UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE INGENIERÍA INDUSTRIAL

LICENCIATURA EN SISTEMAS DE INFORMACIÓN

AUDITORÍA Y EVALUACIÓN DE SISTEMAS I

TEMA: IMPLEMENTACION DE LAS NORMAS ISO 27001

INTEGRANTES

Muñoz Silva Bianca

Preciado Cortez Yomira

Serrano Vera Karen

Romero Soledispa Génesis

Tutor
Ing. María José Trujillo

Curso
5to Semestre Paralelo 5– 1 Matutino

GUAYAQUIL - ECUADOR

2020-2021
 NORMAS ISO 27001

A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

EJEMPLO DE PLAN DE CONTINGENCIA DE EMPRESA DE LA INDUSTRIA

FARMACÉUTICA

INTRODUCCIÓN

Las funciones de negocio dependiente del equipo informático de la compañía están

permanentemente expuestas a fallas en los equipos, accidentes o sabotajes. Como medidas
precautorias se definen políticas y procedimientos de seguridad de aplicación en el mencionado
entorno, tendientes a garantizar un servicio adecuado. Sin embargo, la seguridad total es casi
imposible de alcanzar, por lo que la posibilidad de riesgo no debe ser subestimada

A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la

información

Control Se deben desarrollar e implementar planes para mantener o recuperar las operaciones y
asegurar la disponibilidad de la información en el grado y la escala de tiempo requerido, después
de la interrupción o la falla de los procesos críticos para el negocio.

OBJETIVO

El objetivo del plan es asegurar a la compañía la capacidad de absorber el impacto provocado por
una contingencia, a través de una estrategia que le asegure:

• Respuesta adecuada del personal ante la emergencia.

• Medios alternativos de funcionamiento

• Recuperación temprana y efectiva de sus funciones

• Minimización de inconvenientes operativos y del impacto en el negocio

El presente plan se aplicará ante una emergencia que afecte las aplicaciones y servicios
informáticos de la compañía en sus distintas plataformas. Esto es:

• Entorno AS-400 mod. 825 afectado a la administración.

• Servidores LAN destinados a mensajería, bases de datos, archivos de usuarios.

Aún con testeos regulares, los planes pueden tener deficiencias que se detectan sólo ante una
situación de desastre. Debido a las variables comprendidas por los distintos escenarios en que
puede desarrollarse una catástrofe y las diversas características que ésta puede presentar, éste
procedimiento se ha elaborado en base a una situación que permita controlar tanto a eventos
levemente perjudiciales, como a catástrofes de mayor magnitud.

Todos los sectores de la compañía, (normas de seguridad a observar en caso de evacuación del
edificio).

• Usuarios clave.

• Equipos de soporte.

• Equipo de contingencia.

Conservación del plan

Se conservarán copias del plan de contingencia en las siguientes ubicaciones:

• Caja de seguridad de centro de cómputos:

• Caja de seguridad de gerencia.

• Caja de seguridad en depósito de TI.

Debe garantizarse en todo momento, la existencia de una única versión del plan, por lo que, ante
cualquier modificación, se realizará la correspondiente redistribución.

A.14.1.4 Estructura para la planificación de la continuidad del negocio

Control Se debe mantener una sola estructura de los planes de continuidad del negocio, para
asegurar que todos los planes son consistentes, y considerar los requisitos de la seguridad de la
información de forma consistente, así como identificar las prioridades para pruebas y
mantenimiento
OBJETIVOS DE RECUPERACIÓN DEL PLAN DE CONTINGENCIA

El presente plan de contingencia se enfoca primordialmente en los denominados sistemas y/o

servicios críticos dependientes de la plataforma computacional de la compañía. Es decir, aquellos
que por el nivel crítico de la información que proveen, cumplen un papel preponderante en la
continuidad de las funciones de la afiliada. Los así denominados para cada entorno son:

Entorno AS-400:

• Mantenimiento de routings.

• Transacciones y consultas de inventario.

• Ingreso y consulta de pedidos. Backorders. Precios.

• Pick y confirm de pedidos.

• Análisis y liberación de créditos. Facturación.

• Estadísticas de venta diaria.

• Sistema contable. Entorno LAN:

• Lotus Notes.

• Aplicaciones.

