Unad PDF

DISEO DE UN SISTEMA DE GESTIN DE LA SEGURIDAD INFORMTICA
SGSI, PARA EMPRESAS DEL REA TEXTIL EN LAS CIUDADES DE

ITAG, MEDELLN Y BOGOT D.C. A TRAVS DE LA AUDITORA
ING. ALEXNDER GUZMN GARCA
Cdigo: 1.030.548.291
ING. CARLOS ALBERTO TABORDA BEDOYA
Cdigo: 98.639.837
UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA - UNAD
ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
BOGOT D.C. COLOMBIA
ABRIL / 2015
Abril de 2015
DISEO DE UN SISTEMA DE GESTIN DE LA SEGURIDAD INFORMTICA
SGSI , PARA EMPRESAS DEL REA TEXTIL EN LAS CIUDADES DE
ITAG, MEDELLN Y BOGOT D.C. A TRAVS DE LA AUDITORA
ING. ALEXNDER GUZMN GARCA
Cdigo: 1.030.548.291
ING. CARLOS ALBERTO TABORDA BEDOYA
Cdigo: 98.639.837
Trabajo de grado para optar el ttulo de Especializacin en Seguridad

Informtica
ING. FRANCISCO SOLARTE SOLARTE
Director del Proyecto
UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA - UNAD
ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
BOGOT D.C. COLOMBIA
ABRIL / 2015
Abril de 2015
CARTAS DE ACEPTACIN
Abril de 2015
Abril de 2015
Abril de 2015
DEDICATORIA
Este proyecto de grado lo quiero dedicar:
A Dios, que es mi gua en todo momento, siempre est a mi lado guindome
por el camino de la vida, fortaleciendo cada uno de mis pasos da a da para
salir adelante.
A mi Mam Julia Garca Viatela, por brindarme en todo momento el apoyo que
necesito para salir adelante y esos valores que me hacen nico en mi forma de
ser.
A mi Pap lvaro Guzmn Vargas, por darme esa fuerza, esa sabidura para
afrontar los problemas, ensendome las diferentes perspectivas de la vida.
A mi Hermana Julie Andrea Guzmn Garca, que siempre me apoya y ayuda
en todo los momentos de mi vida.
A mis Abuelos y Abuelas, por darme esa fuerza para tomar decisiones.
A la Mujer que inspira mi vida con solo mirarla a sus hermosos ojos Martha
Isabel Culma Soacha.
A Sofa, la nia ms hermosa, dulce y tierna que con su sonrisa irradia
felicidad.
A mis Familiares, por su apoyo incondicional.
Abril de 2015
A mis Maestros, por sus extraordinarios conocimientos sobre los temas
explicados.
A mis Amigos, por sus enseanzas y aportes profesionales.
A la Universidad Nacional Abierta y a Distancia UNAD, Escuela de Ciencias
Bsicas Tecnologa e Ingeniera, Especializacin en Seguridad Informtica, por
permitirme desarrollar mis conocimientos.
A los Ingenieros Francisco Solarte Solarte, Eleonora Palta y Ramss Ros
Lampariello, por su respaldo, apoyo, gua y orientacin en el desarrollo del
proyecto de grado.
Al Director Nacional, por todo el apoyo y colaboracin en el desarrollo y
culminacin del proyecto de grado.
Al Comit proyectos de grado y sus colaboradores, por sus aportes de
conocimiento y tiempo.
Alexnder Guzmn Garca
Abril de 2015
Este proyecto de grado lo quiero dedicar:
A mi esposa Silvia Marcela Oyuela Cano, quien es mi inspiracin y apoyo
constante, que con su paciencia, comprensin y dedicacin, me ayuda cada
da a lograr mis objetivos.
A mi hijo Juan David Taborda Palacio, que lo es todo para m, y que aunque se
encuentre distante sabe que est siempre en mi corazn y que todo lo que
hago es para darle el mejor ejemplo y brindarle lo mejor de m en todo
momento.
A mis padres Rosalba Bedoya y Rafael Taborda (fallecido), que en medio de su
humildad me brindaron la mejor enseanza, y con lo poco que tenan me dieron
el impulso para ir cada vez ms all.
A mis hermanos y hermanas, que siempre han estado presentes con su apoyo
y aliento constante para que cada da pueda superar cada reto que me
proponga.
A mis dems familiares y amigos, que son constantes ejemplo y apoyo para
que no claudique en mis propsitos.
A todas aquellas personas y entidades que con su empeo, paciencia,
dedicacin, esfuerzo y compromiso, me han brindado las mejores herramientas
para ir paso a paso avanzando en el camino del conocimiento.
Carlos Alberto Taborda Bedoya
Abril de 2015
AGRADECIMIENTOS
Agradezco a Dios por haberme permitido llegar a estos momentos tan
maravillosos de mi vida, llenndome de salud, amor, paz y sabidura para
afrontar todos los retos de la vida.
Agradezco a mis padres: Julia Garca Viatela y lvaro Guzmn Vargas por
darme la vida, por brindarme en todo momento ese apoyo tan incondicional en
mis decisiones y en mi crecimiento como profesional.
Agradezco a mi hermana: Julie Andrea Guzmn Garca por escucharme,
apoyarme y estar siempre a mi lado en los momentos difciles.
Agradezco a mi novia: Martha Isabel Culma Soacha y a su hija: Laura Sofa por
apoyarme y brindarme la mano en los momentos difciles, por llenarme de
felicidad en instantes transcendentales de mi vida y por impulsarme a ser mejor
cada da.
Agradezco a mis abuelos y abuelas maternas y paternas por mostrarme lo
maravilloso que es la vida y lo importante que es dar paso a paso con firmeza.
Agradezco a mis familiares por sus enseanzas y experiencias de la vida, por
estar siempre pendiente participando directa o indirectamente de mis logros.
Agradezco a mis maestros por enriquecer con sus conocimientos mi
aprendizaje intelectual hacia un enfoque profesional.
Abril de 2015
Agradezco a mis amigos por manifestar su apoyo y felicidad al estar
culminando una etapa de mi vida tan importante, por apoyarnos en nuestra
formacin profesional.
Agradezco a la Universidad Nacional Abierta y a Distancia, Especializacin en
Seguridad Informtica por permitirme desarrollar los conocimientos necesarios
para desplegar la capacidad de disear, analizar, implementar, planificar y
administrar un sistema de gestin de la seguridad informtica, conforme a su
infraestructura organizacional.
Expreso mis agradecimientos al ingeniero Francisco Solarte Solarte, Director
del proyecto de grado, por su respaldo y orientacin en la realizacin de la
auditora y diseo del sistema de gestin de la seguridad informtica, tambin
reitero mis agradecimientos al Comit trabajos de grado, al ingeniero Jos
Miguel Herrn Suarez, a los jurados del proyecto Eleonora Palta y Ramss
Ros Lampariello como a todos sus colaboradores que hicieron sus aportes de
conocimiento y tiempo en el desarrollo del proyecto de grado.
Alexnder Guzmn Garca
Abril de 2015
AGRADECIMIENTOS
En primer lugar quiero reconocer y agradecer a todas aquellas personas, que
durante mi vida me han brindado todo su conocimiento y apoyo, en los salones
de clase y fuera de ellos, para que pueda cumplir con cada una de mis metas y
estar en el lugar que estoy, si ellos esto no pudiese ser posible.
A Dios por permitirme tener la sabidura y entendimiento para tomar el mejor
camino para direccionar mi vida.
A mi esposa Silvia Marcela Oyuela Cano, quien da a da debe soportar largos
momentos de ausencia, para yo poder cumplir con compromisos como mi
educacin.
A mi hijo Juan David Taborda Palacio, por comprender cuando est a mi lado,
que todo el tiempo no se lo puedo dedicar a l, y a su vez entender que todo
este esfuerzo es por ambos.
A mis padres Rosalba Bedoya y Rafael Taborda (fallecido), que siempre me
llenaron de valores, que me permitieran ser una persona con principios y con
objetivos claros en la vida.
A mis hermanos y hermanas, que con su apoyo y cario, han logrado que me
comprometa a ser ejemplo para todos y ser inspiracin de nuestras siguientes
generaciones.
Abril de 2015
A mis dems familiares y amigos, porque siempre han estado cuando los he
necesitado.
A mi compaero de cursos y de trabajo de grado Alexander Guzmn Garca,
que con su esfuerzo y compromiso en cada tarea que nos trazamos, hemos
logrado realizar y culminar actividades de calidad para cumplir con lo solicitado
en cada una de ellas.
Al ingeniero Francisco Solarte Solarte, que con su experiencia, conocimiento, y
dedicacin nos ha brindado la mejor de las asesoras para realizar un trabajo
enmarcado en las normas y directrices requeridas para su presentacin.
Por ultimo a la UNAD, que con el programa de Especializacin en Seguridad
Informtica, me permite lograr un objetivo ms en mi etapa cognitiva, y a todos
los docentes de la especializacin que me impartieron sus experiencias y
saberes para apropiarme de ellos.
Abril de 2015
TABLA DE CONTENIDO
Cartas de aceptacin .......................................................................................... 3

Dedicatoria .......................................................................................................... 6
Agradecimientos ................................................................................................. 9
Tabla de Contenido........................................................................................... 13
Listas Especiales .............................................................................................. 17
ndice de tablas ............................................................................................. 17
ndice de figuras ............................................................................................ 19
ndice de ilustraciones ................................................................................... 19
Glosario ............................................................................................................ 25
Resumen .......................................................................................................... 28
Palabras claves ............................................................................................. 28
Abstract ............................................................................................................. 29
Keywords ....................................................................................................... 29
1. Introduccin ................................................................................................ 30
2. Planteamiento del problema ....................................................................... 31
2.1. Descripcin del problema .................................................................... 31
2.2. Formulacin del problema ................................................................... 32
3. Alcance y delimitacin del proyecto ........................................................... 33
4. Justificacin del Proyecto ........................................................................... 34
5. Objetivos .................................................................................................... 36
5.1. Objetivo General .................................................................................. 36
5.2. Objetivos Especficos........................................................................... 36
6. Marco Referencial ...................................................................................... 37
6.1. Antecedentes ....................................................................................... 37
6.2. Marco contextual ................................................................................. 39
6.3. Marco Terico ...................................................................................... 40
6.3.1. Vulnerabilidad informtica ............................................................. 40
6.3.2. Amenazas informticas ................................................................. 42
Abril de 2015
6.3.3. Riesgos informticos ..................................................................... 45
6.3.4. Seguridad informtica ................................................................... 47
6.3.5. Seguridad de la informacin .......................................................... 48
6.3.6. SGSI.............................................................................................. 49
6.3.7. Norma ISO 27001 ......................................................................... 50
6.3.8. Norma ISO 27002:2013 ................................................................ 54
6.3.9. Anlisis de riesgos informticos .................................................... 64
6.3.10. Control de Gestin ..................................................................... 64
6.3.11. Mapa Estratgico ....................................................................... 65
6.3.12. Ciberdelincuentes ...................................................................... 65
6.3.13. Auditora..................................................................................... 66
6.3.14. Auditora informtica .................................................................. 69
6.3.15. Ciclo PHVA ................................................................................ 71
6.3.16. Pasos a seguir para desarrollar la auditora............................... 73
6.4. Marco Conceptual ................................................................................ 75
6.4.1. Seguridad ...................................................................................... 75
6.4.2. Estndares de seguridad .............................................................. 75
6.4.3. Modelo de seguridad ..................................................................... 75
6.4.4. Pymes ........................................................................................... 75
6.4.5. Norma ISO 27000 ......................................................................... 76
6.4.6. Norma ISO 27001 ......................................................................... 76
6.4.7. Norma ISO 27002 ......................................................................... 77
6.4.8. Norma ISO 27005 ......................................................................... 77
6.4.9. Escalas de medicin ..................................................................... 77
6.4.10. Concepto de vulnerabilidad........................................................ 77
6.4.11. Concepto de amenaza ............................................................... 77
6.4.12. Concepto de riesgo .................................................................... 78
6.4.13. Escala de medicin probabilidad ............................................... 78
6.4.14. Escala de medicin de impacto ................................................. 78
6.4.15. Hallazgo ..................................................................................... 78
Abril de 2015
6.4.16. Concepto de control ................................................................... 78
6.4.17. Concepto de poltica .................................................................. 79
6.4.18. Concepto de procedimiento ....................................................... 79
6.5. Marco Legal ......................................................................................... 80
7. Diseo Metodolgico .................................................................................. 82
7.1. Lnea y Tipo de Investigacin .............................................................. 82
7.2. Diseo de la Investigacin ................................................................... 83
7.3. Instrumentos de Recoleccin de Informacin ...................................... 83
7.4. Poblacin y Muestra (Universo) ........................................................... 83
7.5. Fases Metodolgicas o Metodologa de la Investigacin ..................... 84
8. Nombre de las personas que participaran en el Proceso ........................... 86
9. Desarrollo de la auditora ........................................................................... 87
9.1. Plan de auditora .................................................................................. 87
9.1.1. Objetivo de la auditora ................................................................. 87
9.1.2. Alcance de la auditora .................................................................. 87
9.1.3. Metodologa para desarrollo de la auditora .................................. 87
9.2. Programa de auditora ......................................................................... 87
9.2.1. Estndares ISO ............................................................................. 87
9.3. Etapas de la auditora - etapa de conocimiento de las empresas........ 91
9.3.1. Informe director Guille Sport: ........................................................ 91
9.3.1.6. Infraestructura informtica Guille Sport ...................................... 94
9.3.2. Informe director Color Shop: ....................................................... 102
10. Tcnicas de trabajo Diseo de los instrumentos ................................ 113
10.1. Diseo de la encuesta de auditora para las Pymes .......................... 113
10.2. Anlisis de la informacin recolectada ............................................... 150
10.2.1. Anlisis de resultados Guille Sport .......................................... 150
10.2.2. Anlisis de resultados Color Shop ........................................... 161
10.3. Investigacin de la informacin recolectada ...................................... 172
10.3.1. Nivel Aceptable o que se debe monitorear de Guille Sport ...... 178
10.3.2. Nivel de Investigacin o que se requiere la posibilidad de un
tratamientode Guille Sport ........................................................................ 178
Abril de 2015
10.3.3. Nivel de Controles inmediatos o de mitigacin de Guille Sport 178
10.3.4. Nivel Aceptable o que se debe monitorear de Color Shop ...... 183
tratamiento de Color Shop ....................................................................... 183
10.3.6. Nivel de Controles inmediatos o de mitigacin de Color Shop. 183
11. Resultados de la auditora .................................................................... 202
11.1. Resultados por Pyme......................................................................... 202
11.2. Resultados comparativos en la aplicacin de la auditora ................. 247
12. Diseo de un sistema de gestin de la seguridad informtica SGSI .. 255
12.1. Objetivo del SGSI .............................................................................. 255
12.2. Alcance del SGSI ............................................................................... 255
12.3. Dominios evaluados y procesos seleccionados ................................. 255
12.4. Declaracin de aplicabilidad .............................................................. 258
12.5. Poltica de seguridad de la informacin ............................................. 266
12.6. Procedimientos propuestos para mitigar los riesgos ......................... 270
12.6.1. Procedimiento de control de documentos ................................ 270
12.6.2. Procedimiento de control de registros ...................................... 272
12.6.3. Procedimiento de auditora interna .......................................... 274
12.6.4. Procedimiento de accin correctiva ......................................... 278
12.6.5. Procedimiento de accin preventiva ........................................ 280
12.6.6. Procedimiento de gestin de incidentes................................... 282
13. Conclusiones......................................................................................... 284
14. Referencias Bibliogrficas e Infografa.................................................. 286
15. Anexos .................................................................................................. 293
15.1. Carta de aceptacin de Guille Sport .................................................. 293
15.1.1. Anexos de auditora Guille Sport ............................................. 294
15.1.2. Anexos de Checklist Guille Sport ............................................. 297
15.2. Carta de aceptacin de Color Shop ................................................... 303
15.2.1. Anexos de auditora Color Shop .............................................. 304
15.2.2. Anexos Checklist Color Shop................................................... 308
Abril de 2015
LISTAS ESPECIALES
ndice de tablas
Tabla 1 Cuadro comparativo auditora interna y externa .................................. 68

