ETAPA 4 – VERIFICACION DEL SGSI

FLOVER MAURICIO HERNANDEZ BOLAÑOS

JOHN FREDY NARVAEZ MUÑOZ
SANDRA JIMENA BURBANO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2023
 ETAPA 4 – VERIFICACION DEL SGSI

FLOVER MAURICIO HERNANDEZ BOLAÑOS

JOHN FREDY NARVAEZ MUÑOZ
SANDRA JIMENA BURBANO

Cesar Enrique Silva

Tutor

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
POPAYAN-CAUCA
2023
 CONTENIDO

Pág.

1. INTRODUCCIÓN..........................................................................................6

2. JUSTIFICACIÓN..........................................................................................7

3. OBJETIVOS..................................................................................................8

OBJETIVO GENERAL..............................................................................................8

OBJETIVOS ESPECÍFICOS....................................................................................8

4. CONTEXTO DE LA ORGANIZACIÓN.........................................................9

4.1 PRESENTACIÓN.........................................................................................9

4.2 ESTRUCTURA DE LA ORGANIZACIÓN..................................................9

4.3 ASPECTOS TÉCNICOS..............................................................................9

5. PLANEAR: DEFINIR ALCANCE................................................................11

6. PLANEAR: ELABORAR POLÍTICA DE SEGURIDAD...............................12

6.1 DEFINICIÓN DEL SGSI..........................................................................12

6.1.1 Objetivos...................................................................................................12

6.1.2 Requisitos legales...................................................................................12

6.1.3 Compromiso de la dirección.................................................................12

6.2 MARCO ORGANIZADO DE LA SEGURIDAD DE LA INFORMACIÓN

13

6.2.1 Dirección...................................................................................................13

6.2.2 Responsables de seguridad..................................................................13

6.2.3 Propietarios de riesgos..........................................................................13

6.2.4 Responsables de sistemas....................................................................13

3
6.2.5 Personal....................................................................................................13

6.3 CRITERIOS PARA GESTIÓN DEL RIESGO..........................................14

6.3.1 Análisis de riesgo....................................................................................14

6.3.2 Criterio de aceptación............................................................................15

7. PLANEAR: IDENTIFICAR Y EVALUAR INVENTARIO DE ACTIVOS......16

7.1 PROCESO DE NEGOCIO.........................................................................16

7.2 INVENTARIO DE ACTIVOS....................................................................16

8. PLANEAR: REALIZAR ANÁLISIS DE RIESGOS......................................17

8.1 VULNERABILIDADES, AMENAZAS Y VALORACIÓN DEL RIESGO..17

8.1.1 Nivel de aceptación del riesgo...................................................................19

9. PLANEAR: DECLARACIÓN DE APLICABILIDAD SOA............................21

10. HACER: GENERAR PLAN DE MITIGACIÓN DE RIESGOS....................23

11. HACER: APLICAR PLAN DE MITIGACIÓN DE RIESGOS.......................27

12. HACER: IMPLEMENTAR CONTROLES SELECCIONADOS...................28

13. HACER: ADMINISTRACIÓN DE CAMBIO................................................31

14. VERIFICAR: MONITOREAR Y REVISAR EL SGSI..................................32

14.1 REVISIONES GERENCIALES.................................................................32

15. REVISIONES INDEPENDIENTES.............................................................37

16. AUDITORIAS INTERNAS..........................................................................39

17. CONCLUSIONES.......................................................................................40

18. BIBLIOGRAFÍA...........................................................................................41

4
 LISTA DE TABLAS

Pág.

Tabla 1 probabilidad del riesgo.........................................................................14

Tabla 2 impacto del riesgo.................................................................................14
Tabla 3 valoración del riesgo.............................................................................14
Tabla 4 probabilidad del riesgo.........................................................................15
Tabla 5 proceso de negocio...............................................................................16
Tabla 6 activos de información.........................................................................16
Tabla 7 tabla SoA.................................................................................................21
Tabla 8 aplicación de norma ISO 27001 anexo A.........................................23
Tabla 9 riesgos aceptados por la dirección....................................................27
Tabla 10 evaluación de desempeño........................................................................34

5
 1. INTRODUCCIÓN

Con el presente trabajo se pretende proponer estrategias de

Gobernanza TI en seguridad informática, a partir de modelos de
gestión y seguridad TI.

A continuación, se podrá observar el desarrollo de los puntos de la

guía de actividades perteneciente a la Unidad 2 del curso estándares
normatividad y regulación de la seguridad informática.

Para el desarrollo de este trabajo se tuvo en cuenta la información

suministrada por los contenidos y referentes bibliográficos del curso
correspondientes a la Unidad 1 y 2.

6
 2. JUSTIFICACIÓN

El trabajo que se presenta a continuación fue elaborado con el fin de

Proponer estrategias, políticas y procesos, mediante el uso de
estándares y regulaciones de gestión de seguridad informática.

Se pretende realizar la etapa de verificación del SGSI que se ha

venido trabajando durante el transcurso del curso.

Cabe aclarar que este trabajo no solo se realizó con el objetivo del
aprendizaje teórico, sino que tenía como fin compartir conceptos y
puntos de vista de los integrantes del grupo durante las sesiones
colaborativas.

7
 3. OBJETIVOS

OBJETIVO GENERAL

Proponer estrategias, políticas y procesos, mediante el uso de

estándares y regulaciones de gestión de seguridad informática.

OBJETIVOS ESPECÍFICOS

 Dar continuidad al SGSI trabajado en actividades anteriores

 Realizar la etapa de verificación del SGSI donde se incluya

revisiones generales, revisiones independientes y auditorías
internas

8
 4. CONTEXTO DE LA ORGANIZACIÓN

4.1 PRESENTACIÓN

RTT Ibérica es una organización que ha incorporado tecnologías de la

información a su modelo de negocio, inclusive su nuevo servicio basado
en un sistema de puntos que le permite gozar a sus clientes
preferenciales de ciertas ventajas en servicios adquiridos con terceros
requiere de información actualizada y confiable, soportada en
herramientas tecnológicas.

4.2 ESTRUCTURA DE LA ORGANIZACIÓN

 Alquiler y venta: encargado de gestión de ventas y alquileres de

vehículos de manera física u online, también se encarga de dar
ventajas a clientes preferenciales mediane a alianzas con terceros.
 Comercial: encargado de captación de nuevos clientes, incluye la
gestión mediante correo electrónico.
 Departamento financiero: se encarga de gestionar datos de clientes y
proveedores mediante herramientas informáticas.
 Recursos humanos: gestiona la nómina y contratos el personal
mediante herramientas informáticas.
 Departamento técnico: se encarga de instalación, mantenimiento y
gestión de los sistemas de información que dan soporte al resto de la
organización.

