Contenido

INTRODUCCIN.............................................................................................. 2
CONTEXTUALIZACIN..................................................................................... 3
Definicin del problema.............................................................................. 3
OBJETIVOS DE LA IMPLEMENTACIN DE ISO -27001.......................................4
Objetivos Generales.................................................................................... 4
Objetivos Especficos.................................................................................. 4
ANLISIS DIFERENCIAL................................................................................... 5
Metodologa a usar...................................................................................... 5
ANLISIS GAP.............................................................................................. 5
....................................................................................................................... 6
ANLISIS DE RIESGOS.................................................................................... 7
Listado de activos....................................................................................... 7
Valoracin de los Activos............................................................................. 8
Dimensiones de Seguridad.........................................................................8
Anlisis de Amenazas.................................................................................. 9
Anlisis de Riesgos.................................................................................... 11
Recomendaciones..................................................................................... 11
PROYECTOS DE MEJORAS CRTICOS.............................................................13
ANLISIS DE CUMPLIMIENTO........................................................................13
Requisitos SGSI......................................................................................... 13
Dominios de Control.................................................................................. 15

INTRODUCCIN
La seguridad de la informacin, segn ISO 27001, consiste en la
preservacin de su confidencialidad, integridad y disponibilidad, as como de
los sistemas implicados en su tratamiento, dentro de una organizacin.
El Plan de Director se desarrollar para los activos informacin que estn a
cargo de la Direccin de Tecnologa de la informacin y que se encuentran
en la infraestructura local de la Oficina Central para los usuarios de
institucin que estn ubicados en el edificio de la Oficina Central y que no
pertenezcan o sean administrados por funcionarios de sus filiales o
empresas asociadas.
CMO IMPLEMENTAR ISO 27001?
Para implementar la norma ISO 27001 en una empresa, usted tiene que
seguir estos 16 pasos:
1) Obtener el apoyo de la direccin.
2) Utilizar una metodologa para gestin de proyectos.
3) Definir el alcance del SGSI.
4) Redactar una poltica de alto nivel sobre seguridad de la
informacin.
5) Definir la metodologa de evaluacin de riesgos.
6) Realizar la evaluacin y el tratamiento de riesgos.
7) Redactar la Declaracin de aplicabilidad.
8) Redactar el Plan de tratamiento de riesgos.
9) Definir la forma de medir la efectividad de sus controles y de su
SGSI.
10) Implementar todos los controles y procedimientos necesarios.
11) Implementar programas de capacitacin y concienciacin.
12) Realizar todas las operaciones diarias establecidas en la
documentacin de su SGSI.
13) Monitorear y medir su SGSI.
14) Realizar la auditora interna.

15) Realizar la revisin por parte de la direccin.

16) Implementar medidas correctivas.

CONTEXTUALIZACIN
Definicin del problema
Actualmente MULTIMETALES S.A. no cuenta con los controles, medidas,
procedimientos de seguridad necesarios para resguardar sus activos de
informacin, tales como documentos, software, dispositivos fsicos,
personas, imagen, reputacin y servicios, estn expuestos a altos niveles de
riesgos, frente a las diversas amenazas fsicas y lgicas existentes:
Desastres naturales (Tormentas, rayos, terremotos, inundaciones, etc.)
Estructurales (Incendios, inundaciones, humedad, cortes de electricidad,
agua, refrigeracin, comunicaciones, etc.)
Hardware (Fallo total o parcial de Servidores, Estaciones PC, porttiles,
etc.)
Software (Errores en los SO, BD, software
aplicaciones, elementos de seguridad, etc.)

base,

Web

servers,

Red LAN y WAN (red interna, redes con delegaciones, sistemas de

seguridad de las comunicaciones, redes pblicas ajenas, etc.)
Copias de seguridad (Fallos en elementos de copias, fallos en soportes
cintas, discos, robot, etc.)
Informacin (Bases de datos, ficheros, manuales, procedimientos, planes
de contingencia, etc.)
Personal (Errores y ataques de personal interno, externo, funciones,
perfiles, formacin, etc.)
Riesgos contra el patrimonio (Robo, prdida no intencionada de activos,
etc.)
Otros riesgos (Terrorismo, epidemias, confianza de los clientes, imagen
de empresa, insolvencia de servicios externos, seguros, outsourcing,
etc.)