Tabla 2 Categoras Empresarial ....................................................................... 76
Tabla 3 Responsables del Proyecto ................................................................. 86
Tabla 4 Dominios y procesos seleccionados ................................................... 88
Tabla 5 Inventario de activos Guille Sport ........................................................ 92
Tabla 6 Valoracin para activos Guille Sport .................................................... 95
Tabla 7 Criterio de valoracin de activos Guille Sport ...................................... 95
Tabla 8 Dimensiones de los riesgos Guille Sport.............................................. 96
Tabla 9 Dimensiones de valoracin del impacto Guille Sport ........................... 97
Tabla 10 Amenazas Guille Sport ...................................................................... 98
Tabla 11 Escala de valoracin de rango porcentual de impacto en los activos
Guille Sport ....................................................................................................... 99
Tabla 12 Escala de rango de frecuencia de amenazas Guille Sport................. 99
Tabla 13 Valoracin de las amenazas Guille Sport ........................................ 100
Tabla 14 Inventario de activos Color Shop ..................................................... 103
Tabla 15 Valoracin para activos Color Shop ................................................. 106
Tabla 16 Criterio de Valoracin de activos Color Shop................................... 106
Tabla 17 Dimensiones de los riesgos Color Shop .......................................... 107
Tabla 18 Dimensiones de valoracin del impacto Color Shop ........................ 109
Tabla 19 Amenazas Color Shop ..................................................................... 109
Color Shop ...................................................................................................... 110
Tabla 21 Escala de rango de frecuencia de amenazas Color Shop ............... 111
Tabla 22 Valoracin de las amenazas Color Shop ......................................... 111
Tabla 23 Auditora de evaluacin de la seguridad de la informacin Anexo 1 114
Abril de 2015
Tabla 32 Auditora de evaluacin de la seguridad de la informacin Anexo 10
........................................................................................................................ 142
........................................................................................................................ 144
........................................................................................................................ 145
........................................................................................................................ 147
Tabla 36 Descripcin de las posibles vulnerabilidades, amenazas y riesgos
Guille Sport ..................................................................................................... 150
Tabla 37 Descripcin de las posibles vulnerabilidades, amenazas y riesgos
Color Shop ...................................................................................................... 161
Tabla 38 Probabilidad de ocurrencia .............................................................. 172
Tabla 39 Valoracin de impacto...................................................................... 172
Tabla 40 Probabilidad de Ocurrencia Guille Sport .......................................... 173
Tabla 41 Valoracin del riesgo Guille Sport .................................................... 175
Tabla 42 Matriz clasificacin de riesgo Guille Sport........................................ 177
Tabla 43 Probabilidad de Ocurrencia Color Shop ........................................... 179
Tabla 44 Valoracin del riesgo Color Shop ..................................................... 181
Tabla 45. Matriz clasificacin de riesgo Color Shop ....................................... 183
Tabla 46 Cuestionario de control Anexo 1 ...................................................... 184
Abril de 2015
Tabla 55 Cuestionario de control Anexo 10 .................................................... 197
Tabla 59 Hallazgos Guille Sport...................................................................... 209
Tabla 60 Hallazgos Color Shop ...................................................................... 230
Tabla 61 Tabla comparativa entre las empresas ............................................ 253
Tabla 62 Dominios y procesos seleccionados ................................................ 255
Tabla 63 Declaracin de aplicabilidad con los controles propuestos .............. 258
Tabla 64 Cronograma ..................................................................................... 275
ndice de figuras
Figura 1 Organigrama Guille Sport .................................................................. 91

Figura 2 Organigrama Color Shop ................................................................. 102
ndice de ilustraciones
Ilustracin 1 Actividades ciclo PHVA ................................................................ 71

Ilustracin 2 Zona Corte Guille Sport ................................................................ 93
Ilustracin 3 Zona confeccin Guille Sport ........................................................ 93
Ilustracin 4 Mquina estampado Guille Sport.................................................. 94
Ilustracin 5 Equipo PC Guille Sport ................................................................. 94
Ilustracin 6 Zona Produccin Color Shop ...................................................... 104
Ilustracin 7 Zona Produccin 2 Color Shop ................................................... 104
Abril de 2015
Ilustracin 8 Equipo PC Color Shop................................................................ 105
Ilustracin 9 Poltica de seguridad de la informacin Guille Sport .................. 154
Ilustracin 10 Aspectos organizativos de la seguridad de la informacin Guille
Sport ............................................................................................................... 154
Ilustracin 11 Seguridad ligada a los recursos humanos Guille Sport ............ 155
Ilustracin 12 Gestin de activos Guille Sport ................................................ 155
Ilustracin 13 Control de acceso Guille Sport ................................................. 156
Ilustracin 14 Cifrado Guille Sport .................................................................. 156
Ilustracin 15 Seguridad fsica y del entorno Guille Sport............................... 157
Ilustracin 16 Seguridad en la operativa Guille Sport ..................................... 157
Ilustracin 17 Seguridad en las telecomunicaciones Guille Sport ................... 158
Ilustracin 18 Gestin de incidentes en la seguridad de la informacin Guille
Sport ............................................................................................................... 158
Ilustracin 19 Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin Guille Sport .................................................................................. 159
Ilustracin 20 Aspectos de seguridad de la informacin en la gestin de la
continuidad del negocio Guille Sport............................................................... 159
Ilustracin 21 Cumplimiento Guille Sport ........................................................ 160
Ilustracin 22 Poltica de seguridad de la informacin Color Shop ................. 165
Ilustracin 23 Aspectos organizativos de la seguridad de la informacin Color
Shop ............................................................................................................... 165
Ilustracin 24 Seguridad ligada a los recursos humanos Color Shop ............. 166
Ilustracin 25 Gestin de activos Color Shop ................................................. 166
Ilustracin 26 Control de acceso Color Shop .................................................. 167
Ilustracin 27 Cifrado Color Shop ................................................................... 167
Ilustracin 28 Seguridad fsica y del entorno Color Shop ............................... 168
Ilustracin 29 Seguridad en la operativa Color Shop ...................................... 168
Ilustracin 30 Seguridad en las telecomunicaciones Color Shop.................... 169
Ilustracin 31 Gestin de incidentes en la seguridad de la informacin Color
Shop ............................................................................................................... 169
informacin Color Shop .................................................................................. 170
Abril de 2015
continuidad del negocio Color Shop ............................................................... 170
Ilustracin 34 Cumplimiento Color Shop ......................................................... 171
Ilustracin 35 Poltica de seguridad de la informacin Guille Sport ................ 202
Sport ............................................................................................................... 202
Ilustracin 37 Seguridad ligada a los recursos humanos Guille Sport ............ 203
Ilustracin 38 Gestin de activos Guille Sport ................................................ 203
Ilustracin 39 Control de accesos Guille Sport ............................................... 204
Ilustracin 40 Cifrado Guille Sport .................................................................. 204
Ilustracin 41 Seguridad fsica y del entorno Guille Sport............................... 205
Ilustracin 42 Seguridad en la operatividad Guille Sport ................................ 205
Ilustracin 43 Seguridad en las telecomunicaciones Guille Sport ................... 206
Sport ............................................................................................................... 206
informacin Guille Sport .................................................................................. 207
continuidad del negocio Guille Sport............................................................... 207
Ilustracin 47 Cumplimiento Guille Sport ........................................................ 208
Ilustracin 48 Poltica de seguridad de la informacin Color Shop ................. 223
Shop ............................................................................................................... 223
Ilustracin 50 Seguridad ligada a los recursos humanos Color Shop ............. 224
Ilustracin 51 Gestin de activos Color Shop ................................................. 224
Ilustracin 52 Control de acceso Color Shop .................................................. 225
Ilustracin 53 Cifrado Color Shop ................................................................... 225
Ilustracin 54 Seguridad fsica y del entorno Color Shop ............................... 226
Ilustracin 55 Seguridad en la operativa Color Shop ...................................... 226
Ilustracin 56 Seguridad en las telecomunicaciones Color Shop.................... 227
Shop ............................................................................................................... 227
Abril de 2015
informacin Color Shop .................................................................................. 228
continuidad del negocio Color Shop ............................................................... 228
Ilustracin 60 Cumplimiento Color Shop ......................................................... 229
Ilustracin 61 Poltica de seguridad de la informacin .................................... 247
Ilustracin 62 Aspectos organizativos de la seguridad de la informacin ....... 247
Ilustracin 63 Seguridad ligada a los recursos humanos ................................ 248
Ilustracin 64 Gestin de activos .................................................................... 248
Ilustracin 65 Control de acceso ..................................................................... 249
Ilustracin 66 Cifrado ...................................................................................... 249
Ilustracin 67 Seguridad fsica y del entorno .................................................. 250
Ilustracin 68 Seguridad en la operativa ......................................................... 250
Ilustracin 69 Seguridad en las telecomunicaciones ...................................... 251
Ilustracin 70 Gestin de incidentes en la seguridad de la informacin.......... 251
informacin ..................................................................................................... 252
continuidad del negocio .................................................................................. 252
Ilustracin 73 Cumplimiento ............................................................................ 253
Ilustracin 74 Carta aceptacin Guille Sport ................................................... 293
Ilustracin 75 auditora anexo 1 Guille Sport .................................................. 294
Ilustracin 84 auditora anexo 10 Guille Sport ................................................ 296
Abril de 2015
Ilustracin 88 Checklist anexo 1 Guille Sport .................................................. 297
Ilustracin 97 Checklist anexo 10 Guille Sport ................................................ 301
Ilustracin 100 Checklist anexo 13 Guille Sport .............................................. 302
Ilustracin 101 Carta aceptacin Color Shop .................................................. 303
Ilustracin 102 auditora anexo 1 Color Shop ................................................. 304
Ilustracin 111 auditora anexo 10 Color Shop ............................................... 306
Ilustracin 115 Checklist anexo 1 Color Shop ................................................ 308
Abril de 2015
Ilustracin 124 Checklist anexo 10 Color Shop .............................................. 311
Abril de 2015
GLOSARIO
ACTIVIDADES: Conjunto de acciones, las cuales permiten desarrollar y cumplir

una meta, a partir de un programa implementado o metodologa de ejecucin,
poniendo en marcha cada uno de los procesos o tareas asignadas a cada
colaborador.
AMENAZAS INFORMTICAS: Vulnerabilidades que se pueden presentar en

un sistema de informacin, donde una mala configuracin y un mal
funcionamiento del sistema de control pueden denegar o no detectar las
causas potenciales que pueden afectar la infraestructura.
AUDITOR: Es un grupo de personas naturales, jurdicas y/o personas

independientes para evaluar los procesos de una empresa y un rea especfica
a travs de las listas de chequeo y monitoreo continuo.
AUDITORA: Proceso para evaluar cada una de las actividades y metodologas

al interior de una organizacin, empresa, Pymes, etc., realizando una
intervencin de forma crtica, constructiva y sistemtica en pro de la mejora de
los procedimientos al interior del rea examinada.
BASES DE DATOS: Conjunto de datos relacionados entre s, con la misma

estructura para ser utilizados, almacenados e indexados de forma sistemtica
para su posterior consulta estructurada y de acceso rpido.
BITS: Es el acrnimo Binary digit, para determinar el digito que inicia la

numeracin en los sistemas operativos binarios, por consiguiente puede
representar un estado de (0 1).
BUGS: Fallas del sistema o errores del software
CALIDAD: Trmino que proviene del latn, la cual se encuentra asociada a

cada uno de los conceptos o perspectivas de cada necesidad dentro de un
mundo globalizado y puntual, comparando con otro componente.
CHECKLIST: Herramienta de apoyo en la verificacin de cada uno de las

metodologas, actividades y procedimientos que se deben llevar a cabo en el
rea, direccin, departamento u oficina evaluada, con el propsito de realizar
una verificacin objetiva sobre cada proceso.
CONFIDENCIALIDAD INFORMTICA: Medidas y herramientas que permiten

a los sistemas de informacin, evitar el acceso de personas no autorizadas,
con el fin de custodiar la informacin contenida en sus bases de datos.
Abril de 2015
DATOS: Representacin metodolgica de un conjunto de atributos, sucesos,
hechos y variables para ser procesada, y as obtener la informacin requerida o
solicitada conforme a las necesidades.
DIAGRAMA: (Del latn diagrama, diseo). Los diagramas son la representacin

de datos a travs de una imagen, donde se muestra las relaciones existentes
del sistema.
DISPONIBILIDAD INFORMTICA: La disponibilidad informticas es la tcnica

para que los sistemas de informacin se puedan recuperar de fallos
tecnolgicos, con el propsito de mantener el acceso a las funcionalidades en
la gran mayora del tiempo.
ESTNDARES: Criterios, actividades y procesos claros, para establecer

niveles de complejidad en cada uno de los procedimientos a implementar
dentro de una organizacin o empresa puntual.
ESTRUCTURA SGSI: Metodologa para implementar por medio de fases y

pasos definidos como se puede construir un sistema de gestin de la seguridad
de la informtica.
FICHERO INFORMTICO: Est constituido por la agrupacin de bits, los

cuales almacenar informacin en los dispositivos para crear un archivo legible,
por lo tanto cada archivo se identifica conforme a las caractersticas con la cual
fue creado para proporcionar datos o informacin en otros momentos de
tiempo.
GESTIN DE INCIDENTES: Conjunto de procesos con el fin de gestionar cada

uno de los incidentes hallados, para recuperar el sistema y minimizar el
impacto negativo en las empresas.
INTEGRIDAD INFORMTICA: Medidas y herramientas que permiten asegurar

la procedencia de la informacin o datos, los cuales se identifican como datos
seguros por que no se ha producido ninguna modificacin o cambio desde su
emisin y es exactamente igual al dato o informacin original.
ISO/IEC 27000: Estndares de seguridad, informados por la ISO -

