Maestro:

Carlos Ramírez Castañeda

Materia:
Seguridad informática y análisis forense.
Unidad 5
Políticas de seguridad de la información.

Actividad 7
Análisis de Caso

Equipo 1
Irving Uriel Flores Carrillo
Ricardo Daniel Vélez Beltrán
Ulises Edel Cabrera Villafuerte
Marco Antonio Lara Coronado
Ubaldo Mouett Gomez
Luis José Ortega Ramírez

Fecha de entrega: 24 de junio del 2023

Fecha de entrega: 24 de junio del 2023
Fecha de entrega: 24 de junio del 2023
Introducción

La norma ISO 27001 es una norma internacional que define los requisitos
para la implementación, mantenimiento y mejora continua de un sistema
de gestión de seguridad de la información (SGSI).

Este sistema se utiliza para proteger la confidencialidad, integridad y

disponibilidad de la información. El estándar proporciona un marco de
seguridad de la información que ayuda a las organizaciones a identificar y
administrar de manera efectiva sus riesgos de seguridad de la información.

ANÁLISIS DE CASO

Con base en el material consultado en la unidad, lleva a cabo el análisis de caso de la

organización descrita en el documento Usar la certificación ISO / IEC 27001 para
aumentar la resiliencia, tranquilizar a los clientes y obtener una ventaja competitiva con
el objeto de realizar las siguientes actividades:

Fecha de entrega: 24 de junio del 2023

Identificar los posibles delitos de los cuales la organización es susceptible.

Dando seguimiento al caso consultado y aplicando el ISO/IEC 270001, encontramos

las siguientes amenazas o vulnerabilidades:

x Falta de regulación, lo que traería consigo multas y daños a la reputación.

x Ataques cibernéticos, por ejemplo, trajanos, malware y ransomware.
x Nula seguridad de información.
x Clientes no conformes.
x Equipos que presentan un mal funcionamiento.
x Uso incorrecto de los sistemas de información.
x Software con errores.
x Registros no autorizados (cambios).
x Instalaciones no autorizadas de software.
x Acceso a la red o al sistema de información por personas no autorizadas.
x Daño causado por un tercero.
x Amenaza en el aumento de la regulación gubernamental.
x Amenaza en los requisitos en la industria de tarjetas PIN.
x Desastre natural, incendio, inundación; etc.
x Malversaciones y fraude.

Fecha de entrega: 24 de junio del 2023

Identificar el tipo de delito según expresada en la legislación vigente.

Los controles que tiene la Norma ISO/IEC 27001 que aplican son:

Política de seguridad. Define la seguridad que se debe tener y como se va a manejar a

partir de esto el incumplimiento del compromiso.

Organización de la información de seguridad. Se definen los acuerdos de

confidencialidad y como se tendrán las responsabilidades y las autorizaciones
dependiendo la seguridad necesaria y las revisiones por área.

Administración de recursos. Depende de la responsabilidad y clasificación de la

información.

Seguridad física y del entorno. Depende de la ubicación, el control de acceso y la

protección de equipos que esté establecida, también del soporte y las actualizaciones o
mantenimiento que se da.

Cumplimiento (legales, de estándares, técnicas y auditorías). Conforme al área de

trabajo y el lugar, se investigan las políticas legales y se aplican las restricciones o
autorizaciones necesarias para lograr tener y participar correctamente en la
comunidad.

Fecha de entrega: 24 de junio del 2023

 Referencias.

Casos prácticos de ISO/IEC 27001: Seguridad de la

Información. (s/f). Bsigroup.com. Recuperado el 24 de junio de 2023, de
https://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-ISOIEC-27001/Casos-
practicos-relacionados-con-la-norma-ISOIEC-27001 /

ISO 27000 punto por punto - Glosario de términos. (s/f). ISO 27001. Recuperado el 24 de

junio de 2023, de https://normaiso27001.es/referencias-normativas-iso-27000/

Portaley, A. (2006, 5 de noviembre). ISO-27001: LOS CONTROLES (Parte I). Delitos

Informáticos - Delitos en Internet. https://delitosinformaticos.com/11/2006/seguridad-
informatica/iso-27001-los-controles-parte-i

Svobodová, K. (2023, 14 de febrero). ISO/IEC 27001: El alcance, propósito y cómo

cumplir. www.safetica.com. https://www.safetica.com/blog/iso-27001-iec-27001-the-
scope-purpose-and-how-to-comply

Conclusión.

Una parte integral de un buen SGSI no es solo la implementación de las mejores

prácticas de ISO 27001, sino también el mantenimiento y la mejora continua del
sistema. Esta es la única manera de garantizar que los sistemas de seguridad de datos
de su organización estén actualizados.

Fecha de entrega: 24 de junio del 2023