Sgsi Final Sanchin

SGSI (Sistema De Gestión De Seguridad De La
Información)
AUTOR (ES)
- …………..
CARRERA
Tecnología Superior en Redes y Telecomunicaciones
MATERIA
ADMINISTRACION EN REDES
NIVEL
Cuarto “A”
IPA 2024
Ecuador
INSTITUTO SUPERIOR TECNOLÓGICO “HUAQUILLAS”
PERIODO ACADÉMICO MARZO 2024 – AGOSTO 2024
CONTENIDO
1 CASO DE NEGOCIO...............................................................................................................................2
1.1 Visión...........................................................................................................................................2
1.2 Misión..........................................................................................................................................2
2 ORGANICO FUNCIONAL.......................................................................................................................3
3 MAPA DE PROCESOS............................................................................................................................3
4 RESUMEN EJECUTIVO..........................................................................................................................4
5 ANALISIS DE OPORTUNIDAD................................................................................................................6
6 ANALISIS DE COSTO BENEFICIO...........................................................................................................8
7 Análisis de Riesgo y Recompensas.....................................................................................................14
8 PLAN DE IMPLEMENTACION..............................................................................................................18
9 ANALISIS (GAP) INICIAL......................................................................................................................20
10 DOMINIO DE LOS CONTROLES DE LA NORMA ISO/IEC 27001.......................................................21
11 ACTIVIDADES DE LOS CONTROLES DE NORMAS ISO/IEC 27001.....................................................23
12 DEFINICION DE ACTIVOS................................................................................................................30
12.1 Importancia del A.I.....................................................................................................................31
12.2 Clasificación del A.I....................................................................................................................32
13 ANALISIS DE RIESGO......................................................................................................................32
Resultados del análisis, evaluación y tratamiento del riesgo de la seguridad de la información para la
empresa TelsisNet.......................................................................................................................................1
14 GRAFICO GAP FINAL.........................................................................................................................1
15 Bibliografía.......................................................................................................................................1
1 CASO DE NEGOCIO
Empresa: TELSISNET
La empresa TELSISNET da inicios a sus actividades en el año 2005, comenzando en la
ciudad de Arenillas con el nombre de ORTSOT SISTEMAS, para luego cambiar su ubicación en
el cantón de Huaquillas y empezar a laborar en el año 2008 bajo el nombre de TelsisNet, esta
empresa surgió con el propósito de brindar un servicio de internet de fibra óptica de calidad y
proporcionar artículos de uso informático, haciendo uso de equipos de gama alta para cubrir
todas las necesidades del cliente y/o poseer un servicio estable y confiable.
El avance de TelsisNet a través de los años a sido a través de un equipo en dos ciudades
diferentes para un mayor abarcamiento de clientes con un numero limitado de personal pero con
una buena eficiencia y cada uno con la experiencia necesaria para cubrir todas las necesidades de
los clientes por parte de cada colaborador de la empresa.
Actualmente esta empresa cuneta con 1800 clientes aproximados con la suma de las dos
ciudades donde se encuentran ubicadas su oficinas (Huaquillas y Arenillas)
1.1 Visión
Ser la empresa líder en el mercado de las telecomunicaciones y de tecnología
constituyéndonos en el proveedor de confianza en el sector residencial, empresarial y
corporativo.
1.2 Misión
Satisfacer las necesidades de telecomunicaciones, tecnológicas, enmarcados en eficiencia
y calidad, mediante tecnología de última generación que contribuya al progreso de nuestros
clientes y genere rentabilidad para nuestra empresa.

2 ORGANICO FUNCIONAL
3 MAPA DE PROCESOS
4 RESUMEN EJECUTIVO
La Empresa TelsisNet posee la infraestructura necesaria para proporcionar un servicio de
calidad y alta disponibilidad a sus clientes. Sin embargo, este servicio se ha visto afectado por
varios riesgos identificados, tales como cortes de fibra óptica, daño en equipos, incendios, polvo
y sobrecalentamiento, fallas en el suministro de aire acondicionado, pérdida de energía, fallas en
equipos de telecomunicaciones, robos de equipos, errores en el uso, ataques DNS, phishing,
sabotajes, interferencias electromagnéticas, desastres naturales, sobrecargas eléctricas,
vandalismo, fallas de hardware, ataques cibernéticos, errores de configuración, daños físicos, mal
uso, fallas técnicas, robos de dispositivos móviles, malware, ingeniería social, accesos no
autorizados a la oficina, fallos eléctricos, accesos físicos no autorizados, ataques DDoS y
condiciones inadecuadas de humedad y temperatura.
Estos riesgos han llevado a interrupciones en el servicio, generando insatisfacción entre
los clientes y afectando la continuidad del negocio. Por ejemplo, los constantes bajones de luz
han puesto en riesgo el nodo principal (equipo de borde), del cual depende el servicio de internet
para los clientes. Adquirir equipos nuevos puede tardar entre 1 y 3 días, dependiendo de la
disponibilidad de los proveedores. Además, algunos clientes han reportado interrupciones en el
servicio de internet debido a fallas en el proveedor de salida internacional, lo que subraya la
necesidad de contratar un nuevo proveedor como respaldo.
La ejecución del proyecto de implementación de un Sistema de Gestión de Seguridad de
la Información (SGSI) busca mitigar estos riesgos y mejorar la resiliencia de la infraestructura de
TelsisNet. Entre las medidas a implementar se incluyen:

 Instalación de sistemas de detección y extinción de incendios: Para proteger las
instalaciones y equipos.
 Contratación de servicios de respaldo: Para garantizar la continuidad del negocio en
caso de fallos críticos.
 Mantenimiento regular del sistema de climatización y equipos UPS: Para asegurar
condiciones óptimas de operación y energía continua.
 Desarrollo e implementación de un plan de mantenimiento preventivo de los
equipos: Para mantener en buen estado operativo todos los equipos críticos.
 Establecimiento de controles de acceso físico y medidas de seguridad, como cámaras
de vigilancia y guardias de seguridad: Para proteger contra accesos no autorizados y
robos.
 Implementación de firewalls avanzados, sistemas de detección y prevención de
intrusiones (IDS/IPS) y filtros de correo electrónico: Para mejorar la seguridad
cibernética y proteger contra ataques.
 Capacitación del personal: Para mejorar el conocimiento y las habilidades en el manejo
adecuado de equipos y la configuración de archivos, así como para reconocer y evitar
intentos de ingeniería social y phishing.
 Planificación y prueba de procedimientos de recuperación ante desastres: Para
asegurar una rápida recuperación de las operaciones críticas en caso de interrupciones
significativas.
La ejecución de este proyecto busca reducir significativamente el tiempo de inactividad
del servicio mediante el almacenamiento de equipos de repuesto y la contratación de proveedores

