DISEO DE UN SISTEMA DE GESTIN DE LA SEGURIDAD DE LA

INFORMACIN (SGSI) BASADOS EN LA NORMA

ISO/IEC 27001:2013

TRABAJO DE GRADO

PARTICIPANTES
ARLENYS CAROLINA NIEVES
1422010372

INSTITUCIN UNIVERSITARIA POLITCNICO GRANCOLOMBIANO

FACULTAD DE INGENIERA Y CIENCIAS BSICAS
ESPECIALIZACIN EN SEGURIDAD DE LA INFORMACIN
2017
 Nota de aceptacin

____________________________________
____________________________________
____________________________________
____________________________________
____________________________________
____________________________________

____________________________________

____________________________________

____________________________________

Firmas de los jurados

Ciudad, Fecha
 TABLA DE CONTENIDO

INTRODUCCIN
AGRADECIMIENTOS
1. RESUMEN EJECUTIVO..6
1.2 OBJETIVOS 6
1.2.1 OBJETIVO GENERAL ..6
1.2.2 OBJETIVOS ESPECFICOS .7
1.3 DESCRIPCIN DE LOS RESULTADOS OBTENIDOS ..7
1.4 ALCANCE Y LIMITACIONES ..8
2. JUSTIFICACIN .9
3. MARCO TERICO Y REFERENTES .11
3.1 MARCO TERICO 11
3.2 MARCO CONCEPTUAL ..14
4. METODOLOGA ..16
4.1 TIPO DE INVESTIGACION .16
4.2 LINEA DE INVESTIGACIN ..16
4.3 INSTRUMENTOS DE RECOLECCION DE INFORMACION 16
4.4 FASES METODOLGICOS 16
5. RESULTADOS Y DISCUSIN .18
5.1 ANALISIS DE GAP ..21
5.2 METODOLOGA DE RIESGOS DE SEGURIDAD DE LA INFORMACIN
5.3 PLAN DE SENSIBILIZACION Y CONCIENTIZACION DE SEGURIDAD DE
LA INFORMACIN 32
CONCLUSIONES
BIBLIOGRAFIA
ANEXOS
 INTRODUCCIN

La informacin y los procesos que se desarrollan para las actividades de las

empresas y/o Entidades asumen muchos riesgos, por ello se deberan emplear
medidas de control sobre la seguridad de la informacin y activos informticos que
involucre a todo el personal, desde la alta direccin hasta los operarios de los
sistemas.

La informacin hoy por hoy est disponible para los usuarios internos como
externos, desde dispositivos de computo (Tablet, Laptop, etc.), aplicaciones web,
aplicaciones internas, conexiones de red (Intranet), por lo tanto, la seguridad es un
elemento fundamental, al cual se debe dar prioridad porque con ello se garantizan
confidencialidad, integridad y disponibilidad de los sistemas de informacin e
informticos. Las amenazas y las vulnerabilidades que se presentan en los sistemas
y activos de informacin, involucran desde el desarrollo de las actividades de los
empleados hasta los mecanismos de acceso a los mismos.

Lo anterior es conocido como Sistema de Gestin de la Seguridad de la Informacin

y est basado en estndares, modelos y normas internacionales que a travs de
una serie de mejores prcticas aseguran una adecuada gestin de la seguridad de
la informacin.

Una de las normas ms reconocidas es la ISO/IEC 27001:2013 que establece las

guas, procedimientos y procesos para gestionarla apropiadamente mediante un
proceso de mejoramiento continuo.

El presente proyecto busca analizar e implementar un sistema de gestin de

seguridad de la informacin usando la norma ISO 27001 :2013 y la metodologa
MAGERIT para la gestin del riesgo en los activos de informacin del Centro de
Educacin Tcnica y Tecnolgica del departamento del Cesar.

4
 AGRADECIMIENTOS

A Dios, a mi madre Mara Francisca Nieves y dems familiares, quienes siempre

han confiado en m y me han dado su apoyo incondicional.

5
 1. Resumen Ejecutivo

El contenido de este trabajo es una gua, que permitir evaluar la integridad,

confidencialidad y disponibilidad de los activos (Hardware - Software) de
informacin a las oficinas de Ingreso de Centros de Educacin Tcnica y
Tecnolgica del Cesar.

Para el desarrollo de lo anterior, se dividi en tres fases: Planeacin, incluy un

anlisis de situacin y descripcin de los procesos, en la fase de Preparacin incluy
GAP anlisis, activos de informacin (anlisis y evaluacin de riesgos), y la ltima
fase Capacitacin y sensibilizacin, en donde se involucra la concientizacin de
seguridad de sistemas y activos de informacin.

El alcance del trabajo abarcar el diseo de un SGSI, que cubrir las necesidades

para mitigar los riesgos a los que est expuesta la Entidad. Adems, servir como

una gua ajustable a cualquier Centro de Educacin Tcnica y Tecnolgica.