4.3 ASPECTOS TÉCNICOS

 Red local formada por 15 ordenadores personales y un servidor de

dominio.
 En el servidor:
o Se centralizar toda la información para el funcionamiento de la
organización
o Se hospedan las aplicaciones necesarias
o Se gestionan todos los accesos a la red (cuentas de usuario,
correo electrónico, etc.). Dispone de un sistema de alimentación
ininterrumpida.
 Cada usuario dispone de su propio ID y clave (que no caduca) a
excepción del departamento comercial, donde existe una cuenta
común.
 La página web ha sido desarrollada por una empresa contratada para
tal fin.
9
 Todos los equipos disponen de sistema antivirus que se actualiza con
una periodicidad diaria de manera automática.
 Todos los equipos disponen de conexión a Internet. Se trata de una
conexión ADSL con un Router que dispone de funcionalidades de
cortafuegos.
 Se realizan copias de seguridad del servidor semanalmente en
soportes de cinta magnética. Existen 4 cintas que se van rotando.
Las copias se almacenan en una caja fuerte en las propias oficinas de
la empresa.

10
 5. PLANEAR: DEFINIR ALCANCE

El sistema de gestión de seguridad de la información de RTT Ibérica

cobija a todos los departamentos de la organización con sus respectivas
instalaciones, activos de información y recursos humanos.

El SGSI también incluye a todas las terceras partes que de algún modo
tengan acceso a la información, entre estos están: los contratistas,
clientes y proveedores.

Las directrices determinadas en el SGSI que afecten de algún modo al

entrono serán compartidas con los interesados, más específicamente las
organizaciones con las que existen contratos para garantizar el servicio.

La aplicación de las políticas y tareas estimadas en el SGSI se aplicarán

paulatinamente y de manera ordenada, empezando por las actividades
con más relevancia en cuanto a coste veneficio para el negocio.

11
 6. PLANEAR: ELABORAR POLÍTICA DE SEGURIDAD

6.1 DEFINICIÓN DEL SGSI

6.1.1 Objetivos
 Asegurar la confidencialidad, integridad y disponibilidad de la
información de socios, proveedores y clientes, captada y almacenada
por RTT Ibérica en sus sistemas de información.
 Mejorar la calidad de los servicios prestados, tanto de manera física
como online.
 Mantener la disponibilidad de los servicios ofrecidos en la actualidad y
los que puedan ser incorporados a futuro.
 Garantizar el cumplimiento de la ley de tratamiento de datos.

6.1.2 Requisitos legales

Reglamento (UE) 2018/17251 establece normas aplicables al tratamiento
de datos personales por organizaciones de la unión europea y comenzó
a aplicarse del 11 de diciembre del 2018.

6.1.3 Compromiso de la dirección

La dirección de RTT Ibérica se compromete totalmente con las
directrices estipuladas en el presente SGSI, así mismo, se compromete
a proporcionar los recursos necesarios para el desarrollo del proyecto.

También se compromete en la divulgación del material entre todos los

interesados, entre los que se incluye el personal de la empresa, socios,
contratistas y clientes, con el fin de que todos conozcan las directrices
adoptadas en materia de seguridad de los datos.

6.2 MARCO ORGANIZADO DE LA SEGURIDAD DE LA

INFORMACIÓN

6.2.1 Dirección
Está conformada por la directiva de la organización RTT Ibérica.

1
COMISIÓN EUROPEA. La protección de datos en la UE. [en línea]. (sin fecha).
[Consultado el 29 de diciembre de 2022]. Disponible en:
https://commission.europa.eu/law/law-topic/data-protection/data-protection-
eu_es#:~:text=El%20Reglamento%20(UE)%202018%2F,datos%20en%20el
%20%C3%A1mbito%20penal.
12
 Debe facilitar los recursos necesarios para que el SGSI funcione de
manera adecuada.
 Debe facilitar los recursos para el mejoramiento o ajuste del SGSI

6.2.2 Responsables de seguridad

 Se encargarán principalmente de vigilar que se implementen de
manera adecuada las directrices de seguridad estipuladas.
 Estar atentos a las posibles falencias que puedan surgir y determinar
las salvaguardas adecuadas.

6.2.3 Propietarios de riesgos

En este caso el propietario de los riesgos es la organización RTT Ibérica.

 Deberán aprobar las medidas adoptadas para el tratamiento de

riesgos
 Deberán aceptar los riesgos residuales que surgen como resultado de
la evaluación de riesgos, según metodología Magerit.

6.2.4 Responsables de sistemas

 Es responsable de la implementación de las directrices estipuladas en
el SGSI con el fin de mitigar riesgos.
 Debe monitorear el funcionamiento de las medidas de seguridad
aplicadas sobre los activos de información.

6.2.5 Personal
Los clientes deberán aceptar estos criterios mediante términos y
condiciones. En cuanto a contratistas y socios son responsables de los
siguiente:

 Debe tener conocimiento de las directrices de seguridad estipuladas

en este documento.
 Debe cumplir con lo establecido en este documento en materia de
seguridad de la información.
 Notificar sobre posible actividad maliciosa o incidente de seguridad

6.3 CRITERIOS PARA GESTIÓN DEL RIESGO

6.3.1 Análisis de riesgo

Para el análisis de riesgos se empleará la metodología Magerit2:
2
Portal administración electrónica. MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información. [en línea]. [Consultado el 8 de febrero de 2023]. Disponible en:
13
Tabla 1 probabilidad del riesgo

Probabilidad del riesgo

Nomenclatura Categoría Valoración
MA Prácticamente seguro 5
Probabilid

A Probable 4
M Posible 3
B Poco probable 2
ad

MB Muy raro 1

Tabla 2 impacto del riesgo

Impacto del riesgo

Nomenclatura Categoría Valoración
MA Muy alto 5
A Alto 4
Impacto

M Medio 3
B Bajo 2
MB Muy bajo 1

Tabla 3 valoración del riesgo

Valoración del riesgo

MA
A
Impacto

M
B
MB
Riesgo MB B M A MA

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/
pae_Magerit.html
14
Tabla 4 probabilidad del riesgo

Probabilidad del riesgo

Nomenclatura Categoría Valoración
MA Critico 21 a 25
del
Valoració

A Importante 16 a 20
M Apreciable 10 a 15
riesgo

B Bajo 5a9
n

MB Despreciable 1a4

6.3.2 Criterio de aceptación

Se aceptan los riesgos que aplicada la valoración se cataloguen como
moderados, estos están comprendidos entre la puntuación 6 a 15 con
la nomenclatura (M).

En cuanto a los riesgos residuales una vez aplicado los controles se

aceptan los catalogados como: apreciables, que están comprendidos
entre 10 a 15 con la nomenclatura (a).

