Etapa 3 - Establecimiento e implementación del SGSI

DAIRO JOHANI SAMBONI MUÑOZ

KAREN YULIETH LOPEZ MENDEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021

1
 Etapa 3 - Establecimiento e implementación del SGSI

DAIRO JOHANI SAMBONI MUÑOZ

KAREN YULIETH LOPEZ MENDEZ

EDUARD ANTONIO MANTILLA TORRES

Director de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021

2
 CONTENIDO

pág.

INTRODUCCIÓN...............................................................................................................4
OBJETIVOS......................................................................................................................6
1.1 OBJETIVOS GENERAL....................................................................................................6
1.2 OBJETIVOS ESPECÍFICOS...............................................................................................6
2 DESARROLLO DEL TRABAJO.....................................................................................7
2.1 Fase 1 PLANEAR: Establecer el SGSI..............................................................................7
2.1.1 Análisis de procesos.....................................................................................................................7
2.1.2 Definir Alcance..............................................................................................................................7
2.1.3 Elaborar política de seguridad: diseño de una política de seguridad de la información base
para la organización....................................................................................................................................8
2.1.4 Identificar y evaluar Inventario de activos: realizar el inventario de los activos a ser cobijados
por el SGSI.................................................................................................................................................15
2.1.5 Realizar análisis de riesgos: Realizar un análisis de los riesgos existentes para los activos
identificados en la organización...............................................................................................................15
2.1.6 Declaración de aplicabilidad (SoA): Elaborar la declaración de controles a aplicar dentro de la
organización..............................................................................................................................................17
2.2 Fase 2 HACER: Implementar y operar el SGSI..............................................................17
2.2.1 Generar plan de mitigación de riesgos: Aplicar metodología para la mitigación de riesgos
identificados..............................................................................................................................................18
2.2.2 Aplicar plan de mitigación de riesgos: establecer cómo se aplicarán los riesgos en la
organización..............................................................................................................................................18
2.2.3 Implementar controles seleccionados: diseñar los controles a implementar en los activos
identificados, buscando reducir los riesgos identificados........................................................................18
2.2.4 Administración de cambio: establece la ruta la gestión de cambios relacionados con el SGSI en
la organización..........................................................................................................................................18

CONCLUSIONES.............................................................................................................19
BIBLIOGRAFÍA...............................................................................................................20

Tenga en cuenta que la Introducción, Bibliografía y Anexos, NO llevan número de

capitulo. Debe estar en forma automática, lo que indica que al dar clic en cada
título me dirige a la página correspondiente y debe estar justificada y alineada a la
izquierda. Solo se enuncian títulos de primer, segundo, tercer y cuarto nivel.

3
 INTRODUCCIÓN

En el presente trabajo se formulan estrategias, políticas y procesos teniendo en

cuenta el uso de estándares y regulaciones de gestión de la seguridad informática.
Como grupo colaborativo se busca la implementación del SGSI en las fases
planear y hacer frente al modelo PHVA con el caso de estudio planteado
asumiendo responsabilidades y tareas frente al diseño de la propuesta.

4
JUSTIFICACIÓN

5
 OBJETIVOS

1.1 OBJETIVOS GENERAL

Formular las dos primeras fases para la propuesta del SGSI teniendo en cuenta el
problema propuesto para brindar soluciones al caso antes mencionado

1.2 OBJETIVOS ESPECÍFICOS

 Participar adecuada y activamente en el desarrollo de la actividad

 Presentar la propuesta de las dos primeras fases para el caso de estudio
 Identificar las normas viables para incorpóralas en el caso de estudio

6
 2 DESARROLLO DEL TRABAJO

2.1 FASE 1 PLANEAR: ESTABLECER EL SGSI

2.1.1 ANÁLISIS DE PROCESOS

La empresa RTT ibérica fue fundada en 1995 la cual se dedica a la prestación de

servicios de venta y alquiler de vehículos a particulares u empresas. Está
constituida por cinco departamentos en los cuales encontramos;

 Alquiler y venta
Este departamento es el encargado de alquilar y vender vehículos, al igual
que gestionar sus ventas con los clientes por medio de la aplicación web y
la instalación de empresas con el objetivo de gestionar descuentos en
gasolineras y supermercados.

 Comercial
Permite capacitar a los nuevos clientes y atraer a los mismos por medio de
avisos publicitarios o correos electrónicos para promover las ventas u
alquiler de los vehículos

 Financiero
Permite llevar a cabo la contabilidad de la empresa además de las
obligaciones societarias y fiscales por medio de diferentes aplicaciones
como lo son; CPLUS, FLUS y Microsoft office buscando almacenar la
información de manera local en los equipos.

 Recurso humano
Se encarga de la creación de nómina de los empleados al igual que la
contratación de nuevo personal para la entidad por medio de la aplicación
NPLUS

 Técnico
Se encarga de gestionar el sistema de información y mantener en
funcionamiento y buen estado la infraestructura tecnológica.

2.1.2 DEFINIR ALCANCE.

El alcance frente al cual se va a trabajar es el siguiente;

 Todo recurso humano que se vea implicado de manera indirecta o

directamente con la empresa RTT Ibérica

7
  Cada uno de los activos de información durante su vida útil

 El servidor que centraliza la información para el buen funcionamiento de

la empresa y cada una de las aplicaciones indispensables para su
tratamiento.

 Toda la información de clientes, empleados, proveedores de servicios,

entre otros.

 Todas las ventas y alquileres de vehículos que se lleven a cabo en las

instalaciones a través de la página web o aplicativos móviles.

 Elaborar política de seguridad: diseño de una política de seguridad de la

información base para la organización.

 Identificar y evaluar Inventario de activos: realizar el inventario de los

activos a ser cobijados por el SGSI.

 Realizar análisis de riesgos: Realizar un análisis de los riesgos

existentes para los activos identificados en la organización.

 Declaración de aplicabilidad (SoA): Elaborar la declaración de controles

a aplicar dentro de la organización.

Implementar y operar el SGSI.

 Generar plan de mitigación de riesgos: Aplicar metodología para la

mitigación de riesgos identificados.

 Aplicar plan de mitigación de riesgos: establecer cómo se aplicarán los

riesgos en la organización.

 Implementar controles seleccionados: diseñar los controles a implementar

en los activos identificados, buscando reducir los riesgos identificados.

 Administración de cambio: establece la ruta la gestión de cambios

relacionados con el SGSI en la organización.

2.1.3 ELABORAR POLÍTICA DE SEGURIDAD: DISEÑO DE UNA POLÍTICA DE

SEGURIDAD DE LA INFORMACIÓN BASE PARA LA ORGANIZACIÓN.

Generalidades:

8
La empresa RTT ibérica fundada desde 2005 lleva una gran trayectoria buscando
expandirse ofreciendo un gran servicio y manteniendo la información protegida.
Esto es un gran reto ya que se manejan sus servicios por medio de softwares
locales y virtuales como lo son plataformas web, la mejor manera de mantener la
información resguardada y libre de ataques cibernéticos mejorando la seguridad
de la empresa RTT, es siguiendo los lineamientos que nos ofrece el Sistema de
Gestión de Seguridad de la Información (SGSI), e implementando políticas de
seguridad.

Para comodidad y confianza de los clientes se va a manejar la siguiente política

donde se estipulan las acciones que se llevaran a cabo dentro de la empresa
logrando un mayor nivel de seguridad.

Desarrollo de la política.

La seguridad de la información se divide o basa en 3 pilares fundamentales, los

cuales son:

 Confidencialidad.
 Integridad.
 Disponibilidad.

En tema de confidencialidad se refiere a mantener la información segura y

accesible solo para los usuarios autorizados, cuando hablamos de integridad nos
referimos a mantener con exactitud y plenitud la información y si hablamos de
disponibilidad es que los usuarios autorizados siempre contaran con el acceso a
dicha información.

Se establece la política de seguridad de información desde la alta dirección,

demostrando la intención para implementar y definir las bases para trabajar de
manera adecuada y efectiva, la seguridad de la información; garantizando la
confidencialidad, integridad, disponibilidad, autenticidad y no repudio de
información.

RTT Ibérica pretende que después de implementar la política de seguridad se

implemente y se adopte el MSPI el cual se encarga de evaluar el nivel de madures
que tiene la empresa, logrando estar cada vez más protegidos frente a las
amenazas o vulnerabilidades en la confidencialidad, integridad, disponibilidad y
demás factores que puedan afectar en cualquier medida la información de la
empresa.

La empresa RTT asume el compromiso de adopción del Sistema de Gestión de

Seguridad de la Información para que ayude con el cumplimiento de sus objetivos
y así proteger sus activos de información.

9
Compromisos:

 Mantener los niveles de tolerancia de riesgo en niveles aceptables.

 Implementar controles físicos y digitales previniendo incidentes, logrado

mantener una gestión integral.

 Implementar políticas por cada dominio de la norma ISO/IEC 27001: de

2013 para asegurar los activos de información.

 Capacitaciones en materia de cultura y concientización sobre seguridad de

la información, con los diferentes funcionarios, y personal perteneciente a la
empresa, dándoles a entender la importancia de salvaguardar nuestra
información.

 Se debe manejar un sistema de aprobación por los altos directivos de la

empresa para la asignación de responsabilidades de cada una de las
políticas adoptadas.

 Se debe proteger la información que la empresa genera al igual que su

infraestructura tecnológica, dándole privilegios de acceso a los socios o
clientes según se disponga por parte de la empresa.

 Se debe reducir los riesgos de pérdida o alteración de información indebida,

buscando reducir costos por el uso indebido de la misma.

 Se reduce el riesgo de pérdida de información y amenazas generando

cultura digital.

 Se genera un plan de capacitaciones para el cambio organizacional

requerido.

 Se evaluarán los puntos críticos y vulnerables a la perdida de información y

se tomarán las respectivas acciones.

 Se evalúa la toma de decisiones en procesos de negocios garantizando los

recursos tecnológicos.

 Implementación de sistemas de control de acceso a los cuartos de

información.

 Garantizar que la información haga parte del siclo vital de la empresa.

10
  Se garantiza el cumplimiento de las normas establecidas por la ley, las
cuales apliquen a la empresa.

Directrices:

Deberes Individuales.

 Usar la información que genere la organización única y exclusivamente

para efectos de la misma.

 Mantener inalterable la confidencialidad de la información.

 No compartir datos personales ni de acceso o cualquier otro dato de

información confidencial.

 No tener a la vista las contraseñas de nuestras redes o plataformas.

 Implementar directrices de clasificación de información.

 Al momento de ausentarse siempre es recomendable dejar el equipo

bloqueado.

 Las impresiones deben ser recogidas al momento de imprimirlas y no

dejarlas en la bandeja de salida de papel por un largo tiempo.

 Entregar toda la información y no guardar copias después de terminar

contrato en la empresa.

 Se prohíbe el uso de medios digitales como usb, cds, o medios físicos

removibles por del equipo.

 Se prohíbe el uso de software no licenciados

Deberes Personales.

 Tener acceso acorde con las funciones a desempeñar dentro de la

empresa.

 Cada persona es autónoma de su trabajo y privilegios de creación,

modificación, y consulta de la información producida.

 Establecer áreas restringidas a las cuales no todo el personal debe tener

acceso.

11
  Asignar supervisores los cuales se encarguen de mantener un buen control
de calidad de información.

 Mantener un registro completo de los empleados, sus cargos, y respectivos

privilegios dentro de la empresa.

 Mantener la confidencialidad y no divulgación de información sensible que

ingrese o produzca la empresa.

Manejo de la información confidencial.

 Asegurar los documentos de manera que no queden desatendidos o en

sitios inseguros.

 Se debe reflejar en el documento el encargado que produce, lleva o

almacena la información.

 Se debe autorizar por los encargados la divulgación o publicación de la

información.

 Realizar reuniones sobre el manejo o clasificación de información en

oficinas cerradas.

 Los medios para compartir o trasladar la información deben ser de un nivel

alto de seguridad.

 Para mayor seguridad la información debe ser clasificada ya sea por

nombre, numero o serie.

 La etiqueta con la cual se marque debe ser visible y de fácil entendimiento.

 Se debe mantener en un área adecuada la información clasificada como

confidencial.

 La información que se traslade y sea confidencial debe tener revivido de la

persona receptora de la información.

 Debe haber una persona que se encargue de mantener adecuadamente la

información guardada.

 Se deben adoptar medidas de respaldo para la información guardada,

debido a posibles daños en la información ya sea intencional o
accidentalmente.

12
  La información que va a permanecer almacenada durante un tiempo
prolongado debe ser revisada periódicamente.

 Las personas que tengan acceso a la información virtualmente se hacen

responsables por mantener la seguridad de su información.

Software

 Solo se pueden instalar software que cuenten con su licencia legal o que
sean desarrolladores dentro de la empresa de manera legal.

 Los mantenimientos o instalaciones de aplicaciones y programas deben ser

coordinadas única y exclusivamente por el área TI.

 Las estaciones laborales deben ser uso exclusivo del trabajador encargado
y solo para desarrollar actividades laborales relacionadas a su cargo.

 Los trabajadores deben regir las normas de autoría de los trabajos.

Control Virus.

 Los computadores personales deben cumplir con todas las normas

establecidas por la empresa al igual que con todos softwares licenciados y
se pueden usar dentro de la empresa solo con autorización.

 Los computadores deben contar con un software de antivirus.

 Los computadores que estén dentro de la compañía para uso de trabajo

deben ser analizados por el antivirus semanal o mensualmente.

 Cualquier información que provenga de la internet debe ser analizada con

nuestro antivirus.

 La oficina de TI es responsable por mantener actualizados los softwares de

antivirus.

 Es obligación de los funcionarios reportear cualquier tipo de anomalía o

virus que afecte el rendimiento del equipo.

 Es obligación de los funcionarios mantener una copia de seguridad

actualizada y libre de virus.

 El Funcionario es responsable de comprobar el origen de la información.

13
  Ningún funcionario está autorizado para la instalación o adecuación de
plataformas el cual su origen sea desconocido.

Control de Contraseñas

 Los perfiles de usuarios y contraseñas deben ser asignados de manera

individual.

 Los funcionarios no pueden prestar sus perfiles ni contraseñas.

 Los funcionarios no deben divulgar su usuario ni contraseña.

 Ninguna plataforma debe tener el contenido automático como contraseñas

ni objetivos.

 Las contraseñas deben ser cambiadas regularmente.

 No se deben repetir contraseñas en las diferentes plataformas.

 Las contraseñas deben contar con un nivel alto de seguridad, distinguiendo

entre caracteres especiales, mayúsculas, números etc.

Copias de Respaldo

 Las copias de respaldo se deben almacenar con la misma confidencialidad

que tiene cada usuario.

 Los medios magnéticos deben ser almacenados en lugares físicos de

manera segura o cuenten con seguridad.
 Los funcionarios que recolecten la información deben facilitar la
restauración de la misma en caso de ser necesario.

 Los medios por los cuales se guarde información deben estar debidamente
rotulados.

 Se debe identificar plenamente la información clasificada de la normal.

 La información clasificada como restringida debe tener un método

apropiado en la hora que termine su ciclo de vida útil.

Objetivo Principal

Proporcionar apoyo y orientación a la dirección o directivos para asegurar el

manejo adecuado de la seguridad de la información.

14
Debido a que la información es uno de los recursos o activos de mayor
importancia para la empresa RTT Ibérica, debe ser debidamente protegida.

La empresa debe estar en constante mejora así que la implementación de una

política de seguridad es una de las mejores opciones para garantizar que su
información está protegida y demuestre un sentido de compromiso, frente a la
protección de información, debido a que hay un índice demasiado alto de
amenazas y vulnerabilidades.

La empresa debe adoptar métodos los cuales ayuden a respaldar el estudio,

aprobación y adopción de la presente política, así como los objetivos TI
alineándolos para trabajar de manera efectiva y mancomunadamente.

Implementando el SGSI posibilita el funcionamiento de manera segura de nuestra

empresa RTT Ibérica.

Alcance.

La política que implementamos es aplicable a toda nuestra compañía RTT Ibérica

ayudando a mantener el ciclo de mejora continua al momento de proteger nuestra
información, logrando que tanto empleados como usuarios se sientan tranquilos y
depositen toda su confianza en nuestro servicio, manteniendo nuestras políticas
siempre actualizadas buscando mejorar todos y cada una de nuestras falencias,
logrando el objetivo de ampliación de la compañía.

2.1.4 IDENTIFICAR Y EVALUAR INVENTARIO DE ACTIVOS: REALIZAR EL

INVENTARIO DE LOS ACTIVOS A SER COBIJADOS POR EL SGSI.

Equipamiento auxiliar:

Tabla 1 Equipamiento auxiliar

Ite Código del Nombre del Descripción Tipo de Funciones del Cantidad
m activo activo del activo activo activo
1 EA_1_UPS UPS o Respaldo de Hardware Suministra 1
(equipamiento sistema de energía de energía de
auxiliar 1, alimentación 20 Kva respaldo por un
UPS) ininterrumpida tiempo limitado
luego que el
flujo de energía
publico falle
2 EA_2_RED Cableado Red local hardware Conecta 1
(equipamiento mediante una
auxiliar 2, topología de
RED) red
indeterminada

15
 los diferentes
dispositivos

Aplicaciones Informáticas:

Tabla 2 Aplicaciones Informáticas

Ite Código del Nombre Descripción Tipo de Funciones del Cantidad

m activo del del activo activo activo
activo
1 AI_1_PWEB.sub Página Suministra Página Sitio WEB 1
(aplicaciones WEB información y WEB mediante el
informáticas 1, capta nuevos cual se
página web, clientes, lo comercializan
subcontratada) anterior se los productos
encuentra de la empresa,
albergada en además de
el servidor facilitar la
local interacción con
los clientes
2 AL_2_APPl CPLUS Gestión de Aplicaciones Cumplir con 1
(aplicaciones datos de los las
informáticas 2, clientes y obligaciones
Aplicación local) proveedores, fiscales y
3 AL_3_APPL FPLUS llevando la societarias
(aplicaciones contabilidad
informáticas 3,
Aplicación local)
4 AL_4_APPL NPLUS Aplicación Gestión de 1
(aplicaciones nómina y
informáticas 4, contratos
Aplicación local)

Equipamiento informático:

Tabla 3 Equipamiento informático

Ite Código del Nombre del Descripción Tipo de Funciones Cantidad

m activo activo del activo activo del activo
1 EI_1_RUOU ROUTER Router con hardwar Suministra 1
(equipamiento funcionalidade e conexión a
Informático 1, s de internet y
ROUTER) cortafuegos. analiza
datos de
diferentes
capas
mediante un
cortafuegos
2 EI_2_PC Computadore Equipos hardwar Los 15
(equipamiento s corporativos e empleados
Informático 2, conectados a tienen

16
 Computadores un servidor de acceso a la
) dominio información
en los
equipos
mediante
usuarios y
contraseñas
.
3 EI_2_SERVER Servidor hardwar Centraliza y 1
(equipamiento e administra
Informático 3, toda la
servidor) información
de la
empresa

Soporte de Información:
Tabla 4 Soporte de Información:

Item Código del Nombre Descripción Tipo de Funciones del Cantidad

activo del activo del activo activo activo
1 SI_1_CMAG Cintas Graba Hardware, Se graba la 4
Magnéticas información soporte de información de
(Soporte de en bandas información respaldo
Información plásticas en copias del
1, cintas materiales servidor
magnéticas) magnetizados semanalmente

2.1.5 REALIZAR ANÁLISIS DE RIESGOS: REALIZAR UN ANÁLISIS DE LOS

RIESGOS EXISTENTES PARA LOS ACTIVOS IDENTIFICADOS EN LA
ORGANIZACIÓN.

Identificación:

Para cumplir con esta fase debemos identificar todos los riesgos que afecten o
puedan estar afectando la empresa RTT Ibérica, para ello nos ayudamos con la
implementación de la matriz DAFO.

Matriz DAFO.

Tabla 5 Matriz DAFO

PUNTOS FUERTES PUNTOS DEBILES

Fortalezas Debilidades
F1.Diversidad en los métodos de atención. D1.Inversión en marketing
F2.Optimo servicio al cliente. D2.Planeación y manejo de talento humano.
F3.Personal Capacitado. D3.Interés en la investigación de desarrollo.
F4.Diversidad de convenios. D4.Algunos sistemas de información
obsoletos.
F5.Experiencia en el sector.
F5.Precios competitivos.

17
 Oportunidades
O1.Realizar convenios con estaciones de
servicio y gasolinera.
O2.Generar más demanda de utilidad de los
vehículos.
O3.Experiencia en el trámite de compra de
vehículos.
O4.Planes de compra de vehículos
O5.Establecer nuevas características
llamen la atención del cliente.
Amenazas
A1.Bajas en la producción del servicio por
parte de otras empresas.
A2.Adaptación a los avances de Ley
A3.Actualización de seguridad en los
vehículos.
A4.Cuidado del medio ambiente y su ley en
cuestión de movilidad.
que A5.Productos sustituidos por precios menores.

Una vez evaluada la matriz pasamos a la tabla de partes interesadas, la cual nos
da una visión de quienes participan en la empresa RTT Ibérica, y el papel que
desempeñan.

Tabla 6 Partes Interesadas

Partes Internos / Incorporación Interés Interés Nivel de

Interesadas Externos Usuario Empresarial Influencia

Manejo de
Suministro de relaciones Calidad,
Proveedores y
Externos nuestros contractuales precios y Alta
Subcontratistas
requerimientos. con la confianza.
empresa.
Reciben una
Ofrecen remuneración
Óptimo
Empleados / servicios a por el
Interno rendimiento y Alta
Personal. clientes y a la cumplimiento
calidad.
empresa de sus
actividades.
Entrega de
Requieren de
nuestro Beneficio
Clientes Externo nuestros Alta
servicio según económico.
servicios
su necesidad.

Una vez culminada la fase de identificación de las partes interesadas registramos

sus riesgos.

Tabla 7 Registro de Riesgos

No. Referencia Riesgo Probabilid Tipo de consecuencia

ad de que
Comercial Financiera Legal
pase
1 Diversidad en los Poco
F1 métodos de probable x x x
atención.
2 Optimo servicio al Improbable
F2 x x
cliente.
3 F3 Personal Probable x x

18
 Capacitado
4 Diversidad de Probable
F4 x x x
convenios
5 Precios Probable
F5 x
competitivos.
6 Inversión en Probable
D1 x x
marketing
7 Planeación y Poco
D2 manejo de talento probable x
humano
8 Interés en la Poco
D3 investigación de probable x
desarrollo
9 Algunos sistemas Poco
de información probable
D4 x
obsoletos

10 Realizar Probable
convenios con
O1 estaciones de x
servicio y
gasolinera
11 Generar más Poco
demanda de probable
O2 x
utilidad de los
vehículos.
12 Experiencia en el Probable
trámite de compra
O3 x x
de vehículos.

13 Planes de compra Poco

O4 de vehículos probable x

14 Establecer nuevas Poco

características probable
que llamen la
O5 x
atención del
cliente

15 Bajas en la Probable
producción del
A1 servicio por parte x
de otras
empresas.
16 Adaptación a los Improbable
A2 x
avances de Ley
17 Actualización de Improbable
A3 seguridad en los x
vehículos

19
 18 Cuidado del medio Improbable
ambiente y su ley
A4 en cuestión de x
movilidad.

19 Productos Poco
A5 sustituidos por probable x
precios menores

Registro

Una vez evaluado el proceso de registro de riesgos de la compañía RTT Ibérica se

pueden observar los diferentes factores que pueden actuar de manera negativa
para un buen desarrollo de la empresa, el cual evita la expansión y las buenas
relaciones que se formen con las estaciones de servicio y gasolineras lo cual es
un factor clave para garantizar el servicio que se presta en la compañía.

Evaluación.

La metodología de Magerid analiza los niveles de software, hardware y servicio

como se relacionan en la siguiente tabla

Tabla 8 Identificación de Niveles

Clases de Activos Descripción Amenazas

Software Sistemas operativos 1.Virus.
2.Fallo de Usuario.
3.Caidas de Sistema.
Hardware PC 1.Riesgo eléctrico.
2.Mal Manejo del equipo.
3.Riesgos por el entorno.
4.Mentenimientos mal
realizados.
Servicio Email 1.Fallo en el servicio.
2.Perdida de datos.

Se deben analizar estas amenazas las cuales son unas de las más comunes y
realizar periódicamente una evaluación la cual puede ser basada en el proceso de
riesgos plateados.

2.1.6 DECLARACIÓN DE APLICABILIDAD (SOA): ELABORAR LA

DECLARACIÓN DE CONTROLES A APLICAR DENTRO DE LA
ORGANIZACIÓN.

SOA el cual es un marco de trabajo que no permite unir nuestros objetivos de

negocio y alineación con los procesos de negocio.

20
Las ventajas que podemos obtener para la compañía RTT Ibérica son:

 Reutilización
 Interoperabilidad.
 Escalabilidad.
 Flexibilidad.
 Eficiencia de coste.

Con la ayuda de esta metodología podremos poner y disponer de nuestros

servicios en la web utilizando y reutilizar cuantas veces se requieran para buscar
su mejora ya que no es necesario empezar desde cero para mejorar o
implementar nuevas funcionalidades.
En materia de interoperabilidad podremos mantener una comunicación constante
con los diferentes sistemas que existen en la empresa RTT Ibérica.

Con la ayuda de Escalabilidad podremos crecer tato vertical como horizontalmente

el funcionamiento en cuestión de servicios, equipos, infraestructura, etc.
Ofreciendo un crecimiento para bien de todos.

En la Flexibilidad SOA nos permite conocer los diferentes protocolos buscando o

evaluando su funcionalidad, identificando que siempre este en constante mejora
favoreciendo ITT Ibérica.

La Eficiencia de Coste se une con el manejo de reutilización de los servicios y la

escalabilidad para mejorar los costes de inversión gracias a la implementación de
la arquitectura SOA.

2.2 FASE 2 HACER: IMPLEMENTAR Y OPERAR EL SGSI

2.2.1 GENERAR PLAN DE MITIGACIÓN DE RIESGOS: APLICAR

METODOLOGÍA PARA LA MITIGACIÓN DE RIESGOS IDENTIFICADOS.

Una vez identificados los activos, recursos y procesos, se procede con la fase de
operaciones y ejecuciones que permita desarrollar un análisis sobre la viabilidad y
fiabilidad de los mismos.

La empresa RTTR ibérica fundamenta sus procesos tanto en el ámbito presencial

como en el virtual, por lo que los riesgos de vulneración son considerables. Se
deberá implementar un plan de tratamiento de riesgos, definiéndolos según su
clasificación y tipo dentro de la empresa, para luego plasmarlos en una tabla
donde se permita mostrar ordenadamente los puntos a tratar en este apartado.

21
 A) Información: todo lo relacionado a los datos personales e información de la
empresa, sus compradores y sus proveedores.

B) Procesos y actividades de negocio: se define dentro del flujo funcional de la

empresa, la manera cómo se ejecutan los procesos y qué alternativas de
contingencia se tiene dentro de dicho desarrollo.

C) Recursos: los recursos y herramientas con los que cuenta la empresa, se

clasifican en:

1. Hardware.

2. Software.

3. Personal.

4. Redes.

5. Lugares.

En la siguiente tabla, se definen los elementos importantes anteriormente

mencionados y los riesgos que representan cada elemento:

Tabla 9 Importancia de Registro de Riesgos

ACTIVO AMENAZA VULNERABILIDAD IMPACTO

Información infiltración Según se evidencia en el documento, no hay Alto
filtros de control de información entrante o
saliente
hurto No se manejan protocolos de centralización Alto
en seguridad de la información
ataques la libertad de navegación y acceso a internet Alto
informáticos sin filtros los expone a múltiples amenazas,
entre ellas el phishing, Ransomware, entre
otros
ingeniería se relaciona con los ataques informáticos, Alto
social pero teniendo en cuenta todas las falencias
de la empresa
Procesos y perdida de Según las exigencias que los aliados le Alto
actividades de socios hacen a la empresa, no está establecido un
negocios apartado directo a contemplar quejas,
reclamos o sugerencias dentro de las sedes
malas El personal no es capacitado periódicamente Alto
relaciones sobre relaciones con personas involucradas
con clientes en su entorno
o
inversionista
s

22
A continuación, se presenta el apartado de los recursos en sus divisiones.

1. Hardware: elementos físicos que dan soporte y funcionalidad a los procesos

y servicios de la empresa (equipos de cómputo, servidor, impresoras, etc.).

Tabla 10 Equipos de Hardware

ACTIVO AMENAZA VULNERABILIDAD IMPACTO

Equipos Cortos eléctricos Si no existe una correcta estructuración eléctrica Alto
de los equipos corren peligro inminente
computo Malfuncionamient Los equipos que ya cumplieron una vida útil o no Alto
o cuentan con mantenimientos periódicos se
exponen al fin de usabilidad
Mal manejo Si el personal que trabaja no cuenta con Alto
conocimientos básicos en informática y
tecnología los equipos no garantizan usabilidad
al cien
Servidor Virus Una amenaza a la que también se exponen los Alto
computadores. Puede exponer el servidor a robo
de información o entorpecimiento de sus
funciones
Desde el entorno El lugar donde va ubicado el servidor puede Alto
de ubicación presentar percances que representen peligro a
la integridad física del servidor

2. Software: programas que se utilizan dentro de la empresa en su globalidad

para garantizar el correcto funcionamiento y desarrollo de la misma
(sistemas operativos, paquetes de ofimática, aplicaciones de
mantenimiento, dominios y demás.).

Tabla 11 Equipos de Software

ACTIVO AMENAZA VULNERABILIDAD IMPACTO

Sistema Caducidad Los S.O que no cuentan con licencias tienden a Alto
operativo perder funcionamiento total
Malfuncionamiento Al igual que el hardware, si no se cuenta con Alto
programas de mantenimiento y falta de un
antivirus puede significar lentitud excesiva del S.
O
Paquete Caducidad Al igual que el S.O el paquete de office debe Alto
ofimático estar debidamente licenciado de lo contrario
también quedará obsoleto

3. Personal: son las personas que interactúan dentro del ámbito de negocio
del caso (funcionarios, desarrolladores, responsables, clientes, etc.).

Tabla 12 Relación Personal

ACTIVO AMENAZA VULNERABILIDAD IMPACTO

Persona Contaminación Implican que los funcionarios no puedan laborar a Alto
l visual, gusto, la falta de comodidad puede bajar su

23
 auditiva, etc. rendimiento
Problemas de La situación actual de la pandemia significa el Alto
salud crecimiento exponencial del peligro hacia la vida de
los funcionarios
Inadecuada Representa un peligro considerable a la integridad Alto
infraestructura física de las personas
Psicosocial Se refiere al clima laboral que se encuentra en las Alto
empresas y como afecta el rendimiento del personal

4. Redes: define el entorno de telecomunicaciones por las que los procesos se

llevan a cabo tanto local como globalmente, teniendo en cuenta que la
empresa cuenta con sedes internacionales, es importante identificar riesgos
dentro de sus procesos y sincronizaciones a nivel mundial (router,
accesspoint, topologías, cableados entre otros).

Tabla 13 Relacion Redes

ACTIVO AMENAZA VULNERABILIDAD IMPACTO

Router Des Implica la posibilidad que el router no esté Alto
configuración debidamente instalado y configurado y puede dejar sin
internet el local donde se encuentre
Fallas Significa una vulnerabilidad considerable si la Alto
eléctricas infraestructura tecnológica no soporta y respalda
asertivamente la integridad de los conmutadores
Cableado Ausencia de La ausencia de una topología que se adapte a las Alto
topología necesidades y estructuración de la empresa
representan un peligro considerable a la integridad de
la red y de los equipos de cómputo

5. Lugares: se tienen en cuenta los sitios o instalaciones donde las políticas

de seguridad implementadas puedan tener cierto tipo de riesgos y que
representen pérdidas o percances a la empresa y sus sedes (edificios,
salas y demás).
Tabla 14 Lugares

ACTIV AMENAZA VULNERABILIDAD IMPACTO

O
Edificio Inadecuada El mal estado de las instalaciones en los Alto
infraestructur edificios de las sedes de las empresas
a significa un riesgo exponencial en cuanto
a la integridad tota física de la empresa

2.2.2 APLICAR PLAN DE MITIGACIÓN DE RIESGOS: ESTABLECER CÓMO

SE APLICARÁN LOS RIESGOS EN LA ORGANIZACIÓN.

24
Para sugerir una serie de recomendaciones que ayuden a la mitigación de las
vulnerabilidades anteriormente identificadas, se relaciona la siguiente tabla, según
su clasificación en la empresa:

Tabla 15 Clasificación

ACTIVO AMENAZA VULNERABILIDAD ALTERNATIVA DE

MITIGACIÓN
Informació infiltración Según se evidencia en el documento, Establecer políticas de
n no hay filtros de control de información seguridad para
entrante o saliente restringir el flujo de
hurto No se manejan protocolos de información
centralización en seguridad de la Alto
información
ataques la libertad de navegación y acceso a Establecer
informáticos internet sin filtros los expone a restricciones con la
múltiples amenazas, entre ellas el ayuda de herramientas
phishing, Ransomware, entre otros como firewall para
controlar el tráfico de
datos proveniente de
internet
ingeniería se relaciona con los ataques Contar con
social informáticos, pero teniendo en cuenta lineamientos y
todas las falencias de la empresa directrices que de
manera robusta
ayuden a detectar
cualquier tipo de
intento de intrusión,
ataque y demás
Procesos y perdida de Según las exigencias que los aliados le Restructurar el
actividades socios hacen a la empresa, no está organigrama de
de establecido un apartado directo a procesos y servicios
negocios contemplar quejas, reclamos o de manera que
sugerencias dentro de las sedes trabajen de manera
conjunta hasta el más
mínimo detalle del flujo
de negocios
malas El personal no es capacitado Establecer
relaciones periódicamente sobre relaciones con estructuraciones de
con clientes personas involucradas en su entorno relaciones personales
o periódicas que
inversionista garanticen a los
s clientes ser atendidos
de manera amistosa y
confiable

Con respecto a los recursos:

1. Hardware

25
Tabla 16 Hardware

ACTIVO AMENAZA VULNERABILIDAD ALTERNATIVA DE

MITIGACION
Equipos Cortos eléctricos Si no existe una correcta Estudio a la red eléctrica
de estructuración eléctrica los equipos para abarcar detalles y
computo corren peligro inminente situaciones que generen
riesgo
Malfuncionamient Los equipos que ya cumplieron una Contar con un inventario
o vida útil o no cuentan con debidamente gestionado
mantenimientos periódicos se garantizando que la
exponen al fin de usabilidad empresa cuente con
equipos modernos y de
calidad
Mal manejo Si el personal que trabaja no cuenta Establecer organigrama
con conocimientos básicos en de capacitaciones y
informática y tecnología los equipos evaluaciones de
no garantizan usabilidad al cien conocimientos básicos
al personal que labora
Servidor Virus Una amenaza a la que también se Adquirir un paquete
exponen los computadores. Puede completo de antivirus
exponer el servidor a robo de para la empresa que
información o entorpecimiento de garantice la seguridad
sus funciones en la información y en el
servidor como tal de la
empresa
Desde el entorno El lugar donde va ubicado el Ubicar el servidor en un
de ubicación servidor puede presentar percances cuarto debidamente
que representen peligro a la adaptado para éste,
integridad física del servidor donde se evite al
máximo que el entorno
en el que se encuentra
vaya a entorpecer su
función

2. Software

Tabla 17 Software

ACTIVO AMENAZA VULNERABILIDAD ALTERNATIVA DE

MITIGACION
Sistema Caducidad Los S.O que no cuentan con Para todos lo
operativo licencias tienden a perder inconvenientes
funcionamiento total prestablecidos en la
Malfuncionamiento Al igual que el hardware, si no se sección de software,
cuenta con programas de se recomienda
mantenimiento y falta de un antivirus adquirir licencias de
puede significar lentitud excesiva del todos los paquetes
S. O con el fin de contar
Paquete Caducidad Al igual que el S.O el paquete de con software
ofimático office debe estar debidamente actualizado, original y
licenciado de lo contrario también de calidad
quedará obsoleto

26
 3. Personal.

Tabla 18 Personal.

ACTIVO AMENAZA VULNERABILIDAD ALTERNATIVA DE

MITIGACION
persona Contaminación Implican que los funcionarios no Proveer al personal de un
l visual, puedan laborar a gusto, la falta ambiente laboral saludable y
auditiva, etc. de comodidad puede bajar su adaptado según su función y rol
rendimiento
Problemas de La situación actual de la Adoptar las medidas de
salud pandemia significa el bioseguridad actuales de
crecimiento exponencial del manera robusta y asertiva para
peligro hacia la vida de los garantizar en mayor medida la
funcionarios salud del personal de trabajo
Inadecuada Representa un peligro Evaluar periódicamente el
infraestructura considerable a la integridad estado de las instalaciones de
física de las personas los edificios en los que se
trabaja
Psicosocial Se refiere al clima laboral que Realizar periódicamente talleres
se encuentra en las empresas y y actividades de integración
como afecta el rendimiento del para el personal buscando que
personal se sienta querido y acogido y
que no desmejore su
rendimiento

4. Redes
Tabla 19 Redes

ACTIVO AMENAZA VULNERABILIDAD ALTERNATIVA DE

MITIGACION
Router Des Implica la posibilidad que el router Contar con personas
configuración no esté debidamente instalado y debidamente capacitadas
configurado y puede dejar sin para que estos aparatos sean
internet el local donde se encuentre debidamente configurados y
debidamente instalados
Fallas Significa una vulnerabilidad Evaluar robustamente la
eléctricas considerable si la infraestructura estructura de la red eléctrica
tecnológica no soporta y respalda para detectar cualquier
asertivamente la integridad de los anomalía que impida el
conmutadores correcto funcionamiento de
los routers
Cableado Ausencia de La ausencia de una topología que Establecer una topología
topología se adapte a las necesidades y adecuada a la estructura de
estructuración de la empresa la instalación donde se
representan un peligro considerable trabaja, para poder contar
a la integridad de la red y de los con una mejor organización
equipos de cómputo en el cableado

5. Lugares

27
Tabla 20 Lugares

ACTIVO AMENAZA VULNERABILIDAD ALTERNATIVA DE MITIGACION

Edificio Inadecuada El mal estado de las Contratar expertos que
infraestructura instalaciones en los edificios de periódicamente estén evaluando
las sedes de las empresas el estado de las instalaciones y
significa un riesgo exponencial estructuras físicas con el fin de
en cuanto a la integridad tota detectar cualquier percance o
física de la empresa anormal dentro de la estructura
física

2.2.3 IMPLEMENTAR CONTROLES SELECCIONADOS: DISEÑAR LOS

CONTROLES A IMPLEMENTAR EN LOS ACTIVOS IDENTIFICADOS,
BUSCANDO REDUCIR LOS RIESGOS IDENTIFICADOS.

2.2.4 ADMINISTRACIÓN DE CAMBIO: ESTABLECE LA RUTA LA GESTIÓN

DE CAMBIOS RELACIONADOS CON EL SGSI EN LA ORGANIZACIÓN.

28
 CONCLUSIONES

Se presenta de manera precisa los resultados que se obtuvieron con el desarrollo

de lo objetivos propuestos.

29
 BIBLIOGRAFÍA

Gómez, F. L., & Fernández, R. P. P. (2018). Cómo implantar un SGSI según une-
en ISO/IEC 27001 y su aplicación en el esquema nacional de seguridad (pp 57-
132). Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/53624?page=58  

(No lleva número de capitulo e inicia en hoja nueva)

Se organiza en orden alfabético y se relacinan todas las citas consultadas que se

encuentran dentro del desarrollo del documento bajo la NTC 6166.

30