Ante Proyecto

INSTITUTO TÉCNICO SUPERIOR COMUNITARIO
VICERRECTORÍA ACADÉMICA
ÁREA DE INFORMÁTICA
TÉCNICO SUPERIOR EN ADMINISTRACIÓN DE REDES
PROPUESTA DE IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN. CASO: EMPRESA MEDTRONIC, PERIODO
ENERO-ABRIL 2019.
PROYECTO FINAL PARA OPTAR POR EL TÍTULO DE:
SUSTENTANTES
SALIANNY CORPORAN
JUNORKY MIESES
EMILIO J. HERNÁNDEZ
ASESOR
MTRA. RUTH SANTANA
SANTO DOMINGO ESTE, REPÚBLICA DOMINICANA, ENERO 2019

INSTITUTO TÉCNICO SUPERIOR COMUNITARIO
VICERRECTORÍA ACADÉMICA
ÁREA DE INFORMÁTICA
PROPUESTA DE IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN. CASO: EMPRESA MEDTRONIC, PERIODO
ENERO-ABRIL 2019.
PROYECTO FINAL PARA OPTAR POR EL TÍTULO DE:

SUSTENTANTES
SALIANNY CORPORAN 2014-0876

JUNORKY MIESES 2013-1168
EMILIO J. HERNÁNDEZ 2013-0412
ASESOR
MTRA. RUTH SANTANA
Los conceptos emitidos en el presente trabajo son de

La exclusiva responsabilidad de los sustentantes.
SANTO DOMINGO ESTE, REPÚBLICA DOMINICANA, ENERO 2019

PROPUESTA DE IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN
DE SEGURIDAD DE LA INFORMACIÓN. CASO: EMPRESA
MEDTRONIC, PERIODO ENERO-ABRIL 2019.
ÍNDICE
INTRODUCCIÓN ......................................................................................................... 5
CAPÍTULO I
ESTADO DEL ARTE
1.1 Antecedentes Históricos......................................................................................... 7
1.1.1 Empresa MEDTRONIC (historia) ...................................................................... 10
1.3 Antecedentes de investigación. ............................................................................ 14
1.4 Antecedentes bibliográficos ................................................................................. 16
1.5 Planteamiento y formulación del problema .......................................................... 18
1.6 Justificación.......................................................................................................... 23
1.7 Objetivos: general y específicos........................................................................... 27
CAPÍTULO II.
MARCO TEÓRICO CONCEPTUAL
Marco Conceptual ...................................................................................................... 28
CAPÍTULO III
ASPECTOS METODOLÓGICOS
3.1 Métodos ............................................................................................................... 31
3.2 Tipo de investigación ........................................................................................... 31
3.3 instrumentos de recoleccion de informacion ........................................................ 32
3.4 Fases Metodológicas ........................................................................................... 33
3.5 Población objeto de estudio ................................................................................. 33
3.6 Muestra ................................................................................................................ 33
3.7 Cronograma ......................................................................................................... 35
3.8 Presupuesto ......................................................................................................... 36
BIBLIOGRAFÍA .......................................................................................................... 97
ANEXOS .................................................................................................................. 108
INTRODUCCIÓN
Hoy en día, la información está definida como uno de los activos más valiosos y
primordiales para cualquier tipo de organización, la cual, sólo tiene sentido cuando
está disponible y es utilizada de forma adecuada, integra, oportuna, responsable y
segura, lo que implica, que es necesario que las organizaciones tengan una
adecuada gestión de sus recursos y activos de información con el objetivo de
asegurar y controlar el debido acceso, tratamiento y uso de la información.
El aseguramiento y la protección de la seguridad de la información de las

organizaciones y de los datos de carácter personal de los usuarios, representan un
reto al momento de pretender garantizar su confidencialidad, integridad,
disponibilidad y privacidad, razón por la cual, la seguridad de la información se ha
convertido en uno de los aspectos de mayor preocupación a nivel mundial.
Cualquier tipo de organización independiente de su tamaño y naturaleza, debe ser

consciente que la diversidad de amenazas existentes que actualmente atentan
contra la seguridad y privacidad de la información, representan un riesgo que al
materializarse no solo les puede acarrear costos económicos, sanciónales legales,
afectación de su imagen y reputación, sino que pueden afectar la continuidad y
supervivencia del negocio.
Lo anterior, sumando a un entorno tecnológico en donde cada día se hace más

complejo de administrar y asegurar, genera que cada vez más la seguridad de la
información forme parte de los objetivos y planes estratégicos de las organizaciones.
Por lo tanto, es indispensable que los responsables dentro de las organizaciones
encargados de velar por la protección y seguridad de sus recursos, infraestructura e
información, contantemente estén adoptando, implementando y mejorando medidas
de seguridad orientadas a prevenir y/o detectar los riesgos que pueden llegar a
comprometer la disponibilidad, integridad y confidencialidad de los activos de
5
información a través de los cuales se gestiona la información del negocio,
independientemente si está es de carácter organizacional o personal, o de tipo
pública o privada.
En la medida que las organizaciones tenga una visión general de los riesgos que
pueden afectar la seguridad de la información, podrán establecer controles y
medidas efectivas, viables y transversales con el propósito de salvaguardar la
integridad, disponibilidad y confidencialidad tanto de la información del negocio como
los datos de carácter personal de sus empleados y usuarios.
6
CAPÍTULO I
ESTADO DEL ARTE
1.1 Antecedentes Históricos
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central

sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso

sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía
con una norma tan conocida como ISO 9001, como el sistema de calidad para la
seguridad de la información. Garantizar un nivel de protección total es virtualmente
imposible, incluso en el caso de disponer de un presupuesto ilimitado.
El propósito de un sistema de gestión de la seguridad de la información es, por

tanto, garantizar que los riesgos de la seguridad de la información sean conocidos,
asumidos, gestionados y minimizados por la organización de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las tecnologías.
En las siguientes secciones, se desarrollarán los conceptos fundamentales de un

SGSI según la norma ISO 27001.1
Estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la
seguridad de la información:
Confidencialidad: la información no se pone a disposición ni se revela a individuos,

entidades o procesos no autorizados.
1
Sistema de Gestión de la Seguridad de la Información:, consulado en fecha 20/12/2018, disponible en:
http://www.iso27000.es/download/doc_sgsi_all.pdf
7
Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento

de la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se

debe hacer uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término se
usa también en otros ámbitos. Sería el documento que inspira y dirige todo el
sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, etc., del SGSI.
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de
forma eficaz la planificación, operación y control de los procesos de seguridad de la
información.
Instrucciones, checklists y formularios: documentos que describen cómo se realizan
las tareas y las actividades específicas relacionadas con la seguridad de la
información.
8
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de
los requisitos del SGSI; están asociados a documentos de los otros tres niveles como
output que demuestra que se ha cumplido lo indicado en los mismos. De manera
específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio).
Alcance del SGSI:

Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación
clara de las dependencias, relaciones y límites que existen entre el alcance y
aquellas partes que no hayan sido consideradas (en aquellos casos en los que el
ámbito de influencia del SGSI considere un subconjunto de la organización como
delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).
Política y objetivos de seguridad: documento de contenido genérico que establece el

compromiso de la dirección y el enfoque de la organización en la gestión de la
seguridad de la información.
Procedimientos y mecanismos de control que soportan al SGSI: aquellos

procedimientos que regulan el propio funcionamiento del SGSI.
Enfoque de evaluación de riesgos

Descripción de la metodología a emplear (cómo se realizará la evaluación de las
amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a
los activos de información contenidos dentro del alcance seleccionado), desarrollo de
criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables .
9
Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de
evaluación anteriormente mencionada a los activos de información de la
organización.2
1.1.1 Empresa MEDTRONIC (historia)

En la actualidad Medtronic es una de las mayores empresas de tecnología médica
del mundo, pero sus orígenes son humildes.
Medtronic fue fundada en 1949 como un taller de reparación de equipos médicos por
EarlBakken y su cuñado, Palmer Hermundslie. ¿Era la intención de estos dos
hombres cambiar la tecnología médica y la vida de millones de personas? No, pero
les guiaba un propósito moral y la motivación personal de usar su conocimiento
científico y sus capacidades empresariales para ayudar a los demás.
Ese espíritu, combinado con la integridad y la pasión de nuestros fundadores, se

convirtió en nuestra filosofía y, finalmente, en la Misión de Medtronic.Nuestra primera
gran terapia, un marcapasos cardiaco portátil con batería, fue la base de muchas
otras terapias de Medtronic que se basan en nuestra experiencia con la estimulación
para mejorar la vida de millones de personas.
A lo largo de los años hemos desarrollado otras tecnologías clave, entre ellas los
dispositivos mecánicos implantables, los dispositivos de liberación de fármacos, así
como instrumental quirúrgico eléctrico.Hoy en día nuestras tecnologías se utilizan
para tratar cerca de 40 trastornos médicos.
La referida empresa en marzo del 2018, inauguró su nueva planta en San Isidro, la
cual cuenta con un total de 450 empleados. El ministro Administrativo de la
Presidencia, José Ramón Peralta; Geoff Martha, ejecutivo de Medtronic; el
presidente Danilo Medina; la ministra de Educación Superior, Ciencia y Tecnología,
2
Sistema de Gestión de la Seguridad de la Información (pág. 5): consulado en fecha 20/12/2018, disponible en:
http://www.iso27000.es/download/doc_sgsi_all.pdf
10
Alejandrina Germán; y otros ministros y directivos de la empresa inauguraron la
nueva planta.3
La empresa multinacional Medtronic, dedicada a la fabricación de dispositivos

médicos de alta tecnología, construyó su cuarta planta en el país en la prevén
emplear a cerca de 450 personas en la zona franca San Isidro.
La nueva planta fue inaugurada ayer con la presencia del presidente de la República,
Danilo Medina, varios ministros, líderes del sector zonas francas y ejecutivos de la
compañía.
Con esta ampliación, en la que se hizo una inversión aproximada de US$46 millones,
la inversión de Medtronic en el país supera los US$160 millones y pasarán de 4,000
los empleos generados en sus ahora cuatro fábricas, según el director de fabricación
de la empresa, Paolo Tolari.
Tolari destacó que esta es una planta de manufactura de última generación, de clase
mundial, en la que se generarán puestos de trabajo en disciplinas laborales como
ingeniería, logística, finanzas, calidad, entre otras.El ejecutivo indicó que con esta
ampliación de sus operaciones la empresa reafirma su confianza en República
Dominicana y manifestó que la calidad de la mano de obra, el alto nivel de
desempeño de los técnicos y profesionales, así como sus valores éticos, han hecho
del país un lugar propicio para hacer negocios.
“Los dominicanos, junto a Medtronic, estamos comprometidos con proveer

soluciones médicas innovadores cumpliendo con nuestra misión de aliviar el dolor,
restaurar la salud y extender la vida de millones de pacientes alrededor del mundo”,
manifestó Tolari.Los artículos médicos se han convertido en el principal producto de
exportación bajo el régimen de zonas francas, ya que representa alrededor del 26%
3Inauguración de la empresa Medtronic, consultado en fecha 15/12/2018, disponible en:

https://listindiario.com/economia/2018/03/21/507286/empresa-generara-450-nuevos-empleos-en-san-isidro
11
de las exportaciones totales de este sector, así lo destacó la directora ejecutiva del
Consejo Nacional de Zonas Francas de Exportación, Luisa Fernández.
“Actualmente nueve de las treinta empresas más grandes del mundo de la industria
de dispositivos médicos tienen operaciones directas de manufactura en las zonas
francas de República Dominicana, las cuales han realizado inversiones directas por
un valor superior a los US$1,000 millones”, expresó Fernández.4
En la nueva planta de Medtronic se fabricarán dispositivos médicos para las

especialidades de neurocirugía y otorrinolaringología, según explicó el vicepresidente
ejecutivo de la zona franca San Isidro, Ricardo Valdez Albizu.
Valdez Albizu consideró que este nuevo emprendimiento de la empresa es también

un logro para el país y destacó que desde su instalación en el parque, en el 1999,
esta multinacional se ha convertido en uno de los más grandes fabricantes de
dispositivos quirúrgicos
Omar Ishrak es el Presidente y Consejero delegado de Medtronic desde junio de

2011. Medtronic ocupa una posición líder en el mundo como empresa de tecnología
médica, con unos ingresos anuales que superan los 27 mil millones de dólares y
unas operaciones que se extienden a más de 160 países en todo el mundo.
Medtronic ofrece tecnologías, soluciones y terapias para tratar una amplia variedad
de afecciones médicas, incluidas patologías cardíacas y vasculares, respiratorias,
neurológicas y afecciones de la columna vertebral, diabetes y mucho más. La misión
de Medtronic es aliviar el dolor, restablecer la salud y prolongar la vida de millones de
personas en todo el mundo.
Desde que se unió a Medtronic, Omar se ha centrado en tres estrategias

fundamentales: innovación terapéutica, valor económico y globalización. Estas tres
estrategias son el eje sobre el que se asienta la colaboración de Medtronic con sus
4
https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/historia.html
12
clientes, con el objetivo de ofrecer resultados de alta calidad para los pacientes,
ampliar el acceso de pacientes a la asistencia sanitaria y reducir los costes en los
sistemas sanitarios de todo el mundo. En 2014, Omar gestionó la adquisición de
Covidien, un fabricante global de productos y suministros quirúrgicos, con un
volumen de facturación de 10 mil millones de dólares. La adquisición de Covidien ha
sido la mayor adquisición en la historia del sector de la tecnología médica.
Omar se unió a Medtronic tras 16 años en General Electric Company, donde ocupó
en los últimos años la posición de Presidente y Consejero delegado de GE
HealthcareSystems. Esta división de GE Healthcare, con un volumen de facturación
de 12 mil millones de dólares, dispone de una amplia cartera de productos de
diagnóstico, imagen diagnóstica, monitorización de pacientes y sistemas de soporte
vital. Omar también desempeñó los cargos de Director y Vicepresidente sénior de
GE.
Anteriormente, Omar acumuló 13 años de experiencia en desarrollo tecnológico y

gestión empresarial asumiendo posiciones directivas en Diasonics/Vingmed, así
como varios puestos de desarrollo de productos e ingeniería en Philips Ultrasound.
Creció en Bangladés y cuenta con una Licenciatura en Ciencias y un doctorado en

Ingeniería eléctrica por la Universidad de Londres, King´sCollege.
Omar es miembro del Consejo de administración de la Asia Society, la organización

educativa líder dedicada a fomentar el entendimiento mutuo y reforzar las relaciones
entre los pueblos, líderes e instituciones de Asia y los Estados Unidos en un contexto
global.
13
1.3 Antecedentes de investigación.
La preparación para la seguridad cibernética es el estado de ser capaz de detectar y

responder eficazmente. A las brechas e intrusiones de seguridad informática, los
ataques de malware, los ataques de phishing y el robo de datos y propiedad
intelectual, tanto de fuera, como dentro de la red. Las empresas deben adoptar un
enfoque proactivo para identificar y proteger sus activos más importantes.
Incluida la información, la tecnología de la información y los procesos críticos del

negocio. La gestión del riesgo de seguridad de la información permite a una
organización evaluar lo que está tratando de proteger, y por qué, como elemento de
apoyo a la decisión en la identificación de medidas de seguridad. Una evaluación
integral del riesgo de seguridad de la información debería permitir a una organización
evaluar sus necesidades y riesgos de seguridad en el contexto de sus necesidades
empresariales y organizativas.
Se puede considerar como: Un agente de amenazas, ya sea humano o no humano,

toma alguna acción, como identificar y explotar una vulnerabilidad, que da lugar a
algún resultado inesperado y no deseado, es decir, pérdida, modificación o
divulgación de información, o pérdida de acceso a la información. Estos resultados
tienen impactos negativos en la organización. Estos impactos pueden incluir: Pérdida
de ingresos o clientes, pérdida de diferenciación de mercado, los costos de
respuesta y recuperación por el incidente, y el costo de pagar multas y sanciones
regulatorias.
Además de identificar los riesgos y las medidas de mitigación del riesgo, un método y
proceso de gestión del riesgo ayudará a:
Identificar los activos críticos de información. Un programa de gestión de riesgos

puede ampliarse para identificar también a personas críticas, procesos de negocio y
tecnología. Comprender por qué los activos críticos escogidos son necesarios para
las operaciones, la realización de la misión y la continuidad de las operaciones.
14
Para cumplir con la gestión de riesgos como componente de preparación para la
ciberseguridad, una organización debe crear un sólido programa de evaluación y
gestión del riesgo de la seguridad de la información. Si ya existe un programa de
gestión del riesgo empresarial (ERM),
Un programa de gestión de riesgos de seguridad de la información Puede soportar el

proceso de ERM. Los recursos para la construcción de un programa de gestión de
riesgos de seguridad de la información incluyen:
Publicación Especial NIST 800-39, Gestión del Riesgo de Seguridad de la

