ETAPA 4

REVISIÓN DEL SGSI

FABIAN ANDRES SANTIAGO RIOS - CÓDIGO 1065644310

JEFFERSON ARAGÓN AGUIRRE – CÓDIGO 16930299

OVIDIO MARTÍNEZ BARCO – CÓDIGO 94328142

ANA CRISTINA CALDERÓN CASTRILLÓN – CÓDIGO 1144167336

BERNABÉ SÁNCHEZ LENIS – CÓDIGO 16460502

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
AÑO 2020
 ETAPA 4
REVISIÓN DEL SGSI

FABIAN ANDRES SANTIAGO RIOS - CÓDIGO 1065644310

JEFFERSON ARAGÓN AGUIRRE – CÓDIGO 16930299

OVIDIO MARTÍNEZ BARCO – CÓDIGO 94328142

ANA CRISTINA CALDERÓN CASTRILLON – CÓDIGO 1144167336

BERNABÉ SÁNCHEZ LENIS – CÓDIGO 16460502

EDUARDO ANTONIO MANTILLA TORRES

Director de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
AÑO 2020
 CONTENIDO

pág.

INTRODUCCIÓN.....................................................................................................5
OBJETIVOS...............................................................................................................6
OBJETIVO GENERAL.......................................................................................................6
OBJETIVOS ESPECÍFICOS...........................................................................................6
DESARROLLO DEL TRABAJO.............................................................................7
1. Estrategias, Políticas y Procesos para la Revisión del SGSI..............7
1.1. Planes de Revisión............................................................................................................7
1.1.1 Procedimiento de revisión por la dirección..................................................7
1.2. Desarrollo de la Auditoría en RTT Ibérica........................................................17

CONCLUSIONES....................................................................................................23
BIBLIOGRAFÍA......................................................................................................24
 LISTA DE TABLAS

Tabla 1. Descripción...............................................................................7
Tabla 2. Control de cambios....................................................................9
Tabla 3. Acta de revisión por la gerencia..................................................10
Tabla 4. Registro inventario de activos fijos.............................................13
Tabla 5. Registro inventario de sistemas de información RTT Ibérica...........15
Tabla 6. Registro de usuarios y asignación de aplicaciones RTT Ibérica........15
Tabla 7. Reporte de vulnerabilidades encontradas RTT Ibérica....................16
Tabla 8. Plan de auditoría SGSI - RTT Ibérica...........................................20
INTRODUCCIÓN

5
 OBJETIVOS

OBJETIVO GENERAL

OBJETIVOS ESPECÍFICOS

6
 DESARROLLO DEL TRABAJO

1. ESTRATEGIAS, POLÍTICAS Y PROCESOS PARA LA REVISIÓN

DEL SGSI

1.1. Planes de Revisión

1.1.1 Procedimiento de revisión por la dirección

OBJETIVO

Revisar el Sistema de gestión de la seguridad de la información SGSI de

la organización RTT Ibérica para asegurar su conveniencia, adecuación y
eficacia continua. Incluyendo la evaluación de las oportunidades de
mejora y la planeación para efectuar cambios en el SGSI, la política y
los objetivos de Calidad.

ELEMENTOS DE VERIFICACIÓN

Revisión del SGSI por periodo (semestral) vencido.

ALCANCE

Aplica a las líneas de servicios y procesos del SGSI.

REFERENCIAS

 Documento de Revisión por la Dirección.

 Documento Programa Mantenimiento y Mejora del SGSI.
 Documento Acciones de Mejora.
 Documento Registro por Indicador.
 Documento Asistencia.

