Unidad 1 y 2 /zona Sur/ Grupo219019_10

Socialización del
diseño del SGSI
Florencia 5 Diciembre 2022
 ETAPA 5: Socialización del diseño del SGSI

JACKSON APRAEZ SOTO

KAREN LORENA ROA PERDOMO
DIEGO ARMANDO BOLAÑOS ANTURI
LEONARDO ANDRÉS CIFUENTES ROJAS
CARLOS MAURICIO RAMIREZ ORDOÑEZ

Nombre Tutor
EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
Florencia
2022

Especialización en Seguridad Informática - ESI

 Introducción
A lo largo de la construcción del curso, hemos investigado la
importancia de la creación de protocolos y estándares que
permitan la adecuada gestión de la información como activo
organizacional, propendiendo por la seguridad de datos y las
interacciones de los usuarios en la red.
Con el desarrollo del presente trabajo, propondremos los ciclos de
verificación de las etapas del SGSI para brindar solución al problema
propuesto y garantizar adecuada gestión tanto de usuarios como
administradores en la participación colectiva no solo de la red, sino, de
los demás recursos informáticos dispuesto: Planear, Hacer y Verificar
del SGSI diseñado para el problema propuesto por la organización.

Especialización en Seguridad Informática - ESI

 Justificación

La implementación de la etapa 5, Proponer estrategias,

políticas y procesos, mediante el uso de estándares y
regulaciones de gestión de seguridad informática. el grupo
realizará la socialización mediante video para la
implementación y socialización del SGSI.
En la etapa 5, los integrantes del grupo, deberán construir
una presentación haciendo uso de la plantilla institucional,
en donde se presente los ciclos de: Planear, Hacer y Verificar
del SGSI diseñado para el problema propuesto de la
organización RTT Ibérica.
Especialización en Seguridad Informática - ESI
Objetivos Propuestos

• Comprender la funcionalidad de la etapa de Verificación dentro del

proceso de implementación del SGSI
• Detallar los procesos y funciones de la etapa de verificación del
SGSI
• Aplicar los correctivos necesarios a las fases de planear y hacer con
base en la auditoría interna de la organización de la etapa de
Verificación

Especialización en Seguridad Informática - ESI

 ETAPA 1- Identificación series de la familia ISO
27000
ISO 27001: es el conjunto de requisitos para implementar un SGSI. Es la única norma certificable de las que se
incluyen en la lista y consta de una parte principal basada en el ciclo de mejora continua
ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe
los controles y objetivos de control. Actualmente cuentan con 14 dominios, 35 objetivos de control y 114
controles.
ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a la norma 27001,
indicando las directivas generales necesarias para la correcta implementación de un SGSI. Incluye
instrucciones sobre cómo lograr la implementación de un SGSI con éxito.
ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones para la gestión de la
Seguridad de la Información. Especifica cómo configurar métricas, qué medir, con qué frecuencia, cómo
medirlo y la forma de conseguir objetivos.
ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad de la
información que puedan comprometer a las organizaciones. No especifica ninguna metodología de análisis y
gestión de riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.
ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones certificadoras.
ISO 27007: es una guía para auditar SGSIs. Establece qué auditar y cuando, cómo asignar los auditores
adecuados, la planificación y ejecución de la auditoría, las actividades claves, etc.
 
Solución al problema propuesto
El principal objetivo asociado a la implementación de un SGSI en la organización es reducir
la probabilidad y/o el impacto causado por incidentes de seguridad de la información la
empresa RTT Ibérica quiere respaldar esta información implementando algunas de las
normas ISO/IEC 27000 las cuales considera necesarias para el buen funcionamiento de la
misma organización.
La ejecución de la norma 27001 permitirá a la empresa definir ampliamente sus
propios procesos de gestión de riesgos. Los métodos comunes se centran en analizar
todos los riesgos para activos específicos o riesgos presentados en escenarios específicos.
Existen muchas ventajas y desventajas por cada uno, y en algunas empresas se adaptan
mucho mejor a un método que a otro.
Esta norma también se encuentra capacitada para responder a numerosos controles para
el tratamiento de la información gracias a las aplicaciones que contiene y que son
totalmente configurables según los requerimientos de cada organización. Además, permite
la automatización del Sistema de Gestión de Seguridad de la Información.
 Etapa 2 - Examinar Marcos y Regulaciones
NIST
 