• Archivos de usuario.

Se revisarán las listas precedentes como mínimo una vez por año para que, de común acuerdo
entre las distintas gerencias, se verifique su validez y la posible incorporación de otras
aplicaciones o servicios.

RECURSOS NECESARIOS ANTE CONTINGENCIAS

Para el entorno AS/400, procedimiento de contingencia; documentación de información

procesada entre la fecha y hora del último respaldo disponible y la fecha y hora de ocurrencia de
la contingencia; sitio de contingencia.

Para el entorno LAN, procedimiento de contingencia; respaldo de información en cinta de

acuerdo al procedimiento de respaldos vigente; ID y contraseña de usuario administrados de la
red en sobres cerrados ubicados en caja de seguridad del centro de cómputos, caja de seguridad
de gerencia; listado de usuarios, grupos y permisos.
ESCALAMIENTO DE CONTINGENCIAS

Para una mejor utilización de éste plan, los desastres serán catalogados por niveles de gravedad y
en base a éstos se encaminarán las acciones correspondientes.

• Nivel 1: Contingencia Menor. Pérdida parcial o total de información en disco que requiere
recuperación desde medios de respaldo.

• Nivel 2: Contingencia Mayor. Salida de línea de servidores, por pérdida en el vínculo de

comunicaciones o averías que presuponen una inactividad no mayor de 24 horas.

• Nivel 3: Contingencia Grave. Salida de línea de servidores, por pérdida en el vínculo de

comunicaciones o averías que presuponen el reemplazo de los mismos o una inactividad mayor a
24 horas.

• Nivel 4: Contingencia Máxima. Destrucción del centro de cómputos o instalaciones por

siniestro que afecta equipamiento y la estructura de comunicaciones. Se establece un período de
tiempo de 48 horas, desde la interrupción del servicio, para declarar la contingencia máxima. A
partir de ese momento, contempla otro período de 48 horas para el restablecimiento de los
sistemas críticos.

Finalización de la Contingencia.

Una vez finalizado el proceso de recuperación, cualquiera haya sido el nivel de contingencia, se
deberá:

• Informar a los usuarios el restablecimiento del servicio.

• Realizar un informe de la situación acontecida, incorporarlo a la base “Incident Report”, y

en caso de ser necesario, actualizar o modificar el plan de contingencia u otras normas de
seguridad que así lo requieran.

A.14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio

Control Los planes de continuidad del negocio se deben someter a pruebas y revisiones
periódicas para asegurar su actualización y su eficacia.

PLAN DE ENTRENAMIENTO.

Todo el personal del departamento de sistemas, los usuarios clave e integrantes del equipo de
soporte deben ser entrenados en la aplicación del plan de contingencia.

PRUEBA DEL PLAN.

El éxito del plan recae en el grado de conocimiento y capacitación, que, sobre él, tiene el personal
involucrado, respecto de los procedimientos de emergencia y su ejecución. Para lograr éstos
objetivos es necesario implementar una prueba del plan de contingencia en forma periódica, al
menos una vez al año.

PROCEDIMIENTO PARA LA ACTUALIZACIÓN DEL PLAN.

El plan de contingencia consiste en un cuerpo principal que aborda aspectos generales referidos
al tratamiento de los distintos niveles de contingencia que pueden afectar a la plataforma
computacional de la compañía. Acompañando al mismo, se encuentran una serie de anexos
específicos que detallan aspectos tales como especificaciones técnicas de equipos, recuperación
de software de base y de aplicación, restauración de archivos, bases de datos y formularios.

Ante la necesidad de realizar un cambio, el responsable procederá de la siguiente manera:

1. Realizar las modificaciones necesarias en el procedimiento.

2. Indicar en el Panel de Control de Cambios, la fecha y responsable de la última

modificación.

3. Guardar el archivo modificado y someterlo al circuito de autorizaciones.

4. Distribuir las copias autorizadas en los lugares detallados en el punto “3.4”.

CONCLUSIÓN

La implementación de todo procedimiento de seguridad significa un trabajo adicional para todos

los sectores, lo que involucra tiempo y dedicación por parte del personal afectado. Es importante
que todos comprendan la importancia y la necesidad de un plan de contingencia, así como la
preponderancia de una política homogénea respecto a la seguridad.