Organizacin Internacional para la Estandarizacin y la IEC - Comisin
Electrotcnica Internacional, con el fin de estableces procedimientos claros
frente a las actividades propuestas.
MODELOS INFORMTICOS: Los modelos informticos proveen estrategias de

gestin para el mejoramiento de los procesos, procedimientos y actividades al
interior de una organizacin, promoviendo las soluciones informticas.
Abril de 2015
NORMAS: Conjunto de elementos constituidos por reglas y pautas con el fin de
ser ajustadas a un protocolo o procedimiento establecido por las
organizaciones internacionales que lo rigen, estableciendo un orden de valores
los cuales proporcionan una regulacin entre los diversos comportamientos y
estados que se pueden presentar dentro de una organizacin.
PROCEDIMIENTOS: Segn la definicin de la Real Academia Espaola, el

significado de esta palabra refiere a la accin y efecto de proceder. Este
concepto se define como un mtodo o sistema estructurado para ejecutar
algunas cosas1. Es un conjunto de acciones u operaciones que tienen que
realizarse de la misma forma, para obtener siempre el mismo resultado bajo las
mismas circunstancias2.
PROCESOS: Conjunto de fases sucesivas que se identifican a travs de un

diagrama de flujo, el cual permite la las operaciones lgicas a travs de un
protocolo establecido dentro de una organizacin.
PYMES: Medianas y pequeas empresas que representan cierta cantidad de

trabajadores en un sector especfico, los cuales se encuentran registrados en el
IMSS, desde sus caractersticas con los negocios que proporcionan alguna
actividad econmico dentro de un pas pero que por su condicin y constitucin
son locales pequeos.
RIESGOS: Trmino que proviene del italiano, adoptado de una palabra rabe,
la cual representa el potencial de perjuicios que se pueden presentar en una
organizacin, por la falta de una estrategia de seguridad, asocindose al
peligro o dao de un acontecimiento, a travs de la probabilidad de ocurrencia
dentro de un instante de tiempo.
SGSI: Sistema de gestin de la seguridad informtica.
TI: Tecnologas de la informacin
VULNERABILIDADES INFORMTICAS: Debilidad de un sistema, el cual

permite a un hacker ingresar a un computador violentando la confidencialidad,
integridad, disponibilidad de los datos y aplicaciones3.
1
QUEES.LA. Qu es procedimiento?. [en lnea]. [09 de mayo del 2014]. Disponible en:
http://quees.la/procedimiento/
2
Ibd., p. 1.
3
ALEGSA. Definicin de vulnerabilidad. [en lnea]. [15 de mayo del 2014]. Disponible en:
http://www.alegsa.com.ar/Dic/vulnerabilidad.php
Abril de 2015
RESUMEN
La presente investigacin, desarrollara un sistema de gestin de la seguridad

informtica (SGSI) para empresas del sector textil de las Pymes en las
ciudades de Medelln, Bogot D.C. he Itag (Colombia): el diseo se elaborar
basados en la norma ISO 27001, la cual provee prcticas apropiadas para el
desarrollo e implementacin de cada uno de sus componentes, estableciendo
las fases, documentacin y procedimientos requeridos y exigidos en el
estndar para continuar con el diseo y ejecucin del SGSI de manera
adecuada.
En consecuencia, se debe realizar un anlisis cualitativo y cuantitativo de los

riesgos, vulnerabilidades y amenazas que se presentan en una Pyme, las
cuales al poseer recursos econmicos limitados para inversiones de este tipo,
no pueden implementar un sistema de seguridad robusto, razn por la cual se
debe implementar un mecanismo que satisfaga las necesidades de las
pequeas empresas, en el cual cada uno de los componentes informticos
juega un papel importante para la permanencia en el mercado de stas.
Asimismo, se podr salvaguardar el recurso ms importante de la Pymes

(datos informacin), donde el diseo de un SGSI podr proporcionar una
metodologa sencilla y muy completa para proteger cada uno de los activos
informticos y as establecer procesos de restauracin y mitigacin de riesgos,
tomando las medidas correctivas y preventivas que sean necesarias.
Finalmente, cuando se establece un sistema de seguridad de la informacin, se

logra detallar cada uno de los componentes y elementos que se encuentran
asociados a la Pyme y as tener un mayor control sobre cada uno de los activos
informticos, por consiguiente durante la permanencia en el tiempo, podr
adaptarse a las necesidades de las pequeas empresas, donde el ciclo de
Deming, detalla el proceso de mejora continua proporcionando una
realimentacin constante de cada uno de los procesos.
Palabras claves
SISTEMA DE GESTIN DE LA SEGURIDAD INFORMTICA, ISO 27001,

PYME, VULNERABILIDADES INFORMTICAS, RIESGOS INFORMTICOS,
AMENAZAS INFORMTICAS, CIBERDELINCUENTES, ESTNDARES DE
SEGURIDAD, NORMAS, DISEO.
Abril de 2015
ABSTRACT
The current investigation will development a computer Security Management

system (CSMS) for the companies in the textile sector of the PYMES in the city
of Medelln, Bogota D.C and Itag (Colombia): The design is going to be
based on ISO 27001, which provides appropriate practices for the development
Implementing of every single component, establishing phases, documentation
and all the required procedures and standards exacted to continue with (CSMS)
design and implementation in the right way.
As a result, there should be a more qualitative analysis and quantitative risk

assessment, susceptibility and threats on the posed in an PYME which by
possessing limited financial resources for this type of investments, cannot
implement a safety system robust, for that reason should be implement a
mechanism to fulfill the small enterprises need enterprises, where each
solfwares component plays an important role in order to remain in the market of
them.
Also, Ill safeguard the most important resource of the PYME (Data-
Information) where the design of a (CSMS) will provide simple methodology and
pretty complete to protect each one of software assets and this way develop
process of restoration and mitigation of risks, taking the necessary corrective
and preventive measures needed.
Finally, when establishes a security system information, reaches the detail of

each one of the components and elements that are associated with PYME and
take a greater control about in each one of software assets, Therefore during
the lifetime, it will adapt to the needs of small companies in particular, in which
the Deming cycle, detail the constant improvement process of the system,
providing constant feedback from each of the processes.
Keywords
The safety management software system, ISO 27001, PYME, software

vulnerabilities, IT risks or software risks, informatics threats, cybercriminals,
safety standards, norms and design.
Abril de 2015
30
1. INTRODUCCIN
La seguridad informtica es un mecanismo de control, el cual entre varias

tareas, sirve para identificar cules son los usuarios que pueden hacer uso de
la infraestructura tecnolgica, los recursos informticos, y la informacin de una
organizacin, con el fin de hallar las vulnerabilidades, amenazas y riesgos que
enfrenta una empresa en relacin a los tres aspectos que enmarcan la
seguridad de la informacin, y que hacen referencia a la confidencialidad, la
integridad y la disponibilidad de los sistemas informticos y la informacin.
Actualmente, las empresas manejan una gran cantidad de informacin a travs

de diversos medios electrnicos, fsicos, digitales y magnticos, entre otros,
que pueden ser susceptibles a ser interceptados o vulnerados, si no se posee
un sistema de gestin de la seguridad informtica y de la informacin SGSI que
permite implementar polticas, tcnicas, mtodos, procesos y procedimientos
de control bien definidos que contrarresten esas deficiencias de seguridad.
Es por eso que las empresas y su estructura organizacional, deben definir

reas responsables para la implementacin y cuidado de la informacin que se
almacena diariamente en los servidores o equipos de cmputo, y que permita
evidenciar las vulnerabilidades, amenazas y riesgos de seguridad aplicando
metodologas, pruebas y procedimientos de control que permitan mitigar esos
riesgos.
En este sentido, el proyecto pretende hacer un diagnstico del estado de la

seguridad de la informacin en las Pymes del sector textil de las ciudades de
Medelln, Itag y Bogot, mediante procesos de auditora que permita
identificar las vulnerabilidades, amenazas y riesgos de seguridad informtica y
de la informacin, para proponer un SGSI de la informacin que pueda ser
aplicado en cada una de ellas para mitigar los problemas de seguridad
encontrados.
Para el proceso de auditora se pretende realizar pruebas de seguridad

informtica, haciendo uso de los procesos especializados que permita
identificar aquellos riesgos potenciales que se pueden presentar en los
sistemas de informacin de las Pymes, de esta manera se establecer por
medio de las guas, metodologas y estndares de seguridad las mejores
prcticas para implementar controles de seguridad, siguiendo a travs de la
mejora continua (ciclo PHVA) la retroalimentacin de cada una de sus fases.
Abril de 2015
31
2. PLANTEAMIENTO DEL PROBLEMA
2.1. Descripcin del problema
Al interior de las Pymes y de una manera generalizada, se detecta un alto

grado de perdida y/o alteracin de informacin propia del negocio, que en
muchos casos es vital para el buen funcionamiento de la empresa.
La fuga de informacin se presenta debido a la falta de controles de acceso,

para que los usuarios ingresen solo a los datos que deban acceder, motivo por
el cual los competidores utilizan personal manipulado para sustraer
informacin.
El borrado o destruccin de los datos se da por no contar con polticas para el

manejo de dispositivos de almacenamiento externos, sistemas firewall y
antivirus adecuados y actualizados, restricciones de navegacin en internet y
en general una infraestructura de proteccin acorde a las necesidades de hoy.
El dao a los sistemas hardware y software que interactan con la informacin

de la empresa, se presenta por pensar en una gestin de reparar y no en
mantener los sistemas.
Un problema comn es la falta o inadecuada gestin de la red, presentndose

interceptacin de datos cuando estos son transferidos por la misma este
problema se presenta debido a la mala contratacin de personal de sistemas,
involucrando tcnicos faltos de conocimientos en temas de seguridad en redes
y en sistemas de informacin.
En la actualidad los sistemas informticos se han convertido en uno de los

activos ms importantes para almacenar los datos relevantes de las empresas,
Pymes y/u organizaciones, por lo tanto con las dinmicas y medios de
almacenamiento para salvaguardar la informacin; se implementan mtodos de
seguridad para proteger cada uno de los datos confidenciales. Donde para
algunas Pymes y/o empresas pequeas se detecta un alto grado de prdida,
fuga y/o alteracin de informacin computacional, debido a que los sistemas de
cmputo no poseen protocolos y medidas de seguridad apropiadas para
detectar a tiempo algunas vulnerabilidades, amenazas o riesgos informticos
que afectan la integridad, confidencialidad y disponibilidad de los datos.
Abril de 2015
32
Sin embargo proteger la informacin se ha convertido en uno de los aspectos

ms relevantes en los procesos para mitigar el riesgo informtico, el cual es un
suceso o acontecimiento relacionado con las condiciones cambiantes del
ambiente por una serie de circunstancias que afectan los bienes o servicios
informticos, como equipos informticos, perifricos, instalaciones, software,
redes, etc.
Asimismo se tiene las vulnerabilidades informticas, que son las debilidades de

los sistemas, en el cual los atacantes como hackers pueden manipular la
disponibilidad, integridad, confidencialidad y acceso a toda la informacin que
se almacena en los equipos de cmputo, los cuales se pueden presentar como
bugs o fallas de la arquitectura en el diseo de un sistema informtico.
En consecuencia se puede encontrar las amenazas informticas, las cuales

son la eventualidad de que una accin puede producir un dao sobre los
elementos perifricos de un sistema, causados por cdigos maliciosos o
desconocimiento humano de los diferentes ataques informticos, como lo es la
ingeniera social, entre otros tipos de amenazas permitiendo el acceso de
hackers; dichas amenazas se pueden presentar de manera interna o externa.
Por consiguiente las amenazas, riesgos y vulnerabilidades informticas,

generan grandes costos y daos en los equipos de cmputo en su hardware y
software para restablecer los sistemas de informacin, debido a que las Pymes
no invierten en el capital humano para prevenir la perdida de informacin
confidencial, por lo tanto se debe garantizar un flujo de proteccin de datos a
travs del diseo de un SGSI (Sistema de Gestin de la Seguridad Informtica)
que permita mejorar la seguridad informtica en cuanto a las vulnerabilidades,
amenazas y riesgos detectados por medio de la auditora para controlar cada
uno de los acontecimientos probables.
2.2. Formulacin del problema
Cmo el diagnstico de la seguridad de la informacin mediante procesos de

auditora permitir mejorar la seguridad informtica y la proteccin de la
informacin en las Pymes del sector textil en la ciudad Medelln, Itag y
Bogot?
Abril de 2015
33
3. ALCANCE Y DELIMITACIN DEL PROYECTO
Este proyecto abarca el diseo de un sistema de gestin de la seguridad

informtica (SGSI) para las Pymes del sector textil en Medelln, Itag y
Bogot, con el propsito de encaminar las buenas prcticas que proporciona la
auditora, la norma ISO 27000, ms concretamente en los estndares ISO/IEC
27001, ISO/IEC 27002 y ISO/IEC 27005.
El diseo de un SGSI para las Pymes, se realizar basados en el uso de

tcnicas de auditora con la aplicacin de instrumentos de recoleccin de
informacin en la ciudad de Bogot D.C. y el municipio de Itag frente a las
vulnerabilidades, amenazas y riesgos existentes en la seguridad de los activos
y la informacin.
Con estas tcnicas se pretende evaluar en las Pymes, la implementacin

existente de infraestructura fsica y lgica destinada a la proteccin de los
activos de informacin, de los recursos humanos, de la infraestructura fsica de
la compaa, del ambiente, de la transferencia de informacin, de las polticas
de seguridad de la informacin, de los mtodos de contratacin para los
sistemas informticos, y del cumplimiento de la normativa para el
aseguramiento, control y mantenimiento de los sistemas.
Asimismo el proyecto se desarrollar en el segundo semestre del ao 2014 y el

