“UNIVERSIDAD NACIONAL AMAZÓNICA DE MADRE DE DIOS

FACULTAD DE INGENIERÍA”

“ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS E

INFORMÁTICA”

AUDITORIA Y SEGURIDAD DE SISTEMAS

“Certificación CISCO e Implementar de SGSI según ISO/IEC

27001”

Docente:

ING. Osbel Mora Estrada

Presentado por:

Quispe Ccahuana, Cristhian.

Puerto Maldonado – Perú

2019-I
Tabla de contenido
INTRODUCCION. ...................................................................................................................................... 3
1. La certificación Cisco. .......................................................................................................................... 4
1.1. La certificación Cisco Niveles................................................................................................. 4
2. Método para implementar un SGSI según el ISO/IEC 27001. ................................................... 5
2.1. Método Propuesto. ................................................................................................................... 5
2.1.1. Paso1: Formalización del Proyecto. .............................................................................. 5
2.1.2. Paso 2: Análisis de Brecha (GAP) ................................................................................ 6
2.1.3. Paso 3: Determinación del alcance del SGSI ............................................................. 7
2.1.4. Paso 4: Elaboración de la Política de Seguridad de la Información. ...................... 8
2.1.5. Paso 05: Análisis y Gestión de Riesgos...................................................................... 8
2.1.6. Paso 6: Información Documentada .............................................................................. 9
2.1.7. Paso 7: Formación y Concientización. ...................................................................... 10
2.1.8. Paso 8: Auditoría Interna ............................................................................................. 11
2.1.9. Paso 9: Revisión por la alta Dirección. ...................................................................... 11
2.1.10. Paso 10: Proceso de Certificación ............................................................................. 11
3. Conclusiones ............................................................................................................................... 12
INTRODUCCION.

La certificación acredita al alumno a nivel mundial como experto calificado con

las habilidades necesarias y capacidades para gestionar, personalizar y
solucionar problemas relacionados con equipos de redes Cisco.

La información crítica de una organización está presente en los sistemas

informáticos, pero también en papel, en diferentes tipos de archivos y soportes,
se transmite a terceros, se muestra en diversos formatos audiovisuales, se
comparte en conversaciones telefónicas y reuniones y está presente en el propio
conocimiento y experiencia de los trabajadores. ISO 27001 propone un marco
de gestión de la seguridad de toda la información de la organización.
1. La certificación Cisco.
Las Certificación Cisco son universalmente reconocidas como un estándar de la
industria para diseño y soporte de redes, garantizando altos niveles de
conocimientos y credibilidad.
Desde tecnologías básicas de redes hasta áreas más específicas y de tecnología
avanzada tales como seguridad, redes inalámbricas y telefonía IP, las
Certificaciones Cisco y certificaciones de Especialista Calificado Cisco validan
los conocimientos y habilidades, proporcionando pruebas tangibles de logros
profesionales e incrementando las oportunidades de satisfacción y ascenso en
la vida profesional. Para las empresas, los empleados certificados Cisco le
permiten a usted aprovechar al máximo su inversión en redes, minimizando las
fallas en su red, implementando productividad mejorada de sus empleados e
incrementando la satisfacción de sus clientes.

Usted puede contar con el prestigio y la más alta reputación de nivel internacional
del programa de certificaciones del líder mundial en redes para Internet.

Cisco ofrece una amplia variedad de certificaciones y especializaciones

diseñadas para prepararlo en distintas tecnologías, soluciones y roles laborales.

1.1. La certificación Cisco Niveles.

Es una de las certificaciones más importantes dentro de la industria de la

Tecnología de la Información. La certificación cisco es un plan de capacitación
en tecnología de redes que la empresa cisco ofrece. Se divide en tres niveles,
de menor a mayor complejidad: Cisco Certified Netword Associate, Cisco
Certified Netword Professional y Certificado Cisco de Experto en Internet.

1.1.1. Entrada.
Las certificaciones CCENT y CCT sirven como puntos de partida
para las personas interesadas en comenzar una carrera como
profesional de redes.
1.1.2. Asociar.
El nivel de Asociado de las Certificaciones de Cisco puede
comenzar directamente con CCNA para la instalación de la red,
operaciones y solución de problemas o CCDA para el diseño de la
red. Piense en el Nivel de Asociado como el nivel básico de la
certificación de redes.
1.1.3. Profesional.
El nivel profesional es un nivel avanzado de certificación que
muestra más experiencia con habilidades de red. Cada certificación
cubre una tecnología diferente para satisfacer las necesidades de
diferentes roles laborales.
 1.1.4. Experto.
La certificación Cisco Certified Internetwork Expert (CCIE) es
aceptada en todo el mundo como la certificación de red más
prestigiosa de la industria.

