1. Cordial saludo docente y compañeros a continuación hago mi intervención en el foro de la semana
respondiendo a las siguientes preguntas.
¿Qué áreas de la empresa deben implementar los objetivos de control y los controles dentro de
un SGSI?
Desde mi punto de vista y teniendo en cuenta los recursos complementarios, primero empiezo
diciendo que SGSI (Sistema de Gestión de la Seguridad de la Información) que tiene como objetivo
evaluar todos los riesgos asociados con los datos e información que se manejan en una empresa,
cada empresa debe elegir cuales se aplican mejor a sus necesidades y es importante que no solo
se limita al área de tecnología, si no que involucra áreas como recursos humanos, seguridad
financiera y comunicaciones entre otros. Los controles son obligatorios según la aplicabilidad en
cada organización, los encargados de la seguridad de la información son quienes definen cuales se
van a poner en marcha para garantizar la protección de los datos a continuación nombrare alguno
de ellos: políticas de seguridad de la información, organización de la seguridad de la información,
seguridad de los recursos humanos, gestión de activos, controles de accesos, criptografía cifrado y
gestión de claves, seguridad física y ambiental, seguridad operacional, seguridad de las
comunicaciones, adquisición, desarrollo y mantenimiento del sistema, gestión de incidentes de
seguridad de la información y por ultimo cumplimiento. En resumen, los controles son obligatorios
según la aplicabilidad en cada organización, los encargados de la seguridad son quienes deben
definir cuáles son los que se van a poner en marcha para garantizar la protección de los datos.
Para el equipo del SGSI en una organización, ¿Cuál sería el plan de implementación a seguir de
los objetivos de control y los controles?
En respuesta a esta pregunta voy a definir cada uno de los pasos que se debe seguir para
implementar un SGSI donde encontramos: Primero Definir la Política donde se determinan los
objetivos, el marco legal, los requerimientos legales, los criterios con los que serán evaluado los
riesgos y para esto se debe establecer la metodología que debe estar aprobada por la dirección.
Segundo Definir el Alcance de SGSI donde se debe tener claridad de que se lograra una vez se
ponga en marcha el plan de acción en la organización, teniendo en cuenta los activos, las
tecnologías y la descripción de cada uno de ellos. Tercero Identificar los Riesgos donde se debe
reconocer las posibles amenazas a las que puede estar expuesta la organización, quienes son los
responsables directos, a que son vulnerables y cuál sería el impacto en caso de que se llegue a
violar la confidencialidad, la integridad y la disponibilidad de los activos de información. Cuarto
2. Analizar y Evaluar los Riesgos donde se evalúa el impacto que tendría algunos de los riesgos si se
llega a materializar, identificar cual es la probabilidad de ocurrencia y como esto podía afectar a
los controles que ya están implementados, de igual manera, verificar si se puede aceptar o debe
ser mitigado. Quinto Hacer Tratamiento de Riesgos es decir aplicar controles adecuados, clasificar
los niveles de riesgo, evitarlos o transferirlos a terceros si es posible. Sexto Declarar la
Aplicabilidad donde se establecen los objetivos de control y seleccionar los controles que se van a
implementar. Séptimo Realizar la Gestión en donde se define como será el tratamiento de los
riesgos, aplicar el tratamiento teniendo en cuenta los controles que ya fueron identificados y las
responsabilidades de cada uno, implementar controles, definir el sistema de métricas, generar
conciencia dentro de la organización. Octavo y último Monitorear donde se debe hacer una
revisión del SGSI para identificar si está cumpliendo con lo que señala la norma ISO 27001, con los
objetivos planteados y si es efectivo, así mismo reportar las mejoras que se deben hacer y cuáles
serán las acciones a ejecutar para logara este logro.
En resumen, para el equipo del SGSI es de gran ayuda para cumplir con la legalidad y la protección
de los datos, pues permite definir los procedimientos y controles que se llevaran a cabo para
mantener los datos blindados.
Bajo el contexto de una organización que ya sufrió un daño en sus sistemas de información
provocados por un ataque informático que aprovecho sus vulnerabilidades, ¿Cómo procedería
usted a implementar los objetivos de control y controles a la seguridad de la información?
Para adentrarnos en esta pregunta donde una organización ya sufrió daños los sistemas
informáticos por un ataque informático, procederíamos a realizar una evaluación de riesgos
centrada en la seguridad de la información, para identificar amenazas, vulnerabilidades y riesgos
asociados y esto nos permitirá adoptar los controles necesarios dentro de los cuales encontramos:
primero Objetivos de Seguridad, que se debe plantear en cualquier organización para determinar
objetivos para preservar la confidencialidad, integridad y disponibilidad de la información
relacionada o afectada en la organización. Segundo encontramos la Evaluación de Riesgos donde
en la fase de diseño o planificación de la organización donde re realiza un análisis de riesgos que
nos permita identificar y ponderar los riesgos asociados a la seguridad de la información. Tercero
encontramos Controles de Seguridad donde la evaluación de riesgos no permitirá tomar las
decisiones adecuadas para establecer los controles necesarios para mitigar los riesgos. Cuarto y
último Proceso de Seguridad de la Información donde una vez hemos realizado un ejercicio según
3. los pasos anteriores podemos entonces establecer un proceso documentado para integrar la
seguridad de la información en cualquier proceso con el conocimiento que hemos aprendido.
Conclusión
Al concluir esta intervención en el foro puedo decir que fue de mucha importancia abarcar el
concepto de SGSI, las áreas dentro de una organización donde se deben implementar los objetivos
de control y los controles, también el plan de implementación a seguir y de cómo proceder a
implementar los objetivos de control y controles ante un ataque, también tengo que decir que
muchas empresas han comenzado a implementar procesos de trasformación digital que requiere
del uso de nuevas tecnologías y almacenamiento de la información por eso cada vez más
importante contar con un sistema de gestión de seguridad de la información basado en la norma
ISO 27001 que está enfocada en el aseguramiento, la confidencialidad y la integridad de los datos.
Lista de referencias
ISO 27001: de qué se trata y cómo implementarla. (2023). Retrieved 1 April 2023, from
https://www.piranirisk.com/es/academia/especiales/iso-27001-que-es-y-como-implementarla
https://www.ambit-bst.com/blog/para-qu%C3%A9-sirve-un-sgsi-controles-y-fases