Caracas, Venezuela

PROPUESTA
DE GESTIÓN
METROLÓGICA

ISO/IEC
27000:2019

SISTEMAS DE
GESTIÓN DE LA
SEGURIDAD DE LA
Metrologia - Universidad Católica Andrés Bello

INFORMACIÓN

PROPUESTA DE

LIC. NERCY PUCHE

ING. SINAI HERNANDEZ
LIC. CARLOS COLINA
 FECHA PROPUESTA

01 DE AGOSTO
DE 2021
PROPUESTA DE La propuesta tiene como objetivo proponer a
GESTIÓN la Dirección de Tecnologías de Información
METROLÓGICA (DTI) de la Universidad Católica Andrés Bello
(UCAB) la implementación de un Sistema de
Gestión de la Seguridad de la Información
(SGSI) así como la adopción de un grupo de
normas asociadas a dicho sistema, para
garantizar la seguridad de la infraestructura
tecnológica y los datos de la organización que
Dirección de Tecnologías de le permita ofrecer servicios de Tecnología de

Información la Información (TI) de calidad y confianza a sus

clientes y usuarios.
La DTI es responsable de la interconexión de
Misión: La DTI es una unidad de apoyo que las distintas sedes de la UCAB, provee,
soporta, desarrolla y mantiene la plataforma soporta y mantiene la plataforma tecnológica
tecnología de la Universidad Católica Andrés tanto física como lógica de los distintos
Bello garantizando la continuidad de los procesos de negocio de la UCAB así como
procesos de negocio y de extensión que se brinda otros servicios a la docencia y a la
encuentran alojados en los campus físicos y investigación.
virtuales cuyos clientes y beneficiarios son el
personal de las unidades académico
administrativa, extensión, investigación y VALORES
estudiantes que requieren la transformación o
Lic. Nercy Puche, Ing. Sinai Hernández, Lic. Carlos Colina

automatización de sus procesos a través del Soporte continúo basados en calidad de

uso de la tecnología. servicios para la comunidad universitaria.
Procedimientos para garantizar la
continuidad de Servicios de TIC.
Visión: Implantar un modelo de gestión de Flexibilidad y adaptabilidad dentro de los
servicios TIC con los más altos estándares de servicios de TIC para los cambios continuos
calidad que proponen las buenas prácticas de que se presentan en la universidad.
ITIL, traduciendo las necesidades y Investigación constante de las oportunidades
requerimientos de la comunidad universitaria de desarrollo para la modernización de la
en procesos que permitan prestar o crear, universidad.
servicios eficaces y eficientes, a través de Recurso humano comprometido y
equipos multidisciplinarios comprometidos responsable con los servicios ofrecidos a la
con la misión de la DTI. Todo ello orientado comunidad universitaria.
siempre a alcanzar la excelencia, y Esfuerzo continuo en la satisfacción del
compromiso con la calidad de los servicios cliente, incorporando optimizaciones y
TIC. mejoras en los servicios.
 SISTEMA DE GESTIÓN SEGURIDAD DE LA
INFORMACIÓN(SGSI)

PROPUESTA DE OBJETIVO
GESTIÓN
METROLÓGICA Implementar, mantener y mejorar de forma
continua la seguridad de la información tomando
como base los riesgos que afectan a la seguridad
de la información en la Dirección de Tecnologías
de Información de la Universidad Católica Andrés
Bello a través de la implementación de la Norma
ISO/EIC 27000, para finalmente garantizar la
Confidencialidad, Integridad y Disponibilidad.
PROBLEMÁTICA
La DTI actualmente carece de un Sistema de El objeto se arraiga en proteger la importancia
Seguridad de la Información que le permita que los activos de información que posee la DTI
garantizar los 3 factores fundamentales de los como elementos imprescindibles para la
datos de la población universitaria los cuales obtención de sus objetivos.
son Confidencialidad, Integridad y
Disponibilidad. BENEFICIOS
La seguridad de la información es vulnerable
Identificar, evaluar, gestionar y verificar
tanto en grandes organizaciones como en
los principales riesgos a los que se está
escritorios personales ante las amenazas que
sometiendo los datos en materia de
existen en las redes. El pensamiento de que
seguridad informática
nuestra información o sistemas no son
Demostrar garantía de controles internos
valiosos, que la seguridad de la información
de seguridad y gestión de la información.
Lic. Nercy Puche, Ing. Sinai Hernández, Lic. Carlos Colina

