Datos Generales

1.
2.
3.
4.

Nombre del aprendiz: EDGAR FRANCISCO GAITAN MARTINEZ

Nmero de identificacin: 79.147.352
Nombre del Tutor: JUAN FERNADO HURTADO RIVERA
Ciudad y Fecha: Bogot D.C., 7 de junio de 2016

Descripcin de la actividad
Una vez tenga diligenciada la plantilla con el ejemplo presentado, tome una
empresa como referente y estudie la situacin actual de la organizacin haciendo un
anlisis objetivo donde exponga un plan de mejora enfatizando en aquellos dominios
que considere son claves y redundan en el cumplimiento de sus tareas como
administrador de bases de datos.

Descripcin de la empresa
Plsticos Calidad es una empresa ubicada en la ciudad de Bogot, D. C.,
dedicada a la elaboracin de productos plsticos cuya actividad principal es la
elaboracin y comercializacin de bolsas plsticas y empaques tetra pack para
diferentes productos, considerada entre las empresas de tamao mediado por tener un
total del 150 empleados entre operarios y administrativos.

Justificacin
Con el fin de mejorar las prcticas de seguridad de la informacin de la empresa
Plsticos Calidad se evala la situacin actual de dicha empresa encontrando
algunas deficiencias en este mbito, por lo cual se elaboran diferentes propuestas de
mejoramiento encaminadas a estandarizar y corregir las falencias detectadas teniendo
en cuenta la norma ISO 27002.

Plan de mejora propuesto

Al evaluar la situacin actual de la empresa Plsticos Calidad se evidencian
algunas falencias en las polticas de seguridad de la informacin que conllevan a crear
5 propuestas de mejora sobre los dominios claves para la administracin de informacin

en dicha empresa. Los dominios relacionados con las propuestas hechas son los
siguiente:
Dominios
Propuesta
Propuesta
Propuesta
Propuesta
Propuesta

1
2
3
4
5

Poltica de Seguridad
Clasificacin y Control de Activos
Seguridad Fsica y del Entorno
Gestin de Comunicaciones y Operaciones
Control de Accesos

Nota: Para la presentacin de las propuestas se ha utilizado el formato de la

Universidad de la Corua sugerido por el tutor.

Propuesta 1
Dominio Poltica de seguridad
Este plan de mejora se desarrolla teniendo en cuenta que actualmente la
empresa presenta falencias evidenciadas en el desconocimiento por parte de sus
empleados de las polticas de seguridad de la informacin existentes en la compaa y
que actualmente no se encuentran divulgadas correctamente a los empleados.
Denominacin de la propuesta de Desarrollodeactividadesparadaraconocerlapoltica
mejora
deseguridaddelainformacin
Puntodbildetectado
Al ingresar un nuevo empleado no se capacita
adecuadamentesobreelcumplimientodelaspolticas
deseguridad
Losempleadosyserviciostercerizadosqueaccedena
la informacin no firman ningn acuerdo de
confidencialidad
Faltadedifusindelaspolticasestablecidasentodala
organizacin
Faltadecompromisoenlaaplicacindelaspolticasde
seguridad
mbitodeaplicacin
X
Gestindeprocesos
X
Recursos
X
Informacin,comunicacin,participacin
Responsabledesuaplicacin

RecursosHumanos
Planificacindelaaccin
Objetivosespecficosdelaaccin
Incluirunprocedimientodecapacitacinparanuevos
empleados sobre las polticas de seguridad de la
informacin

Denominacin de la propuesta de Desarrollodeactividadesparadaraconocerlapoltica

mejora
deseguridaddelainformacin
Realizar el proceso para la creacin del documento
AcuerdodeConfidencialidaddeacuerdoalaley
Desarrollar herramientas que permitan difundir las
polticas de seguridad a todos los miembros de la
organizacin
Publicar las actualizaciones de las polticas de
seguridad
Implantacindeaccionesdemejora
Actuacionesadesarrollar
Revisinymodificacindelprocedimientoestablecido

paralainduccindelnuevopersonal
GestionarlacreacindeldocumentodeAcuerdode
Confiabilidadylafirmadetodoslosempleados
Creacindecartillaconlaspolticasdeseguridad
Establecer cronograma de capacitacin sobre las
polticasdeseguridad,paralasdiferentesreasdela
organizacin
Enviar correos informativos cuando surjan
actualizaciones de las polticas (Actualizacin de la
cartilla)
Desarrollodepropuestaparalacreacindeunvideo
institucionalenelquesehableyresaltelaimportancia
del cumplimiento de las polticas de seguridad
establecidas.
Evaluacindelaefectividaddelasmedidastomadas
Periododeejecucinprevisto
6meses
Recursos,financiacinnecesaria
Gastos
500.000(Cartillas,Instructivos,
Documentos,etc)
Horasextras
N/A
Indicadoresdeejecucinaccin
Evaluacionesdeseguimiento
Responsabledesuseguimiento
Recursoshumanos,jefedelreasesistemas
Niveldecumplimientodelaaccin Total
Resultadosobtenidos/Accin
Anlisisdelasevaluacionesdeseguimiento
Gradodesatisfaccin
Alto
Observaciones
N/A

Propuesta 2
Dominio Clasificacin y control de activos
Este plan de mejora se desarrolla teniendo en cuenta que actualmente la
empresa no cuenta con ningn sistema de gestin de inventarios actualizado y por tal
motivo no se realiza un uso adecuado de los activos de la empresa.

