Etapa 4: Revisión del SGSI

LEIDY TATIANA CASTRO

SERGIO OMAR GARCIA ESTEBAN
MARISOL OVIEDO
JENNY LILIANA SIERRA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021

1
 Etapa 4: Revisión del SGSI

LEIDY TATIANA CASTRO

SERGIO OMAR GARCIA ESTEBAN
MARISOL OVIEDO
JENNY LILIANA SIERRA

EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2021
 CONTENIDO

INTRODUCCIÓN.......................................................................................................4
1 JUSTIFICACIÓN.............................................¡Error! Marcador no definido.
2 OBJETIVOS....................................................................................................5
3 OBJETIVOS ESPECÍFICOS..........................................................................6

4 DESARROLLO DEL TRABAJO…................................................................17

4 CONCLUSIONES.........................................................................................46
BIBLIOGRAFÍA........................................................................................................47
 INTRODUCCIÓN

El presente trabajo corresponde a un análisis, de las diferentes estrategias,

políticas y procesos mediante la implementación de estándares y sistema de
gestión de seguridad de la información (SGSI), en el cual se abordará las fases de
planear y hacer analizando la entidad RTT Ibérica.
 JUSTIFICACIÓN

Hoy en día la tecnología contribuye al ahorro de tiempo, esfuerzo y mejoramiento

de calidad de vida, aportando así, grandes beneficios a la humanidad. Es radical
en el sector empresarial, ya que debido a que la mayor parte de la información
esta consignada en ordenadores, soportes de almacenamiento y demás sistemas
de información, se vuelve vulnerable y puede ser fácil que personas no
autorizadas puedan acceder a ella causando graves perjuicios para la empresa.

Para proteger de amenazas a nuestras organizaciones y en este caso a RTT

Ibérica se establecerán procedimientos adecuados a implementar controles de
seguridad basados en la evaluación de los riesgos y en una medición de su
eficacia.
 OBJETIVOS GENERAL

Plantear estrategias, políticas y procesos para poder implementar un sistema de

gestión de seguridad a la entidad RTT Ibérica, mediante el uso de estándares y
regulación de gestión de seguridad.

OBJETIVOS ESPECÍFICOS

Iniciar la construcción de SGSI abordando las fases planear y hacer de un SGSI

para el problema propuesto en el curso.

Asumir tareas y responsabilidades en la construcción de la propuesta de SGSI que

brinde solución al problema propuesto en el curso.

Aplicar la norma ISO 27001 e incluir los frameworks y/o estándares que se
identifiquen como viables para ser incorporados.
 DESARROLLO DEL TRABAJO

Fase 1 PLANEAR: Establecer el SGSI

1. Diseñar SGSI: Identificar el enfoque y diseño del SGSI, marco normativo y

de aplicación.
SGSI es una herramienta que permite hacer un control de activos de la
información para tener una correcta gestión de riesgos y dar respuesta a
amenazas que puedan afectar la estabilidad de la organización, estas normas van
ligadas a los procesos, a las personas y a la tecnología.
La seguridad de la información depende de la tecnología: antivirus, cifrado,
firewall, IPS, Dominio, Control de aplicaciones, así mismo de las personas dueñas
de activos de información, los que gestionan la información, los resistentes a los
controles que se establecieron, los hábitos de comportamiento inseguros, entre
otros.
El enfoque de nuestro SGSI para la empresa RTT Ibérica está basado en
procesos que permiten establecer, implementar, operar, hacer seguimiento,
mantener y mejorar un sistema de gestión adoptado por la organización.
El diseño de un SGSI para la empresa de venta y servicio de alquiler de vehículos
requiere de compromiso del departamento de dirección de RTT Ibérica encargado
de proveer todos los recursos necesarios para su buen funcionamiento. Funciones
como liderar, promover definir, evaluar, verificar, realizar, gestionar, resolver.
Niveles de acuerdo de servicio, confidencialidad, evaluación de riesgos y
cumplimiento técnico. El diseño de un Sistema de Gestión de Seguridad de la
Información debe estar directamente relacionado con los objetivos:
 Crear una cultura de seguridad de la información
 Identificar el de valor de esta
 Tratar los incidentes de seguridad
 Implementar un SGSI y las necesidades de la organización
Esto con el fin de preservar la confidencialidad, integridad y disponibilidad de la
información; La metodología empleada para el diseño del SGSI será el ciclo PHVA
con el objeto de ganar eficacia y corrección de posibles errores a la hora de su
ejecución, PHVA significa:
Tabla 1: Estrategia PHVA. Elaboración propia
Estrategia PHVA
Planear Establecimiento de políticas, objetivos y
procesos que contribuyan a la gestión
de mitigación de riesgos
Hacer Se ejecutan las políticas y estrategias
anteriores
Verificar Se mide el desempeño de las acciones
realizadas
Actuar Se implementan acciones correctivas a
los procesos de acuerdo con los
resultados obtenidos.
Todos los marcos de seguridad nos permiten implementar diferentes técnicas, por
lo menos el ITIL permite definir un conjunto de buenas prácticas dentro de lo que
quiere hacer la empresa RTT Ibérica como es la prestación de servicios, la firma y
acuerdos de servicio con otras compañías, si se quiere generar ventajas a los
clientes a la hora de adquirir productos, NITS permite que RTT Ibérica dentro de
cada uno de sus departamentos se tengan en cuenta cada una de las directrices,
prácticas y estándares que permitan la clasificación y estos mecanismos de la
organización.
Sin embargo, como grupo decidimos adoptar el marco COBIT en la actividad
pasada, en este caso COBIT dentro de RTT Ibérica ofrece un servicio a través de
una página web y así facilita y protege la información de manera que se permite
que toda operación sea ms eficiente, optimiza los bajos costos de las TI fortalece
la normatividad y políticas establecidas, es decir apoyaría el cumplimiento de
leyes, reglamentos y políticas nacionales e internacionales gestionando la
creación de nuevas tecnologías que darían soporte al resto de RTT Ibérica,
incluyendo las relaciones con los proveedores tecnológicos.

2. Análisis de procesos: Entendimiento corporativo y los procesos que

administra.

Estructura de RTT Ibérica:

Ilustración 1: Estructura de RTT Ibérica. Elaboración propia

Disponible en: [Link]

FJ00JN
Objetivos estratégicos:

 Gestionar las ventas y alquileres de vehículos tanto en sus

instalaciones como a través de su aplicación web.

 Capacitar nuevos clientes y gestionar novedades a través de e-mail

para motivarlos a realizar compras.

 Administrar los datos de clientes y proveedores para llevar una

buena contabilidad de la empresa y a su vez mantener la integridad
de la información, a través de aplicaciones como CPLUS y FPLUS.

 Coordinar mediante la aplicación NPLUS las nóminas y contratos del

personal que labora en la organización.

 Instalar, mantener y gestionar los sistemas de información, para dar

soporte a la empresa RTT Ibérica y sus relaciones con los
proveedores tecnologías.

Procesos que permiten el logro de los objetivos:

 Se debe coordinar las relaciones existentes entre sus seres

humanos, ya que son las personas quienes se encargan de
desarrollar los diferentes procesos y esquemas adecuados de
comunicación, manejo de información y toma de decisiones.

 Se requiere de una planeación detallada en términos de las

condiciones mínimas de los diferentes entregables, en conjunto con
la valoración de relevancia de dichos entregables para el
cumplimiento de los objetivos organizacionales.

