Scribd
Cargar
197 vistas10 páginas

Musi02 - t2 - Act - Aplicación de La Norma ISO 27001

Este documento proporciona una introducción a la aplicación de la norma ISO 27001 en NetFirst, una empresa de telecomunicaciones en Ecuador. Explica la misión, visión y valores de la empresa, así como el alcance y justificación de su Sistema de Gestión de Seguridad de la Información. Además, describe los roles y responsabilidades clave en seguridad de la información, la importancia de la capacitación del personal y las políticas de clasificación de información y control de acceso.

Cargado por

Jimmy Pianchiche
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
197 vistas10 páginas

Musi02 - t2 - Act - Aplicación de La Norma ISO 27001

Este documento proporciona una introducción a la aplicación de la norma ISO 27001 en NetFirst, una empresa de telecomunicaciones en Ecuador. Explica la misión, visión y valores de la empresa, así como el alcance y justificación de su Sistema de Gestión de Seguridad de la Información. Además, describe los roles y responsabilidades clave en seguridad de la información, la importancia de la capacitación del personal y las políticas de clasificación de información y control de acceso.

Cargado por

Jimmy Pianchiche
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Asignatura: Gestión de la seguridad

Datos del alunmo: Jimmy Narciso Pianchiche Largo

Actividad: Aplicación de la norma ISO 27001

Fecha: 28/4/2020
Contenido
Introducción 1
Misión 1
Visión 1
Valores 1
Objetivos (Corporativos) 2
Justificación del SGSI 2
Alcance 2
Justificación del alcance 2
Roles y responsabilidades en seguridad de la información 3
Concienciación, educación y capacitación en seguridad de la información 4
Clasificación de la información 5
Política de control de acceso 6
Conclusión 8
Referencias 8

Tabla 1 Roles y responsabilidades en seguridad de la información ........................ 3


Tabla 2: Clasificación de la información ................................................................ 5
Tabla 3: Política de control de acceso ................................................................... 6

ii
Introducción

“ISO/IEC 27001:2017 – 4. Contexto de la organización - 4.1 Comprensión de la


organización y de su contexto - 4.2 Comprensión de las necesidades y expectativas de
las partes interesadas; 6. Planificación - 6.2 Objetivos de seguridad de la información
y planificación para su consecución”.

NetFirst es una empresa de telecomunicaciones establecida en la ciudad de


Esmeraldas - Ecuador, ofrece servicios de internet de ultra alta velocidad hasta el
hogar, cuenta con profesionales altamente calificados con sólidos conocimientos en
las últimas tendencias tecnológicas.

Cuenta con internet FTTH, lo cual brinda un desempeño optimo en su categoría tanto
en velocidad y calidad para que la experiencia de nuestros usuarios en la red sea la
mejor.

Misión
Ofrecer un excelente servicio y calidad de navegación en los hogares y negocios
(emprendedores) en el Ecuador, proporcionando a nuestros clientes una gran
experiencia en Internet, apoyados en constante innovación, tecnología avanzada,
recurso humano motivado y calificado, generando crecimiento sostenible que
contribuya al desarrollo de la sociedad

Visión
Ser la empresa líder de la región en proporcionar la mejor experiencia en internet y
soluciones digitales, apoyados en tecnología, estructura ágil, valores, innovación,
empoderamiento de su gente y eficiencia operativa, que nos permita crecer
sostenidamente y construir relaciones con clientes y partes interesadas.

Valores
Los valores sobre el cual se sostiene la empresa son: trabajo en equipo, disciplina,
responsabilidad, empatía, integridad, innovación y mejora continua.

1
Objetivos (Corporativos)
o Proveer el mejor servicio y la mejor calidad de navegación posible a nuestros
clientes.
o Realizar monitoreos a los servicios ofertados con la finalidad de aumentar su
eficiencia, disponibilidad y productividad.
o Capacitar al personal que brinda los servicios para una mejor intención al
cliente, basándose en el respecto, confiabilidad y ética.

Justificación del SGSI


Brindar servicios digitales para hogares y negocios (emprendedores), respaldado por
un Sistema de Gestión de Seguridad de la Información alineado con los requisitos de
las partes interesadas y la mejora continua, a fin de gestionar los riesgos que
comprometen la confidencialidad, integridad y disponibilidad de los activos de las
informaciones relevantes, de esta manera, minimizando las consecuencias que
pueden generar las recurrencias de eventos e incidentes de seguridad.