Lo esencial es lograr la continuidad en el procesamiento de datos, y la mejor manera de lograrlo

es con medidas de prevención que minimicen la posibilidad de contingencia. El uso apropiado de
sistemas de alimentación ininterrumpida (UPS), detectores de humo, alarmas, copias de
seguridad, etc. , junto con la aplicación de políticas y procedimientos apropiados de seguridad,
manuales de emergencia y planes de entrenamiento; forman una estrategia efectiva que redundará
en la optimización de los servicios prestados por este departamento para la recuperación pronta y
efectiva de las actividades críticas de la compañía.
 Nivel de respuesta

Id Descripción
1 Se recupera en un tiempo estimado de 1 hora.
2 Se recupera en un tiempo estimado de 3 hs.
3 Se recupera en un tiempo estimado de 1 día.
4 Tiempo de recuperación indeterminado, posiblemente varios días.

Nota: el calculo de tiempos es

estimativo, puede variar mucho
dependiendo del tipo y alcance
de las fallas.

Gravedad
Id Descripción
Perdida esencial para el funcionamiento de ANP, o de otros
servicios
Alta importantes.
Media Perdida importante que a largo plazo pueden perjudicar la
operativa.
Baja Perdida que no representa una emergencia inmediata.
Nota: el calculo de tiempos es
estimativo, puede variar mucho
dependiendo del tipo y alcance
de las fallas.

Id Descripción
Bkps? Pueden ser respaldos a cinta, con Ghost, o copia a otro servidor.
El equipo original tiene una falla grave, no se recuperara en corto
plazo, si Contingencia? existe contingencia los servicios pueden ser recuperados en
corto plazo, o
en un plazo razonable teniendo en cuenta la importancia del
servicio.

Respuesta Calculo estimativo del tiempo de respuesta. Esta discriminado

en varios niveles detallados en este documento.

A.15 CUMPLIMIENTO
A.15.1 CUMPLIMIENTO DE LOS REQUISITOS LEGALES

Para poder llevar a cabo la implementación

en este caso se debe seguir determinados
pasos:
Control
Confirmar los requisitos legales, Todas las leyes, regulaciones y requisitos
contractuales y reglamentarios, así contractuales relevantes, así como el
método de la organización para cumplir
como definir y documentar el método con estos requisitos, deben estar
de la empresa para cumplir con los claramente definidos, documentados y
requisitos. actualizados para cada sistema de
información y organización.
Se deben determinar los
procedimientos necesarios para el
cumplimiento de la Ley Orgánica de
Protección de Datos (LOPD). Se deben
identificar todos los archivos que contengan datos personales y establecer el nivel de
protección correspondiente. Debe tenerse en cuenta lo siguiente:

Debe adquirir el software de una fuente confiable. Determinar la estrategia que

define el uso legal de software y productos de información.

Sin el permiso de la ley de derechos de autor, no está permitido copiar, convertir

o copiar parte del documento.

Se debe establecer una política para el almacenamiento, procesamiento y

destrucción de registros que contengan datos personales o información sensible de
la empresa.
Para el cumplimiento de esta política es necesario que se designe a una persona que
se mantenga actualizada con las normas y
estatutos legales que rigen en la empresa en
especial las que involucran tratamiento de
información. Si hay algún cambio en las
leyes o regulaciones del país, Verifique
inmediatamente si las medidas de control de
seguridad están dentro del rango especificado, y Si no hay regulaciones, ajuste las
medidas de control para no incumplir con la ley.

Como obligación tributaria se debe tener en cuenta: La protección de datos personales.

Protección de la propiedad intelectual.
Se deben analizar los requisitos legales del contrato en cuanto a la obligación de proteger
razonablemente la pérdida de registros de información. Cuando se utilizan materiales y
productos de software patentados que pueden tener derechos de propiedad intelectual, se
deben implementar los procedimientos adecuados para garantizar el cumplimiento de las
leyes, regulaciones y requisitos contractuales. Ejemplo:
En el caso de Deloitte debido al accidente se perdió información sin embargo lograron
rescatar algunos documentos mediante la recuperación de información electrónica con la
ayuda del equipo informático quienes contaban con la compañía de la policía, accedieron a
la planta para recuperar información de los back-ups.