15
 7. PLANEAR: IDENTIFICAR Y EVALUAR INVENTARIO DE
ACTIVOS

7.1 PROCESO DE NEGOCIO

Tabla 5 proceso de negocio

Proceso de negocio Descripción

Financiero Gestión de cobros y pagos de impuestos,
etc.
Alquiler y venta Servicios de alquiler y venta de vehículos
Gestión comercial Capacitación de clientes

7.2 INVENTARIO DE ACTIVOS

Tabla 6 activos de información

Activos de información
Activo Descripción Categoría
Recinto Instalaciones físicas Instalaciones
Sitio web Sitio web con servicio de comercio online Servicios
Base de datos Almacena información general Datos
Datos de usuarios Datos de clientes y proveedores Datos
CPLUS Software para tratamiento de datos Software
FPLUS Software para tratamiento de datos Software
Microsoft office Para distintas tareas de oficina Software
Empleados Personal interno y contratistas Personal
Nominas Registrar pagos a colaboradores Datos
NPLUS Software para procesamiento de datos Software
Ordenadores personales Para diversas tareas internas Hardware
Servidor de dominio Centraliza toda la información necesaria Hardware
para el funcionamiento de la empresa,
también gestiona, cuentas de usuario,
correo electrónico y componentes de la
red.
Antivirus Protección contra aplicaciones maliciosas Software
Router Interconectar los servicios de la empresa Hardware
Cortafuegos Integrado en el enrutador Software
Copias de respaldo Almacenas en las propias instalaciones Datos

16
 8. PLANEAR: REALIZAR ANÁLISIS DE RIESGOS

8.1 VULNERABILIDADES, AMENAZAS Y VALORACIÓN DEL

RIESGO

Valoración del riesgo

No. De Amenazas y
Vulnerabilidades

información
Activos de

Nombre del Amenazas

activo de metodología
información Magerit Vulnerabilidades
Posibilidad de incendio
1 INSTALACIONES Recinto 9 [N1] Fuego
en las instalaciones
Posible inundación y
[N2] Daños por no se evidencia la
2 INSTALACIONES Recinto 9
agua existencia de sensores
de humedad
Cualquiera puede
[A11] Acceso no acceder a las
3 INSTALACIONES Recinto 9
autorizado instalaciones sin
restricción alguna
[A24] Posible ataque de
4 SERVICIOS Sitio web 11 Denegación de denegación de
servicio servicio
[E24] Caída del
sistema por Colapso del sistema a
5 SERVICIOS Sitio web 11
agotamiento de causa de hosting
recursos limitado
Acceso sin
Base de [A11] Acceso no
6 DATOS 20 restricciones a las
datos autorizado
bases de datos
Destrucción de
[A18] información debido a
Base de
7 DATOS 20 Destrucción de posible intrusión de
datos
información personal no
autorizado
La información no
Datos de [E19] Fugas de está centralizada y no
8 DATOS 18
usuarios información se ha definido un
responsable
[E21] Errores de No existen políticas
mantenimiento / para el mantenimiento
9 SOFTWARE CPLUS 11 actualización de y actualización de
programas software, o no están
(software) documentadas.

17
 [E21] Errores de No existen políticas
mantenimiento / para el mantenimiento
SOFTWARE FPLUS 11 actualización de y actualización de
programas software, o no están
10
(software) documentadas.
[E21] Errores de No existen políticas
mantenimiento / para el mantenimiento
Microsoft
11 SOFTWARE 7 actualización de y actualización de
office
programas software, o no están
(software) documentadas.
Posibles ataques de
[A30] Ingeniería ingeniería social,
12 PERSONAL Empleados 8
social (picaresca) mediane la modalidad
de phishing
[E18] Acceso de personal no
13 DATOS Nominas 13 Destrucción de autorizado a esta
información información
[E15] Alteración Acceso de personal no
14 DATOS Nominas 13 accidental de la autorizado a esta
información información
[E21] Errores de No existen políticas
mantenimiento / para el mantenimiento
15 SOFTWARE NPLUS 11 actualización de y actualización de
programas software, o no están
(software) documentadas.
Ordenadores [A11] Acceso no Cuentas de usuario
16 HARDWARE 11
personales autorizado con claves genéricas
No hay claridad sobre
Ordenadores [E25] Pérdida de los responsables de
17 HARDWARE 11
personales equipos los equipos de
computo
No existen políticas
Servidor de [A11] Acceso no que restrinjan el
18 HARDWARE 20
dominio autorizado acceso solo a personal
autorizado
[I7] Condiciones No se evidencia el
Servidor de inadecuadas de manejo adecuado
19 HARDWARE 20
dominio temperatura o para variaciones de
humedad temperatura
Servidor de [E2] Errores del Errores de
20 HARDWARE 20
dominio administrador configuración
Aunque el antivirus se
[E21] Errores de
actualiza
mantenimiento /
automáticamente, no
21 SOFTWARE Antivirus 16 actualización de
existe un responsable
programas
que verifique
(software)
periódicamente
Usuario y contraseña
[A11] Acceso no
22 HARDWARE Router 13 por defecto y acceso
autorizado
físico sin restricciones

18
 [E21] Errores de No existen políticas
mantenimiento / para la actualización
23 SOFTWARE Cortafuegos 11 actualización de de software, o no está
programas debidamente
(software) documentado.
Copias de seguridad
Copias de [E2] Errores del almacenadas de
24 SOFTWARE 16
respaldo administrador manera local y sin
comprobar
Posible avería del
[I5] Avería de
Copias de hardware utilizado,
25 SOFTWARE 16 origen físico o
respaldo para las copias de
lógico
seguridad

8.1.1 Nivel de aceptación del riesgo

Cálculo del riesgo neto

Calificación de Gestión
Niveles de aceptación

Criticidad residual
No. De amenaza

Probabilidad de

Riesgo residual
Criticidad neta
vulneración
del riesgo

Si la opción es 2 - 3 o 4 Indique
el Control aplicado actual
1 I 2 18 I 1 18 I
2 M 1 9 B 1 9 B
3 I 4 36 C 1 36 C
Se da por sentado que la
4 I 4 44 C organización prestadora del hosting 22 C
2 toma las medidas necesarias
El sitio web fue desarrollado por
5 M 2 22 C expertos, por lo tanto, se asume la 7 B
3 contratación del hosting adecuado
6 I 3 60 C 1 60 C
7 I 3 60 C 1 60 C
8 I 3 54 C 1 54 C
El software se actualiza
9 M 2 22 C 7 B
3 automáticamente
10 M 2 22 C 3 El software se actualiza 7 B

19
 automáticamente
El software se actualiza
11 M 2 14 A 5 B
3 automáticamente
12 I 4 32 C 1 32 C
Hay un departamento responsable
13 M 2 26 C 13 A
2 de esta tarea
Hay un departamento responsable
14 M 2 26 C 13 A
2 de esta tarea
El software se actualiza
15 M 2 22 C 7 B
3 automáticamente.
16 I 4 44 C 1 44 C
17 I 3 33 C 1 33 C
18 I 2 40 C 1 40 C
19 I 2 40 C 1 40 C
20 I 4 80 C 1 80 C
El software se actualiza
21 M 2 32 C 8 B
4 automáticamente.
22 I 3 39 C 1 39 C
El software se actualiza
23 M 2 22 C 7 B
3 automáticamente
24 I 4 64 C 1 64 C
25 I 3 48 C 1 48 C
Estos equipos soportan altas
26 A 1 7 B temperaturas, en cuanto a la 4 D
2 húmeda si causa problemas
27 I 3 21 C 1 21 C

20
 9. PLANEAR: DECLARACIÓN DE APLICABILIDAD SOA

En la siguiente tabla SoA se incluyen solamente los controles

seleccionados de la ISO 27001 anexo A 3, los otros controles restantes
del anexo A se toman como no seleccionados, esto se debe a que los
controles restantes no aplican para los riesgos encontrados.

