Scribd
Cargar
22 vistas9 páginas

Implementación de ISO 27001 en Ciberseguridad

proyecto

Cargado por

Jonnatan Mafla
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
22 vistas9 páginas

Implementación de ISO 27001 en Ciberseguridad

proyecto

Cargado por

Jonnatan Mafla
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Actividad Evaluativa Eje 4

Proyecto Final

Juan Carlos Rendón Aguirre


Jonnatan Andrés Mafla Muñoz

Fundación Universitaria del Área Andina


Proyecto Final ll
Octubre 2024
Bogotá D.C.
Objetivo

Presentar un documento final que reúna la información desarrollada en su proceso de


investigación en seguridad informática.

Descripción de la tarea

Luego de todos los pasos sugeridos en los ejes anteriores, este taller
busca que el estudiante presente los resultados de la investigación realizada
en el transcurso del módulo.
Desarrollo de Actividad
I PROBLEMA DE INVESTIGACIÓN

Identificar la falta controles frente a los ataques cibernéticos al interior de las empresas y la
importancia de implementar una normativa como sería la ISO 27001 y así lograr confidencialidad,
integridad y disponibilidad, ayudando a lograr el mejoramiento continuo que esperan las
organizaciones involucradas mitigando una serie de eventos que se pueden presentar
eventualmente.

II MARCO TEÓRICO

Los activos de información y los bienes informáticos son recursos vitales para cualquier empresa,
se tiene el deber de preservarlos. lo que significa que se deben tomar las medidas apropiadas para
asegurar la información y los sistemas de cómputo; de tal forma que estén protegidos de todo tipo
de amenazas, como intrusos hackers, interrupción del servicio, accidentes y desastres.

La ciberseguridad en Colombia, son casos modelo para la industria los ciberataques recibidos por
empresas prestadoras de servicios públicos como EPM, en el año 2022, el ataque a la empresa
prestadora de servicios de salud Keralty-Colsanitas en el mismo año, y la vulneración de la
seguridad de la empresa proveedora de servicios gestionados y en la nube IFX Networks.

Toda la información perteneciente a la empresa debe protegerse por su importancia. Con este
propósito es necesario implementar políticas de seguridad sin importar el medio empleado para
almacenar la información, o los métodos y dispositivos usados para su procesamiento, cómo se
transmite. Tal protección incluye restricciones de acceso a los usuarios de acuerdo con su cargo y
funciones.

III METODOLOGÍA

Por medio de la metodología cualitativa se realizará una investigación documental en la cual se


buscarán todos los insumos e informes que se tienen en internet, también se tomarán una serie de
videos y entrevistas con testimonios de personas que estuvieron comprometidas por una brecha de
seguridad.

Se realizará un muestreo de los ataques a los cuales las empresas estuvieron expuestas durante
los últimos 3 años en el país, así mismo se estudiará si la empresa cuenta con políticas de
seguridad instauradas y que estén funcionando en respuesta a las mismas.

Se empleó la entrevista, y como instrumento, la lista de chequeo, que sirve para reunir y registrar
los datos recolectados, en la implementación de una norma de la ISO 27001, se consideraron los
siguientes controles: La seguridad de la información, seguridad de los recursos humanos, gestión
de los activos, control de acceso, criptografía, seguridad física y del entorno, seguridad de las
operaciones, seguridad de las comunicaciones, adquisición, desarrollo y mantenimiento del
sistema, relaciones de los proveedores, gestión de incidentes de seguridad de la información,
aspectos de seguridad de la información y finalmente, el cumplimiento.estos están integrados a los
tres grande dimensiones: confidencialidad, integridad y disponibilidad de la información.

Después de esto se definirá la manera en que serán tratados los riesgos y se creará una matriz
con su grado peligrosidad y afectación.

IV RESULTADOS
El desarrollo de la investigación está basada en la norma que permite realizar la implementación
de esta y es necesario tener en cuenta los siguientes puntos para preservar la información, se
hace estrictamente imperativo que estos puntos se tengan en cuenta a la hora de llevar a cabo el
proceso.

Imagen tomada de https://www.normas-iso.com/iso-27001/

- Objeto y campo de la aplicación: por medio de los 114 controles sugeridos por la
norma ISO 27001.
- Contexto de la organización: el sector de la salud es uno de los más atacados por
ciberdelincuentes.
- Liderazgo: tanto los líderes, coordinadores, operarios y demás personas que
conforman una empresa están en la obligación de cumplir y conocer las normas de
ciberseguridad.
- Planificación: aquí se deben establecer los objetivos y cuál va a ser el paso a seguir
para lograrlos.
- Soporte: para el adecuado funcionamiento del sistema se debe contar con los
recursos suficientes que les permitan ser competentes.
- Operación: para lograr tener una gestión eficaz se debe planificar, implementar,
monitorear y controlar cada uno de los procesos.
- Evaluación de desempeño: aquí se debe realizar el monitoreo y seguimiento, la
medición, el análisis y la evaluación.
- Mejora: se trata de identificar y marcar qué no está funcionando de una manera
correcta para así poder ajustarlos y cumplir con su objetivo final.

Figura N° .1.

Figura No.1.Comparativo de los resultados de la brecha de pretest y post test.

Tabla No .1.1

Tabla N° .1.Promedio de rangos pre y pos test Seguridad de la información.


Tabla N° .2.

