DOCENTE: Ing.

Jenny Vizñay

INTEGRANTES: Leonardo Lituma

MATERIA: Gestión y Tecnologías de las Seguridades

TEMA: SGSI

CICLO: 7 𝑚𝑜

CARRERA: Ingeniería de Sistemas

FECHA: 20/12/2018
Tabla de contenido
I. Introducción .............................................................................................................................................. 3
II. DESARROLLO ....................................................................................................................................... 3
III. CONCLUSIONES .................................................................................................................................. 8
IV. Referencias ............................................................................................................................................. 8
 Sistema de gestión de la seguridad de la
información (SGSI)
Resumen—La siguiente investigación aborda la temática del SGSI, así como también ver
cuáles son sus campos de aplicación, cuáles son las normas, normativas, leyes, buenas
prácticas que lo rigen y cuál es su estructura, tal como se define en la norma ISO/IEC 27001,
para una Organización. Un Sistema de Gestión de la Seguridad de la Información (SGSI),
es un sistema dinámico en constante evolución que debe ser evaluado y monitoreado, con
métricas establecidas que permitan comparar de manera consciente y objetiva escenarios
diferentes y tomar decisiones con respecto a los riesgos que se afrontan y los recursos que
se invierten dentro de una organización.

Términos para Indexación— SGSI.

Abstract-- The following research addresses the subject of the SGSI, as well as realizing
that the fields of application, conform to the rules, regulations, laws, good practices that
govern and account their structure, as defined in the standard ISO / IEC 27001, for an
Organization. An Information Security Management System (SGSI) is an Information
Security Management System (SGSI), Information Security Management System (ISMS),
Information Security Management System (SGSI). The resources that are invested within
an organization are addressed.

I. INTRODUCCIÓN
En el presente documento se realizó un sistema de gestión de seguridad de la información
con el objetivo de mitigar los riesgos y las vulnerabilidades que se identifican dentro del
Supermercado Jumbo. La característica principal del sistema de gestión es realizar
controles que amenoren los riesgos y vulnerabilidades que se identificaron, sin permitir
fugas de información. Para analizar esta problemática es necesario mencionar las causas.
Una de ellas es el control inadecuado de la protección de la información, donde se corre
el riesgo de que la misma sea alterada, robada o interceptada ya que se no se tiene definida
una manera concreta de condicionar el uso de dicha información.

II. DESARROLLO

La información es un activo que como otros activos importantes tiene valor y requiere
en consecuencia una protección adecuada para luego no tener ningún inconveniente. La
información que se maneja dentro del Supermercado Jumbo puede estar distribuida de
diferentes maneras y estas son:

• Impresa o escrita en papel

• Almacenada electrónicamente
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes
• Hablada en conversación

Dicha información debe protegerse adecuadamente cualquiera que sea la forma que
tome o los medios por los que se comparte o almacene ya que una pérdida o mala
distribución de la misma podría acarrear problemas muy serios. Contar con un proceso
definido para: Evaluar, Implementar, Mantener y Administrar la Seguridad de la
Información en la empresa es muy importante ya que nos permitirá tener una
metodología para poder controlar los riesgos que se presenten y así podemos lograr una
diferencia mercado que sería una muy buena ventaja.

Para la implementación de un SGSI se debe tener en cuenta ciertas normas las cuales se
detallan a continuación:

Tabla 1: Normas Familia ISO2700

Según la tabla se puede observar los requisitos a cumplir para implantar un SGSI
certificable conforme a las normas 27001 dichas normas definen, cómo se gestiona y
cuáles son las responsabilidades de los participantes, en lo que se refiere a la ISO27002
es un código de buenas prácticas para la gestión de la seguridad las cuales consiste en
recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de
una organización también describe los objetivos de control los cuales son aspectos a
analizar para garantizar la seguridad de la información, así como también especifica los
controles recomendados a implantar, es decir, las medidas que se debe tomar. El SGSI
sigue un modelo PDCA (Planificar, Hacer, Verificar y Actuar) los cuales son los pilares
importantes donde se basa todo para poder obtener resultados de la implementación de
dicho sistema. A continuación, se puede observar en la Fig.1 las fases del SGSI.
 Fig. 1: Fases del SGSI

