a.

Defina las fases de un proyecto de implementación de un SGSI

Para implantar el SGSI se debe utilizar el Ciclo de Deming o PDCA (Plan, Do, Check, Act)
que hace referencia a la serie planea, implementa, comprueba y actúa. Se trata de un
sistema que está diseñado para implementar una mejora continua en la gestión y
ejecución de procesos.
El conocido como Ciclo de Deming cuenta con las siguientes fases:
 Planificar (Plan). En la fase inicial se realiza una evaluación de todos los riesgos y
amenazas sobre la información que se producen en las distintas áreas de la empresa. Se
deben establecer los controles oportunos para medir el nivel de riesgo de los datos en
su flujo interno y externo y definir las políticas necesarias para el cumplimiento de las
medidas de seguridad.
 Hacer (Do). En esta fase se implementa la selección de controles adecuados para medir
los riesgos. En esta fase se pone en marcha el sistema SGSI para la detección y
evaluación de los riesgos y amenazas.
 Comprobar (Check). En esta fase se debe evaluar y revisar la eficiencia y la eficacia.
Mediante KPI (métricas asociadas a objetivos) y el análisis de feedback se puede
determinar si se están alcanzando los objetivos fijados. Es la etapa donde se detectan
fallos o errores que deben ser corregidos.
 Actuar (Act). En esta última fase se aplican las correcciones o cambios necesarios en el
sistema para sacar el máximo rendimiento y que fueron detectados en la fase anterior
de comprobación.

b. Qué documentación debe generarse durante la implementación de un SGSI

 Alcance del Sistema de Gestión de Seguridad de la Información

 Políticas y objetivos de seguridad de la información
 Metodología de evaluación y tratamiento de riesgos
 Declaración de aplicabilidad
 Plan de tratamiento del riesgo
 Informe sobre evaluación y tratamiento de riesgos
 Definición de funciones y responsabilidades de seguridad
 Inventario de activos
 Utilización aceptable de los activos
 Política de control de acceso
 Procedimientos operativos para gestión de TI
 Principios de ingeniería para sistema seguro
 Política de seguridad para proveedores
 Procedimiento para gestión de incidentes
 Procedimientos de la continuidad de negocio
 Requisitos legales, normativos y contractuales

c. Qué es la Política de Seguridad

La política del SGSI define “las reglas de juego” en tu programa de seguridad, en otras
palabras, es donde tu empresa establece los objetivos del SGSI, los recursos a destinar, las
áreas impactadas, la forma de medir y mejorar el SGSI, el contexto en el que se aplicará,
entre otras cosas.
d. ¿Qué es la evaluación de riesgos? ¿En qué consiste la metodología MAGERIT? ¿Qué
pasos tiene esta metodología?
La evaluación de riesgos según ISO 27001, es un proceso en el cual una organización debe
identificar los riesgos de seguridad de su información y determinar la probabilidad de
ocurrencia y su impacto.
Básicamente, la organización debe reconocer todos los posibles problemas que pueden
afectar a su información, la probabilidad de que esto ocurra y que consecuencias traería.
El propósito de la evaluación de riesgos según ISO 27001 es identificar que controles son
necesarios para reducir el riesgo, basándose en el Anexo A que especifica 133 de ellos.

MAGERIT se basa en analizar el impacto que puede tener para la empresa la violación de
la seguridad, buscando identificar las amenazas que pueden llegar a afectar la compañía y
las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener una
identificación clara de las medidas preventivas y correctivas más apropiadas.

 Concienciar a los responsables de las organizaciones de información de

la existencia de riesgos y de la necesidad de gestionarlos.
 Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC).
 Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos
bajo control.
 Preparar a la organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso.
 Facilitar la labor de las personas que acometen el proyecto, ofrecerles elementos
estándar a los que puedan adscribirse rápidamente, centrándose en lo específico
del sistema objeto del análisis.
  Homogeneizar los resultados de los análisis, promoviendo una terminología y unos
criterios uniformes que permitan comparar e incluso integrar análisis realizados
por diferentes equipos.

e. ¿Qué es la identificación de los propietarios de los riesgos y el tratamiento de los

mismos?
Es la parte del proceso de gestión de riesgos en la que conocemos e inspeccionamos los
riesgos. El objetivo de la identificación del riesgo es conocer los sucesos que se pueden
producir en la organización y las consecuencias que puedan tener sobre los objetivos de la
empresa.

f. ¿Qué son los riesgos residuales y cómo se evalúan?

El concepto de riesgo residual en ISO 27001 es el mismo que se conoce en el área de
gestión de riesgos aplicada a cualquier otro estándar, o en cualquier área de la
organización. El término es utilizado con frecuencia, pero generalmente no se entiende ni
la importancia ni el significado real que tiene, especialmente para la seguridad de la
información.

 Es posible que el nivel de riesgo residual se encuentre por debajo de los niveles
aceptables. Entonces no será necesario emprender ninguna otra acción. La
organización simplemente aceptará ese nivel de riesgo y convivirá con él.
 El nivel de riesgo supera los límites tolerables. En este caso es preciso implementar
acciones o controles más eficaces para tratar el riesgo residual y mitigar su
impacto.
 El coste de reducir o mitigar el riesgo residual es tan alto que supera los costes que
asumiría la organización si el riesgo ocurriera. Para esta situación lo más indicado
es que la organización acepte el nivel de riesgo.
g. ¿Qué es y cómo se define un plan para tratamiento de riesgo?
Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los
riesgos inaceptables en el marco de la seguridad de la información e implantar los
controles necesarios para proteger la misma.
La gestión del riesgo se define como el proceso de identificar, analizar y cuantificar las
probabilidades de pérdidas y efectos secundarios que se desprenden de los desastres, así
como de las acciones preventivas, correctivas y reductivas correspondientes que deben
emprenderse.
h. ¿Para qué se debe formar y concientizar al personal implicado en el SGSI?

con el Sistema de Gestión de Seguridad de la Información deben estar capacitadas y

concienciadas. La falta de capacitación y concienciación es uno de los principales motivos
de fracaso de los proyectos de Seguridad de la Información en las organizaciones.

La seguridad normalmente es una carga para las personas de la organización, ya que a

nadie le gusta cambiar de contraseña con gran frecuencia, además de tener que recordar
contraseñas mucho más complejas. Y esta actitud se repite en las demás reglas de
seguridad.

Es por esto que, si no se les explica a los trabajadores la necesidad de llevar estos pasos a
cabo, es probable que busquen algunas formas de eludir dichas reglas. La manera de
abordar este tema es explicándoles los beneficios que tendrá la organización con las
medidas de protección adecuadas.

También es importante explicarles los beneficios que obtendrán los trabajadores con
todos estos cambios. Si se utilizan contraseñas de alta seguridad, es menos probable que
alguien pueda acceder sin permiso a las cuentas, ya que si esto ocurriese sería el propio
empleado el que se tiene que hacer cargo de los daños que pueda producir el accidente.

I.¿Qué se pretende con la auditoría interna dentro del proceso de implementar un SGSI?

 Comprobar que el SGSI que hemos implantado cumple con los requisitos de la
norma.
 Comprobar que los requisitos y procesos de la organización han integrado
correctamente los requisitos de la seguridad de la información definidos en el SGSI