 Llevar a cabo la gestión organizacional basada en la capacidad del

logro de objetivos, mediante 3 dimensiones de desarrollo humano,
condiciones de trabajo y productividad, en términos de
competitividad empresarial.
 1. Diagrama de procesos de negocio:

Ilustración 2: Mapa de procesos. Elaboración propia

3. Definir Alcance: Define el alcance del SGSI en la organización.

Alcance:
El alcance de sistema RTT Ibérica, recoge y tienen en cuenta todas las actividades
de la entidad, objetivos del negocio, productos y actividades que desempeña.
Este documento el cual está enmarcado en la línea del Sistema de Gestión de
Seguridad de la Información (SGSI), va dirigido a todo el personal que labora y
hace parte de la empresa RTT Ibérica, cobijando cada uno de los departamentos
que la conforman: área de alquiler, área comercial, los recursos Humanos, el Área
financiera y el departamento Técnico, así como también los contratistas,
proveedores, clientes los cuales tengan acceso a los sistemas de información y a
las distintas actividades que se llevan a cabo en la empresa; también comprende
los equipos o computadores utilizados, los routers, servidores, bases de datos,
correos electrónicos, aplicaciones comerciales, servicios de gestión, instalaciones
físicas y sistemas de Red que hacen parte de la organización.
La seguridad de la información se identifica con la influencia del cómo se gestiona
y gobierna la organización, su conocimiento y capacidades, su cultura, las
relaciones contractuales y del cómo influyen también las condiciones ambientales.
Esto equivale a tener un análisis y evaluación de riesgos, tendencias del mercado
y de las condiciones regulatorias. Los avances tecnológicos y las relaciones con
proveedores externos, nos ayuda a definir parámetros tanto externos como
internos que deben tenerse en cuenta al gestionar el riesgo.
En el alcance de RTT Ibérica se involucran los
Empleados y los clientes
Accionistas o propietarios del negocio
Agencias gubernamentales y entidades reguladoras
Servicios de emergencia Medios de comunicación
Proveedores, entre otros.
Si las actividades realizadas por la organización requieren de interfaces o
dependencias externas o de actividades realizados por terceros, son consideradas
dentro del alcance del SGSI el cual es revisado a intervalos regulares o cuando
haya cambios significativos estableciendo para ello dependencias de tiempo en el
proyecto de seguridad que debería ser aplicable para un período de tiempo
particular.

4. Elaborar política de seguridad: diseño de una política de seguridad de la

información base para la organización.

Viendo el estándar ISO 27001 tenemos que hacer la política de seguridad para la
organización Rtt Ibérica sabiendo que tenemos que:

1) Redactar una política de acuerdo a las necesidades de la organización

la cual se basa en:
a. Alquiler y venta de vehículos presenciales en sus puntos físicos
y medios virtuales
b. Capacitar al personal en el uso adecuado de los sistemas
de información.
c. Administrar y organizar las bases de dato de clientes y proveedores
para llevar control y tener una buena integridad de sus datos
d. Instalar y gestionar controles de seguridad para clientes y proveedores

La política de la Seguridad de la Información debe tener en cuenta los objetivos de

cada parte de la organización, la organización tiene 5 departamentos los cuales
serían:
1) Departamento de alquiler y venta de vehículos.
2) Departamento comercial
3) Departamento financiero
4) Departamento de recursos humanos
5) Departamento técnico y de sistemas

Para realizar nuestra política de seguridad del SGSI de la empresa Rtt Iberica
debemos conocer las funciones principales de cada Departamento para analizar
las vulnerabilidades que podrían llegar a presentar.
Teniendo en cuenta lo anterior explicado podríamos hacernos una pregunta para
comenzar a construir la política de seguridad de nuestra organización.

¿Que se quiere conseguir con la seguridad de la información?

Como toda empresa busca mejorar los servicios, rapidez y eficiencia de ellos
mismos para así entregar la información de una manera rápida oportuna para así
estar a la mano con la competencia.

En estos 5 Departamentos de la organización tenemos los usuarios autorizados

por el administrador del sistema, los cuales deben darle un buen uso a los
sistemas teniendo la responsabilidad de la seguridad de la información
relacionada con su estación de trabajo

1) Alquiler y venta de vehículos.

Jefe de sistemas de ventas y alquiler se encarga de Planificar, organizar, dirigir y
controlar las actividades requeridas para el desarrollo, la adquisición y el
mantenimiento de los sistemas informáticos, de acuerdo a las políticas y
prioridades de la Institución.

Este tendría las siguientes funciones

Ver los perfiles de usuario y la estructura organizativa.

Ver unidades organizativas.
Crear y eliminar cuentas de usuario.
Cambiar el nombre de los usuarios y las contraseñas.
Gestionar la configuración de seguridad específica de un usuario.
Realizar otras tareas de gestión de usuarios.
Velar por el funcionamiento de la página

2) Comercial

Gerente Comercial de Sistemas

Planificar, organizar, dirigir, controlar y coordinar eficientemente el sistema

comercial, diseñando estrategias que permitan el logro de los objetivos
empresariales, dirigiendo el desarrollo de las actividades de marketing y las
condiciones de venta de los servicios postales y afines

Crea y elimina usuarios del sistema financiero de la organización.

Resguardar la base de datos diaria
3) Financiero
4) Recursos humanos

5) Técnico
Donde estará director de seguridad de la información tenemos que es un puesto
directivo de alto nivel responsable de toda la seguridad de la información. El
puesto puede incluir trabajos técnicos prácticos, en este departamento podemos
implementar dos puestos más los cuales serían:

 Ingeniero de seguridad: Realiza monitoreo constante para detectar

incidentes de seguridad, y monta respuesta a incidentes.
 Administrador de seguridad: Instala y administra sistemas de seguridad en
toda la organización.

Finalmente es importante para esta organización que el personal que trabaja en el

campo de la seguridad de la información debe mantenerse actualizado a medida
que los problemas y riesgos en la seguridad de la información evolucionan
continuamente, al igual que la tecnología y las prácticas comerciales.
En toda entidad u organización, los datos o medios corporativos se enfrentan a
amenazas las cuales pueden ser internas o externas. En este caso uno de los
objetivos principales es proteger, manejo de información y sistemas de la
empresa.

Cuyas políticas se seguridad incluyen los siguientes estándares:

Los estados de la información de entrada y los medios que deben de mantenerse
todo esto respaldado por la (norma ISO 27001).
Se debe de soportar los diferentes procesos de alquiles, venta comercial y
financiera de vehículos en la entidad RTT Ibérica.
Establecer los diferentes acuerdos y servicios con las estaciones de gasolina y
diferentes estaciones comerciales que ofrecen ventajas a la hora de realizar
compras los clientes.
Se utilizará para administrar los servicios del sitio web de los clientes.
Todo lo descrito en este documento debe de ser validado por la entidad RTT
Ibérica, activos e instalaciones.
Todo el personal perteneciente a la entidad RTT Ibérica, debe de seguir las
directrices en cuanto a trabajo o competencias. El cual también es aplicado a
contratistas, clientes, interesados y demás personal que tenga que ver con la
entidad RTT Ibérica.

Departamento Departamento Departamento Departamento de Departamento de

Técnico Financiero Comercial recursos alquiler y Venta
Humanos
Responsable de la Su función es de la función es dar a La función del Este
administración del ocuparse de las conocer los departamento de departamento vela
departamento y responsabilidades productos o recursos por el buen uso de
personal técnico, económicas de la servicios que humanos es el recursos que tiene
coordinar visitas empresa. Así comercializa la responsable de la la organización
de mantenimiento mismo, su principal empresa a través gestión de los para brindar
a los función es la de de acciones recursos soluciones al
departamentos realizar los pagos publicitarias y de humanos de la instante a clientes
y brindar apoyo a a los que está promoción, de organización, y se que desean
los técnicos en obligada la propia actualizar los encuentra alquilar comprar o
casos que amerite empresa, así como productos en formado por un vender algún tipo
para la resolución la gestión de las función de las conjunto de de vehículo
de problemas, partidas de gastos necesidades y personas que se
control de equipos e ingresos que cambios en el organizan en la
y repuestos tiene la misma. mercado o de empresa
asignados gestionar las
relaciones con los
clientes
Administrador del Jefe técnico de Jefe de sistemas Jefe de sistemas Jefe de sistemas
sistema sistemas departamento departamento de alquiler y ventas
encargado del comercial recursos
departamento humanos •Crear y eliminar
•Crea y elimina cuentas de
•Ver los perfiles financiero usuarios del •Crea y elimina usuario.
de usuario y la sistema financiero usuarios del
estructura de la sistema financiero
organizativa. •Crea y elimina organización. de la
usuarios del •Cambiar el
organización. nombre de los
sistema financiero
de la organización. usuarios y las
•Ver unidades •Resguardar la contraseñas.
organizativas. base de datos •Resguardar la
diaria base de datos
•Resguardar la diaria del personal •Gestionar la
•Crear y eliminar base de datos activo de la configuración de
cuentas de diaria organización
Actualiza las seguridad
usuario. ofertas y precios específica de un
de la página web usuario.
y de los sistemas
•Cambiar el
nombre de los •Realizar otras
usuarios y las tareas de gestión
contraseñas. de usuarios.