Tabla 7 tabla SoA

Tabla SoA

Implementad
Objetivo

o SI/NO
Dominio

Razón de la
Control
selección

A5.1.1 Políticas para la seguridad de la Políticas de roles

DOMINIO_A

OBJETIVO_

información --Control: Se debe definir un de usuario no

A5_1

conjunto de políticas para la seguridad de definidas o sin

05

SI
la información, aprobada por la dirección, documentar
publicada y comunicada a los empleados y
a las partes externas pertinentes.
A5.1.2 Revisión de las políticas para la Políticas de roles
DOMINIO_A05

OBJETIVO_A5

seguridad de la información. --Control: Las de usuario carentes

políticas para la seguridad de la información de revisiones
_1

se deben revisar a intervalos planificados o SI periódicas

si ocurren cambios significativos, para para
asegurar su conveniencia, adecuación y
eficacia continuas.
A6.1.1 Roles y responsabilidades para la No sé a definido
DOMINIO

OBJETIV
O_A6_1

seguridad de la información --Control: Se claramente las

_A06

deben definir y asignar todas las SI responsabilidades

responsabilidades de la seguridad de la en el manejo de
información. datos
A8.1.1 Inventario de activos --Control: Se No existe
DOMINIO_A

OBJETIVO_

deben identificar los activos asociados con inventario de

A8_1

información e instalaciones de activos

08

SI
procesamiento de información, y se debe
elaborar y mantener un inventario de estos
activos.

3
GlobalSuite. ¿Qué es la declaración de aplicabilidad, SOA? y ¿Cuál es su utilidad? [en línea]. (14
de mayo de 2020). [Consultado el 8 de febrero de 2023]. Disponible en:
https://www.globalsuitesolutions.com/es/soa-declaracion-aplicabilidad/#:~:text=La%20Declaraci
%C3%B3n%20de%20Aplicabilidad%20(SoA,el%20anexo%20A%20de%20la
21
 A9.1.1 Política de control de acceso -- Políticas de

DOMINIO

OBJETIV
O_A9_1
Control: Se debe establecer, documentar y autenticación de

_A09
revisar una política de control de acceso SI usuario
con base en los requisitos del negocio y de inadecuadas
la seguridad de la información.
A9.1.2 Acceso a redes y a servicios en red No están definidas
DOMINIO

OBJETIV
O_A9_1 --Control: Solo se debe permitir acceso de las políticas para
_A09

los usuarios a la red y a los servicios de red SI definir credenciales

para los que hayan sido autorizados de acceso
específicamente.
A11.1.4 Protección contra amenazas Posible riesgo de
DOMINIO

O_A11_1
OBJETIV

externas y ambientales. --Control: Se incendio

_A11

deben diseñar y aplicar protección física SI

contra desastres naturales, ataques
maliciosos o accidentes.
A11.1.3 Seguridad de oficinas, recintos e Posible acceso no
OBJETIV
O_A11_
DOMINI
O_A11

instalaciones. --Control: Se debe diseñar y autorizado a los

SI
1

aplicar la seguridad física para oficinas, recintos

recintos e instalaciones.

A11.2.4 Mantenimiento de los equipos. -- Ausencia de

OBJETIV
O_A11_
DOMINI
O_A11

Control: Los equipos se deben mantener cronogramas de

SI
2

correctamente para asegurar su mantenimiento

disponibilidad e integridad continuas. preventivo

A12.2.1 Controles contra códigos maliciosos Posible ataque de

DOMINIO_A

OBJETIVO_

--Control: Se deben implementar controles denegación de

A12_2

de detección, de prevención y de servicios, ausencia

12

SI
recuperación, combinados con la toma de de políticas para
conciencia apropiada de los usuarios, para realización de
proteger contra códigos maliciosos. backup
A12.3.1 Respaldo de la información -- No existen políticas
DOMINIO_A

OBJETIVO_

Control: Se deben hacer copias de respaldo para pruebas de

A12_3

de la información, software e imágenes de backup o no están

12

SI
los sistemas, y ponerlas a prueba documentadas
regularmente de acuerdo con una política
de copias de respaldo acordadas.

22
 10. HACER: GENERAR PLAN DE MITIGACIÓN DE RIESGOS

Tabla 8 aplicación de norma ISO 27001 anexo A

Plan de tratamiento

Requerimiento legal
Control a aplicar a partir de la norma ISO 27001:2013

Requerimiento de

Análisis de riesgo
anexo A

contractual
Objetivo
Dominio
Numero

Obligación
Mitigar

Descripción de

Exclusión
negocio
Control la aplicación
del control

A11.1.4 Protección contra Implementar un

OBJETIVO_A11_
DOMINIO_A11

amenazas externas y sistema de

ambientales. --Control: contra incendios
Se deben diseñar y aplicar NFPA-75
1 X x
1

protección física contra

desastres naturales,
ataques maliciosos o
accidentes.
A11.1.3 Seguridad de Sistema de
DOMINIO_A11

OBJETIVO_A1

oficinas, recintos e control de

instalaciones. --Control: acceso a
1_1

3 X Se debe diseñar y aplicar recintos e x

la seguridad física para Implementar
oficinas, recintos e bitácora de
instalaciones. ingreso.
A12.2.1 Controles contra Implementar
códigos maliciosos -- zona
OBJETIVO_A12_2

Control: Se deben desmilitarizada

DOMINIO_A12

implementar controles de DMZ y

detección, de prevención Capacitación de
4 X y de recuperación, buenas prácticas x
combinados con la toma de
de conciencia apropiada ciberseguridad
de los usuarios, para
proteger contra códigos
maliciosos.

23
 A5.1.1 Políticas para la Definición de
seguridad de la roles de usuario
información --Control: Se para la gestión

OBJETIVO_A5_1
DOMINIO_A5
debe definir un conjunto de base de
de políticas para la datos
6 X seguridad de la x
información, aprobada por
la dirección, publicada y
comunicada a los
empleados y a las partes
externas pertinentes.
A5.1.2 Revisión de las Definir
políticas para la seguridad revisiones
de la información. -- periódicas de
OBJETIVO_A5_1

Control: Las políticas para roles de usuario

DOMINIO_A5

la seguridad de la
información se deben
7 X x
revisar a intervalos
planificados o si ocurren
cambios significativos,
para para asegurar su
conveniencia, adecuación
y eficacia continuas.
A6.1.1 Roles y Asignar
responsabilidades para la responsables y
OBJETIVO_A6_1
DOMINIO_A6

seguridad de la establecer
información --Control: Se buenas prácticas
8 X deben definir y asignar de gestión de x
todas las datos
responsabilidades de la
seguridad de la
información.
A12.2.1 Controles contra Definir políticas
códigos maliciosos -- para realización
OBJETIVO_A12_2

Control: Se deben de backup y

DOMINIO_A12

implementar controles de Capacitación de

detección, de prevención buenas prácticas
12 X y de recuperación, de x
combinados con la toma ciberseguridad
de conciencia apropiada
de los usuarios, para
proteger contra códigos
maliciosos.

