GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Trabajo Final del Curso

Microsoft Gap Análisis

Profesor: Romulo Fernando Lomparte Alvarado

1. Enzo Josué peña valdivia - u202013363

2. Junior Gallardo Mamani - u201923001

3. Xiomara Picon La Torre – u202015999

4. Francis Marcela Aramburu Aliaga - u20191e642

5. Alvaro Gustavo Lamg Chang - U202012770

6. Franchesco Tarazona Campomanes - u202011452

7. Diego Araujo Diaz - u202015321

2023-1

1
Resumen
Este presente trabajo, consiste en realizar un diagnóstico de cumplimiento de la
norma ISO /IEC 27001, con el fin de identificar brechas de seguridad, mejorar la
gestión de la seguridad de la información, cumplir con requisitos legales y
reglamentarios, y fortalecer la confianza de los clientes.
Para el análisis de la empresa, se trabajó las guías de las normas 27002, puesto
que este proporciona un marco de referencia para que se identifiquen y apliquen las
medidas de seguridad adecuadas. Los controles brindan una valoración, de 0% a
30% no se encuentra implementado o es débil, de 40% a 70% se tiene algún nivel
de implementación, por último, de 80% a 100% el dominio se encuentra
implementado. Por lo que se realizó un análisis para brindar una calificación y
brindar recomendaciones a la empresa.

2
Índice
Objetivo del Estudiante (Student Outcome)....................................................................................
Capítulo 1: Presentación:..................................................................................................................
Misión:............................................................................................................................................
Visión:............................................................................................................................................
Principios:......................................................................................................................................
Valores:..........................................................................................................................................
Analisis Interno:.............................................................................................................................
Fortalezas:................................................................................................................................
Debilidades:..............................................................................................................................
Amenazas:................................................................................................................................
Análisis Externo:............................................................................................................................
Capítulo 2: Marco Teórico.................................................................................................................
SGSI..............................................................................................................................................
Anexo “A” del ISO 27001...............................................................................................................
Análisis de Brecha.........................................................................................................................
Caso Microsoft...............................................................................................................................
Capítulo 3: Estado actual de las cláusulas de ISO 27002.............................................................
Referencias........................................................................................................................................

3
Objetivo del Estudiante (Student Outcome)

En Ingeniería de Sistemas de Información, el logro contribuye a alcanzar el:

● ABET – EAC - Student Outcome 6: La capacidad de adquirir y aplicar

nuevos conocimientos según sea necesario, utilizando estrategias de
aprendizaje apropiadas.

● ABET – CAC - Student Outcome 6: La capacidad para comprender y

brindar soporte para el uso, entrega y gestión de sistemas de información
dentro de un entorno de sistemas de información.

EAC Student Outcome 6

Para cumplir el Student Outcome 6, fue necesario desarrollar habilidades de
pensamiento crítico y resolución de problemas, para cumplir los objetivos del
análisis e interpretación de datos referentes al GAP ISO 27002 de la empresa.
Tuvimos una participación activa a través de la discusión y el intercambio de ideas.

CAC Student Outcome 6

Para cumpllir el Student Outcome 6, fue necesario trabajar en equipo para validar
los requisito funcionales de la empresa, con el cual se realizó la valoración de 0 -
100%, para poder realizar esto nos apoyamos con información confiable, esto
incluye la comprensión de los componentes del sistema, la capacidad para brindar
asistencia técnica, garantizar la disponibilidad y seguridad del sistema, y para que la
empresa tome decisiones informadas sobre la adquisición, implementación y
mantenimiento de sistemas de información.

Capítulo 1: Presentación:

Microsoft es una empresa multinacional de tecnología fundada en 1975 por Bill

Gates y Paul Allen. La empresa se dedica principalmente al desarrollo,
licenciamiento y venta de software, así como a la fabricación de hardware y
dispositivos electrónicos.Microsoft tiene su sede en Redmond, Washington, y cuenta
con oficinas en todo el mundo. En 2020, la empresa generó ingresos por más de

4
$143 mil millones de dólares y empleó a más de 181,000 personas en todo el
mundo.

Imagen 1

Microsoft. (s.f.). Logo de Microsoft en las oficinas de la compañía. [Fotografía].

Redmond, Washington, Estados Unidos

Misión:
Permitir que la gente y las empresas de todo el mundo se percaten de todo su
potencial.

Visión:
Brindar mayor poder a la gente a través de un excelente software– en cualquier
momento, en cualquier lugar y en cualquier dispositivo.

Principios:

- Amplia conexión con el cliente

- Un enfoque global e inclusivo
- Excelencia
- Computación confiable
- Gente brillante con grandes valores
- Liderazgo en plataforma innovadora y responsable
- Permitir que la gente haga cosas nuevas

5
Valores:

- integridad y honestidad
- Pasión por los clientes, los asociados y la tecnología
- Abierta y respetuosa con otros y dedicada a mejorarlos
- Disposición para asumir grandes retos y llevarlos hasta el final
- Autocrítica y comprometida con la excelencia y la superación personales
- Responsable de los compromisos, los resultados y la calidad de los clientes,
accionistas, asociados y empleados

Analisis Interno:

Fortalezas:
● Una de las empresas líderes en software
● Cuenta con un amplio alcance del mercado
● Amplia variedad de productos
● Una de las marcas más valiosas del mundo
● Software más fácil de usar