DESCRIPCIÓN

Tabla 1. Descripción.
ACTIVIDAD RESPONSABLE REGISTRO
Programación de Comité de gerencia Correo electrónico
fechas para institucional
revisión: Se

7
establecen las fechas
en comité de
gerencia, se publican
en el programa de
mantenimiento y
mejora del SGSI, se
socializan por correo
electrónico
institucional. Los
cambios a este
programa quedaran
aprobados por el
comité.
Socialización de
requisitos: Se
socializan a los líderes
de proceso los
Coordinador de Correo electrónico
requisitos de entrada
calidad institucional
necesarios para la
revisión, con una
semana de
anticipación.
Preparación de
informes: Los líderes
de proceso preparan
para la reunión los Documento Registro por
Líderes de proceso
resultados de Indicador
gerencia de acuerdo a
los datos de entrada y
sus análisis.
Reunión para la
revisión por la
dirección: Los líderes
de proceso presentan
los indicadores,
parámetros de Líderes de proceso Documento Asistencia
control, informes y
análisis de los
componentes de la
revisión para la toma
de decisiones.
Aprobación del Comité de gerencia Documento de Revisión

8
documento: Se
redacta el documento
Revisión por la
Dirección, se firma
por todos los por la Dirección
miembros que
asistieron a la reunión
del comité de
gerencia.
Seguimiento al plan
de acción: Se revisa
la ejecución de los Documento Acciones de
Comité de gerencia
planes de acción en Mejora
los comités de
gerencia.

COMPONENTES DE LA REVISIÓN POR LA DIRECCIÓN

La información necesaria para llevar a cabo dicha revisión será sobre:
 Las amenazas o vulnerabilidades que no sean trasladadas
adecuadamente en evaluaciones de riesgos anteriores.
 Los resultados de las mediciones de eficacia.
 Los resultados de las auditorías y revisiones del SGSI.
 Los productos, las técnicas o los procedimientos que pueden ser
útiles para mejorar el SGSI en cuanto a su rendimiento y
eficiencia.
 Los estados de las distintas acciones preventivas y correctivas.
 El estado de las acciones iniciadas a raíz de las diversas revisiones
anteriores de la dirección de la organización.
 Los cambios que pueden afectar al SGSI.
 Las recomendaciones de mejora para el SGSI.
POSIBLES CAMBIO QUE AFECTAN EL SGSI
Los aspectos del SGSI a revisar por parte de la alta dirección de la
empresa RTT Ibérica son:
 Vigencia de las políticas del SGSI.
 Política actual del SGSI.
 Cambios realizados en el SGSI.
 Justificación del SGSI.
 Nueva política del SGSI.
CONTROL DE CAMBIOS

9
Tabla 2. Control de cambios.
VERSIÓN EMISIÓN SECCIÓN MODIFICACIONES MOTIVO

1.1.1. Revisión por la dirección

Tabla 3. Acta de revisión por la gerencia.

ACTA DE REVISIÓN POR LA DIRECCIÓN

CITANTE
Nombres y apellidos
Acta
Motivo de Reunión Reunión de carácter
No.
Ordinari
Extraordinaria
a
Hora
Fecha de Reunión Lugar de Reunión Hora final
inicio
Día Mes Año

ORDEN DEL DÍA

1. Resultados de Auditorías.
2. Retroalimentación del Cliente.
3. Desempeño de los procesos y conformidad del producto y/o
servicio.
4. Estado de las acciones correctivas y preventivas.
5. Acciones de seguimiento de revisiones previas efectuadas por la
dirección.
6. Cambios que podrían afectar el Sistema de Gestión de la
Seguridad de la Información.
7. Recomendaciones de la mejora para el próximo año.
8. Riesgos actualizados e identificados para la organización RTT
Ibérica.
9. Revisión de la adecuación de la política y los objetivos de la
calidad.
10. Resultados de la Revisión por la Dirección.

DESARROLLO Y DECISIONES

10
1. RESULTADOS DE AUDITORÍAS

 Auditoría Interna

 Auditoría Externa

2. Retroalimentación del Cliente.

3. Desempeño de los procesos y conformidad del producto

y/o servicio.

4. Estado de las acciones correctivas y preventivas.

11
5. Acciones de seguimiento de revisiones previas efectuadas
por la dirección.

6. Cambios que podrían afectar el Sistema de Gestión de la

Seguridad de la Información.