Alcance
Reforzar los servicios y procesos externos e internos en áreas como: redes e
infraestructuras de TI, servicio de internet, mantenimiento de software, gerencia de
servicios de TI de la empresa.

“ISO/IEC 27001:2017 - 4. Contexto de la Organización - 4.3 Determinación del alcance


del sistema de gestión de la seguridad de la información”.

Justificación del alcance


La información de la empresa debe ser gestionada activamente para asegurar la
confidencialidad, integridad y disponibilidad, lo que implica reforzar los servicios
y procesos externos e internos en las áreas críticas de la empresa (redes e
infraestructuras de TI, servicio de internet, mantenimiento de software, gerencia de
servicios de TI), el propósito es implantar el SGSI y fortalecer los servicios y procesos
externos e internos, mediante el cual se obtendrá ventajas para la empresa.

2
Roles y responsabilidades en seguridad de la información
“ISO/IEC 27001:2017 – 5. Liderazgo - 5.3 Roles, responsabilidades y autoridades de la
organización; Anexo A(Normativo) - A.6 Organización de la seguridad – A.6.1.
Organización interna – A.6.1.1. Roles y Responsabilidades en seguridad de la
información”.

Tabla 1 Roles y responsabilidades en seguridad de la información

Roles Responsabilidad Acciones me mejora


Encargado de la planificación, Analizar periódicamente y
organización y gestión de las reestructurar las políticas
políticas de seguridad de la de seguridad en base a las
Dirección General empresa. circunstancias o cambios
Una de las principales funciones es tecnológicos para la
hacer cumplir los objetivos empresa.
establecidos por la organización.
Encargado de la supervisión del Hacer un seguimiento
personal técnico para dar el mejor tanto al personal técnico
servicio al usuario con respecto al como al de recurso
Supervisor de cableado estructurado. A la vez, humano para asegurarse
Conmutación y Redes comunica y verifica que las normas que estén usando las
LAN de la organización están siendo mejores prácticas,
aplicadas por los analistas de basándose en las
soporte para una mejor gestión de normativas de la empresa.
la seguridad.
Son los encargados de mantener, Realizar periódicamente
configurar los equipos de redes. pruebas de seguridad
Dar soporte, atender y solucionar orientados al análisis de
todos los requerimientos emitidos vulnerabilidades y
Analistas de Soporte
por los usuarios, basándose en las Pentesting con la
Técnico en el área de
normas establecidas por la finalidad de descartar
Redes
empresa. cualquier ataque a los
servidores e
infraestructura de red, que
pudieran comprometer

3
la seguridad de la
información y otros activos
de la empresa.
Es el encargado de planear, Capacitar a todo el
coordinar, ejecutar y prestar personal sobre las
orientaciones técnicas sobre las normativas y políticas de
Recurso Humano actividades de administración seguridad de la empresa, y
del personal, basados en las las consecuencias que esta
políticas, directrices y normas implica al no seguirla.
legales de la empresa.

Concienciación, educación y capacitación en seguridad de la información


“ISO/IEC 27001:2017; Anexo A(Normativo) - A.7 Seguridad relativa a los recursos
humanos – A.7.2.2. Concienciación, educación y capacitación en seguridad de la
información”.

Se debe capacitar al personal de trabajo periódicamente sobre las políticas y


procedimientos de la organización de acuerdo con las actividades que fueron
contratados.

a) Capacitación mediante charlas para interactuar con el personal de trabajo, de


esta manera garantizando una sólida comprensión sobre políticas de
seguridad de la organización.
b) Mediante poster y tríptico, concientizar a los empleados para que consideren
la seguridad de la información una parte activa de la empresa.
c) Capacitar sobre la información, almacenamiento de la información, con
respecto a los datos registrados de los clientes y cómo aplicar las normas en
base a la seguridad de la información.
d) Mediante foros, blog de la organización, capacitar sobre procedimientos de
las mejores prácticas para el cuidado de la información tanto personal como
de terceros.
e) Mediante el correo institucional transmitir la información de la política de
seguridad de la empresa.

4
Clasificación de la información
“ISO/IEC 27001:2017; Anexo A(Normativo) - A.8 Gestión de activos – A.8.2.
Clasificación de la información- A.8.2.1 Clasificación de la información”.

La clasificación de la información constituye una herramienta fundamental para toda


organización que tiene como objetivo proporcionar a sus clientes o usuarios,
productos o servicios de alta calidad.

Confidencial: cuando el nivel de confidencialidad es máximo.

Restringido: para niveles medios de confidencialidad.