solo compete a los informáticos, descuidar las

Proporcionar una confianza y seguridad al
gestiones de red y sistemas y el hecho de no
demostrar al cliente, usuario y partes
poseer una infraestructura de seguridad y
interesadas la protección y seguridad de
confidencialidad son los principales
sus datos de información
problemas que se enfrentan las empresas de
Ahorrar costes por reducción de incidentes
TI. En la Dirección de Tecnologías de
y evitar pérdidas financieras y sanciones
Información de la UCAB se manejan gran
asociadas con vulneración de datos.
cantidad de datos (área académica y
Proteger la reputación de la organización y
administrativa). La información es valiosa, los
crear confianza en clientes, usuarios y
riesgos que afectan la seguridad de esta
partes interesadas.
información siempre estarán presentes, por lo
Fortalecer los procesos de mejora continua
que se debe garantizar la seguridad y
de la organización en general.
protección de los mismos.
 SISTEMA DE GESTIÓN SEGURIDAD DE LA
INFORMACIÓN(SGSI)

PROPUESTA DE LA SOLUCIÓN
GESTIÓN Las normas internacionales para los sistemas de
METROLÓGICA gestión proporcionan un modelo a seguir para
implementación y operación de un sistema de
gestión. Con el uso de las normas de la familia de
SGSI, las organizaciones pueden tener la capacidad
para desarrollar e implementar un marco para la
gestión de la seguridad de sus activos de

Familia ISO/EIC SGSI información y preparar la evaluación independiente

de sus SGSI en materia de seguridad de la
Familia de Normas SGSI incluye bajo el título
información para la protección de la información. La
general: Tecnología de la información. técnicas de
familia de normas ISO/IEC 27000 tienen como fin
seguridad:
ayudar a implementar y operar un SGSI.

ISO/IEC 27000, Sistemas de seguridad de la ISO/IEC 27010, Gestión de seguridad de la

información(SGSI). Visión de conjunto y Información en comunicaciones intersectoriales e
Vocabulario interorganizacionales.
ISO/IEC 27001, Sistemas de seguridad de la ISO/IEC 27011, Guía para la gestión de la
información (SGSI). Requisitos. seguridad de la Información para organizaciones de
ISO/IEC 27002, Códigos de prácticas para telecomunicaciones basadas en la norma ISO/IEC
controles de la seguridad de la Información. 27002.
ISO/IEC 27003, Guía para la implementación ISO/IEC 27013, Guía para la implementación
de los Sistema de seguridad de la integrada.
información (SGSI). ISO/IEC 27014, Gobernanza de la seguridad de la
Lic. Nercy Puche, Ing. Sinai Hernández, Lic. Carlos Colina

ISO/IEC 27004, Gestión de seguridad de la Información.

Información. Métricas ISO/IEC 27015, Guía para la gestión de seguridad
ISO/IEC 27005, Gestión de riesgos de de la información para servicios Financieros
seguridad de la información. ISO/IEC 27016, Guía para la gestión de seguridad
ISO/IEC 27006, requisitos para entidades de la información. economía organizacional.
que auditan y certifican Sistemas de ISO/IEC 27017, Códigos de práctica para los
seguridad de la información (SGSI). controles de la seguridad de la información basados
ISO/IEC 27007, Guía para la auditoría de en ISO/IEC 27002 para servicios en la nube (cloud
sistemas de seguridad de la información services)
(SGSI). ISO/IEC 27018, Códigos de práctica para la
ISO/IEC 27008, Guías para los auditores de protección de información de identificación
de controles de la seguridad de la personal (PII) en la nube que actúan como
información. procesadores de PII.
ISO/IEC 27009, Ampliación sectorial ISO/IEC 27019, Directrices de gestión de
específica de ISO/IEC 27001. Requisitos. seguridad de la información en base a la norma
ISO/IEC 27002 para sistemas de control de
procesos específicos de la industria de servicios
públicos de energía.
 SISTEMA DE GESTIÓN SEGURIDAD DE LA
INFORMACIÓN(SGSI)

Las Normas internacionales que no se incluyen bajo

PROPUESTA DE el título general: Tecnología de la Información.

GESTIÓN Técnicas de Seguridad, pero son parte del SGSI:

METROLÓGICA ISO/ EIC 27799, informática sanitaria. gestión

de la de la información en sanidad utilizando
ISO/IEC 27002.