7. Recomendaciones de la mejora para el próximo año.

8. Riesgos actualizados e identificados para la organización

RTT Ibérica.

9. Revisión de la adecuación de la política y los objetivos de

12
 la calidad.

10. Resultados de la Revisión por la Dirección.

El resultado de esta revisión hará parte de la información necesaria para

las revisiones de la alta dirección de la empresa RTT Ibérica.
De acuerdo con lo expuesto por Gómez y Fernández se debe realizar un
informe de alto nivel, hablando la situación actual, acciones y planes
correspondientes a los procesos de mejora continua. 1

Formatos Anexos Planes de Revisión

Tabla 4. Registro inventario de activos fijos.

REGISTRO INVENTARIO DE ACTIVOS FIJOS RTT Ibérica
ID DESCRIPCIÓN REFERENCIA SERIE
0001 UPS 1 Apc Regulada 1.5 Kva Br1500m2
0002 UPS 2 Apc Regulada 1.5 Kva Br1500m2
0003 Router D-Link ISR4321
0004 Switch 24 puertos Cisco SG200-

1
GÓMEZ FERNÁNDEZ, Luis y FERNÁNDEZ RIVERO, Pedro Pablo. Cómo implantar un SGSI
según UNE-EN ISO/IEC 27001 y su aplicación en el Esquema Nacional de Seguridad [En línea].
Responsabilidad subordinada. España: AENOR - Asociación Española de Normalización y
Certificación, 2018. 165 p. [Consultado el 9 de noviembre de 2020]. Disponible en: https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624?page=58. ISBN: 9788481439649.

13
 26.
0005 Server-PT Servidor de dominio HP HPSPT0011
0006 PC-PT 1 Alquiler y Venta Lenovo Todo en Uno LTEUPC0001
0007 PC-PT 2 Alquiler y Venta Lenovo Todo en Uno LTEUPC0002
0008 PC-PT 3 Alquiler y Venta Lenovo Todo en Uno LTEUPC0003
0009 PC-PT 1 Comercial Lenovo Todo en Uno LTEUPC0004
0010 PC-PT 2 Comercial Lenovo Todo en Uno LTEUPC0005
0011 PC-PT 3 Comercial Lenovo Todo en Uno LTEUPC0006
0012 PC-PT 1 Recursos Humanos Lenovo Todo en Uno LTEUPC0007
0013 PC-PT 2 Recursos Humanos Lenovo Todo en Uno LTEUPC0008
0014 PC-PT 3 Recursos Humanos Lenovo Todo en Uno LTEUPC0009
0015 PC-PT 1 Financiero Lenovo Todo en Uno LTEUPC0010
0016 PC-PT 2 Financiero Lenovo Todo en Uno LTEUPC0011
0017 PC-PT 3 Financiero Lenovo Todo en Uno LTEUPC0012
0018 PC-PT 1 Técnico Lenovo Todo en Uno LTEUPC0013
0019 PC-PT 2 Técnico Lenovo Todo en Uno LTEUPC0014
0020 PC-PT 3 Técnico Lenovo Todo en Uno LTEUPC0015

14
Tabla 5. Registro inventario de sistemas de información RTT Ibérica.
REGISTRO INVENTARIO DE SISTEMAS DE INFORMACIÓN RTT Ibérica
PROVEEDO CANT.
NOMBRE VERSIÓN CONTACTO SOPORTE USUARIOS ACTUALES
R LICENCIAS
CPLUS V 1.0 Digital Ware 3002891094 10 10
FPLUS V 1.0 Digital Ware 3002891094 10 10
NPLUS V 1.0 Digital Ware 3002891094 5 5
Antivirus 2021 Kaspersky https://latam.kaspersky.com/home-security 20 16
Página web V 1.0 Digital Ware 3002891094 1 *
Servidor de Dominio Windows Server 2019 Microsoft https://www.microsoft.com 20 16

Tabla 6. Registro de usuarios y asignación de aplicaciones RTT Ibérica.