primer semestre del ao 2015.
Abril de 2015
34
4. JUSTIFICACIN DEL PROYECTO
La seguridad informtica es un aspecto importante dentro de las

organizaciones y en las Pymes para tener en cuenta, ya que a partir de los
procesos y procedimientos especializados se logra salvaguardar los datos a
travs de un Sistema de Gestin de la Seguridad Informtica (SGSI), el cual
permite mantener protegido los registros confidenciales de manera eficiente,
gestionando un mecanismo que mantenga la confidencialidad, integridad y
disponibilidad de la informacin dentro de los parmetros de seguridad que
permite la ley, con el fin de lograr la permanencia en el tiempo y en un mundo
globalizado y competitivo.
Las Pymes representan un porcentaje alto en el aporte al sistema econmico

de Colombia, por ende estas empresas aportan al crecimiento econmico por
su emprendimiento y desarrollo; abriendo puertas a diversas oportunidades,
exportando nuevos productos, implementando tecnologa, generando nuevos
conocimientos y avances en diferentes entornos, para el progreso de la
sociedad.
Por lo tanto, como son sociedades que estn iniciando en sus procesos
productivos y asentamiento, no conocen o no suelen invertir mucho sobre los
temas de seguridad para sus sistemas de informacin, dejando vulnerable sus
datos y sus procesos, sin tener en cuenta la importancia que es proteger la
informacin de los equipos de cmputo.
De all que algunas Pymes presenten falencias en su modelo informtico y la

forma como disponen la informacin a los usuarios, generando perdida de
informacin, accesos no autorizados a datos confidenciales y alteracin de
informacin, por consiguiente se ve necesario un diseo de un SGSI, el cual
tendran la oportunidad de adoptar procesos basados en metodologas, normas
y estndares internacionales de seguridad que les permitan mejorar la forma
como se almacena, protege y dispone los datos dentro de las Pymes, lo cual
implementa una barrera de proteccin ante los posibles ataques informticos,
mitigando las vulnerabilidades, amenazas y riesgos asociados al
desconocimiento de metodologas robustas para no caer en una mala
administracin de los sistemas de informacin y canales de comunicacin que
se derivan en prdidas importantes de informacin o re-procesos constantes.
Abril de 2015
35
Para tal efecto el diseo de un SGSI permite y proporciona ventajas claras

sobre las necesidades en diferentes entornos, que a su vez reflejan un
beneficio para las Pymes, por lo cual dichas ventajas pueden ser:
Cambiar de una posicin reactiva a una preventiva y proactiva

ante la seguridad de la informacin.
Disponer de verdaderas polticas y objetivos para darle
tratamiento a la seguridad de la informacin en la empresa.
Asignacin real y formal de responsabilidades y funciones al
personal involucrado en la seguridad.
Se adecua la gestin de la seguridad, acorde a los riesgos
presentes para la actividad.
Permite aplicar los controles adecuados.
Permite optimizar costos vinculados a la bsqueda constante de
la seguridad.
Salir al paso de los delincuentes y poder estar blindados ante sus
actividades delictivas.
Permite una mayor confianza de los clientes
Tener una estructura estandarizada y aplicada de acuerdo a
normas internacionales.
Como resultado el beneficio que trae el diseo de un SGSI, permitir la

implementacin de elementos bsicos para la seguridad informtica en la
Pymes del sector textil de Medelln, Itag y Bogot D.C., generando confianza
entre los usuarios internos y externos que sitan la oportunidad de ofrecer un
mejor producto, un mejor servicio, una mejor cobertura, unos mejores precios,
etc., permitiendo ser ms competitivos en el mercado, adems de mantener
protegido los datos del negocio, sus clientes, empleados y empleadores,
proyectando y manteniendo una imagen en la cual ofrece garantas por que se
compromete con ellos y con su informacin.
Abril de 2015
36
5. OBJETIVOS
5.1. Objetivo General
Disear un SGSI que mejore la seguridad informtica y la proteccin de la

informacin, basados en procesos de auditora que permitan hacer un
diagnstico de la situacin actual que enfrentan las Pymes del sector textil en
Medelln, Itag y Bogot D.C.
5.2. Objetivos Especficos.
Recolectar informacin sobre las vulnerabilidades, amenazas y riesgos

en la seguridad informtica y de la informacin que permitan conocer
el estado actual de la seguridad en las Pymes del sector textil en
Medelln, Itag y Bogot D.C.
Disear instrumentos de recoleccin de informacin y un plan de

pruebas que permitan hacer un diagnstico de la seguridad de la
informacin en las empresas del sector textil de Medelln, Itag y
Bogot D.C.
Ejecutar las pruebas y aplicar los instrumentos diseados para

evidenciar la existencia de las vulnerabilidades, amenazas y fallas
existentes tratando de buscar las posibles causas que los originan.
Establecer controles, planes de mejoramiento y disear el SGSI que

permita mitigar las causas que originan los riesgos de seguridad que
se presentan en las Pymes de Bogot e Itag
Abril de 2015
37
6. MARCO REFERENCIAL
6.1. Antecedentes
Para enfocar la investigacin sobre el diseo de un sistema de gestin de la

seguridad informtica, se tomaron los siguientes proyectos a nivel nacional e
internacional, con el propsito de identificar los avances y los hallazgos
encontrados:
En primer lugar se tiene, en febrero de 2013 fue presentado en la

Facultad de Ingenieras de la Universidad Tecnolgica de Pereira, el
trabajo especial de grado: Diseo del sistema de gestin de seguridad
de la informacin para el grupo empresarial La Ofrenda, por Aguirre
Cardona Juan David y Aristizabal Betancourt Catalina, como requisito
para optar el ttulo de Ingenieros de Sistemas y Computacin.
La investigacin trata de disear un SGSI para el grupo empresarial la

ofrenda, y busca generar una herramienta que le permita a esta
mejorar los niveles de seguridad de sus activos de informacin y
posteriormente lograr la certificacin correspondiente a la seguridad
de la informacin.
Este trabajo aporta experiencias en el diseo de un SGSI para el

proyecto que se est realizando, con elementos funcionales que
permiten tener un mejor panorama acerca de este tipo de
investigacin.
Igualmente en 2013 en su mes de febrero, es presentado en la

Facultad de Ciencias e Ingeniera de la Pontificia Universidad Catlica
del Per, el trabajo de grado: Diseo de un sistema de gestin de
seguridad de informacin para un instituto educativo, por Aliaga
Flores Luis Carlos, como requisito para optar el ttulo de Ingeniero
Informtico. El proyecto presenta el diseo de un SGSI, que permita
gestionar la seguridad de los activos de informacin que intervienen
en diferentes procesos en las instituciones educativas de nivel
superior.
Abril de 2015
38
Este proyecto sirve como gua para evidenciar la manera de afrontar

las diferentes etapas del diseo de un SGSI, las tcnicas utilizadas
para la identificacin de vulnerabilidades y riesgos, y la manera de
definir controles a los diferentes hallazgos.
En diciembre de 2009, es presentado en la Universidad Politcnica

Salesiana de Ecuador en la Facultad de Ingenieras, el proyecto como
trabajo de grado: Planeacin y Diseo de un Sistema de Gestin de
Seguridad de la informacin, basado en la norma ISO/IEC 27001 -
27002, por Buenao Quintana Jos Luis y Granda Luces Marcelo
Alfonso, para optar al ttulo de Ingenieros de Sistemas.
Dicho proyecto enmarca el diseo de un SGSI, basndose en la

norma ISO 27000, en sus estndares 27001 y 27002, y enfocndolo a
las necesidades directas de la misma Universidad en la que
estudiaban, describen todas las etapas realizadas desde la necesidad
puntual de tener un sistema que mejore la seguridad de la
informacin, hasta los controles aplicables a los riesgos y
vulnerabilidades hallados.
Es un aporte que permite indagar y adentrarse en el manejo y la

aplicabilidad de la norma ISO 27001 y 27002, como base del diseo
de un SGSI, con todas sus recomendaciones y buenas prcticas, para
obtener a travs de los anlisis, el ms adecuado resultado con
informacin de los riesgos encontrados y los controles que se pueden
aplicar a estos.
Abril de 2015
39
6.2. Marco contextual
Las Pymes que se enfocan en procesos textiles como confecciones,

estn muy sectorizadas en la ciudad de Bogot y el municipio de
Itag, estas empresas se dedican al diseo, corte y fabricacin de
prendas de vestir masculinas y femeninas, con una alta gama de
artculos que permiten cubrir las necesidades del mercado local, e
incluso de algunos pases de la regin y de otros continentes.
En el aspecto tecnolgico, es muy generalizado el manejo de equipos

de cmputo para actividades de diseo, administracin de informacin
del personal, calidad, contabilidad y la informacin correspondiente a
clientes y proveedores.
Es notable la ausencia de tecnologas o infraestructura que permita

tener copias de seguridad o equipos destinados para mantener la
informacin resguardada de una forma ms segura, tampoco se
manejan sistemas de contingencia contra cadas de energa, o
desastres naturales.
Algunas cuentan con servicios informticos contratados con personal

poco apto en conocimientos informticos seguros y profesionales, los
cuales no cuentan con los procedimientos adecuados para el manejo
apropiado de la informacin y los sistemas.
Abril de 2015
40
6.3. Marco Terico
En la actualidad la informacin se ha convertido en el activo ms valioso de las

empresas, es por esto que las empresas deben implementar estrategias, no
solo a nivel lgico, como la proteccin de las bases de datos y archivos de
gestin, si no que se debe complementar con la contratacin de personal
calificado, con alto grado de pertenencia institucional y tica profesional.
6.3.1. Vulnerabilidad informtica
Son las posibilidades del mismo ambiente, en el cual las caractersticas

propician y se vuelve susceptible a una potencial amenaza, por lo tanto se
puede considerar como la capacidad de reaccionar ante la presencia de una
amenaza o un dao.
Se es vulnerable a cualquier evento, sin importar su naturaleza, sea esta

interna o externa, pero aplicando los controles adecuados es posible minimizar
las posibilidades de que estas se materialicen, por lo tanto los tipos de
vulnerabilidades son:
6.3.1.1. Vulnerabilidad Fsica
Es la vulnerabilidad del entorno fsico del sistema de informacin, equipos de

cmputo y servidores, debido a que algn hacker ha violentado el acceso a la
informacin de manera persuasiva para robar, modificar o eliminar informacin
confidencial.
6.3.1.2. Vulnerabilidad Natural
Las vulnerabilidades naturales, son las ocasionadas por los desastres o

eventos fortuitos en el medio ambiente, el cual ocasiona daos en los sistemas
de cmputo por medio de los picos elctricos, inundaciones, terremotos,
temperatura alta y todos aquellos desastres naturales que son ocasionados por
las variaciones atmosfricas y rozamiento de las placas tectnicas.
Abril de 2015
41
6.3.1.3. Vulnerabilidad del Hardware y del software
6.3.1.3.1. Hardware
Las vulnerabilidades de hardware, hace referencia a las probabilidades de que

las piezas fsicas y/o dispositivos presenten fallas por descuido, mal uso o por
que se ha dejado desprotegido los equipos de cmputo sin la seguridad
adecuada para su manipulacin.
6.3.1.3.2. Software
Las vulnerabilidades de software son conocidas como bugs del sistema o

errores del software, el cual permite acceder a la funcionalidad y aplicacin sin
mayor esfuerzo por parte del hacker, ya que conoce el cdigo fuente, tiene un
mal diseo el software, o ha encontrado una puerta trasera para adherirse y
conseguir informacin.
6.3.1.4. Vulnerabilidad de los Medios o Dispositivos
Las vulnerabilidades de los dispositivos y medios, son los daos, robos y

descuidos humanos que permiten a terceras personas apoderarse de los
discos duros, impresoras, equipos de cmputo, memorias USB y dems
medios extrables que no posean un medio de seguridad adecuado.
6.3.1.5. Vulnerabilidad de las Comunicaciones
Las vulnerabilidades de comunicacin se encuentran asociadas a las redes y

tipologas de conexin a travs de diferentes puntos de red, esto quiere decir
que si no se posee un mtodo o herramienta que monitoree el trfico de
paquetes de datos por internet, los datos pueden ser capturados mientras el
mensaje viaja por el internet.
Abril de 2015
42
6.3.1.6. Vulnerabilidad Humana
Las vulnerabilidades humanas radican en la falta de conocimiento sobre los

mtodos para proteger los datos y el acceso completo a las configuraciones del
sistema informtico, sin tener las restricciones adecuadas para identificar por
medio de roles y usuarios el acceso conforme a la auditora de cambio en el
sistema de cmputo.
6.3.1.7 Vulnerabilidad Econmica
Las vulnerabilidades econmicas se enmarcan en la falta de recursos

econmicos, que permitan la adecuada inversin en sistemas, metodologas y
dems elementos fsicos y lgicos, para garantizar que los activos de
informacin puedan protegerse de la mejor manera posible.
6.3.2. Amenazas informticas
Es la posibilidad de que algn tipo de evento se pueda presentar en cualquier

instante de tiempo, en el cual existe un dao material o inmaterial, sobre los
sistemas de informacin, por lo tanto se puede clasificar en:
Amenaza criminal: son aquellas acciones en las que intervienen seres

humanos violando las normas y las leyes.
Sucesos de origen fsico: son los eventos naturales que se pueden
presentar, o aquellos eventos en los que el ser humano propicia las
condiciones para determinar un hecho fsico.
Negligencia: son las omisiones, decisiones o acciones que pueden
presentar algunas personas por desconocimiento, falta de
capacitacin y/o abuso de autoridad porque tienen influencia sobre los
sistemas de informacin, algunos porque no tienen tica para el
desarrollo de la profesin.
Las amenazas a los sistemas de informacin estn latentes cada que se

interacta con los mismos, desde la utilizacin de dispositivos de
almacenamiento externos, hasta el ingreso a sitios web, o la inconformidad de
empleados insatisfechos dentro de la misma compaa, por lo tanto los tipos de
amenazas segn el efecto causado en el sistema:
Abril de 2015
43
6.3.2.1. Intercepcin
Es cuando un hacker o grupo de personas, logran ingresar a los sistemas de

informacin sin autorizacin para escuchar, visualizar y copiar archivos
confidenciales de las empresas, organizaciones y/o Pymes.
6.3.2.2. Modificacin
Es cuando un hacker o grupo de personas, han logrado ingresar al sistema de