NIST es el acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute
of Standards and Technology, en inglés) dependiente del Departamento de Comercio de
EE. UU. El Marco de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a
comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y
proteger sus redes y datos. Este Marco es voluntario. Le brinda a su negocio una reseña
de las mejores prácticas para ayudarlo a decidir dónde tiene que concentrar su tiempo y
su dinero en cuestiones de protección de ciberseguridad. ¿Y es aplicable para usted?
Usted puede implementar el Marco de Ciberseguridad del NIST en su negocio en estas
cinco áreas: identificación protección, detección, respuesta y recuperación.
Usted puede implementar el Marco de Ciberseguridad del NIST en su negocio en estas
cinco áreas: identificación protección, detección, respuesta y recuperación.
 COBIT
COBIT (Control Objectives for Information and Related Technology) ayuda a las
organizaciones a enfrentar los desafíos comerciales en las áreas de cumplimiento
normativo, gestión de riesgos y alineación de la estrategia de TI con los objetivos
organizacionales. COBIT 5, la última versión del marco, se lanzó en 2012.
 Etapa 3 - Definición e implementación del SGSI
Explicación del proyecto
Fase 1 - Planear

Desde el punto de vista de la empresa RTT Iberian, es evidente que existen problemas con la gestión
de las tecnologías de la información, por lo que es fundamental implantar un método de gestión de la
seguridad, justificado en la norma ISO 27001, orientado en un marco de seguridad que permita a la
empresa posicionarse en los más altos estándares de seguridad.

Por ello, es crucial establecer un perfil de conocimiento de los servicios, procesos, aplicaciones,
seguridad y gestión de las TIC para cada empleado de la organización. La tecnología es un activo muy
valioso para la empresa, y la información que contiene lo es mucho más.
Organizando adecuadamente todos los procesos de seguridad informática, el NIST nos ayudará a
reducir los riesgos para la seguridad de nuestra información.
 Tipos de riesgos
• Riesgo de nivel alto
• Riesgos de nivel medio del proyecto
• Riesgos de nivel bajo

Declaración de Aplicabilidad en ISO 27001

Este documento define el alcance del sistema de gestión de seguridad

de la información. Y también se convierte en la guía para el auditor. Por
eso, debe existir antes de la auditoría de certificación y, también, antes
de la auditoría interna del sistema.

Especialización en Seguridad Informática - ESI

 POLITICA DE SEGURIDAD DE LA
INFORMACION SGSI
Resumen: la información de la organización se debe resguardar bajo los pilares de
la seguridad de la información

Objetivos:
Dar un manejo adecuado a los riesgos en que puede incurrir la empresa en la
seguridad de la información, con el fin de mantenerlos al margen y darles el
manejo adecuado
Garantizar la protección de los datos de los clientes y de la empresa
Asegurar la integridad de los datos financieros y contables de la empresa
Hay que asegurar que la página web organizacional siempre cumpla con las
necesidades requeridas por los clientes y personal en general garantizando el
comercio electrónico a través del portal
Soportar las necesidades de los diferentes departamentos en relación con las TI.
Fase 2 HACER: Implementar y operar el SGSI

El plan de mitigación de riesgos se establece a partir del análisis de riesgos realizado

sobre cada uno de los activos implicados, el alcance del SGSI para la empresa RTT
Iberia y las medidas de seguridad. Es fundamental que la declaración de aplicabilidad
garantice que lo que se permite es, de forma exhaustiva y completa, proporcionar los
elementos fundamentales en la gestión de la información.

De acuerdo con los parámetros contemplados en la norma ISO 27001:2013 e ISO

27002, se procede a establecer y definir como se realizará el control de los cambios
que se realicen en el sistema de gestión de seguridad de la información de RTT Ibérica
 Aplicar el plan de mitigación de riesgos.