24
 A9.1.1 Política de control Definir políticas
de acceso --Control: Se de autenticación

OBJETIVO_A9_1
DOMINIO_A9
debe establecer, de usuario y
documentar y revisar una caducidad de
16 X política de control de credenciales x
acceso con base en los
requisitos del negocio y
de la seguridad de la
información.
OBJETIVO_A11_1 Definir
A11.1.3 Seguridad de responsables de
DOMINIO_A11

oficinas, recintos e los equipos de

instalaciones. --Control: cómputo e
17 X Se debe diseñar y aplicar implementar
la seguridad física para bitácora de
oficinas, recintos e registro de
instalaciones. ingreso y retiro
de estos.
A9.1.1 Política de control Definir políticas
de acceso --Control: Se de autenticación
OBJETIVO_A9_1
DOMINIO_A9

debe establecer, de usuario y

documentar y revisar una caducidad de
18 X política de control de credenciales x
acceso con base en los
requisitos del negocio y
de la seguridad de la
información.
A11.1.4 Protección contra
OBJETIVO_A11_
DOMINIO_A11

amenazas externas y
ambientales. --Control: Implementar
Se deben diseñar y aplicar termohigrómetro
19 X x
1

protección física contra y bitácora de

desastres naturales, registro de los
ataques maliciosos o datos
accidentes. recopilados
A6.1.1 Roles y
responsabilidades para la
OBJETIVO_A6_1
DOMINIO_A6

seguridad de la
información --Control: Se
20 X deben definir y asignar Definición de x
todas las roles de usuario
responsabilidades de la y asignar
seguridad de la personal
información. competente

25
 A9.1.2 Acceso a redes y a

OBJETIVO_A9_1
servicios en red --Control: Sistema de

DOMINIO_A9
Solo se debe permitir control de
acceso de los usuarios a acceso a
22 X x
la red y a los servicios de recintos y
red para los que hayan modificar
sido autorizados credenciales por
específicamente. defecto
A12.3.1 Respaldo de la
OBJETIVO_A12_3 información --Control: Se
DOMINIO_A12

deben hacer copias de

respaldo de la
información, software e Definir políticas
24 X x
imágenes de los sistemas, para realización,
y ponerlas a prueba pruebas y
regularmente de acuerdo restauración de
con una política de copias copias de
de respaldo acordadas. seguridad
A11.2.4 Mantenimiento de Implementar
DOMINIO_A11

OBJETIVO_A1

los equipos. --Control: Los cronograma de

equipos se deben mantenimientos
1_2

25 X mantener correctamente preventivos y x

para asegurar su seguimiento
disponibilidad e integridad para su
continuas. cumplimiento
A8.1.1 Inventario de
activos --Control: Se
deben identificar los
OBJETIVO_A8_1
DOMINIO_A8

activos asociados con

información e Implementar
27 X instalaciones de cronograma de x
procesamiento de mantenimientos
información, y se debe preventivos y
elaborar y mantener un seguimiento
inventario de estos para su
activos. cumplimiento

26
 11. HACER: APLICAR PLAN DE MITIGACIÓN DE RIESGOS

Según se definió en el alcance se aplicarán salvaguardas a los riesgos

determinados como críticos con una valoración entre 21 a 25 según
valoración cuantitativa mediante metodología Magerit, los demás riesgos
son aceptados por la dirección.

Tabla 9 riesgos aceptados por la dirección

Riesgos aceptados por la dirección

CONFIDENCIALID

DISPONIBILIDAD
AUTENTICIDAD
TRAZABILIDAD

INTEGRIDAD
NUMERO

VALOR
Nombre Riesgo
2
1 Recinto BAJO 4 4 4 9 5 9
APRECIABL 2 1
2 Sitio web E 9 9 9 9 5 2
IMPORTANT 2 2 2 2 2 2
3 Base de datos E 0 0 0 0 0 0
IMPORTANT 1 2 1 2 2 1
4 Datos de usuarios E 5 0 5 0 0 8
APRECIABL 1 1 1
5 CPLUS E 9 9 9 5 5 1
APRECIABL 1 1 1
FPLUS
6 E 9 9 9 5 5 1
1
Microsoft office
7 BAJO 4 4 4 9 5 7
1
8 Empleados BAJO 4 4 9 9 5 8
APRECIABL 1 1 1 1
9 Nominas E 5 5 9 9 5 3
1 APRECIABL 1 1 1
0 NPLUS E 9 9 9 5 5 1
1 Ordenadores APRECIABL 1 1 1
1 personales E 9 9 5 5 9 1
1 IMPORTANT 2 1 2 2 2 2
2 Servidor de dominio E 0 5 0 0 5 0
1 IMPORTANT 1 2 2 1
3 Antivirus E 4 9 5 5 5 6
1 APRECIABL 2 2 1
4 Router E 0 9 9 9 0 3
1 Cortafuegos APRECIABL 9 9 1 9 1 1

27
5 E 5 5 1
1 IMPORTANT 1 1 2 2 1
6 Copias de respaldo E 5 5 9 0 0 6

28
 12. HACER: IMPLEMENTAR CONTROLES SELECCIONADOS
Plan de Tratamiento

Activos de Información

Niveles de aceptación
A partir de la norma ISO 27001:2013Indique el control a
aplicar

Vulnerabilidades
información

OBJETIVO
DOMINIO
Activo de

CONTROL
Amenazas Descripción de
Metodología la aplicación
No.

Magerit del control

A11.1.4 Protección contra

OBJETIVO_A1
DOMINIO_A1
amenazas externas y
instalaciones

Posibilidad ambientales. --Control: Se

1_1
de incendio deben diseñar y aplicar Implementar un

1
Recinto

en las protección física contra sistema de

instalacione desastres naturales, ataques contra incendios
1 [N1] Fuego s I maliciosos o accidentes. NFPA-75
Cualquiera

OBJETIVO_A11_
DOMINIO_A11
puede A11.1.3 Seguridad de
acceder a oficinas, recintos e Sistema de
instalaciones

las instalaciones. --Control: Se control de acceso

1
instalacione debe diseñar y aplicar la a recintos e
Recinto

[A11] s sin seguridad física para oficinas, Implementar

Acceso no restricción recintos e instalaciones. bitácora de
3 autorizado alguna I ingreso.
A12.2.1 Controles contra
códigos maliciosos --Control:
OBJETIVO_A12_2
DOMINIO_A12

Se deben implementar Implementar

controles de detección, de zona
prevención y de desmilitarizada
recuperación, combinados DMZ y
Sitio web
servicios

Posible con la toma de conciencia Capacitación de

[A24] ataque de apropiada de los usuarios, buenas prácticas
Denegación denegación para proteger contra códigos de
4 de servicio de servicio I maliciosos. ciberseguridad
A5.1.1 Políticas para la
seguridad de la información
OBJETIVO_A5_1
DOMINIO_A5

--Control: Se debe definir un

Base de datos

conjunto de políticas para la

Acceso sin seguridad de la información,
restriccione aprobada por la dirección, Definición de
[A11] s a las publicada y comunicada a los roles de usuario
datos