•Gestionar la •Velar por el

configuración de funcionamiento de
seguridad la página
específica de un
usuario.

•Realizar otras
tareas de gestión
de usuarios.
•Velar por el
funcionamiento de
la página

5. Identificar y evaluar Inventario de activos: realizar el inventario de los

activos a ser cobijados por el SGSI.

El inventario de activos permite clasificar aquello a lo que debe brindársele mayor

protección al interior de un proceso por medio de una matriz de inventario. Estas
son actividades como definición, revisión, actualización y publicación.
Definición o determinación de activos:

 15 ordenadores personales de usuario

 1 servidor de dominio
 4 cintas magnéticas que se van rotando para soportes de seguridad
 1 caja fuerte para guardar las copias de seguridad de la empresa
 Aplicación comercial CPLUS para tratamiento de información financiera.
 Software FPLUS para gestión de datos de clientes y proveedores para la
contabilidad de la empresa
 Aplicación NNPLUS para la gestión de información de recursos humanos
 Tercerizados: aseo, proveedor de wifi o televisión por cable, dominios de
correo electrónico
 Establecimientos de comercio, alquiler y venta de vehículos, estaciones de
servicio y gasolineras

Revisión:
Los motivos por los que se verifican las actualizaciones de los procesos que
involucran los activos mencionados, en el caso de RTT Ibérica
· Inclusión de nuevos activos:
 Impresoras
 Celulares
 Discos duros extraíbles
 Dispositivos USB entre otros.

Actualización:
Luego de clasificar y hacer las modificaciones pertinentes a el inventario de activos
se organiza la información.

Publicación:
Este documento es totalmente confiable que contiene la clasificación de activos de
RTT contemplando todo el funcionamiento interno de la organización.
Según ISO 27001, el registro de inventario de archivos se realiza en pro a la
confidencialidad e integridad de los datos. Al ser cobijados por el SGSI abarcamos
las debilidades a las que se encuentra comprometido el sistema.

En su identificación encontramos el software que en convenio con estaciones de

servicio y gasolineras contrata RTT Ibérica para poder ofrecer a sus clientes
ventajas a la hora de realizar sus compras, de igual forma el software que ya está
instalado en los ordenadores como el sistema antivirus, gratis o no, se convierten
en un activo de la organización. Por ejemplo, para el alquiler y venta de vehículos
la empresa desarrollo una aplicación web a su medida, igualmente aplicaciones
netamente financieras como CPLUS y FPLUS están a su cargo y hasta ara el
manejo del personal como NPLUS.

El Hardware, por otro lado, agrupa los computadores de mesa, los portátiles, las
impresoras, las tabletas y celulares que en RTT son funcionales a través de la
página web, facilitando por este medio todas las gestiones para sus clientes;
adicional los servidores, discos extraíbles y dispositivos USB.

Es un activo fundamental para cualquier empresa a nivel de SGSI aquel

departamento que almacena información importante del personal como las
nóminas y los contratos laborales y que tienen la opción de brindar y cambiar la
información de la compañía como el área de gestión o recursos humanos.
Así mismo los servicios tercerizados como a nivel de aseo, proveedor de wifi o
televisión por cable, de dominios de correo electrónico, entre otros.
Las bases de datos y el servidor que centraliza toda la información necesaria para
el funcionamiento de la empresa. En el caso del Departamento de TI, se gestionan
sistemas de información que dan soporte al resto de RTT Ibérica, inclusive
abarcando las relaciones con los proveedores. Esa información digital o no, hace
parte también del inventario de activos que queremos listar. En cuanto a
la infraestructura, podemos decir que son todos aquellos establecimientos de
comercio, alquiler y venta de vehículos, estaciones de servicio y gasolineras.
Esta clasificación de inventario debe realizarse anualmente y hacer la debida
separación e identificación de acuerdo con el nivel de priorización, integridad y
confidencialidad.
En cuanto a la anterior información de los diferentes activos se realiza una tabla 1
de valoración en cuanto a los diferentes valores de confidencialidad, integridad,
disponibilidad en el cual se realiza un análisis del nivel de criticidad de cada uno
de los diferentes activos con los que cuenta RTT Ibérica:

Tabla 2: Nivel de criticidad de los activos de la entidad RTT Ibérica. Elaboración propia
Activo Confidencialidad Integridad Disponibilidad Nivel de
impacto total
Ordenadores 3 3 3 9
Servidor de 3 3 3 9
dominio
Activo Confidencialidad Integridad Disponibilidad Nivel de
impacto total
Cintas 3 3 3 9
magnéticas
Caja fuerte 3 3 3 9
Aplicación 3 3 3 9
comercial
CPLUS
Software 3 3 3 9
FPLUS
Aplicación 3 3 3 9
NNPLUS
Tercerizados: 3 3 3 9
aseo,
proveedor de
wifi o televisión
por cable,
dominios de
correo
electrónico

Establecimient 3 3 3 9
os de
comercio,
alquiler y venta
de vehículos,
estaciones de
servicio y
gasolineras
6. Realizar análisis de riesgos: Realizar un análisis de los riesgos existentes para los activos
identificados en la organización.
Los resultados muestran un riesgo en mayor medida intolerable e importante que requiere de una
pronta intervención, principalmente en los talleres mecánicos y de Colisiones, causado por las
herramientas que manipulan los trabajadores y a la circulación de maquinaria o vehículos en las
áreas de trabajo que reducen el espacio; así también en el área administrativa se evidencia riesgo
por la acumulación de archivos y cableado eléctrico que impide obstaculiza los sitios de trabajo,
principalmente debajo de los escritorios, lo que impide un normal estiramiento de piernas.
Oficinas Centro de Colisiones Riesgo Medio Bodega de repuestos Riesgo Medio Oficinas
Administración y Ventas Riesgo Medio

PUESTO FACTOR DE RIESGO ESTIMACIÓN DEL RIESGO

RIESGO INTOLERABLE

1 Cajera Espacio físico reducido

2 Asesor de Repuestos Obstáculos en el piso

3 Ayudante de enderezada Manejo de herramienta cortante y/o punzante

4 Gerencia General

5 Gerencia Comercial

6 Técnico mecánico

7 Asesor de Repuestos

8 Enderezador Manejo de herramienta cortante y/o punzante

9 Jefe de Taller de Colisiones Circulación de maquinaria y vehículos en áreas de trabajo

10 Enderezador

11 Ayudante de enderezada

12 Lavador de Vehículos Piso irregular, resbaladizo

13 Técnico mecánico

14 Enderezador

15 Ayudante de enderezada

RIESGO IMPORTANTE

16 Gerencia Post-Venta

17 Vendedor externo de Repuestos

18
18 Técnico de pintura Espacio físico reducido

19 Gerencia General Desorden

20 Logística Desplazamiento en transporte (terreste, aéreo, acuático)

21 Técnico mecánico

22 Enderezador

23 Ayudante de enderezada

RIESGO MODERADO

24 Técnico mecánico Trabajos de mantenimiento

25 Gerente Financiero

26 Jefe de Ventas

27 Asesor Comercial

28 Técnico mecánico

29 Jefe de Taller de Colisiones

30 Asesor de Repuestos

31 Gerente de Recursos Humanos

32 Asesora Comercial F&I Desplazamiento en transporte Caída de objetos por derrumbamiento

o desprendimiento
 En esta tabla se busca mostrar el cálculo de cada uno de los diferentes impactos que sufre cada activo
de la entidad:

Tabla 3. valoración de amenazas de activos Elaboración propia

Computadores Probabilidad/ocurrencia Deterioro Deterioro Deterioro
confidencialidad integridad disponibilidad
Incendio 1 0 1 4
AMENAZAS

Robo. 1 3 2 5

Inundación. 3 3 3 0

voltajes 3 3 3 0
electrónicos

Servidor
Perdida de 5 3 3 3
AMENAZAS

Información.
Robo. 5 3 2 5
Incendio 5 3 2 0
Inundación. 3 3 2 0

Cintas magnéticas

Incendio 3 4 5 0
AMENAZAS

Robo. 5 5 2 5
Fuga de 5 2 3 0
información.

Caja fuerte
Robo. 5 2 3 0
AMENAZAS

Perdida de 5 2 0 3
Información.
Incendio 3 2 0 0

Aplicación comercial CPLUS, FPLUS, NNPLUS

Incendio 5 0 3 2
AMENAZAS

Robo. 5 0 2 0

Fuego 5 0 2 0

Planta física
Incendio. 5 0 4 0
AMENAZAS

Robo. 3 0 0 0
Inundación. 5 0 0 0
 Computadores Probabilidad/ocurrencia Deterioro Deterioro Deterioro
confidencialidad integridad disponibilidad
Servicios de red
Perdida de 5 0 0 2
AMENAZAS

Información.
Robo. 5 0 2 0
Incendio 5 0 0 0

Correo electrónico
Troyanos. 5 4 4 0
AMENAZAS

Virus. 5 2 4 0
Gusanos. 5 3 4 0

Spam. 5 0 4 0

Phishing. 5 2 3 0

Fuga de 5 3 3 0
información.

Página web
Software Malicioso. 2 3 2 4
AMENAZAS

Malware 2 2 3 5
Modificar 2 4 4 2
información que se
encuentre alojada
en el servidor.

Accesos no 1 0 0 3
autorizados.
Redirección y 1 0 1 3
envíos no
autorizados.
Caídas en la 3 2 0 0
página.
Falla en el servidor. 3 2 0 0
Bases de datos
Denegación de 5 2 2 0
AMENAZAS

Servicios.
Malware. 5 3 2 1
Phishing. 5 4 3 0
Vulnerabilidades de 5 3 3 0
la Plataforma.
DoS. 5 0 0 2
Computadores Probabilidad/ocurrencia Deterioro Deterioro Deterioro
confidencialidad integridad disponibilidad
Exceso de 5 0 0 1
Privilegios.

Luego de que se determinan cada uno de esos activos le damos un valor cada uno de los diferentes
riesgos según la descripción de la tabla 4.

Tabla 4. Evaluación de riesgos. (normaiso27001, s.f.)

7. Declaración de aplicabilidad (SoA): Elaborar la declaración de controles a
aplicar dentro de la organización.

Los controles que pertenecen a los respectivos dominios y objetivos pueden ser
aplicados dentro de la organización RTT Ibérica por lo que escogimos los más
relevantes para su posterior implementación

Tabla 4: Declaración de controles. Elaboración propia

Objeti Razón de Objetivo Justifi Referencia Aproba

vo de la de cació do
contr Selección control o n por la
ol o control de alta
contr Implemen exclus direcció
ol tado ión n
selecc Si/No Firma
ionad director
o de
Si/No la
entidad
Dominio 5. POLITICAS DE SEGURIDAD DE LA INFORMACION
5.1 Directrices
establecidas
Objetivo por la
de dirección para
control la
seguridad de la
información
Una política de
seguridad
[Link]
permite
5.1.1 Conjunto [Link]
garantizar la
de políticas [Link]/scielo
confidencialidad
para la .php?scrip
y la integridad de
seguridad de la t=sci_artte
Control SI la información SI NA NA
información xt&pid=S2
de RTT Ibérica
para la 071-
para disminuir
seguridad de 081X2008
los riesgos que
la información 00010000
puedan afectar
8
el desarrollo de
sus actividades.
Dominio 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION

23
 Objeti Razón de Objetivo Justifi Referencia Aproba
vo de la de cació do
contr Selección control o n por la
ol o control de alta
contr Implemen exclus direcció
ol tado ión n
selecc Si/No Firma
ionad director
o de
Si/No la
entidad
Objetivo 6.1
de Organización
control interna
Gestionar roles [Link]
dentro de la slideshare.
empresa en net/PECBC
materia a la ERTIFICATI
6.1.1
seguridad es de ON/asigna
Asignación de
vital importancia ndo-roles-
responsabilidad
Control SI para mitigar SI NA responsabi NA
es para la
riesgos y lidad-y-
seguridad de la
proponer autoridad-
información
soluciones en en-la-
caso de seguridad-
amenazas a la de-la-
información. informacin
Objetivo 6.2 Dispositivos
de para movilidad
control y teletrabajo.
 Objeti Razón de Objetivo Justifi Referencia Aproba
vo de la de cació do
contr Selección control o n por la
ol o control de alta
contr Implemen exclus direcció
ol tado ión n
selecc Si/No Firma
ionad director
o de
Si/No la
entidad
En actividades de [Link]
venta y alquiler etrabajo.g
de vehículos [Link]/622/
como es el caso, w3-
conviene [Link]
aumentar la ml
productividad
realizando home
office que
aumenta el uso
6.2.2 de las
Control SI SI NA NA
Teletrabajo tecnologías,
mejora la calidad
de vida y sobre
todo reduce
tiempo invertido
en recorridos de
transporte que
bien se puede
usar en la
estrategia
laboral.
Es importante
para la
organización
8.2.1 clasificar los
Control Directrices de activos tanto por SI NA
clasificación su importancia o
sensibilidad
como por su
valor económico.
Dominio 9. CONTROL DE ACCESOS
 Objeti Razón de Objetivo Justifi Referencia Aproba
vo de la de cació do
contr Selección control o n por la
ol o control de alta
contr Implemen exclus direcció
ol tado ión n
selecc Si/No Firma
ionad director
o de
Si/No la
entidad
Objetivo 9.2 Gestión de
de acceso de
control usuario.
Revisar [Link]
periódicamente [Link].c
los privilegios de om/cd/E1
acceso que 9957-
tienen los 01/821-
usuarios para 0062/bybc
que se y/[Link]
9.2.5 Revisión
mantengan ml
de los derechos
Control SI actualizados y los SI NA NA
de acceso de
empleados
los usuarios
cuenten con los
recursos que
corresponden a
cada actividad
desempeñada
dentro de la
empresa.
Dominio 11. SEGURIDAD FÍSICA Y AMBIENTAL