REGISTRO DE USUARIOS Y ASIGNACIÓN DE APLICACIONES RTT Ibérica
NOMBRE USUARIO LOGIN USUARIO EQUIPO APLICACIONES USADAS
Jefe de ventas venta01 PC-PT 1 Alquiler y Venta CPLUS, FPLUS
Asistente de ventas venta02 PC-PT 2 Alquiler y Venta CPLUS, FPLUS
Auxiliar de ventas venta03 PC-PT 3 Alquiler y Venta CPLUS, FPLUS
Jefe de comercial PC-PT 1 Comercial CPLUS, FPLUS
Asistente de comercial comercial01 PC-PT 2 Comercial CPLUS, FPLUS
Auxiliar de comercial PC-PT 3 Comercial CPLUS, FPLUS
Jefe de recursos humanos rhumano01 PC-PT 1 Recursos Humanos NPLUS
Asistente de recursos humanos rhumano02 PC-PT 2 Recursos Humanos NPLUS
Auxiliar de recursos humanos rhumano03 PC-PT 3 Recursos Humanos NPLUS
Jefe de financiero financiero01 PC-PT 1 Financiero FPLUS, NPLUS
Asistente de financiero financiero02 PC-PT 2 Financiero FPLUS, NPLUS
Auxiliar de financiero financiero03 PC-PT 3 Financiero FPLUS, NPLUS
Jefe técnico tecnico01 PC-PT 1 Técnico Windows server, CPLUS, FPLUS, NPLUS
Asistente de técnico tecnico02 PC-PT 2 Técnico Windows server
Auxiliar de técnico tecnico03 PC-PT 3 Técnico Windows server

15
Tabla 7. Reporte de vulnerabilidades encontradas RTT Ibérica.
REPORTE DE VULNERABILIDADES ENCONTRADAS RTT Ibérica
VULNERABILIDAD
SISTEMA DE INFORMACIÓN FECHA DESCRIPCIÓN CRITICIDAD
ENCONTRADA
No se cuenta con un servidor de soporte dado que el
Ausencia de servidor
26/11/202 servidor se centraliza toda la información necesaria
Servidor Centralizado de Aplicaciones de Aplicaciones de Alto
0 para el funcionamiento de la empresa y las aplicaciones
soporte
necesarias para su tratamiento
26/11/202 Contraseñas que no Cada usuario dispone de su propio usuario y contraseña
Servidor Centralizado de Aplicaciones Medio
0 caducan (que no caduca)
Cuenta común
26/11/202 El caso del departamento de comercial, donde existe
CPLUS, FPLUS departamento Alto
0 una cuenta común para todos los comerciales
comercial
También deberían implementarse copias diarias dado la
26/11/202 Ausencia de copias importancia y lo sensible de la información que cada
Servidor Centralizado de Aplicaciones Medio
0 diarias vez se genera más con los compromisos adquiridos con
otras empresas.
26/11/202 Ausencia de copias Las copias se almacenan en una caja fuerte en las
Servidor Centralizado de Aplicaciones Medio
0 externas propias oficinas de la empresa.

16
 1.2. Desarrollo de la Auditoría en RTT Ibérica

A continuación, se describen las actividades a ejecutar durante y después de

la auditoría:

1.2.1. Alcance de la Auditoría

Dado que es una auditoria de seguridad se definen los procesos a auditar,

tanto de forma física como lógica, los cuales son:
 Departamento Comercial.
 Departamento Financiero.
 Departamento de Recursos Humanos.
 Departamento de Alquiler y Venta de Vehículos.
 Departamento Técnico.

1.2.2. Criterios

Luego de ser aprobado el alcance y obtenida la información del SGSI para la

auditoria se establecen las Políticas de Seguridad de la Información y los
requisitos de la Norma ISO/IEC 27001:2013 y se definieron los criterios de la
siguiente forma:

Departamento Comercial

Criterios establecidos: Mapa de riesgos, caracterización del proceso,

relación de clientes, Compañías de comercialización y Divulgación, estructura
física. Se debe realizar en una sesión de 4 horas.