El trabajo solo consistir en el diseo de SGSI de la oficina de Ingreso del Centro

de Educacin Tcnica y Tecnolgica del departamento del Cesar, todo lo anterior,
se desarrolla dentro del marco conceptual y metodolgico de un sistema de gestin
de seguridad de informacin bajo la norma ISO 27001:2013.

1.2. OBJETIVOS

1.2.1. OBJETIVO GENERAL

Diseo de un sistema de gestin de seguridad de la informacin (SGSI) basados en

la norma ISO/IEC 27001:2013

6
1.2.2. OBJETIVOS ESPECFICOS

Realizar un GAP anlisis basados en la norma ISO/IEC 27001:2013.

Definir una metodologa para la identificacin y clasificacin de los activos de
informacin.
Establecer una valoracin y tratamiento de riesgos de Seguridad de la
Informacin a los Activos de informacin.
Realizar un cronograma de capacitaciones en seguridad de la informacin.

1.3 RESULTADOS OBTENIDOS.

Anlisis de GAP.
A travs de la aplicacin de dos (2) test, se verific la situacin real de la
oficina de Ingreso del Centro de Educacin Tcnica y Tecnolgica del
departamento del Cesar, lo anterior permiti identificar:
a) Estado actual
b) Expectativa a futuro
c) Brecha
d) Mejora

Metodologa de Riesgos de Seguridad de la Informacin de los activos de

informacin.
Se procedi a realizar las siguientes actividades:
a) Gestin y clasificacin de los activos de informacin
b) Identificacin y valoracin de las amenazas
c) Anlisis del riesgo

Plan de capacitacin de Seguridad de la Informacin.

Se proceder a realizar las siguientes actividades:
a) Actividades a desarrollar en el plan de concienciacin

7
 Administracin y buen uso de contraseas y accesos a los
sistemas de informacin.
Seguridad de los puestos de trabajo.
Uso responsable de activos de informacin (Hardware -
Software).
Cronograma de actividades.
Anlisis de riesgos de los activos de informacin.
b) Seguimiento a la capacitacin.

1.4 ALCEN Y LIMITACIONES

El desarrollo del trabajo abarca el diseo de un sistema de Gestin de Seguridad

de la informacin en la oficina de Ingreso del Centro de Educacin Tcnica y
Tecnolgica del departamento del Cesar, adems de la valoracin y clasificacin de
los activos de informacin.

Todo lo anterior, soportado con la norma ISO/IEC 27001:2013, y metodologa de

anlisis de riesgo MAGERIT.

Este trabajo no abarca implementacin, mantenimiento y revisin del Sistema de

Gestin de Seguridad de la Informacin.

8
 2. JUSTIFICACION

La seguridad de la informacin surge como una medida de asegurar que la

informacin tenga los niveles adecuados de proteccin en cuanto a
Confidencialidad, Integridad y Disponibilidad.

La creciente cantidad de amenazas que sufren las organizaciones al interior y

exterior de los sistemas de informacin, hace que crezca la necesidad de gestionar
de manera eficiente los riesgos e involucrar al personal y capacitarlo para hacerle
frente a dichas amenazas, minimizando el impacto para la entidad, segn
DELOITTE1 en la encuesta 2016 sobre Tendencias de Ciber-Riesgos y Seguridad
de la Informacin en Latinoamrica, en su pgina 10, se describe las Principales
Tendencias Identificadas, en la cual se identifica en cuarto lugar la capacitacin y
concientizacin es la iniciativa de seguridad que mayor cantidad de organizaciones
ejecutaran durante 2016. Adems, la revista DINERO2, hace referencia que el 2015
fue un ao de altas y bajas para la seguridad informtica, Colombia es
considerada una de las naciones ms atractivas para los delincuentes informticos
en Amrica Latina, muestra de ello es que el 25% de los ciberataques registrados
en el 2015 se originaron en esta parte del mundo.

Un Sistema de Gestin de Seguridad de la Informacin basado en la norma ISO/IEC

27001:2013, proveer las condiciones necesarias para que la seguridad de la
informacin apoye y extienda los objetivos estratgicos de la Entidad, para
garantizar la debida gestin administrativa y operativa.

Un propicio Modelo de Seguridad de la Informacin en la Entidad le proporcionar

las herramientas y elementos necesarios para alcanzar de manera efectiva los
siguientes objetivos de seguridad:

1
https://www2.deloitte.com/content/dam/Deloitte/pe/Documents/risk/Deloitte%202016%20Cyber%20Risk%2
0%20Information%20Security%20Study%20-%20Latinoam%C3%A9rica%20-
%20Resultados%20Generales%20vf%20(Per%C3%BA).pdf
2
http://www.dinero.com/pais/articulo/informe-certicamara-sobre-seguridad-informatica-colombia-para-
2016/217635

9
 Asegurar la integridad y continuidad de los servicios (Internet, Correo
electrnico, carpetas en red, etc.), equipos y sistemas de informacin, as
como el acceso a los mismo.