Información.
Otros elementos que apoyan un programa de gestión de riesgos de seguridad de la

información incluyen:
1. Un programa de gestión de activos

2. Un programa de gestión de la configuración
3. Un programa de gestión del cambio.5
El siguiente artículo, en base a una investigación realizada por el autor Peter Sulivan
en abril 2017, Gestión de riesgos de seguridad de la información: Comprensión
de los componentes, donde explica que la gestión del riesgo de seguridad de la
información permite a una organización evaluar lo que está tratando de proteger, y
por qué, como elemento de apoyo a la decisión en la identificación de medidas de
seguridad. Una evaluación integral del riesgo de seguridad de la información debería
permitir a una organización evaluar sus necesidades y riesgos de seguridad en el
contexto de sus necesidades empresariales y organizativas. 6
5
https://searchdatacenter.techtarget.com/es/consejo/Gestion-de-riesgos-de-seguridad-de-la-informacion-Comprension-de-los-
componentes
6
Sulivan, Peter (2017). Gestión de riesgos de seguridad de la información: Comprensión de los componentes,
extraído de: https://searchdatacenter.techtarget.com/es/consejo/Gestion-de-riesgos-de-seguridad-de-la-
informacion-Comprension-de-los-componentes
15
1.4 Antecedentes bibliográficos
“Implantación de un sistema de gestión de seguridad de la información según

ISO 27001” Por el autor Merino, Cristina, Cañizares, Ricardo; en este libro
encontramos que Sistema de Gestión de la Seguridad, se puede definir como la
parte de un sistema general de gestión establecido por una organización que incluye
la estructura organizativa, la planificación de las actividades, las responsabilidades,
las prácticas, los procedimientos, los procesos y los recursos para desarrollar,
implantar, llevar a efecto, revisar y mantener al día la política de prevención en
materia de accidentes graves.
Los autores Mauricio Miranda y Aurora Sánchez, en su libro “Compitiendo a través

de la Innovación y las Tecnologías de Información: Integración de la
innovación, las Tecnologías de Información y la gestión de procesos en
empresas PyMES” establecen que el “Sistema de Gestión de Seguridad
Empresarial (SGSI)” es una parte del procedimiento integral de administración de la
compañía definiendo el marco de referencia para la implementación, mantenimiento
y mejoramiento continua de la administración de protección de la compañía, su
reputación, sus activos y sus empleados.
La seguridad empresarial igual que la mayoría de las disciplinas, también ha

evolucionado al punto que en los actuales tiempos se maneja como un “sistema de
gestión”, el cual está conformado por el conjunto coherente de principios, políticas,
objetivos, estrategias, normas y procedimientos de seguridad, así como de
lineamientos y directrices que permitan la administración sistemática y efectiva de los
planes y programas que tienen como fin la preservación de los recursos y actividades
de las empresas.
16
“Guía para Implantar un Sistema de Gestión de Seguridad de Información:
Basada en la Norma ISO/IEC 27001” Por el autor García Gómez, Fernández;
Albarran T Silvia Edith, Silvia Edith Albarrán T., indican que un SGSI (Sistema de
Gestión de Seguridad de la Información) proporciona un modelo para crear,
implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la protección
de los activos de información para alcanzar los objetivos de negocio. La base de un
SGSI reside en, conociendo el contexto de la organización, evaluar los riesgos y fijar
los niveles determinados como adecuados por parte de la Dirección de la
organización para la aceptación de un nivel de riesgo de modo que se puedan tratar
y gestionar los riesgos con eficacia.
El análisis de los requisitos para la protección de los activos de información y la

aplicación de controles adecuados para garantizar la protección de estos activos de
información, según sea necesario, contribuye a la exitosa implementación de un
SGSI.
“Redes Cisco :CCNP a fondo, guía de estudio para profesionales”por el autor

Ernesto Ariganello y Enrique Barrientos Sevilla.Se entiende por información todo
aquel conjunto de datos organizados en poder de una entidad que posean valor para
la misma, independientemente de la forma en que se guarde o transmita, de su
origen o de la fecha de elaboración.La seguridad de la información, según ISO
27001, consiste en la preservación de confidencialidad, integridad y disponibilidad así
como los sistemas implicados en su tratamiento, dentro de una
organización.Garantizar un nivel de protección total es imposible, incluso en el caso
de disponer de un presupuesto ilimitado; lo que buscamos es garantizar que los
riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y
minimizados.
17
1.5 Planteamiento y formulación del problema
A pesar de las acciones que se han realizado con el objetivo de fortalecer la

Seguridad de la Información en la entidad, situaciones como, la falta de un adecuado
modelo de Gobierno de Seguridad de la Información, la ausencia de un sistema de
información que apoye la gestión de riesgos de seguridad y la poca concienciación,
apropiación y conocimiento en temas de seguridad por parte de los funcionarios de la
entidad, debido tal vez a una sensación de seguridad que hace pensar que nada va a
pasar o que en algunos casos no le dan la importancia a la seguridad de la
información por su intangibilidad, generan la poca efectividad de las acciones que en
materia de seguridad de la información se realicen en la entidad.
Esta situación, también implica que los ejecutivos de la empresa Medtronic no

conciben la diferencia entre seguridad informática y seguridad de la información.
La entidad no cuenta con sistema de información adecuado y robusto para la gestión

de riesgos de seguridad, lo que dificulta establecer y visualizar el estado global y
transversal de su seguridad, en cuanto a personas, procesos y tecnología, e implica
entre otros aspectos, que no existe la participación activa de toda la organización con
relación a la definición de procedimientos adecuados y a la planeación e
identificación de controles de seguridad basados en una evaluación de riesgos y en
una medición de la eficacia de los mismos.
La Entidad requiere asegurar sus activos de información con el propósito de proteger

su exactitud y totalidad con el fin de que los mismos solo sean accesibles por
aquellas personas que estén debidamente autorizadas.
La entidad no cuenta con una metodología para la identificación y clasificación de

sus activos de información y para la valoración y tratamiento de riesgos de seguridad
18
de la información, lo que implica, que no cuenta con una visión global del estado de
su seguridad.
La Dirección de Tecnología realiza algunas funciones propias de seguridad de la
información, lo cual va en contravía con las mejores prácticas definidas en modelos y
estándares de seguridad.
Por lo tanto, es indispensable segregar las funciones de seguridad de la información

y seguridad informática con el propósito de evitar que coexistan funciones que
requieren diferentes niveles de seguridad.
DIAGNOSTICO SITUACIÓN DEL PROBLEMA
Con base en el análisis del estado de la seguridad de la entidad y la identificación de

situaciones que de alguna forma afectan su seguridad, la siguiente figura ilustrar la
identificación de la situación problema:
Tabla 1. Factores asociados a las situaciones del problema.
19
Figura 1. Identificación Situación Problema Fuente: El Autor
POLÍTICO DE LA EMPRESA
Los funcionarios no SOCIAL

conciben la diferencia No existe una
ECONÓMICO entre seguridad participación activa de
No se cuenta con informática y seguridad toda la organización
un sistema de de la información. en la definición de
información controles de
adecuado para la seguridad basados en
gestión de riesgos una evaluación de
de seguridad Problema: riesgos.
"Inadecuado
No existe una La falta de
Modelo de
valoración de concienciación,
Gestión de
riesgos de apropiación y
Seguridad de la
seguridad de conocimiento en
Información"
TODOS los activos temas de seguridad
de información por parte de todos los
funcionarios.
La política de
seguridad existente
Falta de un adecuado
no está alineada
Gobierno de
con los objetivos
Seguridad en la
del negocio.
Entidad.
A continuación se describen los diferentes factores que se presentan en la entidad y

que están asociados a cada una de las situaciones que generan el problema:
4.1 Tabla 1. Factores asociados a las situaciones del problema

Figura 1. Identificación Situación Problema
Fuente: El Autor.
20
Situación Factores
No existe una directriz a nivel gerencial sobre seguridad de la

Falta de un Gobierno de
información.
Seguridad en la Entidad.
No existe una participación activa de la alta directiva.
Falta de concienciación, apropiación y conocimiento en temas de

No existe una cultura de seguridad por parte de todos los funcionarios de la Entidad.
seguridad de la información en No existe una cultura de mejora continua de seguridad de la
la Entidad. información.
Falta de interés por parte de los funcionarios en temas de seguridad.
No existe una participación actividad de toda la organización con
relación a la definición de procedimientos adecuados y a la
planeación e identificación de controles de seguridad basados en
una evaluación de riesgos.
Los funcionarios no distinguen la diferencia entre seguridad
informática y seguridad de la información.
La entidad no cuenta con un sistema de información adecuado para

No existe Sistema de
la gestión de riesgos de seguridad.
Información adecuado para la
No existe una valoración de riesgos de seguridad de todos los
gestión de riesgos de
activos de información.
seguridad.
La entidad no cuenta con una visión global del estado de su
seguridad, y por lo tanto no puede determinar con exactitud la
efectividad de las medidas que sobre seguridad implemente.
Dificultad para el control y clasificación de los activos de información.
Inadecuada identificación de riesgos y controles de seguridad.
La política de seguridad existente no está alineada con las

La política de seguridad estrategias y objetivos del negocio.
existente no está alineada con Las políticas de seguridad son definidas por la Dirección de
los objetivos del negocio. Tecnología.
Se requiere segregar las funciones de seguridad informática y
INDICADORES DEL PROBLEMA
21
Los siguientes son los indicadores que se establecieron con el objetivo de poder
identificar el estado actual de la situación problema:
4.2 Tabla 2. Indicadores del problema
Indicador Objetivo del indicador

Nivel de compromiso de funciones Establecer el nivel de compromiso de los
y responsabilidades de seguridad funcionarios de la entidad en adoptar las
funciones y responsabilidades que se
establezcan en el manual de políticas de
Cubrimiento planes de tratamiento Determinar el nivel o grado de cubrimiento de los
de riesgos de seguridad planes de tratamiento de riesgos de seguridad
de la información en la entidad.
Eficacia tratamiento de riesgos Determina el grado de eficacia de la gestión de
tratamiento de riesgos de la entidad.
Concienciación en seguridad de la Determinar el grado de cumplimiento de los
información planes de concienciación, sensibilización y
capacitación en temas de seguridad.
7
7
3 XV Encuesta Global de Seguridad de la Información de Ernst & Young, Pág. 13
22
1.6 Justificación
El diseño de un Sistema de Gestión de Seguridad de la Información basado en un

modelo de buenas prácticas de seguridad conocido a nivel mundial, como es la
norma ISO/IEC 27001:2013, proveerá las condiciones de gobernabilidad,
oportunidad y viabilidad necesarias para que la seguridad de la información apoye y
extienda los objetivo estratégicos del negocio, mediante la protección y
aseguramiento de su información que es fundamental para garantizar la debida
gestión financiera, administrativa y operativa de la entidad, y con ello asegurar el
cumplimiento de su Misión.
Un Sistema de Gestión de Seguridad de la Información, demuestra el compromiso de

la organización hacia la Seguridad de la Información y provee los elementos
requeridos para gestionar de manera eficiente los riesgos que puedan atentar con la
seguridad de su información, lo cual genera confianza en sus partes interesadas que
es fundamental para el crecimiento y la sostenibilidad de la entidad.
Establecer un Sistema de Gestión de Seguridad de la Información, significa que la

entidad se caracteriza en relación a la seguridad de la información por tener un
modelo de seguridad donde se tiene una estrategia eficaz y es proactiva en la
ejecución del plan, que según encuesta global de Seguridad de la Información 2014,
realizada por PWC, ubicaría a la entidad en el 50% de la organizaciones a nivel
mundial que son pioneras en adoptar este tipo de modelos de seguridad.
Un Sistema de Gestión de Seguridad de la Información, le permitirá a la entidad

poder contar con un Gobierno de Seguridad alineado a las necesidades y objetivos
estratégicos del negocio, compuesto por una estructura organizacional con roles y
responsabilidades y un conjunto coherente de políticas, procesos y procedimientos,
con el objetivo de forjar, promover y extender una cultura de seguridad en todos los
niveles de la organización y de esta forma gestionar de manera adecuada la
seguridad de su información.
23
Un Sistema de Gestión de Seguridad de la Información le permitirá a la Entidad
fortalecer integralmente en cada uno de sus colaboradores, los pilares
fundamentales de la seguridad correspondiente a la integridad, confidencialidad y
disponibilidad de la información, lo cual, ayuda a forjar, fomentar y extender en toda
la organización una cultura apropiada de seguridad de la información.

estándar de seguridad reconocido a nivel mundial, como es la norma ISO 27001,
permitirá estructurar las bases necesarias que permiten forjar un adecuado modelo
de seguridad en la entidad basado en mejores practica para la implementación de
este tipo de sistemas y sobre todo, permitirá garantizar su mejora continua y su
debida permanecía y evolución en el tiempo.
Un Sistema de Gestión de Seguridad de la Información, le permitirá a la entidad

gestionar de manera efectiva los riesgos asociados a la seguridad de la información
mediante la identificando de amenazas que puedan llegar con comprometer la
integridad, disponibilidad y confidencialidad de sus activos de información y con esto
poder establecer los mecanismos para minimizar el impacto en caso de presentarse
la materialización de una vulnerabilidad.
Importancia del Tema
A través de su uso se logran importantes mejoras, pues autorizan los procesos

operativos, suministran una plataforma de información necesaria para la toma de
decisiones y, lo más importante, sus ventajas competitivas o reducir las ventaja de
los rivales.
Motivación del tema
Los sistemas de información y las tecnologías de información han cambiado la forma

en que operan las organizaciones actuales. Se da paso a un modelo de producción
más colaborativo en el que todos los integrantes de una empresa (y no solo los que
se encargan del sistema de gestión de la información) pueden consultar el MIS para
24
comprobar el estado de las tareas, tanto si se trata de su grupo específico como del
global del negocio.
Adicional mente las estadísticas que miden los procesos internos circularan de forma
inmediata entre los distintos niveles y departamentos y se lograra una transferencia
de materiales eficaz y en función de la necesidad.
Necesidad de estudiar el tema

Es necesario porque esta Permite controlar el desempeño de los procesos y de la
organización en sí misma. El sistema de gestión de la información nos ayuda a
cumplir de manera más adecuada la normativa relacionada con nuestros productos y
servicios. Mejora la capacitación de los trabajadores de la empresa.
Quienes se beneficiaran con el tema

La empresa es la que obtiene el beneficio mayor pues La seguridad de la información
consiste en preservar la confidencialidad de la misma, así como su integridad y
disponibilidad. Esto incluye a los sistemas implicados en el tratamiento de la
información dentro de la organización.
La información es un activo fundamental y cumple un rol vital en una empresa. Es

como el oxígeno para el organismo: debe fluir adecuada y oportunamente por todas
las áreas. También se deben evitar filtraciones hacia la competencia, entre otros
riesgos.
Precisamente, disponer de la certificación de un Sistema de Gestión de Seguridad de

la Información (SGSI) ayuda a la organización a gestionar y proteger su información.
Preservar la confidencialidad, la integridad y la disponibilidad de la información es la

base sobre la que se erige la seguridad de la información. ¿Cuáles son los
principios?
En los casos de empresas internacionales o de aquellas que tengan proyectado

internacionalizarse, se debe tener en cuenta que todos los sistemas de gestión
basados en las norma ISO 27001:2013 son integrables entre sí, ya que contienen
25
partes comunes que se pueden realizar y documentar a la vez, lo que facilita su
implantación.
Beneficios
1. Confidencialidad: mediante un SGSI se garantiza que la información de la

organización no estará disponible ni será revelada a personas, organizaciones o
procesos no autorizados.
2. Integridad: el SGSI promete mantener la información exacta y completa, tal como

fue finalmente elaborada, así como sus métodos de proceso.
3. Disponibilidad: las personas, organizaciones y procesos que tengan acceso

autorizado a la información deberán disponer de ella cuando la requieran.
Entre los beneficios que puede obtener una empresa que implemente un SGSI,
tenemos:
La disminución del impacto de los riesgos; mayores garantías de continuidad del

negocio basadas en la adopción de un plan de contingencias; la mejora de la imagen
de la organización y el aumento del valor comercial de la empresa y sus marcas; una
mayor confianza por parte de clientes, proveedores, accionistas y socios; una mejora
del retorno de las inversiones; el cumplimiento de la legislación y normativa vigentes,
etc.
26
1.7 Objetivos: general y específicos
Objetivo general:
Proponer la implantación de un sistema de gestión de seguridad de la información,

para mejorar los procesos de manipulación de datos y proteger los mismos de
amenazas internas y externas de la empresa Medtronic.
Objetivos específicos:
1. Mantener la integridad, disponibilidad, privacidad y control de la información

manejada por la institución.
2. Presentar escenario de aplicación de la propuesta, levantamiento de sus ventajas y

desventajas.
3. Presentar propuesta de implementación de gestión de la seguridad de la información.
4. Analizar la situación actual de la entidad, con relación a la gestión de seguridad de la

información.
5. Definir la política, alcance y objetivos del sistema de gestión de seguridad de la

información.
27
CAPÍTULO II.
MARCO TEÓRICO CONCEPTUAL
Marco Conceptual
Activo de información: aquello que es de alta validez y que contiene información

