UNIVERSIDAD TECNOLÓGICA PRIVADA DE SANTA CRUZ

FACULTAD DE CIENCIAS Y TECNOLOGÍA

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

PARA EL CONSULTOR Y ANALISTA DE TI DE UNION
AGRONEGOCIOS

DOCENTE: Ing. Gloria Margot Gonzales Fernández

AUTOR: TOMMY JHON POMA H.

SANTA CRUZ – BOLIVIA 2022

1
TÍTULO DEL PROYECTO

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) PARA EL CONSULTOR Y

ANALISTA DE TI DE UNION AGRONEGOCIOS.

I. INTRODUCCIÓN
• Antecedentes
Desde 1986, la empresa que hoy en día es unión agronegocios fue fundada por 4 personas
en la localidad de montero el cual se dedicaba a la venta de productos para el área de
menores y también se realizaba servicios de asistencia a nuevos ganaderos que estaban
iniciando en el rubro con el pasar del tiempo fue creciendo a pasos exponenciales tanto
que hasta la actualidad de hoy cuenta con 4 oficinas a nivel nacional en el país, Unión
también se encuentra conocida a nivel internacional estableciendo negocio con otros
países como Brasil, argentina , Paraguay. Es una de las empresas más grandes en Bolivia a
nivel ganadero y el más reconocido a nivel nacional.
La empresa también se dedicada a la importación y distribución de productos además de
la prestación de servicios agropecuarios, asesoramiento técnico mayormente para el
sector ganadero.

Visión
Ser el modelo de agronegocios líder en todo el mercado a nivel Latino América.
Misión
Creamos valor promoviendo la producción de alimentos sanos, transfiriendo tecnología
para el bienestar animal y aportando al desarrollo de sector agropecuario.
Se consolido como una institución agropecuaria moderna, en constante proceso de
evolución y crecimiento, producto de la sinergia de experiencia y juventud que les permite
innovar y resolver con solvencia las necesidades de nuestros clientes, conservando la
excelencia y calidad de nuestros servicios.
Para lo cual cuenta con un consultor y analista de TI, que es el objeto de este estudio.

OBJETIVOS
OBJETIVO GENERAL
Desarrollar un sistema de gestión de seguridad de la información (SGSI) para el consultor y
analista de ti de unión agronegocios.

OBJETIVOS ESPECÍFICOS
Los objetivos específicos para lograr el objetivo general son los siguientes:

2
•Identificar y analizar los procesos de Unión agronegocios.
•Identificar todos los requisitos funcionales en base a los procesos administrativos para la
Unión agronegocios.
•Diseñar el modelo de datos para la implementación y el análisis de las posibles fallas
encontradas dentro de la empresa.

DELIMITACIONES
DELIMITACIÓN ESPACIAL
El presente proyecto se realizará en las instalaciones de Unión Agronegocios en el
departamento Santa Cruz de la Sierra.

DELIMITACIÓN TEMPORAL
El presente proyecto será desarrollado e implementado en un periodo de 5 meses, a partir
de julio de 2022 a noviembre de 2022.
DELIMITACIÓN TECNOLÓGICA
Se aplicará los conocimientos del área de información, específicamente el análisis de
Sistemas e Ingeniería de Software, ISO 27001, la metodología Totvs, y análisis FODA.
II. DISEÑO DEL CASO DE ESTUDIO / PROYECTO

 Seguridad de la información. Cada vez es más importante la protección de la

información, dado que el uso de diferentes tecnologías en los últimos años ha
cambiado la forma en la cual se protege la información, aumentando de esta
manera el riesgo al ser manipulada o expuesta a personas no autorizadas. Por
otra parte, los sistemas no cumplen con los requisitos mínimos para almacenar
y tratar de la manera más segura la información; teniendo en cuenta esta
problemática la seguridad de la información busca mitigar los riesgos a los que
está expuesta la información para lo cual se definieron tres pilares que la
conforman.
 Confidencialidad: Propiedad que determina, que la información no esté
disponible ni sea revelada a individuos, entidades o procesos no
autorizados.
es un principio fundamental de la seguridad de la
información que garantiza el necesario nivel de secreto de la información y
de su tratamiento, para prevenir su divulgación no autorizada cuando está
almacenada o en tránsito

3
  Integridad: Propiedad de salvaguardar la exactitud y estado completo de
los activos. El objetivo de la integridad de datos es disminuir el riesgo que
los datos críticos pueden ser falseados, borrados, divulgados sin
autorización, modificados o negados por los emisores.