Uso adecuado en cuanto a la confidencialidad de claves y/o passwords de

los sistemas de informacin.

Generar sentido de pertenencia y apropiacin en temas de seguridad en los

funcionarios de la entidad, para logrando con ello la participacin activa en
controles y medidas orientadas a salvaguardar la seguridad de la informacin
de la Entidad.

El desarrollo del presente ante-proyecto busca satisfacer la necesidad de seguridad

de la informacin de sus activos y el recurso humano, garantizando la
confidencialidad, disponibilidad e integridad de los datos.

10
3. MARCO TERICO Y REFERENTES

3.1 MARCO TERICO

Para el desarrollo de un sistema de gestin de seguridad de la informacin se

utilizan conceptos referentes a la seguridad que aplican a cualquier tipo de entidad,
pblicas y/o privadas.

Sistema de Gestin de la Seguridad de la Informacin3- SGSI: es la abreviatura

utilizada para referirse a un Sistema de Gestin de la Seguridad de la Informacin.
ISMS es el concepto equivalente en idioma ingls, siglas de Information Security
Management System. En el contexto aqu tratado, se entiende por informacin todo
aquel conjunto de datos organizados en poder de una entidad que posean valor
para la misma, independientemente de la forma en que se guarde o transmita
(escrita, en imgenes, oral, impresa en papel, almacenada electrnicamente,
proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.),
de su origen (de la propia organizacin o de fuentes externas) o de la fecha de
elaboracin.

La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de

su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados
en su tratamiento, dentro de una organizacin. As pues, estos tres trminos
constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la
informacin:
Confidencialidad: la informacin no se pone a disposicin ni se revela a
individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la informacin y
sus mtodos de proceso.

3
http://www.iso27000.es/download/doc_sgsi_all.pdf

11
 Disponibilidad: acceso y utilizacin de la informacin y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

ISO 270014: es una norma internacional emitida por la Organizacin Internacional

de Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin
en una empresa. La revisin ms reciente de esta norma fue publicada en 2013 y
ahora su nombre completo es ISO/IEC 27001:2013. La primera revisin se public
en 2005 y fue desarrollada en base a la norma britnica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin
fines de lucro, privada o pblica, pequea o grande. Est redactada por los mejores
especialistas del mundo en el tema y proporciona una metodologa para
implementar la gestin de la seguridad de la informacin en una organizacin.
Tambin permite que una empresa sea certificada; esto significa que una entidad
de certificacin independiente confirma que la seguridad de la informacin ha sido
implementada en esa organizacin en cumplimiento con la norma ISO 27001.

ANLISIS DE RIESGO: es el proceso cuantitativo o cualitativo que permite evaluar

los riesgos. El primer paso del anlisis es identificar los activos a proteger o evaluar.
La evaluacin de riesgos involucra comparar el nivel de riesgo detectado durante el
proceso de anlisis con criterios de riesgo establecidos previamente. La funcin de
la evaluacin consiste en ayudar a alcanzar un nivel razonable de consenso en torno
a los objetivos en cuestin, y asegurar un nivel mnimo que permita desarrollar
indicadores operacionales a partir de los cuales medir y evaluar. Los resultados
obtenidos del anlisis, van a permitir aplicar alguno de los mtodos para el
tratamiento de los riesgos, que involucra identificar el conjunto de opciones que
existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y
ejecutarlos. Dentro del tema de anlisis de riesgo se ven reflejados cinco elementos

4
https://advisera.com/27001academy/es/que-es-iso-27001/

12
muy importantes dentro del concepto estos son los siguientes: probabilidad,
amenazas, vulnerabilidades, activos e impactos.

MAGERIT: es la metodologa de anlisis y gestin de riesgos elaborada por el

Consejo Superior de Administracin Electrnica, permite:
Estudiar los riesgos que soporta un sistema de informacin y el entorno
asociado a l. MAGERIT propone la realizacin de un anlisis de los riesgos
que implica la evaluacin del impacto que una violacin de la seguridad tiene
en la organizacin; seala los riesgos existentes, identificando las amenazas
que acechan al sistema de informacin, y determina la vulnerabilidad del
sistema de prevencin de dichas amenazas, obteniendo unos resultados.

Los resultados del anlisis de riesgos permiten a la gestin de riesgos

recomendar las medidas apropiadas que deberan adoptarse para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados y as reducir al
mnimo su potencialidad o sus posibles perjuicios.

CICLO DE MEJORA CONTINA EN LA NORMA ISO/IEC 27001:2013

Plan: Consiste en planificar acciones para hacer frente a los riesgos e identificar las
oportunidades, para posteriormente evaluarlas y gestionarlas.