A.15.1.2 Derechos de propiedad intelectual (DPI).

La propiedad intelectual puede permitir a una empresa pequeña:

 Beneficiarse de las ideas y creaciones y de sus derechos.

 Mantener segmentos de mercado para competir eficazmente con grandes
empresas.
 Fortalecer su reputación en el
mercado.
Control:
La propiedad intelectual también puede: Se deben implementar procedimientos
apropiados para asegurar el
cumplimiento de los requisitos legales,
 Incrementar el valor de las pequeñas reglamentarios y contractuales sobre el
empresas a los ojos de los inversores uso del material con respecto al cual
pueden existir derechos de propiedad
y las instituciones financieras. intelectual y sobre el uso de productos
de software patentados.
 Aumentar el valor de una pequeña
empresa en caso de una venta o fusión.

Como hemos visto, las organizaciones deben estar preocupadas por la propiedad intelectual
y por lo tanto poner en práctica los procedimientos adecuados, que culminan con la
protección de las organizaciones frente a aspectos legales, estatutarios y contractuales. Por
ello, la norma NTC-ISO/IEC 27001 recomienda algunos cuidados relevantes:
» La divulgación de una política de cumplimiento de los derecho de propiedad
intelectual que, a su vez, define claramente el uso legal de cualquier material,
software o información protegida contra las infracciones a la propiedad intelectual.
» En los procesos de adquisición de software, esto deben ser obtenidos únicamente
de fuentes reconocidas y acreditadas;
» Mantener a todos en la organización, independientemente de cargo, conscientes de
las políticas de protección de la propiedad intelectual y de las medidas disciplinarias
que se aplicarán en los casos de infracción;
» Indicar cada activo de la organización que tenga requisitos directamente
relacionados con la protección de los derechos de la propiedad intelectual, incluso
manteniendo su registro adecuado.
» Mantener todas las evidencias sobre licencias, manuales y similares en la
organización.
 » Efectuar el control de software garantizando la instalación únicamente de aquellos
que tienen licencia y están debidamente
autorizados;
» Implementar una política para el mantenimiento adecuado de
las condiciones de las licencias;
» Satisfacer todos los términos y condiciones de los materiales, el
software y la información obtenida de las redes públicas;

Los productos de software propietario son proporcionados mediante un contrato de

licenciamiento que define los términos y las condiciones de la licencia, como por ejemplo,
limitando la copia del software sólo para crear una copia de seguridad.
Se aplican los derechos de propiedad intelectual sobre el software, documentos, diseños,
marcas registradas, patentes y licencias de código fuente.

EJEMPLO: ÉXITO DE LA EMPRESA “SOLARTEX” UTILIZANDO LA PROTECCIÓN

DE LA PROPIEDAD INTELECTUAL

En 2001, Solartex, Inc. (Solartex), una pequeña empresa de I + D en el campo solar,

inventó un tejido que absorbe la energía solar y la convierte en calor. La ropa de invierno
hecha de esta tela es muy ligera y muy abrigada incluso a la temperatura más baja.

Antes de dar a conocer su invento al público, Solartex solicitó y obtuvo una patente para su
tipo revolucionario en los Estados Unidos y en el extranjero. Después de una búsqueda
exhaustiva de las marcas comerciales utilizadas en todo el mundo, utilizó "Suntex" como
nombre comercial.

Inmediatamente presentó una solicitud para el registro de la marca y el logotipo de Suntex

en los Estados Unidos, Europa, Asia, América Central y América del Sur. Después de su
lanzamiento, el género Suntex causó una sensación global de inmediato. Dado que Solartex
ha obtenido patentes de tejidos en el país y en el extranjero, es el fabricante y proveedor
exclusivo de tejidos absorbentes solares y se encuentra en una posición sólida. La empresa
ha crecido rápidamente.

El registro de marca comercial de Solartex del nombre y logotipo de Suntex en los Estados
Unidos y en el extranjero permite a Solartex proteger y controlar eficazmente la marca y la
imagen, y al mismo tiempo aumentar las ventas.

