y otros.
47
Segregación de deberes
Todo personal de la organización es responsable de asegurar de que se cumplan las políticas y controles de
seguridad y se implemente de acuerdo al SGSI implementado.
Todo personal, departamento y área de la organización será responsable de:

• Asegurarse de cumplir las políticas de seguridad del SGSI implementadas en la organización.
• Toda la información debe ser debidamente inventariada y clasificada siguiendo los lineamientos de la
organización.
En caso de que el personal, departamento o área de la organización que incumpla con lo establecido, será
sancionado con los lineamientos establecidos por la empresa.
Dispositivos Móviles
• Todo dispositivo asignado o personales que se conecten a la red deben ser registrados y evaluados por
un personal de TI para verificar la seguridad del dispositivo.
• Todo dispositivo que sea cancelado o perdido debe de notificarse al departamento de TI para realizar
el registro de la cancelación o pérdida del dispositivo.
• Todo dispositivo asignado debe contener una clave de seguridad o patrón para mantener la seguridad
del dispositivo.
• Todo dispositivo debe actualizar su software siempre y cuando haya una versión posterior a la
instalada.
• Todo dispositivo debe de mantener su información en ella segura, encriptando todos sus datos con
una clave privada.
48
Directrices para el teletrabajo
Consejos preventivos:
• Se habilitará una zona con espacio suficiente para contener los dispositivos y materiales de trabajo.
• Se aislará los ruidos internos y externos propios de la casa.
• Se fijarán los cableados eléctricos sueltos en el área de trabajo.
• Se realizarán pausas para consumir sus alimentos.
• Se realizarán pausas para descansos si tiene cansancio o perdida de concentración.
Medidas de Seguridad:
• El usuario debe asegurarse de que su equipo contenga un antivirus la cual debe ser actualizado
semanal.
• Se bloquearán los puertos USB para los medios de almacenamientos externos.
• Se configurará protectores de pantalla con clave o huella cuando el dispositivo no esté en uso.
• No dejar ningún medio de almacenamiento externo/pendrives olvidados en el entorno de trabajo.
• Se realizarán pausas para descansos si tiene cansancio o perdida de concentración.
• Protector e pantalla con una activación de 5 minutos de inactividad
Instalación base para el equipo:
• Sistema operativo licenciado y aprobado por la organización.

• Drives internos instalados y seleccionados por la organización.
• Actualizaciones aprobadas por la organización
• Antivirus corporativo y Firewall Activo
• Control MAC y IP
• OpenVPN
• Adobe Reader
49
A7. Seguridad relativa a los recursos
Objetivos:
Asegurara que los empleados y personas contratadas cumplan sus responsabilidades y

que sean aptos y capacitados para el rol la cual están siendo considerados.
Concientizar y educar a los empleados desde su ingreso y en forma continua, acerca de

las medidas de seguridad que se deben seguir en la organización, haciendo hincapié en
las posibles sanciones ante un acto negligente que ponga en riesgo los activos de
información.
Alcance:
Esta política es aplicable para todos los empleados de la entidad.
Controles:
A7. SEGURIDAD RELATIVA A LOS RECURSOS

A7.1.1 Verificación de antecedentes
A7.1.2 Términos y condiciones del empleo
A7.2.2 Conciencia, educación y entrenamiento de seguridad de la información
A7.2.3 Proceso disciplinario
A7.3.1 Termino de responsabilidades o cambio de empleo
Área responsable:

50
Políticas:
Previo al Empleo.
• Se investigará al posible candidato con el fin de verificar si existen referencias en el ámbito profesional
• Tener en consideración las referencias del posible candidato.
• Se confirmará la veracidad del CV durante las entrevistas telefónica y presencial.
• Se comprobará las calificaciones académicas declaradas.
• Se comprobará si el posible candidato tiene la capacitación necesaria para desempeñar el rol.
Durante el Empleo.
• Todos los empleados firmaran un acuerdo de confidencialidad donde se establecen algunas

penalidades en caso de divulgación de información.
• Se informará al empleado cada uno de sus roles y responsabilidades que deberán desempeñar en la
organización.
• Los empleados que no cumplan con su rol o responsabilidad en la organización serán penalizados y
hasta en algunos casos, despido.
• Los empleados recibirán capacitaciones y talleres sobre el manejo de la información y amenazas
comunes en la empresa por el departamento de seguridad de la información.
• Los colaboradores contratados estarán en un periodo de prueba de 3 meses.
• Solo se le permitirá el acceso a la información a los colaboradores que presenten sus propias
credenciales.
Finalización o cambio de la relación laboral o empleo.
• El departamento de RRHH está sujeto a garantizar el debido proceso de cese o

