Etapa 4: Revisión del SGSI

LEIDY TATIANA CASTRO

SERGIO OMAR GARCIA ESTEBAN
MARISOL OVIEDO
JENNY LILIANA SIERRA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021

1
 Etapa 4: Revisión del SGSI

LEIDY TATIANA CASTRO

SERGIO OMAR GARCIA ESTEBAN
MARISOL OVIEDO
JENNY LILIANA SIERRA

EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2021
 CONTENIDO

INTRODUCCIÓN.......................................................................................................4
1 JUSTIFICACIÓN.............................................¡Error! Marcador no definido.
2 OBJETIVOS....................................................................................................5
3 OBJETIVOS ESPECÍFICOS..........................................................................6

4 DESARROLLO DEL TRABAJO…................................................................17

4 CONCLUSIONES.........................................................................................46
BIBLIOGRAFÍA........................................................................................................47
 INTRODUCCIÓN

El presente trabajo corresponde a un análisis, de las diferentes estrategias,

políticas y procesos mediante la implementación de estándares y sistema de
gestión de seguridad de la información (SGSI), en el cual se abordará las fases de
planear y hacer analizando la entidad RTT Ibérica.
 JUSTIFICACIÓN

Hoy en día la tecnología contribuye al ahorro de tiempo, esfuerzo y mejoramiento

de calidad de vida, aportando así, grandes beneficios a la humanidad. Es radical
en el sector empresarial, ya que debido a que la mayor parte de la información
esta consignada en ordenadores, soportes de almacenamiento y demás sistemas
de información, se vuelve vulnerable y puede ser fácil que personas no
autorizadas puedan acceder a ella causando graves perjuicios para la empresa.

Para proteger de amenazas a nuestras organizaciones y en este caso a RTT

Ibérica se establecerán procedimientos adecuados a implementar controles de
seguridad basados en la evaluación de los riesgos y en una medición de su
eficacia.
 OBJETIVOS GENERAL

Plantear estrategias, políticas y procesos para poder implementar un sistema de

gestión de seguridad a la entidad RTT Ibérica, mediante el uso de estándares y
regulación de gestión de seguridad.

OBJETIVOS ESPECÍFICOS

Iniciar la construcción de SGSI abordando las fases planear y hacer de un SGSI

para el problema propuesto en el curso.

Asumir tareas y responsabilidades en la construcción de la propuesta de SGSI que

brinde solución al problema propuesto en el curso.

Aplicar la norma ISO 27001 e incluir los frameworks y/o estándares que se
identifiquen como viables para ser incorporados.
 DESARROLLO DEL TRABAJO

Fase 1 PLANEAR: Establecer el SGSI

1. Diseñar SGSI: Identificar el enfoque y diseño del SGSI, marco normativo y

de aplicación.
SGSI es una herramienta que permite hacer un control de activos de la
información para tener una correcta gestión de riesgos y dar respuesta a
amenazas que puedan afectar la estabilidad de la organización, estas normas van
ligadas a los procesos, a las personas y a la tecnología.
La seguridad de la información depende de la tecnología: antivirus, cifrado,
firewall, IPS, Dominio, Control de aplicaciones, así mismo de las personas dueñas
de activos de información, los que gestionan la información, los resistentes a los
controles que se establecieron, los hábitos de comportamiento inseguros, entre
otros.
El enfoque de nuestro SGSI para la empresa RTT Ibérica está basado en
procesos que permiten establecer, implementar, operar, hacer seguimiento,
mantener y mejorar un sistema de gestión adoptado por la organización.
El diseño de un SGSI para la empresa de venta y servicio de alquiler de vehículos
requiere de compromiso del departamento de dirección de RTT Ibérica encargado
de proveer todos los recursos necesarios para su buen funcionamiento. Funciones
como liderar, promover definir, evaluar, verificar, realizar, gestionar, resolver.
Niveles de acuerdo de servicio, confidencialidad, evaluación de riesgos y
cumplimiento técnico. El diseño de un Sistema de Gestión de Seguridad de la
Información debe estar directamente relacionado con los objetivos:
 Crear una cultura de seguridad de la información
 Identificar el de valor de esta
 Tratar los incidentes de seguridad
 Implementar un SGSI y las necesidades de la organización
Esto con el fin de preservar la confidencialidad, integridad y disponibilidad de la
información; La metodología empleada para el diseño del SGSI será el ciclo PHVA
con el objeto de ganar eficacia y corrección de posibles errores a la hora de su
ejecución, PHVA significa:
Tabla 1: Estrategia PHVA. Elaboración propia
Estrategia
PHVA
Planear Establecimiento de políticas, objetivos
y procesos que contribuyan a la
gestión
de mitigación de riesgos
Hacer Se ejecutan las políticas y estrategias
anteriores
Verificar Se mide el desempeño de las
acciones realizadas
Actuar Se implementan acciones correctivas
a
los procesos de acuerdo con
los resultados obtenidos.
Todos los marcos de seguridad nos permiten implementar diferentes técnicas, por
lo menos el ITIL permite definir un conjunto de buenas prácticas dentro de lo que
quiere hacer la empresa RTT Ibérica como es la prestación de servicios, la firma y
acuerdos de servicio con otras compañías, si se quiere generar ventajas a los
clientes a la hora de adquirir productos, NITS permite que RTT Ibérica dentro de
cada uno de sus departamentos se tengan en cuenta cada una de las directrices,
prácticas y estándares que permitan la clasificación y estos mecanismos de la
organización.
Sin embargo, como grupo decidimos adoptar el marco COBIT en la actividad
pasada, en este caso COBIT dentro de RTT Ibérica ofrece un servicio a través de
una página web y así facilita y protege la información de manera que se permite
que toda operación sea ms eficiente, optimiza los bajos costos de las TI fortalece
la normatividad y políticas establecidas, es decir apoyaría el cumplimiento de
leyes, reglamentos y políticas nacionales e internacionales gestionando la
creación de nuevas tecnologías que darían soporte al resto de RTT Ibérica,
incluyendo las relaciones con los proveedores tecnológicos.

2. Análisis de procesos: Entendimiento corporativo y los procesos que

administra.

Estructura de RTT Ibérica:

Ilustración 1: Estructura de RTT Ibérica. Elaboración propia

Disponible en: https://cmapscloud.ihmc.us:443/rid=1WR72XWM5-2CV4JGB-

FJ00JN
Objetivos estratégicos:

 Gestionar las ventas y alquileres de vehículos tanto en sus

instalaciones como a través de su aplicación web.

 Capacitar nuevos clientes y gestionar novedades a través de e-mail

para motivarlos a realizar compras.

 Administrar los datos de clientes y proveedores para llevar una

buena contabilidad de la empresa y a su vez mantener la integridad
de la información, a través de aplicaciones como CPLUS y FPLUS.

 Coordinar mediante la aplicación NPLUS las nóminas y contratos del

personal que labora en la organización.

 Instalar, mantener y gestionar los sistemas de información, para dar

soporte a la empresa RTT Ibérica y sus relaciones con los
proveedores tecnologías.

Procesos que permiten el logro de los objetivos:

 Se debe coordinar las relaciones existentes entre sus seres

humanos, ya que son las personas quienes se encargan de
desarrollar los diferentes procesos y esquemas adecuados de
comunicación, manejo de información y toma de decisiones.

 Se requiere de una planeación detallada en términos de las

condiciones mínimas de los diferentes entregables, en conjunto con
la valoración de relevancia de dichos entregables para el
cumplimiento de los objetivos organizacionales.