Acceso no bases de empleados y a las partes para la gestión

6 autorizado datos I externas pertinentes. de base de datos
A5.1.2 Revisión de las
políticas para la seguridad de
la información. --Control: Las
OBJETIVO_A5_1
DOMINIO_A5

Destrucción políticas para la seguridad de

de la información se deben
Base de datos

información revisar a intervalos

debido a planificados o si ocurren
[A18] posible cambios significativos, para
Destrucción intrusión de para asegurar su Definir revisiones
datos

de personal no conveniencia, adecuación y periódicas de

7 información autorizado I eficacia continuas. roles de usuario

29
 La A6.1.1 Roles y

OBJETIVO_A6
DOMINIO_A6
información responsabilidades para la Asignar
no está seguridad de la información responsables y

Datos de
usuarios

_1
centralizada --Control: Se deben definir y establecer
[E19] y no se ha asignar todas las buenas prácticas
datos Fugas de definido un responsabilidades de la de gestión de
8 información responsable I seguridad de la información. datos
A12.2.1 Controles contra
códigos maliciosos --Control:

OBJETIVO_A12_2
DOMINIO_A12
Se deben implementar
Posibles controles de detección, de Definir políticas
ataques de prevención y de para realización
Empleados

ingeniería recuperación, combinados de backup y

personal

[A30] social, con la toma de conciencia Capacitación de

Ingeniería mediane la apropiada de los usuarios, buenas prácticas
1 social modalidad para proteger contra códigos de
2 (picaresca) de phishing I maliciosos. ciberseguridad
A9.1.1 Política de control de

OBJETIVO_A9
DOMINIO_A9
acceso --Control: Se debe
Ordenadores
personales

establecer, documentar y Definir políticas

hardware

_1
Cuentas de revisar una política de control de autenticación
[A11] usuario con de acceso con base en los de usuario y
1 Acceso no claves requisitos del negocio y de la caducidad de
6 autorizado genéricas I seguridad de la información. credenciales
Definir
OBJETIVO_A11_1 responsables de
DOMINIO_A11

A11.1.3 Seguridad de
No hay los equipos de
oficinas, recintos e
claridad cómputo e
Ordenadores

instalaciones. --Control: Se
personales

sobre los implementar

hardware

debe diseñar y aplicar la

responsable bitácora de
seguridad física para oficinas,
[E25] s de los registro de
recintos e instalaciones.
1 Pérdida de equipos de ingreso y retiro
7 equipos computo I de estos.
No existen A9.1.1 Política de control de
OBJETIVO_A9
DOMINIO_A9

políticas acceso --Control: Se debe

Servidor de

que establecer, documentar y Definir políticas

hardware

_1

restrinjan el revisar una política de control de autenticación

dominio

[A11] acceso solo de acceso con base en los de usuario y

1 Acceso no a personal requisitos del negocio y de la caducidad de
8 autorizado autorizado I seguridad de la información. credenciales
No se
OBJETIVO_A11_1

evidencia el A11.1.4 Protección contra

DOMINIO_A11

[I7] manejo amenazas externas y

Condiciones adecuado ambientales. --Control: Se
Servidor de

inadecuada para deben diseñar y aplicar Implementar

hardware

s de variaciones protección física contra termohigrómetro

dominio

temperatur de desastres naturales, ataques y bitácora de

1 ao temperatur maliciosos o accidentes. registro de los
9 humedad a I datos recopilados
A6.1.1 Roles y
OBJETIVO_A6
DOMINIO_A6

responsabilidades para la
Servidor de

seguridad de la información Definición de

hardware

_1

[E2] --Control: Se deben definir y roles de usuario

dominio

Errores del Errores de asignar todas las y asignar

2 administrad configuració responsabilidades de la personal
0 or n I seguridad de la información. competente
Usuario y A9.1.2 Acceso a redes y a
OBJETIVO_A9
DOMINIO_A9

contraseña servicios en red --Control: Sistema de

por defecto Solo se debe permitir acceso control de acceso
hardware

_1

y acceso de los usuarios a la red y a a recintos y

Router

[A11] físico sin los servicios de red para los modificar

2 Acceso no restriccione que hayan sido autorizados credenciales por
2 autorizado s I específicamente. defecto

30
 A12.3.1 Respaldo de la
información --Control: Se

OBJETIVO_A12_3
Copias de respaldo

DOMINIO_A12
deben hacer copias de
Copias de respaldo de la información,
seguridad software e imágenes de los Definir políticas
software almacenada sistemas, y ponerlas a para realización,
[E2] s de prueba regularmente de pruebas y
Errores del manera acuerdo con una política de restauración de
2 administrad local y sin copias de respaldo copias de
4 or comprobar I acordadas. seguridad
Posible
A11.2.4 Mantenimiento de los

OBJETIVO_A1
DOMINIO_A1
avería del Implementar
equipos. --Control: Los
hardware cronograma de
Copias de

equipos se deben mantener

1_2
software

respaldo

[I5] Avería utilizado, mantenimientos

1
correctamente para asegurar
de origen para las preventivos y
su disponibilidad e integridad
2 físico o copias de seguimiento para
continuas.
5 lógico seguridad I su cumplimiento

31
 13. HACER: ADMINISTRACIÓN DE CAMBIO

Los SGSI están sujetos a cambios debido al entorno que interactúa con
la organización y a las modificaciones que sufren los objetivos, ya sea
por que se realizan ajustes o por que se incluyen nuevos.

Otro aspecto a tener en cuneta son los cambios en los activos de

información, puede ser porque algunos activos se quedan obsoletos o ya
no aportan en la generación de valor y deben ser eliminados, también
las nuevas herramientas adquiridas.

Además, con los cambios nombrados anteriormente vienen amenazas y

vulnerabilidades asociadas que deben ser identificadas, analizadas y
clasificadas, otro aspecto es el cumplimiento en la aplicación de las
salvaguardas estimadas, puede ser que sea necesario realizar ajustes.

Formulario para solicitud de cambio4

Control de cambios
Versión Fecha de vigencia Naturaleza del cambio
01

Registro de aprobación
Elaboró Revisó Aprobó
Nombre Nombre Nombre
Cargo Cargo Cargo

4
Ministerio de educación nacional. Lineamientos para el plan de toma de conciencia del SGSI. [en
línea]. [Consultado el 8 de febrero de 2023]. Disponible en: https://www.google.com/search?
q=Lineamientos+para+el+plan+de+toma+de+conciencia+del+SGSI&rlz=1C1NDCM_enCO1030CO
1030&oq=Lineamientos+para+el+plan+de+toma+de+conciencia+del+SGSI&aqs=chrome..69i57j33i
21.1532j0j7&sourceid=chrome&ie=UTF-8
32
 14. VERIFICAR: MONITOREAR Y REVISAR EL SGSI