En 2006, Solartex se vendió por 500 millones de dólares estadounidenses. La alta

valoración de la empresa se basa principalmente en las ventas tipo Suntex y los derechos de
propiedad intelectual relacionados con el producto. Si Solartex no toma medidas para
proteger completamente sus derechos de propiedad intelectual relacionados con el
producto. Si Solartex no tomara medidas para proteger completamente sus derechos de
propiedad intelectual desde el principio, el destino de la compañía definitivamente sería
diferente.

A.1.5.1.3 Protección de los registros de la organización.

Control
Para este control, la política de seguridad es
proteger los registros de la organización de Los registros importantes se deben
acuerdo con los requisitos legales, estándares y proteger contra pérdida, destrucción y
Normativa vigente. Para cumplir con esta falsificación, de acuerdo con los
política, es necesario actualizar la normativa, requisitos estatutario
De acuerdo con las normas y reglamentos
internos.
Ejemplo: PLAN DE IMPLEMENTACIÓN DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN APLICADAS A UNA EMPRESA INDUSTRIAL DE ALIMENTOS
En las empresas industriales de alimentos, la seguridad de la información es un tema clave
por las siguientes razones Sus clientes, proveedores, transacciones diarias y las principales
características del producto (su fórmula, su proceso de fabricación, Tarifas, etc.) para
garantizar que toda esta información esté bien protegida. Por otra parte, Considerando que
la información es uno de los activos más importantes de la empresa, La confidencialidad y
la integridad son cuestiones clave que deben garantizarse. Por tanto, es necesario La
organización tiene una estrategia clara de seguridad de la información, Representará la
entrada en el Sistema de Gestión de Seguridad de la Información (SGSI) implementando
las normas iso 27001
Se debe indicar que en la mayoría de riesgos identificados es dentro de los Activos
Involucrados que son los activos que generan o sirven de medio para que el riesgo se lleve
a cabo, está el recurso humano; lo cual nos indica claramente que una de las principales
áreas en las que hay que trabajar es en la selección, contratación, capacitación y
concientización de los empleados como los principales actores de la seguridad de la
información dentro del departamento de producción de la empresa; pues en ellos se
originan los riesgos o hacen que los riesgos se materialicen al no tener buenas prácticas de
seguridad y controles, además, varios empleados no tienen firmados contratos de
confidencialidad sobre la información crítica del departamento, cuando se pudo constatar
que sí tienen acceso a parte de ella.
Así también entre los riesgos más importantes están los que se originan al no tener
controles sobre el acceso a esta área crítica de la empresa, por ejemplo se constató que los
141 empleados pueden ingresar al área de producción con dispositivos móviles que son de
uso personal y no pertenecen a la empresa, ocasionando esto un riesgo potencial de
infección con malware en los equipos del departamento o facilitando la fuga de
información.
La empresa debe tener conocimiento completo de los activos que posee, de tal manera que
pueda asignar un propietario debidamente identificado, que pueda tener responsabilidad por
el bien que se le entregue, refiriéndose tanto a lo material (equipos) como lo no material
(información) y al cual se le pueda aplicar los controles adecuados.

Ilustración 1 -Niveles de riesgos

 Ilustración 2- Pérdida o robo de los activos de Información en papel

SÍNTESIS:
a) Los registros de información de la empresa deben estar protegidos contra la pérdida,
destrucción, falsificación o acceso no autorizado, de conformidad con los requisitos
legislativos, normativos, contractuales y comerciales.
b) Los registros de información de la empresa deben ser clasificados adecuadamente bajo el
esquema de clasificación y los medios de almacenamiento que determine la organización; y
durante el período de almacenamiento y formato que determine la empresa o los entes de
control externos como el Servicio de Rentas Internas (SRI), la Superintendencia de
compañías, etc.
c) Los sistemas de almacenamiento de datos y su formato deben elegirse de forma tal que
los datos requeridos puedan recuperarse de una manera aceptable.
d) Se debe realizar la destrucción apropiada de los registros después de ese período si la
empresa ya no los necesita, y bajo la autorización por escrito de Auditoría interna y de la
Gerencia General.