Definir las polticas de seguridad de la informacin

Establecer el alcance del SGSI
Realizar el anlisis de riesgo
Seleccionar los controles de seguridad
Definir competencias
Establecer el mapa de riesgos
Definir autoridades y responsabilidades

13
Hacer: Indica que la organizacin debe de disponer los recursos necesarios para
establecer, implementar y mantener el SGSI, adems de dar a conocer las polticas
de seguridad de la informacin del SGSI.
Poner en marcha el Plan de gestin de riesgos establecido
Se implanta el SGSI
Se establecen los controles de seguridad

Check Controlar
Revisar internamente el SGSI
Realizar auditorias
Se revisan los indicadores y mtricas del SGSI

Actuar
Realizan las acciones correctivas
Realizan las acciones preventivas

3.2 MARCO CONCEPTUAL

ACTIVOS: Los activos a reconocer son aquellos relacionados con sistemas de

informacin. Ejemplos tpicos son los datos, el hardware, el software, servicios,
documentos, edificios y recursos humanos.

IMPACTOS: las consecuencias de la ocurrencia de las distintas amenazas son

siempre negativas. Las prdidas generadas pueden ser financieras, no financieras,
de corto plazo o de largo plazo.

AMENAZAS: las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa. Comnmente se
indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso
inadecuado de software, los desastres ambientales como terremotos o
inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc.

14
GESTIN DEL RIESGO: Actividades coordinadas para dirigir y controlar los
aspectos asociados al Riesgo dentro de una organizacin.

VULNERABILIDAD: Una vulnerabilidad es una debilidad del sistema informtico

que puede ser utilizada para causar un dao. Las debilidades pueden aparecer en
cualquiera de los elementos de una computadora, tanto en el hardware, el sistema
operativo, cmo en el software.

15
 4. METODOLOGA

4.1 Tipo de investigacin: Se desarroll una metodologa cuantitativa y cualitativa

tomando como referencia los anexos de la ISO/IEC 27001:2013.

4.2 Lnea de investigacin. Como referencia para el desarrollo del trabajo se utiliz
la norma ISO/IEC 27001:2013, abordando los temas de tecnologa de la
informacin, gestin de la seguridad y seguridad de la informacin.

4.3 Instrumentos de recoleccin de informacin. Para el desarrollo del trabajo

se utiliz el cuestionario, entrevistas y la observacin de los funcionarios en el
desarrollo de sus actividades. Tambin fue utilizado diferentes fuentes de
informacin, tales como tesis, textos, revistas, etc., en medios electrnicos.

4.4 Fases metodolgicas. Para la realizacin de los entregables se desarroll dos

(2) test, en base a la norma ISO/IEC 27001:2013, los cuales se utilizaron Anexos y
captulos.

Los controles del anexo A, agrupados y numerados de la siguiente forma:

A.5 Poltica de seguridad
A.6 Organizacin de la informacin de seguridad
A.7 Administracin de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad fsica y del entorno
A.10 Administracin de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisicin de sistemas de informacin, desarrollo y mantenimiento
A.13 Administracin de los incidentes de seguridad
A.14 Administracin de la continuidad de negocio
A.15 Cumplimiento.

16
Captulos:
Nmero 4, Contexto de la Organizacin
Nmero 5, Liderazgo
Nmero 6, Planificacin
Nmero 7, Soporte
Nmero 8, Operacin
Nmero 9, Evaluacin del Desempeo
Nmero 10, Mejora

Anlisis y gestin de riesgo:

a) Identificacin de los activos de informacin.
b) Amenazas vulnerabilidad riesgo
c) Valoracin de riesgo
d) Plan de tratamiento
e) Matriz de riego.

Capacitacin seguridad de la informacin.

o Sensibilizar sobre las responsabilidades de los activos de la
informacin a funcionarios, contratistas y personal de apoyo.
o Concientizar a funcionarios, contratistas y personal de apoyo de la
entidad de la importancia de la seguridad de la informacin en cuanto
a la confidencialidad, integridad y disponibilidad.
o Sensibilizacin de los controles de seguridad y la relacin que tienen
con los activos (Hardware - Software) de la informacin que manejan

17
5. RESULTADOS Y DISCUSIN

La oficina de Ingreso del Centro de Educacin Tcnica y Tecnolgica del

departamento del Cesar

Objetivo

Establecer las actividades para garantizar los medios y recursos para el registro e
inscripcin de los aspirantes y/o empresas en los programas de formacin
profesional, para que a travs de la utilizacin de instrumentos de evaluacin se
seleccionen aquellos aspirantes que cumplan con las competencias mnimas
requeridas y formalizar su ingreso mediante la matricula.

Descripcin del funcionamiento del rea de Ingreso.