Uso interno: información con un nivel bajo de confidencialidad.

Tabla 2: Clasificación de la información

Activos Clasificación Amenaza


• Incapacitad de actuar frente a un
problema.
Personal Uso interno
• Falta de capacitación.
• Realización de operaciones indebida.
• Sustracción de información.
• Modificación no autorizada de
Bases de datos Confidencial
registro.
• Robo de datos por terceros.
• Errores de mantenimiento
• Contagio de virus.
Equipos informáticos Uso interno
• Instalación no autorizada de
software.
• Modificación de registros de datos.
Medios de
Restringido • Sustracción de información.
almacenamiento
• Infiltración de archivos maliciosos.
• Uso de códigos no autorizados o no
probados.
Software de
Restringido • Modificación accidental de datos del
aplicaciones
sistema de información.
• Uso no autorizado del software.

5
• Falla en los vínculos de
Redes de comunicación.
Restringido
comunicación • Acceso no autorizado a la red.
• Escuchas abiertas.
• Falla en equipos.
Servidores Confidencial • Acceso no autorizado a terceros.
• Espionaje industrial

Política de control de acceso


“ISO/IEC 27001:2017; Anexo A(Normativo) - A.9 Control de acceso – A.9.1. Requisitos
de negocio para el control de acceso - A.9.1.1 Política de control de acceso”.

Niveles de complejidad:

• Básico (B): El esfuerzo y los recursos necesarios para implantarlo son


asumibles.
• Intermedio (I): El esfuerzo y los recursos necesarios para implantarlo son más
complejo que el nivel básico.
• Avanzado (A): El esfuerzo y los recursos necesarios para implantarlo son
considerables.
Los controles podrán tener el siguiente alcance:

• Procesos: aplica a la dirección o al personal de gestión.


• Tecnología: aplica al personal técnico
Tabla 3: Política de control de acceso

Nivel Alcance Control


Manteniendo de equipos de telecomunicación
Mantenimiento, operación, configuración de equipos de
I Tecnología
redes conmutadas (conmutación, videoconferencia) y redes
de datos (LAN, Router).
Aplicación de normas
A Procesos Evalúa y monitorea el cumplimiento de normas, políticas y
leyes establecidas en la organización.
I Tecnología Mantenimiento/Actualización

6
Responsable del mantenimiento y mantener actualizado los
equipos informáticos para la automatización de las
operaciones y procesos de la organización.
Revisión de la red
Revisar el funcionamiento de la red, el desempeño de los
I Tecnología
sistemas en operación y el de las bases de datos del
organismo.
Mecanismos de autenticación
Determinar e implantas las técnicas de autenticación más
A Tecnología
apropiados para permitir el acceso a la información de la
empresa.
Registro de eventos
Estableces los mecanismos necesarios para registrar todos los
A Procesos
eventos relevantes en el manejo de la información de la
empresa.
Asignación de permisos
Asignar los permisos necesarios para que cada usuario o
B Procesos
grupo de usuarios solo puedan realizar las acciones oportunas
sobre la información a la que tienen acceso.
Política de usuarios y grupos
B Procesos Defines los roles de usuarios y de grupos en función del tipo
de información al que podrán acceder.

7
Conclusión
La tecnología está en constante avance lo que significa que las organizaciones tienen
que adaptarse al cambio con la finalidad de automatizar procesos y servicios, sin
embargo, las adaptaciones conllevan a perdidas si no se aplican los protocolos
necesarios para su buen uso.

Tanto Los equipos informáticos como la información de la organización están en


riesgo ante un desastre, ya sea un desastre natural como robo o ataques
informáticos, etc., para precautelar los activos de la organización se estableció la
norma ISO 27001, el cual es un Sistema de Gestión de la Seguridad de la Información
(SGSI) que, mediante normas establecidas ayuda a proteger los activos de la empresa;
ISO 27002 es un complemento de la ISO 27001, el cual ayuda a mejorar cada proceso
a la hora de aplicar la norma, esta norma asegura la confidencialidad de la
información que son vulnerables, a su vez, protege la integridad de la información a
su totalidad y garantiza la disponibilidad para el personal que necesita la información.

Referencias
Carrasca, I. P. (6 de 6 de 2016). El repositorio en cifras. Obtenido de UOC:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/54261/5/ipiconT
FM0616memoria.pdf
SGSI. (14 de 9 de 2017). Blog especializado en Sistemas de Gestión. Obtenido de
SGSI: https://www.pmg-ssi.com/

También podría gustarte