“Implementación de un SGSI en la empresa EUREKA
estudio gráfico, bajo la norma ISO 27001”
RESUMEN
El presente artículo es el resultado de un
estudio investigativo sobre la seguridad de la
información en la Empresa EUREKA estudio
gráfico de la Ciudad de Riobamba. En la
institución se realizó una serie de etapas
investigativas que abarcan desde el Análisis
Diferencial que establece un indicador sobre
la situación inicial en cuanto a seguridad de la
información que arroja un resultado del 31%
de controles establecidos. A continuación se
implementa un sistema de gestión de la
seguridad de la información (SGSI) utilizando
la metodología PDCA (plan, do, check, actua)
el cual aborda algunos temas que la empresa
necesariamente debe implementar para
mejorar su seguridad informática; al final del
proceso nos brinda un resultado positivo del
62%. El efecto obtenido indica que la
aplicación de las herramientas planificadas
mejora significativamente la seguridad en la
empresa, además de brindar confiabilidad,
disponibilidad e integridad.
Palabras clave: PDCA, seguridad informática,
calidad, metodología, SGSI.
ABSTRACT
This article is the result of a research study on
the security of information in the EUREKA
Enterprise graphic study of the City of
Riobamba. In the institution, a series of
investigative stages were carried out, ranging
from the Differential Analysis that establishes
an indicator about the initial situation in
terms of information security that yields a
result of 31% of established controls. Next, an
information security management system
(SGSI) is implemented using the PDCA
methodology (plan, do, check, act) which
addresses some issues that the company must
necessarily implement to improve its
computer security; At the end of the process,
it gives us a positive result of 62%. The
obtained effect indicates that the application
of the planned tools significantly improves the
security in the company, in addition to
providing reliability, availability and
integrity.
Key words: PDCA, computer security, quality,
methodology,
1. INTRODUCCIÓN
Partiendo de una definición general de lo que es
seguridad informática podemos considerar que
es una disciplina que se encarga de proteger la
integridad y la privacidad de la información
almacenada en un sistema informático. De todas
formas, no existe ninguna técnica que permita
asegurar la inviolabilidad de un sistema.
EUREKA estudio gráfico, es una microempresa
privada que se dedica al diseño y desarrollo de
plataformas web e infraestructuras informáticas.
Es importante entender que la seguridad de la
información, se refiere a la protección de los
activos de información fundamentales para el
éxito de cualquier organización; por tal razón es
imprescindible que EUREKA estudio gráfico
posea este tipo de sistemas que garanticen la
confidencialidad, integridad y disponibilidad de
su información.
2. ANÁLISIS DIFERENCIAL
El análisis de situación de la empresa respecto a
la norma no es obligatorio según la ISO 27001
pero si aconsejable para entender dónde nos
encontramos. El análisis diferencial nos
permitirá evaluar el grado de cumplimiento de la
norma y nos permitirá tener una versión
preliminar de la declaración de aplicabilidad
3. PLANIFICACION DEL SGSI
A. Alcance del SGSI
El alcance es para todos los sistemas
dirigidos al manejo de la información del proceso
de diseño y desarrollo de los sistemas
informáticos.
B. Políticas de Seguridad
 La política de seguridad es un conjunto de
normas y procedimientos de obligado
cumplimiento para el tratamiento de los
riesgos de seguridad empresariales.
 EUREKA estudio gráfico, dentro de su
estructura organizacional establece un
comité de seguridad de la información
conformado por un grupo interdisciplinario
de colaboradores responsables de todas las
acciones referidas a la seguridad de la
información de la empresa, controles y
procedimientos según sus requerimientos,
Página 1 de 3
 mismo que es aprobado por el directorio
principal de la Empresa.
 Implantar responsabilidades, roles y
funciones para el sistema de seguridad de la
información.
 Revisar el SGSI con planificación o en el
caso que se produzcan cambios
significativos para asegurar la idoneidad,
adecuación y la eficacia de la continuidad.
 La información debe estar clasificada según
su valor, requisitos legales y criticidad para
la organización
 Todos los empleados deberán recibir una
formación adecuada y actualizada referente
a las políticas y procedimientos de
seguridad.
 Procedimiento de registro formal de
usuarios para conceder y revocar accesos a
todos los sistemas.
C. Metodología de evaluación de Riesgos
 La evaluación de riesgos se gestiona bajo las
siguientes normas:
 Construir objetivos de la evaluación
 Plantear el alcance de cada evaluación
 Definir los criterios para seleccionar el
equipo evaluador o validar las competencias
de los evaluadores o aspectos éticos y
morales.
 Documentar y registrar las actividades
realizadas
 Identificar herramientas y procedimientos a
utilizar en la evaluación
 Testear las competencias del personal de la
empresa.
D. Identificar amenazas y vulnerabilidades
 Identificamos las amenazas que pueden
afectar y vulnerar nuestros sistemas
informáticos desde cualquier acción o
acontecimiento que orientadas a la seguridad
informática.
 En nuestro caso nos enfocaremos en el
control de acceso a las cuentas de usuarios
en nuestros sistemas informáticos.
E. Identificar impactos
 Acceso indebido a información no asignada
al usuario o mal uso de la información
 Pérdida, manipulación de la información o
daño en los equipos informáticos
F. Análisis y evaluación de riesgos
 El uso incorrecto de contraseñas en las
cuentas de usuario implica que la
información no esté segura y se pueda
provocar un acceso indebido a la misma,
especialmente en los archivos que
corresponden a la creación de las
plataformas informáticas.