informacin y adems pueden modificar los archivos y/o lneas de cdigo del
software para ocasionar perdida de informacin, mal funcionamiento de los
equipos de cmputo o programar cambios en los contenidos de las bases de
datos.
6.3.2.3. Interrupcin
La interrupcin se da cuando los sistemas de informacin son saturados por

medio de inyeccin SQL, cdigo malicioso, virus, troyanos, gusanos y todas las
aplicaciones que pueden ocasionar entorpecimiento en el sistema de
informacin para un mal funcionamiento.
6.3.2.4. Generacin
La generacin de amenazas se da cuando se aade informacin en las bases

de datos, registros y programas confidenciales, ocasionando daos internos y
externos en los equipos de cmputo y prestacin del servicio, ya que introduce
mensajes no autorizados en cada uno de los comandos, registros y datos
requeridos para un buen funcionamiento.
Por otro lado se tiene las amenazas segn el punto de vista:
6.3.2.5. Amenazas Involuntarias
Las amenazas involuntarias son aquellas que se producen por

desconocimiento sobre las medidas de seguridad mnimas que se deben tener
al manipular cualquier tipo de informacin, asimismo los casos ms comunes
se encuentran en la eliminacin de archivos bsicos del sistema sin darse
Abril de 2015
44
cuenta, dejar la contrasea de acceso en lugares visibles o simplemente no

bloquean el equipo cuando salen de la oficina o se desplazan a otro lugar por
alguna razn.
6.3.2.6. Amenazas Naturales o Fsicas
Las amenazas naturales son aquellas que se producen por los efectos
naturales y cambios ambientales en el entorno, ocasionando un desastre tales
como el polvo, las inundaciones, terremotos, etc.
6.3.2.7. Amenazas Intencionadas
Las amenazas intencionadas son aquellas en la cual un grupo de hackers o

una sola persona quiere conocer, modificar, eliminar y/o robar informacin para
sus fines personales, por lo tanto se puede clasificar en dos tipos:
6.3.2.7.1. Intencionadas internas
Las amenazas intencionadas internas, se dan por personas que en algn

momento trabajaron en la empresa, Pyme u organizacin y se quieren vengar
porque ya no tienen trabajo, o se encuentran descontento del trabajo o quieren
su propio beneficio al sacar informacin confidencial.
6.3.2.7.2. Intencionadas externas
Las amenazas intencionadas externas, se dan cuando un grupo de hackers y/o

hacker a travs de los conocimientos informticos, aprovecha las fallas del
software o conexiones de red para ingresar al sistema de manera no autorizada
para obtener la informacin requerida, o pueden ingresar a las oficinas sin ser
detectados.
Abril de 2015
45
Dentro de este tipo de amenazas se pueden ver:
La ingeniera social. Se presenta cuando el atacante se aprovecha del

eslabn ms dbil de la cadena que representa la seguridad de la
informacin(los usuarios), y con tcnicas de engao, donde a travs del
telfono, o el correo electrnico se hace creer a la vctima que se es un
compaero de trabajo, un empleado bancario, un administrador del
sistema, entre otros, buscando obtener datos personales como usuarios
y claves de diferentes sistemas de informacin de los cuales pueden
obtener beneficios econmicos o de otra ndole.
La ingeniera social inversa. En este caso, se da cuando una vez el

atacante pone la trampa de ingeniera social, es el usuario quien busca
la ayuda del atacante, el cual se ha ganado su confianza y aprovechar
esta para sacar toda la informacin necesaria al usuario.
6.3.3. Riesgos informticos
Los riesgos informticos son problemas potenciales, que pueden afectar a los
sistemas de informacin u ordenadores, si no se poseen las medidas
adecuadas para salvaguardar los datos, dichos riesgos informticos se pueden
presentar por las vulnerabilidades y amenazas en cualquier momento, por lo
tanto los riesgos se pueden clasificar en:
6.3.3.1. Riesgos de integridad
Son aquellos que se relacionan con el acceso, autorizacin y procesamiento de

las aplicaciones que integran los reportes de las organizaciones, aplicados en
cada uno de sus sistemas de operaciones como por ejemplo:
Interfaz del usuario

Procesamiento, procesamiento de errores
Interfaz
Administracin de cambios
Abril de 2015
46
Informacin4
6.3.3.2. Riesgos de relacin
Son aquellos que se relacionan con la toma de decisiones de manera oportuna

a partir de la informacin recolectada y en momento preciso, integrada a travs
de las aplicaciones para tomar decisiones.
6.3.3.3. Riesgos de acceso
Son aquellos que por una inadecuada configuracin del sistema, en el cual no
se poseen las metodologas apropiadas para salvaguardar la integridad y
confidencialidad de la informacin, los datos podran estar expuestos y son
vulnerables a cualquier hacker, dependiendo del nivel de estructura en el cual
se encuentra la seguridad de la informacin, de los cuales se pueden
mencionar:
Procesos de negocio
Aplicacin
Administracin de la informacin
Entorno de procesamiento
Redes
Nivel fsico
6.3.3.4. Riesgos de utilidad
Los riesgos de utilidad se enfocan desde 3 sectores, en primer lugar se tienen

los backups y/o planes de contingencia para la seguridad informtica, en
segundo lugar se tiene las tcnica para recuperar el sistema cuando existen
cadas de los sistemas operativos y en tercer lugar los procesos que
acompaan las posibles problemticas debido al entorno para mitigar o
minimizar la ocurrencia del hecho (amenaza y/o vulnerabilidad informtica).
4
EBILIO UNAD. Leccin 11: Riesgos informticos. [en lnea]. [12 de diciembre del 2014].
Disponible en:
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_11_riesgos_informticos.html
Abril de 2015
47
6.3.3.5. Riesgo de infraestructura
Son aquellos que no poseen una estructura tecnolgica efectiva a la hora de

enfrentar alguna eventualidad en sus sistemas de informacin, en el cual el
software, hardware, personal, procesos, redes y canales de comunicacin son
los elementos que soportan las necesidades de operacin, desarrollo,
mantenimiento y procesamiento de la informacin de una organizacin, los
cuales se deben determinar a partir de:
Planeacin organizacional
Definicin de las aplicaciones
Administracin de seguridad
Operaciones de red y operaciones computacionales
Administracin de sistemas de bases de datos
Informacin / Negocio
Riesgos de seguridad general
Riesgos de choque de elctrico
Riesgos de incendio
Riesgos de niveles inadecuados de energa elctrica
Riesgos de radiaciones
Riesgos mecnicos
6.3.4. Seguridad informtica
La seguridad informtica, es el rea que se enfoca en las metodologas,

proceso y procedimientos para mantener salvaguardada la informacin y datos
confidenciales de una organizacin, Pyme y empresa al interior de las
herramientas informticas. Dichos procesos se estructuran a travs de
estndares, normas, protocolos y metodologas para mitigar y minimizar los
riesgos asociados a la infraestructura tecnolgica.
Por ende la seguridad informtica es uno de los grandes retos a implementar,

ya que no es posible implementarla en un 100%, por lo tanto la aplicacin de
metodologas, infraestructura y estndares adecuados, permiten obtener un
mayor grado de seguridad para cualquier compaa, mitigando algunos errores
que se pueden prever.
Abril de 2015
48
6.3.5. Seguridad de la informacin
La seguridad de la informacin es un agregado de medidas preventivas, con el

fin de salvaguardar y proteger la informacin bajo la confidencialidad,
disponibilidad e integridad, en este sentido la informacin se puede presentar
en diferentes caractersticas; no solamente en los medios electrnicos, sino
tambin en los medios fsicos. En consecuencia la informacin se ha convertido
en el activo ms valioso para las compaas, donde se ejecutan metodologas
para proteger los registros y mantener una infraestructura adecuada para la
custodia y salvaguardar la informacin, por consiguiente la seguridad de la
informacin abre el campo a la auditora informtica y a muchas reas afines
que apoyan la seguridad de los datos manteniendo los principios de la
seguridad.
6.3.5.1. Integridad
La integridad garantiza la modificacin, manipulacin, borrado y

almacenamiento de archivos solo por el personal autorizado de forma
controlada, en este sentido provee metodologas de seguridad por niveles y
logs de auditora para salvaguardar la informacin de las organizaciones,
Pymes, empresas y/o compaas. Igualmente el sistema de informacin,
proporcionara accesos a las configuraciones, conforme a los roles o privilegios
otorgados por los administradores del sistema.
6.3.5.2. Disponibilidad
Es la capacidad del sistema de informacin para mantener el acceso en

cualquier instante de tiempo, por lo tanto se controla los intentos de eliminar
archivos o modificar registros, por medio de la identificacin de usuario y clave
de acceso.
6.3.5.3. Confidencialidad
La confidencialidad provee las garantas, para identificar los usuarios que

acceden al sistema de informacin, identificando la hora y fecha a travs de los
controles adecuados.
Abril de 2015
49
6.3.6. SGSI
Un sistema de gestin de la seguridad informtica es el enfoque sistemtico,

con el propsito de establecer los mecanismos de gestin, para la
confidencialidad integridad y disponibilidad de la informacin dentro de un
conjunto de estndares seguros, teniendo como objetivo identificar cada una de
las personas que apoyan los sistemas informticos a travs del proceso de
gestin de riesgos asociados a la compaa.
De esta manera se pueden establecer controles de seguridad de manera

adecuada para cada componente y/o elemento que conforma los activos
informticos tangibles e intangibles.
6.3.6.1. Activos intangibles
Son los bienes inmateriales como:
Relaciones inter-empresas
Capacitaciones empresariales
Habilidades y motivacin de los empleados y/o trabajadores
Bases de datos, Herramientas tecnolgicas
Know How (Conocimiento - Experiencia)
Procesos operativos
6.3.6.2. Activos tangibles
Son los bienes de naturaleza material, los cuales son perceptibles a la vista del
ser humano5, como:
Mobiliario, capital
Infraestructura y rea de terreno
Material, elementos de trabajo
Equipos informticos
Telfonos, cableado de red
Entre otros.
5
WEB AND MACROS. Los activos tangibles e intangibles - ejemplos. [en lnea]. [13 de mayo
del 2014]. Disponible en: http://www.webandmacros.com/activos_cuadro_mando_integral.htm
Abril de 2015
50
6.3.7. Norma ISO 270016
La norma ISO 27001, es la norma principal para adecuar los requisitos del
sistema de gestin de la seguridad informtica en las organizaciones, por lo
tanto esta norma es certificable para los auditores externos, los cuales evalan
las Pymes, empresas, etc., dentro de los 11 dominios que existen en la norma
ISO 27001, con el propsito de organizar y gestionar la seguridad cuyos
objetivos son:
Mantener una imagen excelente tanto interna, como externa (cliente

proveedor).
Cumplimiento de la legislacin vigente.
Permear con claridad las directrices a seguir para mantener la seguridad
de la informacin y datos.
Identificacin, anlisis y mitigacin de los riesgos asociados al sistema
de informacin actual de la empresa o Pyme.
Conocimiento de la importancia que tiene la informacin para la
empresa, con el fin de armonizar la seguridad.
Mejora procesos, procedimientos y actividades con que se desarrolla la
gestin en cuanto a la informacin.
Por consiguiente sus 11 dominios y/o pilares para gestionar la informacin e
implementar el sistema de gestin de seguridad de la informacin son:
6.3.7.1. Poltica de seguridad de la informacin
Este dominio articula los objetivos del negocio y la razn social de la Pyme,
empresa u organizacin con las necesidades de la seguridad informtica, para
salvaguardar los datos, registro y dems informacin confidencial que se desee
proteger, por lo tanto el documento debe contemplar todos los niveles y
acciones a seguir en determinado caso.
Clasificacin de la informacin
Naturaleza del negocio
Informacin de uso interno y externo
Necesidades tcnicas y operativas
6
ISOTOOLS. ISO 27001: Dominios Tecnolgicos de Seguridad de la Informacin. [en lnea].
[22 de enero del 2015]. Disponible en: http://www.isotools.org/2013/10/03/iso-27001-dominios/
Abril de 2015
51
6.3.7.2. Aspectos administrativos7
Es este dominio se asignan las responsabilidades en cuestin de seguridad

informtica, donde se conocen las funciones de cada persona con el fin de
establecer los acuerdos de confidencialidad y asignacin de los privilegios y
roles para el uso de las aplicaciones.
Asignacin de responsabilidades
Acuerdos de confidencialidad
Riesgos de acceso de terceros
6.3.7.3. Gestin de activos
Este dominio se encarga de organizar los activos informticos conforme a las

caractersticas y componentes que lo integran dentro de una organizacin,
realizando el respectivo inventario, con el propsito de establecer las directrices
para el uso de los activos informticos.
Inventario de activos informticos

Clasificacin de los activos informticos
6.3.7.4. Recurso humano y seguridad de la informacin
En este dominio se establecen los lineamientos de los contratos, clusulas de

confidencialidad, accesos a las reas de la organizacin, programas de
capacitacin, formacin procesos y procedimientos en cada uno de los mbitos
laborales antes, durante y despus de cada actividad.
Contratacin de personal idneo8

Capacitaciones constantes sobre las normas y riesgos de la
organizacin
Suspensin de credenciales cuanto termina el contrato
7
Gutirrez, C. (2012). WELIVESECURITY: Los 10 pilares bsicos de la norma ISO 27001. [en
lnea]. [22 de enero del 2015]. Disponible en: http://www.welivesecurity.com/la-
es/2012/10/22/10-pilares-basicos-norma-iso27001/
8
BLOOGER. (2010).Seguridad de la informacin en Colombia. [en lnea]. [22 de enero del
2015]. Disponible en: (http://seguridadinformacioncolombia.blogspot.com/2010/04/iso-27001-e-
iso-27002-dominio-11.html
Abril de 2015
52
6.3.7.5. Seguridad fsica
Este dominio establece las reas seguras y seguridad de los equipos de

cmputo que se deben tener en cuenta para cada uno de los permetros o
lugares donde se encuentran los activos informticos tanto interno como
externos, ofreciendo una seguridad para garantizar que el cableado, redes y
dems activos y/o perifricos se encuentren protegidos, conforme a la tcnicas
de control.
reas seguras
Seguridad fsica
Seguridad en los activos ( equipos de cmputo)
6.3.7.6. Gestin de comunicaciones
Este dominio establece las metodologas para la seguridad en redes y sistemas

de restauracin que soporten las cadas del sistema cuando han tenido algn
fallo grave, implementando procedimientos operativos y responsabilidades.
Copias de seguridad
Seguridad en redes
6.3.7.7. Control de accesos
Este dominio establece y proporciona las herramientas para la implementacin

de una poltica de acceso a los sistemas de informacin de una organizacin,
con el propsito de identificar por medio de auditoras sistematizadas la
trazabilidad de los cambios efectuados.
Poltica control de acceso

