Asignatura Datos del alumno Fecha

Apellidos: Sánchez Nieto

Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

Actividades

Trabajo: Estudio de la norma ISO 27001

Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de

seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.

Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la

información según ISO 27001: 2005, así como consulta las normas ISO 27001:2015 y
27002:2015, disponibles en el aula virtual y responde a las siguientes preguntas de
forma breve:

» Establece un objetivo de negocio para el que se sustente la necesidad de

realizar un SGSI dentro de una compañía. Contextualizar la actividad
(misión, visión) de la compañía para entender su objetivo. El objetivo
debe estar suficientemente explicado para justificar la necesidad de
realizar un SGSI.

COMPAÑÍA: Radio X
Radio X es la Empresa Multimedia líder en la generación de contenidos noticiosos de
opinión en nuestro país.
Con más de 80 años de experiencia, nos posicionamos como la marca líder en la industria
de la comunicación gracias a nuestra amplia oferta en medios, siendo la única empresa
que ofrece cobertura multimedia: radio, televisión e internet.

La Empresa “Radio X” esta domiciliada en Venustiano Carranza 2475, Lomas de los

filtros, San Luis Potosí, San Luis Potosí, México.

Misión
Fortalecer la identidad, unidad y aprecio por los valores sociales y culturales de los
habitantes del estado de San Luis Potosí mediante una producción radiofónica de alta
calidad, que fomente el respeto al medio ambiente, valore la importancia de la educación

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

y con ello se constituya en foro de expresión, diálogo y participación para los habitantes
de la entidad.
VISIÓN
Consolidar a Radio X como una emisora que logre incrementar su audiencia y alcance
con ello un impacto significativo en la sociedad en lo referente al fomento de la
tolerancia, convivencia y cohesión social, esto mediante un ejercicio de comunicación
plural y la capacitación continua de su personal para que pueda desempeñarse
adecuadamente ante las nuevas tecnologías de la información y la comunicación en el
estado de San Luis Potosí, México.
VALORES
Se proyecta que el talento humano que laboren en la empresa desarrollen los siguientes
valores:
 Tolerancia.
 Comunicación.
 Cohesión Social.
 Solidaridad.
 Compañerismo.
 Honestidad.

Objetivos institucionales (Política Integrada)

1. Desarrollar alianzas con otros actores y sectores que busquen transformar las
condiciones de vida de los sectores más vulnerables.
2. Fortalecer una cultura de participación corresponsable y organizada de la
ciudadanía en la vida pública.
3. Intensificar el respeto a los derechos humanos como aporte para que las personas
construyan su propio destino en sintonía con el buen vivir.
4. Contribuir a generar el cambio en las condiciones de vida de la población más
agraviada y vulnerada.

Objetivo del negocio (objetivo del trabajo SGSI, La empresa no tiene un SGSI
y se pretende implementar):
Mejorar la seguridad de los Sistemas de Información de la empresa asegurando en todo
momento la confidencialidad, disponibilidad e integridad de la información.
Estableciendo lineamientos, medidas de seguridad y procedimientos que garanticen una

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

adecuada seguridad sobre los recursos de tecnología de Información de la compañía.

» Respondiendo a ese objetivo de negocio, establece un posible alcance

para vuestro SGSI de forma justificada.
Alcance:
Proteger y mejorar los servicios y procesos internos de las áreas de producción, servicios
de patrocinios, contabilidad y radiodifusión sobre los sistemas informáticos de la
compañía.
Justificación del alcance:
La información de la compañía debe ser administrada activamente para asegurar la
seguridad, confidencialidad, integridad y disponibilidad de la misma.
Es necesario reforzar los servicios y procesos internos de las áreas críticas de la compañía
(servicios de patrocinios, radiodifusión, contabilidad) como objetivo para implantar el
SGSI y fortalecer estos servicios y procesos internos, en los que esta mejora en la
seguridad de los Sistemas de Información se obtendrá una ventaja para la organización.

» De los controles de la ISO 27002:2015 de las categorías: 6.Organización de

la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso,
clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T)
justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez
de más de un tipo.