de respaldo, garantizando así la alta disponibilidad y un servicio constante y sin interrupciones.
Además, se evaluarán los activos disponibles para la conectividad a internet y se gestionarán los
riesgos de seguridad de la información relacionados con el servicio de red.
Esta iniciativa se alinea con la visión de TelsisNet de ofrecer a los usuarios un servicio de
alta calidad y confiabilidad, con menos interrupciones, lo que generará una mayor satisfacción y
sentido de seguridad entre los clientes. Esto no solo asegurará la lealtad de los clientes actuales,
sino que también atraerá a nuevos clientes potenciales, fortaleciendo la posición de TelsisNet en
el mercado.
5 ANALISIS DE OPORTUNIDAD
En el mercado actual de servicios de internet, TelsisNet enfrenta una competencia
considerable, con numerosos proveedores luchando por atraer y retener a los clientes. En este
contexto, TelsisNet, aunque siendo antiguo en el mercado con 19 años de operación
aproximadamente, ha demostrado un crecimiento impresionante, pasando de 100 a más de 1500
usuarios en su cartera de clientes.
La empresa ha logrado mantenerse en el mercado gracias a la capacidad de TelsisNet para
adaptarse a las necesidades cambiantes del mercado. Una de sus estrategias más efectivas ha sido
la oferta de instalación gratuita del servicio, lo que ha generado un gran interés entre los clientes
potenciales. Además, TelsisNet se destaca por ofrecer un servicio de alta disponibilidad y por
garantizar la seguridad de la información de sus usuarios, factores críticos que diferencian a la
empresa en un mercado saturado.

El funcionamiento de TelsisNet está regulado por la normativa vigente en el país,
específicamente por la Agencia de Regulación y Control de las Telecomunicaciones
(ARCOTEL).
La empresa cumple con la "Norma Técnica para Coordinar la Gestión de Incidentes y
Vulnerabilidades que afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones",
que establece la necesidad de ejecutar planes de acción sobre las vulnerabilidades detectadas,
garantizando así la seguridad de las comunicaciones y la protección de la información
transmitida por sus redes.
La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en
TelsisNet tiene como objetivo identificar, analizar y gestionar proactivamente las
vulnerabilidades y amenazas. Esto incluye la configuración de medidas técnicas y operativas,
tales como:
 Configuración total de la seguridad en los equipos.
 Actualizaciones permanentes del software.
 Uso de encriptación y autenticación.
 Segmentación de redes mediante VLANs y subredes.
 Implementación de firewalls perimetrales tanto por hardware como por software.
 Acuerdos de confidencialidad con los empleados.
 Garantía de seguridad en las redes de proveedores externos.
 Asignación adecuada de recursos para garantizar el nivel de seguridad requerido,
incluyendo la adquisición de software de protección (antivirus, por ejemplo).
 Copias de respaldo regulares.

 Protección de los servidores y servicios de internet.
 Control estricto de contraseñas, incluyendo fortaleza y cambios periódicos.
 Políticas de acceso y registro de actividades en sistemas operativos.
 Prohibición de instalación de programas no autorizados y software sin licencia.
 Cierre automático de sesiones inactivas.
 Utilización de VPN para teletrabajo.
 Restricción de almacenamiento de datos en dispositivos removibles no autorizados.
 Configuración de alarmas de alerta para detectar intrusos.
Estas medidas aseguran que TelsisNet pueda ofrecer un servicio de internet confiable y
seguro, minimizando el riesgo de interrupciones y protegiendo la información de sus clientes.
Este enfoque no solo fortalece la confianza de los clientes actuales, sino que también atrae a
nuevos clientes, consolidando la posición de TelsisNet en el mercado y asegurando su
crecimiento continuo.
6 ANALISIS DE COSTO BENEFICIO
Tabla 6.1 Costos

Descripción Costos
(Primer año)
Compra de Equipo de Borde (router y línea óptica) 18000
Contratación de nuevo proveedor 36000
Implementar un sistema de contra incendios 2.500,00
3.000,00
Limpiar el entorno del nodo
Las áreas de equipos de redes deben estar limpias y sin polvo,
deben estar protegidas contra los efectos adversos del clima,
fugas de agua, goteras.
Contratar un backup de servicio 5.000,00
Establecer un plan de mantenimiento periódico del sistema de 7.000,00

climatización
Realizar mantenimientos periódicos a los equipos UPS 1.500,00
Implementat un Plan de Mantenimiento Preventivo de los 3.000,00

Equipos
Establecer una bitácora de registro de acceso a equipos 300,00
Establecer controles de seguridad con acceso biométricos dentro
de las instalaciones
Se debe concientizar, educar y capacitar al personal en el uso de 30.000,00
los equipos y configuración de archivos de los equipos
Monitorear y analizar el tráfico DNS para detectar actividades 2.500,00
sospechosas
Realizar simulaciones de phishing para evaluar y mejorar la 2.000,00
concienciación
Tener contratos de mantenimiento y reparación con proveedores 1.900,00
de servicios
Realizar evaluaciones de antecedentes de empleados 4.000,00
Blindar cables y equipos para evitar interferencias 2.000,00
Implementar planes de contingencia y recuperación ante 15.000,00

desastres
Instalar sistemas de detección y extinción de incendios 2.400,00
Implementar medidas de seguridad física como cámaras de 25.000,00

vigilancia y guardias de seguridad
Instalar sistemas de alimentación ininterrumpida (UPS). 1.500,00
Implementar medidas de seguridad física como cámaras de 600,00

vigilancia y guardias de seguridad
Implementar redundancia de hardware 900,00
Implementar firewalls avanzados y sistemas de detección y 4.000,00

prevención de intrusiones (IDS/IPS)
Establecer procedimientos de revisión y aprobación de cambios 2.600,00
Implementar controles de acceso físico 15.000,00
Capacitar al personal en el uso adecuado de los sistemas 15.000,00
Planificar y probar procedimientos de recuperación ante 1.500,00

desastres
Implementar filtros de correo electrónico 25.000,00
Implementar cifrado de dispositivos 8.000,00
Instalar y mantener actualizado el software antivirus y 12.000,00

antimalware
Capacitar al personal para reconocer y evitar intentos de 23.000,00

ingeniería social
Realizar auditorías de seguridad física 1.300,00
Instalar sistemas de detección y extinción de incendios 1.202,00
Implementar sistemas de alimentación ininterrumpida (UPS) y 2.300,00

generadores de respaldo
Implementar medidas de seguridad física, como cerraduras $

electrónicas y sistemas de monitoreo 5.000,00
Implementar soluciones de mitigación de DDoS
Instalar sistemas de control ambiental y monitoreo constante de $