Gestin de acceso de usuarios
Acceso a redes
Acceso a las aplicaciones de la organizacin
Abril de 2015
53
6.3.7.8. Gestin de sistemas de informacin
Este dominio establece las tcnicas y mecanismos para la seguridad en los

sistemas informticos, aplicando las metodologas de clave pblica y clave
privada para encriptar los mensajes, datos e informacin confidencial,
asimismo se disminuyen las vulnerabilidades, riesgos y amenazas por utilizar
adecuadamente las herramientas de comunicacin.
Controles criptogrficos
6.3.7.9. Gestin de incidentes
Este dominio monitorea y propone recomendaciones cuando se presentan

acontecimientos, notificaciones, fallas o puertas traseras en el sistema, con el
fin de asignar por medio de procedimiento las acciones a seguir en casos
fortuitos o inesperados.
Gestin de incidentes
Mejoras de seguridad
6.3.7.10. Continuidad del negocio9
Este dominio ayuda ajustar las necesidades de seguridad informtica que no se

pudieron tener en cuenta en la implementacin de la organizacin, como su
nombre lo indica (BCP, Business Continuty Planning), contempla las
actividades que se deben seguir y realizar para restaurar los procesos despus
de incidentes crticos, garantizando la normalizacin de manera progresiva con
un tiempo prudencial para dar respuesta a cualquier eventualidad, por ende
avala la confidencialidad, integridad y disponibilidad de la informacin.
Procedimientos
Proceso
Polticas
Restauracin de actividades
Gestin de seguridad
9
Gutirrez, C. (2012). Continuidad del negocio: Cmo responder ante una contingencia?. [en
lnea]. [18 de enero del 2015]. Disponible en: http://blogs.eset-
la.com/laboratorio/2012/07/18/continuidad-negocio-como-responder-ante-emergencia/
Abril de 2015
54
6.3.7.11. Requisitos legales
Este dominio establece las normas legales y evala el estricto cumplimiento

conforme a los requisitos establecidos.
Normal legales en seguridad informtica

Requisitos polticos
Requisitos legales
Norma tcnica en seguridad informtica
6.3.8. Norma ISO 27002:201310
La norma ISO 27002:201311, establece un conjunto de actividades y directrices

bien definidas para la implementacin de la seguridad informtica, a fin de
proteger los activos informticos, generando confianza tanto al cliente interno
como al cliente externo, de esta manera se empieza a implementar los
procesos de seguimiento en cada una de las reas, estableciendo e
identificando cada uno de los potenciales riesgos que se pueden presentar en
la empresa.
Por con consiguiente, apoya el anlisis y valoracin de los riesgos clasificando

los activos de las Pymes u organizaciones, donde cada grupo de activo posee
sus propias amenazas, vulnerabilidades y riesgos, proporcionando en
prospectiva su impacto y la probabilidad de ocurrencia. Con esa finalidad se
establecen los 14 dominios, 35 objetivos y 114 controles12 para cada uno de los
hallazgos encontrados a travs de la auditora, actualizada el 25 de septiembre
del 2013 los cuales son:
10
El portal ISO. (2015). ISO 27000.es. [en lnea]. [20 de enero del 2015]. Disponible en:
http://www.iso27000.es/iso27000.html
11
ISO. (2015).ISO/IEC 27002:2013. [en lnea]. [24 de enero del 2015]. Disponible en:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54533
12
El portal ISO. (2015).ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y
114 CONTROLES. [en lnea]. [22 de enero del 2015]. Disponible en:
http://www.iso27000.es/download/ControlesISO27002-2013.pdf
Abril de 2015
55
6.3.8.1. A5 Poltica de seguridad
(5.1.) Directrices de la direccin en seguridad de la informacin: En este

dominio las Pymes, empresas u organizaciones deben establecer la poltica de
seguridad conforme a la razn social y/u objetivo de la sociedad, con el fin de
mantener los lineamientos de seguridad informtica para el manejo de la
informacin, dando respuesta los 2 controles:
5.1.1. Conjunto de polticas para la seguridad de la informacin.

5.1.2. Revisin de las polticas para la seguridad de la informacin
6.3.8.2. A6 Aspectos organizativos de la seguridad de la informacin
En este dominio, se establece la distribucin organizacional a travs de la

infraestructura y los accesos de terceras partes, para la implementacin de los
controles de seguridad, conforme a:
(6.1) Organizacin interna: Establece la organizacin de gestin, con el

propsito de implementar los controles:
6.1.1 Asignacin de responsabilidades para la seguridad de la

informacin.
6.1.2 Segregacin de tareas.
6.1.3 Contacto con las autoridades.
6.1.4 Contacto con grupos de inters especial.
6.1.5 Seguridad de la informacin en la gestin de proyectos.
(6.2.) Dispositivos para movilidad y teletrabajo: Registrar y mantener seguro las
conexiones mviles y de teletrabajo, debido a los controles:
6.2.1 Poltica de uso de dispositivos para movilidad.

6.2.2 Teletrabajo.
6.3.8.3. A7 Seguridad ligada a los recursos humanos
En este dominio se debe amparar las capacitaciones, formacin profesional y

actividades para concientizar al recurso humano sobre los trminos y
condiciones de uso de la informacin, antes, durante y despus de la relacin
laboral durante el periodo de tiempo que se labore, el cual se divide en:
Abril de 2015
56
(7.1) Seguridad en la definicin del trabajo y los recursos o definicin de los

puestos de trabajo (Antes de la contratacin): Suministra el manual de
funciones de cada cargo, donde se especifican las actividades y funciones, con
el fin de proveer las responsabilidades asignadas y as desarrollen pertenencia
por la empresa, pro que conocen la importancia de su trabajo, donde se
establecen los controles:
7.1.1 Investigacin de antecedentes.

7.1.2 Trminos y condiciones de contratacin.
(7.2) Seguridad en el desempeo de las funciones del empleo (Durante la
contratacin): Conforme a las capacitaciones, formacin laboral y profesional,
los trabajadores conocen las amenazas, riesgos y vulnerabilidades que puede
tener el sistema de informacin, por ende se encuentran instruidos para cumplir
con la poltica de seguridad, teniendo como controles:
7.2.1 Responsabilidades de gestin.

7.2.2 Concienciacin, educacin y capacitacin en seguridad de la
informacin.
7.2.3 Proceso disciplinario.
(7.3) Finalizacin o cambio del puesto de trabajo (cese o cambio de puesto de
trabajo): Contempla el debido cambio, traslado y finalizacin del contrato, con
las garantas de que se ha entregado y dejado todo organizado conforme a las
polticas de seguridad, donde los controles a implementar son:
7.3.1 Cese o cambio de puesto de trabajo.
6.3.8.4. A8 Gestin de activos
En este dominio las Pymes, empresas y organizaciones deben clasificar y tener

inventariado los activos informticos que poseen a su disposicin, los cuales
son controlados por el personal asignado para su manipulacin y uso,
gestionando los controles de:
(8.1) Responsabilidad sobre los activos: Proporcionar una adecuado proteccin

sobre cada activo informtico de la organizacin, manteniendo el compromiso
con cada elemento y sus controles son:
8.1.1 Inventario de activos.

8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
Abril de 2015
57
8.1.4 Devolucin de activos.

(8.2) Clasificacin de la informacin: Proporciona los niveles adecuados de
seguridad para cada uno de las clasificaciones de la informacin,
implementando los controles de:
8.2.1 Directrices de clasificacin.

8.2.2 Etiquetado y manipulado de la informacin.
8.2.3 Manipulacin de activos.
(8.3.) Manejo de los soportes de almacenamiento: Proporciona mecanismos

para la manipulacin de los perifricos que se manejen dentro de una
organizacin, adecuando los controles:
8.3.1 Gestin de soportes extrables.

8.3.2 Eliminacin de soportes.
8.3.3 Soportes fsicos en trnsito.
6.3.8.5. A9 Control de Accesos
Este dominio se encarga de mantener el acceso a los sistemas de informacin,

nicamente al personal autorizado, implementados en los siguientes controles
de entrada.
(9.1) Requerimientos de negocio para el control de accesos: Registra los

accesos autorizados al sistema de informacin conforme a la poltica de
seguridad:
9.1.1 Poltica de control de accesos.

9.1.2 Control de acceso a las redes y servicios asociados.
(9.2) Gestin de acceso de usuario: Registrar los accesos autorizados y los no
autorizados por medio del sistema, donde se instituyen los controles:
9.2.1 Gestin de altas/bajas en el registro de usuarios.

9.2.2 Gestin de los derechos de acceso asignados a usuarios.
9.2.3 Gestin de los derechos de acceso con privilegios especiales.
9.2.4 Gestin de informacin confidencial de autenticacin de usuarios.
9.2.5 Revisin de los derechos de acceso de los usuarios.
9.2.6 Retirada o adaptacin de los derechos de acceso
Abril de 2015
58
(9.3) Responsabilidades del usuario: Se generan los logs de auditora,

manteniendo, a trazabilidad de las operaciones y acciones realizadas en el
sistema de informacin, debido a sus controles de acceso:
9.3.1 Uso de informacin confidencial para la autenticacin.

(9.4) Control de acceso a sistemas operativo y aplicaciones: Integrar por medio
de privilegios y roles, los usuarios autorizados para ingresar a los sistemas de
informacin, conforme a los controles:
9.4.1 Restriccin del acceso a la informacin.

9.4.2 Procedimientos seguros de inicio de sesin.
9.4.3 Gestin de contraseas de usuario.
9.4.4 Uso de herramientas de administracin de sistemas.
9.4.5 Control de acceso al cdigo fuente de los programas.
6.3.8.6. A10 Cifrado
Este dominio permite cifrar la informacin por medio de las metodologas de

clave pblica y clave privada en las organizaciones, Pymes y empresas.
(10.1) Controles criptogrficos: Potencializar las metodologas criptogrficas

para mantener los datos confidenciales de manera segura, los cuales se
asocian al uso de claves encriptados y controles como:
10.1.1 Poltica de uso de los controles criptogrficos.

10.1.2 Gestin de claves.
6.3.8.7. A11 Seguridad fsica y ambiental
Este dominio permite establecer los controles de las instalaciones y la forma

como se manipula la informacin, donde se desprende las reas seguras y la
seguridad de los equipos de cmputo.
(11.1) reas seguras: garantizar el acceso de personal autorizado, donde se

implementan los controles:
11.1.1 Permetro de seguridad fsica.

11.1.2 Controles fsicos de entrada.
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Proteccin contra las amenazas externas y ambientales.
Abril de 2015
59
11.1.5 El trabajo en reas seguras.

11.1.6 reas de acceso pblico, carga y descarga
(11.2) Seguridad de los equipos: Prevenir daos, prdida y robo de los activos
informticos, donde se implementan los controles:
11.2.1 Emplazamiento y proteccin de equipos.

11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la empresa.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
11.2.7 Reutilizacin o retirada segura de dispositivos de
almacenamiento.
11.2.8 Equipo informtico de usuario desatendido.
11.2.9 Poltica de puesto de trabajo despejado y bloqueo de pantalla.
6.3.8.8. A12 Seguridad en la operativa
Este dominio determina y asignan las operaciones y la forma como se

desarrollan los procesos que se encuentran asociados a la ejecucin de las
actividades de forma adecuada, al interior de cada subdivisin
(12.1) Responsabilidades y procedimientos operacin: Certifica los pasos de

manera segura en cada uno de los activos involucrados, manteniendo los
controles necesarios para su funcionamiento:
12.1.1 Documentacin de procedimientos de operacin.

12.1.2 Gestin de cambios.
12.1.3 Gestin de capacidades.
12.1.4 Separacin de entornos de desarrollo, prueba y produccin.
(12.2) Proteccin contra cdigo malicioso: a travs de los riesgos,
vulnerabilidades y amenazas se establecen estrategias para mitigar los cdigos
maliciosos implementando:
12.2.1 Controles contra el cdigo malicioso

(12.3) Copias de seguridad: Mantener los logs de auditora, registro de fallas y
copias de seguridad para salvaguardar la integridad de la informacin, por
medio del control:
Abril de 2015
60
Backup Copias de seguridad de la informacin

(12.4) Registro de actividad y supervisin: Evaluar las actividades en cada uno
de los procesos, procedimientos que se desarrollan con:
12.4.1 Registro y gestin de eventos de actividad.

12.4.2 Proteccin de los registros de informacin.
12.4.3 Registros de actividad del administrador y operador del sistema.
12.4.4 Sincronizacin de relojes
(12.5) Control del software en explotacin: Implementacin de las instalaciones
y configuraciones necesarias en los equipos de cmputo del control:
12.5.1 Instalacin del software en sistemas en produccin.

(12.6) Gestin de las vulnerabilidades tcnicas: Mitigar los riesgos que se
generan por medio de aprovechamiento pblica, implementando el control:
12.6.1 Gestin de las vulnerabilidades tcnicas.

12.6.2 Restricciones en la instalacin de software.
(12.7) Consideraciones de las auditoras de los sistemas de informacin:
Maximizar los procesos de auditora para gestionar e identificar las mejores
prcticas y metodologas en los sistemas de informacin, aplicando el control:
12.7.1 Controles de auditora de los sistemas de informacin.
6.3.8.9. A13 Seguridad en las telecomunicaciones
Este dominio establece la seguridad entre los canales de comunicacin y

conexiones, tanto internas como externas.
(13.1) Gestin de la seguridad en redes: Proporciona medidas para defender

los canales de comunicacin, como lo son las redes e infraestructura que
soporta las telecomunicaciones, apoyada en los controles:
13.1.1 Controles de red.

13.1.2 Mecanismos de seguridad asociados a servicios en red.
13.1.3 Segregacin de redes.
Abril de 2015
61
(13.2) Intercambio de informacin: Cuando se va a distribuir o entregar

informacin a personas de la misma empresa o empresas diferentes, se debe
garantizar la seguridad en cada uno de los intercambios, manteniendo la
confidencialidad e integridad de los datos, por medio de los controles:
13.2.1 Polticas y procedimientos de intercambio de informacin.