Departamento Financiero

Criterios establecidos: Mapa de riesgos, caracterización del proceso,

sistema de información por el cual se hacen las transacciones financieras,
sistema contable donde refleje los registros contables, estados financieros,
instalaciones físicas.

17
Departamento de Recursos Humanos

Se establece como criterio caracterización del proceso, manuales,

reglamentos, elementos físicos, procesos de contratación.

Departamento de Ventas y Alquiler de Vehículos

Mapa de riesgos, caracterización del proceso, relación de compras y ventas y

promoción de puntos, sistema por el cual se hacen las compras y ventas.
Instalaciones físicas.

1.2.3. Programa de Auditoría

Se define el orden a auditar por proceso y se establece un tiempo estimado

para cada uno, dentro del periodo estipulado para toda la auditoría, el cual
queda establecido de la siguiente manera:

1. Departamento Comercial: sesión de 4 horas.

2. Departamento Financiero: sesión de 6 horas.
3. Departamento de Recursos Humanos: sesión de 4 horas.
4. Departamento de Ventas y Alquiler de Vehículos: 8 horas.

1.2.4. Metodología de la Auditoría

Se define la metodología, quedando establecido entrevistas en el puesto de

trabajo de cada uno de los procesos auditados.

1.2.5. Equipo Auditor

Dado que la auditoria abarca todos los procesos y a la vez es de Seguridad,

el equipo contara con varios auditores que contaran con conocimientos de los
temas especializados de RTT Ibérica y a la vez con temas de seguridad de la
información para desarrollar todas las actividades de manera global.

18
Es decir que para esta auditoria se contará con perfiles como:

- Técnicos en Informática y análisis de sistemas.

- Personal con conocimiento en administración y finanzas.
- Personal con conocimientos en análisis de riesgos.

1.2.6. Ejecución de la Auditoría

Se da inicio a la reunión de apertura, con una introducción en la cual se

explican objetivos, criterios, se presenta al equipo auditor y se pone a
consideración el programa de ejecución de manera tal que se pueda realizar
un cambio en la programación, en caso tal de requerirse.

Finalizada las sesiones de auditoria en cada proceso, se procede a realizar la

reunión de cierre entregando el primer informe verbal y se revisan las
retroalimentaciones quedando todo plasmado en el acta de cierre de la
auditoría.

1.2.7. Elaboración de los Informes

Una vez revisada la información recolectada en cada proceso relevante para

el cumplimento de los objetivos establecidos y criterios de la auditoría, se
presentan las evidencias que fueron determinadas como hallazgos, las cuales
se evalúan contra los criterios de la auditoria, para determinar la veracidad
de las mismas.

Finalmente se presenta el informe de preliminar de auditoría en la reunión de

cierre y se especifica las observaciones y No conformidades menores.

Posteriormente, el equipo auditor envía el informe definitivo de la Auditoria

del SGSI de RTT ibérica.

19
Formatos Anexos Auditoría

Tabla 8. Plan de auditoría SGSI - RTT Ibérica.

PLAN DE AUDITORÍA INTERNA SGSI - RTT IBÉRICA
Lista de Chequeo
ESTRUCTURA FÍSICA DE LA RED
Mapa de Red de la Organización CUMPLE NO CUMPLE
El área de Tecnologías y Sistemas de Información cuenta con
X  
mapa de red de la empresa
La topología de red plasmada en el documento es adecuada y
X  
corresponde a la estructura física
Cuartos de Comunicaciones CUMPLE NO CUMPLE
La ubicación de los cuartos de comunicaciones cumple con la
X  
norma
La temperatura de los cuartos de comunicaciones es la
X  
adecuada