OBJETIVOS DE LA IMPLEMENTACIN DE ISO -27001

Objetivos Generales
Implementar una Poltica de Seguridad de Informacin que sea
desplegada a todos los colaboradores, proveedores y terceros
involucrados en los procesos de tecnologa.
Gestionar y monitorear de manera eficiente los incidentes y
vulnerabilidades de seguridad de la informacin, para reducirlos en un
80%.
Desplegar las medidas de seguridad para gestionar los riesgos y
ejecutar controles de tratamiento de riesgos, para reducir el 90% de
los riesgos a niveles aceptables
Formacin y concientizacin al 100% de los colaboradores
involucrados en los procesos de Tecnologa, en temas de seguridad de
informacin.
Cumplimiento de la legislacin vigente sobre informacin personal,
propiedad intelectual y otras.
Gestionar y controlar el 100% de los documentos del SGSI.

Objetivos Especficos
Alinear los procesos de la Direccin de TI de Oficina Central para
cumplir con los requisitos de la norma ISO/IEC 27001:2013 y
gestionar su respectiva documentacin y divulgacin.
Implementar los controles definidos en el documento Declaracin de
Aplicabilidad V1.0 en los procesos gestionados por la Direccin de TI,
recursos humanos y bienes y servicios de Oficina central, con
seguimientos mensuales que evalen el grado de implementacin.
Identificar las polticas y normas necesarias que soporten la poltica
de seguridad de la informacin para cubrir la implementacin de los
controles definidos en el documento Declaracin de Aplicabilidad V1.0
y realizar una campaa de divulgacin a los funcionarios de la Oficina
Central y las empresas afiliadas.
Identificar los procesos necesarios para desarrollar el plan de
seguridad, la implementacin de controles y la gestin del SGSI y a su
vez, generar la documentacin necesaria basada en los formatos y
nomenclaturas del Sistema de Gestin Documental de la compaa.

ANLISIS DIFERENCIAL
Metodologa a usar
Modelo de Madurez de la Capacidad (CMM)

ANLISIS GAP
Anlisis Gap para ISO-27001
La valoracin de cada dominio de control se realiz basada en la
ponderacin de las valoraciones de los objetivos de control que a su vez son
el resultado de la evaluacin del grado de implementacin de cada control
independiente y se resumen en la siguiente tabla:

La proporcin de los controles de acuerdo al estado se evidencia en el

siguiente grfico.

Anlisis GAP para SGSI/ISO-27001

Valoracin de clusulas de requerimientos ISO/IEC 27001:2013

La proporcin de los requisitos de acuerdo al estado se evidencia en el

siguiente grfico.

ANLISIS DE RIESGOS
La primera etapa hacia la consecucin del Plan de Implementacin de un
SGSI consistir en la evaluacin de nuestros activos, considerando las
dependencias existentes entre ellos y realizando una valoracin de los
mismos.

Listado de activos

Cada codificado de acuerdo a la siguiente nomenclatura:

Valoracin de los Activos

Para la valoracin de los activos, se utiliz la escala que

propone MAGERIT, completndolo con una estimacin
cuantitativa representada en trminos monetarios para la
organizacin.

Dimensiones de Seguridad

Desde el punto de vista de la seguridad, junto a la

valoracin en s de los activos se debe indicar cul es el
aspecto de la seguridad ms crtico de manera que se
pueda seleccionar las salvaguardas enfocadas en los
aspectos ms relevantes. Por esta razn, para cada activo
fue valorada la criticidad en las cinco dimensiones de la
seguridad de la informacin manejada por el proceso de
negocio para permitir estimar el impacto que tendr la
materializacin de una amenaza sobre la parte de activo
expuesto no cubierto por las salvaguardas en cada una de

las dimensiones teniendo presente qu representa cada

dimensin, explicadas en la siguiente tabla.