Se desarrollan en tres actividades principales:

1. Registro e Inscripcin: Es el registro de datos bsicos en el aplicativo de gestin

acadmica de la Entidad y posterior inscribirse a un programa de formacin.

Se desarrollan en tres actividades principales:

1. Registro e Inscripcin: Es el registro de datos bsicos en el aplicativo de

gestin acadmica y posterior inscribirse a un programa de formacin.
Entradas Actividades Salidas
Registro de aspirante a
la formacin. Registro e inscripcin en
Resolucin de el aplicativo de gestin
Calendario Acadmico y Inscripcin de aspirante acadmica.
de Labores y a la formacin.

18
Cronograma para cada Generar un reporte de Reporte de Inscritos
convocatoria. inscritos a la formacin.

2. Seleccin: Es la actividad mediante la cual se verifican conocimientos,

aptitudes y actitudes de los aspirantes a la formacin profesional de acuerdo
con lo establecido en el perfil de ingreso esperado para cada programa.

Entradas Actividades Salidas

Citar a prueba fase I Registro de citacin en el
aplicativo de gestin
Lineamientos para la acadmica.
programacin de la Realizar pruebas online y Reporte de seleccionado
Oferta Educativa. gestionar resultados. no seleccionado.

Generar reporte de Reporte de

preseleccionados. preseleccionado.

Planear logstica Fase II. Cronograma

Citar a prueba fase II. Citacin a prueba II

Reporte de Reporte seleccionados

seleccionados. aplicativo gestin
acadmica.

3. Matricula: Se inicia mediante una citacin a los aspirantes seleccionados a

presentar los documentos requeridos para la matricula.

19
 Entradas Actividades Salidas
Calendario Acadmico Convocatoria a matricula Cronograma de citacin
para asentamiento de a matricula.
matrcula por programa
de formacin.
Verificacin de Lista de chequeo de
documento documentos.
Asentar matricula Registro de matrcula en
el aplicativo gestin
acadmica.

5.1 GAP anlisis

Aplicar el test de preguntas captulos y controles del Anexo A de la norma ISO

COLOMBIANA 27001:2013, a los funcionarios de la oficina de Ingreso.

5.1.1 ANALISIS DEL ANEXO A - ISO 27001:2013

Este anlisis, se estableci con relacin a los controles definidos en el Anexo A de

la norma ISO/IEC 27001:2013.

Para realizar este diagnstico se utiliz una lista de preguntas con opcin de
respuesta SI o NO, que fue respondida por funcionarios de las reas de Ingreso
y/o Admisin y Certificacin.

A continuacin, se relaciona lo resultado de la evaluacin de cada uno de los

objetivos de control del Anexo A de la norma ISO/IEC 27001:2013:

20
 20
40
60
80

0
100
120

A.5. POLTICA DE LA SEGURIDAD DE LA INFORMACIN.

50 50

25
A.6. ORGANIZACIN DE LA SEGURIDAD DE LA
INFORMACIN. 75

33.33
A.7. SEGURIDAD DE LOS RECURSOS HUMANOS 66.67
71.43

A.8. GESTIN DE ACTIVOS

28.57
88.89

A.9. CONTROL DE ACCESO

11.11

0
A.10. CRIPTOGRAFA
100

%SI
71.43

A.11. SEGURIDAD FSICA Y AMBIENTAL

28.57
57.14

A.12. SEGURIDAD DE LAS OPERACIONES

%NO
42.86

Fuente: Autor
A.13. SEGURIDAD DE LAS COMUNICACIONES
50 50

A.14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE

66.67

SISTEMAS
33.33 33.33

A.15. RELACIONES CON LOS PROVEEDORES

66.67

A.16. GESTIN DE INCIDENTES DE SEGURIDAD DE LA

Figura 1. Nivel Cumplimiento Control Anexo A ISO 27001:2013

50 50

INFORMACIN
0

A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE

100

LA GESTIN DE LA CONTINUIDAD DE NEGOCIO

33.33

A.18. CUMPLIMIENTO.
66.67

21
5.1.2 ANALISIS POR CONTROLES
A continuacin, se detalla los controles que tuvieron un cumplimiento por debajo del
40%. Teniendo en cuenta la infraestructura fsica, tecnolgica y presupuestal de la
Entidad. Lo anterior basado en la siguiente tabla.

Porcentaje Valoracin
>=56 y <=100% Alto
>=40% y <=55% Medio
>=0% y <=39 Bajo
Tabla 1. Valoracin de controles.
Fuente: Autor

A.6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

(cumplimiento 25%)

La entidad tiene definidos roles y responsables de la seguridad de la informacin,

pero le falta definir planes para la utilizacin de dispositivos mviles y el teletrabajo.

A.6. ORGANIZACIN DE LA
SEGURIDAD DE LA INFORMACIN.