Ejemplo para la categoría 5, el control: 5.1.1 Políticas para la seguridad de la

información: La respuesta sería [N], [O].

[N]: Se requiere un documento normativo que lo establezca.

[O]: En la guía de implantación se indica que deben asignarse las
responsabilidades generales.

Aspectos Organizativos
6.1 Organización interna
6.1.1 Asignación de roles y responsabilidades para la SI: [N], [O]
Se deberían definir y asignar claramente todas las responsabilidades y roles para la
seguridad de la información.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

 [N]: Se requiere un documento normativo que lo establezca.

 [O]: En la guía de implantación se indica que deben asignarse las
responsabilidades y roles generales.
6.1.2 Segregación de tareas: [O]
Se deberían segregar tareas y las áreas de responsabilidad ante posibles conflictos de
interés con el fin de reducir las oportunidades de una modificación no autorizada o no
intencionada, o el de un mal uso de los activos de la organización.
 [O]: En la guía de implantación indica las normativas para segregar las tareas de
cada perfil.
6.1.3 Contacto con las autoridades: [N], [O]
Se deberían mantener los contactos apropiados con las autoridades pertinentes.
 [N]: La organización debe tener implantado un documento normativo donde se
especifique a quien acudir para cada caso puntual.
 [O]: En la guía de implantación se indica que la organización debe existir un
documento normativo y que los empleados tengan acceso a él y sepan a quien
acudir en caso de alguna eventualidad.
6.1.4 Contacto con grupos de interés especial: [O]
Se debería mantener el contacto con grupos o foros de seguridad especializados y
asociaciones profesionales.
 [O]: En la guía de implantación establece como una buena práctica mantener
contactos con foros y grupos para mejorar los conocimientos entorno a la
seguridad de la información.
6.1.5 Seguridad de la información en la gestión de proyectos: [N], [O]
Se debería contemplar la seguridad de la información en la gestión de proyectos e
independientemente del tipo de proyecto a desarrollar por la organización.
 [N]: Se requiere un documento normativo que lo establezca.
 [O]: En la guía de implantación se indica que la seguridad de la Información debe
estar presente desde un inicio en todo el desarrollo del proyecto.
6.2 Dispositivos para movilidad y teletrabajo
6.2.1 Política de uso de dispositivos para movilidad: [N], [O], [T]
Se debería establecer una política formal y se deberían adoptar las medidas de seguridad
adecuadas para la protección contra los riesgos derivados del uso de los recursos de
informática móvil y las telecomunicaciones.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

 [N]: Se requiere una política normativa que lo establezca.

 [O]: En la guía de implantación se indican las medidas adecuadas para
protegerse de los riesgos del uso de estos dispositivos.
 [T]: Se requiere aplicar controles a nivel de software sobre la infraestructura de
la compañía como también para los dispositivos móviles de los empleados.
6.2.2 Teletrabajo: [N], [O], [T]
Se debería desarrollar e implantar una política y medidas de seguridad de apoyo para
proteger a la información accedida, procesada o almacenada en ubicaciones destinadas
al teletrabajo.
 [N]: Se requiere un documento normativo que establezca las condiciones y
restricciones para el uso del teletrabajo.
 [O]: En la guía de implantación se indican los controles adecuados para este
punto.
 [T]: Se requiere aplicar controles a nivel de software sobre la infraestructura de
la compañía para poder hacer uso del teletrabajo.
8. Gestión Activos
8.1 Responsabilidad sobre los activos
8.1.1 Inventario de activos: [O]
Todos los activos deberían estar claramente identificados, confeccionando y
manteniendo un inventario con los más importantes.
 [O]: En la guía de implantación se indica que se deben identificar los activos de
la compañía.
8.1.2 Propiedad de los activos: [N], [O]
Toda la información y activos del inventario asociados a los recursos para el tratamiento
de la información deberían pertenecer a una parte designada de la Organización.
 [N]: Se requiere un documento normativo que establezca la persona
responsable.
 [O]: En la guía de implantación se indica que el responsable de los activos debe
ser responsable durante todo su ciclo de vida.
8.1.3 Uso aceptable de los activos: [N]
Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la
información y los activos asociados a recursos de tratamiento de la información.
 [N]: Se requiere un documento normativo que lo establezca.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

