INTRODUCCIÓN

NEXT-SOLUCIONES E.I.R.L es una empresa de informática y

telecomunicaciones que se ha especializado en la venta de equipos
de cómputo, venta de equipos de seguridad y videovigilancia, redes
cableadas y redes inalámbricas, y soporte técnico que tienen como
objetivo principal equilibrar los requerimientos concurrentes de
calidad, efectividad, tiempo y costes; adaptando las especificaciones,
los planes y enfoque a las diversas inquietudes y expectativas de los
clientes.

Actualmente no existe un control adecuado que asegure la

confidencialidad, proteja la integridad de la información en su
totalidad y que garantice la disponibilidad, así como la precisión
durante el tratamiento de la información, razón por la cual no se
cuenta con la correcta protección de los datos de clientes,
empleados, socios comerciales y la sociedad en general.

El trabajo se enfoca en el aseguramiento de los controles adecuados

sobre la confidencialidad, integridad y disponibilidad de la
información, a través del establecimiento de un sistema de gestión
de seguridad de la información (SGSI) basado en la norma ISO
27001, de forma que se garantice un tratamiento adecuado de los
problemas de seguridad de la información teniendo en cuenta el
PHVA (planificar, hacer, verificar y actuar).

1.1 ALCANCES Y LIMITACIONES

En este proyecto se pretende analizar la situación actual de la

empresa NEXT-SOLUCIONES EIRL para establecer un sistema
de gestión de seguridad de la información, implementando la ISO
27001, se recomendó definir de manera sistemática el alcance
del proyecto, en las áreas de CONTROL DE ACTIVOS y
SEGURIDAD DE RECURSOS HUMANOS.

a) Control de activos: Para este punto se sugiere realizar un

inventario de los activos para tener un control más riguroso de
los mismos. Toda la información y activos asociados a los
recursos para el tratamiento de la información, deberían tener
un propietario y pertenecer a una parte designada de la
empresa. Para realizar un análisis de riesgos se parte del
inventario de activos. Para determinar cuál era la situación
actual de la empresa, se realizará un análisis de gap.
 b) Seguridad de los recursos humanos: Se tiene como objetivo
asegurar que los empleados, contratistas y usuarios de
terceras partes, entienden sus responsabilidades y son aptos
para ejercer las funciones para las cuales están siendo
considerados, con el fin reducir el riesgo de hurto, fraude o
uso inadecuado de las instalaciones.

El director de proyectos contará con la documentación necesaria

para el establecimiento del SGSI.

Se establece generar los siguientes entregables:

- Documento que contiene el SGSI.

- Manual del diseño del SGSI
- Preservar los activos de la empresa
- Disminuir el impacto de los riesgos potenciales sin necesidad de
grandes cambios.
- Planificación e implantación de ciertos controles basados en un
cuidadoso análisis de riesgo.
- Permitir obtener una visión global del estado de los sistemas de
información.
- Tomar mejores decisiones estratégicas.
- Crear un plan de diseño, implementación, y mantenimiento de una
serie de procesos que permitan gestionar de manera eficiente la
información, para asegurar la integridad, confidencialidad y
disponibilidad de la información.

El proyecto estará limitado por los siguientes factores:

- Disponibilidad de tiempo del director de proyectos e

implementadores de la organización.
- Veracidad e integridad del campo de acción de la organización
e inventario de todos los datos críticos.

4. CAPÍTULO IV. SELECCIÓN DE SALVAGUARDAS

Luego de estimar los riesgos, se buscan medidas de protección o

conocidas como salvaguardas que consisten en tratar las posibles
amenazas del sistema y reducir el riesgo total del mismo. Pueden ser
procedimientos, como la documentación y gestión de incidentes,
políticas de personal, soluciones técnicas; o medidas de seguridad
física de las instalaciones.
Por otro lado se establece la política de seguridad, con el fin de
establecer las reglas básicas, para garantizar la confidencialidad,
integridad y disponibilidad de la información, así como los controles
recomendados, monitoreo y asignación de responsabilidades,
teniendo en cuenta la matriz RASCI.

1.1 ESTRATEGIAS PARA TRATAMIENTO EL RIESGO

Una vez evaluados todos los riesgos posibles, es momento de buscar

un tratamiento de los mismos. Evidentemente, todos los riesgos no
tienen el mismo nivel de gravedad. Por esta razón, y dado que sería
demasiado costoso buscar un tratamiento para todos y cada uno de
ellos, nos centraremos en los más importantes, es decir, aquellos que
se definen como “riesgos inaceptables”.

-Implementar los controles de seguridad de la norma ISO 27001.