Objetivo 11.1 Áreas

de seguras
control
La seguridad ¡Error!
física y del Referencia
entorno por de
11.1.2 medio de hipervíncu
Controles controles de lo no
Control SI NA NA
físicos de acceso que válida.
entrada garanticen que
no se permita
ingreso a
personal no
 Objeti Razón de Objetivo Justifi Referencia Aproba
vo de la de cació do
contr Selección control o n por la
ol o control de alta
contr Implemen exclus direcció
ol tado ión n
selecc Si/No Firma
ionad director
o de
Si/No la
entidad
autorizado, por
medio de
supervisión o
monitoreo
constante.
Dominio 12. SEGURIDAD EN LA OPERATIVA
12.1
Objetivo Responsabilida
de des y
control procedimientos
de operación
Hacer un [Link]
resumen interno [Link]
de los procesos [Link]/s
12.1.1 que se realizan ystem/files
Documentación en la /shared/M
Control de SI organización SI NA anualGuia NA
procedimientos teniendo en paralaelab
de operación cuenta el cómo y oracionde
el cuanto Procedimi
impacta al [Link]
proceso. f
12.7
Consideracione
Objetivo
s de las
de
auditorías de
control
los sistemas de
información.
Hacer [Link]
12.7.1
evaluaciones y [Link]
Controles de
revisiones de los ndepyme.
Control auditoría de los SI SI NA NA
sistemas net/audito
sistemas de
informáticos ria-de-
información.
para mantener sistemas.h
 Objeti Razón de Objetivo Justifi Referencia Aproba
vo de la de cació do
contr Selección control o n por la
ol o control de alta
contr Implemen exclus direcció
ol tado ión n
selecc Si/No Firma
ionad director
o de
Si/No la
entidad
control de su tml#:~:text
eficacia y =La%20au
seguridad. ditor%C3%
ADa%20de
%20sistem
as%20sup
one,la%20
cual%20pr
ocesa%20l
a%20infor
maci%C3%
B3n.
Dominio 13. SEGURIDAD EN LAS TELECOMUNICACIONES
13.2
Objetivo Intercambio de
de información
control con partes
externas
[Link]
[Link]
[Link]
Hacer un
m/propied
convenio de
ad-
confidencialidad
intelectual
13.2.4 sirve como
/acuerdo-
Acuerdos de respaldo para la
Control SI SI NA de- NA
confidencialida empresa RTT
confidenci
d y secreto. Ibérica para
alidad-y-
evitar la
proteccion
divulgación de
-de-
información.
secretos-
empresari
ales-2/
Dominio 16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
 Objeti Razón de Objetivo Justifi Referencia Aproba
vo de la de cació do
contr Selección control o n por la
ol o control de alta
contr Implemen exclus direcció
ol tado ión n
selecc Si/No Firma
ionad director
o de
Si/No la
entidad
16.1 Gestión de
Objetivo incidentes de
de seguridad de la
control información y
mejoras
[Link]
Tener un equipo [Link].
de seguridad es/sites/d
encargado de efault/files
16.1.5
reaccionar /contenido
Respuesta a los
Control SI contra los SI NA s/politicas NA
incidentes de
ataques que se /documen
seguridad.
hagan a la red de tos/respue
la empresa, por sta-
ejemplo. incidentes.
pdf
Dominio 18. CUMPLIMIENTO
18.2 Revisiones
Objetivo
de la seguridad
de
de la
control
información
[Link]
[Link]
.com/es/V
Validar que se Mware-
cumplan las vSphere/7.
18.2.3
políticas y 0/[Link]
Comprobación
Control SI normas que SI NA [Link] NA
del
velan por [Link]
cumplimiento
seguridad de la [Link]/
información. GUID-
F3B1428B-
C082-
40A9-
 Objeti Razón de Objetivo Justifi Referencia Aproba
vo de la de cació do
contr Selección control o n por la
ol o control de alta
contr Implemen exclus direcció
ol tado ión n
selecc Si/No Firma
ionad director
o de
Si/No la
entidad
A7D3-
1EE0A456
[Link]

Fase 2 HACER: Implementar y operar el SGSI

8. Generar plan de mitigación de riesgos: Aplicar metodología para la

mitigación de riesgos identificados.

Para mitigar los riesgos en la empresa se lleva a cabo mediante medidas

correctivas y preventivas y de esta forma reducir la posibilidad de que ocurra
cualquier tipo problema, como última medida se utilizara el traslado por tratarse de
activos.
En el siguiente cuadro se puede visualizar como se lleva a cabo el control y
mitigación de riesgos:
Tabla 5: Mitigación de riesgos. Elaboración propia
ACTIVO TIPO DE RIESGO NIVEL DE CONTROL DE
RIESGO RIESGO
Software Malicioso. Medio Es necesario
Página web de Malware implementar
RTT Ibérica. Modificar contraseñas
información que se seguras y llevar a
encuentre alojada cabo acciones
en el servidor. preventivas.
Accesos no
autorizados.
Redirección y
envíos no
autorizados.
Caídas en la
página.
 ACTIVO TIPO DE RIESGO NIVEL DE CONTROL DE
RIESGO RIESGO
Falla en el servidor.
Denegación de Alto Es importante
Servicios. tener el software
Malware. del servidor
Phishing. actualizado, con
Base de Datos Vulnerabilidades de el fin de que se
la Plataforma. prevengan
DoS. amenazas
Exceso de ataques.
Privilegios. Configurar
adecuadamente
los routers y los
firewalls.
Troyanos. Alto No abrir correos
Virus. sospechosos.
Gusanos. Control de las
Correo Spam. cuentas.
Electrónico Phishing. Contraseñas
Fuga de seguras.
información. Cifrar Correos.
Cerrar sesión
cuando se
finalice.
Antivirus.
Incendio. Medio Acciones
CPLUS Y FPLUS Robo de Preventivas.
Información.
Fuego. Alto Implementar
Robo Medidas de
Aplicaciones Prevención tales
Comerciales como:
Detector de
Incendios y
seguros.
Huella Biométrica.
Incendios. Alto Asegurar la
Robos. información y
Computadores De Inundaciones. activos valiosos
Usuarios Voltajes de la empresa.
Electrónicos. Medidor de Humo.
Control de
Incendios.
 ACTIVO TIPO DE RIESGO NIVEL DE CONTROL DE
RIESGO RIESGO
Atenuar Voltajes.
Pérdida de Alto Recuperación de
Información. datos.
Robo. Copias de
Servidor Incendio Seguridad.
Uso de la nube
como
almacenamiento.
Claves seguras.
Perdida de Alto Uso de Disco
información. Duro y archivos
Recursos Incendio. Físicos.
Humanos Robo Control de acceso
a información
valiosa.
Incendio. Alto Detector de
Robo. incendio y de
Planta Física Inundación. Humos.
Seguros contra
inundaciones.
Perdida de Medio Implementar
información acciones
Servicio de valiosa. preventivas, uso
Gestión de huellas
biométricas y
claves seguras.
Robo y/o pérdida Alto Configuraciones
de información. de Privacidad.
Sistema de Red Modificación de Uso Biométrico.
datos. Claves seguras y
Interrupción del robustas.
servicio. Control del
Fraude o personal.
suplantación de Antivirus.
Identidad.

9. Aplicar plan de mitigación de riesgos: establecer cómo se aplicarán los

riesgos en la organización.

 Identificados cada uno de los riesgos evidentes es necesario llevar a cabo

acciones específicas para disminuir aquellos riesgos intolerables que a
futuro
 puedan acarrear serios problemas a groso modo se mencionan posibles
estrategias a emplear, segmentadas en acciones específicas
 Programa de mantenimiento.
 Programa Integral de Seguridad y Salud en el Trabajo.
 Medidas para prevención de riesgos
 Retirar las oficinas administrativas del interior del taller de colisiones, para
mejorar la iluminación y disminuir el ruido para el personal que no realiza
actividades operativas.
 Inducción al personal que trabaja en el área del centro de colisiones o que
puedan circular por las mismas, sobre las características y peligros de estos
contaminantes.
 Colocar señales o carteles de advertencia de que es un área en donde
existe presencia de vapores orgánicos
 Mantenimiento preventivo de los conductos y canales de ventilación para
asegurar una mejora en la calidad del aire
 Dotar de medios auxiliares como elevadores o coches para el transporte de
objetos o piezas de vehículos, especialmente si son pesadas o
voluminosas.
 Realizar inspecciones periódicas a las condiciones de almacenamiento en
bodega, mantenimiento, oficinas, sistema eléctrico y sistema de detección
de incendios en todas las instalaciones de la empresa.