cambio de trabajo del colaborador.
• Si el colaborador obtiene tres amonestaciones por la divulgación de información sensible se procederá
al cese de sus funciones en la empresa.
• El ex-empleado bajo el contrato de confidencialidad estará sujeto a la prohibición de la divulgación
de la información manejada en su estancia en la empresa, en caso
contrario se procederá a demandar.
51
A8. Gestión de Activos
Objetivos:
El objetivo de esta política es identificar todos los activos y definir las

responsabilidades de protección adecuadas, asegurando que el activo reciba el
nivel de protección adecuado de acuerdo con la importancia en la organización.
Alcance:
El alcance de esta política abarca todos los activos dentro de la organización y

procesos
operacionales que requieran la utilización de algunos de estos activos.
Controles:
A8. GESTION DE ACTIVOS

A8.1.1 Inventario de activos
A8.1.2 Propiedad de los activos
A8.1.3 Uso aceptable de los activos
A8.1.4 Devolución de activos
A8.2.1 Clasificación de la información
A8.2.2 Etiquetado de la información
A8.3.2 Eliminación de medios
Área responsable:

52
Políticas:
Responsabilidad de los activos.
El inventario de activos busca realizar un inventario que nos permita identificar, clasificar
según su importancia, clasificar según el tipo de activo e identificar el propietario de cada
uno de los activos dentro de la organización.
• Todos los activos deben ser identificados y registrados para su clasificación.

• Todos los activos deben ser clasificados según la importancia que tenga para la organización.
• Todos los activos deben ser clasificados en subcategorías según el tipo de activo
• Todos los activos deben de estar identificados con el usuario a cargo que se hará responsable del él.
• El propietario de cada activo debe de asegurarse de que sea inventariado, clasificado y protegido
adecuadamente con los lineamientos de la organización establecidos.
Uso aceptable de los activos
Consiste en documentar el uso apropiado de la información describiendo los requisitos de seguridad de la

información de los activos, instalaciones etc. Y comunicar a los empleados afectados para evitar el uso
indebido.
• Usar los recursos de la organización solo con fines exclusivos de la organización.
• Proteger su contraseña, evitando que otras personas puedan usarla bajo ninguna
circunstancias.
• Cumplir con los procesos y procedimientos implementados para proteger y darle un uso debido a los
activos de la organización.
• Todo dispositivo como laptop o medio de almacenamiento de datos que sea de uso
personal, debe estar autorizado en la organización.
• Todo dispositivo como laptop o medio de almacenamiento de datos que sea de uso
personal, debe estar autorizado en la organización.
• El personal de la organización no podrá utilizar los servicios de internet de la organización para
descargar, guardar o recibir materiales que incluyan:
1. Actividades ilegales 2. Juegos.
3. Envíos no autorizados de correo electrónico. 4. Fomentar la discriminación.
53
Devolución de activos
Control para que todos los empleados, contratistas etc. devuelvan los activos de información una vez
finalizado el periodo de su utilización, contrato o acuerdo.
• El propietario deberá llenar el formulario de proceso de devolución de activo.

• Se realizará el proceso de transferencia y borrado de la información de forma segura en el activo
asignado.
Clasificación y etiquetado de activos
VALOR DEL
ACTIVO CONFIDENCIALIDAD
5 La información asociada al activo es solo accedida por el personal de alto rango,
(Muy Alto) pues su divulgación afectaría irreversiblemente a la organización.
4 La información asociada al activo es restringida y solo el personal autorizado puede
(Alto) acceder a ella, pues su divulgación afectaría gravemente a la organización.
La información asociada al activo es confidencial y solo el personal de algunas
3 áreas internas pueden acceder a ella, pues su divulgación afectaría considerablemente
(Medio) a la organización.
2 La información asociada al activo es de uso interno y solo el personal ABC puede
(Bajo) acceder a ella, pues su divulgación afectaría parcialmente a la organización
1 La información asociada al activo es pública y cualquiera puede acceder a ella,
(Muy Bajo) pues no impacta a la organización
• Todos los activos de la organización deben de estar etiquetados según la clasificación de activos
especificada en el recuadro anterior.
• Todas las etiquetas tendrán un color según su clasificación para poder reconocerse fácilmente.
Eliminación de medios
• Todos los medios de almacenamiento como discos duros o extraíbles serán debidamente destruidos
por el departamento correspondiente.
• Se mantendrá un registro de todos los medios de almacenamientos destruidos que contengan
información sensible.
54
A9. Control de acceso
Son políticas que consisten en la verificación de si una entidad solicitando acceso a un

recurso tiene los derechos necesarios para hacerlo.
Objetivo:
Limitar el acceso a todos los activos, información y a las instalaciones de

procesamiento de Información.
Alcance:
Esta política es aplicable a todos los activos y centros de datos en la
infraestructura de la organización.
Controles:
A9. CONTROL DE ACCESO