Anlisis de Amenazas

Se realiz la estimacin de cun vulnerable es cada activo a

la materializacin de la amenaza, la frecuencia estimada
con que pueden producirse y el impacto en las distintas
dimensiones de la seguridad. Para determinar las amenazas
posibles, se utiliz la tabla inicial de amenazas usadas en
MAGERIT.
Las AMENAZAS
grandes bloques:

estn

clasificadas en

los

siguientes

Se VALORARON LOS ACTIVOS como de importancia Muy

Alta, Alta, Media, Baja o Despreciable a la vez que
se le asign a cada activo en cada dimensin una
valoracin siguiendo los siguientes criterios:

Para el anlisis de la FRECUENCIA ESTIMADA DE

MATERIALIZACIN DE AMENAZAS, se utiliz la siguiente
escala de tiempo basada en la cantidad incidencias en un
perodo menor a un ao.

El IMPACTO puede resumirse como el tanto por ciento del

valor del activo que se pierde en el caso de que suceda un
incidente sobre l. Para el presente ejercicio, se tom la
siguiente escala de valoracin.

Anlisis de Riesgos

Para la estimacin del riesgo, se realiz una combinacin

entre el impacto y la frecuencia, detallada en la siguiente
tabla.

Relacin entre impacto y frecuencia:

Recomendaciones

De acuerdo al anlisis de riesgos realizado y el nivel de

riesgo aceptable definido por la organizacin para el plan
de implementacin, a continuacin se documentan las
recomendaciones de mejora, iniciando con los tratamientos
de riesgos Muy Alto.
[REC A] Monitorear los comportamientos causantes de la saturacin de los
canales de internet con estadsticas de utilizacin que permitan definir bien
sea medidas de reduccin y buen de uso o que sirvan de soporte para
sustentar un aumento del recurso por necesidades del negocio
[REC B] Definir sensores de monitoreo que permitan detectar el uso no
previsto del canal y se eviten saturacin con anticipacin
[REC C] Garantizar que los medios de redundancia de los canales de
internet funcionen adecuadamente y brinden capacidades de respaldo
aceptables para el funcionamiento de la operacin del negocio

[REC D] Implementar laboratorios y herramientas de monitoreo que

permitan identificar las fallas en la infraestructura de red inalmbrica y
documentar los hallazgos para sustentar los recursos necesarios que
solucionen los problemas de las comunicaciones por este medio y que es
percibida por los usuarios en general como una denegacin del servicio.
[REC E] Implementar un proceso controlado de alta de usuarios en la red
inalmbrica interna para garantizar que los dispositivos conectados estn
autorizados en esa red.
[REC F] Implementar en lo posible mecanismos de control de uso de la red
inalmbrica que eviten la saturacin del medio, en especial en las redes de
invitados
[REC G] Generar el inventario de los directorios compartidos por el servidor
de archivos con la relacin del personal autorizado y los privilegios de
acceso y modificacin de los contenidos, para disminuir la posibilidad que
pueda ser borrada o modificada la informacin almacenada o los permisos
asignados a otros usuarios.
[REC H] Publicar los directorios exclusivamente para los usuarios que
tienen acceso a su contenido, para evitar que las personas puedan ver la
totalidad de los recursos compartidos por el servidor de archivos
[REC I] Asignar un propietario o responsable de cada directorio compartido
que defina los usuarios autorizados para la eliminacin de archivos dentro
del recurso
[REC J] Definir una norma que determine qu tipo de informacin puede ser
almacenada en los recursos compartidos para evitar el uso del
almacenamiento con archivos que no son propios de la compaa o para el
funcionamiento del negocio. (p.e. msica o archivos personales)
[REC K] Habilitar en el servidor la auditora de eliminacin de archivos que
permita la trazabilidad del usuario cuando se lleve a cabo la eliminacin de
archivos
[REC L] Restringir el acceso a las carpetas compartidas a solo usuarios del
directorio activo para que la modificacin de la informacin sea controlada
por polticas de dominio
[REC M] Garantizar en lo posible que exista un mecanismo de contingencia
de acceso a la informacin en caso de afectacin de alguno de los
elementos tecnolgicos que componen el servicio de directorios
compartidos
[REC N] Identificar los recursos de la plataforma de correo que puedan
estar sufriendo cuellos de botella y optimizarlos o fortalecerlos
[REC O] Definir normas de uso del correo electrnico para evitar el
despacho masivo de correos en horarios que puedan afectar a los usuarios
[REC P] Identificar y depurar los buzones de correo tanto genricos como
de distribucin, generar una nomenclatura estndar y documentar la
autorizacin de creacin y los usuarios responsables de su uso
[REC Q] Identificar los factores recurrentes de errores de los usurarios en el
uso de las contraseas de dominio y generar las capacitaciones necesarias
para reducir el ndice de casos de soporte de este tipo