10. Implementar controles seleccionados: diseñar los controles a

implementar en los activos identificados, buscando reducir los riesgos
identificados.

Tras haber determinado los riesgos existentes en nuestra organización debemos

tomar las precauciones y medidas necesarias para hacerles frente a ellos mismos
El control de riesgos es el proceso por el cual controlamos, minimizamos y
eliminamos los riesgos que nos afectan a los activos de la información de nuestra
empresa. Vemos a continuación los activos identificados para poder reducir sus
riesgos y poder mitigar las amenazas:

1) La página web de la empresa RTT Ibérica puede sufrir demasiados riesgos si

no se cuenta con la metodología y los complementos necesarios para mitigar los
ataques estos podemos mejorarlos con un firewall de aplicaciones para controlar
el tráfico saliente y entrante de los datos de la empresa y detener oportunamente
los ataques que nos pueda hacer por este medio.

2) Bases de datos: este activo de la empresa es recomendable salvaguardarlo de

manera oportuna a través de un software antimalware y haciendo periódicamente
backups físico y guardado en cintas magnéticas y a su vez en caja fuerte, también
sería bueno que la empresa que nos brinda el servicio de internet diariamente
realice estos backup y los suba a un servidor externo.
3) Correo electrónico es uno de los servicios que se prestan en nuestra
organización el cual es vulnerable a cualquier tipo de ataque ya se para robarnos
la información o para uso extorsivo para ello es indispensable hacer buen uso de
él y desconfiar de los correos sospechosos para ello también se utiliza un software
como algún antivirus licenciado que nos pueda ayudar a frenar dichos ataques
igual se recomienda hacer backup mensual de los archivos de datos del correo
electrónico de cada personal que este en la empresa, todo correo que se abra se
maneja a través de un servidor outlook utilizando el dominio de la empresa para
así ser instalado por el administrador del sistema con usuario y contraseña sin que
se le dé al usuario.

4) Equipos del Personal estos son configurados para todas las dependencias con
usuario y contraseña propias del sistema la cual es dada por el administrador del
departamento de sistemas estos equipos esta configurados para que el usuario
suba la información diaria a un servidor el cual diariamente hace copias de
seguridad, además están protegidos por un antivirus, un firewall externo, además
en cada oficina cuenta con sensores de humo en caso de incendio, de igual forma
están desconectados los puertos USB para mitigar los riesgos de la organización.

5) Servidor está ubicado en la parte gerencial de la empresa con todas las normas
de seguridad establecidas, además que se posee un servidor virtual contratado
por la entidad que nos da la empresa que nos brinda el servicio de internet la cua
hace los backup diarios a la empresa.

6) Planta física se acondicionará con sensores de humo, sensores de movimiento

sistemas biométricos que gestionan el ingreso de igual manera es importante el
uso de puertas con identificador de huella contraseña o identificador de rostro y asi
mitigar los riesgos.

7) Sistemas de red es importante contar con una infraestructura que permita la

velocidad de los datos y de la navegación para ello se contrata con terceros la
velocidad del internet los espacio en nuestros servidores y la velocidad en los
dominios donde está alojada nuestra página la cual debe fluir constantemente ya
que cualquier persona puede acceder en cualquier momento y hora desde
cualquier parte del mundo.

8) CPLUS Y FPLUS las aplicaciones y software de la empresa son controlados

mediante contraseñas que están cambiando periódicamente y se utilizan a través
de token el cual cada vez que se haga alguna venta se pida a través del banco
además se cuenta con software habilitado por los banco para hacer cualquier tipo
de transacción, estas aplicaciones están en los diferentes departamentos de la
empresa por eso centramos acá los posibles ataques y damos o invertimos más
seguridad ya sea perimetral o física en cada departamento donde se maneje dicha
información, por eso la importancia de tener los protocolos de seguridad
anteriormente mencionados.
 Igual es importante hacer auditorias programadas para así poder identificar las
falencias de nuestra organización y redactar informes que se dirigen al comité de
gestión de riesgos o al administrador de sistemas para evaluarlos y así hacer las
respectivas mejoras, y tomar acciones correctivas.

11. Administración de cambio: establece la ruta la gestión de cambios

relacionados con el SGSI en la organización.

AUTOEVALUCIÓN
TRANSFORMACIÓN-APLICACIÓN
Sistemas de hardware y sofware Política de Protección de datos Gestión de Controles de Riesgo
Comunicación
Impacto y funcionamiento optimo de Redes, Pagina y trabajador-usuarios
herramientas Web Registro de operaciones Seguridad de datos
Valoración y gestión
Rendimiento actual de los procesos administrativos
Sistemas
Registros de riesgos y ataques de seguridad
de riesgos
y comerciales de laEstructura
organización
de Protección y encriptación
informatica REEVALUACIÓN
organizacional empresa Administración de equipos

Estructura-diseño-visibilidad y seguridad-confianza de la pagina web e instrumentos de registro de datos como bases de datos
Sistema de Políticas de tratamiento de datos, su difusión conocimiento y uso
Impacto real en departamentos de la organización Relaciones internas, externas y comerciales
Eficacia & eficiencia de las Politicas de protección, gestion y evaluación-redirección del SGSI.
Confianza y desempeño organización, comercial y financiero de RTT Ibérica

Ilustración 3: Estructura de RTT Ibérica. Elaboración propia

Como podemos evidenciar se deben de realizar diferentes cambios en el sector

tecnológico de la información son necesarios en la entidad RTT Ibérica,
permitiendo que el servidor con el que se cuente s este actualizando. Pero de este
surgen diferentes riesgos cuando se pretenden realizar modificaciones de una
forma no controlada ocasionando que los diferentes sistemas entren en peligro
generando que se pierda esa confiabilidad, integridad y disponibilidad para poder
administrar estos cambios en el SGSI se realizó una serie de procedimientos que
permitan que se mantenga y a su vez no se genere la pérdida o desestabilización
en la entidad primero realizando:

 Los procedimientos o procesos de cambios controlados

En este caso se realiza el análisis de los diferentes riesgos que se tienen

con cada uno d ellos diferentes activos que cuenta la entidad como son
ordenadores, páginas web, bases de datos, planta física, sistemas de
red, sistemas de gestión, servidores, etc. De la entidad RTT Ibérica
donde se plantean cambios de contraseñas, contar con software que
puedan
prevenir ataques a las diferentes bases de datos que contienen la
información de cada uno d ellos clientes, contar con un control de
incendios, etc.

 Los eventos en la seguridad de la información

Se debe de realizar un análisis de cada uno de estos activos donde se

necesiten implementar estos diferentes cambios para poder identificar
cada uno de estos diferentes ataque que se puedan tener en cuanto a la
información que se tiene en la entidad RTT Ibérica y a su vez
implementar una serie de acciones que generen el control de este como
son realizar copias de seguridad de la información, contar con un equipo
que permita que bloquee ataques que se pretendan realizar a la entidad,
validar que se cumpla con cada una de las diferentes políticas de
seguridad, etc.

 Las auditorias y sus resultados

Se realiza auditorias en la entidad lo cual permite evaluar la eficiencia y

eficacia con la que se están manejando los diferentes recursos con los
que se trabaja en la entidad ya que de esta forma podemos garantizar
que se cumpla con los objetivos que se tiene propuestos dentro de la
cual se analiza las diferentes se hace una evaluación de cada una de sus
debilidades, fortalezas de la entidad.