A9.1.1 Política de control de acceso.
A9.1.2 Acceso a las redes y a los servicios de red.
A9.2.1 Registro de usuarios y cancelación del registro.
A9.1.2 Gestión de acceso a los usuarios.
A9.3.1 Uso de la información de autenticación secreta.
A9.4.1 Restricción de acceso a la información.
A9.4.3 Sistema de gestión de contraseñas.
Área responsable:

55
Políticas:
Política de control de acceso
• Se asignará privilegios mínimos para cumplir el rol asignado a todos los usuarios de la organización.
• Las cuentas de usuario solo se emitirán después de la aprobación formal de la gerencia de TI y de
Recursos Humanos.
• Todos los usuarios tendrán solo los permisos necesarios para acceder a cualquier activo de la
organización.
• El ciclo de vida de una cuenta de usuario que ha sido revocado, tendrá una duración de 30 días.
• Cualquier cambio de elevación o revocación de privilegios debe ser aprobado por el departamento TI.
Registro y Gestión de usuarios
• Se registrará un ID a todos los usuarios y contratistas que operen en la organización.

• Se desactivará el ID de los usuarios que sean desvinculados de la organización.
• Cuando se desvincula un usuario, será revocado su ID y los permisos asignados a su ID de usuario.
• Para acceder a un servicio o sistema, se deben tener la aprobación del propietario del activo.
• El usuario no puede acceder al sistema o servicios hasta que finalice el proceso de autorización.
• Una vez el usuario sea desvinculado, serán revocados todos los accesos.
• Se modificarán los accesos y privilegios en caso de que se cambie de puesto a un usuario en la
organización.
• Se realizarán una revisión trimestral a todos los privilegios asignados en la organización.
• Se debe tener registrados todos los registros de los privilegios asignados a los usuarios de la
organización.
• Las credenciales proporcionadas deben ser únicas y no debe ser usada por otra
• personas más que el dueño.
• Queda prohibido el uso de las mismas credenciales para diferentes aplicaciones o
• servicios.
56
Responsabilidades del Usuario
• Es responsabilidad del usuario mantener sus credenciales privadas, en caso de divulgación y pase
algún incidente, dependiendo de su gravedad, puede llevar a la desvinculación.
• Queda prohibido escribir las credenciales personales en papeles, escritorios u cualquier otro lugar
visible para los demás.
• En caso de que pase algún incidente de seguridad se cambiarán todas las contraseñas de los usuarios.
• Queda prohibido escribir sus credenciales en lugares visibles.
• Las contraseñas para las credenciales deben de tener un mínimo de 8 caracteres.
• Queda prohibido el uso de las mismas credenciales para diferentes aplicaciones o servicios.
• Queda prohibido usar las credenciales ajenas o pasarle sus credenciales a un tercero.
Restricción del acceso a la Información y Sistema de Gestión de Contraseñas
• Se bloqueará las funciones de administrador para los usuarios normales en la organización.

• Los usuarios solo podrán acceder a la información que contengan los 4 códigos finales de ID de
identificación
• Los centros de datos estarán custodiados por un guardia de seguridad para evitar el acceso no
autorizado.
• Los centros de datos estarán custodiados por cámaras de vigilancia.
• Los centros de datos deberán tener un control de acceso biométrico.
• Se implementará un software de gestión de contraseñas que indique las siguientes reglas:
o Las contraseñas deben tener un mínimo de 12 caracteres.
o Las contraseñas deben tener: Letras mayúsculas, Letras minúscula, Caracteres especiales,
Símbolos y números.
57
A10. Criptografia
Objetivo:
El objetivo es el de proteger la confidencialidad, autenticidad o integridad

de la información mediante la ayuda de técnicas criptográficas.
Alcance:
Esta política tiene como alcance para todos los medios de transmisión de
datos, base de datos y medios de almacenamientos que estén en la
organización.
Controles:
A10. Criptografía
A9.1.1 Política de control de acceso.
A9.1.2 Acceso a las redes y a los servicios de red.
Área responsable:

58
Políticas:
• Todos los datos que sean transmitidos en la red local de la organización deberían estar cifrados por el
Estándar de cifrado avanzado (AES).
• Todos los medios de almacenamientos de información deberán de estar encriptados.
• Toda la información almacenada en las bases de datos deberá estar cifrada con el estándar AES o
SHA512
Imagen-13 | Criptografía
59
A11. Seguridad física y del entorno
La seguridad física y ambiental busca proteger las áreas de la organización, considerando cada situación que
se puede presentar (Robo, incidentes, etc.), sin dejar de lado los factores ambientales (inundaciones,
terremotos, fuego, etc.).
Objetivo:
Proteger las áreas de procesamiento de información crítica o confidencial.
Alcance:
Esta política es aplicable en todas las áreas de la organización.
Controles:
A11. SEGURIDAD FISICA Y DEL ENTORNO