[REC R] Identificar y eliminar el uso de usuarios genricos en todos los

directorios de autenticacin existentes
[REC S] Definir una nomenclatura estndar y documentar las contraseas,
depurar y asignar responsables a los usuarios de servicios que deban existir
en el directorio activo
[REC T] Monitorear las incidencias por degradacin o dao de los servidores
con estadsticas de recurrencia que permitan tomar medidas preventivas o
que sustenten una renovacin o remplazo de los mismos para evitar
impactos negativos a corto plazo en la operacin de los servicios de TI
[REC U] Actualizar los sistemas operativos de los servidores a sus versiones
ms recientes para reducir las vulnerabilidades tcnicas del producto
[REC V] Crear un esquema de roles de backup de los administradores de
infraestructura de manera que haya otra persona que pueda ejecutar
actividades operativas de un cargo en caso que el responsable no se
encuentre disponible
[REC W] Definir el procedimiento de solicitud y autorizacin de software en
los equipos asignados a los usuarios as como la definicin de los
responsables para su instalacin
[REC X] Comprobar que el software actualmente instalado en los
computadores de usuario cumpla con el licenciamiento adquirido por la
organizacin
[REC Y] Documentar la autorizacin de usuarios administradores de
computadores de trabajo y registrar la aceptacin de responsabilidades de
uso y cumplimiento de las normas de seguridad de la informacin con los
privilegios que conlleva este rol
[REC Z] Asignar una contrasea maestra para el usuario administrador
local de los computadores de usuario que sea diferente segn la empresa o
filial registrada en el directorio activo y sea administrada por los
funcionarios de cada mesa de ayuda correspondiente
[REC AA] Definir un esquema de actualizaciones automticas del sistema
operativo de los computadores de usuario para mitigar las vulnerabilidades
tcnicas propias de cada sistema
[REC BB] Definir un esquema de alta disponibilidad por redundancia o
clusterizacin de los servicios crticos de la compaa como DHCP y
aplicaciones web transaccionales
[REC CC] Definir un procedimiento de autorizacin y registro de actividades
de mantenimiento de los componentes de hardware de tecnologa del
centro de cmputo

PROYECTOS DE MEJORAS CRTICOS

Se definieron 10 proyectos relevantes que mitigan los riesgos de mayor
impacto.

ANLISIS DE CUMPLIMIENTO
Requisitos SGSI
La norma ISO/IEC 27001:2013 especifica los requerimientos para establecer,
implementar, mantener y continuamente mejorar el sistema de gestin de
seguridad de la informacin y agrupa sus requerimientos en 7 clusulas.
Comparacin de porcentaje de implementacin

La

siguiente
matriz indica la categorizacin de cada clusula de acuerdo a la valoracin
de procesos presentada:

La proporcin de los requisitos

al estado se evidencia en el

SGSI de acuerdo
siguiente grfico.

Dominios de Control
La valoracin de cada dominio de control se realiz basada en la
ponderacin de las valoraciones de los objetivos de control que a su vez son
el resultado de la evaluacin del grado de implementacin de cada control
independiente y se resumen en la siguiente tabla:

La proporcin de los controles de acuerdo al estado se evidencia en el

siguiente grfico.