8.1.4 Devolución de activos: [N], [O]

Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de
la organización que estén en su posesión/responsabilidad una vez finalizado el acuerdo,
contrato de prestación de servicios o actividades relacionadas con su contrato de empleo.
 [N]: Se requiere un documento normativo que lo establezca.
 [O]: En la guía de implantación se indica el ciclo de vida de la información y la
devolución de estos que son propiedad de la compañía.
8.2 Clasificación de la información
8.2.1 Directrices de clasificación de la Información: [N], [O]
La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad
y criticidad para la Organización.
 [N]: Se requiere un documento normativo que lo establezca.
 [O]: En la guía de implantación se indica cómo se debe clasificar la información
según cada caso.
8.2.2 Etiquetado de la información: [ O]
Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el
etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación
adoptado por la organización.
 [O]: En la guía de implantación se indica que deben etiquetar la información
para su rápido acceso e identificación de la misma.
8.2.3 Manipulación de la información: [N], [O]
Se deberían desarrollar e implantar procedimientos para la manipulación de los activos
acordes con el esquema de clasificación de la información adoptado por la organización.
 [N]: Se requiere un documento normativo que lo establezca por cada perfil de
usuario.
 [O]: En la guía de implantación se indica cómo aplicar los controles necesarios.
8.3 Manejo de los soportes de almacenamiento
8.3.1 Gestión de soportes extraíbles: [O]
Se deberían establecer procedimientos para la gestión de los medios informáticos
removibles acordes con el esquema de clasificación adoptado por la organización.
 [O]: En la guía de implantación se indica que se deben establecer procedimientos
para realizar esta acción.
8.3.2 Eliminación de soportes: [O]
Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

requeridos, utilizando procedimientos formales.

 [O]: En la guía de implantación se indica que deben establecerse procedimientos
para minimizar el riesgo de filtraciones de información confidencial.
8.3.3 Soportes físicos en tránsito: [O], [T]
Se deberían proteger los medios que contienen información contra acceso no autorizado,
mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.
 [O]: En la guía de implantación se indica que deben aplicarse controles para los
soportes físicos.
 [T]: Se deben establecer controles y medidas técnicas para el ingreso de los
soportes físicos como registro de acceso, logs etc.
9. Control de Accesos
9.1 Requisitos de negocio para el control de accesos
9.1.1 Política de control de accesos: [N], [O]
Se debería establecer, documentar y revisar una política de control de accesos en base a
las necesidades de seguridad y de negocio de la Organización.
 [N]: Se requiere un documento normativo que lo establezca.
 [O]: En la guía de implantación se indica que los propietarios de los activos
deben definir las reglas apropiadas.
9.1.2 Control de acceso a las redes y servicios asociados: [N], [O]
Se debería proveer a los usuarios de los accesos a redes y los servicios de red para los que
han sido expresamente autorizados a utilizar.
 [N]: Se requiere una política que lo establezca.
 [O]: En la guía de implantación se define que deben definirse las reglas para los
accesos a las mismas.
9.2 Gestión de acceso de usuario
9.2.1 Gestión de altas/bajas en el registro de usuarios: [N], [O]
Debería existir un procedimiento formal de alta y baja de usuarios con objeto de habilitar
la asignación de derechos de acceso.
 [N]: Se requiere una política que lo defina.
 [O]: En la guía de implantación se indica cómo deben de identificarse las altas y
bajas con su respectivo identificador.
9.2.2 Gestión de los derechos de acceso asignados a usuarios: [N], [O], [T]
Se debería de implantar un proceso formal de aprovisionamiento de accesos a los