vital de la empresa que debe ser protegida.
Amenaza: Es la causa potencial de un daño a un activo de información.
SL: Nuevo esquema definido por International OrganizationforStandardization - ISO

para todos los Sistemas de Gestión acorde al nuevo formato llamado.
Análisis de riesgos: Utilización sistemática de la información disponible, para

identificar peligros y estimar los riesgos.
Causa: Razón por la cual el riesgo sucede.
Ciclo de Deming: Modelo de mejora continua para la implementación de un sistema

de mejora continua.
Colaborador: Es toda persona que realiza actividades directa o indirectamente en

las instalaciones de la entidad, Trabajadores de Planta, Trabajadores Temporales,
Contratistas, Proveedores y Practicantes.
Confidencialidad: Propiedad que determina que la información no esté disponible a

personas no autorizados.
Controles: Son aquellos mecanismos utilizados para monitorear y controlar acciones

que son consideradas sospechosas y que pueden afectar de alguna manera los
activos de información.
28
Disponibilidad: Propiedad de determina que la información sea accesible y utilizable
por aquellas personas debidamente autorizadas.
Dueño del riesgo sobre el activo: Persona responsable de gestionar el riesgo
Impacto: Consecuencias de que la amenaza ocurra. Nivel de afectación en el activo

de información que se genera al existir el riesgo.
Incidente de seguridad de la información: Evento no deseado o inesperado, que

tiene una probabilidad de amenazar la seguridad de la información.
Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.
Oficial de Seguridad: Persona encargada de administrar, implementar, actualizar y

monitorear el Sistema de Gestión de Seguridad de la Información.
Probabilidad de ocurrencia: Posibilidad de que se presente una situación o evento

específico. Responsables del Activo: Personas responsables del activo de
información.
Riesgo: Grado de exposición de un activo que permite la materialización de una

amenaza. Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la
ejecución de ningún control.
Riesgo Residual: Nivel de riesgo remanente como resultado de la aplicación de

medidas de seguridad sobre el activo.
PSE: Proveedor de Servicios Electrónicos, es un sistema centralizado por medio del

cual las empresas brindan a los usuarios la posibilidad de hacer sus pagos por
Internet.
SARC: Siglas del Sistema de Administración de Riesgo Crediticio.
29
SARL: Siglas del Sistema de Administración de Riesgo de Liquidez. 41 SARLAFT:
Siglas del Sistema de Administración del Riesgo de Lavado de Activos y Financiación
del Terrorismo.
SARO: Siglas del Sistema de Administración de Riesgos Operativos.
Seguridad de la Información: Preservación de la confidencialidad, la integridad y la

disponibilidad de la información (ISO 27000:2014).
SGSI: Siglas del Sistema de Gestión de Seguridad de la Información. Sistema de

Gestión de Seguridad de la información
SGSI: permite establecer, implementar, mantener y mejorar continuamente la gestión

de la seguridad de la información de acuerdo con los requisitos de la norma NTC-
ISO-IEC 27001.
Vulnerabilidad: Debilidad de un activo o grupo de activos de información que puede

ser aprovechada por una amenaza. La vulnerabilidad de caracteriza por ausencia en
controles de seguridad que permite ser explotada.
30
CAPÍTULO III
ASPECTOS METODOLÓGICOS
3.1 Métodos
En el presente capitulo, se describe los métodos utilizados para alcanzar la solución
al problema planteado que corresponde a un Inadecuado Modelo de Gestión de
Seguridad de la Información de la empresa MEDTRONIC, teniendo en cuenta para
esto, los objetivos y el alcance que se plantearon en el presente trabajo de
investigación.
La metodología planteada pretende dar cumplimiento a los objetivos específicos que

se definieron con el propósito de poder alcanzar el objetivo general de proyecto, para
lo cual, esta metodología tendrá en cuenta el marco de referencia de la norma
ISO/IEC 27001:2013 que especifica, entre otros aspectos, los requerimientos y
actividades que se deben desarrollar para el diseño de un Sistema de Gestión de
Seguridad de la Información.
3.2 Tipo de investigación
Investigaciónde tipo factible
Teniendo en cuenta la características del proyecto, se empleará en el desarrollo del

mismo el método investigación de tipo factible, que de acuerdo al “Manual de Tesis
de Grado y Especialización y Maestría y Tesis Doctorales“ de la Universidad
Pedagógica Experimental Libertador, consiste en la investigación, elaboración y
desarrollo de una propuesta de un modelo operativo viable para solucionar
problemas, requerimientos o necesidades de organizaciones o grupos sociales;
puede referirse a la formulación de políticas, programas, tecnologías, métodos o
procesos .
31
Con base en la anterior definición, el presente trabajo corresponde al análisis y
desarrollo de una propuesta para el diseño de un Sistema de Gestión de Seguridad
de la Información para empresa MEDTRONIC, de acuerdo al alcance definido, las
necesidades de la entidad y tomando para base para ello el modelo de referencia de
seguridad de la norma ISO/IEC 27001:2013.
Investigación de campo
También, durante el desarrollo del proyecto se utilizara el método de investigación de

campo, que permite el análisis sistemático del problema en la realidad, con el fin de
describirlo, interpretarlo, entender su naturaleza y explicar sus causas y efectos. En
este tipo de investigación, la información de interés es recogida de forma directa de
la fuente, mediante encuestas, cuestionario, entrevista o reuniones.
LINEA DE INVESTIGACION
Tomando como referencia la norma ISO/IEC 27001:2013, se puede determinar que

la línea de investigación del presente trabajo esta relacionados con los siguientes
temas: Tecnología de la información, Seguridad de la Información, Gestión de la
Seguridad, Gestión de Riesgos y Sistema de Gestión de Seguridad de la
Información.
3.3 instrumentos de recolección de información
Para el desarrollo del presente trabajo de grado, se utilizaron los siguientes

mecanismos e instrumentos para la recolección de información:
1. Cuestionario.
2. Observaciones.
32
3. Entrevistas con funcionarios y sobre todo con el personal de la Dirección de
Tecnología de la Entidad.
4. Documentación existente en el sistema de gestión calidad de la entidad.
5. Evaluación con base en la experiencia del autor.
6. También, se usó diferentes fuentes de información, tales como tesis, libros, textos,
revistas, normas, etc., existentes tanto en medios físicos, electrónicos y publicados
en Internet.
3.4 Fases Metodológicas

Teniendo en cuenta los requerimientos establecidos en la norma ISO/IEC
27001:2013 para el diseño del Sistema de Gestión de Seguridad de la Información,
se establecieron las siguientes fases para el desarrollo del proyectoManual de Tesis
de Grado y Especialización y Maestría y Tesis Doctorales de la Universidad
Pedagógica Libertador.
3.5 Población objeto de estudio

El universo de esta investigación estará conformado por la totalidad de empleado
que son 600 trabajadores de la empresa Medtronic, los cuales serán cuestionados
para poder determinar los componentes adecuados del sistema de seguridad de la
referida empresa.
3.6 Muestra
Para poder realizar la investigación se tomará como muestra 23 empleados de la
empresa Medtronic, a los cuales se le aplicará un cuestionario que permitirá
recolectar información sobre el tema relativo a la violencia de género. Para el cálculo
de la muestra se procedió a utilizar la siguiente fórmula para población finita:
33
N= N*Z2ap*
D2*(N-1) +Z2a *p*Q
N= es el tamaño de la muestra.
Zab= 1.96 al cuadrado (si la seguridad es del 95%).

p= proporción esperada (en este caso 20%= 0.2).
q= 1- p (en este caso 1-0.2=0.8).
d= percepción (en esta investigación se utilizó un 20%).
Fórmula finita:
N= 600*0.82*0.20*0.8 =23
0.202(4,621-1)+0.82*0.20*0.8
34
3.7 Cronograma
CRONOGRAMA DE ACTIVIDADES
Enero Febrero Marzo Abril
ACTIVIDADES Semanas Semanas Semanas Semanas
Enero S1 S2 S3 S4 S5 S1 S2 S3 S4 S1 S2 S3 S4 S5 S1 S2 S3 S4 S5
1- Reunión con el Asesor-Selección de Propuesta
2- Reunión con el Asesor-Informaciones General
3-Reunión con el Asesor-Formulación de Propuesta
4-Recopilación de información
5-Reunión con el Asesor: corrrecion de errores
6-Recopilación de información-Anteproyecto
7-Entrega del Anteproyecto
Febrero
8-Documentación del anteproyecto Antencedentes
9-Documentación del Anteproyecto Formulación del P.
10-Documentación del Anteproyecto Justificación
11-Entrega del Anteproyecto.
12-Correccion de errores
13-Desarrollo del Capítulo I
14-Desarrollo del Capítulo II
Marzo
15-Desarrollo del Capítulo III
16- Desarrollo del Capítulo III
17- Entrega del Proyecto
18- Exposición del proyecto
19- Corrección de Errores
21- Consulta con el Jurado
Abril
22 Correccion de errores por el asesor
23- Entrega Final de la Propuesta
24- Exposición final ante el Jurado
35
3.8 Presupuesto
UNIDAD DISPOSITIVO PRECIOS MARCAS
6 PCS US $30,079 DELL
3 ROUTERSWIFI US $5,400 D-LINK
3 ROUTERF.O US $13,728
3 TELÉFONOSVOIP US $36,525 CISCO
3 IMPRESORAS US $72,000 HP
2 SMARTTV US $26,082 Samsung
1 DVR US $10,066 U.S SECURITY

SOLUTIONS
1 SERVIDOR US $215,000 DELL
1 CUENTA EN AZURE (NUBE) US $63,500(Anual) Microsoft
15 CÁMARA EXTERNA(BULLET) US $10,964 CCTVX
15 CÁMARA INTERNA(DOMO) US $7,210 CCTVX
1 EMPRESA CONTRATISTA US $1,200,000 Pina Security
1 US $7,254 MONOPRICE
CABLE UTP (CAT6)
1 US $2,036 LOGICO
CABLE UTP (CAT5)
1 F.O (MULTIMODO) US $21,736 SUPERIOR ESSEX
Total: US $3, 534,826
Nota: Las cotizaciones se hicieron en base a precios de páginas oficiales de dichas

marcas y en fuentes de ventas en líneas. Los precios están actualizados. Se eligieron en
muto acuerdo ya que así comparándolos con otros, pudimos elegir los más asequibles.
36
3.9 Esquema tentativo
INTRODUCCIÓN…………………………………………….
ESTADO DEL ARTE……………………………………...
DESCRIPCIÓN Y SISTEMATIZACIÓN DEL PROBLEMA……………………………
JUSTIFICACIÓN………………………………………………………..
OBJETIVOS………………………………………………………………………………….
MARCO TEÓRICO CONCEPTUAL………………………………………………...
ASPECTO METODOLÓGICOS, TECINAS Y PROCEDIMIENTOS…………………
PRESUPUESTO……………………………………………………………………………
CRONOGRAMA DE ACTIVIDADES…………………………………………………
Capítulo 1
1. Situación de la empresa con relación a la gestión de la seguridad de la información.

1.1. Políticas de seguridad de la información.
1.2. Incidentes de seguridad.
1.2.1. Ciclo de mejora continúa vs norma ISO/IEC 27001.2013.
1.2.2. Conceptos elementales del sistema de gestión de seguridad de la información.
1.2.3. Factores de riesgo.
1.2.4. Factores tecnológicos de riesgo.
1.2.5. Virus informáticos: características.
1.2.6. Virus informáticos: propósitos.
1.2.7. Virus informáticos: clasificación.
1.2.8. Factores tecnológicos de riesgo, virus informáticos: clasificación.
1.2.9. Factores humanos de riesgo.
1.2.10. Mecanismo de seguridad informática.
1.2.11. Mecanismo de seguridad informática clasificación.
37
1.2.12. Ejemplos orientados a fortalecer la confidencialidad.
1.2.13. Ejemplo orientados a fortalecer la integridad.
1.2.14. Ejemplo orientado a fortalecer la disponibilidad.
1.2.15. Seguridad física, dispositivos que debemos proteger.
1.2.16. Algunos ejemplos.
1.2.17. Historia del sistema de gestión de seguridad de la información.
1.2.18. PDCA.
1.2.19. Concepto de un sistema de gestión de seguridad de la información.
1.2.20. Utilidad de un sistema de gestión de seguridad de la información.
1.2.21. Norma ISO 27000.
1.2.22. Software ISO 270001.
1.2.23. Beneficios de implementar un SGSI de acuerdo a ISO 27001.
1.2.24. Concepto de la norma ISO 27002.
1.2.25.
1.3.
CAPITULO I
38
1. MANTENER LA INTEGRIDAD, DISPONIBILIDAD, PRIVACIDAD Y
CONTROL DE LA INFORMACIÓN MANEJADA POR LA
INSTITUCIÓN.
1.1. CONCEPTOS ELEMENTALES DEL SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN.
Concepto de sistema informático: Es el conjunto que resulta de la integración de

cuatro elementos: Hardware, software, datos y usuarios.
El objetivo de integrar estos componentes es: Hacer posible el procesamiento

automático de los datos, mediante el uso de ordenadores.
Concepto de datos: Símbolos que representan hechos, situaciones, condiciones o

valores. Los datos son la materia prima que procesamos para producir información.
concepto de información: El resultado de procesar o transformar los datos. La

información es significativa para el usuario.
Como consecuencia de la amplia difusión de la tecnología informática, la

información: Se almacena y se procesa en ordenadores, que pueden ser
independientes o estar conectados a sistemas de redes. Puede ser confidencial
para algunas personas o para instituciones completas.
Como consecuencia de la amplia difusión de la tecnología informática, la

información: Puede utilizarse para fines poco éticos. Puede divulgarse sin
autorización de su propietario. Puede estar sujeta a robos, sabotaje o fraudes.
39
La Seguridad Informática (S.I.) es la disciplina que se ocupa de diseñar las
normas, procedimientos, métodos y técnicas, orientados a proveer
condiciones seguras y confiables, para el procesamiento de datos en
sistemas informáticos.
La decisión de aplicarlos es responsabilidad de cada usuario. Las consecuencias

de no hacerlo también.
Confidencialidad: Se refiere a la privacidad de los elementos de informacion

almacenados y procesados en un sistema informático.
Basándose en este principio, las herramientas de seguridad informática deben
proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o
programas no autorizados.
Este principio es particularmente importante en sistemas distribuidos, es decir,

aquellos en los que usuarios, ordenadores y datos residen en localidades
diferentes, pero están física y lógicamente interconectados.
Integridad; Se refiere a la validez y consistencia de los elementos de informacion

almacenados y procesados en un sistema informático.Basándose en este principio,
las herramientas de seguridad informática deben asegurar que los procesos de
actualización estén sincronizados y no se dupliquen, de forma que todos los
elementos del sistema manipulen adecuadamente los mismos datos.
Este principio es particularmente importante en sistemas descentralizados, es

decir, aquellos en los que diferentes usuarios, ordenadores y procesos comparten
la misma información.
Disponibilidad: Se refiere a la continuidad de acceso a los elememtos de

informacion almacenados y procesados en un sistema informatico.
40
Basándose en este principio, las herramientas de Seguridad Informática deben
reforzar la permanencia del sistema informático, en condiciones de actividad
adecuadas para que los usuarios accedan a los datos con la frecuencia y
dedicación que requieran.
Este principio es particularmente importante en sistemas informáticos cuyo

compromiso con el usuario, es prestar servicio permanente.
1.2. FACTORES DE RIESGO.
AMBIENTALES: factores externos lluvias, inundaciones, terremotos,tormentas,

rayos,suciedad, humedad, calor entre otros.
TECNOLOGICOS: fallas de hardwares y/o sotfware, fallas en el aire

acondicionado, falla en el servicio electrico, ataques por vrus informaticos ect.
HUMANOS: hurto, adulteracion, fraude, modificacion, revelacion, perdida, sabotaje,

vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión,
alteración, etc.
1.3. FACTORES TECNOLÓGICOS DE RIESGO.
Virus informáticos: Definición: Un virus informatico es un programa (codigo) que

se replica, añadiendo una copia de si mismo a otros programas.
41
Los virus informáticos son particularmente dañinos porque pasan desapercibidos
hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios
inocuos hasta la pérdida total del sistema.
1.4. VIRUS INFORMÁTICOS: CARACTERÍSTICAS.
Auto-reproducción: Es la capacidad que tiene el programa de replicarse