 Los accesos no autorizados generan
escenarios que provocan un sistema
vulnerable e inseguro.
4. IMPLEMENTACION DEL SGSI
A continuación establecemos los parámetros
del cómo se implementarán los controles del
documento de aplicabilidad, se designarán
responsables y los recursos.
A. Plan de tratamiento de riesgos
 Crear credenciales seguras para las cuentas
de usuarios
 Delegar responsabilidades en la seguridad
de las contraseñas a los usuarios asignados.
 Demarcar el acceso de los usuarios a los
servicios del sistema informático.
B. Implantar el plan de gestión de riesgos
 Generar métodos de control sobre las
credenciales para disminuir el riesgo
 Delegar las credenciales a los usuarios
autorizados para el efecto evitando al
mínimo la proliferación de múltiples
contraseñas.
 El acceso a los sistemas será autorizado
únicamente a aquellos datos y recursos que
precisen para el desarrollo de sus funciones.
 El tamaño en la longitud mínima de las
contraseñas será igual o superior a ocho
caracteres, y estarán constituidas por
combinación de caracteres alfanuméricos y
especiales.
 La responsabilidad será única y exclusiva de
la persona asignada, no existirá delegación
de responsabilidades.
C. Implementar los controles
 Designar contraseñas solo a las personas
responsables
 No compartir las contraseñas
 Actualizar las contraseñas cada seis meses
 Limitar el acceso a los sistemas informáticos
D. Formación y concienciación
 Impartir capacitaciones sobre el uso de las
credenciales al personal.
 Establecer un manual de funciones para
delegar responsabilidades a los usuarios del
servicio informático.
Página 2 de 3
 Concientizar sobre los riesgos del uso o
accesos indebidos para evitar alteraciones en
el sistema
E. Operar el SGSI
 Ejecutar la operatividad del sistema de
seguridad de la información a todos los
miembros de la empresa para monitoreo y
seguimientos futuros.
5. MONITOREO Y SEGUIMIENTO
DEL SGSI
EUREKA estudio gráfico ejecutará
procedimientos de monitorización y revisión
para:
 Identificar con prontitud los errores en los
resultados generados por el tratamiento de la
información.
 Determinar incongruencias y sucesos
producidos sobre el tema de seguridad.
 Prevenir posibles incidentes de seguridad
mediante la lectura de indicadores.
 Inteligenciar acciones dedicadas a resolver
vacíos de seguridad no detectadas.
6. MANTENER Y MEJORA
CONTINUA DEL SGSI
EUREKA estudio gráfico ejecutará
procedimientos de monitorización y revisión
para:
 El Sistema de Gestión de Seguridad de la
Información debe ser revisado
periódicamente para asegurar que se
cumplan los objetivos marcados por la
organización.
 La implementación de indicadores sobre la
seguridad de la información nos brindará su
estado actual, asociado a los registros que en
él se producen de tal forma que se
recolectarán datos precisos para su estudio y
análisis.
EUREKA estudio gráfico ejecutará
regularmente las siguientes acciones:
Implementar en el SGSI las actualizaciones
sugeridas.
 Ejecutar actividades de prevención y
correcciones periódicas.
La implementación del Sistema de Gestión
de la Seguridad de la Información generó
indicadores que proporcionan logros
alcanzados un porcentaje aceptable del 62%
como se muestra a continuación:
7. CONCLUSIONES
 Se evidenciaron diferentes riesgos que
podían afectar a puntos críticos dentro de la
empresa de forma que para cada riesgo se
especificaron controles puntuales de
acuerdo con la norma ISO 27001.
 EUREKA estudio gráfico poseía niveles
muy bajos en cuanto a la seguridad de la
información. Con la implementación del
SGSI, se ha garantizado un porcentaje
importante en cuanto a seguridad se refiere.
 Los sistemas de Gestión de Seguridad de
Información bajo la norma ISO 27001, se
basan en la prevención, por lo tanto, es muy
importante identificar los riesgos a los que
están expuestos los activos para así evitar
pérdidas económicas u operacionales.
8. BIBLIOGRAFÍA
i. Silberschatz, A., GAGNE, G., & GALVIN, P.
B. (2006). Fundamentos de sistemas
operativos. McGraw-Hill,
ii. Pallas, G., & Corti, E. (2009). Metodología de
Implantación de un SGSI en un grupo empresarial
jerárquico. Universidad de la República,
Montevideo Uruguay.{En línea}.{15 de Marzo de
2015} disponible en:(http://www. fing. edu.
uy/inco/pedeciba/bibliote/cpap/tesis-pallas. pdf).
iii. Martelo, R. J., Madera, J. E., & Betín, A. D.
(2015). Software para Gestión Documental, un
Componente Modular del Sistema de Gestión de
Seguridad de la Información (SGSI). Información
tecnológica, 26(2), 129-134.
iv. Alexander, A. G., & IRCA, A. S. C. (2006).
ANÁLISIS DE RIESGOS Y EL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN: EL ENFOQUE ISO 27001:
2005. LIMA, PERÚ. Obtenido de www.
eficienciagerencial. com.
v. Oidor González, J. C. (2017). Diseño de un
Sistema de Gestión de Seguridad de la
Información-SGSI bajo la norma ISO/IEC 27001:
2013 para la empresa “en Línea Financiera” de la
ciudad de Cali–Colombia.
Página 3 de 3