14.1 REVISIONES GERENCIALES

Resumen de Valoración de los activos en escala C.C Eficiente

Confidenciali Integrid Disponibili Val

Nombre Riesgo dad ad dad or
Recinto ALTO FALSO 3 9 6
Sitio web MEDIO 3 3 9 5
Base de datos ALTO 6 6 6 6
Datos de usuarios ALTO 5 6 6 6
CPLUS BAJO 3 5 5 4
FPLUS BAJO 3 3 5 4
Microsoft office BAJO 3 3 5 4
Empleados BAJO 3 5 5 4
Nominas BAJO 5 5 3 4
NPLUS ALTO 6 6 9 7
EXTRE
Ordenadores personales MO 5 9 9 8
Servidor de dominio BAJO 3 3 6 4
Antivirus BAJO 5 3 5 4
Router MEDIO 3 6 6 5
Cortafuegos BAJO FALSO 5 3 4
Copias de respaldo BAJO 3 3 3 3

33
 Riesgos Activos

Extremo
3 Alto
Medio
4 Bajo

Tabla probabilidad/impacto

Catastrófic
Insignificante Menor Moderado Mayor
o

, R23, R21, R19, , R24, R20,

, R27, R25, R22,
c R18, R15, R14, R13, R16, R12,
R17, R8, R7, R6
R10, R9, R5 R4, R3

i , R1
IMPACTO

a , R11

RIESG
1 2 3 4 5
O

PROBABILIDAD

Clasificación de activos según su valor

34
Número de activos de clientes o terceros que deben protegerse 3

Activos de información que deben ser restringidos a un número limitado de

5
empleados

Número de activos de información que deben ser restringidos a personas

8
externas

Activos de información que pueden ser alterados o comprometidos para fraudes o

9
corrupción

Número de activos de información que son muy críticos para las operaciones
4
internas

Número de activos de información que son muy críticos para el servicio hacia
5
terceros

En base a la información anterior la gerencia puede verificar los

resultados del análisis de riesgos y su comportamiento según las
medidas adoptadas como salvaguardas para mitigar o contrarrestar la
materialización de un riesgo.

Esta información también es fundamental para contrastar con los

resultados arrojados por las auditorias, con el fin de medir la efectividad
de las salvaguardas o su implementación.

El análisis de riesgo se seguirá realizando mediante la metodología

Magerit, con el fin de obtener resultado de tipo cuantitativo que resulten
fáciles de comparar. Este análisis será complementado mediante la
creación de un perfil actual y un perfil objetivo 5.

5
JIMÉNEZ, Mónica. Conoce el Marco de Ciberseguridad del NIST. [en línea]. (22 de enero del
2022). [Consultado el 8 de febrero de 2023]. Disponible en:
https://www.piranirisk.com/es/blog/marco-ciberseguridad-nist-que-es#:~:text=El%20perfil%20actual
%20habla%20de,la%20gesti%C3%B3n%20de%20riesgos%20cibern%C3%A9ticos.
35
Tabla 10 evaluación de desempeño

Evaluación de desempeño

Seguimiento y medición Análisis y evaluación

Quien Frecuenci
Quien Métod Frecuenci
¿A qué? Fuente monitore Método a de
analiza o a
a medición
Perfil
Implementar un Revisión Departa Resultado Alta actual,
sistema contra a activos mento de cuantitativo semestral gerenci perfil semestral
incendios NFPA-75 auxiliares TI por Magerit a objetiv
o
Bitácora Perfil
Sistema de control
de Departa Resultado Alta actual,
de acceso a recintos
ingreso y mento de cuantitativo semestral gerenci perfil semestral
e Implementar
datos del TI por Magerit a objetiv
bitácora de ingreso.
sistema o
Entrevist
Implementar zona Perfil
a al
desmilitarizada DMZ Departa Resultado Alta actual,
personal
y Capacitación de mento de cuantitativo semestral gerenci perfil semestral
y datos
buenas prácticas de TI por Magerit a objetiv
tomados
ciberseguridad o
de IDS
Perfil
Definición de roles Datos de
Departa Resultado Alta actual,
de usuario para la administr
mento de cuantitativo semestral gerenci perfil semestral
gestión de base de ación de
TI por Magerit a objetiv
datos cambio
o
Docume
Perfil
ntación
Definir revisiones Departa Resultado Alta actual,
de
periódicas de roles mento de cuantitativo semestral gerenci perfil semestral
políticas
de usuario TI por Magerit a objetiv
de
o
usuario
Docume
Asignar ntación Perfil
responsables y de Departa Resultado Alta actual,
establecer buenas políticas mento de cuantitativo semestral gerenci perfil semestral
prácticas de gestión para TI por Magerit a objetiv
de datos gestión o
de datos
Entrevist
Definir políticas para
a al Perfil
realización de
personal Departa Resultado Alta actual,
backup y
y mento de cuantitativo semestral gerenci perfil semestral
Capacitación de
documen TI por Magerit a objetiv
buenas prácticas de
tación de o
ciberseguridad
políticas

36
 Políticas Perfil
Definir políticas de
de Departa Resultado Alta actual,
autenticación de
gestión mento de cuantitativo semestral gerenci perfil semestral
usuario y caducidad
de TI por Magerit a objetiv
de credenciales
personal o
Definir responsables semestral semestral
de los equipos de Perfil
cómputo e Revisión Departa Resultado Alta actual,
implementar de mento de cuantitativo gerenci perfil
bitácora de registro bitácora TI por Magerit a objetiv
de ingreso y retiro o
de estos.
Políticas Perfil
Definir políticas de
de Departa Resultado Alta actual,
autenticación de
gestión mento de cuantitativo semestral gerenci perfil semestral
usuario y caducidad
de TI por Magerit a objetiv
de credenciales
personal o
Implementar Perfil
Datos de
termohigrómetro y Departa Resultado Alta actual,
administr
bitácora de registro mento de cuantitativo semestral gerenci perfil semestral
ación de
de los datos TI por Magerit a objetiv
cambio
recopilados o
Políticas Perfil
Definición de roles
de Departa Resultado Alta actual,
de usuario y asignar
gestión mento de cuantitativo semestral gerenci perfil semestral
personal
de TI por Magerit a objetiv
competente
personal o
Sistema de control Perfil
Datos de
de acceso a recintos Departa Resultado Alta actual,
administr
y modificar mento de cuantitativo semestral gerenci perfil semestral
ación de
credenciales por TI por Magerit a objetiv
cambio
defecto o
Docume
Perfil
Definir políticas para ntación
Departa Resultado Alta actual,
realización, pruebas del
mento de cuantitativo semestral gerenci perfil semestral
y restauración de cronogra
TI por Magerit a objetiv
copias de seguridad ma de
o
pruebas
Implementar
Docume Perfil
cronograma de
ntación Departa Resultado Alta actual,
mantenimientos
de mento de cuantitativo semestral gerenci perfil semestral
preventivos y
manteni TI por Magerit a objetiv
seguimiento para su
miento o
cumplimiento

37
 15. REVISIONES INDEPENDIENTES

Objetivo de la verificación

Es importante verificar la efectividad de los controles establecidos en el sistema de

gestión de seguridad de la información, con el fin de determinar su eficacia o sus
falencias, para tomar las acciones correctivas.

Alcance de la verificación6

En fases anteriores se definió el alcance del SGSI para la totalidad de los

departamentos de la organización, también se incluyó a las terceras partes que
tengan algún acceso a la información.