(hacer copias de sí mismo), sin intervención o consentimiento del usuario.
Infección: Es la capacidad que tiene el código de alojarse en otros programas,

diferentes al portador original.
1.5. VIRUS INFORMÁTICOS: PROPÓSITOS.
Afectar el software: Sus instrucciones agregan nuevos archivos al sistema o

manipulan el contenido de los archivos existentes, eliminándolo parcial o
totalmente.
Afectar el hardware: Sus instrucciones manipulan los componentes físicos. Su

principal objetivo son los dispositivos de almacenamiento secundario y pueden
sobrecalentar las unidades, disminuir la vida útil del medio, destruir la estructura
lógica para recuperación de archivos (FAT) y otras consecuencias.
1.6. VIRUS INFORMÁTICOS: CLASIFICACIÓN.
42
La inmensa cantidad de virus existentes, sus diferentes propósitos, sus variados
comportamientos y sus diversas consecuencias, convierten su clasificación en un
proceso complejo y polémico.
A continuación se presentan las categorías que agrupan a la mayoría de los virus

conocidos. Sin embargo, es importante considerar que la aparición diaria de virus
cada vez más sofisticados, puede llevar al surgimiento de nuevas categorías en
cualquier momento.
1.7. FACTORES TECNOLÓGICOS DE RIESGO, VIRUS

INFORMÁTICOS: CLASIFICACIÓN.
Virus genérico o de archivo: Se aloja como un parásito dentro de un archivo

ejecutable y se replica en otros programas durante la ejecución.
Los genéricos acechan al sistema esperando que se satisfaga alguna condición

(fecha del sistema o número de archivos en un disco). Cuando esta condición
“catalizadora” se presenta, el virus inicia su rutina de destrucción.
Virus mutante: En general se comporta igual que el virus genérico, pero en lugar
de replicarse exactamente, genera copias modificadas de si mismo.
Virus recombinables: Se unen, intercambian sus códigos y crean nuevos virus.
Virus “Bounty Hunter” (caza-recompensas): Están diseñados para atacar un

producto antivirus particular.
Virus específicos para redes: Coleccionan contraseñas de acceso a la red, para

luego reproducirse y dispersar sus rutinas destructivas en todos los ordenadores
43
conectados.
Virus de sector de arranque: Se alojan en la sección del disco cuyas

instrucciones se cargan en memoria al inicializar el sistema. El virus alcanza la
memoria antes que otros programas sean cargados e infecta cada nuevo disquete
que se coloque en la unidad.
Virus de macro: Se diseñan para infectar las macros que acompañan a una
aplicación específica. Una macro es un conjunto de instrucciones que ejecutan una
tarea particular, activada por alguna aplicación específica como MS – Word o MS –
Excel. Son virus muy fáciles de programar y se dispersan rápidamente a través de
anexos a e-mail, copia de archivos usando disquetes, etc.
Virus de Internet: Se alojan en el código subyacente de las páginas web. Cuando

el usuario accede a esos sitios en Internet, el virus se descarga y ejecuta en su
sistema, pudiendo modificar o destruir la información almacenada.
Son de rápida y fácil dispersión, puesto que se alojan y viajan en un medio de
acceso multitudinario: Internet.
1.8. FACTORES HUMANOS DE RIESGO.
Hackers: Los hackers son personas con avanzados conocimientos técnicos en el

área informática y que enfocan sus habilidades hacia la invasión de sistemas a los
44
que no tienen acceso autorizado. En general, los hackers persiguen dos objetivos:
1. Probar que tienen las competencias para invadir un sistema protegido.
2. Probar que la seguridad de un sistema tiene fallas.
Crackers: Los crackers son personas con avanzados conocimientos técnicos en el

área informática y que enfocan sus habilidades hacia la invasión de sistemas a los
que no tienen acceso autorizado. En general, los crackers persiguen dos objetivos:
1. Destruir parcial o totalmente el sistema.

2. Obtener un beneficio personal (tangible o intangible) como consecuencia de sus
actividades.
1.9. MECANISMOS DE SEGURIDAD INFORMÁTICA.
Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza

para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema
informático.
Existen muchos y variados mecanismos de seguridad informática. Su selección

depende del tipo de sistema, de su función y de los factores de riesgo que lo
amenazan.
1.1.1. MECANISMOS DE SEGURIDAD INFORMÁTICA

CLASIFICACIÓN SEGÚN SU FUNCIÓN.
Preventivos: Actúan antes de que un hecho ocurra y su función es revelar la

presencia de agentes no deseados en algún componente del sistema. Se
45
caracterizan por enviar un aviso y registrar la incidencia.
Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las

consecuencias.
Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la

presencia de agentes no deseados en algún componente del sistema. Se
caracterizan por enviar un aviso y registrar la incidencia.
Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las

consecuencias.
1.1.2. EJEMPLOS ORIENTADOS A FORTALECER LA

CONFIDENCIALIDAD.
Encriptación o cifrado de datos: Es el proceso que se sigue para enmascarar los

datos, con el objetivo de que sean incomprensibles para cualquier agente no
autorizado.
Los datos se enmascaran usando una clave especial y siguiendo una secuencia de
pasos pre-establecidos, conocida como “algoritmo de cifrado”. El proceso inverso
se conoce como descifrado, usa la misma clave y devuelve los datos a su estado
original.
1.1.3. EJEMPLOS ORIENTADOS A FORTALECER LA INTEGRIDAD.
Software anti-virus: Ejercen control preventivo, detectivo y correctivo sobre

ataques de virus al sistema.
Software “firewall”: Ejercen control preventivo y detectivo sobre intrusiones no
46
deseadas a los sistemas.
Software para sincronizar transacciones: Ejercen control sobre las
transacciones que se aplican a los datos.

DISPONIBILIDAD.
Planes de recuperación o planes de contingencia: Es un esquema que

especifica los pasos a seguir en caso de que se interrumpa la actividad del sistema,
con el objetivo de recuperar la funcionalidad.
Dependiendo del tipo de contingencia, esos pasos pueden ejecutarlos personas

entrenadas, sistemas informáticos especialmente programados o una combinación
de ambos elementos.

DISPONIBILIDAD.
Respaldo de los datos: Es el proceso de copiar los elementos de información

recibidos, transmitidos, almacenados,procesados y/o generados por el sistema.
Existen muchos mecanismos para tomar respaldo, dependiendo de lo que se
quiera asegurar. Algunos ejemplos son: Copias de la información en dispositivos de
almacenamiento secundario, ordenadores paralelos ejecutando las mismas
transacciones, etc.
1.1.6. SEGURIDAD FÍSICA, DISPOSITIVOS QUE DEBEMOS

PROTEGER.
47
Todos los dispositivos que componen el hardware: Procesador, memoria principal,
dispositivos de entrada y de salida, dispositivos de almacenamiento y los
respaldos.
1.1.7. ALGUNOS EJEMPLOS.

Restringir el acceso a las áreas de computadoras. Restringir el acceso a las
impresoras Instalar detectores de humo y extintores (fuego) Colocar los dispositivos
lejos del piso (agua) Colocar los dispositivos lejos de las ventanas (lluvia) Colocar
pararrayos (rayos) Proteger las antenas externas (vientos) Un mecanismo
correctivo para factores de riesgo humano: Sanciones legales. La legislación
española se ocupa de sancionar a las personas que incurran en cualquier delito
relacionado con sistemas informáticos a través de la ley especial contra delitos
informáticos.
1.1.8. HISTORIA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE

LA INFORMACIÓN.
Un sistema de gestión de la seguridad de la

información (SGSI) (en inglés: information security management system, ISMS) es,
como el nombre lo sugiere, un conjunto de políticas de administración de la
información.
El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única

normativa que utiliza este término o concepto.
Un SGSI es para una organización el diseño, implantación, mantenimiento de un

conjunto de procesos para gestionar eficientemente la accesibilidad de la
48
información, buscando asegurar la confidencialidad, integridad y disponibilidad de
los activos de información minimizando a la vez los riesgos de seguridad de la
información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un
largo tiempo adaptándose a los cambios internos de la organización así como los
externos del entorno.
1.1.9. PDCA.
La ISO/IEC 27001 por lo tanto incorpora el típico Plan-Do-Check-Act (PDCA) que

significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora
continua:
1. Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de

riesgos de seguridad de la información y la selección de controles adecuados.
2. Do (hacer): es una fase que envuelve la implantación y operación de los controles.
3. Check (controlar): es una fase que tiene como objetivo revisar y evaluar el
desempeño (eficiencia y eficacia) del SGSI.
4. Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de
vuelta el SGSI a máximo rendimiento.
SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares
publicados por la International Organization for Standardization (ISO) y
la International Electrotechnical Commission (IEC). JJO también define normas
estandarizadas de distintos SGSI.
1.2. CONCEPTO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD

DE LA INFORMACIÓN.
49
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de

datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de

su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización.
1.2.1. UTILIDAD DE UN SISTEMA DE GESTIÓN DE SEGURIDAD

DE LA INFORMACIÓN.
La información, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organización.
La confidencialidad, integridad y disponibilidad de información sensible pueden

llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad,
conformidad legal e imagen empresarial necesarios para lograr los objetivos de la
organización y asegurar beneficios económicos.
Las organizaciones y sus sistemas de información están expuestos a un número

cada vez más elevado de amenazas que, aprovechando cualquiera de las
50
vulnerabilidades existentes, pueden someter a activos críticos de información a
diversas formas de fraude, espionaje, sabotaje o vandalismo.
Los virus informáticos, el “hacking” o los ataques de denegación de servicio son

algunos ejemplos comunes y conocidos, pero también se deben considerar los
riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente
desde dentro de la propia organización o aquellos provocados accidentalmente por
catástrofes naturales y fallos técnicos.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones

variables del entorno, la protección adecuada de los objetivos de negocio para
asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de
negocio, son algunos de los aspectos fundamentales en los que un SGSI es una
herramienta de gran utilidad y de importante ayuda para la gestión de las
organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por

sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la
organización, con la gerencia al frente, tomando en consideración también a
clientes y proveedores de bienes y servicios.
Modelo de gestión de la seguridad debe contemplar unos procedimientos

adecuados y la planificación e implantación de controles de seguridad basados en
una evaluación de riesgos y en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer

estas políticas y procedimientos en relación a los objetivos de negocio de la
organización, con objeto de mantener un nivel de exposición siempre menor al nivel
de riesgo que la propia organización ha decidido asumir.
51
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una sistemática
definida, documentada y conocida por todos, que se revisa y mejora
constantemente.
1.2.2. NORMA ISO 27000.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo

por ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco de gestión de la
seguridad de la información utilizable por cualquier tipo de organización, pública o
privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de gestión
de seguridad de la información (SGSI) basado en ISO 27001.
Acceda directamente a las secciones de su interés a través del submenú de la

izquierda o descargue en .pdf el documento completo.
La familia de las normas ISO/IEC 27000, son un marco de referencia de seguridad
a nivel mundial desarrollado por la International Organization for Standardization
ISO e International Electrotechnical Commission IEC, que proporcionan un marco,
lineamientos y mejores prácticas para la debida gestión de seguridad de la
información en cualquier tipo de organización.
Estas normas especifican los requerimientos que deben cumplir las organizaciones
para establecer, implementar, poner en funcionamiento, controlar y mejorar
continuamente un Sistema de Gestión de Seguridad de la Información.
52
En Colombia, el Instituto Colombiano de Norma Técnicas y Certificaciones,
ICONTEC, es el organismo encargado de normalizar este tipo de normas. Las
siguientes son algunas de las normas que componen la familia ISO/IEC 27000, las
cuales serán el marco teórico que se tendrá en cuenta para efectos del presente
trabajo: ISO/IEC 27000.
Esta norma proporciona una visión general de los sistemas de gestión de

seguridad de la información y contiene los términos y definiciones que se utilizan en
las diferentes normas de la 27000.
ISO/IEC 27001. La última versión de esta norma fue publicada a finales del 2013, y
corresponde a la principal norma de la serie 27000 debido a que contiene los
diferentes requisitos para establecer, implementar, mantener y 34 mejorar
continuamente un Sistema de Gestión de Seguridad de la Información en las
organizaciones independiente de su tipo, tamaño o naturaleza.
Esta norma también incluye los requisitos para la valoración y el tratamiento de

riesgos de seguridad de la información, adoptadas a las necesidades de la
organización.
La versión 2013 de la norma ISO 27001, alineo su estructura conforme a los

lineamientos definidos en el Anexo SL12 de las directivas ISO/IEC, con el objetivo
de mantener la compatibilidad entre las normas ISO de sistemas de gestión que se
han ajustado a este anexo.
Este enfoque de la estructura de la nueva ISO27001:2013 basado en el Anexo SL,

le ayuda a las organizaciones que deseen integrar sus diferentes sistemas de
gestión, como el de Calidad, Ambiental, Seguridad de la Información, etc., en un
único sistema integrado de gestión, debido a que las normas ISO que se han
ajustado al Anexo SL, manejan aspectos comunes como, la misma estructura de
alto nivel e idénticos títulos de numerales, textos y términos.
53
1.2.3. SOFTWARE ISO 27001
El Software ISO 27001 para la Seguridad de la Información se encuentra

compuesta por diferentes aplicaciones que, al unirlas, trabajan para que
la información que manejan las empresas no pierda ninguna de sus propiedades
más importantes: disponibilidad, integridad y confidencial.
1.2.4. BENEFICIOS DE IMPLANTAR UN SGSI DE ACUERDO A ISO

27001.
Como hemos mencionado más arriba, para las organizaciones la certificación bajo
la norma ISO 27001 de su Sistema de gestión de Seguridad de la
Información aporta:
1. Reduce el riesgo de que se produzcan pérdidas de información en las

organizaciones. Por pérdidas también entendemos robos y corrupciones en la
manipulación de la misma.
2. Se hace una revisión continua de los riesgos a los que están expuestos los
clientes. Adicionalmente, se hacen controles de manera periódica.
3. Establece una metodología gracias a la cual se puede gestionar la seguridad de la
información de forma clara y concisa.
4. Implanta medidas de seguridad para que los propios clientes puedan acceder a la
información.
5. Gracias a contar con dicho Sistema de Gestión, obliga a que se realicen auditorías
externas de manera periódica y este hecho permite identificar las incidencias que
pudiera haber en el Sistema de Gestión de Seguridad de la Información,
fomentando de este modo la mejora continua en la organización.
54
6. Contar un SGSI otorga a la organización una garantía frente a clientes y socios
estratégicos ya que muestra a la misma como un organismo preocupado por la
confidencialidad y seguridad de la información que es depositada en la misma.
7. Permite a las organizaciones continuar operando con normalidad en caso de
producirse problemas importantes.
8. Se puede hacer una integración conjunta con otros Sistemas de Gestión
Normalizados tales como ISO 9001, ISO 14001, OHSAS 18001 ,entre otras.
9. Hace que la organización esté cumpliendo con la legislación vigente en materia de
información personal y propiedad intelectual.
10. La seguridad en la información que ofrece implantar un SGCI de acuerdo a ISO
27001 favorece una reducción de los costes y un mejor funcionamiento de los
procesos.
11. Se convierte en un elemento favorable para la empresa frente a la competencia,
pues el contar con un SGSI le hace aumentar su imagen a nivel internacional.
12. Contribuye al incremento en la motivación del personal, ya que se desempeñan en
una organización comprometida con la seguridad de la información.
Por todas estas razones, la implantación de un Sistema de Gestión de la Calidad
de la Información de acuerdo al estándar internacional ISO 27001 se considera un
elemento relevante como refuerzo de la seguridad de sus activos de información,
así como una ayuda para gestionar de manera más eficaz todos los procesos del
negocio.
Para conocer más aspectos sobre los pasos necesarios para la implantación de un
SGSI en la organización recomendamos la lectura del artículo “ ISO 27001: Pasos
para la implantación de la política de seguridad y los procedimientos”.
En definitiva, al implantar un SGSI de acuerdo a ISO 27001, se reduce la

probabilidad de que ocurran incidentes relacionados con la información depositada
en nuestra empresa, aumentando de este modo la seguridad
55
1.2.5. CONCEPTO DE LA NORMA ISO 27002
La norma ISO 27002 (anteriormente denominada ISO 17799) es un estándar para

la seguridad de la información que ha publicado la organización internacional de
normalización y la comisión electrotécnica internacional. La versión más reciente de
la norma ISO 27002:2013.
La norma ISO 27002 proporciona diferentes recomendaciones de las mejores

prácticas en la gestión de la seguridad de la información a todos los interesados y
responsables para iniciar, implementar o mantener sistemas de gestión de la
La seguridad de la información se define en el estándar como “la preservación de
la confidencialidad, integridad y disponibilidad. Para saber más sobre los demás
dominios puede leer La norma ISO 27002 complemento para la ISO 27001.
La norma ISO 27002 se encuentra enfocada a todo tipo de empresas,

independientemente del tamaño, tipo o naturaleza.
La norma ISO 27002 se encuentra organizado en base a los 14 dominios, 35

objetivos de control y 114 controles.
El documento denominado política es aquel que expresa una intención e

instrucción general de la forma que ha sido expresada por la dirección de la
empresa.
El contenido de las políticas se basa en el contexto en el que opera una empresa y
suele ser considerado en su redacción todos los fines y objetivos de la empresa,
las estrategias adoptadas para conseguir sus objetivos, la estructura y los
procesos utilizados por la empresa. Además, de los objetivos generales y
específicos relacionados con el tema de la política y los requisitos de las políticas
procedentes de niveles mucho más superiores y que se encuentran relacionadas.
56
La estructura típica de los documentos de políticas puede ser:
Resumen: se establece una visión general de una extensión breve, uno o dos
frases y que pueden aparecer fusionadas con la introducción.
Introducción: se establece una pequeña explicación del asunto principal de la

política.
Ámbito de aplicación: es la descripción de los departamentos, áreas o actividades

de una empresa a las que afecta la política. Cuando es relevante en este apartado
se mencionan otras políticas relevantes a las que se pretende ofrecer cobertura
desde ésta.
Objetivos: es la descripción de la intención de la política.
Principios: se describen las reglas que conciernen a las acciones o decisiones

para conseguir los objetivos. En algunos casos puede ser de utilidad identificar de
forma previa los procesos calve que están asociados a un asunto principal de la
política para después identificar las reglas de operación de los procesos.
1.2.6. LA NORMA ISO 27002 Se Encuentra Enfocada A Todo Tipo