La Protección de los activos de la información

mediante la definición, implementación,
mantenimiento y mejora de la seguridad de la
información de forma eficaz, es primordial para
-
que la DTI mantenga y mejore el cumplimiento de
Un SGSI en DTI los requisitos legales de sus clientes, usuarios y
partes interesadas.
La DTI Recoge procesa, almacena y transmite
Un Sistema de Gestión de Seguridad de la
información, así como reconoce que los datos, los
Información es un conjunto de políticas,
procesos, sistemas, redes y personas relacionados
procedimientos, guías, recursos y actividades
con ellos son importantes para logra los objetivos
asociadas que son gestionadas por la organización.
a través de la Confidencialidad, Integridad y
Disponibilidad de los datos. ¿Por qué un SGSI?
Así mismo son conscientes de los riesgos
asociados al manejo de datos, por ello se propone Estar certificado en un SGSI se traduciría en la
la mitigación de los riesgos y cumplimiento del mejora y protección de:
objetivo de control de la información a través de La Información
la implementación de un control metrológico o La seguridad de la Información
gestión metrológica, certificándose en un sistema La gestión
Lic. Nercy Puche, Ing. Sinai Hernández, Lic. Carlos Colina

de gestión de la seguridad de la Información El Sistema de Gestión

basado en las normas ISO/IEC 2700, En la figura 1 se puede visualizar la relación de las
normas asociadas al SGSI.

Figura 1.-Relaciones entre las normas de la familia SGSI

 SISTEMA DE GESTIÓN SEGURIDAD DE LA
INFORMACIÓN(SGSI)

RECURSOS
Factores críticos de éxito
PROPUESTA DE
Además de tener en cuenta la norma como principal
GESTIÓN recurso, existen una serie de factores críticos que
METROLÓGICA son fundamentales para la implementación exitosa
de un SGSI:
Alineación de objetivos con la política de la
organización y actividades de seguridad de la
información
Apoyo y compromiso de todos los niveles de la
Los recursos que se utilizarán para la dirección de la organización
propuesta de implementación serán los Alineación de la cultura de la organización con
siguientes: un marco para el diseño, ejecución,
Norma internacional ISO-IEC 27000 mantenimiento, seguimiento y mejora de la
La ISO 27000 reúne un conjunto de seguridad informativa
estándares internacionales sobre la seguridad Poseer un proceso efectivo de gestión de
de la información creado y gestionado por la incidentes de seguridad de la información
Organización Internacional para la Desarrollar un sistema de medición que evalúe
estandarización (ISO) y La Comisión el desempeño en la gestión de la seguridad de la
Electrónica Internacional (IEC). La ISO 27000 información
contiene una serie de normas que están Impartir programas efectivos de concientización,
orientadas al establecimiento de buenas formación y educación sobre seguridad de la
prácticas de implementación, gestión y información a todos los involucrados con la
mantenimiento de un Sistema de Gestión de organización
Seguridad de la Información. Conocer y entender los requisitos de protección
En la implantación de esta propuesta se de activos de información a través de la gestión
Lic. Nercy Puche, Ing. Sinai Hernández, Lic. Carlos Colina

consideran las una serie de normas que de riesgo de seguridad de la información

competen al caso de estudio contenidas en la En conclusión, la implementación de un SGSI
serie ISO 27000 las cuales permitirán el aumenta la probabilidad de que se pueda llevar a
correcto desarrollo del proyecto: cabo exitosamente la protección de los activos de
información
 SISTEMA DE GESTIÓN SEGURIDAD DE LA
INFORMACIÓN(SGSI)

ESTRATEGIA
6. Metodología de Identificación, Análisis y
PROPUESTA DE Evaluación del riesgo: La identificación de las
GESTIÓN diferentes amenazas que están expuestos los
METROLÓGICA activos de información de la organización,
con los controles con que cuentan
actualmente y el análisis en función de la
probabilidad e impacto, como también su
posterior calificación, de acuerdo a los
parámetros establecidos por la organización.
7. Selección de controles e implementación
Para establecer un Sistema de Gestión de
para el tratamiento de riesgos: Para
seguridad de la Información (S.G.S.I), se
reducirlos riesgos evaluados dentro del
proponen los siguientes pasos.
alcance del SGSI considerado, deben ser
1. Implicación de la dirección: Uno de los
identificados, seleccionados y justificados los
factores críticos de éxito para implementar
controles de seguridad apropiados.
un Sistema de gestión de la seguridad de la
8. Aprobación por parte de la dirección del
información, es involucrar a la alta
riesgo residual: Una vez elaborado el plan de
dirección de la organización, si se tiene en
mitigación de riesgos, este plan con su
cuenta que es allí donde inicia el proyecto
respectivo presupuesto, debe ser presentado
y es quien en últimas autoriza la
a un comité gerencial para que este sea
implementación y operación del Sistema
aprobado con su respectivo presupuesto.
de Gestión de la Seguridad de la
El riesgo residual es aquel riesgo remanente
Información.
después de aplicar los controles y debe ser
2. Conformación del equipo de trabajo: La
aprobado por la gerencia, debido a los
implementación del S.G.SI es un proyecto
posibles impactos que pueden llegar a
Lic. Nercy Puche, Ing. Sinai Hernández, Lic. Carlos Colina