las condiciones de temperatura y humedad 1.202,00
Tabla 6.2 Beneficios

Descripción Beneficio
(Primer año)
Conservar usuarios, y prestigio $30000

Brindar alta disponibilidad en el servicio
$36000
Reducción del riesgo de daños por incendios
$3,000
Aumento de la vida útil de los equipos
$3,500
Continuidad del servicio sin interrupciones
$6,000
Reducción de fallos por sobrecalentamiento
$8,000
Aseguramiento de energía continua
$2,000
Prevención de fallos y tiempo de inactividad
$4,000
Mejor trazabilidad y seguridad
$1,000
Reducción de errores operativos
$35,000
Detección temprana de actividades sospechosas
$3,000
Mejora en la conciencia de ciberseguridad
$2,500
Menor tiempo de inactividad
$2,500
Reducción del riesgo interno
$5,000
Mayor estabilidad en las comunicaciones
$2,500
Rápida recuperación ante desastres
$18,000
Protección de activos y personal
$3,000
Mejora en la seguridad física
$30,000
Continuidad operativa durante cortes de energía
$2,000
Aseguramiento de la continuidad operativa
$1,200
Protección contra ciberataques
$5,000
Reducción de errores en cambios de infraestructura
$3,000
Seguridad en el acceso a las instalaciones

$18,000
Mejora en la eficiencia operativa
$18,000
Reducción del impacto de desastres
$2,000
Reducción de riesgos por correos maliciosos
$30,000
Protección de datos sensibles
$10,000
Protección continua contra amenazas
$15,000
Reducción de riesgos de ingeniería social
$28,000
Identificación y mitigación de vulnerabilidades físicas
$1,800
Garantía de energía durante emergencias
$3,000
Mayor control y seguridad en el acceso
$6,000
Protección contra ataques de denegación de servicio
$6,000
Mantener condiciones óptimas para equipos
$1,500
La implementación de medidas de seguridad y mejoras operativas en TelsisNet conlleva
diversos costos y beneficios significativos. Entre las principales inversiones se encuentran la
compra de equipos de borde como routers y líneas ópticas por $18,000, lo cual agiliza la
reposición de equipos y reduce el riesgo de pérdida de clientes, potencialmente evitando pérdidas
de hasta $30,000 anuales. Contratar un nuevo proveedor por $36,000 aumenta la capacidad y la
disponibilidad del servicio, asegurando ingresos continuos de $360,000 anuales. La
implementación de sistemas contra incendios por $2,500 y la mejora del entorno del nodo por
$3,000 protegen activos y prolongan la vida útil de equipos, estimándose beneficios anuales de
$3,000 y $3,500 respectivamente.

Estas implementaciones van a tener un costo aproximado de $281,204 dólares americanos
por lo cual la empresa tendrá un mayor beneficio a largo plazo
Otras inversiones incluyen $5,000 en un backup de servicio para evitar interrupciones y
proteger ingresos anuales proyectados en $6,000, y $7,000 en mantenimiento del sistema de
climatización para reducir fallos por sobrecalentamiento, con beneficios anuales estimados en
$8,000. Mantenimientos periódicos a equipos UPS por $1,500 aseguran energía continua, con
beneficios de $2,000. Un plan preventivo de mantenimiento de equipos por $3,000 minimiza
fallos inesperados, con beneficios anuales de $4,000.
Establecer una bitácora de acceso a equipos por $300 mejora la seguridad y la
trazabilidad, con beneficios proyectados de $1,000 anuales. Capacitar al personal en equipos y
configuración por $30,000 reduce errores operativos, con beneficios proyectados de $35,000.
Monitoreo de tráfico DNS por $2,500 y simulaciones de phishing por $2,000 fortalecen la
ciberseguridad, con beneficios estimados de $3,000 y $2,500 respectivamente.
Contratos de mantenimiento con proveedores por $1,900 reducen tiempos de inactividad,
con beneficios anuales de $2,500. Evaluaciones de antecedentes de empleados por $4,000
reducen riesgos internos, con beneficios de $5,000. Blindaje de cables y equipos por $2,000
asegura estabilidad en comunicaciones, con beneficios de $2,500. Planes de contingencia y
recuperación por $15,000 aseguran rápida recuperación ante desastres, con beneficios de
$18,000. Sistemas de detección y extinción de incendios por $2,400 protegen activos y personal,
con beneficios proyectados de $3,000.
Medidas de seguridad física como cámaras y guardias por $25,000 mejoran la seguridad,
con beneficios de $30,000. Sistemas UPS por $1,500 aseguran continuidad operativa, con
beneficios de $2,000. Redundancia de hardware por $900 asegura continuidad, con beneficios
proyectados de $1,200. Firewalls avanzados y sistemas IDS/IPS por $4,000 protegen contra
ciberataques, con beneficios de $5,000. Procedimientos de revisión y aprobación por $2,600
reducen errores en cambios, con beneficios de $3,000. Implementar controles de acceso físico
por $15,000 fortalece la seguridad, con beneficios proyectados de $18,000.
Implementar filtros de correo electrónico por $25,000 y cifrado de dispositivos por
$8,000 protegen la información sensible, con beneficios proyectados de $30,000 y $10,000
respectivamente. Mantener actualizado el software antivirus y antimalware por $12,000 protege
contra amenazas, con beneficios de $15,000. Capacitar al personal en ingeniería social por
$23,000 reduce riesgos, con beneficios de $25,000. Realizar auditorías de seguridad física por
$1,300 y sistemas de control ambiental por $1,202 protegen activos y entorno, con beneficios
proyectados de $1,500 cada uno.
En resumen, la inversión en estas medidas de seguridad y mejoras operativas no solo
protege activos críticos y datos sensibles, sino que también mejora la eficiencia operativa y
reduce el riesgo de interrupciones costosas, garantizando así la continuidad del negocio y la
satisfacción del cliente a largo plazo.
7 Análisis de Riesgo y Recompensas
Tabla 7.1 Riesgos

Riesgo Recompensa Impacto
Corte de Fibra Óptica Compra de Equipo de Borde (router y línea

Alto
óptica)
Daño del Equipo Cambio del Equipo
Alto
Incendio Implementar un sistema de contra incendios

Alto
Polvo y sobrecalentamiento
Limpiar el entorno del
nodo
Las áreas de equipos de redes deben estar
Medio
limpias y sin polvo,
deben estar protegidas contra los efectos
adversos del clima, fugas de agua, goteras.
Corte de Fibra Óptica Contratar un backup de servicio

Alto
Falla en el Suministro de Establecer un plan de mantenimiento periódico
aire acondicionado del sistema de climatización Bajo
Pérdida del suministro de Realizar mantenimientos periódicos a los

energía equipos UPS Bajo
Falla en el equipo de Implementat un Plan de Mantenimiento