De EMPRESAS
Responsabilidades: descripción de quién es el responsable de qué acciones

pueda cumplir con los requisitos de la política. En algunos casos, esto puede incluir
una descripción de los mecanismos organizativos, además de las
responsabilidades de las personas que tienen sus roles asignados.
Resultados clave: describe todos los resultados relevantes para las actividades de
la empresa que se obtienen cuando se cumplen los objetivos.
57
Políticas relacionadas: se describen las políticas relevantes para cumplir con los
objetivos, se indican detalles adicionales en relación con los temas específicos.
La política de alto nivel se encuentra relacionada con un Sistema de Gestión de
Seguridad de la Información que suele estar apoyada por políticas de bajo nivel,
específicas para aspectos concretos en temáticas como el control de accesos, la
clasificación de la información, la seguridad física y ambiental, utilizar activos,
dispositivos móviles y protección contra los malware.
Si partimos del principio típico en seguridad “lo que no está permitido está
prohibido” cada empresa debe detectar las necesidades de los usuarios y valorar
los controles necesarios que fundamentan las políticas aplicables, que se aplican
en una mejor estructura y relaciones entre ellas para su gestión.
Directrices de la dirección en seguridad de la información

La gerencia debe establecer de forma clara las líneas de las políticas de actuación
y manifiesta su apoyo y compromiso a la seguridad de la información, publicando y
manteniendo políticas de seguridad en toda la empresa.
1.2.7. ACTIVIDADES DEL CONTROL DE RIESGO
La política para la seguridad de la información: se tiene que definir un conjunto

de políticas para la seguridad de la información, esto se aprobó por la dirección de
la organización, se publica y comunica a todos los empleados así como a todas las
partes externas relevantes.
Revisión de las políticas para la seguridad de la información: las políticas para

la seguridad de la información se debe planificar y revisar con regularidad o si
ocurren cambios significativos para garantizar su idoneidad, adecuación y
efectividad.
58
Métricas asociadas Cobertura de la política, es decir, el porcentaje de secciones
de la norma ISO 27002 para las cuales se han especificado, escrito, aprobado y
publicado políticas y sus normas, procedimientos y directrices asociadas. El grado
de despliegue y adoptar las políticas en las empresas.
1.2.8. EL ISM3 EN INFORMATICA.
ISM3 v1.20 Es un estándar para la creación de sistemas de gestión de la

seguridad de la información. ISM3 puede usarse por si solo o para mejorar
sistemas basados en ITIL, ISO27001 o Cobit.
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como

riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de
la seguridad de la información el garantizar la consecución de objetivos de negocio.
La visión tradicional de que la seguridad de la información trata de la prevención de
ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio
(como entregar productos a tiempo) de una organización con los objetivos de
seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).
Algunas características significativas de ISM3 son:
Métricas de Seguridad de la Información ISM3 hace de la seguridad un proceso

medible mediante métricas de gestión de procesos. Esto permite la mejora continua
del proceso, dado que hay criterios para medir la eficacia y eficiencia de los
sistemas de gestión de seguridad de la información.
Niveles de Madurez ISM3 se adapta tanto a organizaciones maduras como a

emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los
objetivos de seguridad de la organización y a los recursos que están disponibles.
59
Basado el Procesos - ISM3 v1.20 está basado en procesos, al igual que sistemas
de gestión populares como ISO9001 o ITIL.
ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la

información, dado que la externalización de procesos de seguridad se simplifica
gracias a mecanismos explícitos, como los ANS y la distribución de
responsabilidades.
Adopción de las Mejores Prácticas Una implementación de ISM3 tiene extensas

referencias a estándares bien conocidos en cada proceso, así como la distribución
explícita de responsabilidades entre los líderes, gestores y el personal técnico
usando el concepto de gestión Estratégica, Táctica y Operativa.
Certificación Los SGSI basados en ISM3 pueden certificarse bajo ISO9001 o

ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI
basado en ISO 27001. Esto también puede ser atractivo para organizaciones que
ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para
ISO9001.
1.2.9. DEFINICION DE UN ACTIVO DE INFORMACION ISO 27001.
ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en
una empresa. La revisión más reciente de esta norma fue publicada en 2013 y
ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó
en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
60
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin
fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad
de la información y muchas empresas han certificado su cumplimiento; aquí se
puede ver la cantidad de certificados en los últimos años:
ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en
una empresa. La revisión más reciente de esta norma fue publicada en 2013 y
ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó
en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin
fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la norma ISO 27001.
ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad

de la información y muchas empresas han certificado su cumplimiento; aquí se
puede ver la cantidad de certificados en los últimos años:
61
2.2 figura 1 Fuente: Encuesta ISO sobre certificaciones de la norma para sistemas de gestión
ISO 27001 tiene como objetivo proteger los activos de la información de cualquier
organización. Toda organización posee información importante que desea proteger
frente a cualquier situación que suponga un riesgo o amenaza. Esta información
que resulta fundamental para la organización es lo que se denomina activo.
Los activos de información pueden ser ficheros y bases de datos, contratos y
acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones,
software del sistema, etc.
Uno de los primeros pasos que se debe realizar es un inventario de los activos para
reconocerlos e identificarlos dentro de la organización. En este inventario hay que
clasificarlos y obtener toda la información posible como, por ejemplo, tipo de activo,
valor, localización, formato, etc.
Dentro del SGSI de ISO-27001, para cada activo, se debe establecer un propietario
que defina el grado de seguridad que hay que aplicarle al mismo, aunque no
necesariamente será la que gestione el día a día del mismo.
La Plataforma Tecnológica ISO Tools es capaz de proteger cada uno de los

activos de la organización según las disposiciones de ISO 27001, alcanzando una
mejora en la eficiencia y eficacia en la gestión de la seguridad de la información.
Figura 2 gestión del riesgo
62
1.3 PARA IMPLEMENTAR LA NORMA ISO 27001 EN UNA
EMPRESA, USTED TIENE QUE SEGUIR ESTOS PASOS.
1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su SGSI
63
10) Implementar todos los controles y procedimientos necesarios
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la documentación de su

SGSI
13) Monitorear y medir su SGSI.
1.3.1. SISTEMA DE GESTION DE SEGURIDAD DE LA

INFORMACION.
Figura 3
La información, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organización y asegurar
beneficios económicos. Las organizaciones y sus sistemas de información están
64
expuestos a un número cada vez más elevado de amenazas que, aprovechando
cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos
de información a diversas formas de fraude, espionaje, sabotaje o vandalismo.
Los virus informáticos, el “hacking” o los ataques de denegación de servicio son

algunos ejemplos comunes y conocidos, pero también se deben considerar los
riesgos de sufrir incidentes de seguridad causados voluntaria o
involuntariamente desde dentro de la propia organización o aquellos provocados
accidentalmente por catástrofes naturales y fallos técnicos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a

establecer estas políticas y procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener un nivel de exposición
siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
información y los asume, minimiza, transfiere o controla mediante una
sistemática definida, documentada y conocida por todos, que se revisa y mejora
constantemente.contemplar unos procedimientos adecuados y la planificación e
implantación de controles de seguridad basados en una evaluación de riesgos y
en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a

establecer estas políticas y procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener un nivel de exposición
siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
información y los asume, minimiza, transfiere o controla mediante una
sistemática definida, documentada y conocida por todos, que se revisa y mejora
constantemente.
65
1.3.2. UN SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION INCLUYE LO SIGUIENTES DOCUMENTOS.
En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha

mostrado gráficamente la documentación del sistema como una pirámide de
cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la
Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Figura 4
Manual de seguridad: por analogía con el manual de calidad, aunque el
término se usa también en otros ámbitos. Sería el documento que inspira y
dirige todo el sistema, el que expone y determina las intenciones, alcance,
objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
Procedimientos: documentos en el nivel operativo, que aseguran que se
realicen de forma eficaz la planificación, operación y control de los procesos de
66
Instrucciones, checklists y formularios: documentos que describen cómo se
realizan las tareas y las actividades específicas relacionadas con la seguridad
de la información.
Registros: documentos que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGSI; están asociados a documentos de los
otros tres niveles como output que demuestra que se ha cumplido lo indicado en
los mismos.
De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):
1. Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,

incluyendo una identificación clara de las dependencias, relaciones y límites que
existen entre el alcance y aquellas partes que no hayan sido consideradas (en
aquellos casos en los que el ámbito de influencia del SGSI considere un
subconjunto de la organización como delegaciones, divisiones, áreas, procesos,
sistemas o tareas concretas).
2. Política y objetivos de seguridad: documento de contenido genérico que
establece el compromiso de la dirección y el enfoque de la organización en la
gestión de la seguridad de la información.
3. Procedimientos y mecanismos de control que soportan al SGSI: aquellos
procedimientos que regulan el propio funcionamiento del SGSI.
4. Enfoque de evaluación de riesgos: descripción de la metodología a emplear
(cómo se realizará la evaluación de las amenazas, vulnerabilidades,
probabilidades de ocurrencia e impactos en relación a los activos de información
contenidos dentro del alcance seleccionado), desarrollo de criterios de
aceptación de riesgo y fijación de niveles de riesgo aceptables .
67
5. Informe de evaluación de riesgos: estudio resultante de aplicar la metodología
de evaluación anteriormente mencionada a los activos de información de la
organización.
6. Plan de tratamiento de riesgos: documento que identifica las acciones de la
dirección, los recursos, las responsabilidades y las prioridades para gestionar
los riesgos de seguridad de la información, en función de las conclusiones
obtenidas de la evaluación de riesgos, de los objetivos de control identificados,
de los recursos disponibles, etc.
7. Procedimientos documentados: todos los necesarios para asegurar la
planificación, operación y control de los procesos de seguridad de la
información, así como para la medida de la eficacia de los controles
implantados.
8. Registros: documentos que proporcionan evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI.
9. Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas
inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de
evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
Control de la documentación Para los documentos generados se debe
establecer, documentar, implantar y mantener un procedimiento que defina las
acciones de gestión necesarias para:
1. Aprobar documentos apropiados antes de su emisión.

2. Revisar y actualizar documentos cuando sea necesario y renovar su validez.
3. Garantizar que los cambios y el estado actual de revisión de los documentos
están identificados.
4. Garantizar que las versiones relevantes de documentos vigentes están
disponibles en los lugares de empleo.
5. Garantizar que los documentos se mantienen legibles y fácilmente identificables.
68
6. Garantizar que los documentos permanecen disponibles para aquellas personas
que los necesiten y que son transmitidos, almacenados y finalmente destruidos
acorde con los procedimientos aplicables según su clasificación.
7. Garantizar que los documentos procedentes del exterior están identificados.
8. Garantizar que la distribución de documentos está controlada.
9. Prevenir la utilización de documentos obsoletos.
10. Aplicar la identificación apropiada a documentos que son retenidos con algún
propósito.
1.3.3. IMPLEMENTACION DE UN SISTEMA DE GESTION DE

SEGURIDAD DE LA INFORMACION
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la

Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional
en los sistemas de gestión de la calidad.
1. Plan (planificar): establecer el SGSI.

2. Do (hacer): implementar y utilizar el SGSI.
3. Check (verificar): monitorizar y revisar el SGSI.
4. Act (actuar): mantener y mejorar el SGSI.
Definir el alcance del SGSI en términos del negocio, la organización, su

localización, activos y tecnologías, incluyendo detalles y justificación de
cualquier exclusión.
1.3.4. DEFINICION DE UNA POLITICA DE SEGURIDAD QUE:
69
1. Incluya el marco general y los objetivos de seguridad de la información de la
organización.
2. Considere requerimientos legales o contractuales relativos a la seguridad de la
información.
3. Esté alineada con el contexto estratégico de gestión de riesgos de la
organización en el que se establecerá y mantendrá el SGSI.
4. Establezca los criterios con los que se va a evaluar el riesgo.
5. Esté aprobada por la dirección.
6. Definir una metodología de evaluación del riesgo apropiada para el SGSI y los
requerimientos del negocio, además de establecer los criterios de aceptación
del riesgo y especificar los niveles de riesgo aceptable.
Lo primordial de esta metodología es que los resultados obtenidos sean

comparables y repetibles (existen numerosas metodologías estandarizadas para
la evaluación de riesgos, aunque es perfectamente aceptable definir una
propia).
1.3.5. IDENTIFICAR DE LOS RIESGO.
Identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios
1.3.6 IDENTIFICAR LAS AMENAZAS EN RELACON A LOS

ACTIVOS.
1. Identificar las vulnerabilidades que puedan ser aprovechadas por dichas

amenazas.
2. Identificar los impactos en la confidencialidad, integridad y disponibilidad de los
activos. Analizar y evaluar los riesgos.
70
3. Evaluar el impacto en el negocio de un fallo de seguridad que suponga la
pérdida de confidencialidad, integridad o disponibilidad de un activo de
información.
4. Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad
en relación a las amenazas, vulnerabilidades, impactos en los activos y los
controles que ya estén implementados.
1.3.7. ESTIMAS LOS NIVELES DE RIESGO.
1. determinar, según los criterios de aceptación de riesgo previamente

establecidos, si el riesgo es aceptable o necesita ser tratado.
2. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para.
3. aplicar controles adecuados.
4. aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y
criterios establecidos para la aceptación de los riesgos.
5. evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan.
6. transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de
outsourcing.
1.3.8. TAREAS DE LA GERENCIA EN UN SISTEMA DE GESTION

DE SEGURIDAD DE LA INFORMACION.
Uno de los componentes primordiales en la implantación exitosa de un Sistema

de Gestión de Seguridad de la Información es la implicación de la dirección. No
se trata de una expresión retórica, sino que debe asumirse desde un principio
que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por
tanto, de decisiones y acciones que sólo puede tomar la gerencia de la
organización.
71
No se debe caer en el error de considerar un SGSI una mera cuestión técnica o
tecnológica relegada a niveles inferiores del organigrama; se están gestionando
riesgos e impactos de negocio que son responsabilidad y decisión de la
dirección.
El término Dirección debe contemplarse siempre desde el punto de vista del
alcance del SGSI.
Es decir, se refiere al nivel más alto de gerencia de la parte de la organización

afectada por el SGSI (recuérdese que el alcance no tiene por qué ser toda la
organización).
1.3.9 ALGUNAS DE LAS TAREAS FUNDAMENTALES DEL SGSI

QUE ISO 27001 ASIGNA A LA DIRECCIÓN SE DETALLAN EN
LOS SIGUIENTES PUNTOS.
1. Asegurarse de que se establecen objetivos y planes del SGSI.