A11.1.1 Perímetro de seguridad física.
A11.1.2 Controles físicos de entrada.
A11.1.4 Protección contra amenazas externas y del ambiente.
A11.2.1 Instalación y protección de equipo
A11.2.2 Servicios de soporte
A11.2.3 Seguridad en el cableado
A11.2.4 Mantenimiento de equipos
A11.2.5 Retiro de activos
A11.2.8 Eliminación segura o reúso del equipo
A11.2.9 Política de escritorio limpio y pantalla limpia
60
Política:
Áreas seguras
Se debe evitar el acceso físico no autorizado, los daños e interferencias a la información de

la organización y las instalaciones de procesamiento de la información.
• Se debe llevar un registro de todas las personas que acceden a las diferentes instalaciones de la
empresa, catalogando el acceso como visitante o empleado.
• Utilizar tarjetas de acceso o carnets para ingresar a cualquier departamento.
• Implementar dispositivo de identificación biométrica en las áreas requeridas.
• Las áreas de carga y descarga deberán ser controladas y aisladas para evitar el
acceso de personas no autorizadas.
• Cada departamento debe contar con extintores y botiquines de primeros auxilios
para los casos de emergencia.
• Las salidas de emergencias deben estar bien señalizadas y fáciles de encontrar.
• Implementar dispositivo de identificación biométrica en las áreas requeridas.
Equipamiento
Se debe evitar la pérdida o el robo de los activos, así como la interrupción a las operaciones
de la organización.
• Las computadoras en los puestos de trabajo deben estar bajo una política de
bloqueo de pantalla cada cierto tiempo de inactividad.
• El área de trabajo debe estar limpia y libre de documentación en papel.
• Los centros de datos y servidores deben estar debidamente ventilados para evitar el exceso de
humedad y el sobre calentamiento.
• Los servidores deben ser instalados en espacios protegidos, tomando en
consideración los desastres naturales.
• Se debe instalar una fuente de energía alterna para los casos de apagones o
interrupciones provocadas por fallas.
• Los cables de telecomunicaciones deben estar lejos de los cables del tendido
eléctrico para evitar interferencias y los posibles fallos de comunicación.
61
A12. Seguridad de las operaciones
Objetivo:
Asegurar la operación correcta y segura de las instalaciones de procesamiento de

información, Garantizar el procesamiento correcto para proteger la información,
registrar y supervisar los eventos, establecer una buena gestión de
vulnerabilidades y tratar de minimizar el impacto en las actividades de auditorías.
Alcance:
Esta política es aplicable en todas las áreas de la organización.
Controles:
A12. SEGURIDAD DE LAS OPERACIONES

A12.1.1 Procedimientos documentados de operación
A12.1.2 Gestión de cambios
A12.2.1 Controles ante software malicioso
A12.3.1 Respaldo de la información
A12.4.1 Registro de eventos
A12.1.2 Protección de la información de registros (logs)
A12.5.1 Instalación de software en los sistemas operativos
Área responsable:

62
Procesamiento Documentados de Operación.
• Se registrarán todos los procesos de verificación, instalación y administración de sistemas y

aplicaciones que realicen en la organización.
• Toda la información que se maneje dentro de la organización debe de ser manejada y procesada para
la documentación.
• Se documentará todos los procedimientos de monitoreo de red y activos en la organización que estén
activo.
• Se documentará los procesos y encuentros de las auditorías realizadas en la organización.
Gestión de Cambios
• Se debe registran la información de “Quien” autoriza los cambios.

• Se debe registran la información de “Quien” realiza los cambios.
• Se debe registran la fecha y descripción de la tarea del cambio.
• Se debe documentar la validación del cambio que se ha realizado en la organización.
Controles ante software malicioso
• Es responsabilidad del equipo de seguridad de la información realizar la tarea de detección de malware

y pruebas a los usuarios.
• Es responsabilidad del equipo de seguridad de la información capacitar a los técnicos de nivel 1 y 2
para detectar softwares maliciosos.
• Es responsabilidad del equipo de seguridad de la información establecer las tareas que serán realizadas
en situaciones de emergencia.
• Es responsabilidad del equipo de seguridad de la información establecer procedimientos de
aislamiento en caso de detección y recuperación de cualquier ataque.
• Se implementará un software “SIEM” para monitorear la red 24/7.
• Todos los equipos que estén en la red de la organización serán escaneados periódicamente para
mantener la seguridad en la red y prevenir futuros malware en la red.
63
Respaldo de la información
• Se realizarán copias de seguridad a toda información sensible de la organización.