 Disponibilidad: Propiedad de que la información sea accesible y utilizable,

por solicitud de una entidad autorizada.

Adicionalmente a los pilares de la seguridad de la información, también se cuentan

con otras propiedades, tales como autenticidad, trazabilidad, no repudio y
fiabilidad.

4
 Sistema de gestión de seguridad de la información (SGSI). Es parte del sistema de
gestión global de una organización, basado en un enfoque hacia los riesgos
globales de un negocio, cuyo fin es establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar la seguridad de la información. Este
sistema de gestión incluye la estructura organizacional, políticas, actividades de
planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.
 Norma ISO 27001. “ISO 27001 es una norma internacional emitida por la
Organización Internacional de Normalización (ISO) y describe cómo gestionar la
seguridad de la información en una empresa. La revisión más reciente de esta
norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013.
La ISO 27001 puede ser implementada en cualquier tipo de organización
independiente su razón comercial y tamaño. Gracias a que fue redactada por un
grupo de especialistas aporta una serie de metodologías para diseñar,
implementar y mejora continua sobre la gestión de la seguridad de la información
en las organizaciones que deseen acogerla. Estas empresas logran certificar los
procesos que requieren y necesitan sobre la norma ISO 27001 y de esta manera se
confirma que la organización la tiene implementada.
 Norma ISO 31000. Debido a la gran importancia que ha adquirido la gestión de
riesgos en la actualidad, existen diversos estándares como ISO 31000, el cual
propone una serie de procesos y métodos para gestionar y reducir el impacto de
los riesgos para las organizaciones. Una organización está continuamente expuesta
a diferentes tipos de amenazas, las cuales no solo son externas sino también
internas, este tipo de amenaza es una gran preocupación porque puede afectar los
objetivos de la empresa, para lo cual la normativa propone una serie de
mecanismos con los que busca identificar, analizar, evaluar y mitigar el impacto de
un riesgo.
 Análisis FODA. El análisis FODA (Fortalezas, Oportunidades, Debilidades,
Amenazas), también conocido como análisis DAFO, es una herramienta de estudio
de la situación de una empresa, institución, proyecto o persona, analizando sus
características internas (Debilidades y Fortalezas) y su situación externa (Amenazas
y Oportunidades) en una matriz cuadrada.
 Valoración del riesgo: El tratamiento se enfoca en la selección de las opciones en
las que se enfocarán en modificar los riesgos, como la implementación de estas
opciones, esperando como resultado control sobre los mismos.

5
III. PRESENTACIÓN DE LOS RESULTADOS OBTENIDOS EN EL CASO DE ESTUDIO /
PROYECTO
El estudiante deberá exponer el resultado del análisis obtenido, siempre explicando la
forma en que obtuvo los resultados
Formulario de Perfil de Cargo:

FORMULARIO DE PERFIL DE CARGO

 
1. IDENTIFICACIÓN DEL CARGO
Nombre del Cargo: Consultor y analista de TI
Área: Sistemas
Cargo del Jefe Inmediato: Gerente General
Personal a Cargo: Encargo de soporte de IT NO
Áreas con la que se relaciona: Administrativa, financiera y Legal
2. OBJETIVO DEL CARGO

Analizar e Implementar nuevas tecnologías que permitan mejorar el rendimiento en los

procesos en las diferentes áreas de la empresa; soporte y administración de los
actuales sistemas en producción en la empresa.

3. RESPONSABILIDADES Y FUNCIONES ESPECIFICAS DEL CARGO

Soporte y administración de los actuales sistemas
1 en producción
2 Analizar e Implementar nuevas tecnologías
Cotizar nuevas tecnologías en cuanto a software y
3 hardware
Reuniones con el área financiera para planificar el
4 presupuesto en TI
Reuniones con el directorio para sustentar la
5 implementación y costo de nuevas tecnologías
Hacer seguimiento de las actuales tecnologías en
6 cuanto a garantías y soporte
7 Realizar reuniones con los proveedores para

6
 obtener mejores beneficios
8 Ser el Product Owner en desarrollos agiles SCRUM
Conocimiento de almacenamiento, configuración e
9 implementación de servidores en la nube
4. PERFIL IDEAL DEL CARGO

Formación Académica: Ingeniería de Sistemas

Experiencia laboral en el cargo

(años): 10

Experiencia Laboral Especifica (años):

Conocimientos mínimos requeridos:

Experiencia en la implementación de sistemas de gestión de software.
Experiencia en la administración de departamentos de sistemas.
Base sólida financiera y contable.
Manejo de bases de datos para generar KPI's.
Experiencia en desarrollos agiles.
Conocimientos IU/UX.
Base de Datos: MySQL, SQL Server.
Administrador de servidores

Manejo de lenguajes de programación,

Habilidades Técnicas:  
frameworks, devOps, redes y comunicaciones
metodologías ágiles de desarrollo, SCRUM,
Habilidades Tácticas:  
datawarehouse
Idiomas: Inglés intermedio

Conocimientos de Microsoft office: Si, Power BI, Project y Visio

Análisis FODA de un Consultor y Analista de TI

7
 Fortalezas
- Tiene un amplio campo para ejercer la profesión.
- Capacitación continua.
- Una principal fortaleza de un Consultor y analista de TI es la facilidad de
razonamiento y obtención de soluciones para problemas lógicos matemáticos.
- Amplio conocimiento de las nuevas tecnologías.
- Siempre buscando la mejora dentro de los procesos para ahorrar recursos y
optimizar resultados.
- El desarrollo de análisis metodológicos para la solución de problemas.
- Capacidad de enfocarse en un plan hacia el desarrollo cultural de la
organización, así como del aseguramiento de la calidad de la misma.
- La planeación de proyectos en términos de objetivos, metas, recursos, costos y
tiempo.
 Oportunidades
- Capacidad de empleo en muchos sectores como seguridad, desarrollo,
mantenimiento y puestos administrativos.
- Capacitar personal.
- Otras empresas te certifican en sus empresas.
 Debilidades
- Un equipo pequeño de gente con habilidades poco desarrolladas en muchas
áreas.
- Somos vulnerables a que nuestra gente de vital importancia no se encuentre a
gusto y se vaya.
- Transmitir las ideas y soluciones a otras áreas, lo cual mejora con la experiencia
y conocimiento de las otras áreas.
- Aprender rápidamente los procedimientos y/o formas de trabajo de las otras
áreas, lo cual requiere cierta habilidad lo cual en un comienzo es difícil de
obtener.
- Convencer a los directivos la inversión en IT
 Amenazas
- Oferta de trabajo solo para profesionales con muchos años de experiencia.
- Actualización constante de programas, a veces más rápido que el tiempo para
dominar el programa en sí.
- Rechazo de las otras áreas y personal clave a las innovaciones sugeridas.
- Un pequeño cambio en el enfoque de nuestro mayor competidor puede afectar
cualquier posición conseguida en el mercado.

8
Controles ISO 27001
Para efectos de evidenciar claramente el estado actual, se determinó un porcentaje de
cumplimiento donde se pondero la información recolectada, dando resultados específicos
sobre cada control y sus sub-controles referenciado al cumpliendo te de la norma ISO
27001.
- No existe control: Es categorizado cuando se encuentra que en la ponderación de
los diferentes puntos evaluados cumple entre el 0% - 39% de aplicabilidad sobre
los diferentes controles propuestos en el cuestionario.
- Control por mejorar: Es categorizado cuando se encuentra que en la ponderación
de los diferentes puntos evaluados cumple entre el 40% - 79% de aplicabilidad
sobre los diferentes controles propuestos en el cuestionario.
- Control aplicado: Es categorizado cuando se encuentra que en la ponderación de
los diferentes puntos evaluados cumple entre el 80% - 100% de aplicabilidad sobre
los diferentes controles propuestos en el cuestionario.
A continuación, se muestra el cuestionario con el resultado de los diferentes controles del
anexo A de la norma 27001, esto enfocado a los procesos y áreas del Union Agronegocios.

POLITICAS
Se debe definir un conjunto de políticas para la
seguridad de la información, aprobada por la dirección,
A.5.1.1  50%
publicada y comunicada a los empleados y a las partes
externas pertinentes

Se deben adoptar una política y unas medidas de

A.6.2.1 seguridad de soporte, para gestionar los riesgos  38%
introducidos por el uso de dispositivos móviles

Se deben implementar una política y unas medidas de

seguridad de soporte, para proteger la información a la
A.6.2.2  38%
que se tiene acceso, que es procesada o almacenada en
los lugares en los que se realiza teletrabajo

Se debe establecer, documentar y revisar una política

A.9.1.1 de control de acceso con base en los requisitos del  85%
negocio y de seguridad de la información

Se debe desarrollar e implementar una política sobre el

A.10.1.
uso de controles criptográficos para la protección de la 30% 
1
información

9
 Se debe desarrollar e implementar una política sobre el
A.10.1.
uso, protección y tiempo de vida de las llaves 30%
2
criptográficas, durante todo su ciclo de vida
Se debe adoptar una política de escritorio limpio para
A.11.2. los papeles y medios de almacenamiento removibles, y
 90%
9 una política de pantalla limpia en las instalaciones de
procesamiento de información
Se deben hacer copias de respaldo de la información,
A.12.3. software e imágenes de los sistemas, y ponerlas a
 75%
1 prueba regularmente de acuerdo con una política de
copias de respaldo acordadas.

SEGUIMIENTOS

Las políticas para la seguridad de la información se

A.5.1. deben revisar a intervalos planificados, o si ocurren
2 cambios significativos, para asegurar su conveniencia,
adecuación y eficacia continúas 90%

Los propietarios de los activos deben revisar los

A.9.2.
derechos de acceso de los usuarios, a intervalos
5
regulares
 90%

PROCESOS / PROCEDIMIENTOS / REGLAS

A.6.1.5 Seguridad de la información en la gestión de proyectos

 70%
Se debe contar con un proceso formal, el cual debe ser
comunicado, para emprender acciones contra
A.7.2.3
empleados que hayan cometido una violación a la
seguridad de la información  60%
Se deben identificar, documentar e implementar reglas
para el uso aceptable de información y de activos
A.8.1.3
asociados con información e instalaciones de
procesamiento de información  50%
Se debe desarrollar e implementar un conjunto
adecuado de procedimientos para el etiquetado de la
A.8.2.2 información, de acuerdo con el esquema de
clasificación de información adoptado por la
organización  60%

10
 Se deben desarrollar e implementar procedimientos
para el manejo de activos, de acuerdo con el esquema
A.8.2.3
de clasificación de información adoptado por la
organización.  40%
Se deben implementar procedimientos para la gestión
A.8.3.1 de medios removibles, de acuerdo con el esquema de
clasificación adoptado por la organización  40%
Se debe disponer en forma segura de los medios
A.8.3.2 cuando ya no se requieran, utilizando procedimientos
formales
 40%
Se debe implementar un proceso formal de registro y
A.9.2.1 de cancelación de registro de usuarios, para posibilitar
la asignación de los derechos de acceso
 70%
Se debe implementar un proceso de suministro de
acceso formal de usuarios para asignar o revocar los
A.9.2.2
derechos de acceso para todo tipo de usuarios para
todos los sistemas y servicios  70%
La asignación de información de autenticación secreta
A.9.2.4 se debe controlar por medio de un proceso de gestión
formal  30%
Cuando lo requiere la política de control de acceso, el
A.9.4.2 acceso a sistemas y aplicaciones se debe controlar
mediante un proceso de ingreso seguro  60%
A.11.1. Se deben diseñar y aplicar procedimientos para trabajo
5 en áreas seguras  50%

MATRICES / DOCS
A.6.1. Roles y responsabilidades para la seguridad de la
1 información
80% 

A.6.1.
Separación de deberes
2
 60%

A.6.1.
Contacto con las autoridades
3
90% 
11
A.6.1.
Contacto con grupos de interés especial
4
 90%

Activos
# Activos Descripción
1 Activos Físicos Servidores
2 Activos Físicos UPS
3 Activos de software SAP B1
Base de Datos de
4
Activos de software Información
Cuenta de email
5
Activos de software corporativa
6 Documentos impresos Documentos negociables
7 Activos Físicos Computadoras personales
8 Personas Personal de soporte de IT
9 Activo de software Microsoft Office
10 Activo de software Antivirus

Criterios de seguridad
CONFIDENCIALIDAD VALOR

Información que puede ser conocida y utilizada por todos los agentes de la organización 1

Información que solo puede ser conocida y utilizada por un grupo de agentes que la necesitan para realizar 2
su trabajo

Información que solo puede ser conocida y utilizada por un grupo muy reducido de agentes, cuya 3
divulgación podría ocasionar un perjuicio a la organización o terceros.

INTEGRIDAD VALOR

Información cuya modificación no autorizada puede repararse fácilmente, o que no afecta las actividades de 1
la organización

Información cuya modificación no autorizada puede repararse aunque podría ocasionar un perjuicio a la 2
organización o terceros

Información cuya modificación no autorizada es de difícil reparación y podría ocasionar un perjuicio 3

significativo para la organización o terceros

Información cuya modificación no autorizada no podría repararse, impidiendo la realización de actividades 4

DISPONIBILIDAD VALOR

12
 Información cuya inaccesibilidad no afecta la actividad normal de la organización 1

Información cuya inaccesibilidad permanente durante una semana podría ocasionar un perjuicio significativo 2
para la organización

Información cuya inaccesibilidad permanente durante la jornada laboral podría impedir la ejecución de las 3
actividades de la organización

Información cuya inaccesibilidad permanente durante una hora podría impedir la ejecución de las actividades 4
de la organización.

Valor de los activos

SIGNIFICADO VALOR

MUY ALTA 8a9

ALTA 6a7

MEDIO 4a5

BAJA 2a3

MUY BAJA 0a1

Probabilidad

FRECUENCIA DEFINICION VALOR

MUY BAJA Baja probabilidad de 1

ocurrencia, puede ocurrir solo en
ocasiones excepcionales

BAJA Limitada probabilidad de 2

ocurrencia, podría ocurrir en pocas
circunstancias

MEDIA Mediana probabilidad de 3

ocurrencia, puede ocurrir en
algún momento

ALTA Significativa probabilidad de ocurrencia, 4

probablemente ocurrirá en la mayoría de
las
circunstancias

13
 MUY ALTA Alta probabilidad de ocurrencia, se 5
espera que ocurra en la mayoría de las
circunstancias.

Estimación del Impacto

CRITERIO SIGNIFICADO VALOR

MB MUY BAJA 1

  BAJA 2

M MEDIA 3

A ALTA 4

MA MUY ALTA 5

Identificación del riesgo

N Riesgos y aspectos
Riesgos Externos
1 S us pe ns ión de s ervicio e lé ctrico

2 Vanda lis mo

3 Hacke rs

4 Des a s tre s natura le s

5 Falla s e rvicio de inte rne t

Riesgos Internos
1 No s e cue nta con continge ncia de e quipo de a ire a condiciona do.

2 Falla de s ervidores o pe rdida de los mis mos

3 Falta de re s pa ldo e n e l s e rvicio e lé ctrico

4 Deficie ncia e n prue ba s de re s ta ura ción de ba ckup

5 S a bota je

Valoración de riesgo

Probabilidad Muy probable 3

Posible 2

Improbable 1

Impacto Desastroso 3

14
 Moderado 2

Leve 1

Resultado

  Factores de Riesgo

N Riesgos y Impacto Probabilida Resultado

aspectos d

Riesgos Externos
1 Suspensión de servicio 2 3 Muy probable
eléctrico

2 Vandalismo 3 2 Muy probable

3 Hackers 3 3 Muy probable

4 Desastres naturales 2 2 Posible

5 Falla servicio de 1 2 Posible

internet

Riesgos Internos
1 No se cuenta con 3 3 Muy probable
contingencia de
equipo de aire
acondicionado.

2 Falla de servidores o 3 2 Muy probable

perdida de los mismos

3 Falta de respaldo en el 3 1 Muy probable

servicio eléctrico.

4 Deficiencia en pruebas 2 2 Posible

de restauración de
backup

5 Sabotaje 1 2 Posible

15
Resultado del análisis del criterio de probabilidad e impacto
Valor
Estim. Valor del
Activos Descripción C I D del Vulnerabilidad Amenaza Probabilidad
Impacto Riesgo
activo
Contenedor de Falta de Errores en las
S ervidores 3 3 3 3 3,00 3,00 9,00
s oftware actualización del S O aplicaciones
Daño en los equipos ,
Res paldo de S obrecargar
UP S 3 3 3 4 perdida de 3,00 2,00 6,00
energía eléctrica eléctrica
información.
Configuración
P roces ar operación Alteración en los
S AP B1 3 3 3 7 inadecuada del 2,00 5,00 10,00
de factoraje datos de los clientes .
s is tema.
Configuración
Cuenta de email P res entación de Fals a información a
3 3 3 1 inadecuada del 1,00 2,00 2,00
corporativo es tados de cuenta los us uarios finales
s is tema.

P roces amiento de Falla en la ejecución

texto y operaciones falta de recurs os en en
Computadoras 2 3 2 2 3,00 2,00 6,00
en los diferentes los equipos las aplicaciones y
sistemas vulnerables a ataques

Documentos
Fraude con mutuo
negociables Documentos que Documentos fals os a
3 3 2 4 acuerdo con la 9,00 3,00 6,00
(Quedan, s e financiaron. s er financiados
empres a pagadora
facturas , etc.)

Empleados internos Empleados

Compartir información
P ers ona calificados para el 2 3 4 6 inconformes con s u 7,00 4,00 4,00
con la competencia
pues to cargo
P rograma para
Antivirus detectar y eliminar 2 3 4 5 7,00 4,00 9,00
virus .
Falta de
P aquete de Errores en la carga de
Micros oft Office 2 3 2 4 actualización del 7,00 2,00 9,00
programa de componentes
s oftware

Bas e de Datos de
2 3 3 4 7,00 6,00 6,00
Información

Auditorias
Auditorias candidatas
1. Verificar la protección y estado de los sistemas operativos de los equipos de computo
2. Verificar la eficacia de los controles de seguridad de acuerdo al Anexo A de la ISO 27001:2013

16
3. Verificar el proceso de gestión de riesgos de seguridad de la información / seguridad digital
4. Verificar la continuidad de la seguridad de la información ante diferentes escenarios
5. Verificar el cumplimiento de las políticas, los procesos y procedimientos del SGSI

IV. CONCLUSIONES
• Con el diseño del Sistema de Gestión de Seguridad de la Información (SGSI) cumplirá con
los requisitos de seguridad de la información que requiere el consultor y analista de TI de
la empresa Unión Agronegocios, logrando definir políticas, procedimientos y controles de
seguridad, con el fin de reducir los posibles incidentes, amenazas y/o eventos de
seguridad de la información.
• Se establece el estado actual de los procesos de la compañía a través de resultados de
las herramientas utilizadas para la recolección de información, logrando obtener el 42%
de cumplimiento frente a la norma ISO27001 identificando que la mayoría de los dominios
no se encuentran en un porcentaje aceptable de cumplimiento.
• Se identificaron los activos del consultor y analista de TI de Unión Agronegocios
asociados al proceso de soporte y desarrollo de software, donde se catalogaron según su
naturaleza y características en varios grupos como: personas, hardware, infraestructura,
redes y software, encontrando que los activos más importantes deberán ser evaluados
para conocer el riesgo a los que se encuentran expuestos.
• Dentro de la valoración del riesgo de los activos del consultor y analista de TI de la
empresa Unión agronegocios y alineados a las recomendaciones de la norma
ISO31000:2018, se establecen diferentes etapas de valoración del riesgo tales como la
identificación de riesgos, el análisis de riesgos, evaluación del riesgo y su impacto, de esta
manera se logra establecer un plan de tratamiento para los riesgos identificados.
• Se diseñaron políticas de seguridad de la información bajo las recomendaciones de la
norma ISO27001, cubriendo con las necesidades de seguridad del consultor y analista de
TI de Unión Agronegocios, alineadas con los objetivos de la organización y alta gerencia,
promoviendo de esta manera una cultura organizacional frente a la importancia de la
seguridad de la información.
• El plan de concientización dará a conocer la importancia de la seguridad de la
información y los riesgos a los que se encuentran expuestos los activos del consultor y
analista de TI del Unión Agronegocios, para así fomentar conciencia sobre la
confidencialidad, integridad y disponibilidad de la información.
V. RECOMENDACIONES
La empresa Unión Agronegocios, deberá tener en cuenta las observaciones e indicaciones
que se encuentran descritas en este documento, las cuales están basadas en las mejores
prácticas de la norma ISO27001
17
Para la debida configuración adquisición y aprovechamiento de recursos, la alta gerencia
deberá avalar el presupuesto necesario para la implementación de los diferentes
controles, planes de seguridad aplicables a cada proceso, este deberá contemplarse de
manera anual teniendo en cuenta los cambios tecnológicos.

Anualmente se recomienda reevaluar los riesgos a los que los activos de la información se
encuentran expuestos, dado que estos pueden variar durante este periodo, también se
debe realizar una actualización al inventario de activos.

Se deberá realizar una revisión periódica sobre los contratos de prestación de servicios,
tanto para proveedores, clientes y/o partes interesadas, con el fin de verificar su vigencia
y actualizaciones realizadas sobre los mismos, también se incluirá las políticas de
seguridad de la compañía en los contratos para informar el tratamiento de la información
durante el vínculo contractual.

Como parte del plan de mejora continua para la empresa Unión Agronegocios, los
procesos deberán ser auditados regularmente, por lo cual se debe diseñar un plan de
auditorías, donde se indique el alcance, el manejo y reporte de hallazgos, los cuales
deberán ser documentados, divulgados y tratados, el coordinador de seguridad será el
responsable de hacer seguimiento y velar por el cumplimento de los compromisos.

18