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

usuarios para asignar o revocar derechos de acceso a todos los tipos de usuarios y para
todos los sistemas y servicios.
 [N]: Se requiere un documento del procedimiento que lo indique.
 [O]: En la guía de implantación se indica que deben describirse estos controles
por parte de la compañía.
 [T]: Se deben asignar los permisos y restricciones a los sistemas de gestión
mediante un ente que otorgue dichos permisos.
9.2.3 Gestión de los derechos de acceso con privilegios especiales: [N], [O],
[T]
La asignación y uso de derechos de acceso con privilegios especiales debería ser
restringido y controlado.
 [N]: Se requiere un documento normativo que lo establezca (9.1.1).
 [O]: En la guía de implantación se indica que identificarse el acceso de privilegios
de cada Sistema de Información.
 [T]: Se deben asignar los derechos de acceso a los sistemas de gestión mediante
un ente que otorgue dichos permisos.
9.2.4 Gestión de información confidencial de autenticación de usuarios:
[N], [O]
La asignación de información confidencial para la autenticación debería ser controlada
mediante un proceso de gestión controlado.
 [N]: Se requiere un documento normativo que lo establezca.
 [O]: En la guía de implantación se indica que se debe contemplar un compromiso
de confidencialidad con el manejo de la información.
9.2.5 Revisión de los derechos de acceso de los usuarios: [O]
Los propietarios de los activos deberían revisar con regularidad los derechos de acceso
de los usuarios.
 [O]: En la guía de implantación se indica que deben revisarse continuamente los
derechos de acceso periódicamente en caso de que existan salidas o cambio de
puesto del personal.
9.2.6 Retirada o adaptación de los derechos de acceso: [N], [O], [T]
Se deberían retirar los derechos de acceso para todos los empleados, contratistas o
usuarios de terceros a la información y a las instalaciones del procesamiento de
información a la finalización del empleo, contrato o acuerdo, o ser revisados en caso de

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

cambio.
 [N]: Se requiere un documento normativo que lo establezca.
 [O]: En la guía de implantación se indica que deben revocarse los derechos de
acceso una vez que el empleado salga de la compañía.
 [T]: Se deben revocar los derechos de acceso a los sistemas de gestión mediante
un ente que otorgue dichos permisos.
9.3 Responsabilidades del usuario
9.3.1 Uso de información confidencial para la autenticación: [O]
Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad de la
organización en el uso de información confidencial para la autenticación.
 [O]: En la guía de implantación se indica que deben seguirse las buenas prácticas
del uso de información confidencial.
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso a la información: [O], [T]
Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la
información y funciones de los sistemas de aplicaciones, en relación a la política de
control de accesos definida.
 [O]: En la guía de implantación se indica que deben asignarse los accesos
dependiendo el perfil de cada usuario y la información que necesita.
 [T]: Se debe de realizar una restricción de acceso dependiendo del perfil de cada
usuario a la información de los Sistemas de la compañía.
9.4.2 Procedimientos seguros de inicio de sesión: [O], [T]
Cuando sea requerido por la política de control de accesos se debería controlar el acceso
a los sistemas y aplicaciones mediante un procedimiento seguro de log-on.
 [O]: En la guía de implantación se indica que deben controlarse los inicios de
sesión por medio de interfaces de login.
 [T]: Los sistemas de información deben contener una sesión de inicio para
constatar el acceso seguro a la información pertinente mediante el rol de usuario.
Así como también un timeout automático para salir de la sesión en un tiempo
determinado.
9.4.3 Gestión de contraseñas de usuario: [O], [T]
Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar contraseñas
de calidad.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Sánchez Nieto
Gestión de la
29/06/2019
Seguridad
Nombre: Andres Salomón

 [O]: En la guía de implantación se indica que la organización debe indicar el tipo

de contraseña que puedan ingresar.
 [T]: Las contraseñas deben ser seguras y robustas con combinación de letras,
números.
9.4.4 Uso de herramientas de administración de privilegios del sistema: [T]
El uso de utilidades software que podrían ser capaces de anular o evitar controles en
aplicaciones y sistemas deberían estar restringidos y estrechamente controlados.
 [T]: Se debe restringir el uso de aplicaciones no reconocidas por el área de TI
que afecten o salten restricciones de uso del SO o de aplicativos.
9.4.5 Control de acceso al código fuente de los programas: [T]
Se debería restringir el acceso al código fuente de las aplicaciones software.
 [T]: Se debe restringir el acceso código fuente de las aplicaciones a todos los
usuarios excepto a los usuarios con acceso a realizar mejoras y correcciones.

TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)