• Se realizarán copias de seguridad a los datos de los software y aplicaciones instalados en los sistemas
de la organización.
• Se realizarán copias de seguridad a los archivos de configuración de los softwares de la organización.
• Se realizará copias de seguridad a los datos sobre acceso, contraseña, llaves, etc.
• Se realizarán copias de seguridad a todas las actividades o eventos de alarmas de los sistemas de la
organización.
64
A13. Seguridad en las comunicaciones
Objetivo:
Establecer pautas para garantizar la protección de la información dentro de la

red de una organización y la infraestructura que la respalda.
Alcance:
Esta política es aplicable para toda la organización.
Controles:
A13. SEGURIDAD DE LAS COMUNICACIONES

A13.1.1 Controles de Red
A13.1.2 Seguridad de los servicios de red
A13.1.3 Separación en redes
A13.2.1 Políticas y procedimientos de intercambio de información
A13.2.3 Mensajería electrónica
Área responsable:

65
Políticas:
• Se debe tener una topología de red segmentada con el fin de poder validar alguna anomalía de manera
eficiente ya sea interna o externa.
• Se configurarán servicios de red seguro que garanticen la correcta transmisión de datos, siguiendo los
criterios de la triada de la seguridad.
• El oficial técnico de seguridad de la información debe controlar los accesos permitidos a los sistemas
de gestión y control, monitorear de cerca las actividades relevantes y mantenerlas en un registro.
• Se darán seguimiento al status de los dispositivos de red como routers y swtiches para evitar posibles
fallas que pudieran presentarse.
• Todos los usuarios deberán poner sus credenciales asignadas para acceder a la red de la organización
mediante el servidor RADIUS.
• Todos los datos transmitidos en la red de la organización estarán bajo una topología de red P2P.
• Se aplicarán sistemas criptográficos en las aplicaciones de mensajería electrónica como: correo
electrónico, redes sociales u otros, para que los datos no puedan ser interceptados por un tercero o sea
víctima de un ataque MITM.
• Toda la comunicación por medio de mensajería tendrá un cifrado de extremo a extremo donde solo
las personas que se están comunicando podrán ver el mensaje en texto plano.
• Se implementará un software DLP para la prevención de la fuga de información.
66
A14. Adquisición, desarrollo y mantenimiento de los sistemas de información
Objetivo:
El objetivo de esta sección es la aplicación de controles de seguridad de la

información durante el ciclo de vida completo de un sistema de información,
tanto interna como externamente.
Alcance:
Esta política es aplicable para todos los departamentos de la organización.
Controles:
A14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS

SISTEMAS DE INFORMACIÓN
A14.1.2 Aseguramiento de los servicios de aplicación en las redes
públicas
A14.2.1 Política de desarrollo seguro
A14.2.8 Pruebas de seguridad del sistema
Área responsable:
Políticas:
• Se debe asegurar de que las pruebas y los procedimientos de desarrollo del sistema se realicen con
éxito en entornos anteriores, para garantizar las pruebas de aceptación en el sistema.
• Sensibilizar la seguridad para el desarrollo de software seguro.
• Se implementará y normalizará las políticas para desarrollarse de manera segura, así como
herramientas de software para identificar líneas de códigos no seguras.
• Se debe definir una guía sobre los requisitos previos en los servicios de aplicación para garantizar que
los sistemas de información se analicen, caractericen y protejan.
67
A15. Relación con proveedores
Objetivo:
El objetivo de esta sección es garantizar la protección de los activos que son

accesibles por proveedores externos.
Alcance:
Esta política es aplicable para todos los departamentos de la organización.
Controles:
A15. RELACION CON PROVEEDORES

Política de seguridad de la información para las relaciones con
A15.1.1 los proveedores.
Tener en cuenta la seguridad en los acuerdos con proveedores
A15.1.2
A15.2.2 Gestión de cambios en los servicios de los proveedores
Área responsable:
Políticas:
• Se establecerá un acuerdo SLA con los proveedores para garantizar la CID de la información que
manejarán los proveedores.
• Se establecerán controles de calidad con los proveedores para garantizar la protección de la
información que manejarán los proveedores.
• Se establecerán controles para la devolución y eliminación de los activos para llevar un control y de
todo lo que manejan los proveedores externos.
68
A16. Gestión de incidentes de la seguridad de la información
Objetivo:
Garantizar un enfoque consistente y eficaz para la gestión de incidentes de

seguridad de la información, incluyendo la comunicación de eventos de
seguridad y debilidades.
Alcance:
El alcance de esta política se dirige a todas personas que cuente con legítimo
acceso a los sistemas de información de la organización.
Controles:
A16. GESTION DE INCIDENTES DE LA SEGURIDAD DE LA