2. Establecer roles y responsabilidades de seguridad de la información.
3. Comunicar a la organización tanto la importancia de lograr los objetivos de
seguridad de la información y de cumplir con la política de seguridad, como sus
responsabilidades legales y la necesidad de mejora continua.
4. Asignar suficientes recursos al SGSI en todas sus fases.
5. Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
6. Asegurar que se realizan auditorías internas.
7. Realizar revisiones del SGSI, como se detalla más adelante.
72
1.4. PARA EL CORRECTO DESARROLLO DE TODAS LAS
ACTIVIDADES RELACIONADAS CON EL SGSI, ES
IMPRESCINDIBLE LA ASIGNACIÓN DE RECURSOS.
Es responsabilidad de la dirección garantizar que se asignan los suficientes

para;
1. Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el

SGSI.
2. Garantizar que los procedimientos de seguridad de la información apoyan los
requerimientos de negocio.
3. Identificar y tratar todos los requerimientos legales y normativos, así como las
obligaciones contractuales de seguridad.
4. Aplicar correctamente todos los controles implementados, manteniendo de esa
forma la seguridad adecuada.
5. Realizar revisiones cuando sea necesario y actuar adecuadamente según los
resultados de las mismas.
6. Mejorar la eficacia del SGSI donde sea necesario.
1.4.1. INTEGRACIÓN DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN CON OTROS SISTEMAS DE
GESTIÓN.
Un SGSI es, en primera instancia, un sistema de gestión, es decir, una

herramienta de la que dispone la gerencia para dirigir y controlar un
determinado ámbito, en este caso, la seguridad de la información.
La gestión de las actividades de las organizaciones se realiza, cada vez con

más frecuencia, según sistemas de gestión basados en estándares
73
internacionales: se gestiona la calidad según ISO 9001, el impacto medio-
ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS
18001.
Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la
información. Las empresas tienen la posibilidad de implantar un número variable
de estos sistemas de gestión para mejorar la organización y beneficios sin
imponer una carga a la organización.
El objetivo último debería ser llegar a un único sistema de gestión que

contemple todos los aspectos necesarios para la organización, basándose en el
ciclo PDCA de mejora continua común a todos estos estándares. Las facilidades
para la integración de las normas ISO son evidentes mediante la consulta de
sus anexos.
ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre

esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación
existente y se puede intuir la posibilidad de integrar el sistema de gestión de
seguridad de la información en los sistemas de gestión existentes ya en la
organización.
Algunos puntos que suponen una novedad en ISO 27001 frente a otros
estándares son la evaluación de riesgos y el establecimiento de una declaración
de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de
normas en un futuro.
En nuestras secciones de Faqs y de Artículos, podrá encontrar más

informaciones acerca de la integración del SGSI con otros sistemas de gestión.
74
PRESENTAR ESCENARIO DE APLICACIÓN DE LA PROPUESTA,
LEVANTAMIENTO DE RIGOR
1.5. DISEÑO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA

INFORMACION
Este capítulo corresponde al desarrollo de las diferentes fases que se definieron

para el diseño del Sistema de Gestión de Seguridad de la Información de la
empresa MEDTRONIC las cuales contemplan una serie de actividad cuya
ejecución permiten alcanzar los objetivos específicos establecidos para el logro
del objetivo general del presente trabajo de grado.
A lo largo de este capítulo, se relacionan los diferentes elementos, insumos,

datos recolectados, valoraciones y cálculos realizados para el desarrollo de
cada una de las actividades de las fases de la metodología definida para el
diseño del Sistema de Gestión de Seguridad de la Información de la Entidad.
Los siguientes son algunos de estos elementos:
1. La información o datos que se obtuvieron a través de las diferentes técnicas de

recolección de información y que utilizaron con insumo para llevar a cabo los
respectivos análisis y diagnósticos.
2. El resultado de cada uno de los análisis realizados.
3. El resultado del proceso de valoración de riesgos.
4. Los capítulos de la norma ISO/IEC 27001:2013 que contienen los
requerimientos de seguridad que se deben cumplir.
5. Los objetivos de control y controles relacionados en el Anexo A de la norma
ISO/IEC 27001:2013.
75
1.5.1. DIAGNOSTICO
En este capítulo se presentan los diagnósticos que se realizaron con el objetivo
de poder tener un conocimiento inicial de la situación que presenta la entidad
frente al establecimiento de un Sistema de Gestión de Seguridad de la
Información basado en la norma ISO/IEC 27001:2013.
1.5.2. DIAGNOSTICO ESTADO ACTUAL DE LA SEGURIDAD
El capítulo DIAGNOSTICO, SITUACION DEL PROBLEMA del presente

documento, presenta un análisis detallado de las diferentes situaciones que
afectan la seguridad de la entidad que permitieron establecer que el problema
está asociado a un “Inadecuado Modelo de Gestión de Seguridad de la
Información”.
En términos general, las siguientes fueron las situaciones identificadas:
1. Falta de un adecuado Gobierno de Seguridad en la Entidad.

2. La falta de concienciación, apropiación y conocimiento en temas de seguridad
por parte de todos los funcionarios
3. No existe una participación activa de toda la organización en la definición de
controles de seguridad basados en una evaluación de riesgos
4. Los funcionarios no conciben la diferencia entre seguridad informática y
seguridad de la información
5. No se cuentas con un sistema de información adecuado para la gestión de
riesgos de seguridad.
6. No existe una valoración de riesgos de seguridad.
7. La política de seguridad no está alineada con los objetivos del negocio.
76
1.5.3. IDENTIFICACION ESTRATIFICACION DE LA ENTIDAD
La identificación del nivel de estratificación de la entidad permite identificar de

forma general, el nivel de complejidad que le puede significar a la entidad la
implementación de su Sistema de Gestión de Seguridad de la Información.
Para establecer el nivel de estratificación de la entidad se utilizó el formato

relacionado en el Anexo A del presente trabajo de grado, el cual, se muestra a
continuación con las respuestas que fueron seleccionadas de acuerdo a la
información suministrada por la entidad y el respectivo el puntaje asignado a
cada una de ellas, puntajes que fueron sumados para así obtener el valor de
estratificación de la entidad:
En términos general, las siguientes fueron las situaciones identificadas:
1. Falta de un adecuado Gobierno de Seguridad en la Entidad.

2. La falta de concienciación, apropiación y conocimiento en temas de seguridad
por parte de todos los funcionarios
3. No existe una participación activa de toda la organización en la definición de
controles de seguridad basados en una evaluación de riesgos
4. Los funcionarios no conciben la diferencia entre seguridad informática y
seguridad de la información
5. No se cuentas con un sistema de información adecuado para la gestión de
riesgos de seguridad.
6. No existe una valoración de riesgos de seguridad.
7. La política de seguridad no está alineada con los objetivos del negocio.
El puntaje total de la estratificación se determina por la suma de los puntajes

independientes obtenidos de cada una de las respuestas, que para el caso de la
entidad es igual a 22 puntos.
77
El nivel de estratificación de la entidad, de acuerdo al puntaje obtenido, se determina
con base en los rangos de valores relacionados en la siguiente tabla:
Tabla 1 Rangos de Estratificación de Entidades
RANGO DE PUNTOS ESTRATO

Menor a 10 puntos BAJO
Entre 11 y 22 puntos MEDIO
Mayor a 22 puntos ALTO
De acuerdo al puntaje obtenido por la entidad, 22 puntos, el nivel de estratificación de

la misma se encuentra clasificado en un nivel MEDIO, lo que inicialmente implicaría un
esfuerzo considerable para la implementación de su Sistema de Gestión de Seguridad
de la Información.
Con base en la información suministrada por la Entidad para determinar su nivel de

estratificación, se realizaron los siguientes análisis:
1. El presupuesto de la entidad para el año 2014 fue aproximadamente de

$146.362.311.000, lo que supondría que la entidad pude asegurar la disponibilidad de
los recursos necesarios para el Sistema de Gestión de Seguridad de la Información de
acuerdo a lo establecido en el numeral c)´Liderazgo y Compromiso’ de la norma
ISO/IEC 27001:2013.
2. El número de computadores y servidores que posee la entidad, implica un mayor

esfuerzo para garantizar la seguridad de estos activos de información, por lo tanto, es
esencial que se incluyan en el proceso de valoración de riesgos para determinar su
nivel de protección y las medidas de seguridad a implementar para salvaguardarlos. Lo
78
anterior es indispensable para cumplir los requerimientos establecidos en los controles
‘Valoración de riesgos de la seguridad de la información’ y ‘Tratamiento de riesgos de
la seguridad de la información’ de la norma ISO/IEC 27001:2013.
3. El número de empleados de la aérea de tecnología, refleja el tamaño de la entidad y

los recursos que implica atender los requerimientos de los usuarios y la prestación de
los servicios de tecnología. A pesar de que el área de tecnológica cuenta con estos
recursos humanos, los mismos pueden no ser suficientes para la implementación de
las medidas y controles que se establezcan productos de los diagnósticos y valoración
de riesgos de seguridad que se realicen. Por lo tanto, este un factor que puede implicar
un mayor esfuerzo para la implementación de su Sistema de Gestión de Seguridad de
la Información.
4. El área de tecnología de la entidad, además de administrar y proveer los recursos

tecnológicos, planea y desarrolla proyecto, factor fundamente en caso de requerir la
implementación planes de acción y/o medidas de seguridad que impliquen el
establecimiento de un proyecto para su ejecución.
1.5.4. NIVEL DE CUMPLIMIENTO - ISO 27001:2013.
Por medio de este análisis, se estableció el nivel de cumplimiento de la entidad con

relación a los objetivos de control y controles definidos en el Anexo A de la norma
ISO/IEC 27001:2013, cuyo resultado permitió definir una serie de acciones orientas a
poder cerrar las brechas encontradas que deben ser implementadas por la entidad en
la fase de operación del SGSI con el objetivo de asegurar la integridad,
confidencialidad y disponibilidad de su información.
Para realizar este diagnóstico se utilizó una lista de chequeo basada en un conjunto de
preguntas con opción de respuesta ‘SI’ o ‘NO’, que fue respondida por funcionarios de
las áreas de la entidad de acuerdo al objetivo de control que se estaba evaluando. Las
áreas que participaron en esta evaluación fueron, la Vicepresidencia de Riesgos,
79
Dirección de Tecnología, Gestión Humana y Jefatura de Recursos Físicos, ya que los
controles de la norma ISO/IEC 27001:2013 están orientados a proteger la seguridad de
las personas, de la infraestructura física y lógica, de los recursos tecnológicos y por
ende de la información.
El formato utilizado para realizar este diagnóstico corresponde al ANEXO B del
presente documento, el cual, contiene las preguntas que se plantearon para evaluar
cada uno de los controles y las respectivas respuestas dadas por los usuarios. Con
base en la información recopilada, los siguientes son los resultados del análisis
realizado:
De acuerdo a la siguiente gráfica, el nivel de cumplimiento de la entidad con relación a

los controles del Anexo A de la norma ISO 27001:2013, es de 46.09%:
Figura 5 . Nivel de cumplimiento controles Anexo A ISO 27001:2013 Fuente: El
autor
Lo anterior significa que la implementación del Sistema de Gestión de Seguridad de la

información de acuerdo al nivel de cumplimiento de los controles establecidos en el
Anexo A de la norma ISO/IEC 27001:2013, le implicará a la entidad un refuerzo
considerable debido a la ausencia de controles o al bajo grado de cumplimiento de
muchos de ellos.
Algunos de estos controles requieran la adquisición, adecuación o mejora de
mecanismos y herramientas tecnológicas con el propositivo de poder garantizar su
debida efectividad, lo que implica, que en algunos de estos casos la entidad deberá
adelantar procesos de contratación para la adquisición de soluciones tecnológicas
80
cuyos costos pueden ser elevados y su implementación puede demandar un tiempo
considerable.
El nivel de cumplimiento de los controles del Anexo A de la ISO 27001:2013 indica, el

grado de madures de la entidad frente a la gestión de la seguridad de la información, el
nivel de protección de sus activos de información, el nivel de cumplimiento de la
normatividad vigente relacionada con seguridad de la información y el nivel de riesgos
de la entidad a partir de los controles implementados de acuerdo al cumplimiento
riguroso de los requerimientos establecidos en la norma.
El modelo de seguridad de la información para la estrategia de gobierno en línea,

SISTEMA SANSI, determina que el nivel de riesgo de las entidades a partir del nivel de
cumplimiento de los controles se clasifica en Alto, Medio y Bajo. Con base en esta
clasificación se definió la siguiente tabla de medición.
81
Tabla 2. Nivel de riesgos vs nivel cumplimiento controles
Porcentaje
Cumplimie
nto Nivel de riesgo e implicaciones
Controles
Alto Bajo Los controles de seguridad que se tienen implementados

demuestran un grado alto de madures de la entidad hacia la
seguridad de la información y un nivel apropiado de protección
De sus activos de información. Esta situación representa un
Riesgo bajo para la entidad.
Medi
Medio o La entidad cuenta con controles implementados, algunos de ellos
no documentos o no adecuados, que requieren su revisión en un
Medio plazo para mejorar su efectividad y su cumplimiento. Esta
situación representa un Riesgo Medio para la entidad debido a la
presencia de debilidades en algunos de sus controles que
pueden ser aprovechadas por amenazas internas o externas
Para atentar contra la seguridad de la información. También es
necesario revisar el nivel cumplimiento de la normatividad
Vigente relacionada con seguridad de la información.
Bajo Alto La ausencia de controles o el bajo grado de cumplimiento de los

mismos, representa un riesgo ALTO para la entidad debido al
inadecuado nivel de protección de sus activos de información y/o
al incumplimiento de la normatividad vigente relacionado con
Seguridad de la información. Para este caso, es necesario que se
implementen con carácter urgente las medidas de seguridad en
Un corto plazo con el objetivo de cerrar las brechas encontradas.
82
De acuerdo al nivel de cumplimento frente al Anexo A de la norma ISO/IEC
27001:2013, la entidad se encuentra en un grado MEDIO de implementación (46.09%)
de los requerimientos establecidos en los objetivos de control y controles de este anexo
y en un nivel de riesgo MEDIO con relación al nivel de protección y efectividad de los
controles implementados.
El siguiente es el resultado de la evaluación de cada uno de los objetivos de control del

Anexo A de la norma ISO/IEC 27001:2013:
Figura 6 . Nivel Cumplimiento Objetivos de Control Anexo A ISO 27001:2013

Fuente:Autor
83
CAPITULO II
2. PRESENTAR PROPUESTA DE IMPLEMENTACIÓN DE GESTIÓN

DE LA SEGURIDAD DE LA INFORMACIÓN.
Un Sistema de Gestión de Seguridad de la Información le permitirá a la Entidad

fortalecer integralmente en cada uno de sus colaboradores, los pilares
fundamentales de la seguridad correspondiente a la integridad, confidencialidad y
disponibilidad de la información, lo cual, ayuda a forjar, fomentar y extender en toda
la organización una cultura apropiada de seguridad de la información.

estándar de seguridad reconocido a nivel mundial, como es la norma ISO 27001,
permitirá estructurar las bases necesarias que permiten forjar un adecuado modelo
de seguridad en la empresa MEDTRONIC basado en mejores practica para la
implementación de este tipo de sistemas y sobre todo, permitirá garantizar su mejora
continua y su debida permanecía y evolución en el tiempo.
Un Sistema de Gestión de Seguridad de la Información, le permitirá a la empresa

MEDTRONIC gestionar de manera efectiva los riesgos asociados a la seguridad de
la información mediante la identificando de amenazas que puedan llegar con
comprometer la integridad, disponibilidad y confidencialidad de sus activos de
información y con esto poder establecer los mecanismos para minimizar el impacto
en caso de presentarse la materialización de una vulnerabilidad.
La implementación de un adecuado Modelo de Seguridad de la Información

demuestra el compromiso de la organización hacia la Seguridad de la Información y
le proporciona a la empresa MEDTRONIC las herramientas y elementos necesarios
para alcanzar de manera efectiva los siguientes objetivos de seguridad:
84
1. Fomentar la cultura de Seguridad de la Información en todos los niveles de la
organización, lo cual facilita la tarea de proteger sus activos de información.
2. Generar sentido de pertenencia y apropiación en temas de seguridad en cada uno de
los funcionarios de la entidad, logrando con ello la participación activa de toda la
organización con relación a la planeación, definición, identificación e implementación
de controles y medidas orientadas a salvaguardar la seguridad de la información de
la organización.
3. Generar mayor conciencia en los funcionarios de la Entidad con relación a los
riesgos que pueden afectar la seguridad de la información evitando fugas de
información por ataques externos.
4. Promover a que los funcionarios adopten, interioricen y acaten la política,
procedimientos y las prácticas de seguridad definidas en la entidad, y a su vez
comprendan las implicaciones, peligros y riesgos de sus acciones.
2.1. IDENTIFICAR LOS RIESGOS.
Identificar los activos que están dentro del alcance del SGSI y a sus responsables
directos, denominados propietarios.
2.2. IDENTIFICAR LAS AMENAZAS EN RELACIÓN A LOS ACTIVOS.
5. Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
6. Identificar los impactos en la confidencialidad, integridad y disponibilidad de los
activos. Analizar y evaluar los riesgos.
7. Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de
confidencialidad, integridad o disponibilidad de un activo de información.
8. Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en
relación a las amenazas, vulnerabilidades, impactos en los activos y los controles
que ya estén implementados.
85
2.3. ESTIMAR LOS NIVELES DE RIESGO.
7. determinar, según los criterios de aceptación de riesgo previamente establecidos, si

el riesgo es aceptable o necesita ser tratado.
8. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para.
9. aplicar controles adecuados.
10. aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios
establecidos para la aceptación de los riesgos.
11. evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan.
12. transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de
outsourcing.
2.4. TAREAS DE LA GERENCIA EN UN SISTEMA GESTIÓN DE

Uno de los componentes primordiales en la implantación exitosa de un Sistema de

Gestión de Seguridad de la Información es la implicación de la dirección. No se trata
de una expresión retórica, sino que debe asumirse desde un principio que un SGSI
afecta fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones
y acciones que sólo puede tomar la gerencia de la organización.
No se debe caer en el error de considerar un SGSI una mera cuestión técnica o
tecnológica relegada a niveles inferiores del organigrama; se están gestionando
riesgos e impactos de negocio que son responsabilidad y decisión de la dirección.
El término Dirección debe contemplarse siempre desde el punto de vista del alcance
del SGSI.
Es decir, se refiere al nivel más alto de gerencia de la parte de la organización

afectada por el SGSI (recuérdese que el alcance no tiene por qué ser toda la
organización).
86
2.5. ALGUNAS DE LAS TAREAS FUNDAMENTALES DEL SGSI QUE
ISO 27001 ASIGNA A LA DIRECCIÓN SE DETALLAN EN LOS
SIGUIENTES PUNTOS.
1. Asegurarse de que se establecen objetivos y planes del SGSI.