Denominacindelapropuestademejora Actualizacindeinventarios
Puntodbildetectado
Existeunregistrodelosactivosdelaempresa,
peroestenoseencuentraactualizado
El inventario de activos no contempla los
recursosinformticosnilosdesoftware
Nosecuentaconunarotulacinestandarizada
Noserealizaunaasignacinoficialdeequipos
Noserealizaunaentregaoficialdeequipos
mbitodeaplicacin
X
Gestindeprocesos
X
Recursos
X
Informacin,comunicacin,participacin
Responsabledesuaplicacin

Jefe del rea se sistemas, Jefe del rea de

almacn
Planificacindelaaccin
Objetivosespecficosdelaaccin
Actualizacindelinventario
Estandarizacindelarotulacindeequipos
Creacin de formato de responsabilidad de
equipos
Creacindeformatodeentregadeequipos
Actuacionesadesarrollar
Elaborarunrotuloestndarparalosequipos
Elaborar un inventario de activos de informacin

Crearformatoderesponsabilidaddeequipos
Crearformatodedevolucindeequipos
Realizaractualizacindelinventario
Periododeejecucinprevisto
3meses
Recursos,financiacinnecesaria
Lectoradecdigodebarras $200.000
Rotulacin(stiker)
$100.000
Indicadoresdeejecucinaccin
Inventariogeneralacordeainventariosequipos
enusoyenbodega
Responsabledesuseguimiento
Jefe del rea se sistemas, Jefe del rea de
almacn
Niveldecumplimientodelaaccin
Total
Resultadosobtenidos/Accin
Conocimientototaldeactivosyrecursos
Gradodesatisfaccin
Alto
Observaciones
N/A

Propuesta 3
Dominio Seguridad fsica y del entorno
Este plan de mejora se desarrolla teniendo en cuenta que actualmente la
empresa cuenta con un control de acceso a sus instalaciones que no garantiza la
seguridad de la informacin y recursos y que debe ser modificado en su totalidad para
garantizar el uso adecuado de los mismos por el personal autorizado.
Denominacindelapropuestademejora Aumento de la seguridad fsica de las oficinas
administrativas
Puntodbildetectado
Laseguridaddeaccesoexistentedelasoficinas
administrativaspuedeservioladaconfacilidad
Faltademantenimientoalastomaselctricas
Falta de conciencia de los usuarias frente al
reportederiesgosrealesopotencialessobreel
cableado, equipos de cmputo o de
comunicaciones
Falta de conocimiento de los usuarios sobre la
responsabilidad que tienen de proteger las
unidadesdealmacenamientoqueseencuentren
bajosucargo
mbitodeaplicacin

Gestindeprocesos
X
Recursos
X
Informacin,comunicacin,participacin
Responsabledesuaplicacin

Gerencia
Planificacindelaaccin
Objetivosespecficosdelaaccin

Actuacionesadesarrollar

Aumentar la seguridad de acceso a las oficinas

administrativas
Revisindetodaslastomaselctricasalasque
estnconectadosequiposporpartedepersonal
capacitado
Cambiodelastomaselctricasdefectuosas
Aumentar la conciencia de responsabilidad de
los usuarios frente a sus equipos y reas de
trabajo
Cambiarpuertas
Establecercontrolesdeaccesomediantecarnets
oregistrobiomtrico
Realizarmantenimientodetomaselctricas

Periododeejecucinprevisto
Recursos,financiacinnecesaria

Indicadoresdeejecucinaccin
Responsabledesuseguimiento
Niveldecumplimientodelaaccin
Resultadosobtenidos/Accin
Gradodesatisfaccin
Observaciones

SolicitarcapacitacinalaARLsobreelpapeldel
usuario en la construccin de reas seguras de
trabajo
Realizar campaa de buenas prcticas para
mantenerelreadetrabajolimpia
6meses
Cambios fsicos en las $5.000.000
instalaciones
Mejoramiento
de
la $2.000.000
infraestructuraelctrica

Manodeobra
$3.000.000
Carnetizacionempleados
$4.000.000
Controlesaccesoptimos
GerenciaAreadeSeguridadySistemas
Total
Accesoapersonalautorizado carnetizacionde
losmismo
Alto
N/A