Para llevar a cabo el plan de mitigación de riesgos en la organización

RTT Ibérica se requiere analizar el nivel de impacto ante la
ocurrencia de un evento, teniendo en cuenta lo anterior, se deberá
implementar las siguientes las siguientes estrategias propuestas:
Una vez establecido y evaluado el riesgo la empresa acepta y asume
las brechas de seguridad; Por otra parte, la empresa puede prevenir
las vulneraciones por medio de un diseño de plan de acción a
seguir; la empresa controla el riesgo o en caso de ser inminente lo
transfiere para disminuir el nivel de impacto.
 Implementar controles seleccionados
IMPLEM ENT ACION DE CONT ROLES SELECIONADOS EN RT T IBERICA

Control AREA Información Digital

Robo de Identidad
Software
Software Dañino
Hardware
Uso del Hardware

El Objetivo de
implementar este
control es evitar que el
El Objetivo es evitar que la
personal, clientes y El Objetivo de implementar este
organización RTT Iberica tenga
proveedores expongan control es evitar daños, perdidas y
Objetivo su informacion personal, fallas en el equipo que se vea en
riesgos en sus activos, es por esto
que se implementa controles y
ante terceras personas y riesgo la información
limites.
se ponga en riesgo un
activo importante de la
organización

La duración de la
Tiempo De implementación del
La duración de la implementación La duración de la implementación
del control es de 1 a 3 meses del control es de 1 a 3 meses
Implementación control es de 1 a 3 meses

El presupuesto debe ser

El presupuesto debe ser evaluado y El presupuesto debe ser evaluado y
Presupuesto/ Recursos evaluado y seleccionado
seleccionado por el jefe de seleccionado por el jefe de sistemas
por el jefe de sistemas o
Económicos el jefe del área
sistemas o el jefe del área o el jefe del área

Mantenimiento Cronograma de
Cronograma de actividades Cronograma de actividades
capacitaciones
Periódico
Politicas de seguridad Politicas de seguridad Politicas de seguridad
Puntos De Control Formatos Formatos Formatos
Manuales de procesos Manuales Manuales
Es importante mitigar el
robo de informacion y la
suplantacion de
Para minimizar este riesgo es
identidad mediante Para mitigar este riesgo es
importante que todoo el personal
capacitaciones a todo el importante instalar un software
Mitigación Del Riesgo personal y antivirus, que proteja los activos de
este capacitado en los temas de
buen manejo de equipos, uso
recomendaciones a los la organización
adecuado de USB, Discos duros, etc.
clientes, donde se
declare
confi dencialidad.
 Política de Gestión de Cambio RTT
Ibérica
Requisitos del control A.12.2 de la norma ISO 27002: de
2013, que establece que los cambios en la organización, los
procedimientos operativos, la infraestructura física y los
sistemas de procesamiento de la información deben estar
bajo estricto control.
Debe implementarse el historial de las modificaciones que
se realicen en alguno de los aspectos descritos con el fin de
llevar un control en caso de existir fallos en la nueva versión
además de identificar los aspectos que afecta,
 Etapa 4 - Verificación del SGSI
Fase 3 verificar: Establecer el SGSI

Una vez implementado el SGSI, de la empresa RTT Ibérica, se procede a la siguiente

fase la cual consiste en lo siguiente:
Se deben realizar revisiones periódicas con el fin de constatar la efectividad del SGSI
Con base en los controles establecidos en las fases anteriores se realiza la medición
los mismos
Teniendo en cuenta que es un ciclo de mejora continua se deben actualizar los
planes de seguridad según sea requerido
Analizar los niveles de riesgos con base en las evaluaciones realizadas con el fin de
asegurar que se encuentren en un nivel aceptable
Hacer Auditorias
 Políticas de seguridad
• Gestión de seguridad de la información
• Controles de acceso
• Software autorizado
• Control de tráfico de red – solo sitios seguros
• Backus periódicamente
• confidencialidad de la información de clientes – tratamientos de datos
• correcto uso del correo electrónico
• Uso de dispositivos móviles
• Teletrabajo seguro
• Controles de criptografía para tráfico de información
• Cumplimientos de las normas legales de la zona
• Software licenciado
• Protección de datos
• Software antivirus y de monitoreo de trafico de red
 Inventario de activos contemplados según el alcance del SGSI
Se hace la identificación de los que hacen parte del proceso de la
gestión técnica, específicamente en los enfocados en garantizar la
protección del servidor y los servicios que se tienen expuestos para
beneficios de sus clientes. En estos se va a contemplar la descripción
del activo, su categoría y la ubicación del mismo