2. Establecer roles y responsabilidades de seguridad de la información.
3. Comunicar a la organización tanto la importancia de lograr los objetivos de
seguridad de la información y de cumplir con la política de seguridad, como
sus responsabilidades legales y la necesidad de mejora continua.
4. Asignar suficientes recursos al SGSI en todas sus fases.
5. Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
6. Asegurar que se realizan auditorías internas.
7. Realizar revisiones del SGSI, como se detalla más adelante.
2.6. PARA EL CORRECTO DESARROLLO DE TODAS LAS

ACTIVIDADES RELACIONADAS CON EL SGSI, ES IMPRESCINDIBLE
LA ASIGNACIÓN DE RECURSOS.
Es responsabilidad de la dirección garantizar que se asignan los suficientes para

establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.
1. Garantizar que los procedimientos de seguridad de la información apoyan los

requerimientos de negocio.
2. Identificar y tratar todos los requerimientos legales y normativos, así como las
obligaciones contractuales de seguridad.
3. Aplicar correctamente todos los controles implementados, manteniendo de
esa forma la seguridad adecuada.
87
4. Realizar revisiones cuando sea necesario y actuar adecuadamente según los
resultados de las mismas.
5. Mejorar la eficacia del SGSI donde sea necesario.
2.1.1. ANALISAR LA STUACION ACTUAL DE LA ENTIDAD, CON

RELACIÓN A LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.
A pesar de las acciones que se han realizado con el objetivo de fortalecer la

Seguridad de la Información en la empresa MEDTRONIC, situaciones como, la falta
de un adecuado modelo de Gobierno de Seguridad de la Información, la no
existencia y de un sistema de información que apoye la gestión de riesgos de
seguridad y la poca concienciación, apropiación y conocimiento en temas de
seguridad por parte de los funcionarios de la empresa MEDTRONIC, debido, tal vez
a una sensación de seguridad que hace pensar que nada va a pasar o que en
algunos casos no le dan la importancia a la seguridad de la información por su
intangibilidad, generan la poca efectividad de las acciones que en materia de
seguridad de la información se realicen en la empresa MEDTRONIC. Esta situación,
también implica que los funcionarios no conciben la diferencia entre seguridad
informática y seguridad de la información.
La empresa MEDTRONIC no cuenta con sistema de información adecuado y robusto

para la gestión de riesgos de seguridad, lo que dificulta establecer y visualizar el
estado global y transversal de su seguridad, en cuanto a personas, procesos y
tecnología, e implica entre otros aspectos, que no existe la participación activa de
toda la organización con relación a la definición de procedimientos adecuados y a la
planeación e identificación de controles de seguridad basados en una evaluación de
riesgos y en una medición de la eficacia de los mismos. La Entidad requiere asegurar
sus activos de información
Con el propósito de proteger su exactitud y totalidad con el fin de que los mismos
solo sean accesibles por aquellas personas que estén debidamente autorizadas.
88
La empresa MEDTRONIC no cuenta con una metodología para la identificación y
clasificación de sus activos de información y para la valoración y tratamiento de
riesgos de seguridad de la información, lo que implica, que no cuenta con una visión
global del estado de su seguridad.
La Dirección de Tecnología realiza algunas funciones propias de seguridad de la

información, lo cual va en contravía con las mejores prácticas definidas en modelos y
estándares de seguridad. Por lo tanto, es indispensable segregar las funciones de
seguridad de la información y seguridad informática con el propósito de evitar que
coexistan funciones que requieren diferentes niveles de seguridad.
2.1.2. POLITICAS DE SEGURIDAD DE LA INFORMACION.
Se elaboro el manual de Políticas de Seguridad de la información, que corresponde

al documento que contiene las políticas, normas y lineamientos que regirán la
seguridad de la información en la entidad y las responsabilidades y obligaciones de
todos los colaboradores y terceros que tengan acceso a la información de la entidad.
El debido cumplimiento de las políticas de seguridad de la información por parte

todos los colaboradores y de terceros que tienen relación alguna con la entidad,
permite minimizar al máximo los riesgos asociados con la seguridad de la
información, pero para alcanzar este propósito, es necesario que la política del
sistema de gestión de seguridad de la información sea impulsada por la alta directiva
de la entidad.
En el presente trabajo se definido la política del Sistema de Gestión de Seguridad de

la información y política que lo soportan (ver Anexo C), las cuales demuestran que
existe un compromiso expreso por para de la Alta Directiva con relación a la
seguridad de la información. Adicional, a estas políticas es necesario contar con
políticas relacionadas de seguridad involucren aspectos administrativos, físicos y
89
tecnológicos orientadas a proteger los activos de información a través de los cuales
se gestiona la información del negocio.
Es fundamental divulgar en la entidad de forma adecuada el propósito de las

políticas de seguridad de la información antes de su aplicación, con el objetivo de
que los colaboradores y terceros comprendan como estas políticas ayudan a
proteger la confidencialidad, integridad y disponibilidad de la información del negocio.
Esta labor es esencial, para que los usuarios no vean en estas políticas como una
serie de restricciones que les complicaran sus labores diarias, sino por el contrato, lo
que se busca con una adecuada socialización es conseguir que los usuarios
entiendan los riesgos a los cuales está expuesta la entidad y las necesidades de
tener unas normas para evitarlos.
2.1.3. INCIDENTES DE SEGURIDAD.
El objetivo principal de la Gestión de Incidentes de Seguridad de la información es

proveer un mecanismo estructurado y planificado que permita gestionar de manera
adecuada los incidentes de seguridad que puede afectar la disponibilidad, integridad,
confidencialidad de la información de la entidad.
La Gestión de Incidentes de seguridad de la información debe garantizar que:
1. Los eventos de seguridad de la información se detectan y tratan con eficiencia,

con el propósito de identificar si los mismos se clasifican como incidentes de
2. Los incidentes de seguridad de la información se gestionan de forma eficiente y

adecuada.
90
3. Se implementan las medidas de seguridad adecuadas con el objetivo de mitigar
los incidentes presentados.
4. La entidad aprende de las lecciones que dejan los incidentes de seguridad, con el
fin de mejorar las medidas y mecanismos orientados a proteger la seguridad de la
información.
5. Se disponen de mecanismo que permitan cuantificar y monitorear los incidentes

de seguridad de la información.
Para una adecuado gestión de incidentes se seguridad, es necesarios que todos los
colaboradores y terceros que laboren o tengan relación con la entidad, identifiquen o
detecten un evento de seguridad de la información que pueden afectar la
Disponibilidad, Integridad y Confidencialidad de los activos de información a través
de los cuales se gestiona la información de la entidad, y los reportar de manera
oportuna a la áreas encargadas de analizar y determinar las medidas para contener
los incidentes de seguridad.
Así mismo, le entidad debe contar con el equipo de Respuesta a Incidentes de

Seguridad de la información, quien tendrá la responsabilidad de analizarlos y
trataros.
2.1.4. CICLO DE MEJORA CONTINÚA VS NORMA ISO/IEC

27001:2013.
El ciclo de mejora continua, también conocido como ciclo PDCA (del inglés plan-do-
check-act) o PHVA (planificar-hacer-verificar-actuar) o Ciclo de Deming por ser
Edwards Deming su creador, es uno de los sistemas más usados para la
implementación de un sistema de mejora continua, el cual establece los siguientes
cuatro pasos o fases esenciales que de forma sistemática las organizaciones deben
llevar a cabo para lograr la mejora continua de sus sistemas de gestión:
91
Figura 7. Ciclo de mejora continua (Ciclo Deming).
1. Fase Planificar (Plan): En esta fase se establecen los objetivos a alcanzar y las
actividades del proceso susceptibles de mejora, así como los indicadores de
medición para controlar y cuantificar los objetivos.
2. Pase Hacer (Do): En esta fase se ejecuta el plan establecido que consiste en
implementar las acciones para lograr mejoras planteadas.
3. Fase Verificar (Check): Una vez implantada la mejora, se establece un periodo de
prueba para verificar el correcto funcionamiento de las acciones implementadas.
4. Fase Actuar (Act): Se analizan los resultados de las acciones implementadas y si
estas no se cumplen los objetivos definidos se analizan las causas de las
desviaciones y se generan los respectivos planes de acciones.
En la versión 2013 de la norma ISO/IEC 27001, no aparece la sección de “Enfoque

basado en procesos” que existía en la versión 2005, lo cual brinda una mayor
flexibilidad en el momento de seleccionar o definir un modelo para la mejora continua
del Sistema de Gestión de Seguridad de la Información.
92
CAPITULO III
DEFINIR LA POLITICA, ALCANCE Y OBJETIVOS DEL SISTEMA DE

GESTION DE LA SEGURIDD DE LA INFORMACION.
3. OBJETO Y ALCANCE
La evolución tecnológica ha provocado que las Tecnologías de la Información y

Comunicaciones desempeñen un rol estratégico dentro de los procesos claves de las
Organizaciones.
Bajo este concepto, es necesario considerar la vital importancia que adquiere la

información procesada por los recursos tecnológicos y humanos que forman parte de
una empresa. Es por ello que se hace necesario establecer políticas que garanticen
la seguridad de la información puesto que se trata del activo más importante de las
empresas.
El objeto del presente documento es la declaración de las Políticas de Seguridad del

Sistema de Gestión Seguridad de la Información de MEDTONIC Estas Políticas de
Seguridad se desarrollan posteriormente en Normativas, Procedimientos e
Instrucciones específicas y se verifica su implantación mediante registros y
auditorías.
Este documento se articulará a través del propio Sistema de Gestión de Seguridad

de la Información basado en la norma internacional ISO/UNE 27001 tratando de
forma más detallada todos los aspectos necesarios para la correcta gestión de la
seguridad de la información de la empresa.
93
El alcance del proyecto se encuentra definido en el documento llamado “SGSI-
SIS001-Alcance del Sistema”.
3.1. REFERENCIAS.
Esta Política está ampliada y respaldada por los siguientes documentos del SGSI:
Tabla 3
OTROS DOCUMENTOS DEL SGSI
Código Documento
SGSI-SIS-001 Alcance del Sistema
SGSI-SIS-002 Metodología de Análisis de Riesgo
SGSI-REG-AR-R01 Análisis de Riesgo
SGSI-REG-AR-R02 Tratamiento de Riesgo
SGSI-SIS-005 Declaración de Aplicabilidad
SGSI-SIS-006 Manual de Gestión del SGSI
3.2. PRINCIPIOS Y OBJETIVOS DE LA POLÍTICA GENERAL DE

MEDTRONIC como empresa de logística que lleva años dando servicios a clientes,
es consciente de la importancia que adquiere la Seguridad de la Información para las
actividades de negocio de la propia organización y de los servicios que ofrece.
Es por ello es que MEDTRONIC ha implantado un Sistema de Gestión de Seguridad
de la Información (SGSI) basado en la norma internacional ISO/UNE 27001 que
garantiza todos los aspectos de seguridad de la información, en términos de
confidencialidad, integridad y disponibilidad de la información, relacionados con sus
procesos de negocio, servicios ofrecidos a sus clientes y cualquier otra actividad
relacionada con la operativa de la compañía.
94
La presente Política establece los objetivos de seguridad de la Empresa y se
desarrolla mediante normativas, procedimientos e instrucciones técnicas para
obtener los objetivos globales de seguridad exigidos.
MEDTRONIC se apoya en: La aplicación de una Metodología de Análisis y Gestión
de Riesgos, definida por la Organización y aprobada por la Dirección, para identificar,
evaluar y tratar los riesgos a los que está expuesta en base a criterios previamente
definidos por la Metodología y cumplir sus objetivos de negocio.
1. Protección el conjunto de la información de la Organización contra incidencias

internas y externas, accidentales o no.
2. Aseguramiento de que: la información está protegida contra los accesos no
autorizados.
3. Se mantiene la confidencialidad, la integridad y la disponibilidad de la información.
4. Se cumplen los requisitos legales, los impuestos por la Organización y por las partes
interesadas.
5. Se desarrollan planes de formación a los empleados.
6. Se diseñan las estrategias de continuidad del negocio ante contingencias.
7. Se detectan y reportan todas las vulnerabilidades del sistema para evitar incidencias.
8. Existencia de procedimientos que definen las pautas de actuación y de registros que
lo evidencian.
Con todo ello, MEDTRONIC, establece y aprueba unos objetivos en Seguridad para
el logro de:
1. Mejora interna. Rallo Hermanos S.A. es consciente de la importancia que tiene la

mejora continua de sus procesos internos con el objeto final de proteger la
información estratégica de la compañía, de los clientes y de los colaboradores.
2. Mejora de los servicios ofrecidos. MEDTRONIC establece una relación estrecha con
todos sus clientes garantizando la aplicación de todas las medidas de seguridad
necesarias para preservar la confidencialidad, integridad y disponibilidad de la
información en todos los servicios ofrecidos caracterizados por su alta calidad y
95
eficacia, principal argumento en el cual se ha cimentado la confianza de sus clientes
desde el nacimiento de la compañía.
La Gerencia de la compañía conoce y aprueba las políticas y normativas de

seguridad establecidas declarando que todo el personal de la compañía debe
conocer sus responsabilidades en materia de seguridad de la información y aplicar
las normativas de seguridad establecidas, como parte de sus funciones de trabajo
obligatorias dentro de la Organización.
Para la aplicación efectiva de las políticas y normativas establecidas en el ámbito del

SGSI de MEDTRONIC se habilitarán los recursos necesarios, estableciendo un
Comité de Seguridad y un Responsable de Seguridad, encargados de velar por el
satisfactorio cumplimiento de las responsabilidades establecidas, de la revisión de la
Política y actualización al menos anualmente; de su publicación; de las acciones
auditoras que sean requeridas; y de la atención y resolución de las Incidencias de
Seguridad que pudieran tener lugar.
3.3. CONSIDERACIONES GENERALES USO ADECUADO DE LAS

TIC.
Las políticas definidas en este documento están relacionadas con los activos que
manejan información y que son asignados a usuarios, el CPD (Centro de Procesos
de Datos), aspectos relacionados con la propiedad de la información que es creada y
manipulada por los usuarios y la utilización inadecuada de los recursos que la
Empresa pone a disposición de los empleados para que desarrollen sus actividades.
3.4. CONTRASEÑAS.
96
El cumplimiento de las políticas de contraseñas por parte de los empleados de
MEDTRONIC es extremadamente importante ya que constituyen la primera línea de
defensa para garantizar que la información solo sea accedida por el personal
autorizado.
Tanto equipos, sistemas y datos utilizan mecanismos de contraseñas para controlar

el acceso.
No existe ningún control que pueda prevenir el acceso no autorizado a la información

si un usuario viola esta política, de ahí su relevancia.
3.5. CORREO ELECTRÓNICO E INTERNET.
Internet se ha convertido en una herramienta imprescindible en el ámbito profesional

de uso prácticamente diario y habitual para cualquier puesto de trabajo.
Pero a la vez también puede ser fuente de amenazas invisibles que pongan en
riesgo la integridad, la disponibilidad y la confidencialidad de la información que
maneja la Organización.
Es por ello que desde MEDTRONIC, se ha establecido una política de uso que es de
obligado cumplimiento para los empleados que utilicen los medios de los que
dispone la empresa para el acceso a Internet
3.6. POLÍTICA PARA EL USO ADECUADO DE LAS TECNOLOGÍAS