Telecomunicaciones Preventivo de los Equipos Bajo
Robo Equipos Establecer una bitácora de registro de acceso a

equipos
Medio
Establecer controles de seguridad con acceso
biométricos dentro de las instalaciones
Error en el Uso Se debe concientizar, educar y capacitar al
personal en el uso de los equipos y Bajo
configuración de archivos de los equipos
Ataque de DNS Monitorear y analizar el tráfico DNS para
Alto
detectar actividades sospechosas
Phishing Realizar simulaciones de phishing para evaluar y
Alto
mejorar la concienciación
Corte de Fibra Óptica Tener contratos de mantenimiento y reparación
Medio
con proveedores de servicios
Sabotaje Realizar evaluaciones de antecedentes de
Bajo
empleados
Interferencia Blindar cables y equipos para evitar
Electromagnética interferencias Alto
Desastres naturales Implementar planes de contingencia y

Alto
recuperación ante desastres
Incendio Instalar sistemas de detección y extinción de

Alto
incendios
Sobrecarga Eléctrica Implementar medidas de seguridad física como
cámaras de vigilancia y guardias de seguridad Alto
Vandalismo Instalar sistemas de alimentación ininterrumpida

(UPS). Medio
Falla de hardware Implementar medidas de seguridad física como

cámaras de vigilancia y guardias de seguridad Alto
Ataque cibernético Implementar redundancia de hardware

Alto
Errores de configuración Implementar firewalls avanzados y sistemas de
detección y prevención de intrusiones (IDS/IPS) Alto
Daño Físico Establecer procedimientos de revisión y

aprobación de cambios Alto
Mal Uso Implementar controles de acceso físico

Medio
Falla Técnica Capacitar al personal en el uso adecuado de los
sistemas Medio
Phishing Planificar y probar procedimientos de

recuperación ante desastres Alto
Robo de dispositivos Implementar filtros de correo electrónico

móviles Bajo
Malware Implementar cifrado de dispositivos

Alto
Ingeniería social Instalar y mantener actualizado el software
antivirus y antimalware Alto
Acceso no autorizado a la Capacitar al personal para reconocer y evitar

oficina intentos de ingeniería social Medio
Incendio Realizar auditorías de seguridad física

Alto
Fallo eléctrico Instalar sistemas de detección y extinción de Alto
incendios
Acceso físico no autorizado Implementar sistemas de alimentación

ininterrumpida (UPS) y generadores de respaldo Medio
Ataques DDoS Implementar medidas de seguridad física, como

cerraduras electrónicas y sistemas de monitoreo
Alto
Humedad y temperatura Instalar sistemas de control ambiental y

inadecuada monitoreo constante de las condiciones de
Bajo
temperatura y humedad
En la tabla 7.1. se puede apreciar dos tipos de riesgos: internos y externos
En base a la tabla de riesgos identificados, se observa una combinación de riesgos de alto,
medio y bajo impacto en varias áreas críticas de la operación de TelsisNet. Los riesgos de alto
impacto, como la falta de redundancia en equipos críticos y vulnerabilidades en la red, pueden
resultar en pérdidas significativas tanto en términos financieros como de reputación si no se
gestionan adecuadamente.
Por otro lado, los riesgos de medio impacto, como la falta de capacitación en seguridad
para el personal y la necesidad de evaluar antecedentes de empleados, representan desafíos que
pueden mitigarse con inversiones estratégicas en formación y procesos de selección mejorados.
Además, los riesgos de bajo impacto, como la falta de simulaciones de phishing, aunque
menos críticos, también requieren atención para fortalecer la conciencia y preparación del
personal frente a amenazas emergentes.

En términos de recompensas, abordar estos riesgos de manera proactiva no solo puede
proteger a TelsisNet contra pérdidas y disrupciones, sino que también puede generar mejoras
significativas en la seguridad operativa, la eficiencia del servicio y la satisfacción del cliente.
8 PLAN DE IMPLEMENTACION
ACTIVIDAD TIEMPO RECURSO METAS
Compra de Equipo de Borde (router y línea 1 mes Económico

100%
óptica)
Contratación de nuevo proveedor 1 mes Económico
100%
Implementar un sistema de contra incendios 1 mes Humano
100%
2 meses Humano
Limpiar el entorno del nodo. 100%
Contratar un backup de servicio 2 meses Económico

100%
Establecer un plan de mantenimiento periódico 1 mes Humano
del sistema de climatización 100%
Realizar mantenimientos periódicos a los 2 meses Humano

100%
equipos UPS
Implementat un Plan de Mantenimiento 1 mes Humano
100%
Preventivo de los Equipos
Establecer una bitácora de registro de acceso a 2 meses Económico
equipos 100%
Establecer controles de seguridad con acceso 1 mes Humano

100%
biométricos dentro de las instalaciones
Se debe concientizar, educar y capacitar al 1 mes Humano
personal en el uso de los equipos y 100%
configuración de archivos de los equipos
Monitorear y analizar el tráfico DNS para 1 mes Humano
100%
detectar actividades sospechosas
Realizar simulaciones de phishing para evaluar y 1 mes Economico
100%
mejorar la concienciación
Tener contratos de mantenimiento y reparación 1 mes Economico

100%
con proveedores de servicios
Realizar evaluaciones de antecedentes de 1 mes Humano
100%
empleados
Blindar cables y equipos para evitar 1 mes Economico
100%
interferencias
Implementar planes de contingencia y 1 mes Humano
100%
recuperación ante desastres
Instalar sistemas de detección y extinción de 5 meses Economico
100%
incendios
Implementar medidas de seguridad física como 3 meses Economico
cámaras de vigilancia y guardias de seguridad 100%
Instalar sistemas de alimentación ininterrumpida 2 meses Humano

(UPS). 100%
Implementar medidas de seguridad física como 1 mes Humano

cámaras de vigilancia y guardias de seguridad 100%
Implementar redundancia de hardware 2 meses Humano

100%
Implementar firewalls avanzados y sistemas de 2 meses Humano
detección y prevención de intrusiones (IDS/IPS) 100%
Establecer procedimientos de revisión y 1 mes Humano

aprobación de cambios 100%
Implementar controles de acceso físico 4 meses Humano

100%
Capacitar al personal en el uso adecuado de los 1 mes Economico
sistemas 100%
Planificar y probar procedimientos de 4 meses Economico

recuperación ante desastres 100%
Implementar filtros de correo electrónico 2 meses Humano

100%
Implementar cifrado de dispositivos 2 meses Economico
100%
Instalar y mantener actualizado el software 1 mes Economico
100%
antivirus y antimalware
Capacitar al personal para reconocer y evitar 1 mes Humano

intentos de ingeniería social 100%
Realizar auditorías de seguridad física 1 mese Humano

100%
Instalar sistemas de detección y extinción de 1 mes Economico
incendios 100%
Implementar sistemas de alimentación 4 meses Economico

ininterrumpida (UPS) y generadores de respaldo 100%
Implementar medidas de seguridad física, como 2 meses Economico

cerraduras electrónicas y sistemas de monitoreo
100%
Instalar sistemas de control ambiental y 2 meses Economico

monitoreo constante de las condiciones de
100%
temperatura y humedad
9 ANALISIS (GAP) INICIAL
Haciendo uso del modelo de madurez COBIT para realizar un análisis de GAP se pudo
determinar que la empresa se encontraba en un nivel de madurez nivel 1 y se puede determinar
que dentro de esta empresa los procesos son ad-hoc y desorganizados y que se encuentra por
debajo del promedio de la industria pero con esto se puede determinar que el objetivo de la
empresa es alcanzar un nivel de madurez nivel 3.
Esto se logro haciendo uso de una lista de preguntas bajo diferentes escenarios a los
niveles de madurez establecidos dentro de la Norma ISO/IEC 270001.