Fig. 2: Procesos del SGSI

La parte principal de la norma se encuentra distribuida en las siguientes secciones, que
corresponden a controles de seguridad de la información. Es importante recordar que la
organización puede utilizar esas directrices como base para el desarrollo del SGSI. Como
sigue:

Sección 5 – Política de Seguridad de la Información

Se debe crear un documento sobre la política de seguridad de la información de la
empresa, que debe contener los conceptos de seguridad de la información, una estructura
para establecer los objetivos y las formas de control, el compromiso de la dirección con
la política, entre tantos otros factores. [7]

Sección 6 – Organización de la Seguridad de la Información

Para implementar la Seguridad de la Información en una empresa, es necesario establecer
una estructura para gestionarla de una manera adecuada. Para ello, las actividades de
seguridad de la información deben ser coordinadas por representantes de la organización,
que deben tener responsabilidades bien definidas y proteger las informaciones de carácter
confidencial. [7]

Sección 7 – Gestión de activos

Activo, según la norma, es cualquier cosa que tenga valor para la organización y que
necesita ser protegido. Pero para ello los activos deben ser identificados y clasificados,
de modo que un inventario pueda ser estructurado y posteriormente mantenido. Además,
deben seguir reglas documentadas, que definen qué tipo de uso se permite hacer con
dichos activos. [7]

Sección 8 – Seguridad en recursos humanos

Antes de la contratación de un empleado – o incluso de proveedores – es importante que
sea debidamente analizado, principalmente si se trata de información de carácter
confidencial. La intención de esta sección es mitigar el riesgo de robo, fraude o mal uso
de los recursos. Y cuando el empleado esté trabajando en la empresa, debe ser consciente
de las amenazas relativas a la seguridad de la información, así como de sus
responsabilidades y obligaciones. [7]

Sección 9 – Seguridad física y del medio ambiente

Los equipos e instalaciones de procesamiento de información crítica o sensible deben
mantenerse en áreas seguras, con niveles y controles de acceso apropiados, incluyendo
protección contra amenazas físicas y ambientales. [7]

Sección 10 – Seguridad de las operaciones y comunicaciones

Es importante que estén definidos los procedimientos y responsabilidades por la gestión
y operación de todos los recursos de procesamiento de la información. Esto incluye la
gestión de servicios tercerizados, la planificación de recursos de los sistemas para
minimizar el riesgo de fallas, la creación de procedimientos para la generación de copias
de seguridad y su recuperación, así como la administración segura de las redes de
comunicaciones. [7]
Sección 11 – Control de acceso
El acceso a la información, así como a los recursos de procesamiento de la información
y los procesos de negocios, debe ser controlado con base en los requisitos de negocio y
en la seguridad de la información. Debe garantizarse el acceso de usuario autorizado y
prevenido el acceso no autorizado a los sistemas de información, a fin de evitar daños a
documentos y recursos de procesamiento de la información que estén al alcance de
cualquiera. [7]

Sección 12 – Adquisición, desarrollo y mantenimiento de sistemas

Los requisitos de seguridad de los sistemas de información deben ser identificados y
acordados antes de su desarrollo y/o de su implementación, para que así puedan ser
protegidos para el mantenimiento de su confidencialidad, autenticidad o integridad por
medios criptográficos. [7]

Sección 13 – Gestión de incidentes de seguridad de la información

Los procedimientos formales de registro y escalonamiento deben ser establecidos y los
empleados, proveedores y terceros deben ser conscientes de los procedimientos para
notificar los eventos de seguridad de la información para asegurar que se comuniquen lo
más rápido posible y corregidos en tiempo hábil. [7]

Sección 14 – Gestión de continuidad del negocio

Los planes de continuidad del negocio deben ser desarrollados e implementados, con el
fin de impedir la interrupción de las actividades del negocio y asegurar que las
operaciones esenciales sean rápidamente recuperadas. [7]

