1.

METODOLOGIA
El tipo de investigación del presente trabajo es aplicada, ya que se utilizará para resolver
una serie de problema según se vaya haciendo uso de los controles de la norma ISO27001,
el método de investigación será cuantitativo con un alcance descriptivo ya que se buscará
medir una serie de conceptos, de una institución y en un momento determinado. Además,
que se elegirán controles de la norma ISO 27001 para medir parámetros predeterminados
por esta misma norma.

Para llevar a cabo el proyecto se utilizará la PDCA como metodología de mejora de

procesos. Independientemente de la posición o rol que se tenga, si se sigue el método
PDCA, ya sea en un equipo de proyecto o para un sistema de gestión completo, se ha
descubierto que la oportunidad de éxito se incrementa enormemente (A. Calder y S.
Watkins, IT Governance 2013). El método PDCA se compone de siete pasos simples (o
preguntas):

- Plan (Planear):
1. Declaración de objetivos: ¿qué se logrará? En términos claros, defina el
propósito y el objetivo del proyecto o sistema de gestión. Por lo general, esto es
para aumentar un efecto deseable o disminuir uno no deseable. La declaración de
objetivos establece el alcance y la alineación para el resto del proyecto o las
acciones del sistema de gestión.
2. Análisis de causa: ¿Cuáles son las causas significativas que hacen que no se
logren los objetivos establecidos para el control y cómo se definen las causas
significativas? Las causas son generalmente una lista de la lluvia de ideas, pero su
significado (impacto) se valida con datos.
3. Medida de referencia: ¿Cuál es la medida de referencia de la Declaración de
objetivos?
4. Desarrollo de soluciones: ¿Cuáles son las soluciones propuestas (cambios en
los procesos) que, cuando se implementen correctamente, tendrán un impacto
critico en el logro de la Declaración de objetivos?
5. Planificación de implementación: ¿cuáles son los planes detallados que
implementarán con éxito la solución propuesta en el entorno de trabajo? Estos
 planes abordan los cambios en las personas, los procesos, la tecnología y los
equipos / instalaciones necesarias para la transición del camino actual al camino
propuesto.

- Do (Hacer)
Implementa la solución que fue planificada. Si es posible, implemente la solución
en forma de prueba conceptual antes de desplegarla en su totalidad. Durante la
implementación, se realizan ajustes para refinar la solución propuesta para que
coincida con la realidad.

- Check (Verificar)
6. Medida de mejora: ¿Cuál es la mejora en la declaración de objetivos?

- Act (Actuar):
7. ¿Cómo se mantendrá la solución a lo largo del tiempo? ¿Cuáles son los planes
del control para medir y ajustar la solución a fin de evitar que sus ganancias se
degraden con el tiempo?

2
A.7.2.3 Proceso disciplinario
Control
Debe haber un proceso disciplinario formal y comunicado para tomar acción contra
empleados que hayan cometido una infracción a la seguridad de la información.
Especificaciones a seguir del control
El estándar requiere que la organización se ocupe de las violaciones a las políticas de
seguridad de información de la misma, mediante procesos disciplinarios contra
empleados (contratistas y terceros). Obviamente, la organización debe usar su proceso
disciplinario existente, en los contratos de los empleados y en el mismo ISMS
(Information Security Management System) debe ser claro al respecto.
Ningún proceso disciplinario puede comenzar hasta que se haya verificado la existencia
de una infracción.
Es posible que sea necesario documentar los criterios de inicio formal que sean legales
en la jurisdicción local.
La organización debe garantizar que aquellos que están llevando a cabo una audiencia
disciplinaria con respecto a una violación reportada de un procedimiento de seguridad
de la información reciban el apoyo profesional y técnico que puedan necesitar para
tratar justamente con la persona y el problema.
En ningún caso los gerentes inexpertos y desinformados intentarán tratar asuntos de
seguridad de la información que excedan su conocimiento o experiencia.
A.11.1.1 Perímetro de seguridad física
Control
Perímetros de seguridad deben ser definidos y utilizados para proteger áreas que
contienen información sensible o crítica e instalaciones de procesamiento de la
información.
Especificaciones a seguir del control:
El primer paso es usar un sitio o un plano para identificar el área que debe protegerse.
Se debe encontrar una copia de este documento con los títulos de propiedad.
Debe trazarse una línea continua alrededor de las instalaciones del sitio del plan de
control, incluidas todas las instalaciones de información y procesamiento de
información que deben protegerse. Esta línea debe seguir el perímetro físico existente
entre la organización y el mundo exterior: paredes, puertas, ventanas, puertas, pisos,
techos fijos (falsos techos ocultan una multitud de amenazas), tragaluces, etc. También
se debe prestar especial atención a los ascensores y los árboles de elevación, elevadores,
pozos de mantenimiento y acceso, etc.
Se debe realizar una evaluación integral de riesgos para identificar las debilidades,
vulnerabilidades o lagunas de seguridad en este perímetro

3
A.11.1.2 Controles de ingreso físico
Control
Las áreas seguras deben ser protegidas por medio de controles apropiados de ingreso
para asegurar que se le permite el acceso sólo al personal autorizado.
Especificaciones a seguir del control:
El control de la norma requiere áreas seguras que deben protegerse con controles de
entrada apropiados para garantizar que solo el personal autorizado tenga acceso a las
instalaciones. ISO27002 recomienda controles específicos, algunos de los cuales son
más difíciles para las empresas más pequeñas, pero que sin embargo vale la pena
considerar y, siempre que sea posible, implementar:
- Los visitantes a áreas seguras, ya sea el sitio mismo o áreas específicas dentro
del sitio, deben ser supervisados o autorizados por adelantado, y deben
registrarse su fecha y hora de llegada y salida.
- La selección de los servicios de seguridad es en sí misma es un riesgo de
seguridad. No todas estas empresas toman las medidas adecuadas para
investigar y capacitar a sus operarios.
- Cuando el acceso para personas no autorizadas al sitio o edificio se controla
de forma remota desde el mostrador de recepción
- Acceso a información sensible, y a las instalaciones de procesamiento de
información debe controlarse y restringirse únicamente a personas
específicamente autorizadas.