GOBIERNO DE LA

CIBERSEGURIDAD
Actividad 2: Realizando una pre-auditoria de SGSI

Descripción breve
En esta actividad se busca prácticas con una herramienta de apoyo para realizar una pre-auditoría del
nivel de cumplimiento de gestión de la seguridad de una compañía.

Mario Alberto Flores Solís

mario.flores251998@gmail.com
Contenido
1. Introducción .................................................................................................................................... 2
2. Estándares base .............................................................................................................................. 2
3. Descripción de la empresa .............................................................................................................. 3
Contexto para el análisis ..................................................................................................................... 3
4. Descripción del proyecto ................................................................................................................ 4
5. Categorización de activos ............................................................................................................... 4
6. Análisis de controles ....................................................................................................................... 6
7. Análisis del SOA ............................................................................................................................... 9
8. Conclusiones ................................................................................................................................. 24
9. Bibliografía .................................................................................................................................... 24

4
1. Introducción

En el contexto de esta actividad estaremos llevando a cabo una simulación de evaluación previa al
proceso de auditoría para evaluar el nivel de cumplimiento en la gestión de la seguridad de una
empresa, utilizaremos la herramienta Emarisma para llevar a cabo esta simulación para participar en
esta actividad hemos completado el registro utilizando la dirección de correo electrónico de unir
durante el proceso nos adentraremos en la tarea de auditar una empresa en relación con el sistema
de gestión de la seguridad de la información basado en la norma ISO 27001 durante esta simulación
aplicaremos los conocimientos adquiridos y nos sumergiremos en el ámbito de la auditoría de
seguridad de la información nuestro objetivo principal es evaluar la conformidad de la empresa
seleccionada con los requisitos establecidos en la norma ISO 27001 con el propósito de identificar
tanto las fortalezas como las áreas de mejora en su sistema de gestión de la seguridad de la
información.

2. Estándares base
Nuestra empresa está comprometida con las mejores prácticas de ITIL, y algunos de nuestros
empleados tienen certificaciones relacionadas. Para el análisis y gestión de riesgos, utilizamos la
herramienta Emarisma. Nuestro modelo de Gobierno Corporativo se basa en la norma ISO 38500.
Además de buscar la certificación ISO 27000 para seguridad de la información, también hemos
obtenido recientemente la certificación ISO 9000 en cuanto a Calidad. Actualmente, estamos en
proceso de obtener la certificación ISO 22301, que se centra en la respuesta a incidentes de seguridad
que podrían afectar la continuidad de nuestras operaciones.

Estos estándares, normativas y buenas prácticas nos permiten cumplir con algunos de los controles
requeridos por la auditoría en cuestión. Al adherir a estos marcos de referencia reconocidos
internacionalmente, estamos demostrando nuestro compromiso con la seguridad, la calidad y la
continuidad de nuestras operaciones, lo que nos posiciona favorablemente para enfrentar la auditoría
y garantizar un entorno seguro y eficiente para nuestros clientes y empleados.

2
3. Descripción de la empresa
La empresa MFS Tech Solutions seleccionada para este análisis de riesgos es una compañía líder en el
sector de soluciones tecnológicas, especializada en el desarrollo y ofrecimiento de software y servicios
de consultoría. Con sede en un importante centro tecnológico (San José, Costa Rica), la empresa tiene
una amplia cartera de clientes en diversos sectores, brindando soluciones personalizadas y de calidad
que satisfacen sus necesidades empresariales.

Externamente, MFS Tech Solutions se destaca por establecer alianzas estratégicas con empresas
líderes en el sector tecnológico, lo que le permite acceder a recursos y conocimientos especializados
para ofrecer soluciones de última generación. Asimismo, la empresa mantiene una estrecha
colaboración con sus clientes, entendiendo sus necesidades específicas y adaptando sus soluciones
para brindar un valor agregado significativo.

Contexto para el análisis

La empresa MFS Tech Solutions, seleccionada para este proyecto de auditoría de seguridad, es una
destacada compañía en el sector de soluciones tecnológicas. Especializada en el desarrollo de
software y servicios de consultoría, la empresa se ha ganado una posición líder en el mercado. Su
sede se encuentra en San José, Costa Rica, un importante centro tecnológico.

En cuanto a las alianzas estratégicas, MFS Tech Solutions ha establecido colaboraciones estratégicas
con empresas líderes en el sector tecnológico. Esta asociación le permite acceder a recursos y
conocimientos especializados, lo que les permite ofrecer soluciones de última generación a sus
clientes.

En el marco de este proyecto de auditoría de seguridad, el objetivo principal es implementar

medidas de seguridad en la empresa MFS Tech Solutions. Esto implica evaluar y fortalecer los
controles y protocolos de seguridad existentes, asegurando la protección de la información sensible
y los activos tecnológicos de la empresa. Además, se buscará garantizar la integridad,
confidencialidad y disponibilidad de los datos, así como mitigar los riesgos potenciales y cumplir con
las regulaciones y estándares aplicables en el sector.

En resumen, este proyecto de auditoría de seguridad tiene como objetivo principal implementar
medidas de seguridad en la empresa MFS Tech Solutions. A través de este proceso, se fortalecerán
los controles de seguridad existentes y se garantizará la protección de la información y los activos
tecnológicos de la empresa, ofreciendo soluciones confiables y seguras a sus clientes.