13.2.2 Acuerdos de intercambio.
13.2.3 Mensajera electrnica.
13.2.4 Acuerdos de confidencialidad y secreto.
6.3.8.10. A14 Adquisicin, desarrollo y mantenimiento de los sistemas de

informacin
Este dominio se orienta a las empresas que se dedican al desarrollo de

software, donde se deben establecer los requisitos en cada etapa definiendo
las necesidades requeridas en cada perodo.
(14.1) Requisitos de seguridad de los sistemas de informacin: La seguridad es

una de los requisitos para integrar los sistemas de informacin, donde se aplica
el control:
14.1.1 Anlisis y especificacin de los requisitos de seguridad.

14.1.2 Seguridad de las comunicaciones en servicios accesibles por
redes pblicas.
14.1.3 Proteccin de las transacciones por redes telemticas.
(14.2) Seguridad en los procesos de desarrollo y soporte: Implementar las
tcnicas de seguridad en las aplicaciones, software e informacin a travs de
los controles:
14.2.1 Poltica de desarrollo seguro de software.

14.2.2 Procedimientos de control de cambios en los sistemas.
14.2.3 Revisin tcnica de las aplicaciones tras efectuar cambios en el
sistema operativo.
14.2.4 Restricciones a los cambios en los paquetes de software.
14.2.5 Uso de principios de ingeniera en proteccin de sistemas.
14.2.6 Seguridad en entornos de desarrollo.
14.2.7 Externalizacin del desarrollo de software.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptacin.
Abril de 2015
62
(14.3) Datos de prueba: Implementa las tcnicas para mantener salvaguardado

los datos y la informacin requerida, aplicando pruebas en su desarrollo y
efectuando el control:
14.3.1 Proteccin de los datos utilizados en pruebas.
6.3.8.11. A15 Relaciones con suministradores
Este dominio contempla los planes que se deben llevar a cabo para llevar y
tener una buena comunicacin entre los suministradores
(15.1) Seguridad de la informacin en las relaciones con suministradores:

Proporciona los pasos y metodologas para mantener una buena armona entre
las necesidades y los servicios ofrecidos, teniendo en cuenta los controles:
15.1.1 Poltica de seguridad de la informacin para suministradores.

15.1.2 Tratamiento del riesgo dentro de acuerdos de suministradores.
15.1.3 Cadena de suministro en tecnologas de la informacin y
comunicaciones.
6.3.8.12. A16 Gestin de incidentes de la seguridad de la informacin
Este dominio aplica los hallazgos encontrados sobre la seguridad para dar
cavidad a la mejora continua, implementando soluciones en pro de la seguridad
informtica y los procesos de gestin.
(16.1) Gestin de incidentes de seguridad de la informacin y mejoras:

Conforme a los hallazgos encontrados, se establecen medidas y acciones
correctivas de manera oportuna para mitigar los riesgos y amenazas
asociadas, aplicar y registrar los incidentes presentados a travs de los
controles:
16.1.1 Responsabilidades y procedimientos.

16.1.2 Notificacin de los eventos de seguridad de la informacin.
16.1.3 Notificacin de puntos dbiles de la seguridad.
16.1.4 Valoracin de eventos de seguridad de la informacin y toma de
decisiones.
16.1.5 Respuesta a los incidentes de seguridad.
16.1.6 Aprendizaje de los incidentes de seguridad de la informacin.
16.1.7 Recopilacin de evidencias.
Abril de 2015
63
6.3.8.13. A17 Aspectos de seguridad de la informacin en la gestin de la

continuidad del negocio
Este dominio establece las medidas para la continuidad del negocio a travs de
las actividades que son recurrentes, para identificar las que no se pueden
eliminar porque generan un gran impacto.
(17.1) Continuidad de la seguridad de la informacin: Mantener un plan de

accin, con el fin de reaccionar a los procesos crticos o fallas del sistema,
aplicando los controles:
17.1.1 Planificacin de la continuidad de la seguridad de la informacin.

17.1.2 Implantacin de la continuidad de la seguridad de la informacin.
17.1.3Verificacin, revisin y evaluacin de la continuidad de la
seguridad de la informacin.
(17.2) Redundancia: Cruzar la informacin necesaria, a travs de las bases de
datos para establecer el control de:
17.2.1 Disponibilidad de instalaciones para el procesamiento de la

informacin.
6.3.8.14. A18 Cumplimiento
Este dominio establece los pasos para dar cumplimiento a los requisitos legales
en cuanto a la seguridad, diseando, operatividad y gestin de los sistemas
para mantener la seguridad informtica.
(18.1) Cumplimiento de los requisitos legales y contractuales: Impedir el

incumplimiento de las leyes, normas, decretos que regulan la seguridad
informtica, por medio de los controles:
18.1.1 Identificacin de la legislacin aplicable.

18.1.2 Derechos de propiedad intelectual (DPI).
18.1.3 Proteccin de los registros de la organizacin.
18.1.4 Proteccin de datos y privacidad de la informacin personal.
18.1.5 Regulacin de los controles criptogrficos.
Abril de 2015
64
(15.2) Revisiones de la seguridad de la informacin: Adecuar los estndares y

polticas de seguridad a la razn y/u objetivo de las organizaciones,
implementando los controles:
18.2.1 Revisin independiente de la seguridad de la informacin.

18.2.2 Cumplimiento de las polticas y normas de seguridad.
18.2.3 Comprobacin del cumplimiento.
6.3.9. Anlisis de riesgos informticos
Es el proceso mediante el cual se identifican los activos informticos de una

organizacin o Pyme, la cual permite indagar sobre las posibles
vulnerabilidades y amenazas a las cuales se puede encontrar expuesta una
empresa grande o pequea, por lo tanto se identifica la probabilidad de
ocurrencia y el impacto de cada una, con el fin de implementar los controles y
medidas preventivas necesarias para aceptar, transferir, evitar, o mitigar el
riesgo identificado. Asimismo se podr realizar una presuncin o estimacin del
impacto a travs de la matriz de riesgo, con el fin de identificar el riesgo total
por medio de la frmula:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
6.3.10. Control de Gestin
Es el proceso que permite organizar y guiar la gestin de las actividades

empresariales, el cual inicia con el planteamiento de un objetivo para ser
evaluado y medido a travs del tiempo. De esta manera se centra en la
verificacin constante de cada proceso dentro de la organizacin, asimismo se
podr implementar los principios de control, los cuales pueden ser13:
Control por responsabilidades

Desarrollo econmico
Integracin de sistemas informticos
Control de excepciones
Indicadores de gestin
Medidas de comparacin
Entre otras
13
Gestion.ORG. (2002). Qu es el control de gestin?. [en lnea]. [16 de mayo del 2014].
Disponible en: http://www.gestion.org/estrategia-empresarial/4594/que-es-el-control-de-gestion/
Abril de 2015
65
6.3.11. Mapa Estratgico
Un mapa estratgico, es el que determina a travs de una ruta de navegacin

el camino a seguir durante cada uno de los instantes del tiempo, en el cual se
establecen: a) objetivos estratgicos, b) perspectivas, c) lneas o temas
estratgicos y d) relacin de causa efecto (matriz DOFA). Asimismo permite
comunicar y permear a toda la organizacin los procedimientos, procesos y
actividades que se llevan a cabo para el mejoramiento continuo.
6.3.11.1. Metodologa Estratgica
La metodologa determina una serie de pasos para desarrollar cada una de las
actividades que se han planteado, de esta manera se puede llevar un orden
consecutivo de cmo se debe actuar frente a las acciones y situaciones
adversas que se pueden presentar a travs de los medios informticos o
sistema operativo de una organizacin, estableciendo:
Indicadores
Metas
Iniciativas estratgicas
6.3.12. Ciberdelincuentes
Son aquellas personas que realizan de forma ilcita actividades en internet,

medios electrnicos y herramientas informticas que por su procedencia
pueden llevar a su propio lucro, donde pueden robar informacin, acceder a
redes privadas, delitos informticos.
6.3.12.1. Delitos Informticos
Los delitos informticos se definen como toda actividad ilegal y ofensas que se
pueden cometer ante cualquier individuo o grupo de personas con motivos
criminales, asimismo daar intencionadamente a la vctima. El trmino delito
informtico generalmente es usado indistintamente a la palabra crimen
ciberntico, a la cual en ingls se le conoce como cibercrimen, donde la
Organizacin de las Naciones Unidas (ONU) lo divide en dos categoras con
sus respectivas definiciones:
Cibercrimen en un sentido reducido (crimen computacional):

Cualquier comportamiento ilegal perpetrando por medio de
operaciones electrnicas que comprometa la seguridad de los
sistemas computacionales y los datos procesados por ellos.
Abril de 2015
66
Cibercrimen en un sentido amplio (crimen relacionado a las

computadoras): Cualquier comportamiento ilegal cometido por
cualquier medio o relacionado, a un sistema de computadoras o red,
incluyendo crmenes como posesin ilegal y/u oferta o distribucin de
informacin por medio de un sistema de computadoras o red.
Los delitos informticos son ejecutados en diversas modalidades y sus
objetivos son la violacin de los tres pilares fundamentales de la Seguridad
Informtica como lo son la confidencialidad, integridad y disponibilidad de la
informacin (datos). Dentro de estas modalidades se encuentran los ataques
de:
Denegacin de Servicios (DOS, Denial of Service)

Instalacin o propagacin de software de Cdigo Malicioso (Malware)
Alteracin y/o modificacin de contenido mediante ataques de
Secuencias de Comandos de Sitios Cruzados (XSS, Cross-Site
Scripting)
Inyecciones SQL (SQL Injection)
Envo masivo de correo fraudulento (Spamming)
Suplantaciones de Identidad (Phising)
Ingeniera Social (Social Engineering)
Interceptacin de trfico (Man in theMiddle)
Entre otros
6.3.13. Auditora
La auditora es la herramienta para diagnosticar el sistema de informacin de

una empresa y/o Pyme, el cual proporciona metodologas en la toma de
decisiones sobre los sistemas auditados, por lo tanto se debe tener en cuenta
que no todas las empresas manejan y manipulan la informacin de la misma
manera, esto quiere decir que la auditora puede diagnosticar y examinar
diferentes aspectos conforme al rea a inspeccionar, para determinar:
Herramientas para la planeacin y el control.

Resultados, pronsticos, planes e informes de control adecuados.
Propuestas para mejorar el control de los sistemas de informacin.
Asimismo el diagnostico se convierte en un examen sistemtico que lo lleva a
cabo un grupo de personas, empresas, organizaciones o una sola persona
para revisar e intervenir los requisitos bsicos para el funcionamiento del
sistema de la Pyme.
Abril de 2015
67
6.3.13.1. Auditora Interna
Segn el Instituto de Auditores Internos (The Institute of Internal Auditors - IIA),

definieron la auditora interna como La actividad independiente y objetiva de
aseguramiento y consulta concebida para agregar valor y mejorar las
operaciones de una organizacin. Ayuda a una organizacin a cumplir sus
objetivos aportando un enfoque sistemtico y disciplinado para evaluar y
mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno14.
Asimismo se realizan los controles internos de la Pyme u organizacin para
mejorar los procesos y procedimientos mitigando los riesgos, vulnerabilidades y
amenazas que se puedan presentar.
Por consiguiente el objetivo principal de la auditora interna se convierte en

direccionar y proporcionar herramientas para la toma de decisiones conforme a
las funciones y actividades a realizar en cada una de las reas, analizando y
evaluando cada proceso para determinar las recomendaciones y medidas
necesarias. Favoreciendo los intereses de las empresas para proteger de
manera global el funcionamiento de la Pyme y la permanencia en el sector
donde desarrolla la actividad econmica, por ende se adquiere el conocimiento
necesario para profundizar en las operaciones de la empresa y as desarrollar
los controles necesarios.
6.3.13.2. Auditora Externa
La auditora externa son los mtodos utilizados por una empresa ajena para
examinar sistemticamente las herramientas que soportan la gestin de la
empresa, como por ejemplo: el sistema de informacin administrativo, el
sistema de informacin contable y aquellos sistemas que soportan algn
procedimiento que pueda ser auditado para determinar la integridad del estado
actual de los documentos, expedientes e informacin que ocasiono el ingreso
de informacin.
Como resultado se emite un concepto independiente sobre los sistemas de

informacin y se realizaran sugerencias conforme a los hallazgos y evidencias
encontradas, con el objetivo de:
14
Instituto de auditores internos. Qu es la auditoria interna?. [en lnea]. [15 de enero del
2015]. Disponible en:
http://www.iaiperu.org/index.php?option=com_content&view=article&id=80:ique-es-auditoria-
interna&catid=49:preguntas-frecuentes&Itemid=40
Abril de 2015
68
Dar fe pblica sobre el procedimiento desarrollado para examinar los

procesos.
Validar las evidencias ante terceros.
Formular los procedimientos de mejora continua.
En sntesis la auditora externa la desarrolla un grupo de personas,

organizacin o empresa que no estn adscritas a la Pyme auditada para
determinar un concepto e informe que justifique los hallazgos y las
recomendaciones de mejora.
6.3.13.3. Diferencias entre auditora interna y externa
Tabla 1 Cuadro comparativo auditora interna y externa
Auditora Interna Autora Externa
La realiza un auditor adscrito a la La realiza un auditor o ente de control,

empresa o que tiene algn vnculo que tenga alguna relacin de tipo civil.
con la empresa.
El diagnstico de la auditora es para El diagnstico de la autora es para

la empresa y as desarrollar las terceros y as implementar planes de
mejoras necesarias. contingencia.
Conforme a la vinculacin contractual Conforme a la faculta legal y

laboral, la informacin y/o hallazgos principios ticos, se puede hacer
son de carcter interno para las pblico los hallazgos para
mejoras. implementar mejoras.
La auditora es de carcter ipso facto, La auditora es de carcter ex post

esto quiere decir en el momento en facto, esto quiere decir despus de
que se realiza la inspeccin. que los hechos ya ocurrieron.
Los controles son evaluados Los controles se evalan

continuamente. recurrentemente a nivel interno.
Los hallazgos poseen independencia Los hallazgos poseen independencia

solo interna y son de reserva de la absoluta y pueden ser publicados.
empresa.
Abril de 2015
69
6.3.13.4. El auditor
El auditor es la persona encargada de realizar el proceso de verificacin y

validacin de la informacin, a travs de la herramienta para diagnosticar los
hallazgos y las evidencias encontradas, para lograr y proponer un concepto de
eficacia y eficiencia en las operaciones y actividades que desarrolla las
empresas y/o Pymes. Como complemento el auditor debe poseer las siguientes
caractersticas:
Conocer el procedimiento auditor bajo los estndares legales y marco