25%

75% % SI % NO

Figura 2. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION

Anexo A ISO 27001:2013
Fuente: Autor

22
A.7. SEGURIDAD DE LOS RECURSOS HUMANOS (cumplimiento 33,33%)

No se cuenta con un mecanismo que permite garantizar que los empleados y

terceros, estn informados sobre las funciones y las responsabilidades respecto a
la seguridad de la informacin.

A.7. SEGURIDAD DE LOS RECURSOS

HUMANOS

33%

67%

% SI % NO

Figura 3. SEGURIDAD DE LOS RECURSOS HUMANOS

Anexo A ISO 27001:2013
Fuente: Autor

A.10. CRIPTOGRAFA (cumplimiento 0%)

La entidad no cuenta con mecanismos de cifrado para proteger la informacin en

trnsito y/o reposo, lo cual representa un riesgo debido que no se garantizar la
confidencialidad, integridad, autenticidad de la informacin que se intercambia entre
las reas o con terceros.

Es menester, que la entidad cuente con mecanismos cifrado/descifrados fiables con

el objetivo de asegurar la confidencialidad, autenticidad e integridad de la
informacin.

23
 A.10. CRIPTOGRAFA

0%

100%

% SI % NO

Figura 4. CRIPTOGRAFIA
Anexo A ISO 27001:2013
Fuente: Autor

A.15. RELACIONES CON LOS PROVEEDORES. (Cumplimiento 33,33%)

No existe una poltica de seguridad en cuanto a los lineamientos de seguridad para
la relacin con los proveedores con el propsito de evitar accesos no autorizados a
la informacin.

A.15. RELACIONES CON LOS

PROVEEDORES

33%

67%

% SI % NO

Figura 5. RELACIONES CON LOS PROVEEDORES

Anexo A ISO 27001:2013
Fuente: Autor

24
A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTIN DE
LA CONTINUIDAD DE NEGOCIO. (Cumplimiento 0%)
No se evidencia la seguridad de la informacin en situaciones adversar que pueden
comprometer la disponibilidad de los servicios de Tecnologa de Informacin .

A.17. ASPECTOS DE SEGURIDAD DE

LA INFORMACIN DE LA GESTIN DE
LA CONTINUIDAD DE NEGOCIO

0%

100% % SI % NO

Figura 6. ASPECTOS DE SEGURIDAD DE LA INFORMACION DE LA GESTION

DE LA CONTINUIDAD DE NEGOCIO
Anexo A ISO 27001:2013
Fuente: Autor

A.18. CUMPLIMIENTO. (Nivel de cumplimiento 33,33)

Debido a que la entidad no cuenta con mecanismo de cifrado/descifrado de la
informacin no cumple con este control.

25
 A.18. CUMPLIMIENTO.

33%

67%

% SI % NO

Figura 7. CUMPLIMIENTO
Anexo A ISO 27001:2013
Fuente: Autor

Estado Expectativa Brecha Existente Mejora

Actual Futuro
No se han Capacitacione Despus del anlisis se Se realizan
realizado s trimestrales determin dos (2) recomendaciones de
capacitacione de seguridad puntos crticos a mejora para alcanzar
s al personal de la subsanar. un mejor
que trabaja en informacin. aprovechamiento de
el rea de Personal no los procesos ya
ingreso, en la capacitado en la implementados.
norma norma
ISO/27001. ISO/27001 Capacitar al
personal en las
Falta de normas de
retroalimentaci ISO/270001
n de los Concientizar al
El acceso al conceptos personal del
ingreso de la PC bsicos de la uso
plataforma no configurados seguridad en la responsable
es muy con cuentas informacin de usuario y
seguro, estndar para basados en la contrasea
delegacin y usar y norma ISO para el acceso
prstamo de manipular 27001. en la
usuarios y aplicaciones. plataforma.
contraseas Realizar un
entre control donde
funcionarios. se verifique el
cumplimiento

26
 de los
indicadores de
implementaci
n de la norma
ISO 27001 en
la oficina de
Ingreso.

Falta de revisiones
revisiones peridicas del
peridicas al hardware
Hardware.
Privilegio de
administrador
activo en los
PC,
permitiendo
instalaciones
sin control de
aplicaciones.

5.2 ANALISIS Y EVALUACION DE RIESGO

Tipos de Activos de Informacin.

La identificacin de los activos de informacin se realiz de acuerdo a las

observaciones de campos y entrevista con el personal de las reas de Ingreso, por
lo tanto, se identificaron los activos de informacin que son utilizados para el
desarrollo de las actividades de cada rea de la entidad, los cuales fueron el insumo
para el proceso de valoracin de riesgos.

27
 Activo Descripcin

Aplicaciones Software de gestin acadmica

Sistemas Operativos
Antivirus
Navegador web.

Hardware PC de Escritorio
UPS
ESTABILIZADORES

Gestin documental Corresponde a los datos de los procesos.

Valoracin de Impacto.
Una vez identificados los activos de informacin se procedi a valorar su grado de
importacin y criticidad para la organizacin.

Aspecto Criterio Impacto Valoracin Escala de

Valoracin
Financiero Perdidas Menor a 200 1 Bajo
econmicas millones de pesos.
Entre 200 millones 2 Medio
y 500 millones de
pesos.
Mayor a 500 3 Alto
millones de pesos
Legal Incumplimiento Cancelacin del 1 Bajo
contrato e
de
iniciacin del
nuevo proceso de
contratacin.

28
 normatividad y Afectacin a los 2 Medio
legislacin, procesos
contractuales.
Demandas - 3 Alto
Desgaste
administrativo y
financiero
Imagen Afectacin de Prdida de 1 Bajo
credibilidad frente
la imagen
a diferentes
institucional a actores sociales
y/o dentro de la
nivel interno y
Entidad.
externo. Afectacin a nivel 2 Medio
de usuarios
internos y/o
externos.
Afectacin en la 3 Alto
calidad del
servicio.

ANLISIS DE RIESGO.

A continuacin, se presenta la tabla de la calificacin de Probabilidad VS Impacto.

Impacto
Bajo (1) Medio (2) Alto (3)

Bajo (1) 1 2 3
Medio (2) 2 4 6
Probabilidad
Alto (3) 3 6 9

29
 Compromete en un nivel Alto la integridad, confidencialidad y
disponibilidad de la informacin.

Compromete en un nivel medio la integridad, confidencialidad y

disponibilidad de la informacin.

No compromete la integridad, confidencialidad y disponibilidad de

la informacin.

Valoracin de Probabilidad.

Escala Probabilidad Criterio Frecuencia

Baja El evento Una vez en los
1 puede ocurrir ltimos tres
en algn ao
momento.
2 Media El evento Una vez al ao
probablemente
ocurrir en las
mayora de las
circunstancia.
3 Alta Se espera que Ms de una
el evento vez por ao.
ocurra con
frecuencia.

Para la valoracin del riesgo y el plan de tratamiento ver el archivo Excel anlisis.xls.

30
5.2.1 VALORACIN DE LOS ACTIVOS DE LA INFORMACIN.

Cada activo de informacin tiene una valoracin distinta, puesto que cada uno
cumple una funcin diferente en la generacin, almacenaje o procesamiento de la
informacin5.

Disponibilidad- D: Aseguramiento de que los usuarios autorizados tienen acceso

cuando lo requieran a la informacin y sus activos.

Integridad - I: garanta de la exactitud y completitud de la informacin y los mtodos

de su procesamiento.

Confidencialidad - C: aseguramiento de que la informacin es accesible solo para

aquellos autorizados a tener acceso.

Valor Disponibilidad
1 Recurso que no puede ser accedido durante un periodo largo de
tiempo y que podra ocasionar la detencin de las actividades de la
empresa.
2 Recurso que no puede ser accedido durante un periodo mediano
de tiempo y que podra ocasionar la detencin de las actividades
de la empresa.
3 Recurso que no puede ser accedido durante un periodo corto de
tiempo y que podra ocasionar la detencin de las actividades de la
empresa.

5
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/322__paso_2_valoracin_de_los_activos.html

31
 Valor Integridad
1 Informacin cuya modificacin sin autorizacin es posible reparar,
pero puede ocasionar un dao sobre las actividades realizadas con
el activo.
2 Informacin cuya modificacin sin autorizacin toma tiempo en
exceso en repararse y puede ocasionar un dao en las actividades
realizadas con el activo.
3 Informacin cuya modificacin sin autorizacin es imposible de
repararse, deteniendo cualquier actividad dependiendo del activo.

Valor Confidencialidad
1 Informacin que puede ser accedida por cualquier funcionario sin
necesidad de autorizacin.
2 Informacin que solo puede ser accedida por funcionarios.

3 Informacin que solo puede ser accedida por funcionarios que

estn autorizados.

5.3 PLAN DE CAPACITACION DE SEGURIDAD DE LA INFORMACIN

La capacitacin se llevar a cabo Presencial, en un saln de actividades a travs

de ayudas visuales y con la contratacin de un experto en seguridad de la
informacin.

Actividades:

o Sensibilizar sobre las responsabilidades de los activos de la

informacin a funcionarios, contratistas y personal de apoyo.

32
 o Concientizar a funcionarios, contratistas y personal de apoyo de la
entidad de la importancia de la seguridad de la informacin en cuanto
a la confidencialidad, integridad y disponibilidad.
o Sensibilizacin de los controles de seguridad y la relacin que tienen
con los activos (Hardware - Software) de la informacin que manejan.

Folletos pedaggica de Seguridad de la Informacin

Brindar material de apoyo de seguridad de la informacin con

funcionarios, contratistas y personal de apoyo.
Actividades
o Socializar material educativo de la seguridad informtica.
Administracin y buen uso de contraseas y accesos a los sistemas de
informacin.
Seguridad de los puestos de trabajo.
Uso responsable de activos de informacin (Hardware - Software).
Cronograma de actividades.
Anlisis de riesgos de los activos de informacin.

33
 CONCLUSIONES

Enfocada a la Entidad

La seguridad de la informacin es una responsabilidad de todos en una

entidad que debe estar guiada por manuales y/o procedimientos de buen uso
de los activos de informacin.

El diseo de un Sistema de Gestin de Seguridad de la Informacin (SGSI),

permitir identificar amenazas y vulnerabilidades de los activos de
informacin, para posteriormente elaborar plan de tratamientos con la
finalidad de mitigar los riesgos.

Un plan de capacitacin y sensibilizacin sobre seguridad de la informacin,

permitir crear ambientes de buen manejo y uso de los activos de
informacin.

Enfocado al trabajo de tesis

La valoracin de los riesgos de los activos de informacin de la oficina de

Ingreso del Centro de Educacin Tcnica y Tecnolgica del departamento
del Cesar, permiti identificar que el desconocimiento del tema pone en
riesgo los procesos que se desarrollan en cuanto a disponibilidad, integridad
y confidencialidad.

34
 BIBLIOGRAFA

[1] El portal de ISO 27001 en espaol. [En lnea]. Available:

http://www.iso27000.es/iso27000.html

[2] Qu es SGSI? [En lnea]. Available: http://www.pmg-ssi.com/2015/07/que-es-

sgsi/

[3] Plan de Capacitacin, Sensibilizacin Y Comunicacin De Seguridad De La

Informacin. [En lnea]. https://www.mintic.gov.co/gestionti/615/articles-
5482_G14_Plan_comunicacion_sensibilizacion.pdf

[4] Escuela Superior Politcnica Agropecuaria de Manab Manuel Flix Lpez,

TESIS. AUDITORA DE SEGURIDAD FSICA Y LGICA A LOS RECURSOS DE
TECNOLOGA DE INFORMACIN EN LA CARRERA INFORMTICA DE LA
ESPAM MFL, 2014,
http://repositorio.espam.edu.ec/bitstream/42000/72/1/TESIS%20AMARILIS%20CA
ROLINA%20LOOR%20P%C3%81RRAGA%20%20VER%C3%93NICA%20ALEXA
NDRA%20ESPINOZA%20CASTILLO.pdf

35
 ANEXOS

Primer Entregable. Anlisis de GAP

Aplicacin de encuesta para determinar el nivel de madurez que presenta la
entidad respecto a los temas relacionados con Seguridad de la Informacin
y el nivel de compromisos del personal frente a la confidencialidad, integridad
y disponibilidad de los recursos (Hardware - Software) que utiliza. Ver archivo
iso.xls.

Segundo Entregable. Metodologa de Riesgos de Seguridad de la

Informacin de los activos de informacin.

Se utiliz la metodologa MAGERIT, a travs del cual se clasificaron los

activos de la siguiente manera:

a) Aplicacin: Software de gestin acadmica, sistemas operativos,

antivirus, navegadores web.
b) Hardware: UPS, Estabilizadores, PC de escritorio, Laptop.
c) Gestin documental: Procesos propias del rea de ingreso.

Una vez se Valoraron los riesgos (impacto y probabilidad) de las amenazas

y vulnerabilidades, se dise un plan de tratamientos del riesgo. Ver archivo
anlisis.xls.

Tercer Entregable. Plan de Capacitacin y sensibilizacin de Seguridad de

la Informacin.

Generar una cultura de seguridad de la informacin con funcionarios,

contratistas y personal de apoyo.

Actividades

36
 o Sensibilizar sobre las responsabilidades de los activos de la
informacin a funcionarios, contratistas y personal de apoyo.
o Concientizar a funcionarios, contratistas y personal de apoyo de la
entidad de la importancia de la seguridad de la informacin en cuanto
a la confidencialidad, integridad y disponibilidad.
o Sensibilizacin de los controles de seguridad y la relacin que tienen
con los activos (Hardware - Software) de la informacin que manejan.
Administracin y buen uso de contraseas y accesos a los sistemas de
informacin.
Seguridad de los puestos de trabajo.
Uso responsable de activos de informacin (Hardware - Software).
Cronograma de actividades.
Anlisis de riesgos de los activos de informacin.

Folletos pedaggica de Seguridad de la Informacin

Brindar material de apoyo de seguridad de la informacin con

funcionarios, contratistas y personal de apoyo.
Actividades
o Socializar material educativo de la seguridad informtica

37