A.15.1.4 Acciones De Prevención

Estos requisitos legales pueden estar relacionados con el manejo de la propiedad
intelectual, el uso y disposición de los registros contables de la empresa, el manejo de las
obligaciones contractuales entre otro tipo de características que pueden ser inherentes a la
actividad económica de cada empresa.
Aunque con la copia de seguridad se puede utilizar para superar esta frustración, es
un hecho que cualquier oficina que
también tiende a ser un almacén
para almacenar datos, documentos y
archivos. Expediente. En lo que
Cumplimiento de los requisitos legales respecta a Deloitte, existen copias
El cumplimiento de requisitos legales electrónicas anti-falsificación, cuyo
es un dominio de control importante
dentro de ISO 27001
 principal objetivo es asegurar a los clientes que todos los materiales relacionados
con su empresa estaban disponibles y serian desechados en el menor tiempo posible.
En el cual los trabajadores no se verían afectados.

EJEMPLO

Para una entidad financiera no aplican las mismas

consideraciones que para una empresa de
distribución. Por otra parte, en este mismo
dominio de control se contempla el hecho de
que se debe garantizar la conformidad de los
sistemas con las políticas y estándares de
seguridad que fueron definidos por la
organización.

De esta forma deben ser establecidos los procedimientos que estén más acordes con la
realidad de cada empresa para que se realicen revisiones periódicas de los sistemas de
información según las políticas de seguridad adoptadas por la empresa. Con  este tipo de
revisiones se podrá evaluar si realmente se ejecutan de forma correcta los procedimientos
implementados.

A.15.1.5 Solución A Incidencias

Es en este objetivo de control donde además de asegurar que la empresa está cumpliendo
con las regulaciones propias del entorno donde ejecuta su actividad económica, también se
busca garantizar que se cuenten con los procedimientos adecuados que permitan la revisión
y mejora del sistema de gestión de seguridad de la información.
El activo más importante de la firma, sus profesionales, también debía obtener res puestas y
soluciones a sus dudas en el menor tiempo posible. La situación no era fácil pues la
magnitud del incendio descartaba, a priori, el que ningún trabajador pudiera reincorporarse
a su habitual puesto de trabajo con absoluta certeza.
EJEMPLO
Este dominio de control resalta la importancia que tiene la auditoría del sistema para
garantizar su mejoramiento continuo. En este sentido la empresa debe garantizar que
existen los controles para asegurar, además de la seguridad de los activos de información de
la empresa, la seguridad de herramientas de auditoria.
A.15.1.6 Consultoría Y Asesoramiento De La Empresa Audifintax & Asociados CIA
LTDA (Ecuador)
La empresa Audifintax & Asociados Cia. Ltda. se dedica a actividades de preparación o
auditoria de las cuentas financieras y examen y certificación de cuentas, brindamos
servicios profesionales de auditoría y contabilidad de alta calidad, de forma independiente,
objetiva y ética. Invierten en el desarrollo de iniciativas donde promueven la objetividad, la
independencia y el desarrollo profesional, al entender que dichas cualidades resultan
fundamentales para la prestación de un servicio de auditoría y contabilidad con valor
agregado y alta calidad.

Principales Actividades: Servicios de Contabilidad, Preparación de Impuestos, Teneduría

de Libros y Servicios de Nomina.

RENDIMIENTO DE LA EMPRESA
EJEMPO DE UN SERVICIO INTEGRAL PERSONALIZADO DE
ASESORAMIENTO Y CONSULTORÍA

A.15.2 Cumplimiento de las políticas y las normas de seguridad y cumplimiento

técnico
Objetivo:

Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la
organización.

Cumplimiento con las políticas y normas de seguridad.

Norma 27001

Ejemplo 1 : tomado de caso de estudio WINDSOR

 Confidencialidad
 Integridad
En el caso DELOITE existían copias electrónicas de seguridad, y el principal objetivo para
ellos fue transmitir a los clientes la seguridad de que se contaba con todo el material
referente a sus empresas y que se volcaría en el menor tiempo posible sin que los
trabajadores y ellos como clientes se vieran afectados.

Análisis personal por que utilice este ejemplo:

Tome este ejemplo porque a pesar de ser un plan de comunicación y continuidad de

negocio está asociado con los sistemas de gestión y la eficacia de los procesos de auditoria
de sistemas en este caso la norma 27001,se visualizan muchas estrategias profesionales el
caso WINDSOR como a pesar de la catástrofe que los envolvió y las pérdidas materiales
que tuvieron pues su trabajo en general fue continuo por que optaron por no enfrascarse en
las perdidas sino más bien como aprovechar la desgracia para transformarla en
OPORTUNIDAD como identificando los riesgos y luego tratarlos sistemáticamente. Aliada
con la ISO 31000 para la gestión de riesgos, muy estratégico tener respaldos en nube de
toda la información de clientes y empresas.