Tabla N° .2.Estadísticos de prueba pre y pos test Seguridad de la información.

DISCUSIÓN

Se recomienda implementar un SGSI ISO 27001 en todas las empresas de cualquier tipo de
sector. Según el estudio realizado se hace referencia a la implementación de planes de mejora que
garanticen la integridad, disponibilidad y accesibilidad a la información; con este estudio realizado
se demuestra la importancia de implementar la norma ISO 27001 para mitigar y contrarrestar los
riesgos y mejorar seguridad informática.

- Los trabajadores de la organización con frecuencia reciben correos electrónicos de remitentes


desconocidos, o atienden llamadas telefónicas en las que los interlocutores solicitan
información en relación con procedimientos médicos, pacientes, y temas de carácter
administrativo en las que por desconocimiento, o falta de previsión suministran datos que
pueden suponer una filtración de seguridad, o pueden ser empleados para recolectar
información de la organización en la fase de reconocimiento de un ciberataque, sin percatarse,
o validar a través de otros medios la identidad de quienes reciben la información.
- De forma indiscriminada los empleados de la IPS, con independencia de su cargo, acceden,
revisan, envían información que por su naturaleza reviste carácter sensible y debería contar
con niveles de autorización para su consulta o visualización, como historias clínicas, reportes
de pago, estancias hospitalarias, datos personales y familiares.
- Se identifica que al momento de asignar los roles y permisos a cada uno de los usuarios de
los sistemas de información se maneja una matriz con base al cargo, pero algunos usuarios
que no tienen perfil definido en la matriz se les asignan indiscriminadamente una serie de
roles que les permite visualizar mucho más de lo que necesitan y generar reportes con datos y
estados de cuenta de todos los pacientes activos y egresados.

CONCLUSIÓN

Implementar políticas de seguridad sólidas, reduce considerablemente los incidentes de seguridad


en las empresas, y se vuelven un ejemplo para implementar dichos controles en las diferentes
instituciones.

La estandarización de normas de seguridad es la identificación de vulnerabilidades y de la misma


manera la respuesta a ellas.
La implementación de la norma en las empresas, dan a conocer la influencia en los aspectos de
confidencialidad, integridad y la disponibilidad de la información.

Los ciberataques modernos o recientes que se han presentado en Colombia claramente nos
exigen robustecer la seguridad de la información.
Referencias Bibliográficas
Solutions, G. (2023, 22 septiembre). ¿Qué es la norma ISO 27001 y para

qué sirve? GlobalSuite Solutions.

https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-

para- que-sirve/?gad_source=1

Ltda, R. (2024, 5 junio). En 2023, Colombia reportó 28.000 millones de

ciberataques financieros. Redcomputo.

https://www.redcomputo.com.co/post/en-2023-colombia-report%C3%B3-

28- 000-millones-de-ciberataques-financieros#:~:text=De%20acuerdo

%20con% 20la%20Superintendencia,cercana%20a%20cero%20por

%20ciento.

La Nota Económica. (2024, 30 septiembre). Según IBM, Colombia en 2024 ha

recibido el 17 % de los ciberataques en Latinoamérica, el 60 % afectaron

al sector salud - La Nota Económica.

https://lanotaeconomica.com.co/movidas-empresarial/segun-ibm-colombia-e

n-2024-ha-recibido-el-17-de-los-ciberataques-en-latinoamerica-el-60-afectar

on-al-sector-salud/

Lohse E. (1985). "The role of the ISO in telecommunications and information systems
standardization". IEEE Communications Magazine .Volume: 23, Issue: 1, January 18 – 24.

Ñaupas H., Valdivia M., Palacios J., Romero H. (2018). Metodología de la Investigación
Cuantitativa - Cualitativa y redacción de la tesis. Colombia: Ediciones de la U. Archivo Digital.
https://fdiazca.wordpress.com/wp-content/uploads/2020/06/046.-mastertesis-
metodologicc81a-de-la-investigaciocc81n-cuantitativa-cualitativa-y-redacciocc81n-de-la-tesis-
4ed-humberto-ncc83aupas-paitacc81n-2014.pdf

ISO 27001 (2013) El portal de ISO 27001 en Español. Recuperado de


https://sarlaft.fiduagraria.gov.co/meci_files/ISO%2027001%202013.pdf

Narvaez, M. (2023, 19 junio). Método de investigación cualitativo: Qué es y cómo usarlo.


QuestionPro. https://www.questionpro.com/blog/es/metodo-de-investigacion-cualitativo/#:~:text=El
%20m%C3%A9todo%20de%20investigaci%C3%B3n%20cualitativo%20involucra%20un
%20razonamiento%20complejo%20y,a%20fen%C3%B3menos%20o%20situaciones
%20determinadas.

Martagomez. (2023, 23 mayo). Cómo implementar una política de seguridad efectiva para mi
empresa | Datos 101. Datos 101. https://www.datos101.com/blog/como-implementar-politica-de-
seguridad-efectiva-para-proteger-tu-empresa-de-ataques/

De Docusign, C. (2023, 7 febrero). ¿Cómo se elabora la política general de seguridad? Docusign.


https://www.docusign.com/es-mx/blog/politica-seguridad

Araujo, A., & Araujo, A. (2023, 12 octubre). ISO 27001: Cómo hacer tu política del SGSI.
Hackmetrix Blog. https://blog.hackmetrix.com/politica-del-sgsi/

También podría gustarte