NO EXISTE INICIAL REPETIBLE DEFINIDO ADMINISTRATIV OPTIMIZADO

O
0 1 2 3 4 5
10 DOMINIO DE LOS CONTROLES DE LA NORMA ISO/IEC 27001
Figura 1
Dominio de cumplimiento en políticas de la NORMA ISO/IEC 27001
% Cumplimiento
A.5%POLÍTICAS
Cumplimiento
DE LA SEGURIDAD DE LA INFORMACIÓN
A.18 CUMPLIMIENTO A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
40
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
20
20.00 14.00
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 11.33 15.56 A.8 GESTIÓN DE ACTIVOS
11.67
0.00
0
8.570.000.00
5.56 23.50
A.15 RELACIONES CON LOS PROVEEDORES 8.57 A.9 CONTROL DE ACCESO
23.33
29.44
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS A.10 CRIPTOGRAFÍA
A.13 SEGURIDAD DE LAS COMUNICACIONES A.11 SEGURIDAD FÍSICA Y DEL ENTORNO

A.12 SEGURIDAD DE LAS OPERACIONES
Figura 2
Dominio de cumplimiento en políticas en barras de la NORMA ISO/IEC 27001
% Cumplimiento
A.18 CUMPLIMIENTO 11.33
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 20.00
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 8.57
A.15 RELACIONES CON LOS PROVEEDORES 0.00
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 5.56
A.13 SEGURIDAD DE LAS COMUNICACIONES 23.33
A.12 SEGURIDAD DE LAS OPERACIONES 8.57
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 29.44
A.10 CRIPTOGRAFÍA 0.00
A.9 CONTROL DE ACCESO 23.50
A.8 GESTIÓN DE ACTIVOS 11.67
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 15.56
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 14.00
A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN 0.00
0 5 10 15 20 25 30 35
% Cumplimiento
Figura 3
Madurez en forma de pastel

Nivel de Madurez 1
12.2522675736961 %
En todas estas imágenes se pueden observar el nivel de madurez de la empresa

1
actualmente sin aplicar el SGSI y todos los problemas que presentan dentro de sus controles y
sus políticas.
11 ACTIVIDADES DE LOS CONTROLES DE NORMAS ISO/IEC 27001
Para llegar a determinar el nivel inicial de la empresa se debe responder una lista de
preguntas bajo diferentes escenarios, dentro de estas preguntas se pueden encontrar protocolos y
cada protocolo tiene preguntas que se asocian valores que al final de se suman dependiendo de
las respuestas.
Estos controles con las siguientes:
A.5.1.1 Políticas para la seguridad de la información
A.5.1.2 Revisión de las políticas para la seguridad de la información
A.6.1.1 Roles y responsabilidades para la seguridad de la información
A.6.1.2 Separación de deberes

A.6.1.3 Contacto con las autoridades
A.6.1.4 Contacto con grupos de interés especial
A.6.1.5 Seguridad de la información en la gestión de proyectos
A.6.2.1 Políticas para dispositivos móviles
A.6.2.2 Teletrabajo
A.7.1.1 Selección
A.7.1.2 Términos y condiciones del empleo
A.7.2.1 Responsabilidades de la dirección
A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la información
A.7.2.3 Proceso disciplinario
A.7.3.1 Terminación o cambio de responsabilidades de empleo
A.8.1.1 Inventario de activos
A.8.1.2 Propiedad de los activos
A.8.1.3 Uso aceptable de los activos
A.8.1.4 Devolución de activos
A.8.2.1 Clasificación de la información
A.8.2.2 Etiquetado de la información
A.8.2.3 Manejo de activos

A.8.3.1 Gestión de medios removibles
A.8.3.2 Disposición de los medios
A.8.3.3 Transferencia de medios físicos
A.9.1.1 Política de control de acceso
A.9.1.2 Acceso a redes y a servicios en red
A.9.2.1 Registro y cancelación de registro de usuarios
A.9.2.2 Suministro de acceso de usuarios
A.9.2.3 Gestión de derechos de acceso privilegiado
A.9.2.4 Gestión de información de autenticación secreta de usuarios
A.9.2.5 Revisión de los derechos de acceso de usuarios
A.9.2.6 Retiro o ajuste de los derechos de acceso
A.9.3.1 Uso de información de autenticación secreta
A.9.4.1 Restricción de acceso a la información
A.9.4.2 Procedimiento de ingreso seguro
A.9.4.3 Sistema de gestión de contraseñas
A.9.4.4 Uso de programas utilitarios privilegiados
A.9.4.5 Control de acceso a códigos fuente de programas
A.10.1.1 Política sobre el uso de controles criptográficos

A.10.1.2 Gestión de llaves
A.11.1.1 Perímetro de seguridad física
A.11.1.2 Controles de acceso físicos
A.11.1.3 Seguridad de oficinas, recintos e instalaciones
A.11.1.4 Protección contra amenazas externas y ambientales
A.11.1.5 Trabajo en áreas seguras
A.11.1.6 Áreas de despacho y carga
A.11.2.1 Ubicación y protección de los equipos
A.11.2.2 Servicios de suministro
A.11.2.3 Seguridad del cableado
A.11.2.4 Mantenimiento de equipos
A.11.2.5 Retiro de activos
A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones
A.11.2.7 Disposición segura o reutilización de equipos
A.11.2.8 Equipos de usuario desatendido
A.11.2.9 Políticas de escritorio limpio y pantalla limpia
A.12.1.1 Procedimientos de operación documentados
A.12.1.2 Gestión de cambios

