ETAPA 1

JOHN YEFERSON VALBUENA CAMACHO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021

1
 ETAPA 1

JOHN YEFERSON VALBUENA CAMACHO

Nombre
CESAR ENRIQUE SILVA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CIUDAD
2021

2
 CONTENIDO

pág.

INTRODUCCIÓN.....................................................................................................4
OBJETIVOS...............................................................................................................6
1.1 OBJETIVOS GENERAL......................................................................................6
1.2 OBJETIVOS ESPECÍFICOS..............................................................................6
DESARROLLO DEL TRABAJO.............................................................................7
CONCLUSIONES....................................................................................................10
BIBLIOGRAFÍA......................................................................................................11

3
 INTRODUCCIÓN

Actualmente como se ha denominado para este periodo de tiempo la “LA

ERA DE LA INFORMACION” y esto es debido a que estamos viviendo una
era en donde las empresas o entidades privadas y públicas, hacen de su
información su activo más importante de su compañía, motivo por el
cual nos lleva a modelar cada vez sistemas mas seguros e incorporar los
estándares y normas que conllevan salvaguardar y gestionar de la mejor
manera este activo.

En esta actividad se procederá a mencionar e identificar las normas más

importantes que componen la familia de la ISO 27000, norma que
actualmente gestiona y regula los procedimientos a implementar en una
compañía con el fin de obtener su SGSI.

4
 JUSTIFICACIÓN

La presente actividad se enfocará en reconocer las principales normas

ISO/IEC que conforma la ISO/IEC 27000 con sus principales
características de igual forma se evaluara la importancia de implementar
las principales normas que son la ISO/IEC 27001 e ISO/IEC 27002. Así
poder profundizar los conocimientos teóricos sobre dichas normas para
la implementación de un SGSI en una compañía.

5
 OBJETIVOS

Los objetivos se redactan en infinitivo, debe ser congruente y coherente

con el título, se sugiere emplear la categoria dad por la taxonomía de
bloom

1.1 OBJETIVOS GENERAL

Describir con sus características las normas que componen la Familia de

la ISO/IEC 27000

1.2 OBJETIVOS ESPECÍFICOS

Identificar cada una de las normas que componen la 27000 acuerdo a la

investigación realizada

Realizar un mapa conceptual que mencione las principales normas ISO

que compone la 27000

Validar la importancia en la implementación del SGSI las normas 27001

y 27002 y otras normas adicionales.

6
 DESARROLLO DEL TRABAJO

1. Realización de un mapa conceptual identificando las principales normas de la ISO/IEC 27000

7
2. Revisión y justificación del caso de la empresa RTT Ibérica propuesto
en la actividad 1.

Después de revisar y analizar los servicios que presta RTT Ibérica y

como está organizada se decide implementar un sistema de gestión de
la seguridad de la información en la empresa.

Para esto se determinó un alcance, se identificaron sus procesos de

negocio y los activos en los que se sustentaban realizando así un
análisis de riesgo para conocer sus amenazas y vulnerabilidades. Ante lo
anterior se generó un documento de aplicabilidad y se propuso un plan
de tratamiento del riesgo. Con esto se inició por realizar el manual del
sistema y política del SGSI (control A.5.1.1), que fue aprobada por el
Gerente (control A.6.1.1), con lo anterior ya se tiene un documento con
directrices para iniciar la implementación del SGSI orientadas desde la
dirección.

Validando el análisis del riesgo se evidencio vulnerabilidades lo cual

deberían tratarse (control A.14.1.2) estas deberán de corregirse
teniendo así el apoyo de la dirección contando con recursos necesarios
para su solución.

Lo primero que se realiza es la capacitación en temas de seguridad de la

información de todo el personal incluyendo la alta dirección (control
A.8.2.2). esto es clave para la implementación del SGSI ya que se
concientiza al personal sobre el tratamiento de la información como un
activo más de la empresa, para lo cual se realizó documentos con
cláusulas de confidencialidad de la información para que cada persona lo
firmara (control A.6.1.5) con el compromiso de cumplir con las políticas
de la seguridad de la información.

Se firmaron cláusulas de confidencialidad con las estaciones de servicio

aliadas a RTT Ibérica que comparten información con el fin de proteger
los datos de sus clientes y con el proveedor encargado del desarrollo de
su página Web (control A.6.2.1).

El área técnica implemento el directorio activo y creo un acceso desde la

pantalla de inicio para cada uno de los funcionarios que requieran
utilizar los sistemas de la compañía restringiendo así el acceso a
programas y documentos acuerdo a su perfil (controles A.11.1 y
A.11.2). Se asigno un identificador por usuario para que este fuera
confidencial y no pudiera ser compartida como en el caso de los

8
comerciales (controles A.11.2.3 y A.11.5.3) con lo anterior se restringe
el acceso a internet permitiendo solo lo necesario para la gestión de su
trabajo (control 11.2.2).
Se creo una policita de contraseñas más firme, con caducidad temporal
y que guardara históricos, con esto se evita que la contraseña siempre
sea la misma, aumentando el nivel de seguridad (control A.11.2.3)
La parte técnica realizo una segmentación de la RED, separando la parte
comercial, el departamento financiero, recursos humanos, la parte
técnica y la administración (control A.11.4.5) con lo que se estableció el
acceso solo a la información permitida.

Se implemento el plan de continuidad para llevar a cabo pruebas en el

esquema propuesto para poder obtener la certificación UNE-ISO/IEC
27001:2007, esto facilita la aplicabilidad de recursos financieros por
parte de la administración.

La implementación de las normas descritas anteriormente son

fundamentales para que la empresa pueda tener un correcto
funcionamiento acuerdo a los estándares internacionales y así poder ser
más competitiva en el mercado, la implementación de un SGSI acuerdo
a la ISO/IEC 27001 ayudara a la empresa en la integridad,
disponibilidad y confidencialidad de la información siguiendo cada uno
de los controles de su Anexo A descritos también en la ISO/IEC 27002,
para así poder presentar certificaciones y acreditarse como empresa de
alta calidad.

9
 CONCLUSIONES

Se logra identificar cada una de las normas que pertenecen a la familia

de la ISO/IEC 27000 con sus principales características

Se logra validar el caso de la empresa RTT Ibérica propuesta en la actividad

e identificar cada uno de las problemáticas que se presenta e implementar
controles para el resguardo de la información.

10
 BIBLIOGRAFÍA

 Fernández, S. C. M., & Piattini, V. M. (2012). Modelo para

el gobierno de las TIC basado en las normas ISO (pp 83-
88). https://elibronet.bibliotecavirtual.unad.edu.co/es/ere
ader/unad/53581?page=84

 Mantilla, E. (2020). Introducción a Normatividad,

Estándares y Modelos sobre ciberseguridad.
[OVI] https://repository.unad.edu.co/handle/10596/3560
0

11
12