2. Método para implementar un SGSI según el ISO/IEC 27001.

La información se ha convertido en el activo más importantes para cualquier

organización, y el aseguramiento de esta, como un punto primordial para lograr
ventajas competitivas y generación de valor hacia los clientes, usuarios y
población en general. Todo ello siendo posible con un adecuado resguardo de la
Confidencialidad, Disponibilidad e Integridad de la Información. El propósito del
presente artículo es desarrollar y proponer un método que permita implementar
un Sistema de Gestión de Seguridad de la Información aplicable a cualquier tipo
de entidad, incluyendo el proceso de certificación del ISO/IEC 27001.

2.1. Método Propuesto.

2.1.1. Paso1: Formalización del Proyecto.

Es importante que la Alta dirección este comprometida con el proyecto de

implementación de un SGSI, es por ello que se debe exponer ante ellos los
beneficios, tiempos, recursos y áreas involucradas en esta implementación.

Es por ello que la Alta Dirección deberá aprobar el proyecto, y brindar los
recursos necesarios para la implementación del SGSI, con ello se estaría
evidenciando el Liderazgo de la Alta Dirección.

Cumpliendo con lo señalado en la cláusula 5.1 “Liderazgo y compromiso”, la cual

indica que la alta dirección debe demostrar liderazgo y compromiso respecto del
sistema de gestión de seguridad de la información:

 asegurando que la política de seguridad de la información y los objetivos

de seguridad de la información son establecidos y compatibles con la
dirección estratégica de la organización;
 asegurando la integración de los requisitos del sistema de gestión de
seguridad de la información en los procesos de la organización;
  asegurando que los recursos necesarios para el sistema de gestión de
seguridad de la información estén disponibles;
 comunicando la importancia de una efectiva gestión de seguridad de la
información y en conformidad con los requisitos del sistema de gestión de
seguridad de la información;
 asegurando que el sistema de gestión de seguridad de la información
logre su(s) resultado(s) previsto(s);
 dirigiendo y apoyando a las personas para que contribuyan con la
efectividad del sistema de gestión de seguridad de la información;
 promoviendo la mejora continua; y
 apoyando a otros roles relevantes de gestión para demostrar su liderazgo
tal como se aplica a sus áreas de responsabilidad.

2.1.2. Paso 2: Análisis de Brecha (GAP)

Basado en el Modelo CMMI, se usa un modelo de madurez con el propósito de

ayudar a evaluar la seguridad de la información, a determinar en qué nivel o
grado se encuentra y así tomar decisiones que permitan identificar las falencias
que se tienen en un determinado nivel:

La idea es poder determinar un nivel de madurez de cada clausula y

control del ISO/IEC 27001:2013 (lista de 114 controles del anexo A).
 2.1.3. Paso 3: Determinación del alcance del SGSI

El alcance es el límite en base a procesos, ubicaciones físicas y ciudades del

Sistema de Gestión de Seguridad de la Información, deberá ser determinado
sobre la base del Contexto de la Organización, los factores internos y externos,
las partes interesadas y sus expectativas relacionadas a seguridad de la
Información.

Cumpliendo con lo señalado en la Cláusula 4.3 “Determinar el alcance del

sistema de gestión de seguridad de la información”, donde se indica que la
organización debe determinar los límites y la aplicabilidad del sistema de gestión
de seguridad de la información para establecer su alcance.

Cuando se determina este alcance la organización debe considerar:

 los aspectos externos e internos referidos en 4.1;

  los requisitos referidos en 4.2; y
 las interfaces y dependencias entre actividades realizadas por la
organización y las que son realizadas por otras organizaciones.

2.1.4. Paso 4: Elaboración de la Política de Seguridad de la

Información.
La política de la organización es la que va a sentar las bases de lo que se va a
hacer, mostrará el compromiso de la dirección con el SGSI y servirá para
coordinar responsabilidades y tareas.
Cumpliendo con lo señalado en la Cláusula 5.2 “Política de Seguridad de la
Información”, donde se indica que la alta dirección debe establecer una política
de seguridad de la información que:

 es apropiada al propósito de la organización;

 incluye objetivos de seguridad de la información (véase 6.2) o proporciona
el marco de referencia para fijar los objetivos de seguridad de la
información;
 incluye un compromiso de satisfacer requisitos aplicables relacionados a
la seguridad de la información; e
 incluye un compromiso de mejora continua del sistema de gestión de
seguridad de la información.

2.1.5. Paso 05: Análisis y Gestión de Riesgos.

El análisis de riesgos es la piedra angular de un SGSI, es la actividad cuyo

resultado nos va a dar información de dónde residen los problemas actuales o
potenciales que tenemos que solucionar para alcanzar el nivel de seguridad
deseado.