Sección 15 – Conformidad
Es importante evitar la violación de cualquier ley criminal o civil, garantizando estatutos,
regulaciones u obligaciones contractuales y de cualesquiera requisitos de seguridad de la
información. En caso necesario, la empresa puede contratar una consultoría especializada,
para que se verifique su conformidad y adherencia a los requisitos legales y
reglamentarios. [7]
 III. CONCLUSIONES

Nada es estático dentro de una empresa, la seguridad no es la excepción por lo que

siempre es necesario tener en cuenta las normas que rigen cada año según las normas
ISO27001 donde se puede encontrar que debemos tener mejoras continuas. Por otro lado,
la seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad
aplicando los debidos procesos y sobre todo teniendo en cuenta las soluciones que se
plantearon según las normas de la ISO27002. Cabe recalcar que la seguridad no se debe
tener en cuenta como un producto, es un proceso que debe ser administrado y sobre todo
bien estructurado para lograr un mejor rendimiento dentro de la empresa. Por otro lado,
se debe tener en cuenta que todas las fases del SGSI son importantes ya que bien
implementados cada uno de ellos se podrá lograr una solvencia no al 100% pero si lograr
complementar todas las áreas de la misma dando como resultado la obtención de los
objetivos propuestos al inicio de la implantación del SGSI en el supermercado Jumbo.

IV. REFERENCIAS

[1] ISO/IEC, ISO 27000.( 2011). Normativa ISO y estándares referentes. Disponible en:
http://www.iso27000.es/download/doc_iso27 000_all.pdf

[2] Gestión de calidad, Implantación ISO 27001:2005. (2011). Disponible en: http://www.gestioncalidad.com/implantacion-iso-
27001.html

[3] Mendoza Rosendo A., SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN.CASO: CENTRO DE
TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN. Venezuela. 2008. Disponible en
http://www.slideshare.net/mmujica/mi-defensa

[4] Aginsa A., Matheus I.(2016). "Enhanced Information Security Management System Framework Design Using ISO 27001 And
Zachman Framework A Study Case of XYZ Company " in 2nd International Conference Wireless and Telematics (ICWT),
Yogyakarta, Indonesia

[5] Carlo Di Giulio C., Sprabery R. Kamhoua Ch., (2017). "Cloud Standards in Comparison: Are New Security Frameworks
Improving Cloud Security? " in IEEE 10th International Conference on Cloud Computing (CLOUD). Honolulu, CA, USA.

[6] Fu-Tung Wang F., Yun Ch., (2010). "Information Security on RFID Based Power Meter System". in The 2nd IEEE International
Conference on Information Management and Engineering (ICIME), 2010. Chengdu, China

[7] 30 Dic ISO 27002: Buenas prácticas para gestión de la seguridad de la información Disponible en:
https://ostec.blog/es/generico/iso-27002-buenas-practicas-gsi

[8] Hajdarevic K., Allen P., and Spremic M. (2016). “Proactive Security Metrics for Bring Your Own Device (BYOD) in ISO 27001
Supported Environments". Telecommunications Forum (TELFOR). Belgrade, Serbia.

[9] Lohse E. (1985). "The role of the ISO in telecommunications and information systems standardization". IEEE Communications
Magazine .Volume: 23, Issue: 1, January 18 – 24.

[10] Lontsikh P., Karaseva V., and. Nikiforova K. (2016). “Implementation of Information Security and Data Processing Center
Protection Standards". in IEEE Conference on Quality Management, Transport and Information Security, Information
Technologies (IT&MQ&IS),. Nalchik, Russia.

[11] Nurbojatmiko, Susanto A.,Shobariah E.(2016) . "Assessment of ISMS Based On Standard ISO/IEC27001:2013 at
DISKOMINFO Depok City". in International Conference on Cyber and IT Service Management. Bandung, Indonesia.

[12] Sihwi S., Andriyanto F., and Anggrainingsih R. (2016). "An expert system for risk assessment of information system security
based on ISO 27002". In IEEE International Conference on Knowledge Engineering and Applications (ICKEA), Singapore,
Singapore. –