INFORMACION
A16.1.1 Responsabilidades y procedimientos.
A16.1.2 Reporte de eventos de seguridad de la información.
A16.1.3 Reporte de debilidades de seguridad de la información.
A16.1.7 Colección de evidencia
Área responsable:

69
Políticas:
• Todos los incidentes que ocurran en la organización deberán ser reportado al encargado del
Departamento de Seguridad de la Información y a la Alta Gerencia.
• Deberá ser registrado todo el seguimiento del Incidente, desde su ocurrencia hasta su solución.
• Todos los usuarios de la organización que tengan conocimiento de algún incidente de seguridad,
deberán ser reportado inmediatamente al departamento correspondiente.
• El encargado del departamento de Seguridad de la Información deberá registrar todos los eventos que
ocurran en la organización.
• Las debilidades encontradas deberán ser reportadas inmediatamente al departamento correspondiente.
• Se registrarán los inicios y cierres de sesión de todos los dispositivos de la organización.
• Se registrarán los logs de Servidor SNMP llevar el registro del estado de todos los dispositivos que
formen parte de la red de la organización.
• Se registrarán las evidencias de las reuniones que se realicen virtuales y toda la documentación de la
organización.
• Dependiendo el tipo de incidente se realizará un análisis forense a los equipos y a la red de la
organización.
70
A17. Aspectos de seguridad de la información en la gestión de continuidad del negocio
Objetivo:
La continuidad de seguridad del negocio debe estar integrada en los sistemas

de gestión de continuidad del negocio de la organización y garantizar la
disponibilidad de las instalaciones de procesamiento de información
Alcance:
Esta política es aplicable para los procesos críticos que garanticen la
continuidad en la organización.
Controles:
A17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA

GESTIÓN DE CONTINUIDAD DEL NEGOCIO
A17.1.1 Planeación de la continuidad de la seguridad de la información
A17.1.2 Implementación de la continuidad de la seguridad de la
información
A17.1.3 Verificación, revisión y evaluación de la continuidad de la
seguridad de la información
Área responsable:

71
Políticas:
• El departamento de TI debería verificar que todos los procesos críticos de la organización se incluyan
en el plan de Continuidad.
• Identificar el tiempo de recuperación de los servicios ante un incidente.
• Se debe identificar todos los procesos críticos de la organización que deben seguir operando 24/7.
• Se deberá realizar una auditoria periódicamente al plan de continuidad.
• Se realizará una revisión periódicamente a la aplicabilidad de los controles.
• Se capacitará el personal para que cada uno sepa qué hacer cuando se presente un escenario de
continuidad.
• Comprobar la implicación del personal en las labores de recuperación, verificando que todos los
usuarios se encuentren al tanto de sus responsabilidades.
72
A18. Cumplimiento
Objetivo:
Evitar los incumplimientos de las obligaciones legales, estatutarias, reglamentarias o

contractuales relacionadas con la seguridad de la información y con los requisitos de
seguridad y garantizar que la seguridad de la información es implementada y operada
de acuerdo con las políticas y procedimientos organizacionales
Alcance:
Esta política es aplicable para toda la organización.
Controles:
A18. CUMPLIMIENTO
A18.1.1 Identificación de legislación aplicable y requerimientos contractuales
A18.1.2 Derechos de propiedad intelectual (IPR)
A18.1.3 Protección de registros
A18.1.4 Privacidad y protección de información personal identificable (PIR)
A18.1.5 Regulación de controles criptográficos
A18.2.1 Revisión independiente de seguridad de la información
A18.2.2 Cumplimiento con políticas y estándares de seguridad
A18.2.3 Revisión del cumplimiento técnico
Área responsable:

73
Políticas:
• Las revisiones tienen que ser realizadas por personal sin dependencia al personal que es auditado.
• Establecer la manera de comprobar cómo se cumplen los requisitos de estabilidad de la información
definidos en las políticas, reglas y en otras regulaciones aplicables.
• Considerar la utilización de sistemas de medición automática y herramientas de informes.
• Entablar medidas correctivas antecedente de que dichos fallos logren dar por sentado una amenaza
real para el sistema.
• Llevar a cabo controles para garantizar que no se exceda el número mayor de usuarios autorizado en
cada licencia.
• Conservar los registros de activos apropiados, e detectar todos los activos con requisitos para defender
los derechos de propiedad intelectual.
• Documentar los controles y las responsabilidades personales para consumar estos requisitos
reglamentarios y contractuales
• Llevar a cabo métodos apropiados para garantizar el cumplimiento de los requisitos legislativos, de
reglamentación y contractuales involucrados con los derechos de propiedad intelectual y la utilización
de productos de programa patentados.
74
3.8 Tablas controles ISO 27002

75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
3.9 Declaración de Aplicabilidad