3
4. Descripción del proyecto

Se genera el proyecto en la plataforma eMarisma con el nombre MFS Tech Solutions - Proceso
desarrollo software, a este mismo se le selecciona el patrón o estándar que seguirá el proyecto, así
como el sector empresarial.

Estándar: SNT_08_001 - Patrón General 2013

Sector empresarial: 6209 - Otros servicios relacionados con las tecnologías de la información y la
informática

Descripción: Compañía líder en el sector de soluciones tecnológicas, especializada en el desarrollo y

ofrecimiento de software y servicios de consultoría.

Alcance: Realizar un análisis de riesgos en el proceso de desarrollo de software de MFS Tech

Solutions, con el fin de identificar los posibles riesgos que podrían afectar la calidad, seguridad y
cumplimiento de los proyectos de desarrollo. Además, se busca establecer medidas de mitigación y
control para garantizar la entrega exitosa de soluciones tecnológicas confiables y de alto
rendimiento.

5. Categorización de activos
Se han identificado 10 activos en el proceso de gestión y desarrollo de software como servicio de la
empresa MFS Tech Solutions:

1. Datos confidenciales del cliente: La empresa puede almacenar y manejar información confidencial
de los clientes, como datos personales, información financiera o datos de contacto. Un riesgo
asociado podría ser la violación de la seguridad de estos datos, lo que podría resultar en pérdida de
confianza, multas o sanciones legales.

2. Estaciones de trabajo Las computadoras y equipos utilizados por los empleados para llevar a cabo
sus tareas diarias.

4
3. Personal clave: Las personas con habilidades y conocimientos especializados pueden ser
consideradas activos importantes. Los riesgos pueden incluir renuncias repentinas, enfermedades o
falta de disponibilidad de personal clave, lo que podría afectar la continuidad del negocio y la
entrega de proyectos.

4. Planta de energía y suministro eléctrico: Los sistemas de generación de energía, suministro

eléctrico y equipos relacionados utilizados para alimentar las operaciones de la organización.

5. Redes y conexiones de datos: Las redes y conexiones de datos son fundamentales para la
comunicación y transferencia de información dentro de la infraestructura tecnológica. Los riesgos
pueden incluir interrupciones de red, ataques cibernéticos, congestión o pérdida de datos.

6. Relaciones con proveedores y clientes: Las relaciones comerciales establecidas con proveedores y
clientes clave, incluyendo acuerdos contractuales, alianzas estratégicas o contratos de prestación de
servicios.

7. Servidores físicos: Los servidores físicos utilizados para alojar aplicaciones y datos críticos son un
activo importante. Los riesgos pueden incluir fallos de hardware, sobrecarga, falta de capacidad o
acceso no autorizado.

8. Sistemas de respaldo y recuperación de datos: Los sistemas de respaldo y recuperación de datos

garantizan la disponibilidad y la integridad de la información en caso de fallos o desastres. Los
riesgos pueden incluir fallas en los procedimientos de respaldo, pérdida de datos durante la
recuperación o falta de pruebas y verificaciones adecuadas.

9. Espacios exteriores: Los espacios al aire libre que son propiedad de la organización, como
estacionamientos, patios, áreas verdes o espacios de almacenamiento al aire libre.

10. Sistemas de seguridad: Los sistemas de seguridad física utilizados para proteger los activos de la
empresa, como sistemas de cámaras de seguridad, sistemas de control de acceso o sistemas de
alarmas.

5
6. Análisis de controles
[A.11] - Seguridad física y del entorno

[A.12] - Seguridad de las operaciones

6
[A.16] - Gestión de incidentes de seguridad de la información

7
[A.17] - Aspectos de seguridad de la información para la gestión de la continuidad del negocio

8
7. Análisis del SOA

9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
8. Conclusiones
Durante la simulación, nos dimos cuenta de la importancia de seguir la norma ISO 27001 para
garantizar una gestión efectiva de la seguridad de la información. La norma establece directrices
fundamentales, y aplicarlas correctamente es crucial para establecer un sistema sólido de seguridad
de la información.

Utilizamos la herramienta eMarisma para llevar a cabo la auditoría de seguridad de la información

de manera estructurada y eficiente. Su interfaz intuitiva y sus funciones nos permitieron evaluar de
manera sistemática el cumplimiento de los requisitos establecidos en la norma ISO 27001.

Durante la simulación de la preauditoria, identificamos áreas en las que la empresa simulada puede
mejorar su seguridad de la información. Esto destaca la importancia de realizar evaluaciones
periódicas para mantener un sistema de gestión de la seguridad de la información sólido y adaptado
a los riesgos actuales.

La simulación con eMarisma nos brindó una experiencia práctica y realista, lo que nos permitió
aplicar nuestros conocimientos teóricos y desarrollar habilidades relevantes en seguridad de la
información y auditoría.

En resumen, esta simulación de preauditoria nos ayudó a comprender la importancia de la norma

ISO 27001, familiarizarnos con la herramienta eMarisma, identificar áreas de mejora y fortalecer
nuestras habilidades en la gestión de la seguridad de la información. Estas conclusiones nos
proporcionan una base sólida para enfrentar desafíos reales en la protección de la información y la
implementación de sistemas de gestión efectivos.

9. Bibliografía

1. Marisma | El mejor sistema de gestión de la seguridad. (s. f.). https://www.emarisma.com/

24