 Llevar a cabo la gestión organizacional basada en la capacidad del

logro de objetivos, mediante 3 dimensiones de desarrollo humano,
condiciones de trabajo y productividad, en términos de
competitividad empresarial.
 1. Diagrama de procesos de negocio:

Ilustración 2: Mapa de procesos. Elaboración propia

3. Definir Alcance: Define el alcance del SGSI en la organización.

Alcance:
El alcance de sistema RTT Ibérica, recoge y tienen en cuenta todas las actividades
de la entidad, objetivos del negocio, productos y actividades que desempeña.
Este documento el cual está enmarcado en la línea del Sistema de Gestión de
Seguridad de la Información (SGSI), va dirigido a todo el personal que labora y
hace parte de la empresa RTT Ibérica, cobijando cada uno de los departamentos
que la conforman: área de alquiler, área comercial, los recursos Humanos, el Área
financiera y el departamento Técnico, así como también los contratistas,
proveedores, clientes los cuales tengan acceso a los sistemas de información y a
las distintas actividades que se llevan a cabo en la empresa; también comprende
los equipos o computadores utilizados, los routers, servidores, bases de datos,
correos electrónicos, aplicaciones comerciales, servicios de gestión, instalaciones
físicas y sistemas de Red que hacen parte de la organización.
La seguridad de la información se identifica con la influencia del cómo se gestiona
y gobierna la organización, su conocimiento y capacidades, su cultura, las
relaciones contractuales y del cómo influyen también las condiciones ambientales.
Esto equivale a tener un análisis y evaluación de riesgos, tendencias del mercado
y de las condiciones regulatorias. Los avances tecnológicos y las relaciones con
proveedores externos, nos ayuda a definir parámetros tanto externos como
internos que deben tenerse en cuenta al gestionar el riesgo.
En el alcance de RTT Ibérica se involucran los
Empleados y los clientes
Accionistas o propietarios del negocio
Agencias gubernamentales y entidades reguladoras
Servicios de emergencia Medios de comunicación
Proveedores, entre otros.
Si las actividades realizadas por la organización requieren de interfaces o
dependencias externas o de actividades realizados por terceros, son consideradas
dentro del alcance del SGSI el cual es revisado a intervalos regulares o cuando
haya cambios significativos estableciendo para ello dependencias de tiempo en el
proyecto de seguridad que debería ser aplicable para un período de tiempo
particular.

4. Elaborar política de seguridad: diseño de una política de seguridad de la

información base para la organización.

Viendo el estándar ISO 27001 tenemos que hacer la política de seguridad para la
organización Rtt Ibérica sabiendo que tenemos que:

1) Redactar una política de acuerdo a las necesidades de la organización

la cual se basa en:
a. Alquiler y venta de vehículos presenciales en sus puntos físicos
y medios virtuales
b. Capacitar al personal en el uso adecuado de los sistemas
de información.
c. Administrar y organizar las bases de dato de clientes y proveedores
para llevar control y tener una buena integridad de sus datos
d. Instalar y gestionar controles de seguridad para clientes y proveedores

La política de la Seguridad de la Información debe tener en cuenta los objetivos de

cada parte de la organización, la organización tiene 5 departamentos los cuales
serían:
1) Departamento de alquiler y venta de vehículos.
2) Departamento comercial
3) Departamento financiero
4) Departamento de recursos humanos
5) Departamento técnico y de sistemas

Para realizar nuestra política de seguridad del SGSI de la empresa Rtt Iberica
debemos conocer las funciones principales de cada Departamento para analizar
las vulnerabilidades que podrían llegar a presentar.
Teniendo en cuenta lo anterior explicado podríamos hacernos una pregunta para
comenzar a construir la política de seguridad de nuestra organización.

¿Que se quiere conseguir con la seguridad de la información?

Como toda empresa busca mejorar los servicios, rapidez y eficiencia de ellos
mismos para así entregar la información de una manera rápida oportuna para así
estar a la mano con la competencia.

En estos 5 Departamentos de la organización tenemos los usuarios autorizados

por el administrador del sistema, los cuales deben darle un buen uso a los
sistemas teniendo la responsabilidad de la seguridad de la información
relacionada con su estación de trabajo

1) Alquiler y venta de vehículos.

Jefe de sistemas de ventas y alquiler se encarga de Planificar, organizar, dirigir y
controlar las actividades requeridas para el desarrollo, la adquisición y el
mantenimiento de los sistemas informáticos, de acuerdo a las políticas y
prioridades de la Institución.

Este tendría las siguientes funciones

Ver los perfiles de usuario y la estructura organizativa.

Ver unidades organizativas.
Crear y eliminar cuentas de usuario.
Cambiar el nombre de los usuarios y las contraseñas.
Gestionar la configuración de seguridad específica de un usuario.
Realizar otras tareas de gestión de usuarios.
Velar por el funcionamiento de la página

2) Comercial

Gerente Comercial de Sistemas

Planificar, organizar, dirigir, controlar y coordinar eficientemente el sistema

comercial, diseñando estrategias que permitan el logro de los objetivos
empresariales, dirigiendo el desarrollo de las actividades de marketing y las
condiciones de venta de los servicios postales y afines

Crea y elimina usuarios del sistema financiero de la organización.

Resguardar la base de datos diaria
3) Financiero
4) Recursos humanos

5) Técnico
Donde estará director de seguridad de la información tenemos que es un puesto
directivo de alto nivel responsable de toda la seguridad de la información. El
puesto puede incluir trabajos técnicos prácticos, en este departamento podemos
implementar dos puestos más los cuales serían:

 Ingeniero de seguridad: Realiza monitoreo constante para detectar

incidentes de seguridad, y monta respuesta a incidentes.
 Administrador de seguridad: Instala y administra sistemas de seguridad en
toda la organización.

Finalmente es importante para esta organización que el personal que trabaja en el

campo de la seguridad de la información debe mantenerse actualizado a medida
que los problemas y riesgos en la seguridad de la información evolucionan
continuamente, al igual que la tecnología y las prácticas comerciales.
En toda entidad u organización, los datos o medios corporativos se enfrentan a
amenazas las cuales pueden ser internas o externas. En este caso uno de los
objetivos principales es proteger, manejo de información y sistemas de la
empresa.

Cuyas políticas se seguridad incluyen los siguientes estándares:

Los estados de la información de entrada y los medios que deben de mantenerse
todo esto respaldado por la (norma ISO 27001).
Se debe de soportar los diferentes procesos de alquiles, venta comercial y
financiera de vehículos en la entidad RTT Ibérica.
Establecer los diferentes acuerdos y servicios con las estaciones de gasolina y
diferentes estaciones comerciales que ofrecen ventajas a la hora de realizar
compras los clientes.
Se utilizará para administrar los servicios del sitio web de los clientes.
Todo lo descrito en este documento debe de ser validado por la entidad RTT
Ibérica, activos e instalaciones.
Todo el personal perteneciente a la entidad RTT Ibérica, debe de seguir las
directrices en cuanto a trabajo o competencias. El cual también es aplicado a
contratistas, clientes, interesados y demás personal que tenga que ver con la
entidad RTT Ibérica.

Departame Departame Departame Departamento Departamento

nto nto nto de recursos de alquiler y
Técnico Financier Comercial Humanos Venta
o
Responsable de Su función es de la función es La función del Este
la ocuparse de las dar a conocer departamento departamento
administración responsabilidade los productos o de recursos vela por el buen
del s económicas de servicios que humanos es el uso de recursos
departamento y la empresa. Así comercializa la responsable de que tiene la
personal mismo, su empresa a la gestión de organización
técnico, principal través los para brindar
coordinar visitas función es la de acciones recursos soluciones al
de de realizar los publicitarias y humanos de instante a
mantenimiento pagos de la clientes
a los
departament
os
y brindar apoyo a los que está promoción, de organización, y que desean
a los técnicos obligada la actualizar los se encuentra alquilar
en casos que propia empresa, productos en formado por un comprar o
amerite para la así como la función de las conjunto de vender algún
resolución de gestión de las necesidades y personas que tipo de vehículo
problemas, partidas de cambios en el se organizan en
control de gastos e mercado o de la empresa
equipos y ingresos que gestionar las
repuestos tiene la misma. relaciones con
asignados los clientes
Administrador Jefe técnico Jefe de Jefe de Jefe de
del sistema de sistemas sistemas sistemas sistemas
encargado departamento departamento alquiler y
del comercial de recursos ventas
•Ver los departament humanos
o financiero •Crea y elimina •Crear y
perfiles de usuarios del •Crea y elimina eliminar
usuario y la sistema usuarios del cuentas de
estructura financiero de la sistema usuario.
organizativa. •Crea y elimina organización. financiero de la
usuarios del organización.
sistema
financiero de la •Cambiar el
•Ver •Resguardar nombre de
unidades organización.
la base de •Resguardar la los usuarios
organizativ datos diaria base de datos y las
as. diaria del contraseñas
•Resguardar personal activo .
la base de de la
datos diaria Actualiza las
•Crear y ofertas y organización
eliminar precios de la •Gestionar la
cuentas de página web y configuración
usuario. de los de seguridad
sistemas específica de
un usuario.
•Cambiar el
nombre de
los usuarios •Realizar otras
y las tareas de
contraseñas gestión de
. usuarios.

•Gestionar la •Velar por el

configuración funcionamiento
de seguridad de la página
específica de
un usuario.

•Realizar otras
tareas de
gestión de
usuarios.
 •Velar por el
funcionamiento
de la página

5. Identificar y evaluar Inventario de activos: realizar el inventario de los

activos a ser cobijados por el SGSI.

El inventario de activos permite clasificar aquello a lo que debe brindársele mayor

protección al interior de un proceso por medio de una matriz de inventario. Estas
son actividades como definición, revisión, actualización y publicación.
Definición o determinación de activos:

 15 ordenadores personales de usuario

 1 servidor de dominio
 4 cintas magnéticas que se van rotando para soportes de seguridad
 1 caja fuerte para guardar las copias de seguridad de la empresa
 Aplicación comercial CPLUS para tratamiento de información financiera.
 Software FPLUS para gestión de datos de clientes y proveedores para la
contabilidad de la empresa
 Aplicación NNPLUS para la gestión de información de recursos humanos
 Tercerizados: aseo, proveedor de wifi o televisión por cable, dominios de
correo electrónico
 Establecimientos de comercio, alquiler y venta de vehículos, estaciones de
servicio y gasolineras

Revisión:
Los motivos por los que se verifican las actualizaciones de los procesos que
involucran los activos mencionados, en el caso de RTT Ibérica
· Inclusión de nuevos activos:
 Impresoras
 Celulares
 Discos duros extraíbles
 Dispositivos USB entre otros.

Actualización:
Luego de clasificar y hacer las modificaciones pertinentes a el inventario de activos
se organiza la información.

Publicación:
Este documento es totalmente confiable que contiene la clasificación de activos de
RTT contemplando todo el funcionamiento interno de la organización.
Según ISO 27001, el registro de inventario de archivos se realiza en pro a la
confidencialidad e integridad de los datos. Al ser cobijados por el SGSI abarcamos
las debilidades a las que se encuentra comprometido el sistema.

En su identificación encontramos el software que en convenio con estaciones de

servicio y gasolineras contrata RTT Ibérica para poder ofrecer a sus clientes
ventajas a la hora de realizar sus compras, de igual forma el software que ya está
instalado en los ordenadores como el sistema antivirus, gratis o no, se convierten
en un activo de la organización. Por ejemplo, para el alquiler y venta de vehículos
la empresa desarrollo una aplicación web a su medida, igualmente aplicaciones
netamente financieras como CPLUS y FPLUS están a su cargo y hasta ara el
manejo del personal como NPLUS.

El Hardware, por otro lado, agrupa los computadores de mesa, los portátiles, las
impresoras, las tabletas y celulares que en RTT son funcionales a través de la
página web, facilitando por este medio todas las gestiones para sus clientes;
adicional los servidores, discos extraíbles y dispositivos USB.

Es un activo fundamental para cualquier empresa a nivel de SGSI aquel

departamento que almacena información importante del personal como las
nóminas y los contratos laborales y que tienen la opción de brindar y cambiar la
información de la compañía como el área de gestión o recursos humanos.
Así mismo los servicios tercerizados como a nivel de aseo, proveedor de wifi o
televisión por cable, de dominios de correo electrónico, entre otros.
Las bases de datos y el servidor que centraliza toda la información necesaria para
el funcionamiento de la empresa. En el caso del Departamento de TI, se gestionan
sistemas de información que dan soporte al resto de RTT Ibérica, inclusive
abarcando las relaciones con los proveedores. Esa información digital o no, hace
parte también del inventario de activos que queremos listar. En cuanto a
la infraestructura, podemos decir que son todos aquellos establecimientos de
comercio, alquiler y venta de vehículos, estaciones de servicio y gasolineras.
Esta clasificación de inventario debe realizarse anualmente y hacer la debida
separación e identificación de acuerdo con el nivel de priorización, integridad y
confidencialidad.
En cuanto a la anterior información de los diferentes activos se realiza una tabla 1
de valoración en cuanto a los diferentes valores de confidencialidad, integridad,
disponibilidad en el cual se realiza un análisis del nivel de criticidad de cada uno
de los diferentes activos con los que cuenta RTT Ibérica:

Tabla 2: Nivel de criticidad de los activos de la entidad RTT Ibérica. Elaboración propia
Activo Confidencialid Integridad Disponibilidad Nivel
ad
de
impacto
total
Ordenadores 3 3 3 9
Servidor 3 3 3 9
de dominio
Activo Confidencialid Integridad Disponibilidad Nivel
ad
de
impacto
total
Cintas 3 3 3 9
magnétic
as
Caja fuerte 3 3 3 9
Aplicación 3 3 3 9
comerc
ial
CPLUS
Softwa 3 3 3 9
re
FPLU
S
Aplicaci 3 3 3 9
ón
NNPLU
S
Tercerizados 3 3 3 9
: aseo,
proveedor
de
wifi o
televisión
por

cable,
dominios
de
correo
electrónico
Establecimie 3 3 3 9
nt os

de
comercio,
alquiler y
venta de

vehículos,
estaciones
de servicio y
gasolineras
6. Realizar análisis de riesgos: Realizar un análisis de los riesgos existentes para los activos
identificados en la organización.
Los resultados muestran un riesgo en mayor medida intolerable e importante que requiere de una
pronta intervención, principalmente en los talleres mecánicos y de Colisiones, causado por las
herramientas que manipulan los trabajadores y a la circulación de maquinaria o vehículos en las
áreas de trabajo que reducen el espacio; así también en el área administrativa se evidencia riesgo
por la acumulación de archivos y cableado eléctrico que impide obstaculiza los sitios de trabajo,
principalmente debajo de los escritorios, lo que impide un normal estiramiento de piernas.
Oficinas Centro de Colisiones Riesgo Medio Bodega de repuestos Riesgo Medio Oficinas
Administración y Ventas Riesgo Medio

PUESTO FACTOR DE RIESGO ESTIMACIÓN DEL RIESGO

RIESGO INTOLERABLE

1 Cajera Espacio físico reducido

2 Asesor de Repuestos Obstáculos en el piso

3 Ayudante de enderezada Manejo de herramienta cortante y/o punzante

4 Gerencia General

5 Gerencia Comercial

6 Técnico mecánico

7 Asesor de Repuestos

8 Enderezador Manejo de herramienta cortante y/o punzante

9 Jefe de Taller de Colisiones Circulación de maquinaria y vehículos en áreas de trabajo

10 Enderezador

11 Ayudante de enderezada

12 Lavador de Vehículos Piso irregular, resbaladizo

13 Técnico mecánico

14 Enderezador

15 Ayudante de enderezada

RIESGO IMPORTANTE

16 Gerencia Post-Venta

17 Vendedor externo de Repuestos

18
18 Técnico de pintura Espacio físico reducido

19 Gerencia General Desorden

20 Logística Desplazamiento en transporte (terreste, aéreo, acuático)

21 Técnico mecánico

22 Enderezador

23 Ayudante de enderezada

RIESGO MODERADO

24 Técnico mecánico Trabajos de mantenimiento

25 Gerente Financiero

26 Jefe de Ventas

27 Asesor Comercial

28 Técnico mecánico

29 Jefe de Taller de Colisiones

30 Asesor de Repuestos

31 Gerente de Recursos Humanos

32 Asesora Comercial F&I Desplazamiento en transporte Caída de objetos por derrumbamiento

o desprendimiento
En esta tabla se busca mostrar el cálculo de cada uno de los diferentes impactos que sufre cada activo
de la entidad:

Tabla 3. valoración de amenazas de activos Elaboración propia

Computadores Probabilidad/ocurrencia Deterioro Deterioro Deterioro
confidencialidad integridad disponibilidad
Incendio 1 0 1 4
AMENAZAS

Robo. 1 3 2 5

Inundación. 3 3 3 0

voltajes 3 3 3 0
electrónicos

Servidor
Perdida 5 3 3 3
AMENAZAS

de Información.
Robo. 5 3 2 5
Incendio 5 3 2 0
Inundación. 3 3 2 0

Cintas magnéticas

Incendio 3 4 5 0
AMENAZAS

Robo. 5 5 2 5
Fuga 5 2 3 0

de
información.

Caja fuerte
Robo. 5 2 3 0
AMENAZAS

Perdida 5 2 0 3

de Información.
Incendio 3 2 0 0

Aplicación comercial CPLUS, FPLUS, NNPLUS

Incendio 5 0 3 2
AMENAZAS

Robo. 5 0 2 0

Fuego 5 0 2 0

Planta física
Incendio. 5 0 4 0
AMENAZAS

Robo. 3 0 0 0
Inundación. 5 0 0 0
 Computadores Probabilidad/ocurrencia Deterioro Deterioro Deterioro
confidencialidad integridad disponibilidad
Servicios de red
Perdida 5 0 0 2
AMENAZAS

de Información.
Robo. 5 0 2 0
Incendio 5 0 0 0

Correo electrónico
Troyanos. 5 4 4 0
AMENAZAS

Virus. 5 2 4 0
Gusanos. 5 3 4 0

Spam. 5 0 4 0

Phishing. 5 2 3 0

Fuga 5 3 3 0

de
información.
Página web
Software 2 3 2 4
AMENAZAS

Malicioso.
Malware 2 2 3 5
Modificar 2 4 4 2
información que
se encuentre

alojada en el
servidor.
Accesos 1 0 0 3

no autorizados.
Redirección y 1 0 1 3
envíos

no
autorizados.
Caídas en la 3 2 0 0
página.
Falla en el 3 2 0 0
servidor.
Bases de datos
Denegación 5 2 2 0
AMENAZAS

de Servicios.
Malware. 5 3 2 1
Phishing. 5 4 3 0
Vulnerabilidades 5 3 3 0
de la Plataforma.
DoS. 5 0 0 2
Computadores Probabilidad/ocurrencia Deterioro Deterio Deterioro
confidencialidad ro disponibilidad
integrid
ad
Exceso 5 0 0 1

de
Privilegios.

Luego de que se determinan cada uno de esos activos le damos un valor cada uno de los diferentes
riesgos según la descripción de la tabla 4.

Tabla 4. Evaluación de riesgos. (normaiso27001, s.f.)

7. Declaración de aplicabilidad (SoA): Elaborar la declaración de controles a
aplicar dentro de la organización.

Los controles que pertenecen a los respectivos dominios y objetivos pueden ser
aplicados dentro de la organización RTT Ibérica por lo que escogimos los más
relevantes para su posterior implementación

Tabla 4: Declaración de controles. Elaboración propia

Obj Razón Objetiv Jus Referenc Apro

eti de la o de tifi ia ba
vo Selecci control caci do
de ón o ón por la
con control de alta
tr ol Implem excl direc
o en tado us ció n
con Si/No ión Firma
tr ol direct
sele or de
cc la
ion entid
ad ad
o
Si/
No
Domini 5. POLITICAS DE SEGURIDAD DE LA INFORMACION
o
5.1
Directrices
Objeti establecida
vo de s por la
contr dirección
ol para la
seguridad de
la
información
Una política de
seguridad
http://w
permite
5.1.1 w
garantizar la
Conjunto de w.scielo.
confidencialid
políticas or
ad y la
para la g.bo/sci
Control SI integridad de SI NA NA
seguridad de elo
la información
la .php?
de RTT Ibérica
información scrip
para disminuir
para la t=sci_ar
los riesgos que
seguridad de tte
23
 la puedan xt&pid=
información afectar el S2 071-
desarrollo de 081X200
sus actividades. 8
0001000
0
8
Domini 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACION
o

24
 Obj Razón Objetiv Jus Referenc Apro
eti de la o de tifi ia ba
vo Selecci control caci do
de ón o ón por la
con control de alta
tr ol Implem excl direc
o en tado us ció n
con Si/No ión Firma
tr ol direct
sele or de
cc la
ion entid
ad ad
o
Si/
No
Objetiv 6.1
o Organizaci
de ón interna
cont
rol
Gestionar https://
roles dentro es.
de la empresa slidesha
en materia a re.
6.1.1
la seguridad net/PEC
Asignación
es de vital BC
de
Control SI importancia SI NA ERTIFIC NA
responsabilid
para mitigar ATI
ad es para la
riesgos y ON/asig
seguridad de
proponer na ndo-
la
soluciones en roles-
información
caso de respons
amenazas a abi
la lidad-y-
informació autorida
n. d- en-la-
segurida
d-
de-la-
informa
cin
Objeti 6.2
vo de Dispositivos
contr para
ol movilidad y
teletrabajo.
 Obj Razón Objetiv Jus Referenc Apro
eti de la o de tifi ia ba
vo Selecci control caci do
de ón o ón por la
con control de alta
tr ol Implem excl direc
o en tado us ció n
con Si/No ión Firma
tr ol direct
sele or de
cc la
ion entid
ad ad
o
Si/
No
En actividades https://t
de venta y el
alquiler de etrabajo
vehículos .g
como es el ov.co/6
caso, conviene 22/ w3-
aumentar la channel.
productividad ht ml
realizando
home office
6.2.2 que aumenta
Control SI SI NA NA
Teletrabajo el uso de las
tecnologías,
mejora la
calidad de vida
y sobre todo
reduce tiempo
invertido en
recorridos de
transporte que
bien se puede
usar en la
estrate
gia
laboral.
Es importante
para la
organización
8.2.1 clasificar los
Control Directrices activos tanto SI NA
de por su
 clasificació importancia o
n sensibilidad
como por su
valor
económico.
Domini 9. CONTROL DE ACCESOS
o
 Obj Razón Objetiv Jus Referenc Apro
eti de la o de tifi ia ba
vo Selecci control caci do
de ón o ón por la
con control de alta
tr ol Implem excl direc
o en tado us ció n
con Si/No ión Firma
tr ol direct
sele or de
cc la
ion entid
ad ad
o
Si/
No
Objetiv 9.2 Gestión
o de
de acceso
cont de
rol usuario
.
Revisar https://
periódicament do
e los cs.oracl
privilegios de e.c
acceso que om/cd/
tienen los E1
usuarios para 9957-
9.2.5
que se 01/821-
Revisión de
Control SI mantengan SI NA 0062/by NA
los derechos
actualizados y bc
de acceso de
los empleados y/index.
los usuarios
cuenten con ht ml
los recursos
que
corresponden
a cada
actividad
desempeñada
dentro de la
empresa.
Domini 11. SEGURIDAD FÍSICA Y AMBIENTAL
o
Objeti 11.1
vo de Áreas
contr seguras
ol
La seguridad ¡Error!
física y del Referen
entorno por cia de
11.1.2 medio de hipervín
Contro controles de cu lo no
Control SI NA NA
les acceso que válida.
físicos garanticen
de que no se
entrad permita
a ingreso a
personal
no
 Obj Razón Objetiv Jus Referenc Apro
eti de la o de tifi ia ba
vo Selecci control caci do
de ón o ón por la
con control de alta
tr ol Implem excl direc
o en tado us ció n
con Si/No ión Firma
tr ol direct
sele or de
cc la
ion entid
ad ad
o
Si/
No
autorizado, por
medio de
supervisió
no
monitoreo
constante.
Domini 12. SEGURIDAD EN LA OPERATIVA
o
12.1
Objeti Responsabili
vo de da des y
contr procedimient
ol os de
operación
Hacer un http://w
resumen w
interno de los w.redeu
12.1.1 procesos que ro
Documentaci se realizan en parc.org
Control ón de SI la SI NA /s NA
procedimient organización ystem/fi
os de teniendo en les
operación cuenta el /
cómo y el shared/
cuanto M
impacta al anualGu
proceso. ia
paralael
ab
oracion
de
 Procedi
mi
entosO.
pd
f
12.7
Consideracio
Objeti
ne s de las
vo de
auditorías de
contr
los sistemas
ol
de
información.
Hacer https://
12.7.1
evaluaciones w
Controles de
y revisiones ww.em
Control auditoría de SI SI NA NA
de los pre
los sistemas
sistemas ndepym
de
informáticos e.
información.
para mantener net/aud
ito ria-
de-
sistemas.
h
 Obj Razón Objetiv Jus Referenc Apro
eti de la o de tifi ia ba
vo Selecci control caci do
de ón o ón por la
con control de alta
tr ol Implem excl direc
o en tado us ció n
con Si/No ión Firma
tr ol direct
sele or de
cc la
ion entid
ad ad
o
Si/
No
control de su tml#:~:te
eficacia xt
y =La
segurid %20au
ad. ditor
%C3%
ADa
%20de
%20sist
em as
%20sup
one,la
%20
cual
%20pr
ocesa
%20l a
%20info
r maci
%C3%
B3n.
Domini 13. SEGURIDAD EN LAS TELECOMUNICACIONES
o
13.2
Objeti Intercambio
vo de de
contr información
ol con partes
externas
https://
w
ww.algo
 rit
Hacer un molegal.
convenio de co
13.2.4 confidencialid m/propi
Acuerdos de ad sirve como ed ad-
Control SI SI NA NA
confidenciali respaldo para intelect
da d y la empresa ual
secreto. RTT Ibérica /
para evitar la acuerdo
divulgación - de-
de confide
información. nci
alidad-
y-
protecci
on
-de-
secreto
s-
empres
ari ales-
2/
Domini 16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
o
 Obj Razón Objetiv Jus Referenc Apro
eti de la o de tifi ia ba
vo Selecci control caci do
de ón o ón por la
con control de alta
tr ol Implem excl direc
o en tado us ció n
con Si/No ión Firma
tr ol direct
sele or de
cc la
ion entid
ad ad
o
Si/
No
16.1 Gestión
Objeti de incidentes
vo de de seguridad
contr de la
ol informació
n y mejoras
https://
Tener un w
equipo de ww.inci
seguridad be.
16.1.5
encargado de es/sites/
Respuesta a
Control SI reaccionar SI NA d NA
los
contra los efault/fil
incidentes
ataques que es
de
se hagan a la /
seguridad.
red de la contenid
empresa, por o
ejemplo. s/politic
as
/
docume
n
tos/resp
ue sta-
incident
es. pdf
Domini 18. CUMPLIMIENTO
o
18.2
Objeti
Revisiones
vo de
de la
contr
 seguridad de
ol
la
información
https://
do
cs.vmw
Validar que are
se cumplan .
18.2.3
las políticas com/es/
Comprobaci
Control SI y normas SI NA V NA
ón del
que velan Mware-
cumplimient
por vSphere
o
seguridad de /7.
la 0/com.v
información. m
ware.vs
ph
ere.host
pr
ofiles.do
c/ GUID-
F3B142
8B-
C0
82-
40
A9-
 Obj Razón Objetiv Jus Referenc Apro
eti de la o de tifi ia ba
vo Selecci control caci do
de ón o ón por la
con control de alta
tr ol Implem excl direc
o en tado us ció n
con Si/No ión Firma
tr ol direct
sele or de
cc la
ion entid
ad ad
o
Si/
No
A7D3-
1EE0A45
6
7C7D.ht
ml

Fase 2 HACER: Implementar y operar el SGSI

8. Generar plan de mitigación de riesgos: Aplicar metodología para la

mitigación de riesgos identificados.

Para mitigar los riesgos en la empresa se lleva a cabo mediante medidas

correctivas y preventivas y de esta forma reducir la posibilidad de que ocurra
cualquier tipo problema, como última medida se utilizara el traslado por tratarse de
activos.
En el siguiente cuadro se puede visualizar como se lleva a cabo el control y
mitigación de riesgos:
Tabla 5: Mitigación de riesgos. Elaboración propia
ACTIVO TIPO DE NIVEL CONTROL
RIESGO DE DE
RIESG RIESGO
O
Software Medio Es necesario
Página web Malicioso. implementar
de RTT Malware contraseñas
Ibérica. Modificar seguras y llevar a
información que cabo acciones
se encuentre preventivas.
alojada en el
servidor.
Accesos no
autorizados
.
Redirección
y envíos no
autorizados
. Caídas en
la página.
 ACTIVO TIPO DE NIVEL CONTROL
RIESGO DE DE
RIESG RIESGO
O
Falla en el
servidor.
Denegación Alto Es importante
de Servicios. tener el
Malwar software del
e. servidor
Base de Datos Phishin actualizado,
g. con el fin de
Vulnerabilidades que se
de la Plataforma. prevengan
DoS. amenazas
Exceso ataques.
de Configurar
Privilegio adecuadamen
s. te
los routers y
los firewalls.
Troyano Alto No abrir
s. Virus. correos
Gusano sospechosos.
Correo s. Control de
Electróni Spam. las cuentas.
co Phishing. Contraseñ
Fuga de as
informació seguras.
n. Cifrar
Correos.
Cerrar
sesión
cuando se
finalice.
Antivirus.
Incendio. Medio Acciones
CPLUS Y Robo de Preventiva
FPLUS Informació s.
n.
Fueg Alto Implementar
o. Medidas de
Aplicacion Rob Prevención
es o tales como:
Comercial Detector
es de
 Incendios
y
seguros.
Huella
Biométrica.
Incendio Alto Asegurar la
s. información y
Computadores Robos. activos valiosos
De Inundacione de la empresa.
Usuarios s. Voltajes Medidor de
Electrónicos Humo.
. Control
de
Incendio
s.
 ACTIVO TIPO DE NIVEL CONTROL
RIESGO DE DE
RIESG RIESGO
O
Atenuar Voltajes.
Pérdida Alto Recuperación
de de datos.
Informació Copias de
Servidor n. Robo. Seguridad.
Incendio Uso de la
nube como
almacenamient
o. Claves
seguras.
Perdida Alto Uso de Disco
de Duro y
Recurs informació archivos
os n. Físicos.
Human Incendio. Control de
os Robo acceso a
información
valiosa.
Incendi Alto Detector
o. de incendio
Planta Física Robo. y de
Inundación. Humos.
Seguros
contra
inundaciones
.
Perdida Medio Implementar
de acciones
Servicio informaci preventivas,
de ón uso de huellas
Gestión valiosa. biométricas y
claves seguras.
Robo y/o Alto Configuracion
pérdida de es de
Sistema de información. Privacidad.
Red Modificación Uso
de datos. Biométrico.
Interrupción Claves
del servicio. seguras y
Fraude o robustas.
suplantación Control del
de personal.
 Identidad. Antivirus.

9. Aplicar plan de mitigación de riesgos: establecer cómo se aplicarán los

riesgos en la organización.

 Identificados cada uno de los riesgos evidentes es necesario llevar a cabo

acciones específicas para disminuir aquellos riesgos intolerables que a
futuro
 puedan acarrear serios problemas a groso modo se mencionan posibles
estrategias a emplear, segmentadas en acciones específicas
 Programa de mantenimiento.
 Programa Integral de Seguridad y Salud en el Trabajo.
 Medidas para prevención de riesgos
 Retirar las oficinas administrativas del interior del taller de colisiones, para
mejorar la iluminación y disminuir el ruido para el personal que no realiza
actividades operativas.
 Inducción al personal que trabaja en el área del centro de colisiones o que
puedan circular por las mismas, sobre las características y peligros de estos
contaminantes.
 Colocar señales o carteles de advertencia de que es un área en donde
existe presencia de vapores orgánicos
 Mantenimiento preventivo de los conductos y canales de ventilación para
asegurar una mejora en la calidad del aire
 Dotar de medios auxiliares como elevadores o coches para el transporte de
objetos o piezas de vehículos, especialmente si son pesadas o
voluminosas.
 Realizar inspecciones periódicas a las condiciones de almacenamiento en
bodega, mantenimiento, oficinas, sistema eléctrico y sistema de detección
de incendios en todas las instalaciones de la empresa.

10. Implementar controles seleccionados: diseñar los controles a

implementar en los activos identificados, buscando reducir los riesgos
identificados.

Tras haber determinado los riesgos existentes en nuestra organización debemos

tomar las precauciones y medidas necesarias para hacerles frente a ellos mismos
El control de riesgos es el proceso por el cual controlamos, minimizamos y
eliminamos los riesgos que nos afectan a los activos de la información de nuestra
empresa. Vemos a continuación los activos identificados para poder reducir sus
riesgos y poder mitigar las amenazas:

1) La página web de la empresa RTT Ibérica puede sufrir demasiados riesgos si

no se cuenta con la metodología y los complementos necesarios para mitigar los
ataques estos podemos mejorarlos con un firewall de aplicaciones para controlar
el tráfico saliente y entrante de los datos de la empresa y detener oportunamente
los ataques que nos pueda hacer por este medio.

2) Bases de datos: este activo de la empresa es recomendable salvaguardarlo de

manera oportuna a través de un software antimalware y haciendo periódicamente
backups físico y guardado en cintas magnéticas y a su vez en caja fuerte, también
sería bueno que la empresa que nos brinda el servicio de internet diariamente
realice estos backup y los suba a un servidor externo.
3) Correo electrónico es uno de los servicios que se prestan en nuestra
organización el cual es vulnerable a cualquier tipo de ataque ya se para robarnos
la información o para uso extorsivo para ello es indispensable hacer buen uso de
él y desconfiar de los correos sospechosos para ello también se utiliza un software
como algún antivirus licenciado que nos pueda ayudar a frenar dichos ataques
igual se recomienda hacer backup mensual de los archivos de datos del correo
electrónico de cada personal que este en la empresa, todo correo que se abra se
maneja a través de un servidor outlook utilizando el dominio de la empresa para
así ser instalado por el administrador del sistema con usuario y contraseña sin que
se le dé al usuario.

4) Equipos del Personal estos son configurados para todas las dependencias con
usuario y contraseña propias del sistema la cual es dada por el administrador del
departamento de sistemas estos equipos esta configurados para que el usuario
suba la información diaria a un servidor el cual diariamente hace copias de
seguridad, además están protegidos por un antivirus, un firewall externo, además
en cada oficina cuenta con sensores de humo en caso de incendio, de igual forma
están desconectados los puertos USB para mitigar los riesgos de la organización.

5) Servidor está ubicado en la parte gerencial de la empresa con todas las normas
de seguridad establecidas, además que se posee un servidor virtual contratado
por la entidad que nos da la empresa que nos brinda el servicio de internet la cua
hace los backup diarios a la empresa.

6) Planta física se acondicionará con sensores de humo, sensores de movimiento

sistemas biométricos que gestionan el ingreso de igual manera es importante el
uso de puertas con identificador de huella contraseña o identificador de rostro y asi
mitigar los riesgos.

7) Sistemas de red es importante contar con una infraestructura que permita la

velocidad de los datos y de la navegación para ello se contrata con terceros la
velocidad del internet los espacio en nuestros servidores y la velocidad en los
dominios donde está alojada nuestra página la cual debe fluir constantemente ya
que cualquier persona puede acceder en cualquier momento y hora desde
cualquier parte del mundo.

8) CPLUS Y FPLUS las aplicaciones y software de la empresa son controlados

mediante contraseñas que están cambiando periódicamente y se utilizan a través
de token el cual cada vez que se haga alguna venta se pida a través del banco
además se cuenta con software habilitado por los banco para hacer cualquier tipo
de transacción, estas aplicaciones están en los diferentes departamentos de la
empresa por eso centramos acá los posibles ataques y damos o invertimos más
seguridad ya sea perimetral o física en cada departamento donde se maneje dicha
información, por eso la importancia de tener los protocolos de seguridad
anteriormente mencionados.
Igual es importante hacer auditorias programadas para así poder identificar las
falencias de nuestra organización y redactar informes que se dirigen al comité de
gestión de riesgos o al administrador de sistemas para evaluarlos y así hacer las
respectivas mejoras, y tomar acciones correctivas.

11. Administración de cambio: establece la ruta la gestión de cambios

relacionados con el SGSI en la organización.

AUTOEVALUCIÓN
Sistemas de hardware y sofware Política de TRANSFORMACIÓN-APLICACIÓN
Protección de datos Gestión de Controles de Riesgo Comunicación trabajador-usuarios Registro de
Impacto y funcionamiento optimo de Redes, Pagina
y herramientas Web
REEVALUACIÓN
operaciones Seguridad de datos
Valoración y gestión de riesgos Estructura
Rendimiento actual de los procesos administrativos y organizacional empresa Administración de equipos
comerciales de la organización Sistemas de Protección y encriptación Impacto real en departamentos de la organización
Registros de riesgos y ataques de seguridad Estructura-diseño-visibilidad y seguridad-confianza Relaciones internas, externas y comerciales
informatica de la pagina web e instrumentos de registro de Eficacia & eficiencia de las Politicas de protección,
datos como bases de datos gestion y evaluación-redirección del SGSI.
Sistema de Políticas de tratamiento de datos, su Confianza y desempeño organización, comercial y
difusión conocimiento y uso financiero de RTT Ibérica

Ilustración 3: Estructura de RTT Ibérica. Elaboración propia

Como podemos evidenciar se deben de realizar diferentes cambios en el sector

tecnológico de la información son necesarios en la entidad RTT Ibérica,
permitiendo que el servidor con el que se cuente s este actualizando. Pero de este
surgen diferentes riesgos cuando se pretenden realizar modificaciones de una
forma no controlada ocasionando que los diferentes sistemas entren en peligro
generando que se pierda esa confiabilidad, integridad y disponibilidad para poder
administrar estos cambios en el SGSI se realizó una serie de procedimientos que
permitan que se mantenga y a su vez no se genere la pérdida o desestabilización
en la entidad primero realizando:

 Los procedimientos o procesos de cambios controlados

En este caso se realiza el análisis de los diferentes riesgos que se tienen

con cada uno d ellos diferentes activos que cuenta la entidad como son
ordenadores, páginas web, bases de datos, planta física, sistemas de
red, sistemas de gestión, servidores, etc. De la entidad RTT Ibérica
donde se plantean cambios de contraseñas, contar con software que
puedan
prevenir ataques a las diferentes bases de datos que contienen la
información de cada uno d ellos clientes, contar con un control de
incendios, etc.

 Los eventos en la seguridad de la información

Se debe de realizar un análisis de cada uno de estos activos donde se

necesiten implementar estos diferentes cambios para poder identificar
cada uno de estos diferentes ataque que se puedan tener en cuanto a la
información que se tiene en la entidad RTT Ibérica y a su vez
implementar una serie de acciones que generen el control de este como
son realizar copias de seguridad de la información, contar con un equipo
que permita que bloquee ataques que se pretendan realizar a la entidad,
validar que se cumpla con cada una de las diferentes políticas de
seguridad, etc.

 Las auditorias y sus resultados

Se realiza auditorias en la entidad lo cual permite evaluar la eficiencia y

eficacia con la que se están manejando los diferentes recursos con los
que se trabaja en la entidad ya que de esta forma podemos garantizar
que se cumpla con los objetivos que se tiene propuestos dentro de la
cual se analiza las diferentes se hace una evaluación de cada una de sus
debilidades, fortalezas de la entidad.

 Las reuniones para la revisión de los sistemas de información y

objetivos del SGSI
Se realizan diferentes reuniones en las cuales se realiza una revisión de
cada una de los sistemas de información y los objetivos de la SGSI de la
entidad RTT Ibérica dentro de las cuales se realiza primero una
identificación de los diferentes activos con los que se cuentan, se define
el alcance, y cuáles son esos riesgos que tienen cada uno de estos
activos con los que cuenta la entidad y que podemos implementar para
poder mitigar el riesgo de cada uno de ellos pueda ser vulnerado,
robado, dañado.
En cada una de estas diferentes actas se evidencia que controles se
deben de implementar para poder mostrar que se puede mitigar cada
uno de estos diferentes riesgos y a su vez que elementos se deben de
implementar para poder brindar a la entidad una total protección el
SGSI de la entidad RTT Ibérica, permitiendo así garantizar que la
entidad cuente con una total confiabilidad en la protección de la
información guardad de cada uno de los diferentes clientes, como en el
manejo de la información que se publica en la página web de la misma.
Fase 3 VERIFICAR: Plan de revisión y auditoria del SGSI propuesto para dar
solución al problema planteado en el curso.

Revisiones Gerenciales
Objetivo:
Verificar el sistema de gestión de la seguridad de la información SGSI de la
organización RTT Ibérica con el fin de fortalecer su convencía, adecuación y
eficacia continua, abarcando además la evaluación de las oportunidades de
mejora y la planeación para efectuar cambios en el SGSI, la política y los objetivos
de calidad. Alcance:
Aplica a las líneas de servicios y procesos del SGSI.
Descripción:

Activid Responsable Registro

ad
Programación de Fechas Comité de Correo
para Revisión: se gerencia. electrónico
determinan las fechas en institucional.
el comité de gerencia, las
cuales se publican en el
programa de mejora del
SGSI, para ser
socializadas a través del
correo electrónico
institucional. Los cambios
serán aprobados
por el comité.
Socialización de Coordinador Correo
Requisitos: se socializan de electrónico
los requisitos de entrada calidad institucional
necesarios para la
revisión, con 10 días de
anticipación.
Preparación de informes: Líderes de Documento de
los líderes de proceso proceso registro por
deben preparar la reunión indicador.
de resultados de la
gerencia de acuerdo a los
datos de entrada y su
respectivo
análisis.
Reunión para la revisión Líderes de Documento
por la dirección: los proceso de
líderes de proceso deben asistencia.
presentar los indicadores,
parámetros de control,
informes y análisis de los
componentes de la
 revisión para la toma de
decisiones.
Aprobación del Comité de gerencia Documento de
documento: el documento revisión por la
de revisión por la gerencia.
dirección es redactado, se
firma por los miembros
que asistieron a la reunión
del
comité de gerencia.
Seguimiento al plan de Comité de gerencia Documento de
acción: se revisa la Acciones de
ejecución de los planes de Mejora.
acción en los comités de
gerencia.

Componentes de la revisión por la Dirección:

La información fundamental para realizar la revisión será sobre:
 Las amenazas o vulnerabilidades que no sean trasladadas
adecuadamente en evaluaciones de riesgos anteriores.
 Los resultados de las mediciones de eficacia.
 Los resultados de las auditorias y revisiones del SGSI.
 Los productos, las técnicas o los procedimientos que pueden ser útiles
para mejorar el SGSI para su rendimiento y eficacia.
 Los estados de las de las diferentes acciones preventivas y correctivas.
 El estado de las distintas acciones preventivas y correctivas.
 Los cambios que pueden afectar el SGSI.
 Las recomendaciones de mejora del SGSI.
 El estado de las acciones indicadas a raíz de las diversas revisiones
anteriores de la dirección de la organización.
Posibles Cambios Que Afectan el SGSI:
Los aspectos del SGSI a revisar por parte de la alta dirección de la entidad RTT
Ibérica son:
 Vigencia de las Políticas SGSI.
 Política actual del SGSI.
 Cambios realizados en el SGSI.
 Justificación del SGSI.
 Nueva política del SGSI.
Revisión por la Dirección

ACTA DE REVISION POR LA

DIRECCION

CITANTE
Nombres y Apellidos
Motivo de la Reunión Acta No. Reunión de Carácter.
Ordinario Extraordinari
o
 Fecha de Reunión Lugar Hora Hora final
de inicio
Reuni
ón
D Mes Año
ia

ORDEN DEL DIA

1. Resultado de Auditorias.
2. Retroalimentación del Cliente.
3. Desempeño de los procesos y conformidad del producto y/o servicio.
4. Estado de las acciones correctivas y preventivas.
5. Acciones de seguimiento de revisiones previas efectuadas por
la dirección.
6. Cambios que podrían afectar el sistema de Gestión de la seguridad de
la información.
7. Recomendaciones de mejora para el próximo año.
8. Riesgos actualizados e identificados por la organización RTT Ibérica.
9. Revisión de la adecuación de la política y los objetivos de la calidad.
10. Resultados de la Revisión por la dirección.

DESARROLLO Y DECISIONES
1. Resultados De Auditorias
 Auditoría Interna

 Auditoría Externa

2. Retroalimentación del Cliente

3. Desempeños de los procesos y conformidad del producto

y/o servicio.

4. Estado de las acciones correctivas y preventivas.

5. Acciones de seguimiento de revisiones previas efectuadas por la
dirección.

6. Cambios que podrían afectar el sistema de Gestión de la Seguridad

de la Información.

7. Recomendaciones de mejora para el siguiente año.

8. Riesgos actualizados e identificados para la empresa RTT Ibérica.

9. Revisión de la adecuación de la política y los objetivos de calidad.

10. Resultados de la Revisión por la Gerencia.

Revisiones Independientes
En cuento a las revisiones independientes están se deben de realizar por la junta
de la entidad RTT Ibérica la cual se realizará teniendo en cuenta lo siguiente:

Por medio de la revisión independiente podemos garantizar que el enfoque de la

entidad en cuanto a la gestión de la información siga siendo coherente, apropiada y
eficiente. Dentro del cual se realiza una evaluación de cada una de esas
oportunidades de mejora y si es necesario cambiar el enfoque de seguridad,
incluyendo políticas y objetivos de control de la entidad RTT Ibérica.

Esta revisión se debe de hacer por personas independientes a l área cuya cual
revisión se esté dando, puede ser en este caso una auditoria interna puede ser un
gerente totalmente independiente a la organización. Para todo esto estas
personas deben de contar con unas habilidades y la experiencia necesaria para
poder hacerlo, todos estos resultados obtenidos de la auditoria se deben de
registrar e informar a la dirección responsable, todo esto se logra a través de
entrevistas, comprobantes, documentos los cuales están incluidos en las políticas
de seguridad.

Todo ese tipo de revisión se debe de tener en cuenta a la información y directrices

de la ISO/ IEC 27008 Y 27007 para auditoria de seguridad de la información.

Esta revisión es absolutamente necesaria para poder lograr el alcance a la hora de

la implementar SGSI. Ya que se deben de incluir la evaluación en cuanto a mejora
y cambios que se deben de hacer, lo cual es algo favorable en cuanto a políticas y
objetivos de control.

Auditorías Internas

PLAN DE AUDITORIA INTERNA SGSI- RTT IBÉRICA

Lista de chequeo
ESTRUCTURA FÍSICA DE LA RED
Mapa de Red de la Organización CUMPLE NO
CUMPLE
El área de tecnología y Sistemas de Información X
cuenta con mapa de Red de la empresa.
La topología de red plasmada en el documento es X
adecuada y corresponde a la estructura física.
Cuartos de comunicaciones CUMPLE NO
CUMPLE
La ubicación de los cuartos de comunicaciones X
cumple con la normatividad.
La temperatura de los cuartos de X
comunicaciones es la adecuada.
La ubicación y distribución de los racks es la más X
adecuada.
Los patch panel están ubicados adecuadamente. X
Los dispositivos de la Red están conectados y debidamente
identificados.
NO APLICA CUMPLE NO
CUMPLE
Servidores X
Routers X
Switches X
Firewall X
Access point X
Otros X
Los dispositivos de Red se encuentran en correcto estado
de funcionamiento.
NO APLICA CUMPLE NO
CUMPLE
Servidores X
Routers X
Switches X
Firewall X
Access point X
Otros X
Condiciones de la UPS CUMPLE NO
CUMPLE
La UPS se encuentra en buen estado físico y de X
funcionamiento.
Las conexiones de las UPS se encuentran en X
correctas condiciones.
Las baterías de las UPS están cargadas y en X
condiciones óptimas.
Las UPS se encuentran correctamente X
refrigeradas
Observaciones
Las condiciones físicas de la red son adecuadas.
ESTRUCTURA LOGICA DE LA RED
Servidor/es de Dominio CUMPLE NO
CUMPLE
La configuración implementada es adecuada. X
Los permisos y niveles de acceso X
están correctamente asignados.
El software utilizado es legalizado (licencias y X
derechos de uso)
El software utilizado esta actualizado. X
Comunicación y Seguridad CUMPLE NO
CUMPLE
Políticas para contraseñas de usuario. X
Políticas para el acceso remoto local a través del X
directorio activo.
Políticas para el acceso remoto externo a través X
de
VPN.
Control de acceso remotos
Formatos de control para el acceso VPN a usuarios de teletrabajo.
CUMPLE NO
CUMPLE
Formatos diligenciados, actualizados y firmados X
Observacione
s,
Las contraseñas de usuarios no caducan.
Los usuarios del área comercial comparten la misma cuenta.
 BASES DE DATOS
Niveles de seguridad y confidencialidad CUMPLE NO
CUMPLE
Registro de cambios hechos a nivel de base de X
datos debidamente firmados por el líder de área.
Documentación sobre los permisos y niveles de X
acceso otorgados a los empleados en función de
su
cargo.
Documentación sobre las políticas de protección X
de la información implementadas.
Copias de Respaldo para la información relevante de la empresa
RTT Ibérica
Copias de respaldo CPLUS CUMPLE NO
CUMPLE
Las copias son realizadas con la periodicidad X
adecuada.
Copias de respaldo para FPLUS CUMPLE NO
CUMPLE
Las copias son realizadas con la periodicidad X
indicada.
Copias de respaldo para NPLUS CUMPLE NO
CUMPLE
Las copias son realizadas con la periodicidad X
indicada.
Observaciones,

ALMACENAMIENTO
Ubicación de las cintas de Respaldo CUMPLE NO
CUMPLE
Las cintas se encuentran en un sitio seguro X
Accesibilidad a las cintas de respaldo CUMPLE NO
CUMPLE
El acceso a las cintas es restringido y cuenta con X
las
correspondientes medidas de seguridad.
Diligenciamiento de la Bitácora de realización de las copias de respaldo.
CUMPLE NO
CUMPLE
Los registros de la bitácora se X
encuentran actualizados
Observaciones

A pesar de que las cintas se encuentran en una caja fuerte, esta se encuentra
dentro de las instalaciones de la organización.
Objetivo de auditoria:
Alcance auditorio:
Fecha: Lugar:
Areas a auditar:
ü Administrativa y
Financiera ü Tecnología
ü Ventas de vehículos
ü Recursos Humanos
Equipo auditor:
La auditoría fue ejecutada por Jenny Liliana Sierra Cruz
Personal auditado:
Se auditó al siguiente personal de RTT IBERICA

ü Gerente General
ü Director Financiero
ü Director de Recursos
Humanos ü Director de
Tecnología
ü Director de Ventas
ü Coordinador de Recursos Humanos

Coordinador de
Sistemas ü Auxiliar de
Selección
ü Ingeniero de
Soporte ü Agentes de
ventas
Hallazgos de
auditoria
Hallazgos Nume Descripción Tipo de hallazgo
ro de
la
norm
a

Conclusiones:
 Revisiones Técnicas

Cuando hablamos de las auditorias de SGSI en parte nos referimos a revisiones

técnicas que van en función de quienes participan en los procesos o actividades
realizadas mediante el uso de varios conocimientos disciplinarios, en los cuales se
garantiza la prestación de los servicios con un nivel de calidad alto dándole la
importancia y responsabilidad social al cliente y al usuario en general, que al tomar
decisiones haga uso del dictamen de un auditor y revisión técnica de algo.

Es decir, que mediante el uso de técnicas comerciales la compañía RTT Ibérica

busque al cliente y no que el cliente busque a la empresa centrándose en la
productividad del mercado, en el cumplimiento de objetivos y metas para alcanzar
el éxito financiero y lo más importante la satisfacción del usuario final.

Técnicas como implantación de un antivirus o un cortafuego que supervisen el

tráfico que pasa por la red y permita denegarle o permitirle el paso a quien se
desee. Ya que como bien sabemos, los equipos conectados a internet son
vulnerables de ataques que circulan en la red.
Adicional existen técnicas como análisis de vulnerabilidades o Hacking Ético, que
limitan el alcance de esos hackers de sombrero negro, buscando vulnerabilidades
en la compañía como si fueran a causarle un daño, pero en vez de eso, se reporta
y se solventa la debilidad, para fortalecer la empresa para la que se trabaja.

Agenda para SGSI (REVISION DE LA SITUACION)

Para realizar todo el análisis y las actividades pertinentes para finalmente realizar las actividades con
los recursos asignados presentamos la siguiente tabla que contendrá las actividades para la revisión del
SGSI y su tiempo de ejecución

TEREA Duración
Análisis de la estructura organizacional 23 días
Situación actual 22 días
Análisis de las políticas de seguridad 5 días
Análisis de los objetivos de las políticas de seguridad 5 días
Analizar los objetivos de calidad 3 días
Emitir reporte 3 días
Analizar todo el marco legal 1 semana
Alcance 5 días
Establecer los alcances de SGSI en la organización 1 semana
Políticas y objetivos de seguridad 5dias
Definir las políticas de seguridad 130 días
Políticas generales 2 semanas
Definir Políticas de control de acceso 10 días
Definir políticas del uso del internet 2 días
Definir políticas de los sistemas de informacion 15 días
Definir políticas para la realización de copias de respaldo 15dias
Definir políticas de correo electrónico 15 días
Definir políticas de correo electrónico 14 días
Evaluación de riesgos 30 días
Establecer la metodología para su evaluación 3 semanas
Desarrollar los criterios para la aceptación de dichos riesgos 15 días
Informe de evaluación de riesgos 95 días
Identificar los activos que alcanza en SGSI 4 semanas
Identificar la amenaza de los activos 3 semanas
Identificar la vulnerabilidad en los activos 3 semanas
Análisis e evaluación 30 días
Valorar el impacto 15 días
Valorar la probabilidad de ocurrencia 2 semanas
Estimarlos niveles de riesgo 2 semanas
Opciones de tratamiento de los riesgos 15 días
Establecer las opciones para el tratamiento 15 días
Objetivos de control 14 días
Seleccionar los objetivos de control 15 días
Implementar y operar SGSI 2 semanas
Establecer el listeado de requisitos para obtener la aprobación de 2 semanas
la dirección y finalmente operar SGSI
Seguimiento y revisión 40 días
Procedimiento de monitoreo 5 días
revisión de eficacia 5 días
verificar el procedimiento 5 días
Verificación de riesgos 5 días
Definir requisitos 1 semana
Auditorias 5 días
Definir las actividades 1 semana
Revisión del SGSI 5dias
Definir el procedimiento 1 semana
Planes de seguridad 5dias
Definir los planes de actualización 1 semana
Registros de acciones 5 días
Definir procesos 1 semana
Mantenimiento y mejoramiento 30 días
Implementar mejoras y ajustes 15 días
Definir actividades 15 días
Acciones preventivas y correctivas 1 semana
Definición del proceso 5 días
Comunicación a los interesados 5 días
 CONCLUSIONES

 La información es un conjunto de datos que componen un activo importante

que contribuye al éxito de una organización y mantener confidencialidad e
integridad es vital para alcanzar los objetivos de negocio.
 La administración de cambios requiere soportar con evidencias que todos
los controles que se han implementado para la mitigación de riesgos han
impactado en los procesos propuestos en el alcance, pudiéndose llevar un
registro de todos los cambios que han surgido.
 Statement of Applicability es un documento estándar ISO/IEC 27001 usado
para mantener el registro y control de las medidas de seguridad que son
aplicadas, este enlista los controles de seguridad luego de tratar y evaluar
los riesgos.
 Un acta de confidencialidad es un acuerdo por medio del cual las partes se
comprometen a no revelar la información de carácter confidencial que les
es suministrada, se utiliza como control SoA
 Es importante establecer para cualquier entidad un análisis del SGSI ya que
mediante la identificación de los diferentes activos estamos identificando
esos diferentes riesgos en cuanto al manejo de información y los diferentes
cambios que se deseen hacer no generen que la entidad pueda decaer si
no que se puedan implementar sin causar ningún tipo de daño.
 BIBLIOGRAFÍA

Chicano, T. E. (2015). Auditoría de seguridad informática (mf0487_3) (pp 7-306).

Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/44136?page=13

DESPREVENIDOS. Seguridad Informática -- SoA (Declaración de Aplicabilidad).

(11 de marzo 2021). Disponible en:
(https://www.youtube.com/watch?v=N7CYtoB5RoE)

DISELE. Qué son las políticas de seguridad informática y por qué tu empresa debe
tener una. (16 de septiembre 2020) Disponible en: (https://disete.com/que-son-las-
politicas-de-seguridad-informatica-y-por-que-tu-empresa-debe-tener-
una/#:~:text=Las%20pol%C3%ADticas%20de%20seguridad%20inform%C3%A1ti
ca%20son%20una%20serie%20de%20normas,el%20desarrollo%20de%20sus%2
0actividades)

LUCIDCHART.Que es la documentación de procesos. (2021) Disponible en:

(https://www.lucidchart.com/pages/es/que-es-la-documentacion-de-
procesos#:~:text=Una%20documentaci%C3%B3n%20de%20proceso%20resume,
cu%C3%A1nto%22%20del%20impacto%20del%20proceso

MINTIC. Ventajas y desventajas del Teletrabajo. (2021). Disponible en:

(https://teletrabajo.gov.co/622/w3-article- 81994.html#:~:text=Dentro%20de%20las
%20principales%20ventajas,las%20ciuda des%20y%20reduce%20los)

NOVASEC. ¿Qué es la gestión de activos de información? (2021). Disponible en:

(https://www.novasec.co/blog/67-gestion-de-activos-de-
informacion#:~:text=Propiedad%20de%20los%20Activos%3A%20Todos,la%20ad
ecuada%20protecci%C3%B3n%20del%20activo)

NORMAS ISO 27001. Fase 3 elaboración de la política. objetivos del sgsi. (2021)
Disponible en: (https://normaiso27001.es/fase-3-elaboracion-de-la-politica-
objetivos-del-sgsi/)

ORACLE. Revisiones de acceso periódicas y autenticación. (2010). Disponible en:

(https://docs.oracle.com/cd/E19957-01/821-0062/bybcy/index.html)