93
94
95
96
97
98
Anexo
Glosario de Términos.
• Acción Correctiva: Acción para eliminar la causa de una no conformidad y prevenir su repetición.
Va más allá de la simple corrección.
• Acción Preventiva: La organización debe mejorar de forma continua la eficacia del SGSI a través
del uso de la Política de Seguridad de la Información, Objetivos de Seguridad de la Información,
resultados de auditorías, análisis de eventos monitorizados, acciones correctivas y preventivas y la
revisión por la dirección.
• Aceptación del riesgo: Decisión informada de asumir un riesgo concreto.
• Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la
organización.
• Auditoria: proceso sistemático, independiente y documentado para obtener evidencias de la auditoría

y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios
de auditoría.
• Confidencialidad: propiedad que determina que la información no esté disponible ni sea revelada a
individuos, entidades o procesos no autorizados.
• Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas
para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.
Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más
simple, es una medida que modifica el riesgo.
• Control Correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que
produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado pero que se corrige.
• Control Preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado.
Impide que una amenaza llegue siquiera a materializarse.
99
• Corrección: Acción para eliminar una conformidad detectada.
• Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una

entidad autorizada.
• Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto
al riesgo. Se compone de la evaluación y el tratamiento de riesgos.
• Incidente de seguridad de la información: Evento único o serie de eventos de seguridad de la

información inesperados o no deseados que poseen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información.
• Integridad: Propiedad de la información relativa a su exactitud y completitud.
• ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación
de organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar
estándares.
• No repudio: Los activos de información deben tener la capacidad para probar que una acción o un
evento han tenido lugar, de modo que tal evento o acción no pueda ser negado posteriormente.
• PDCA (Plan-Do-Check-Act): Modelo de proceso basado en un ciclo continuo de las actividades de

planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y
revisar el SGSI) y actuar (mantener y mejorar el SGSI).
100
• Plan de Continuidad del Negocio: Plan orientado a permitir la continuación de las principales
funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.
• Plan de Tratamiento de Riesgos: Documento que define las acciones para gestionar los riesgos de
seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.
• Sistema de Gestión de la Seguridad de la Información (SGSI): Parte del sistema de gestión global,
basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar,
operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información.
• Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.
101
Referencias Bibliográficas
➢ Viewnext (2018) Obtenido de https://www.viewnext.com/tipos-de-seguridad-informatica/

➢ sii-concatel.(2022). Obtenido de https://sii-concatel.com/ventajas-de-la-implantacion-de-un-sgsi/
➢ cenntanni. (1 de octubre de 2013). Obtenido de cenntanni:
http://www.centanni.com.ar/espanol/noticias/ventajas-ydesventajas-de-implementar-unsistema-de-
gestionintegrado-sgi_
➢ protecciondatos. (24 de julio de 2018). Obtenido de protecciondatos:
https://www.protecciondatos.org/ventajas-e-inconvenientes-de-la-iso
27001/#:~:text=La%20implantaci%C3%B3n%20de%20un%20SGSI,gastos%20de%20implantaci%
C3%B3n%20y%20auditor%C3%ADa
➢ iso27000.es. (s.f.). Obtenido de https://www.iso27000.es/sgsi.html
➢ NACIONAL, C. (2007, 04 23). oas. Retrieved from
https://www.oas.org/juridico/PDFs/repdom_ley5307.pdf65C
➢ (sf) Obtenido de https://fc-abogados.com/es/wp-content/uploads/2015/12/comercio-electronico.jpg
➢ (sf) 2018 Obtenido de https://concepto.de/metodo-cualitativo/#ixzz7NBFJzLrT
➢ (sf) 2018 Obtenido de https://concepto.de/metodo-cualitativo/#ixzz7NBGAcyPh
➢ https://normaiso27001.es/
102
Conclusión
Luego de realizar este trabajo de investigación donde se detallaron los activos y la valoración de ellos mismos
junto a las políticas que se recomiendan, entendemos que el Ministerio administrativo de la Presidencia debe
poseer un sistema de gestión de seguridad de la información, ya que la manera en que se está manejando los
diferentes riesgos presentes en la empresa no es la más eficiente por lo que entendemos que el Sistema de
Gestión va a perfeccionar el manejo de la información en ámbitos de seguridad, desarrollando nuevos
métodos de seguridad para los activos de información con lo que esta interviene por el valor que tienen estos
activos para la organización, lo que le brinda una adaptación contra los riesgos y amenazas a la que esta
confronta diariamente por medio de controles, normas y políticas de seguridad.
El Ministerio Administrativo de la Presidencia de la República Dominicana debe de velar por el cumplimiento

