Universidad Nacional Abierta y a Distancia

Guía de actividades y rúbrica de evaluación - Unidad 1 - Etapa 2 - Examinar

Marcos y Regulaciones asociados a la SI
Especialización en Seguridad Informática
Estándares, Normatividad y Regulación de la Seguridad Informática
219019

Caso de Estudio 2023 (16-01)

En este caso práctico veremos la posibilidad de implantación de los requisitos de

algunas series de la familia ISO/IEC 27000 que se consideren necesarias, para el
desarrollo del escenario que se plantea en la siguiente organización ficticia:

Presentación:

La empresa EXPOMODA es una pequeña empresa de venta en línea con sede en Estados
Unidos. Ofrece una amplia gama de productos de moda a clientes en todo el mundo,
principalmente a través de su sitio web. La empresa ha estado operando durante cinco
años y ha experimentado un rápido crecimiento en términos de ventas y clientes.
Actualmente, cuenta con más de 100.000 clientes registrados en su base de datos.

Sin embargo, a medida que la empresa ha crecido, también ha aumentado la exposición

a posibles riesgos de seguridad de la información. En particular, la empresa se ha visto
amenazada por ataques cibernéticos que pueden afectar su capacidad para proteger la
información confidencial de sus clientes, incluyendo datos financieros y personales.

Además de los riesgos de seguridad cibernética, la empresa también se enfrenta a otros

desafíos de seguridad de la información, como la falta de una política sólida y una
cultura de seguridad de la información, así como la falta de recursos y capacitación
para implementar medidas efectivas de seguridad de la información.

Para abordar estos desafíos, la empresa XYZ ha decidido implementar un Sistema de

Gestión de Seguridad de la Información (SGSI). El SGSI será un marco integral que
abarcará todos los aspectos de la seguridad de la información, incluyendo políticas,
procedimientos, tecnología y capacitación.

El objetivo principal del SGSI es proteger la confidencialidad, integridad y

disponibilidad de la información crítica de la empresa y sus clientes. Además, el SGSI
también ayudará a la empresa a cumplir con los requisitos legales y normativos
relacionados con la seguridad de la información, incluyendo la regulación de protección
de datos personales.
Para llevar a cabo la implementación del SGSI, la empresa XYZ contratará a un equipo
de expertos en seguridad de la información que liderarán la evaluación de riesgos, la
definición de políticas y procedimientos, la implementación de tecnologías de
seguridad y la capacitación de los empleados.

El equipo de expertos en seguridad de la información comenzará la implementación del

SGSI realizando una evaluación detallada de los riesgos actuales y potenciales que
enfrenta la empresa. Esta evaluación incluirá una revisión de los sistemas y los
requisitos de seguridad de la información, se pueden identificar las vulnerabilidades
potenciales y los riesgos que enfrenta la empresa XYZ. Por ejemplo, el sitio web de la
empresa es susceptible a ataques de hacking, y la base de datos de clientes contiene
información confidencial que podría ser utilizada de manera malintencionada. Para
mitigar estos riesgos, se puede diseñar un Sistema de Gestión de Seguridad de la
Información (SGSI) que integre una serie de controles y prácticas para proteger la
información confidencial y mejorar la seguridad del sitio web.

El SGSI debería incluir medidas de seguridad tanto físicas como lógicas, como firewalls,
encriptación de datos, autenticación de usuarios y monitoreo de seguridad. También
debería incluir políticas y procedimientos para garantizar que la información se
almacene, procese y transmita de manera segura, y para responder de manera
adecuada en caso de un incidente de seguridad. Además, el SGSI debería integrar
prácticas de seguridad en el desarrollo del software, asegurando que todas las
aplicaciones y sistemas utilizados en la empresa sean seguros.

Para garantizar el éxito del SGSI, es importante involucrar a todos los stakeholders,
incluyendo a los empleados, clientes y proveedores. Los empleados deben ser
capacitados sobre las políticas y procedimientos de seguridad, y deben tener
conocimiento de cómo identificar y reportar incidentes de seguridad. Además, se deben
establecer protocolos para la gestión de incidentes, incluyendo la investigación, la
mitigación y la documentación de cualquier incidente.

La empresa XYZ es una organización compleja que cuenta con diversos departamentos
y activos de información críticos para su éxito. Cualquier sistema de gestión de
seguridad de la información que se desarrolle para la empresa debe tener en cuenta
estas consideraciones y garantizar que se protejan adecuadamente los activos de
información clave.

La empresa cuenta con un departamento de Marketing que se encarga de la promoción

de los productos a través de diferentes canales en línea y fuera de línea. Además, la
empresa cuenta con un departamento de Ventas que se encarga de atender a los
clientes y manejar sus transacciones.

El departamento de Tecnología de la Información (TI) es responsable de mantener el

sitio web de la empresa y su base de datos de clientes. Además, también es responsable
de garantizar la seguridad de la información de la empresa y de sus clientes. La
empresa también cuenta con un departamento de Finanzas que se encarga de las
finanzas y los registros contables de la empresa.

Los activos de información más importantes para la empresa incluyen la base de datos
de clientes, que contiene información sensible como nombres, direcciones de correo
electrónico, números de tarjetas de crédito y otros detalles de pago. Además, la
empresa también tiene una gran cantidad de información confidencial sobre sus
operaciones comerciales, como precios de venta, estrategias de marketing y datos
financieros.

La empresa ha experimentado algunos problemas de seguridad de la información en el

pasado, incluyendo ataques de phishing y robo de datos. Debido a esto, la empresa ha
decidido implementar un sistema de gestión de seguridad de la información (SGSI)
para garantizar la protección de sus activos de información y de los datos de sus
clientes.

El SGSI de la empresa incluirá políticas y procedimientos de seguridad de la

información para todos los departamentos, incluyendo el departamento de TI, el
departamento de Ventas y el departamento de Finanzas. Además, el SGSI también
incluirá una serie de controles técnicos, como firewalls, cifrado de datos y sistemas de
detección de intrusiones, para garantizar la seguridad de la información en toda la
empresa.

El SGSI también incluirá un plan de continuidad de negocios para garantizar que la

empresa pueda mantener sus operaciones en caso de un desastre o un incidente de
seguridad. Este plan incluirá procedimientos para el respaldo regular de los datos y la
implementación de medidas para garantizar la seguridad de los mismos durante el
almacenamiento.

Por último, es importante destacar que el SGSI debe ser un proceso continuo de
evaluación, mejora y mantenimiento. La tecnología y los riesgos de seguridad
evolucionan constantemente, por lo que es necesario realizar periódicamente
auditorías y evaluaciones para garantizar que el SGSI siga siendo efectivo. Además, es
importante tener en cuenta las regulaciones y normas relevantes, como la normativa de
protección de datos personales y de seguridad de la información, para garantizar la
conformidad con los estándares aplicables.

(No copiar este caso dentro de los documentos a entregar, con el fin de evitar que se
aumente el nivel de similitud en el informe turnitin)