Propuesta 4
Dominio Gestin de comunicacin y operaciones
Este plan de mejora se desarrolla teniendo en cuenta que actualmente la
empresa no cuenta con un control de los manuales de procedimientos.
Denominacindelapropuestademejora Manejoadecuadoderecursosyprocedimientos
paralagestindelainformacin
Puntodbildetectado
Operacinincorrectaderecursosdetratamiento
delainformacin
Procedimientosdeseguridaddelainformacin
desactualizados
Deteccin de software malicioso en algunos
dispositivos
Deficiencia en administracin de copias de
seguridaddelosequiposydispositivos
mbitodeaplicacin
X
Gestindeprocesos
X
Recursos
X
Informacin,comunicacin,participacin
Responsabledesuaplicacin

readeSistemas
Planificacindelaaccin

Objetivosespecficosdelaaccin

Actuacionesadesarrollar

Periododeejecucinprevisto
Recursos,financiacinnecesaria

Indicadoresdeejecucinaccin
Responsabledesuseguimiento
Niveldecumplimientodelaaccin
Resultadosobtenidos/Accin

Gradodesatisfaccin
Observaciones

Mejorar la operacin de los recursos de

tratamientodelainformacin
Actualizarlosprocedimientosdeseguridaddela
informacin de acuerdo a las normas
establecidasnacionaleinternacionalmente
Revisin y actualizacin de software para
deteccindeaplicacionesmaliciosas
Creacin y ejecucin de plan de manejo de
copiasdeseguridaddelosequiposydispositivos
coninformacincrticaparalaempresa

Actualizacindemanualesyprocedimientosque
garanticenlaseguridaddelainformacin
Programacin de actualizaciones en lnea de
softwareparadeteccindevulnerabilidadesen
lared
Establecer cronograma para crear copias de
seguridad de equipos con informacin crtica
paralaestabilidaddelnegocio

6Meses
Software(
antivirus, $2.000.000
limpieza)
Cintas y discos para copias $5.000.000
deseguridad

readeSistemas
Total
Obtencin de un nivel apropiado de seguridad
delainformacinminimizandoelriesgodefallos
enlossistemas
Alto
N/A

Propuesta 5
Dominio Control de accesos
Este plan de mejora se desarrolla teniendo en cuenta que actualmente la
empresa no cuenta con un control de acceso a las aplicaciones y equipos adecuado, ya
que los privilegios de usuario no se encuentran bien definidos, y por tanto puede existir
fuga de informacin de vital importancia.

Denominacindelapropuestademejora Controldeaccesosyaplicaciones
Puntodbildetectado
No existen privilegios de acceso a equipos y
aplicaciones definidos segn el rol de cada
empleado
Losusuariosnoaplicanlapolticadeescritorios
ypantallaslimpias
Eldirectorioactivodelaempresanoseactualiza
de acuerdo a los ingresos o salida de los
empleados
No existe una poltica de seguridad de
contraseas,quegaranticeelusoadecuadode
recursos
mbitodeaplicacin
X
Gestindeprocesos
X
Recursos

Informacin,comunicacin,participacin
Responsabledesuaplicacin

readeSistemas
Planificacindelaaccin
Objetivosespecficosdelaaccin
Estableceruncontrolde privilegiosbasadosen
el rol que desempea cada empleado y las
aplicaciones que utiliza para cumplir sus
funciones
Realizar campaas peridicas de limpieza de
escritoriosenlosequiposdecadausuario
Revisinyactualizacindeldirectorioactivo
Crearunapolticadeseguridadde contraseas
para compartir los dispositivos en la red de la
compaa

Actuacionesadesarrollar
Creacindeundocumentoenlneaqueregistre

el control de acceso y privilegios de los

empleados
Programacinenlneadelimpiezadeescritorios
peridicamente
Creacin de identificadores de usuario (ID)
nicosypersonalizados
Actualizacindeldirectorioactivo
Periododeejecucinprevisto
3Meses
Recursos,financiacinnecesaria
N/A

Indicadoresdeejecucinaccin
Revisin de peridica de usuarios, permisos y
recursosutilizados
Responsabledesuseguimiento
readeSistemas
Niveldecumplimientodelaaccin
Total

Resultadosobtenidos/Accin
Gradodesatisfaccin
Observaciones

Usoadecuadodelainfraestructuratecnolgica
porpartedelosusuarios
Alto
N/A

Conclusiones
La norma ISO 27002 establece las pautas estandarizadas que toda organizacin
debe seguir para garantizar la seguridad de su informacin y el uso adecuado de
recursos.
Los diferentes planes de mejora propuestos se realizaron teniendo en cuenta la
situacin actual de la empresa Plsticos Calidad y tienen como objetivo principal
optimizar las tareas y funciones de los empleados en pro de garantizar el uso adecuado
de la informacin y la seguridad de la misma.
Las polticas y estndares de seguridad informtica establecen una cultura de
calidad al interior de las empresas que garantizan la operacin adecuada de las
mismas.

Bibliografa

ElportaldeISO27002.(s.f.).Recuperadoel07de06de2016,de
http://www.iso27000.es/iso27002.html
Intenalco.(s.f.).Manualdepolticasyestndaresenseguridadinformtica.Recuperadoel07de06de
2016,dehttp://www.intenalco.edu.co/MP_V01.pdf
UniversidaddelaCorua.(s.f.).Anexo1Plandemejora.Recuperadoel07de06de2016,de
https://www.udc.es/export/sites/udc/utc/_galeria_down/servizos/organizacion_academica/aut
oavaliacion_anexo1_terceiro_ciclo.pdf