A.12.1.3 Gestión de capacidad
A.12.1.4 Separación de los ambientes de desarrollo, pruebas y operación
A.12.2.1 Controles contra códigos maliciosos
A.12.3.1 Respaldo de la información
A.12.4.1 Registro de eventos
A.12.4.2 Protección de la información de registro
A.12.4.3 Registros del administrador y del operador
A.12.4.4 Sincronización de relojes
A.12.5.1 Instalación de software en los sistemas operativos
A.12.6.1 Gestión de las vulnerabilidades técnicas
A.12.6.2 Restricciones sobre la instalación de software
A.12.7.1 Controles de auditorías de sistemas de información
A.13.1.1 Controles de redes
A.13.1.2 Seguridad de los servicios de red
A.13.1.3 Separación en las redes
A.13.2.1 Políticas y procedimientos de transferencia de información
A.13.2.2 Acuerdos sobre transferencia de información
A.13.2.3 Mensajería electrónica

A.13.2.4 Acuerdos de confidencialidad o de no divulgación
A.14.1.1 Análisis y especificación de requisitos de seguridad de la información
A.14.1.2 Seguridad de servicios de las aplicaciones en redes públicas
A.14.1.3 Protección de las transacciones de los servicios de las aplicaciones
A.14.2.1 Política de desarrollo seguro
A.14.2.2 Procedimientos de control de cambios en sistemas
A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma de
operación
A.14.2.4 Restricciones en los cambios a los paquetes de software
A.14.2.5 Principios de construcción de los sistemas seguros
A.14.2.6 Ambiente de desarrollo seguro
A.14.2.7 Desarrollo contratado externamente
A.14.2.8 Pruebas de seguridad de sistemas
A.14.2.9 Pruebas de aceptación de sistemas
A.14.3.1 Protección de datos de prueba
A.15.1.1 Política de seguridad de la información para las relaciones con proveedores
A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores
A.15.1.3 Cadena de sumistro de tecnología de información y comunicación

A.15.2.1 Seguimiento y revisión de los servicios de los proveedores
A.15.2.2 Gestión de cambios en los servicios de los proveedores
A.16.1.1 Responsabilidades y procedimientos
A.16.1.2 Reporte de eventos de seguridad de la información
A.16.1.3 Reporte de debilidades de seguridad de la información
A.16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos
A.16.1.5 Respuesta a incidentes de seguridad de la información
A.16.1.6 Aprendizaje obtenido de los incidentes de seguridad de la información
A.16.1.7 Recolección de evidencia
A.17.1.1 Planificación de la continuidad de la seguridad de la información
A.17.1.2 Implementación de la continuidad de la seguridad de la información
A.17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la
información
A.17.2.1 Disponibilidad de instalaciones de procesamiento de información
A.18.1.1 Identificación de la legislación aplicable a los requisitos contractuales
A.18.1.2 Derechos de propiedad intelectual
A.18.1.3 Protección de registros
A.18.1.4 Privacidad y protección de información de datos personales

A.18.1.5 Reglamentación de controles criptográficos
A.18.2.1 Revisión independiente de la seguridad de la información
A.18.2.2 Cumplimiento con las políticas y normas de seguridad
A.18.2.3 Revisión del cumplimiento técnico
12 DEFINICION DE ACTIVOS
Para determinar una matriz de riesgo que la empresa debe tomar en cuenta de los activos
de la información, primero se deben clasificar cuales son estos activos con los que cuentan,
descripción del activo, custodio, propietario, responsable, tipo de activo de información, grado
de dependencia, observaciones, usuarios que tienen acceso a la AI, CID, total valoración del AI
importancia de AI
Tabla 1
Definición de Activos (Etiquta del activo – Grado de Dependencia)

12.1 Importancia del A.I.
Importancia del A.I. Total Activos

Total Activos
Prescindible
Prescindible 7
21% 18% Importante
Grave
Importante 23
61%
Grave 8
12.2 Clasificación del A.I.
Clasificación del A.I. Total Activos Total Activos

Confidencial 11 Confidencial
21% 32% Uso interno
Uso interno 16 Publico
Publico 7 47%
13 ANALISIS DE RIESGO
Por medio de este análisis, se realizara un estudio de las posibles amenazas y probables
eventos no deseados, como también daños y consecuencias que estas puedan presentar en la
empresa TelsisNet, de todos los activos levantados se han tomado en consideración los de
importancia A.I “grave”,que son los que representan una importancia muy grave dentro de la
empresa y que a continuación se detallan:

ACTIVOS GRAVES
• Proveedor de internet
• Microtik CCR1036
• DNS Seguro
• OLT HUAWEI 5800X2
• Coordinador
• Fibra Optica
• Gerente
• Cuarto de Comunicación (Nodo)
• Fusionadora
Estos son los 8 activos que se han considerado graves para el giro del negocio, en donde
se han podido identificar varias amenazas para cada uno de los activos como se observa en la
siguiente tabla:
ETIQUETA ACTIVO DE INFORMACION AMENAZA

ACT-SER-C-GR-01 Proveedor de internet Corte de Fibra Óptica
Daño del Equipo
Incendio
ACT-RC-C-GR-03 Microtik CCR1036 Polvo y sobrecalentamiento
Corte de Fibra Óptica
Falla en el Suministro de aire acondicionado
Pérdida del suministro de energía
Falla en el equipo de Telecomunicaciones
Robo Equipos
Error en el Uso
ACT-SER-C-GR-02 DNS Seguro Ataque de DNS
Phishing
ACT-EQA-C-GR-04 Fibra Optica Corte de Fibra Óptica
Sabotaje
Interferencia Electromagnética
Desastres naturales
ACT-RC-C-GR-06 OLT HUAWEI 5800X2 Incendio
Sobrecarga Eléctrica
Vandalismo
Falla de hardware
Ataque cibernético
Errores de configuración
ACT-RC-C-GR-05 Fusionadora Daño Físico
Mal Uso
Falla Técnica
ACT-RC-C-GR-07 Gerente Phishing
Robo de dispositivos móviles
Malware
Ingeniería social
Acceso no autorizado a la oficina
ACT-INS-UI-IMP-08 Cuarto De Comunnicación (NODO) Incendio
Fallo eléctrico
Acceso físico no autorizado
Ataques DDoS
Humedad y temperatura inadecuada
Una vez identificados cuales son las amenazas para nuestros activos, procedemos a
reconocer cuál es, su riego inherente, como se observa en la siguiente tabla:

Activo de Informaci Amenaza Nivel de Riesgo Tipo de ContrOpciones de Acciones de Tratamiento (Controles a Implementarse)
Proveedor de interneCorte de Fibra Óptica Riesgo Moderado Detectivo Transferir Nuevo proveedor de internet
Daño del Equipo Riesgo Moderado Detectivo Transferir Nuevo proveedor de internet
Incendio Riesgo Moderado Preventivo Mitigar Implementar un sistema de contra incendios
Microtik CCR1036 Polvo y sobrecalentami Riesgo Moderado Preventivo Mitigar Limpiar el entorno del nodo Las áreas de equipos de redes deben estar limpias y si
Corte de Fibra Óptica Riesgo Moderado Detectivo Transferir Contratar un backup de servicio
Falla en el Suministro d Riesgo Bajo Preventivo Aceptar Establecer un plan de mantenimiento periódico del sistema de climatización
Pérdida del suministro dRiesgo Bajo Preventivo Aceptar Realizar mantenimientos periódicos a los equipos UPS
Falla en el equipo de T Riesgo Bajo Detectivo Aceptar Implementat
Establecer unaunbitácora
Plan dede
Mantenimiento Preventivo
registro de acceso de los Equipos
a equipos
Robo Equipos Riesgo Moderado Detectivo Mitigar Establecer controles de seguridad con acceso biométricos dentro de las instalacione
Error en el Uso Riesgo Bajo Preventivo Mitigar Se debe concientizar, educar y capacitar al personal en el uso de los equipos y confi
DNS Seguro Ataque de DNS Riesgo Alto Detectivo Transferir Monitorear y analizar el tráfico DNS para detectar actividades sospechosas
Phishing Riesgo Moderado Correctivo Mitigar Realizar simulaciones de phishing para evaluar y mejorar la concienciación
Fibra Optica Corte de Fibra Óptica Riesgo Moderado Correctivo Mitigar Tener contratos de mantenimiento y reparación con proveedores de servicios
Sabotaje Riesgo Moderado Correctivo Mitigar Realizar evaluaciones de antecedentes de empleados
Interferencia Electroma Riesgo Moderado Correctivo Mitigar Blindar cables y equipos para evitar interferencias
Desastres naturales Riesgo Moderado Correctivo Mitigar Implementar planes de contingencia y recuperación ante desastres
OLT HUAWEI 5800X Incendio Riesgo Moderado Correctivo Mitigar Instalar sistemas de detección y extinción de incendios
Riesgo Moderado Correctivo Mitigar Implementar medidas de seguridad física como cámaras de vigilancia y guardias de
Sobrecarga Eléctrica Riesgo Alto Detectivo Transferir Instalar sistemas de alimentación ininterrumpida (UPS).
Vandalismo Riesgo Moderado Correctivo Mitigar Implementar medidas de seguridad física como cámaras de vigilancia y guardias de
Falla de hardware Riesgo Alto Detectivo Transferir Implementar redundancia de hardware
Ataque cibernético Riesgo Alto Detectivo Transferir Implementar firewalls avanzados y sistemas de detección y prevención de intrusion
Establecer procedimientos de revisión y

Errores de coRiesgo Alto Detectivo Transferir aprobación de cambios
Fusionadora Daño Físico Riesgo ModeCorrectivo Mitigar Implementar controles de acceso físico
Capacitar al personal en el uso adecuado
Mal Uso Riesgo ModeCorrectivo Mitigar de los sistemas
Planificar y probar procedimientos de
Falla Técnica Riesgo Alto Detectivo Transferir recuperación ante desastres
Gerente Phishing Riesgo Alto Detectivo Transferir Implementar filtros de correo electrónico
Robo de dispo
Riesgo Alto Detectivo Transferir Implementar cifrado de dispositivos
Instalar y mantener actualizado el
Malware Riesgo Alto Detectivo Transferir software antivirus y antimalware
Capacitar al personal para reconocer y
Ingeniería socRiesgo Alto Detectivo Transferir evitar intentos de ingeniería social
Acceso no autRiesgo ModeCorrectivo Mitigar Realizar auditorías de seguridad física
Instalar sistemas de detección y extinción
Cuarto De C Incendio Riesgo ModeCorrectivo Mitigar de incendios
Implementar sistemas de alimentación
ininterrumpida (UPS) y generadores de
Fallo eléctricoRiesgo Alto Detectivo Transferir respaldo
Implementar medidas de seguridad física,
como cerraduras electrónicas y sistemas
Acceso físico Riesgo ModeCorrectivo Mitigar de monitoreo
Implementar soluciones de mitigación de
Ataques DDoRiesgo Alto Detectivo Transferir DDoS
Instalar sistemas de control ambiental y
monitoreo constante de las condiciones
Humedad y teRiesgo ModeCorrectivo Mitigar de temperatura y humedad
1
Realizado el análisis, podemos observar en la siguiente tabla, el registro para cada uno de
los riegos existentes.
Nivel de Riesgo Inherente Numero

Riesgo Alto 12
Riesgo Moderado 20
Riesgo Bajo 4
Después de la la acciones de tratamiento (controles a implementarse) a realizarse, se
observa una mejora significativa en la gestión de riesgos en la empresa. Anteriormente, se
identificaron 12 riesgos catalogados como altos, 20 como moderados y 4 como bajos. Tras la
implementación, los riesgos altos se redujeron a 8, los moderados a 14 y los bajos aumentaron a
14. Esto indica una reducción del 33.33% en los riesgos altos y del 30% en los riesgos
moderados, reflejando una mejora sustancial en la mitigación y manejo de riesgos críticos para la
seguridad de la información en la organización.
Esta información se la puede observar en la siguiente tabla:
Nivel de Riesgo Residual Numero

Riesgo Alto 8
Riesgo Moderado 14
Riesgo Bajo 14
Resultados del análisis, evaluación y tratamiento del riesgo de la seguridad de la
información para la empresa TelsisNet
Tabla 2.1 , 2.2, 2.3, 2.4
Análisis de Riesgo desde (Activo de la información – Responsable)

Tabla 2.5, 2.6, 2.7, 2.8, 2.9 Análisis de riesgos desde (Área – Observaciones)
ACTIVO COSTO
Proveedor de internet $ 36.000,00
Microtik CCR1036 $ 3.000,00
DNS Seguro $ 9.000,00
OLT HUAWEI 5800X2 $ 15.000,00
Gerente $ -
Fibra Optica $ 3.000,00
Fusionadora $ 4.000.00
Cuarto de Comunicaciones $ 10.000.00
TOTAL DE COSTO $ 80.000,00

En la siguiente tabla, se observa el costo total de implementación, que da un total de $66.000 dólares americanos
14 GRAFICO GAP FINAL
% Cumplimiento
A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN
% Cumplimiento
A.18 CUMPLIMIENTO A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
100
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO A.7 SEGURIDAD DE LOS RECURSOS HUMANOS
67.00
50.00
45.33 50
50.00
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 43.33 A.8 GESTIÓN DE ACTIVOS
49.44
54.29
0
53.33 55.17
A.15 RELACIONES CON LOS PROVEEDORES A.9 CONTROL DE ACCESO
46.11 50.00
50.83
47.14 58.33
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS A.10 CRIPTOGRAFÍA
A.13 SEGURIDAD DE LAS COMUNICACIONES A.11 SEGURIDAD FÍSICA Y DEL ENTORNO