 Las reuniones para la revisión de los sistemas de información y

objetivos del SGSI
Se realizan diferentes reuniones en las cuales se realiza una revisión de
cada una de los sistemas de información y los objetivos de la SGSI de la
entidad RTT Ibérica dentro de las cuales se realiza primero una
identificación de los diferentes activos con los que se cuentan, se define
el alcance, y cuáles son esos riesgos que tienen cada uno de estos
activos con los que cuenta la entidad y que podemos implementar para
poder mitigar el riesgo de cada uno de ellos pueda ser vulnerado,
robado, dañado.
En cada una de estas diferentes actas se evidencia que controles se
deben de implementar para poder mostrar que se puede mitigar cada
uno de estos diferentes riesgos y a su vez que elementos se deben de
implementar para poder brindar a la entidad una total protección el
SGSI de la entidad RTT Ibérica, permitiendo así garantizar que la
entidad cuente con una total confiabilidad en la protección de la
información guardad de cada uno de los diferentes clientes, como en el
manejo de la información que se publica en la página web de la misma.
Fase 3 VERIFICAR: Plan de revisión y auditoria del SGSI propuesto para dar
solución al problema planteado en el curso.

Revisiones Gerenciales
Objetivo:
Verificar el sistema de gestión de la seguridad de la información SGSI de la
organización RTT Ibérica con el fin de fortalecer su convencía, adecuación y
eficacia continua, abarcando además la evaluación de las oportunidades de
mejora y la planeación para efectuar cambios en el SGSI, la política y los objetivos
de calidad. Alcance:
Aplica a las líneas de servicios y procesos del SGSI.
Descripción:

Actividad Responsable Registro

Programación de Fechas Comité de gerencia. Correo electrónico
para Revisión: se institucional.
determinan las fechas en el
comité de gerencia, las
cuales se publican en el
programa de mejora del
SGSI, para ser socializadas
a través del correo
electrónico institucional. Los
cambios serán aprobados
por el comité.
Socialización de Requisitos: Coordinador de Correo electrónico
se socializan los requisitos calidad institucional
de entrada necesarios para
la revisión, con 10 días de
anticipación.

Preparación de informes: Líderes de proceso Documento de registro

los líderes de proceso por indicador.
deben preparar la reunión
de resultados de la gerencia
de acuerdo a los datos de
entrada y su respectivo
análisis.
Reunión para la revisión por Líderes de proceso Documento de
la dirección: los líderes de asistencia.
proceso deben presentar los
indicadores, parámetros de
control, informes y análisis
de los componentes de la
 revisión para la toma de
decisiones.
Aprobación del documento: Comité de gerencia Documento de revisión
el documento de revisión por la gerencia.
por la dirección es
redactado, se firma por los
miembros que asistieron a
la reunión del
comité de gerencia.
Seguimiento al plan de Comité de gerencia Documento de Acciones
acción: se revisa la de Mejora.
ejecución de los planes de
acción en los comités de
gerencia.

Componentes de la revisión por la Dirección:

La información fundamental para realizar la revisión será sobre:
 Las amenazas o vulnerabilidades que no sean trasladadas
adecuadamente en evaluaciones de riesgos anteriores.
 Los resultados de las mediciones de eficacia.
 Los resultados de las auditorias y revisiones del SGSI.
 Los productos, las técnicas o los procedimientos que pueden ser útiles
para mejorar el SGSI para su rendimiento y eficacia.
 Los estados de las de las diferentes acciones preventivas y correctivas.
 El estado de las distintas acciones preventivas y correctivas.
 Los cambios que pueden afectar el SGSI.
 Las recomendaciones de mejora del SGSI.
 El estado de las acciones indicadas a raíz de las diversas revisiones
anteriores de la dirección de la organización.
Posibles Cambios Que Afectan el SGSI:
Los aspectos del SGSI a revisar por parte de la alta dirección de la entidad RTT
Ibérica son:
 Vigencia de las Políticas SGSI.
 Política actual del SGSI.
 Cambios realizados en el SGSI.
 Justificación del SGSI.
 Nueva política del SGSI.
Revisión por la Dirección

ACTA DE REVISION POR LA DIRECCION

CITANTE
Nombres y Apellidos
Motivo de la Reunión Acta No. Reunión de Carácter.
Ordinario Extraordinario
 Fecha de Reunión Lugar de Hora inicio Hora final
Reunión
Dia Mes Año

ORDEN DEL DIA

1. Resultado de Auditorias.
2. Retroalimentación del Cliente.
3. Desempeño de los procesos y conformidad del producto y/o servicio.
4. Estado de las acciones correctivas y preventivas.
5. Acciones de seguimiento de revisiones previas efectuadas por la
dirección.
6. Cambios que podrían afectar el sistema de Gestión de la seguridad de
la información.
7. Recomendaciones de mejora para el próximo año.
8. Riesgos actualizados e identificados por la organización RTT Ibérica.
9. Revisión de la adecuación de la política y los objetivos de la calidad.
10. Resultados de la Revisión por la dirección.

DESARROLLO Y DECISIONES

1. Resultados De Auditorias
 Auditoría Interna

 Auditoría Externa

2. Retroalimentación del Cliente

3. Desempeños de los procesos y conformidad del producto y/o

servicio.

4. Estado de las acciones correctivas y preventivas.

 5. Acciones de seguimiento de revisiones previas efectuadas por
la dirección.

6. Cambios que podrían afectar el sistema de Gestión de la

Seguridad de la Información.

7. Recomendaciones de mejora para el siguiente año.

8. Riesgos actualizados e identificados para la empresa RTT Ibérica.

9. Revisión de la adecuación de la política y los objetivos de calidad.

10. Resultados de la Revisión por la Gerencia.

Revisiones Independientes
En cuento a las revisiones independientes están se deben de realizar por la junta
de la entidad RTT Ibérica la cual se realizará teniendo en cuenta lo siguiente:

Por medio de la revisión independiente podemos garantizar que el enfoque de la

entidad en cuanto a la gestión de la información siga siendo coherente, apropiada y
eficiente. Dentro del cual se realiza una evaluación de cada una de esas
oportunidades de mejora y si es necesario cambiar el enfoque de seguridad,
incluyendo políticas y objetivos de control de la entidad RTT Ibérica.

Esta revisión se debe de hacer por personas independientes a l área cuya cual
revisión se esté dando, puede ser en este caso una auditoria interna puede ser un
gerente totalmente independiente a la organización. Para todo esto estas
personas deben de contar con unas habilidades y la experiencia necesaria para
poder hacerlo, todos estos resultados obtenidos de la auditoria se deben de
registrar e informar a la dirección responsable, todo esto se logra a través de
entrevistas, comprobantes, documentos los cuales están incluidos en las políticas
de seguridad.

Todo ese tipo de revisión se debe de tener en cuenta a la información y directrices

de la ISO/ IEC 27008 Y 27007 para auditoria de seguridad de la información.

Esta revisión es absolutamente necesaria para poder lograr el alcance a la hora de

la implementar SGSI. Ya que se deben de incluir la evaluación en cuanto a mejora
y cambios que se deben de hacer, lo cual es algo favorable en cuanto a políticas y
objetivos de control.