DE INFORMACIÓN Y COMUNICACIONES.
97
Como despliegue de la Política General de Seguridad descrita en el punto anterior,
MEDTRONIC ha definido otras políticas de menor nivel que informan de manera más
detallada a las partes interesadas para facilitar su cumplimiento. No se trata de
redactar procedimientos operativos o instrucciones de trabajo, sino directrices
definidas por la alta dirección para alertar a los intervinientes y participantes del SGSI
de la importancia del cumplimiento de los requisitos establecidos.
Bajo ninguna circunstancia los empleados de MEDTRONIC, pueden utilizar los

recursos que la empresa les facilita para realizar actividades prohibidas, ilícitas o que
dañen la imagen de la Organización.
3.7. POLITICA DE CONTROL DE ACCESOS.
Como punto de partida para una adecuada implantación de un sistema de seguridad,

se establece el control de la seguridad física de acceso a los sistemas automatizados
de gestión de información, así como a la propia información que pueda haber en
papel o similar. Para ello establece MEDTRONIC establece que:
1. Los sistemas de gestión de la información tienen el acceso físico restringido

mediante el uso de medios de identificación electrónicos que registran cualquier
intento de acceso y que dichos accesos se monitorizan regularmente.
2. La documentación en papel está debidamente protegida del acceso en función de la
criticidad de la información que contiene.
3. Existe un puesto de control de accesos que registrará las visitas y solicitará
autorización para permitir su entrada.
4. El personal de MEDTRONIC será el responsable guiar a las visitas que reciba
únicamente por las zonas autorizadas. Las visitas únicamente podrán acceder a
recepción, salas de reunión o despachos con el acompañamiento del personal de
MEDTRONIC.
98
El acceso de personal ajeno a la empresa a zonas con información sensible estará
permanentemente supervisado por una persona con responsabilidad dentro del
organigrama de la empresa.
1. Existen niveles y horarios de acceso para todo el personal del grupo MEDTRONIC.
2. Cualquier visita fuera del horario establecido estará debidamente autorizada por la
Dirección de la Organización y queda totalmente prohibido el paso de personal no
autorizado.
3. Se han establecido sistemas de protección de las instalaciones que impiden el
acceso sin autorización por lugares diferentes a los destinados para ello.
99
3.8. POLITICA DE COPIA DE SEGURIDAD Y CONTINUIDAD DEL
NEGOCIO.
Para la subsistencia de cualquier empresa frente a contingencias imprevistas es

necesario establecer los principios que rigen la continuidad del negocio.
MEDTRONIC basa su plan de continuidad del negocio en los siguientes principios:
1. Disposición de personal debidamente formado para llevar a cabo las tareas del
personal adyacente.
2. Contactos con proveedores de servicio de transporte para su subcontratación en
caso de necesidad.
3. Copias de seguridad de la información.
4. La documentación en papel, será digitalizada y formará parte de la información
contenida en los planes de copia.
5. Se utilizarán al menos dos medios de copia para los datos sensibles, uno de rápido
acceso para contingencias leves y otro para casos más graves.
6. Existirán dos copias fuera de las instalaciones y custodiados por la Dirección de la
Organización y la Dirección de Sistemas.
7. Las copias de seguridad fuera de las instalaciones estarán debidamente custodiadas
y protegidas para salvaguardar su confidencialidad e integridad.
8. Disponibilidad de instalaciones y sistema informático alternativo en caso de desastre
mayor.
9. Pruebas periódicas de la eficacia del plan que pueden derivar en cambios del mismo
en función de los resultados o de nuevos riesgos que se detecten.
100
3.9. POLITICA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN EN EL PUESTO DE TRABAJO.
Todo el personal propio de la empresa, así como proveedores de servicio, pueden

tener acceso a información o equipos informáticos durante el desarrollo de sus
tareas. MEDTRONIC., ha establecido una serie de controles para que el personal
(propio o subcontratado) solo acceda a los activos estrictamente necesarios y para
que sean utilizados debidamente. Para ello Rallo MEDTRONIC :
1. Ha implantado una política de mesas limpias, que obliga al personal a mantener su

mesa libre de información al finalizar su jornada o en ausencias prolongadas.
2. Dispone de ubicaciones de acceso controlado y restringido.
3. Dispone de perfiles de usuarios diferenciados y controla el acceso a los sistemas
informáticos mediante contraseñas robustas.
4. Ha implantado medidas de seguridad y control para evitar el uso de soportes
extraíbles y ha informado a los empleados sobre la prohibición de obtención de
información por medios ilícitos.
5. Forma a sus empleados e informa a los subcontratistas sobre el manejo de la
información a la que tienen acceso.
6. Dispone de unas cláusulas de confidencialidad en los contratos de trabajo o
contratos de prestación de servicios que deben entendidos y llevados a cabo por el
personal.
7. De forma directa cualquier actuación de terceros que suponga un acceso a los
activos que contengan información.
8. Las actualizaciones de programa de gestión será verificada en un entorno de
pruebas antes de validar su instalación en el sistema real.
Tanto desde la Dirección de Sistemas, como desde la Dirección de la Organización,

se promoverán las buenas prácticas en materia de seguridad de la información y se
asegurarán que los empleados, propios o subcontratados, las ponen en práctica,
101
además de requerirles que informen de cualquier vulnerabilidad o debilidad que
detecten durante el desarrollo de sus actividades. Así pues MEDTRONIC, notifica a
los usuarios que está totalmente prohibido:
Violar los derechos de cualquier persona o institución protegidos por derecho de

autor, patentes o cualquier otra forma de propiedad intelectual.
1. Difundir información identificada como confidencial a través de cualquier medio.

2. Introducir software malicioso en la red o en los servidores (virus, worm, spam.
3. Utilizar la infraestructura TIC de MEDTRONIC para conseguir o transmitir material
con ánimo de lucro, realizar acosos, difamación, calumnia o cualquier forma de
actividad hostil.
4. Hacer ofrecimientos fraudulentos de productos o servicios cuyo origen sean los
recursos o servicios de MEDTRONIC.
5. Realizar actividades que contravengan la seguridad de los sistemas o que generen
interrupciones de la red o de los servicios.
6. Ejecutar mecanismos de monitoreo de red no autorizados expresamente por la
Dirección de Sistemas.
7. Burlar mecanismos de seguridad, autenticación, autorización o auditoría de cualquier
servicio informático.
8. Descargar archivos no relacionados con la actividad profesional (software malicioso,
multimedia). Por motivos de mantenimiento de red, de seguridad, de eventos
programados, de pruebas. Determinados cargos con responsabilidad podrán quedar
exentos de seguir algunas de las restricciones aquí indicadas siempre por motivos
justificados y que deberán notificarse previamente a la Dirección de Sistemas.
102
3.1.1. POLITICA DE USO DE TERMINALES MÓVILES.
Las nuevas tecnologías permiten el uso de información en terminales móviles de

telecomunicaciones. Es por ello que surge la necesidad de establecer los criterios de
uso seguro de estos terminales. En concreto la Organización establece que :
1. El uso de los dispositivos móviles propiedad de MEDTRONIC es exclusivo para

temas profesionales relacionados con cada puesto de trabajo.
2. Bajo ninguna circunstancia, los empleados de MEDTRONIC, pueden utilizar los
recursos informáticos para llevar a cabo actividades ilegales.
3. No está permitida la instalación de programas que no hayan sido autorizados por la
Dirección de la Organización o por la Dirección de Sistemas.
4. Se deberá impedir el acceso al terminal a terceras personas, manteniendo una
custodia adecuada del equipo y habilitando sistemas de control de acceso (pantalla
de bloqueo, código pin, huella digital....).
5. Se habilitarán los sistemas de localización de los terminales para poder acceder a
ellos en caso de pérdida o robo.
6. Cualquier incidencia del terminal será notificada inmediatamente al responsable de
sistemas para que proceda a realizar las acciones oportunas en aras a mantener la
7. El soporte técnico o la configuración de equipos no podrá ser realizado por terceros
sin la autorización expresa de la Dirección de la Organización.
3.1.2. POLITICA DE USO DE INTERNET Y EL CORREO

ELECTRÓNICO.
MEDTRONIC. Facilita el uso de internet y correo electrónico a sus empleados para

que los utilicen convenientemente para el mejor desarrollo de sus tareas. Los
servicios de acceso a Internet y al correo electrónico son administrados por el
103
Departamento de Sistemas, quien está facultado para monitorear la actividad de
cada usuario con la finalidad de:
1. Verificar el cumplimiento de las políticas del Sistema de Gestión de la Seguridad de

la Información.
2. Detectar deficiencias en la prestación del servicio tanto a nivel interno como externo
(Proveedor de telecomunicaciones) que puedan derivar en incidencias.
3. Buscar evidencias ante cualquier incidencia.
4. Los principios que rigen la política de uso del correo electrónico son los siguientes.
5. El usuario es responsable del contenido de los mensajes enviados.
Se prohíbe la transmisión de mensajes con contenido ofensivo u obsceno, ilegal,

discriminatorio, despectivo, malintencionado, cadenas de correo, spam, publicidad
engañosa, y en general cualquier tipo de información que cause congestión de red o
interfiera en el trabajo de otros.
1. El Departamento de Sistemas bloqueará de forma automática la recepción de

correos electrónicos que provengan de fuentes de correo basura, virus o códigos
maliciosos.
2. El Departamento de Sistemas bloqueará el envío y recepción de determinados tipos
de ficheros adjuntos que puedan suponer un riesgo para el sistema de seguridad de
la información (exe, bat, js, …)
3. El Departamento de Sistemas determinará el tamaño máximo permitido para el envío
y recepción de documentos adjuntos para evitar colapsar el servidor de correo.
Se prohíbe abrir archivos adjuntos cuyo origen se desconozca sin la autorización de
la Dirección de Sistemas. Aún siendo el origen conocido, si el adjunto no se
corresponde con lo esperado, el usuario deberá consultar con el Dirección de
Sistemas.
1. Si se detecta la entrada de publicidad no solicitada y molesta, se informará al

Departamento de Sistemas para su análisis y solución.
104
2. El usuario no debe facilitar la dirección de correo profesional para temas personales
(alta de servicios, compras por internet,.) Y por otro lado, los principios que rigen la
política del uso de Internet son:
3. El acceso a Internet a través de los equipos de RALLO Hnos, será por motivos
laborales y profesionales.
4. No está permitido el uso del acceso a Internet como medio de participación, acceso y
distribución de actividades o materiales que supongan una infracción legal.
5. Queda prohibido el acceso, descarga o transmisión de material cuyo origen no sea
constatado como seguro o que se desconozca su confiabilidad.
6. Queda prohibida la navegación por páginas inapropiadas para el normal desarrollo
de la actividad.
3.1.3. POLITICA DE CONTRASEÑAS.
1. Todo el personal de MEDTRONIC, que accede al Sistema Informático deberá

disponer de un nombre de usuario y una contraseña.
2. Para su primera conexión, el administrador del sistema le otorgará una contraseña
que será sólo válida para establecer la suya propia.
3. Las contraseñas de los usuarios cumplirán con determinados requisitos de
complejidad para evitar contraseñas débiles.
4. Las contraseñas son personales y conocidas únicamente por el propio usuario, quien
será responsable de cualquier actividad que se realice con ella. Ni siquiera el
administrador del sistema puede tener acceso a las contraseñas del resto de
usuarios.
5. El usuario podrá cambiar su contraseña, con algunas restricciones, siempre que
quiera, siendo obligado hacerlo cada cierto periodo de tiempo definido por el
administrador del sistema.
6. El Administrador del Sistema se reserva el derecho a restablecer la contraseña de
cualquier usuario por motivos de seguridad.
105
7. Las sesiones se bloquearán automáticamente transcurrido un periodo de tiempo de
inactividad y será necesaria la introducción de la contraseña para desbloquearlas.
8. Las contraseñas de las cuentas de correo no serán notificadas a los empleados para
evitar la configuración de cuentas en dispositivos no controlados.
9. Queda terminantemente prohibido: o Revelar las contraseñas a personal no
autorizado o Anotar la contraseña en zonas accesibles y/o visibles.
3.1.4. POLÍTICA DEL CENTRO DE PROCESO DE DATOS (C.P.D)
El Centro de Proceso de Datos, también conocido como CPD o Sala de Servidores,

es la sala donde se encuentran físicamente los servidores y demás equipos de
control del sistema informático. Dicha sala cuenta con:
1. Control de Accesos: Acceso permitido solo al personal definido por la Dirección de

MEDTRONIC.
2. Sistema redundante de refrigeración: La sala cuenta con dos equipos de aire
acondicionado que mantienen la temperatura de la misma en valores próximos a
17ºC.
3. Presencia de SAIS: Existe un SAI general que alimenta todo el edificio de oficinas y
sala de control de accesos y dos SAIS adicionales para el RACK de comunicaciones.
El uso de la sala queda limitado únicamente al personal que tiene el acceso
permitido.
El acceso de un tercero deberá ser autorizado por la Dirección de la Empresa o por
la Dirección de Sistemas y durante su estancia en la misma, estará siempre
acompañado por el personal que se designe. Bajo ningún concepto puede quedar
nadie no autorizado dentro de CPD sin acompañamiento de un autorizado.
Dentro del plan de mantenimiento del Sistema informático se verificará el correcto

funcionamiento de los equipos auxiliares instalados en el CPD, así como la ausencia
de elementos que no estén relacionados con la actividad propia de la sala.
106
BIBLIOGRAFÍA
1. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/historia.html
2. https://www.diariolibre.com/economia/medina-encabeza-inauguracion-de-cuarta-
planta-industrial-de-la-multinacional-medtronic-DB9452173
3. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/liderazgo.html
4. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/ubicaciones.html
5. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/mission.html
6. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/gobernanza-
corporativa.html
7. https://www.medtronic.com/es-es/mejorar-la-atencion-a-nivel-global/responsabilidad-
social-corporativa.html.
8. http://www.criptored.upm.es/guiateoria/gt_m446a.htm
9. https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/
10. http://www.rallo.com/wp-content/uploads/2016/05/SGSI-POL-001-Politica_5.0.pdf
107
ANEXOS
108

Ante Proyecto

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Ante Proyecto

Enviado por

Direitos autorais:

Formatos disponíveis

INSTITUTO TÉCNICO SUPERIOR COMUNITARIO

TÉCNICO SUPERIOR EN ADMINISTRACIÓN DE REDES

PROPUESTA DE IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE

PROYECTO FINAL PARA OPTAR POR EL TÍTULO DE:

TÉCNICO SUPERIOR EN ADMINISTRACIÓN DE REDES

SANTO DOMINGO ESTE, REPÚBLICA DOMINICANA, ENERO 2019

TÉCNICO SUPERIOR EN ADMINISTRACIÓN DE REDES

PROPUESTA DE IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE

PROYECTO FINAL PARA OPTAR POR EL TÍTULO DE:

SALIANNY CORPORAN 2014-0876

Los conceptos emitidos en el presente trabajo son de

SANTO DOMINGO ESTE, REPÚBLICA DOMINICANA, ENERO 2019

El aseguramiento y la protección de la seguridad de la información de las

Cualquier tipo de organización independiente de su tamaño y naturaleza, debe ser

Lo anterior, sumando a un entorno tecnológico en donde cada día se hace más

1.1 Antecedentes Históricos

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central

La gestión de la seguridad de la información debe realizarse mediante un proceso

El propósito de un sistema de gestión de la seguridad de la información es, por

En las siguientes secciones, se desarrollarán los conceptos fundamentales de un

Confidencialidad: la información no se pone a disposición ni se revela a individuos,

Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento

Para garantizar que la seguridad de la información es gestionada correctamente, se

Alcance del SGSI:

Política y objetivos de seguridad: documento de contenido genérico que establece el

Procedimientos y mecanismos de control que soportan al SGSI: aquellos

Enfoque de evaluación de riesgos

1.1.1 Empresa MEDTRONIC (historia)

Ese espíritu, combinado con la integridad y la pasión de nuestros fundadores, se

La empresa multinacional Medtronic, dedicada a la fabricación de dispositivos

“Los dominicanos, junto a Medtronic, estamos comprometidos con proveer

3Inauguración de la empresa Medtronic, consultado en fecha 15/12/2018, disponible en:

En la nueva planta de Medtronic se fabricarán dispositivos médicos para las

Valdez Albizu consideró que este nuevo emprendimiento de la empresa es también

Omar Ishrak es el Presidente y Consejero delegado de Medtronic desde junio de

Desde que se unió a Medtronic, Omar se ha centrado en tres estrategias

Anteriormente, Omar acumuló 13 años de experiencia en desarrollo tecnológico y

Creció en Bangladés y cuenta con una Licenciatura en Ciencias y un doctorado en

Omar es miembro del Consejo de administración de la Asia Society, la organización

La preparación para la seguridad cibernética es el estado de ser capaz de detectar y

Incluida la información, la tecnología de la información y los procesos críticos del

Se puede considerar como: Un agente de amenazas, ya sea humano o no humano,

Identificar los activos críticos de información. Un programa de gestión de riesgos

Un programa de gestión de riesgos de seguridad de la información Puede soportar el

Publicación Especial NIST 800-39, Gestión del Riesgo de Seguridad de la

Otros elementos que apoyan un programa de gestión de riesgos de seguridad de la

1. Un programa de gestión de activos

“Implantación de un sistema de gestión de seguridad de la información según

Los autores Mauricio Miranda y Aurora Sánchez, en su libro “Compitiendo a través

La seguridad empresarial igual que la mayoría de las disciplinas, también ha

El análisis de los requisitos para la protección de los activos de información y la

“Redes Cisco :CCNP a fondo, guía de estudio para profesionales”por el autor

A pesar de las acciones que se han realizado con el objetivo de fortalecer la

Esta situación, también implica que los ejecutivos de la empresa Medtronic no

La entidad no cuenta con sistema de información adecuado y robusto para la gestión

La Entidad requiere asegurar sus activos de información con el propósito de proteger

La entidad no cuenta con una metodología para la identificación y clasificación de

Por lo tanto, es indispensable segregar las funciones de seguridad de la información

DIAGNOSTICO SITUACIÓN DEL PROBLEMA

Con base en el análisis del estado de la seguridad de la entidad y la identificación de

Tabla 1. Factores asociados a las situaciones del problema.

Los funcionarios no SOCIAL

A continuación se describen los diferentes factores que se presentan en la entidad y