-Transferir el riesgo, esto podría ser, por ejemplo, cuando
contratamos una póliza de seguro y transferimos el riesgo a la
compañía de seguros que nos la ha vendido.
-Evitar el riesgo, esto se puede conseguir paralizando aquella
actividad que supone demasiado nivel de riesgo o haciéndola de una
manera diferente. Cuando la pérdida puede ser demasiado grande,
es necesario aplicar principios de diseño, técnicas y procedimientos
para limitar el alcance del ataque, reduciendo así el potencial de
pérdida.
-Aceptar el riesgo en cuestión, esta opción sería para aquellos casos
en lo que el coste de eliminar el riesgo es mayor que el daño que
causará.
-Cuando existe una vulnerabilidad (defecto, debilidad) es necesario
implementar técnicas que garanticen la reducción de la probabilidad
de que la vulnerabilidad sea explotada.
1.1. TÉCNICAS PARA EL TRATAMIENTO DEL RIESGO

De acuerdo a las prioridades de la organización y el nivel de riesgo

detectado se definen diferentes técnicas como parte del tratamiento
del riesgo:

Al tratar el riesgo se toman medidas para reducirlo, y también para

establecer la forma de soportar las pérdidas que genera. Por lo tanto
existen 6 medidas de tratamiento las cuales 3 son de control del
riesgo y las otras 3 de financiación del riesgo. En las primeras 3
podremos encontrar: evitar, prevenir o proteger; y en las segundas
están: aceptar, retener o transferir.
  EVITAR: Para evitar un riesgo se parte del principio de que su
probabilidad es alta y representa un alto peligro para la
organización, porque podría traer consecuencias muy graves
en caso de la ocurrencia del siniestro, algunas formas de evitar
un riesgo es no emprendiendo un nuevo proyecto evaluado
como no viable, eliminando la actividad que genera un riesgo
o sustituyéndola por otra que no sea tan peligrosa o que no
produzca tantas perdidas, como la suspensión de alguna línea
de producción, negocio, mercado objetivo, canal de
distribución o medio de transporte.
 PREVENIR: Cuando hablamos de la medida de prevenir
estamos hablando de establecer anticipadamente políticas,
normas, controles y procedimientos que lleven a que el evento
generador del riesgo no ocurra o disminuya su probabilidad de
ocurrencia, existen muchas formas de prevención , pero las
más utilizadas son:
-Inspecciones y pruebas de seguridad, Entrenamiento,
Inversión en información, Diversificación, Disminución del
nivel de exposición, Mantenimiento preventivo
 PROTEGER: Al hablar de proteger estamos pensando en
medidas que actúan, en el momento de presentarse el riesgo,
sobre el recurso amenazado, por ejemplo los equipos de
protección, como los cascos o las gafas, disminuyen el
impacto del riesgo de accidente sobre los obreros de una
construcción. Las medidas de protección de mayor aplicación
son: • Sistemas automáticos de protección. • Equipo de
protección personal. • Plan de emergencia. • Plan de
contingencia.
 ACEPTAR: significa asumir un riesgo y las consecuencias que
este atraiga en el momento que se presente. Los riesgos se
aceptan cuando la frecuencia es baja e impacto leve, y no
pones en peligro la estabilidad de la organización.
 RETENER: Estos se retienen cuando en forma planeada se
crea un fondo entre otras cosas para responder ante las
posibles pérdidas causadas por su ocurrencia.
 TRANSFERIR: El transferir un riesgo se da cuando se
traspasa el riesgo a otra compañía, ya sea por medio de un
contrato de outsourcing, o una póliza de seguro.

1.1.1. Asignación de Responsabilidades

Con base en los controles proporcionados por la norma ISO 27001

y el diseño de una matriz RASCI se intenta que todos los miembros
de NEXT-SOLUCIONES EIRL comprendan claramente sus roles y
responsabilidades correspondientes a la seguridad de la información

 Dirección ejecutiva, encargado de la coordinación y

verificación de las actividades del SGSI, así como de la
correcta administración de los recursos de la organización, en
el momento asumido por el Director de Proyectos.
 Jefe de RRHH, encargado del manejo de toda la
documentación enviada y/o recibida, así como de las
relaciones con los proveedores y/o clientes, incluyendo las
quejas y/o reclamos de los mismos, en el momento asumido
por gestión humana.
 Jefe de adquisiciones, encargado de la gestión de activos,
salvaguardando el estado completo de los mismos y
manteniendo el inventario actualizado, así como la adquisición
y devolución de los mismos, en el momento asumido por
gestión humana, director comercial y director de proyectos.
 Jefe de Finanzas, encargado de la disposición de los medios
y el registro de los hechos económicos, para la generación de
informes ante la gerencia, en el momento asumido por gestión
humana.
 Delegado de gestión de las instalaciones, encargado de la
seguridad física y del entorno, así como de la implementación
de técnicas para el correcto control de trabajo en áreas
seguras.
 Jefe de TI, encargado de la correcta administración y
funcionamiento de los recursos informáticos de la
organización, así como el correcto uso de los mismos, en el
momento asumido por el líder de proyectos (soporte).
 Jefe de NEXT-SOLUCIONES, encargado de las políticas de
desarrollo seguro y el correcto aseguramiento de la
confidencialidad, disponibilidad e integridad de la información,
en lo que respecta a las aplicaciones y ambientes de
desarrollo, en el momento asumido por los coordinadores de
proyectos.