donde está involucrada toda la

ocasionar en la organización.
organización, sin embargo debe existir un
9.Declaración de aplicabilidad: La
equipo responsable de la implementación.
declaración de aplicabilidad, es un
3. Alcance del SGSI y Política de Seguridad:
documento en que se relacionan los
Permite delimitar el proceso de gestión de
objetivos de control y controles aplicados
riesgos y por ende todo el proceso para
dentro del alcance del SGSI.
implementar el Sistema de Gestión de la
10. Supervisar, revisar, mantener y mejorar
Seguridad de la Información.
la eficacia del SGSI
4. Establecer Políticas de seguridad: La
Mediante el seguimiento, la supervisión y la
política de seguridad se debe definir en
evaluación del desempeño respecto a la
términos de las características del negocio,
política y los objetivos de la organización y
la organización, su ubicación, sus activos y
notificar los resultados a la dirección para su
tecnología.
revisión.
5. Inventario de todos los activos de
11. Mejora continua: Nos permite descubrí
información: En base a lo establecido en el
las oportunidades de mejora, sin asumir que
alcance, Se deben identificar los activos
las actividades de gestión existentes son
que tienen valor para la organización en el
suficientemente buenas o tan buenas como
contexto de la seguridad de la información.
podrían ser.
 PROPUESTA DE SISTEMA DE GESTIÓN SEGURIDAD DE LA
INFORMACIÓN(SGSI)
GESTIÓN
METROLÓGICA RESULTADOS
ESPERADOS
La Dirección de Tecnologías, como hemos
mencionado en esta propuesta, esperaría al
certificarse en un SGSI robustecer su
infraestructura tecnología, así mismo a través de la
A continuación se presentan algunos
transferencia de conocimiento fortalecer a su
resultados que se esperan obtener con la
talento humano para alcanzar los objetivos de
implementación de la presente propuesta de
mediano y largo plazo.
gestión metrológica:
Estamos seguros que la DTI puede cumplir con los
retos que se les presentan y están preparados para
Se logrará preservar los fundamentos de
lograr el cumplimiento del objeto propuesto y así
confidencialidad, Integridad y
lograr ofrecer a la comunidad Ucabista y partes
disponibilidad de la información.
interesadas la seguridad de los datos como un
Se identificarán los riesgos a los que se
activo primordial.
esta sometiendo la DTI en materia de
seguridad informática para proceder a su
Los resultados esperados se deben mejorar lo cual
correcta evaluación y gestión
se puede lograr aplicando modelos para medir la
Se mejorará y garantizará la seguridad al
mejora continua.
cliente y usuarios referente a la protección
A continuación, en la figura 2 se representa el
y seguridad de sus datos e información, lo
modelo de Deming para los SGSI:
cual se traduce en confianza de los clientes
y garantía para partes interesadas
Lic. Nercy Puche, Ing. Sinai Hernández, Lic. Carlos Colina

Se reducirán las probabilidades en

pérdidas financieras y sanciones asociadas
con vulneración de datos.
Se contará con un sistema enfocado en la
mejora continua en gestión de seguridad
de la información.
Se aumentará el prestigio de la dirección
A través de la coordinación y
estructuración de los sistemas de
seguridad mejorará la estructura del Fuente: Andrés Mauricio Posada, 2012.
sistema de gestión de la DTI Figura 2.-Modelo PHVA aplicado a un SGSI

Se fortalecerá la organización interna y los

procesos con base en la mejora continua

Fuente principal: iSO/IEC 2700:2019 tecnologías de la información. Técnicas de seguridad. Sistemas de seguridad de la información(SGSI).
Visión de conjunto y Vocabulario