El análisis de riesgos debe ser proporcionado a la naturaleza y valoración de los

activos y de los riesgos a los que los activos están expuestos.

Cumpliendo con lo señalado en la Cláusula 6.1 “Acciones para tratar los riesgos
y las oportunidades”, donde indica cuando se planifica para el sistema de gestión
de seguridad de la información, la organización debe considerar los asuntos
referidos en el numeral 4.1 y los requisitos referidos en el numeral 4.2 y
determinar los riesgos y oportunidades que necesitan ser tratados para:

 Asegurar que el sistema de gestión de seguridad de la información pueda

lograr su(s) resultado(s) esperado(s);
 prevenir, o reducir, efectos indeseados; y lograr la mejora continua.
 2.1.6. Paso 6: Información Documentada

La información documentada son todos los documentos y registros

mandatarios exigidos por el ISO/IEC 27001.2013.

Cumpliendo con lo señalado en la Cláusula 7.5 “Información documentada”, la

cual indica que el sistema de gestión de seguridad de la información de la
organización debe incluir:

 información documentada requerida por el ISO/IEC 27001:2013; e

 información documentada determinada por la organización como
necesaria para la efectividad del sistema de gestión de seguridad de la
información.

Eso indica que no solo nos limitaremos a los documentos exigidos por el
ISO/IEC 27001:2013, sino también los documentos internos o externos
necesarios, como normas, políticas, instructivos, etc.

 La extensión de la información documentada para un sistema de gestión

de seguridad de la información puede diferir de una organización a otra
debido a:
 el tamaño de la organización y su tipo de actividades, procesos,
productos y servicios;
 la complejidad de los procesos y sus interacciones; y
 la competencia de las personas.
 2.1.7. Paso 7: Formación y Concientización.

Las personas que trabajan bajo el control de la organización deben ser

conscientes de la política de seguridad de información; su contribución a la
efectividad del sistema de gestión de seguridad de la información, incluyendo los
beneficios de un mejor desempeño de la seguridad de la información; y las
implicancias de no tener conformidad con los requisitos del sistema de gestión
de seguridad de la información.
Cumpliendo con lo señalado en la Cláusula 7.3 “Concientización”, la cual indica
que las personas que trabajan bajo el control de la organización deben ser
conscientes de:
 la política de seguridad de información;
 su contribución a la efectividad del sistema de gestión de seguridad de la
información, incluyendo los beneficios de un mejor desempeño de la
seguridad de la información:
Es conocido que el tema presupuestal nos puede jugar en contra al momento de
desplegar las capacitaciones de Seguridad de la Información, es allí que
podemos usar herramientas de LMS (Learning Management System) como
Moodle para abaratar costos, interrumpir en las labores diarias a nuestros
colaboradores y poder masificar dichas capacitaciones.
 2.1.8. Paso 8: Auditoría Interna

La organización debe conducir auditorías internas en intervalos planificados para

proporcionar información sobre si el sistema de gestión de seguridad de la
información está en conformidad con los requisitos de la propia organización
para su sistema de gestión de seguridad de la información; y los requisitos del
ISO/IEC 27001: 2013, en concordancia con lo solicitado en la cláusula 9.2.

2.1.9. Paso 9: Revisión por la alta Dirección.

La alta dirección debe revisar el sistema de gestión de seguridad de la

información de la organización a intervalos planificados para asegurar su
conveniencia, adecuación y efectividad continua.

2.1.10. Paso 10: Proceso de Certificación

Una vez que se ha culminado la implementación del SGSI, se ha realizado una

auditoría interna como mínimo y sin ningún hallazgo o desviación relevante y se
ha realizado las revisiones por parte dela alta dirección, podemos optar por iniciar
el proceso de certificación.

Para ello se deberá seleccionar una entidad certificadora acreditada para realizar
esta actividad, dicha entidad, deberá dimensionar la cantidad de auditores y
horas/auditor sobre la base del alcance, cantidad del personal involucrado en la
organización y sedes que abarca el SGSI.

La certificación del Sistema de Gestión de Seguridad de la Información, de

acuerdo con el ISO/IEC 27001:2013, contribuye a fomentar las actividades de
protección de la información en las organizaciones, mejorando su imagen y
generando confianza frente a terceros.
3. Conclusiones

 La alta dirección tiene un rol protagónico y principal en el proceso de

Seguridad de la Información, este rol permite la asignación de
recursos, liderazgo del proyecto y adecuada implementación del SGSI.
 El factor humano es importante en la seguridad de la información,
sensibilizarlos y entrenarlos en estos temas garantiza el apoyo y
conocimiento en el proceso de aseguramiento de la información.
 Aún después de una adecuada implantación, se debe revisar el SGSI
en intervalos planificados para detectar de una manera oportuna,
alguna desviación del SGSI y mejorarlo en el tiempo.