de cada uno de los mandatos y la mitigación de los riesgos descubiertos en este documento.
Dentro del grupo de ventajas que nos ofrece este SGSI es la implementación de controles de seguridad para
la mitigación de los riesgos y amenazas a la que se ve afectada la organización, ya que la ejecución de este es
fundamental para el desarrollo de la organización por la creciente necesidad que hemos descubierto en la falta
de un grupo de controles de seguridad para salvaguardar correctamente de la información.
103
Recomendaciones
Con la finalidad de asegurar el éxito del Sistema de Gestión de Seguridad de la Información (SGSI) es de
vital importancia contar con el apoyo incondicional de la alta gerencia para la aprobación, divulgación y su
aplicación en la empresa.
Impartir talleres de capacitación, formación y concientización en seguridad de la información, con el objetivo

de crear una cultura de seguridad en los empleados de la organización.
Realizar auditorías periódicamente para verificar que los controles aplicados estén funcionando según lo
establecido, o por si es necesario hacer un cambio significativo en la documentación del Sistema de Gestión
de Seguridad de la Información.
Catalogar e identificar los activos y asignarles un nivel de defensa según su criticidad, indicando como
deberían ser tratado y salvaguardado; para así conservar una idónea protección de los activos.

Proyecto Final - TSI - FINAL - AHORA SI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proyecto Final - TSI - FINAL - AHORA SI

Cargado por

Copyright:

Formatos disponibles

1

Centro de Excelencia en Seguridad Informática

Propuesta de implementación de un Sistema de Gestión de Seguridad de la

Para la Obtención del Título:

Tecnólogo en Seguridad Informática

Santo Domingo, República Dominicana

2.8 MARCO LEGAL .....................................................................................................................................................................26

Es por eso que se estará presentando la propuesta de un Sistema de Gestión de la Seguridad de la

Capítulo 1 - Marco conceptual

1.1 Descripción del problema.

El Ministerio Administrativo de la Presidencia tiene deficiencia con algunos procesos,

Al implementar el Sistema de Gestión de seguridad de la Información basado en la ISO 27001:2013 al

1.3.1 Objetivo General

1.3.2 Objetivos Específicos

1.5 Descripción de la empresa

Ofrecer apoyo administrativo transparente y eficiente a las ejecutorías de la Presidencia de la

Ser el Ministerio modelo de gestión en la administración pública a favor de la ciudadanía.

1.5.4 Estructura organizacional

Imagen-01 | Estructura Organizacional

Capítulo 2 – Marco Teórico

2.1 Antecedentes de la Investigación

2.2 Seguridad de la Información

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las

La confidencialidad es la propiedad que impide la divulgación de información a individuos,

La disponibilidad es la característica, cualidad o condición de la información de encontrarse a

Imagen-02 | Triada de la Seguridad

2.3 Seguridad Informática

Proceso de prevenir y detectar el uso no autorizado de un sistema informático. Implica el proceso de

2.3.1 Seguridad de hardware

2.3.2 Seguridad de software

2.3.3 Seguridad de red

Imagen-03 | Áreas de la Seguridad Informática

2.4.1 Vulnerabilidades del sistema

• Errores de configuración. Errores en la gestión de recursos.

2.4.2 Vulnerabilidades producidas por contraseñas

2.4.3 Vulnerabilidades producidas por usuarios

2.5.1 Amenazas de Malware

2.5.2 Amenazas de ataques de denegación de servicio

Imagen-06 | Ataque DDOS

2.5.3 Otras amenazas informáticas

Imagen-09 | Inyección SQL

2.6 Sistema de Gestión de la Seguridad de Información

Un Sistema de gestión de seguridad de la información (SGSI) lo podemos definir como un

Su implantación es una decisión estratégica de la dirección de la empresa y su objetivo

En los SGSI se tienen en cuenta cinco niveles básicos de aplicación:

● La Seguridad en las redes: Transporte seguro de la información a través de

● La Gestión de acceso e identidad: Protección de los mecanismos responsables de

● La Seguridad en los sistemas: Asesoría específica para técnicos y administradores

● La Seguridad en aplicaciones y datos: Seguridad de los sistemas de almacenamiento

● La Protección en el puesto de trabajo: Protección del usuario y de su equipo,

● Fase Plan (Planificación): Establece los objetivos de la seguridad de la información

2.6.1 Ventajas de la implantación de un SGSI

Ventajas que podemos obtener al implementar un Sistema de Gestión de Seguridad:

Asegura la continuidad del negocio

Optimización de recursos y costes

Fortalece la confianza en la empresa

2.6.2 Desventajas de la implantación de un SGSI

2.7 Norma ISO/IEC 27001

Es un estándar internacional emitido por la organización internacional. La estandarización (ISO) describe

2.7.1 Beneficio de la Norma ISO/IEC 27001

Imagen-11 | Iso 27001

2.8 Marco legal

2.8.1 Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología.