Asignatura Datos del alumno Fecha

Apellidos: Cudco Pomagualli

Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

Actividades

Trabajo: Estudio de la norma ISO 27001

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de

seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la

información según ISO 27001: 2005, así como consulta las normas ISO 27001:2015 y
27002:2015, disponibles en el aula virtual y responde a las siguientes preguntas de
forma breve:

» Establece un objetivo de negocio para el que se sustente la necesidad de

realizar un SGSI dentro de una compañía. Contextualizar la actividad
(misión, visión) de la compañía para entender su objetivo. El objetivo
debe estar suficientemente explicado para justificar la necesidad de
realizar un SGSI.

COMPAÑÍA: Alimentos San Alfonso

Alimentos San Alfonso es una empresa dedicada a la producción, fabricación,

comercialización y exportación de productos agrícolas, derivados y productos de
limpieza, en forma de artículos para el consumo masivos e ingredientes para el consumo
humano.

La Empresa “Alimentos San Alfonso” esta domiciliada en el cantón Guam0te, Provincia

de Chimborazo – Ecuador.

Misión

La Empresa “Alimentos San Alfonso” ofrecerá un producto de alta calidad conocido

como “Harina San Alfonso” que cumpla más allá de los estándares de calidad, precio y
servicio, utilizando procedimientos técnicos probados que garanticen al producto, esto
respaldado por la responsabilidad y compromiso adquiridos para con nuestros clientes.
Fortalecemos día a día nuestra estructura financiera, trabajamos como un sólido equipo

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

humano y superamos a la competencia sobre la base del manejo sustentable del entorno
y una gestión integral ética. Creamos marcas de indiscutible liderazgo en el mercado,
sobre la base de una relación personal, justa y transparente con nuestros clientes,
proveedores, la comunidad y el medio ambiente.

VISIÓN

La empresa “Alimentos San Alfonso” será reconocida como la mejor alternativa del
mercado convirtiéndose así en líder absoluto en la producción y comercialización de
harina en la parroquia Palmira, del Cantón Guamote, Provincia de Chimborazo de la
República del Ecuador.

VALORES

Se proyecta que el talento humano que laboren en la empresa desarrollen los siguientes
valores:

 RESPETO
 PUNTUALIDAD
 CREATIVIDAD E INNOVACIÓN
 COMPROMISO
 COMUNICACIÓN
 SOLIDARIDAD
 FIDELIDAD
 COMPAÑERISMO
 TRABAJO EN EQUIPO
 RESPONSABILIDAD
 ETICA
 HONESTIDAD
 RESPETO AL AMBIENTE

Objetivos institucionales (Política Integrada)

1. Satisfacer plenamente las necesidades del cliente interno y externo ofreciendo
productos seguros e inocuos y/o servicios que cumplan estándares de calidad
nacional e internacional.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

2. Establecer medidas para minimizar continuamente los impactos ambientales

mediante identificación, evaluación, medición, prevención de los mismos, y su
desempeño ambiental.
3. Gestionar los factores de riesgos inherentes a los procesos mediante
la identificación, evaluación y control de riesgos, para mejorar las
condiciones de seguridad.
4. Prevenir y controlar posibles contaminaciones o actos ilícitos en todas las etapas
de la cadena logística el comercio Nacional e Internacional.
5. Mejorar continuamente sus sistemas de gestión, proporcionando
recursos económicos, tecnológicos y humanos para revisar,
establecer y cumplir sus objetivos y metas planificadas.
6. Capacitar al equipo humano respetando su individualidad para potenciar sus
habilidades, desarrollar sus destrezas y competencias.
7. Cumplir los requerimientos técnicos y/o legales aplicables y otros requisitos
suscritos por “Alimentos San Alfonso”.

Objetivo del negocio (objetivo del trabajo SGSI, La empresa no tiene un SGSI
y se pretende implementar):

Mejorar la seguridad de los Sistemas de Información de la empresa asegurando en todo

momento la confidencialidad, disponibilidad e integridad de la información.
Estableciendo lineamientos, medidas de seguridad y procedimientos que garanticen una
adecuada seguridad sobre los recursos de tecnología de Información de la compañía.

» Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro

SGSI de forma justificada.

Alcance:

Reforzar los servicios y procesos internos de las áreas de inventario, facturación,

contabilidad y entrega de productos sobre los sistemas informáticos de la compañía.

Justificación del alcance:

La información de la compañía debe ser administrada activamente para asegurar la

seguridad, confidencialidad, integridad y disponibilidad de la misma.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

Es necesario reforzar los servicios y procesos internos de las áreas críticas de la compañía
(inventario, facturación, contabilidad) como objetivo para implantar el SGSI y fortalecer
estos servicios y procesos internos, en los que esta mejora en la seguridad de los Sistemas
de Información se obtendrá una ventaja para la organización.

» De los controles de la ISO 27002:2015 de las categorías: 6. Organización de la seguridad

de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean:
normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente,
teniendo en cuenta que pueden ser a la vez de más de un tipo.

Ejemplo para la categoría 5, el control: 5.1.1 Políticas para la seguridad de la información:

La respuesta sería [N], [O].

[N]: Se requiere un documento normativo que lo establezca.

[O]: En la guía de implantación se indica que deben asignarse las responsabilidades

generales.

Aspectos Organizativos

6.1 Organización interna

6.1.1 Asignación de roles y responsabilidades para la SI: [N], [O]

Se deberían definir y asignar claramente todas las responsabilidades y roles para la

seguridad de la información.

 [N]: Se requiere un documento normativo que lo establezca.

 [O]: En la guía de implantación se indica que deben asignarse las

responsabilidades y roles generales.

6.1.2 Segregación de tareas: [O]

Se deberían segregar tareas y las áreas de responsabilidad ante posibles conflictos de

interés con el fin de reducir las oportunidades de una modificación no autorizada o no
intencionada, o el de un mal uso de los activos de la organización.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

 [O]: En la guía de implantación indica las normativas para segregar las tareas de
cada perfil.

6.1.3 Contacto con las autoridades: [N], [O]

Se deberían mantener los contactos apropiados con las autoridades pertinentes.

 [N]: La organización debe tener implantado un documento normativo donde se

especifique a quien acudir para cada caso puntual.

 [O]: En la guía de implantación se indica que la organización debe existir un

documento normativo y que los empleados tengan acceso a él y sepan a quien
acudir en caso de alguna eventualidad.

6.1.4 Contacto con grupos de interés especial: [O]

Se debería mantener el contacto con grupos o foros de seguridad especializados y

asociaciones profesionales.

 [O]: En la guía de implantación establece como una buena práctica mantener

contactos con foros y grupos para mejorar los conocimientos entorno a la
seguridad de la información.

6.1.5 Seguridad de la información en la gestión de proyectos: [N], [O]

Se debería contemplar la seguridad de la información en la gestión de proyectos e

independientemente del tipo de proyecto a desarrollar por la organización.

 [N]: Se requiere un documento normativo que lo establezca.

 [O]: En la guía de implantación se indica que la seguridad de la Información debe

estar presente desde un inicio en todo el desarrollo del proyecto.

6.2 Dispositivos para movilidad y teletrabajo

6.2.1 Política de uso de dispositivos para movilidad: [N], [O], [T]

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

Se debería establecer una política formal y se deberían adoptar las medidas de seguridad
adecuadas para la protección contra los riesgos derivados del uso de los recursos de
informática móvil y las telecomunicaciones.

 [N]: Se requiere una política normativa que lo establezca.

 [O]: En la guía de implantación se indican las medidas adecuadas para

protegerse de los riesgos del uso de estos dispositivos.

 [T]: Se requiere aplicar controles a nivel de software sobre la infraestructura de

la compañía como también para los dispositivos móviles de los empleados.

6.2.2 Teletrabajo: [N], [O], [T]

Se debería desarrollar e implantar una política y medidas de seguridad de apoyo para

proteger a la información accedida, procesada o almacenada en ubicaciones destinadas
al teletrabajo.

 [N]: Se requiere un documento normativo que establezca las condiciones y

restricciones para el uso del teletrabajo.

 [O]: En la guía de implantación se indican los controles adecuados para este

punto.

 [T]: Se requiere aplicar controles a nivel de software sobre la infraestructura de

la compañía para poder hacer uso del teletrabajo.

8. Gestión Activos

8.1 Responsabilidad sobre los activos

8.1.1 Inventario de activos: [O]

Todos los activos deberían estar claramente identificados, confeccionando y

manteniendo un inventario con los más importantes.

 [O]: En la guía de implantación se indica que se deben identificar los activos de

la compañía.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

8.1.2 Propiedad de los activos: [N], [O]

Toda la información y activos del inventario asociados a los recursos para el tratamiento
de la información deberían pertenecer a una parte designada de la Organización.

 [N]: Se requiere un documento normativo que establezca la persona

responsable.

 [O]: En la guía de implantación se indica que el responsable de los activos debe

ser responsable durante todo su ciclo de vida.

8.1.3 Uso aceptable de los activos: [N]

Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la

información y los activos asociados a recursos de tratamiento de la información.

 [N]: Se requiere un documento normativo que lo establezca.

8.1.4 Devolución de activos: [N], [O]

Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de
la organización que estén en su posesión/responsabilidad una vez finalizado el acuerdo,
contrato de prestación de servicios o actividades relacionadas con su contrato de empleo.

 [N]: Se requiere un documento normativo que lo establezca.

 [O]: En la guía de implantación se indica el ciclo de vida de la información y la

devolución de estos que son propiedad de la compañía.

8.2 Clasificación de la información

8.2.1 Directrices de clasificación de la Información: [N], [O]

La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad

y criticidad para la Organización.

 [N]: Se requiere un documento normativo que lo establezca.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

 [O]: En la guía de implantación se indica cómo se debe clasificar la información

según cada caso.

8.2.2 Etiquetado de la información: [ O]

Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el

etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación
adoptado por la organización.

 [O]: En la guía de implantación se indica que deben etiquetar la información

para su rápido acceso e identificación de la misma.

8.2.3 Manipulación de la información: [N], [O]

Se deberían desarrollar e implantar procedimientos para la manipulación de los activos

acordes con el esquema de clasificación de la información adoptado por la organización.

 [N]: Se requiere un documento normativo que lo establezca por cada perfil de

usuario.

 [O]: En la guía de implantación se indica cómo aplicar los controles necesarios.

8.3 Manejo de los soportes de almacenamiento

8.3.1 Gestión de soportes extraíbles: [O]

Se deberían establecer procedimientos para la gestión de los medios informáticos

removibles acordes con el esquema de clasificación adoptado por la organización.

 [O]: En la guía de implantación se indica que se deben establecer procedimientos

para realizar esta acción.

8.3.2 Eliminación de soportes: [O]

Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean
requeridos, utilizando procedimientos formales.

 [O]: En la guía de implantación se indica que deben establecerse procedimientos

para minimizar el riesgo de filtraciones de información confidencial.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

8.3.3 Soportes físicos en tránsito: [O], [T]

Se deberían proteger los medios que contienen información contra acceso no autorizado,
mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.

 [O]: En la guía de implantación se indica que deben aplicarse controles para los
soportes físicos.

 [T]: Se deben establecer controles y medidas técnicas para el ingreso de los

soportes físicos como registro de acceso, logs etc.

9. Control de Accesos

9.1 Requisitos de negocio para el control de accesos

9.1.1 Política de control de accesos: [N], [O]

Se debería establecer, documentar y revisar una política de control de accesos en base a

las necesidades de seguridad y de negocio de la Organización.

 [N]: Se requiere un documento normativo que lo establezca.

 [O]: En la guía de implantación se indica que los propietarios de los activos

deben definir las reglas apropiadas.

9.1.2 Control de acceso a las redes y servicios asociados: [N], [O]

Se debería proveer a los usuarios de los accesos a redes y los servicios de red para los que
han sido expresamente autorizados a utilizar.

 [N]: Se requiere una política que lo establezca.

 [O]: En la guía de implantación se define que deben definirse las reglas para los
accesos a las mismas.

9.2 Gestión de acceso de usuario

9.2.1 Gestión de altas/bajas en el registro de usuarios: [N], [O]

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

Debería existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar
la asignación de derechos de acceso.

 [N]: Se requiere una política que lo defina.

 [O]: En la guía de implantación se indica cómo deben de identificarse las altas y

bajas con su respectivo identificador.

9.2.2 Gestión de los derechos de acceso asignados a usuarios: [N], [O], [T]

Se debería de implantar un proceso formal de aprovisionamiento de accesos a los

usuarios para asignar o revocar derechos de acceso a todos los tipos de usuarios y para
todos los sistemas y servicios.

 [N]: Se requiere un documento del procedimiento que lo indique.

 [O]: En la guía de implantación se indica que deben describirse estos controles

por parte de la compañía.

 [T]: Se deben asignar los permisos y restricciones a los sistemas de gestión

mediante un ente que otorgue dichos permisos.

9.2.3 Gestión de los derechos de acceso con privilegios especiales: [N], [O],
[T]

La asignación y uso de derechos de acceso con privilegios especiales debería ser

restringido y controlado.

 [N]: Se requiere un documento normativo que lo establezca (9.1.1).

 [O]: En la guía de implantación se indica que identificarse el acceso de privilegios

de cada Sistema de Información.

 [T]: Se deben asignar los derechos de acceso a los sistemas de gestión mediante
un ente que otorgue dichos permisos.

9.2.4 Gestión de información confidencial de autenticación de usuarios:

[N], [O]

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

La asignación de información confidencial para la autenticación debería ser controlada

mediante un proceso de gestión controlado.

 [N]: Se requiere un documento normativo que lo establezca.

 [O]: En la guía de implantación se indica que se debe contemplar un compromiso

de confidencialidad con el manejo de la información.

9.2.5 Revisión de los derechos de acceso de los usuarios: [O]

Los propietarios de los activos deberían revisar con regularidad los derechos de acceso
de los usuarios.

 [O]: En la guía de implantación se indica que deben revisarse continuamente los

derechos de acceso periódicamente en caso de que existan salidas o cambio de
puesto del personal.

9.2.6 Retirada o adaptación de los derechos de acceso: [N], [O], [T]

Se deberían retirar los derechos de acceso para todos los empleados, contratistas o
usuarios de terceros a la información y a las instalaciones del procesamiento de
información a la finalización del empleo, contrato o acuerdo, o ser revisados en caso de
cambio.

 [N]: Se requiere un documento normativo que lo establezca.

 [O]: En la guía de implantación se indica que deben revocarse los derechos de

acceso una vez que el empleado salga de la compañía.

 [T]: Se deben revocar los derechos de acceso a los sistemas de gestión mediante
un ente que otorgue dichos permisos.

9.3 Responsabilidades del usuario

9.3.1 Uso de información confidencial para la autenticación: [O]

Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad de la

organización en el uso de información confidencial para la autenticación.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

 [O]: En la guía de implantación se indica que deben seguirse las buenas prácticas
del uso de información confidencial.

9.4 Control de acceso a sistemas y aplicaciones

9.4.1 Restricción del acceso a la información: [O], [T]

Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la

información y funciones de los sistemas de aplicaciones, en relación a la política de
control de accesos definida.

 [O]: En la guía de implantación se indica que deben asignarse los accesos

dependiendo el perfil de cada usuario y la información que necesita.

 [T]: Se debe de realizar una restricción de acceso dependiendo del perfil de cada
usuario a la información de los Sistemas de la compañía.

9.4.2 Procedimientos seguros de inicio de sesión: [O], [T]

Cuando sea requerido por la política de control de accesos se debería controlar el acceso
a los sistemas y aplicaciones mediante un procedimiento seguro de log-on.

 [O]: En la guía de implantación se indica que deben controlarse los inicios de

sesión por medio de interfaces de login.

 [T]: Los sistemas de información deben contener una sesión de inicio para
constatar el acceso seguro a la información pertinente mediante el rol de usuario.
Así como también un timeout automático para salir de la sesión en un tiempo
determinado.

9.4.3 Gestión de contraseñas de usuario: [O], [T]

Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar contraseñas

de calidad.

 [O]: En la guía de implantación se indica que la organización debe indicar el tipo

de contraseña que puedan ingresar.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cudco Pomagualli
Gestión de la
04/02/2019
Seguridad
Nombre: Angel Geovanny

 [T]: Las contraseñas deben ser seguras y robustas con combinación de letras,
números.

9.4.4 Uso de herramientas de administración de privilegios del sistema: [T]

El uso de utilidades software que podrían ser capaces de anular o evitar controles en
aplicaciones y sistemas deberían estar restringidos y estrechamente controlados.

 [T]: Se debe restringir el uso de aplicaciones no reconocidas por el área de TI

que afecten o salten restricciones de uso del SO o de aplicativos.

9.4.5 Control de acceso al código fuente de los programas: [T]

Se debería restringir el acceso al código fuente de las aplicaciones software.

 [T]: Se debe restringir el acceso código fuente de las aplicaciones a todos los
usuarios excepto a los usuarios con acceso a realizar mejoras y correcciones.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)