Debilidades:
● Problemas de seguridad
● Falta de innovación, versiones antiguas

Oportunidades:
● Crecimiento del negocio en la nube
● Estrategia de liderazgo de costos
● Innovar en inteligencia artificial

Amenazas:
● Mucha competencia
● Ciberdelincuencia y piratería

Análisis Externo:
Se elaboró un análisis de fuerzas de Porter para ver el análisis externo de la
empresa microsoft:

Imagen 2

6
Fuerzas de Porter de Microsoft. [Gráfica].

7
Capítulo 2: Marco Teórico

SGSI
La norma ISO 27001 establece los requisitos para un sistema de gestión de la
seguridad de la información (SGSI). El SGSI es un conjunto de políticas, procesos y
procedimientos que se utilizan para gestionar los riesgos de seguridad de la
información en una organización.

El objetivo del SGSI es proteger la confidencialidad, integridad y disponibilidad de la

información de una organización, y asegurar el cumplimiento de las leyes y
regulaciones aplicables (ISO, 2013).

Anexo “A” del ISO 27001

Uno de los principales componentes de la norma ISO 27001 es el Anexo "A", que
contiene 114 controles de seguridad de la información agrupados en 14 categorías.
Estos controles deben ser implementados por las organizaciones que buscan
obtener la certificación ISO 27001. El objetivo de estos controles es proteger la
información y reducir los riesgos de seguridad de la información (ISO, 2013).

Análisis de Brecha
El análisis de brecha es una herramienta útil para comparar el estado actual de un
sistema o proceso con su estado deseado o planificado (Gregory, 2017). En el
contexto de ISO 27001, el análisis de brecha se utiliza para determinar el nivel de
implementación de los controles del Anexo "A" de la norma en una organización y
para identificar las acciones necesarias para alcanzar el nivel deseado.

Para realizar el análisis de brecha, es necesario establecer el nivel deseado de

implementación de los controles del Anexo "A". Este nivel puede variar según las
necesidades y objetivos de la organización. A continuación, se debe evaluar el nivel
actual de implementación de los controles del Anexo "A" en la organización. Para
ello, se realiza una revisión exhaustiva de los controles y se identifican las brechas
existentes. Finalmente, se identifican las acciones necesarias para cerrar las
brechas y alcanzar el nivel deseado de implementación de los controles del Anexo
"A" (Gregory, 2017).

Caso Microsoft
En el caso de Microsoft, el SGSI es fundamental para garantizar la protección de la
información de sus usuarios y clientes. La compañía ha implementado un SGSI que
cumple con los requisitos de la norma ISO 27001 y ha obtenido la certificación
correspondiente. Sin embargo, la complejidad y el tamaño de la estructura y

8
sistemas de la compañía hacen que el análisis de brecha de la implementación de
los controles del Anexo "A" sea una tarea compleja (Gupta & Ahuja, 2016).

En conclusión, el análisis de brecha en ISO 27001 es una herramienta importante

para identificar las brechas en la implementación de los controles de seguridad de la
información en una organización y planificar las acciones necesarias para cerrarlas.
En el caso de Microsoft, el SGSI cumple con los requisitos de la norma ISO 27001 y
el análisis de brecha puede ser un paso importante en su estrategia de seguridad de
la información para garantizar la protección de sus usuarios y clientes.

9
Capítulo 3: Estado actual de las cláusulas de ISO 27002

DIAGNÓSTICO DE SEGURIDAD -
GAP ANÁLISIS

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Trabajo Final del Curso

Microsoft Gap Análisis

10
Referencias

 Gregory, P. (2017). ISO/IEC 27001:2013 - A Pocket Guide (3rd ed.). IT

Governance Publishing. https://www.itgovernance.co.uk/download/27001-
2013-technical-guidance.pdf

 Gupta, M., & Ahuja, N. (2016). Information security management system: A

gap analysis study for Microsoft. Journal of Advanced Management Science,
4(3), 245-250.
https://www.researchgate.net/publication/323029044_Security_level_analysis
_of_academic_information_systems_based_on_standard_ISO_270022003_u
sing_SSE-CMM

 International Organization for Standardization. (2013). ISO/IEC 27001:2013 -

Information technology - Security techniques - Information security
management systems. http://www.itref.ir/uploads/editor/42890b.pdf

 Microsoft. (2002). MSFTAR 2002 Form 10-K Mission and Vision.

https://www.microsoft.com/investor/reports/ar02/shareholder_letter/
mission_spa.htm

 Modelocanvas. (2021). Análisis FODA de Microsoft - Businesstup.

Businesstup. https://businesstup.com/analisis-foda-de-microsoft/

 Porter de Microsoft. (s/f). Prezi.com. Recuperado el 28 de abril de 2023, de

https://prezi.com/p/fpmqdq0qao5a/porter-de-microsoft/

 Microsoft. (2023, 4 abril). Estándares de administración de seguridad de la

información ISO/IEC 27001:2013
https://learn.microsoft.com/es-es/compliance/regulatory/offering-iso-27001

 Stephens, E. (2015, 8 julio). Microsoft gives users confidence to move to the

cloud. ISO. https://www.iso.org/news/2015/07/Ref1983.html

11