Ejemplo 2:
A.15.2.2 Verificación del cumplimiento de las políticas y normas de seguridad y
cumplimiento técnico.

Ejemplo: tomado de ORGANIZACIÓN UNIVERSITARIA DE BARCELONA

La revisión por dirección es uno de los aspectos que contempla la normativa ISO/IEC
27001 para la revisión anualmente de los aspectos más importantes que se han presentado
con relación al SGSI implantados, revisando los elementos de entrada y salida de la
revisión que establece la norma. De esta manera la dirección puede verificar y/o monitorear
el sistema y establecer compromisos para realizar las mejoras necesarias.

A.15.3 CUMPLIMIENO
Consideraciones de la auditoría de los sistemas de información

Objetivo: maximizar la eficacia de los procesos de auditoría de los sistemas de información

y minimizar su interferencia

El control de que se está llevando a cabo el cumplimiento técnico únicamente tiene que
estar revisado por los sujetos cualificados y además, estas personas tienen que estar
autorizadas por la entidad, aunque puede pasar que lo realice otra persona bajo la
supervisión del responsable. Se considera un elemento de reconocida importancia, por lo
que hablamos del examen que tienen que pasar las entidades de sus sistemas operativos con
el fin de asegurar que los softwares y los hardware han sido implantados perfectamente.

EJEMPLO 3 TOMADO DE UNA TESIS DE LA FACULTAD DE INGENIERIA

INDUSTRIAL

TEMA: PROPUESTA PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN

DE SEGURIDAD DE LA INFORMACIÓN APLICANDO LA NORMA ISO 27001
PARA INDUSTRIALES

Medidas para evaluar la eficacia de los controles

a) Gestionar operaciones y recursos.

b) Realizar procedimientos, controles de detección y respuesta a incidentes.
c) Identificar los procedimientos, recursos y métodos de la gestión de riesgos para la
seguridad de la información.
d) Establecer un plan de tratamiento de riesgos.
e) Establecer controles.
f) Definir un sistema de métricas para que se obtengan resultados para medir la
eficacia de los controles.
g) Facilitar que tengan los recursos necesarios al SGSI para el aseguramiento de la
información.
h) Establecer procedimientos y controles para fijar cualquier tipo de riesgo.

A.15.3.2 Protección de las herramientas de auditoría de los sistemas de información

Ejemplo 4 Tomado De Una Tesis De La Facultad De Ingeniería Industrial

Tema: Propuesta Para La Implementación De Un Sistema De Gestión De Seguridad De La

Información Aplicando La Norma Iso 27001 Para Industriales

Se elabora un plan de implementación para proteger la información y analizar los

documentos de trabajo y poder gestionar los riesgos.

a) Identificación del Mecanismo de Seguridad.

b) Selección del mecanismo a salvaguardar.
c) Especificaciones de los mecanismos a plantear.
d) Integración de los Resultados.
CONTROLES DE SEGURIDAD

BIBLIOGRAFIAS:
https://www.welivesecurity.com/la-es/2013/04/17/importancia-cumplimiento-requisitos-
legales-gestion-informacion/

https://www.stopfakes.gov/servlet/servlet.FileDownload?file=015t0000000DA5c

https://ecuadatos.com/audifintax-asociados-cia-ltda/

https://www.cerem.ec/blog/un-paso-mas-del-mero-cumplimiento-legal-sg-compliance

http://repositorio.ug.edu.ec/bitstream/redug/19804/1/INFORME%20ERICK%20ALVARADO
%20TESI.pdf

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23143/7/lsuarezsiTFM0613memoria.pdf

http://repositorio.ug.edu.ec/bitstream/redug/19804/1/INFORME%20ERICK%20ALVARADO
%20TESI.pdf

http://dspace.ucuenca.edu.ec/bitstream/123456789/28655/1/Trabajo%20de
%20titulaci%C3%B3n.pdf

https://www.elmundo.es/navegante/2005/02/22/empresas/1109075145.html