• VALORACIÓN DE ACTIVOS
• IDENTIFICACION Y VALORACION DE AMENAZAS
• CÁLCULO DEL IMPACTO DEL RIESGO
• TRATAMIENTO DEL RIESGO
• INVENTARIO DE ACTIVOS COBIJADOS POR SGSI
 Declaración de Aplicabilidad (SoA):
La Declaración de Aplicabilidad (SoA por sus siglas en inglés,
Statement of Applicability) de la norma ISO 27001, de Sistemas de
Gestión de Seguridad de la Información (SGSI), es un documento
formado por la relación completa de los controles de seguridad de la
información evaluables, que se indican en el anexo A de la norma.
En ella la organización indica si cada uno de ellos es de aplicación o no,
detallando los motivos y su estado de implantación.
Aunque el Anexo A es la referencia para la implantación de medidas
de protección de la información, la organización puede añadir otros
controles y objetivos de control si lo considera necesario
Conclusiones

Para la selección del modelo de seguridad a implementar se analizó

la situación actual de la empresa RTT ibérica con el fin de ajustar sus
objetivos acordes a los requerimientos de implementación del SGSI,
según la norma.
La aplicación de la norma ISO 27001 Y 27002 permiten a la empresa
RTT Ibérica administrar de mejor manera su sistema tecnológico
brindándole no solo seguridad en la información si no una imagen
de calidad ante sus clientes.

Especialización en Seguridad Informática - ESI

 Bibliografía Destacada
• Chicano, T. E. (2015). Auditoría de seguridad informática (mf0487_3) (pp 7-306).
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/44136?page=13
• Gómez, F. L., & Fernández, R. P. P. (2018). 
Cómo implantar un SGSI según une-en ISO/IEC 27001 y su aplicación en el esquema nacional de seguridad (pp
14-16, 57-76, 84-134). https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624?page=14
• Mantilla, E. (2022). Introducción a Normatividad, Estándares y Modelos sobre ciberseguridad. https://
repository.unad.edu.co/handle/10596/49530
• NIST. (2018). Framework for Improving Critical Infrastructure Cybersecurity (pp 1-44). https://
nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.04162018.pdf
• Normas ISO. (2019). ISO 27000. (pp 1-19) https://www.normasiso.net/wp-content/uploads/2016/10/iso-
27000.pdf
• Ritegno, E. (2019). COBIT 2019. (pp 1-43) https://iaia.org.ar/wp-content/uploads/2019/07/COBIT2019-IAIA.pdf
• Valencia, F. (2021). 
Sistema de gestión de seguridad de la información basado en la familia de normas ISO/IEC 27000 (pp 72, 74-75,
127-128).
http://www.fadmon.unal.edu.co/fileadmin/user_upload/extension/cursos/imagenes_cursos/digitales_septiem
bre/sistema_de_gestion_de_seguridad-1.pdf
• 
Especialización en Seguridad Informática - ESI
Enlace del vídeo con la sustentación

Lorem ipsum dolor sit amet, consectetur adipiscing

Especialización en Seguridad Informática - ESI

¡GRACIAS!
Para tener en cuenta:

• No recargar las diapositivas con mucho texto y/o imágenes

• No caer en el error de leer las diapositivas
• No exceder el tiempo solicitado en la guía
• Tener en cuenta que el video debe contar con buenas condiciones de sonido y visualización.
• El video no debe realizarse desde celulares u otros dispositivos móviles.
• Es necesario que todos los participantes se presenten antes de iniciar su intervención, esto
permitirá al tutor identificar quien es cada uno.
• El rostro de cada participante debe aparecer durante su presentación.
• El enlace del video debe estar disponible para que el tutor pueda abrirlo sin
inconvenientes, este preferiblemente debe estar en You Tube, Google Drive u otro de fácil
acceso.