La ubicación y distribución de los rack es la adecuada X  

Los patch panel están ubicados adecuadamente X  

Los dispositivos de red están correctamente ubicados y debidamente identificados

  NO APLICA CUMPLE NO CUMPLE

Servidores   X  

Routers   X  

Switches   X  

Firewall   X  

Access point   X  

Otros X    

Los dispositivos de red se encuentran en correcto estado de funcionamiento

  NO APLICA CUMPLE NO CUMPLE

Servidores   X  

Routers   X  

20
Switches   X  

Firewall   X  

Access point   X  

Otros X    

Condiciones de las UPS CUMPLE NO CUMPLE

Las UPS se encuentran es buen estado físico y de
X  
funcionamiento
Las conexiones de las UPS se encuentran en correctas
X  
condiciones
Las baterías de las UPS están cargadas y en condiciones
X  
óptimas

Las UPS se encuentran correctamente refrigeradas X  

Observaciones  
Las condiciones físicas de la red son adecuadas

ESTRUCTURA LÓGICA DE LA RED

Servidor(es) de dominio CUMPLE NO CUMPLE

La configuración implementada es la adecuada X  

Los permisos y niveles de acceso están correctamente

X  
asignados
El software utilizado está legalizado (licencias y derechos de
X  
uso)

El software utilizado está actualizado X  

Comunicación y seguridad CUMPLE NO CUMPLE

Políticas para contraseñas de usuario   X

Políticas para acceso remoto local a través del directorio

X  
activo

Políticas para acceso remoto externo a través de VPN X  

Control de accesos remotos

Formatos de control para acceso remoto por VPN a usuarios de teletrabajo
  CUMPLE NO CUMPLE

21
Formatos diligenciados, actualizados y firmados X  

Observaciones  
Las contraseñas de usuario no caducan
Los usuarios del área comercial comparten la misma cuenta
BASES DE DATOS
Niveles de integridad, seguridad y confidencialidad CUMPLE NO CUMPLE
Registros de cambios hechos a nivel de bases de datos
X  
debidamente firmados por el líder de área
Documentación sobre los permisos y niveles de acceso
X  
otorgados a los empleados en función de su cargo
Documentación sobre las políticas de protección de la
X  
información implementadas
Copias de respaldo para la información relevante de la organización
Copias de respaldo para CPLUS CUMPLE NO CUMPLE

Las copias se realizan con la periodicidad indicada X  

Copias de respaldo para FPLUS CUMPLE NO CUMPLE

Las copias se realizan con la periodicidad indicada X  

Copias de respaldo para NPLUS CUMPLE NO CUMPLE

Las copias se realizan con la periodicidad indicada X  

Observaciones  

ALMACENAMIENTO
Ubicación de las cintas de respaldo CUMPLE NO CUMPLE

Las cintas se encuentran en un sitio seguro   X

Accesibilidad a las cintas de respaldo CUMPLE NO CUMPLE

El acceso a las cintas es restringido y cuenta con las
X  
correspondientes medidas de seguridad
Diligenciamiento de la bitácora de realización de las copias de respaldo
  CUMPLE NO CUMPLE

Los registros de la bitácora se encuentran actualizados X  

Observaciones  
A pesar de que las cintas se encuentran en una caja fuerte, ésta se encuentra dentro de las
instalaciones de la organización

22
CONCLUSIONES

23
 BIBLIOGRAFÍA

Chicano Tejada, E. (2015). Auditoría de seguridad informática (MF0487_3).

Antequera, Málaga, Spain: IC Editorial. [En línea]. Disponible en:
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/44136?
page=13

GÓMEZ FERNÁNDEZ, Luis y FERNÁNDEZ RIVERO, Pedro Pablo. Cómo

implantar un SGSI según UNE-EN ISO/IEC 27001 y su aplicación en el
Esquema Nacional de Seguridad [En línea]. Responsabilidad subordinada.
España: AENOR - Asociación Española de Normalización y Certificación,
2018. 165 p. [Consultado el 9 de noviembre de 2020]. Disponible en:
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624?
page=58. ISBN: 9788481439649.

ISO 27001. FASE 9 REVISIÓN POR LA DIRECCIÓN SEGÚN ISO 27001.

Recuperado de: https://normaiso27001.es/fase-9-revision-por-la-direccion-
segun-iso-27001/

24