A.12 SEGURIDAD DE LAS OPERACIONES
Nivel de Madurez 3
51.4512471655329 %
3
% Cumplimiento
A.18 CUMPLIMIENTO 45.33
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA 43.33
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 54.29
A.15 RELACIONES CON LOS PROVEEDORES 53.33
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 46.11
A.13 SEGURIDAD DE LAS COMUNICACIONES 50.83
A.12 SEGURIDAD DE LAS OPERACIONES 47.14
A.11 SEGURIDAD FÍSICA Y DEL ENTORNO 58.33
A.10 CRIPTOGRAFÍA 50.00
A.9 CONTROL DE ACCESO 55.17
A.8 GESTIÓN DE ACTIVOS 49.44
A.7 SEGURIDAD DE LOS RECURSOS HUMANOS 50.00
A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 67.00
A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN 50.00
%0 Cumplimiento
10 20 30 40 50 60 70 80
En las imágenes se puede observar el cambio que llego a obtener la empresa y llego a
subir a un nivel de madurez de nivel 3 con lo cual se estaría cumpliendo con el nivel estándar de
la organización.
15 Bibliografía
Team, A. (s. f.). ¿Para qué sirve un SGSI? Controles y fases.
https://www.ambit-bst.com/blog/para-qu%C3%A9-sirve-un-sgsi-controles-y-fases
OTRS Group. (2024, 11 marzo). SGSI – Sistema de Gestión de Seguridad de la Información |
OTRS. OTRS. https://otrs.com/es/casos-de-uso/sgsi/
Firma-E. (s. f.). ¿Qué es un SGSI – Sistema de Gestión de Seguridad de la Información? |
Firma-e. https://www.firma-e.com/blog/que-es-un-sgsi-sistema-de-gestion-de-seguridad-
de-la-informacion/
Toro, R. (2021, 14 junio). Guía para la continuidad de negocio y SGI - PMG SSI - ISO 27001.
PMG SSI - ISO 27001. https://www.pmg-ssi.com/2021/06/que-tu-negocio-no-pare-guia-
para-la-continuidad-de-negocio-y-sistemas-de-gestion-de-la-informacion/
A.3. Crear el caso de negocio y plan del | sgsi. (s. f.). Sgsi.
https://pamela7913.wixsite.com/sgsi/a3

Sgsi Final Sanchin

Cargado por

Copyright:

Formatos disponibles

Sgsi Final Sanchin

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sgsi Final Sanchin

Cargado por

Copyright:

Formatos disponibles

SGSI (Sistema De Gestión De Seguridad De La

La empresa TELSISNET da inicios a sus actividades en el año 2005, comenzando en la

los clientes por parte de cada colaborador de la empresa.

ciudades donde se encuentran ubicadas su oficinas (Huaquillas y Arenillas)

Ser la empresa líder en el mercado de las telecomunicaciones y de tecnología

constituyéndonos en el proveedor de confianza en el sector residencial, empresarial y

Satisfacer las necesidades de telecomunicaciones, tecnológicas, enmarcados en eficiencia

y calidad, mediante tecnología de última generación que contribuya al progreso de nuestros

clientes y genere rentabilidad para nuestra empresa.

La Empresa TelsisNet posee la infraestructura necesaria para proporcionar un servicio de

y sobrecalentamiento, fallas en el suministro de aire acondicionado, pérdida de energía, fallas en

equipos de telecomunicaciones, robos de equipos, errores en el uso, ataques DNS, phishing,

sabotajes, interferencias electromagnéticas, desastres naturales, sobrecargas eléctricas,

autorizados a la oficina, fallos eléctricos, accesos físicos no autorizados, ataques DDoS y

condiciones inadecuadas de humedad y temperatura.

Estos riesgos han llevado a interrupciones en el servicio, generando insatisfacción entre

disponibilidad de los proveedores. Además, algunos clientes han reportado interrupciones en el

servicio de internet debido a fallas en el proveedor de salida internacional, lo que subraya la

necesidad de contratar un nuevo proveedor como respaldo.

La ejecución del proyecto de implementación de un Sistema de Gestión de Seguridad de

la Información (SGSI) busca mitigar estos riesgos y mejorar la resiliencia de la infraestructura de

TelsisNet. Entre las medidas a implementar se incluyen:

 Instalación de sistemas de detección y extinción de incendios: Para proteger las

 Contratación de servicios de respaldo: Para garantizar la continuidad del negocio en

caso de fallos críticos.

 Mantenimiento regular del sistema de climatización y equipos UPS: Para asegurar

condiciones óptimas de operación y energía continua.

 Desarrollo e implementación de un plan de mantenimiento preventivo de los

 Establecimiento de controles de acceso físico y medidas de seguridad, como cámaras

de vigilancia y guardias de seguridad: Para proteger contra accesos no autorizados y

 Implementación de firewalls avanzados, sistemas de detección y prevención de

intrusiones (IDS/IPS) y filtros de correo electrónico: Para mejorar la seguridad

cibernética y proteger contra ataques.

 Capacitación del personal: Para mejorar el conocimiento y las habilidades en el manejo

adecuado de equipos y la configuración de archivos, así como para reconocer y evitar

intentos de ingeniería social y phishing.

 Planificación y prueba de procedimientos de recuperación ante desastres: Para

asegurar una rápida recuperación de las operaciones críticas en caso de interrupciones

La ejecución de este proyecto busca reducir significativamente el tiempo de inactividad

del servicio mediante el almacenamiento de equipos de repuesto y la contratación de proveedores

de respaldo, garantizando así la alta disponibilidad y un servicio constante y sin interrupciones.

riesgos de seguridad de la información relacionados con el servicio de red.

En el mercado actual de servicios de internet, TelsisNet enfrenta una competencia

contexto, TelsisNet, aunque siendo antiguo en el mercado con 19 años de operación

aproximadamente, ha demostrado un crecimiento impresionante, pasando de 100 a más de 1500

usuarios en su cartera de clientes.

La empresa ha logrado mantenerse en el mercado gracias a la capacidad de TelsisNet para

garantizar la seguridad de la información de sus usuarios, factores críticos que diferencian a la

empresa en un mercado saturado.

El funcionamiento de TelsisNet está regulado por la normativa vigente en el país,

específicamente por la Agencia de Regulación y Control de las Telecomunicaciones

La empresa cumple con la "Norma Técnica para Coordinar la Gestión de Incidentes y

Vulnerabilidades que afecten a la Seguridad de las Redes y Servicios de Telecomunicaciones",

garantizando así la seguridad de las comunicaciones y la protección de la información

transmitida por sus redes.

La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en

TelsisNet tiene como objetivo identificar, analizar y gestionar proactivamente las

vulnerabilidades y amenazas. Esto incluye la configuración de medidas técnicas y operativas,

 Configuración total de la seguridad en los equipos.