Auditorías Internas

PLAN DE AUDITORIA INTERNA SGSI- RTT IBÉRICA

Lista de chequeo
ESTRUCTURA FÍSICA DE LA RED
Mapa de Red de la Organización CUMPLE NO CUMPLE
El área de tecnología y Sistemas de Información X
cuenta con mapa de Red de la empresa.
La topología de red plasmada en el documento es X
adecuada y corresponde a la estructura física.
Cuartos de comunicaciones CUMPLE NO CUMPLE
La ubicación de los cuartos de comunicaciones X
cumple con la normatividad.
La temperatura de los cuartos de comunicaciones X
es la adecuada.
La ubicación y distribución de los racks es la más X
adecuada.
Los patch panel están ubicados adecuadamente. X
Los dispositivos de la Red están conectados y debidamente identificados.
NO APLICA CUMPLE NO CUMPLE
Servidores X
Routers X
Switches X
Firewall X
Access point X
Otros X
Los dispositivos de Red se encuentran en correcto estado
de funcionamiento.
NO APLICA CUMPLE NO CUMPLE
Servidores X
Routers X
Switches X
Firewall X
Access point X
Otros X
Condiciones de la UPS CUMPLE NO CUMPLE
La UPS se encuentra en buen estado físico y de X
funcionamiento.
Las conexiones de las UPS se encuentran en X
correctas condiciones.
Las baterías de las UPS están cargadas y en X
condiciones óptimas.
Las UPS se encuentran correctamente refrigeradas X
Observaciones
Las condiciones físicas de la red son adecuadas.
ESTRUCTURA LOGICA DE LA RED
Servidor/es de Dominio CUMPLE NO CUMPLE
La configuración implementada es adecuada. X
Los permisos y niveles de acceso están X
correctamente asignados.
El software utilizado es legalizado (licencias y X
derechos de uso)
El software utilizado esta actualizado. X
Comunicación y Seguridad CUMPLE NO CUMPLE
Políticas para contraseñas de usuario. X
Políticas para el acceso remoto local a través del X
directorio activo.
Políticas para el acceso remoto externo a través de X
VPN.
Control de acceso remotos
Formatos de control para el acceso VPN a usuarios de teletrabajo.
CUMPLE NO CUMPLE
Formatos diligenciados, actualizados y firmados X
Observaciones,
Las contraseñas de usuarios no caducan.
Los usuarios del área comercial comparten la misma cuenta.
 BASES DE DATOS
Niveles de seguridad y confidencialidad CUMPLE NO CUMPLE
Registro de cambios hechos a nivel de base de X
datos debidamente firmados por el líder de área.
Documentación sobre los permisos y niveles de X
acceso otorgados a los empleados en función de su
cargo.
Documentación sobre las políticas de protección de X
la información implementadas.
Copias de Respaldo para la información relevante de la empresa RTT
Ibérica
Copias de respaldo CPLUS CUMPLE NO CUMPLE
Las copias son realizadas con la periodicidad X
adecuada.
Copias de respaldo para FPLUS CUMPLE NO CUMPLE
Las copias son realizadas con la periodicidad X
indicada.
Copias de respaldo para NPLUS CUMPLE NO CUMPLE
Las copias son realizadas con la periodicidad X
indicada.
Observaciones,

ALMACENAMIENTO
Ubicación de las cintas de Respaldo CUMPLE NO CUMPLE
Las cintas se encuentran en un sitio seguro X
Accesibilidad a las cintas de respaldo CUMPLE NO CUMPLE
El acceso a las cintas es restringido y cuenta con X
las
correspondientes medidas de seguridad.
Diligenciamiento de la Bitácora de realización de las copias de respaldo.
CUMPLE NO CUMPLE
Los registros de la bitácora se encuentran X
actualizados
Observaciones

A pesar de que las cintas se encuentran en una caja fuerte, esta se encuentra
dentro de las instalaciones de la organización.

Objetivo de auditoria:
Alcance auditorio:
Fecha: Lugar:
Areas a auditar:
ü Administrativa y Financiera
ü Tecnología
ü Ventas de vehículos
ü Recursos Humanos
Equipo auditor:
La auditoría fue ejecutada por Jenny Liliana Sierra Cruz
Personal auditado:
Se auditó al siguiente personal de RTT IBERICA

ü Gerente General
ü Director Financiero
ü Director de Recursos Humanos
ü Director de Tecnología
ü Director de Ventas
ü Coordinador de Recursos Humanos

Coordinador de Sistemas
ü Auxiliar de Selección
ü Ingeniero de Soporte
ü Agentes de ventas

Hallazgos de auditoria
Hallazgos Numero Descripción Tipo de hallazgo
de la
norma

Conclusiones:
Revisiones Técnicas

Cuando hablamos de las auditorias de SGSI en parte nos referimos a revisiones

técnicas que van en función de quienes participan en los procesos o actividades
realizadas mediante el uso de varios conocimientos disciplinarios, en los cuales se
garantiza la prestación de los servicios con un nivel de calidad alto dándole la
importancia y responsabilidad social al cliente y al usuario en general, que al tomar
decisiones haga uso del dictamen de un auditor y revisión técnica de algo.

Es decir, que mediante el uso de técnicas comerciales la compañía RTT Ibérica

busque al cliente y no que el cliente busque a la empresa centrándose en la
productividad del mercado, en el cumplimiento de objetivos y metas para alcanzar
el éxito financiero y lo más importante la satisfacción del usuario final.

Técnicas como implantación de un antivirus o un cortafuego que supervisen el

tráfico que pasa por la red y permita denegarle o permitirle el paso a quien se
desee. Ya que como bien sabemos, los equipos conectados a internet son
vulnerables de ataques que circulan en la red.
Adicional existen técnicas como análisis de vulnerabilidades o Hacking Ético, que
limitan el alcance de esos hackers de sombrero negro, buscando vulnerabilidades
en la compañía como si fueran a causarle un daño, pero en vez de eso, se reporta
y se solventa la debilidad, para fortalecer la empresa para la que se trabaja.
 CONCLUSIONES

 La información es un conjunto de datos que componen un activo importante

que contribuye al éxito de una organización y mantener confidencialidad e
integridad es vital para alcanzar los objetivos de negocio.
 La administración de cambios requiere soportar con evidencias que todos
los controles que se han implementado para la mitigación de riesgos han
impactado en los procesos propuestos en el alcance, pudiéndose llevar un
registro de todos los cambios que han surgido.
 Statement of Applicability es un documento estándar ISO/IEC 27001 usado
para mantener el registro y control de las medidas de seguridad que son
aplicadas, este enlista los controles de seguridad luego de tratar y evaluar
los riesgos.
 Un acta de confidencialidad es un acuerdo por medio del cual las partes se
comprometen a no revelar la información de carácter confidencial que les
es suministrada, se utiliza como control SoA
 Es importante establecer para cualquier entidad un análisis del SGSI ya que
mediante la identificación de los diferentes activos estamos identificando
esos diferentes riesgos en cuanto al manejo de información y los diferentes
cambios que se deseen hacer no generen que la entidad pueda decaer si
no que se puedan implementar sin causar ningún tipo de daño.
 BIBLIOGRAFÍA

Chicano, T. E. (2015). Auditoría de seguridad informática (mf0487_3) (pp 7-306).

Recuperado de [Link]
[Link]/es/ereader/unad/44136?page=13

DESPREVENIDOS. Seguridad Informática -- SoA (Declaración de Aplicabilidad).

(11 de marzo 2021). Disponible en:
([Link]

DISELE. Qué son las políticas de seguridad informática y por qué tu empresa debe
tener una. (16 de septiembre 2020) Disponible en: ([Link]
politicas-de-seguridad-informatica-y-por-que-tu-empresa-debe-tener-
una/#:~:text=Las%20pol%C3%ADticas%20de%20seguridad%20inform%C3%A1ti
ca%20son%20una%20serie%20de%20normas,el%20desarrollo%20de%20sus%2
0actividades)

[Link] es la documentación de procesos. (2021) Disponible en:

([Link]
procesos#:~:text=Una%20documentaci%C3%B3n%20de%20proceso%20resume,
cu%C3%A1nto%22%20del%20impacto%20del%20proceso

MINTIC. Ventajas y desventajas del Teletrabajo. (2021). Disponible en:

([Link] [Link]#:~:text=Dentro%20de%20las
%20principales%20ventajas,las%20ciuda des%20y%20reduce%20los)

NOVASEC. ¿Qué es la gestión de activos de información? (2021). Disponible en:

([Link]
informacion#:~:text=Propiedad%20de%20los%20Activos%3A%20Todos,la%20ad
ecuada%20protecci%C3%B3n%20del%20activo)

NORMAS ISO 27001. Fase 3 elaboración de la política. objetivos del sgsi. (2021)
Disponible en: ([Link]
objetivos-del-sgsi/)

ORACLE. Revisiones de acceso periódicas y autenticación. (2010). Disponible en:

([Link]