La fase de implementación se realizaría de manera escalonada, iniciando con las

actividades de mayor impacto y menor coste, por lo tanto, la verificación se enfoca
en estas que hacen parte de la primera fase de implantación.

Con el fin de establecer la efectividad en la implementación del SGSI se convocó a

las partes interesadas de la organización RTT Ibérica, a una reunión para
presentar los avances en la implementación del SGSI por cada responsable, como
se defino en el alcance de la etapa de desarrollo.

Informe de la reunión Código INF-020

Versión V01
Datos de la reunión
Fecha 02 de febrero de 2023
Norma de referencia ISO/IEC 27001
Lugar de la reunión Oficina de gerencia de RTT Ibérica
Participantes de la reunión Junta directiva
Gerente general
Gestor comercial
Gestor de talento humano
Gestor contable
Gestor de TI
Equipo auditor

6
Gómez, F. L., & Fernández, R. P. P. (2018). Cómo implantar un SGSI según une-en ISO/IEC
27001 y su aplicación en el esquema nacional de seguridad (pp 14-16, 57-76, 84-134).
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624?page=14
38
Objetivo de la reunión

Establecer la efectividad en la implementación del SGSI se convocó a las partes interesadas de

la organización RTT Ibérica, a una reunión para presentar los avances en la implementación del
SGSI por cada responsable, como se defino en el alcance de la etapa de desarrollo.

Orden del día

1. Llamado de asistencia a convocados

2. Compromisos del SGSI
3. Eficiencia y eficacia del SGSI
o Cumplimiento y retroalimentación
o Cumplimiento de los objetivos
4. Recursos adicionales
5. Oportunidad de mejora
6. Riesgos esperados
7. Acciones de mejora
8. Conclusiones y apreciaciones
Desarrollo del informe
Llamado de asistencia Asisten todos los convocados
Compromisos del SGSI Se solicita apoyo y acompañamiento por parte
de la alta dirección durante la implementación
del SGSI de RTT Ibérica
Eficiencia y eficacia del SGSI
 Cumplimiento y Por determinar
retroalimentación
 Cumplimiento de los objetivos Parcialmente cumplido
Recursos adicionales Se solicita renovación de la infraestructura de
red y dispositivos tecnológicos
Oportunidad de mejora Ampliar el recurso humano especializado del
proceso de TI
Riesgos esperados Demora en la renovación de la infraestructura
por sucesos imprevistos
Acciones de mejora Análisis de activos, seguridad perimetral y
actividades de las áreas involucradas
Conclusiones y apreciaciones Nivel de implementación optimo

Acciones de revisión

 Se determina que el SGSI está acorde con los objetivos de la organización

 Las políticas, procedimientos y controles implementados en el SGSI garantizan la
disponibilidad, integridad y confidencialidad de la información que permiten la
continuidad del negocio

39
 16. AUDITORIAS INTERNAS

Código: GC FR 001
Gestión de calidad
Vigencia: 18/12/2022
RTT Ibérica
Versión 01
Plan de auditoria
Página 1 de 2
Fecha: 02 de febrero de 2023
Objetivo de la auditoria 1. Verificar el cumplimiento de los requisitos aplicables de la
ISO/IEC 27001
2. Verificar los resultados logrados en el proceso por medio
de sus indicadores
Alcance de la auditoria Nivel de cumplimiento de las directrices estipuladas en el SGSI
Proceso a auditar SGSI
Responsables del proceso RTT Ibérica
Método de auditoria Mediante revisión del cumplimiento de las salvaguardas
estimadas para la mitigación de los riesgos encontrados
Equipo auditor Auditor líder: Mauricio Hernández
Auditor observador: John Narvaez
Auditor auxiliar: Sandra Burbano
Criterios y métodos de ISO/IEC 27001
referencia
Agenda auditoria Fecha Hora Responsable Auditor
área/proceso responsable
1 Reunión de apertura 01/02/202 08:00am RTT Ibérica Equipo auditor
3
2 Presentación del plan de 01/02/202 09:00am RTT Ibérica Equipo auditor
auditoria 3
3 Visita a RTT Ibérica 01/02/202 10:00am RTT Ibérica Equipo auditor
3
4 Consulta de los 01/02/202 02:00pm RTT Ibérica Equipo auditor
documentos del proceso 3
5 Balance de la auditoria 01/02/202 03:00pm RTT Ibérica Equipo auditor
3
6 Reunión de cierre 02/02/202 08:00am RTT Ibérica Equipo auditor
3
7 Entrega del informe de 02/02/202 10:00am RTT Ibérica Equipo auditor
auditoria 3
Observaciones Se verifica el cumplimiento de la disponibilidad, integridad y
confidencialidad.

40
 17. CONCLUSIONES

A continuación, se presentan algunas conclusiones sobre el desarrollo

del trabajo:

Un SGSI es importante para todo tipo de organización sin importar si se

busca una certificación o solamente para mejorar la seguridad de la
información.

El uso de alguna metodología para gestión de riesgos permite realizar el

análisis de manera sistemática y facilita la medición y comparación de la
evolución de la seguridad.

El equipo que diseña el SGSI debe conocer la familia de la ISO/IEC

27000.

Las auditorias al SGSI deben hacer parte integral de las disposiciones de

la alta gerencia.

Los informes presentados a la alta gerencia deben ser precisos, cortos y

sin demasiados tecnicismos.

41
 18. BIBLIOGRAFÍA

COMISIÓN EUROPEA. La protección de datos en la UE. [en línea]. (sin fecha).

[Consultado el 29 de diciembre de 2022]. Disponible en:
https://commission.europa.eu/law/law-topic/data-protection/data-protection-
eu_es#:~:text=El%20Reglamento%20(UE)%202018%2F,datos%20en%20el
%20%C3%A1mbito%20penal.

GlobalSuite. ¿Qué es la declaración de aplicabilidad, SOA? y ¿Cuál es su utilidad?

[en línea]. (14 de mayo de 2020). [Consultado el 8 de febrero de 2023]. Disponible
en: https://www.globalsuitesolutions.com/es/soa-declaracion-aplicabilidad/
#:~:text=La%20Declaraci%C3%B3n%20de%20Aplicabilidad%20(SoA,el%20anexo
%20A%20de%20la

Gómez, F. L., & Fernández, R. P. P. (2018). Cómo implantar un SGSI según une-e
ISO/IEC 27001 y su aplicación en el esquema nacional de seguridad (pp 14-16,
57-76, 84-134).
https://elibro-net.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624?page=14

JIMÉNEZ, Mónica. Conoce el Marco de Ciberseguridad del NIST. [en línea]. (22
de enero del 2022). [Consultado el 8 de febrero de 2023]. Disponible en:
https://www.piranirisk.com/es/blog/marco-ciberseguridad-nist-que-es#:~:text=El
%20perfil%20actual%20habla%20de,la%20gesti%C3%B3n%20de%20riesgos
%20cibern%C3%A9ticos.

Portal administración electrónica. MAGERIT v.3 : Metodología de Análisis y

Gestión de Riesgos de los Sistemas de Información. [en línea]. [Consultado el 8 de
febrero de 2023]. Disponible en:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/
pae_Metodolog/pae_Magerit.html

42