legal actual.
Poseen un dominio del tema para proponer dilogos y acuerdos entre
las partes.
Ser una persona ntegro, objetivo, confiable, creativo, crtico, educado y
con diplomacia para realizar una evaluacin confiable e imparcial para
proponer las mejores alternativas.
Realizar un informe tico profesional, conforme a los hallazgos y las
evidencias encontradas.
Mantener una percepcin positiva en cuanto a la empresa donde va a
desarrollar las actividades de auditora.
Dar respuesta a las inquietudes y actividades desarrolladas conforme a
la tica profesional realizando acuerdos.
Ser una persona responsable, honesta y discreta con la informacin
adquirida.
6.3.14. Auditora informtica
La auditora informtica es el procedimiento y conocimiento para analizar las

normas, tcnicas y buenas prcticas para determinar por medio de un sistema
de gestin de la seguridad informtica los mecanismos de control y as
salvaguardar la informacin de las organizaciones, manteniendo la integridad,
disponibilidad y seguridad de la informacin; con el propsito de aumentar la
eficiencia y eficacia de los recursos fsicos y humanos asociados a las
tecnologas de la informacin (TI).
Por ende se realiza un examen crtico, sistemtico y objetivo para evaluar los
recursos informticos y as verificar que se encuentren desarrollando la gestin
en pro del cumplimiento de los objetivos propuestos y la seguridad de la
informacin, a fin de tomar de forma adecuada las decisiones frente a las
amenazas, riesgos y vulnerabilidades informticas.
Abril de 2015
70
6.3.14.1. Objetivos de la auditora informtica
Evaluar los procedimientos, procesos y actividades de cada elemento

informtico, diagnosticando las entradas, controles, archivos, seguridad
y la forma como se obtiene la informacin.
Proponer los controles y las medidas adecuadas para la seguridad
informtica, conforme a las necesidades de las organizaciones y/o
Pymes, al interior del hardware y software.
Verificar el cumplimiento de la normatividad vigente.
6.3.14.2. Beneficios de la auditora informtica
Genera confianza ante los usuarios y personal que labora en la

empresa, frente a los servicios de las tecnologas de la informacin (TI).
Efectuar el diseo de un mapa estratgico o sistema de gestin de la
seguridad informtica para establecer los controles de seguridad.
Reduce los costos de re-procesos, reclamos y procedimientos de baja
calidad.
6.3.14.3. Alcance de la auditora informtica
Concretar los lineamientos para el desarrollo de la auditora, conforme a los

objetivos de la misma auditora; identificando las fronteras y los puntos que se
han alcanzado con la implementacin de las preguntas adecuadas frente a los
controles de gestin en los sistemas de informacin.
6.3.14.4. Herramientas para efectuar la auditora informtica
Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujo gramas
Listas de chequeo
Mapas conceptuales
Abril de 2015
71
6.3.15. Ciclo PHVA
Es la herramienta de mejora continua a travs del ciclo propuesto por Deming

en 1950, el cual permite estableces 4 fases o etapas para el desarrollo de las
actividades con el fin de ser retroalimentadas para mejorar en los aspectos que
se pudieron quedar cortos en un principio y as ser ms competitivos en el
mundo, de esta manera se establecen las fases que son:
Planear
Hacer
Verificar
Actuar
Ilustracin 1 Actividades ciclo PHVA
Fuente: Tomado de Implementacin SIG15
15
Implementacin SIG. (2014). El ciclo de Deming. [ilustracin 1]. [en lnea]. [16 de mayo del
2014]. Disponible en: http://www.implementacionsig.com/index.php/generalidades-sig/55-ciclo-
de-
Abril de 2015
72
6.3.15.1. Planificar (Plan)
En esta fase se establecen la planeacin de las actividades, procesos y

procedimientos a seguir en un tiempo determinado, proyectando en prospectiva
los objetivos y metas.
6.3.15.2. Hacer (Do)
En esta fase se da inicio a la implementacin de los objetivos, con el fin de

alcanzar las metas proyectadas y trazadas en la planeacin, poniendo en
marcha las propuestas y actividades que cada uno de los integrantes de la
organizacin debe implementar.
6.3.15.3. Verificar (Check)
En esta fase, a partir de la implementacin, se debe realizar un monitoreo

constante de las actividades para saber el estado en que se encuentran y as
brindar un acompaamiento ms oportuno, eficiente y eficaz en el desarrollo de
las actividades, donde se destacan los:
Objetivos
Polticas de seguridad
Requisitos
Actividades
Asimismo realizar un anlisis de los resultados que se van llevando hasta el
momento, teniendo en cuenta la lista de chequeo.
6.3.15.4. Actuar (Act)
En esta fase, a travs de los resultados obtenidos, se sugieren y proponen

acciones de mejora continua para dar inicio nuevamente al ciclo de Deming,
con el fin de realizar las acciones de mejora que sean necesarias para
mantener un desempeo ptimo.
Abril de 2015
73
6.3.16. Pasos a seguir para desarrollar la auditora
6.3.16.1. Estudio preliminar Fase de reconocimiento
Para realizar el estudio preliminar se debe identificar las funciones del rea a
auditar, con el fin de identificar y conocer la distribucin de los equipos de
cmputo, infraestructura y mtodos de seguridad existentes, indagando sobre:
Organizacin: Permite conocer el organigrama, la reas con sus

respectivas funciones y relaciones entre cada rea.
Canales de informacin: Permite conocer los medios como se manipula
la informacin y como se transmite a las diferentes reas.
Flujos de informacin: Permiten verificar los procesos en cada rea para
no generar redundancia en los procedimientos, identificando los cargos y
las funciones.
Ambiente de operaciones: Permite conocer la estructura y el entorno
donde se va a realizar la auditora teniendo en cuenta: a) ubicacin
geogrfica, b) arquitectura de hardware y software, c) redes de
comunicacin y d) sistemas operativos.
Aplicaciones informticas: Permite conocer los procesos informticos
realizados al interior de la Pyme, recolectando:
o Inventario de hardware
o Inventario de software
o Aplicaciones para salvaguardar y utilizar la informacin.
o Metodologa del diseo para almacenar la documentacin e
informacin
o Recoleccin de informacin a travs de documentos
Recursos: Permite identificar los recursos humanos y fsicos requeridos
para la auditora.
6.3.16.2. Tcnicas de trabajo Diseo de los instrumentos
Diseo de la encuesta de auditora para las Pymes.

Anlisis de la informacin recolectada en la primera etapa de
reconocimiento de la organizacin y/o Pymes.
Investigacin de la informacin recolectada.
Abril de 2015
74
6.3.16.3. Herramientas de trabajo
Estndares ISO
Checklist
Encuesta inicial
Matrices de riesgo
6.3.16.4. Aplicacin de la auditora Informe final
Informe final de la auditora realizada en las Pymes, el cual debe contener:
Objetivo de la auditora
Alcance de la auditora
Desarrollo de la auditora en el cual se define
o Situacin actual
o Hallazgos
o Recomendaciones
o Planes de accin Sistema de gestin de la seguridad
informtica (SGSI)
Tabular las encuestas y los hallazgos para determinar los riesgos,
vulnerabilidades y amenazas y as disear el sistema de gestin de la
seguridad informtica.
Abril de 2015
75
6.4. Marco Conceptual
6.4.1. Seguridad
El concepto de seguridad se aplica a los entornos de la vida cotidiana, de

manera tal que el hombre siempre ha tenido la necesidad de imaginar
mecanismos que le aseguren sus datos, los cuales viajan a travs de una red
informtica o un medio de almacenamiento electrnico de forma segura, los
cuales deben llegar sus respectivos receptores.
6.4.2. Estndares de seguridad
Si bien los estndares nos proporcionan una base importante para llegar a
crear un modelo de seguridad, sta se basa en las polticas de seguridad de la
organizacin, las cuales determinan los procedimientos, los estndares y las
herramientas que ayudarn a estas labores16.
6.4.3. Modelo de seguridad
Son los mecanismos, protocolos, estndares, procesos, procedimientos y

actividades que se enmarcan en un conjunto de pasos para desarrollar y
mantener el control frente a los diversos dinamismos que se presentan en una
organizacin frente a los avances tecnolgicos.
6.4.4. Pymes
Son las empresas medianas o pequeas, las cuales se catalogan dentro de

este parmetro, cuando cumple con ciertos criterios y caractersticas definidas
de acuerdo a la dinmica y comportamiento del mercado y lo financiero. En
principio las caractersticas ms relevantes son la cantidad de trabajadores y el
balance general de productividad al ao, como por ejemplo:
16
Gmez, J. Seguridad de la Informacin. [en lnea]. [09 de diciembre del 2013]. Disponible en:
http://www.slideshare.net/hvillas/seguridaddela-informacion-17506228
Abril de 2015
76
Tabla 2 Categoras Empresarial17
Fuente: Tomado de Qu es una Pyme?
Categora No. Cantidad de Capital

Trabajadores
Mediana Menor de 250 50 millones
Pequea Menos de 50 10 millones
Microempresa Menos de 10 2 millones
Por consiguiente las Pymes poseen una mayor flexibilidad para adaptarse a las
diferentes medidas que puede proveer el mercado de los negocios y as
implementar proyectos de innovacin para poner en marcha propuestas que
enriquezcan la productividad del pas.
6.4.5. Norma ISO 27000
Es la norma establecida para dar a conocer por medio de las buenas prcticas
los estndares y normas de seguridad frente a cada uno de los activos
informticos de una organizacin o Pymes, de esta manera se establecer un
sistema de control para los componentes y elementos que conforman los
sistemas informticos, salvaguardando el activo ms importante de las
empresas, (informacin datos).
6.4.6. Norma ISO 27001
La norma ISO 27001, fue emitida por la Organizacin Internacional de

Normalizacin (ISO), la cual describe la forma como se debe gestionar la
seguridad de la informacin para las organizaciones. Por lo tanto al ser una
norma internacional, las empresas se pueden certificar para garantizar a sus
clientes y/o usuarios que cumplen con los estndares de seguridad
internacionales debido a sus mejores prcticas.
17
Comisin Europea. Qu es una Pyme?. [en lnea]. [15 de mayo del 2014]. Disponible en:
http://ec.europa.eu/enterprise/policies/sme/facts-figures-analysis/sme-definition/index_es.htm
Abril de 2015
77
6.4.7. Norma ISO 27002
La ISO 27002 es un estndar para gestionar la seguridad de la informacin,

debido a las recomendaciones para desarrollar las mejores prcticas entre los
administradores que deseen implementar los sistemas de gestin de la
seguridad informtica, por lo tanto la integridad, confidencialidad y
disponibilidad de los datos es el elemento para preservar a travs de los
diferentes controles dentro de sus dominios para la seguridad informtica.
6.4.8. Norma ISO 27005
La ISO 27005 es un estndar internacional que se enfoca en la gestin de los

riesgos, por lo tanto la norma establece directrices para gestionar los riesgos
con referencia a la seguridad informtica, implementando la metodologa
conforme a las necesidades y experiencias adquiridas, en el cual se determina
el soporte para el diseo de un SGSI de conformidad con la norma 27001.
6.4.9. Escalas de medicin
Las escalas de medicin son el proceso por el cual se asigna un valor a un

elemento en observacin, y este elemento se desplaza en diferentes escalas
para su interpretacin e identificacin, por lo tanto cada vulnerabilidad y
amenaza ser clasificada en la matriz de riesgo para su respectivo control.
6.4.10. Concepto de vulnerabilidad
El concepto de vulnerabilidad es muy importante porque demuestra el grado de

incapacidad para anticipar, asimilar, resistir y recuperarse de un suceso ya sea
por una catstrofe natural o un acto humano; todo esto producido por factores
internos.
6.4.11. Concepto de amenaza
Amenaza se llama a todo aquello que genera la posibilidad de que ocurra un

evento o fenmeno que puede o no causar dao (material o inmaterial) sobre
un objeto animado o inanimado, causado por el factor externo.
Abril de 2015
78
6.4.12. Concepto de riesgo
Riesgo es lo que puede llegar a pasar cuando estn de la mano la

vulnerabilidad y la amenaza juntas las cuales generaran un dao o prdida de
la estructura fsica, material o humana.
6.4.13. Escala de medicin probabilidad
Escala de medicin probabilidad es un proceso de medicin numrica que se

encuentra en un intervalo de 0 a 1 para observar la posibilidad que ocurra un
evento aun teniendo matrices y escalas de la clasificacin de los elementos.
6.4.14. Escala de medicin de impacto
La escala de medicin del impacto tiene presente los elementos observados

para que la colisin tenga un control de la matriz de riesgo que llegue a generar
el proceso.
6.4.15. Hallazgo
Un hallazgo es un proceso evaluativo frente a un dato evidenciado ya sea

novedoso u original de un aspecto natural considerndose una debilidad o
fortaleza.
6.4.16. Concepto de control
Control es la regulacin del funcionamiento de un sistema para realizar

feedback correspondientes al desempeo logrado a lo largo permitiendo que
las metas y objetivos propuestos sean cumplidos en un conjunto de acciones,
procedimientos, normas y tcnicas estipuladas.
Abril de 2015
79
6.4.17. Concepto de poltica
La poltica est basada en la toma de decisiones de un grupo para lograr que

los objetivos sean culminados satisfactoriamente, desde la orientacin,
liderazgo e intervencin de disputas de inters.
6.4.18. Concepto de procedimiento
Procedimiento es la ejecucin de una determinada tarea, por medio de un

proceso consecutivo y sistemtico, llegando al descenso del objetivo trazado
desde el comienzo del proceso.
Abril de 2015
80
6.5. Marco Legal
Cuando se piensa en la implementacin de un sistema de gestin, en este caso

el de seguridad informtica, es necesario y obligatorio tener en cuenta desde el
diseo, que se cumplan todas las leyes, decretos, normas, entre otras que
apliquen durante el desarrollo de las actividades, buscando establecer la
manera adecuada de proteger a las organizaciones y sus activos, sus
colaboradores, a terceros, y a las personas en general de cualquier delito,
infraccin, proceso, procedimiento o acto mal ejecutado, que vulnere sus
derechos, y ponga en riesgo su integridad, su buen nombre, sus activos y
cualquier otro bien al que tengan pertenencia.
Durante el diseo del SGSI para las Pymes, se debe tener en cuenta que
elementos de infraestructura hardware y software, polticas, sistemas y
metodologas de gestin del riesgo, procesos, procedimientos, planes de
seguridad y dems elementos sern necesarios para la implementacin de
SGSI, estos elementos durante su aplicacin o implementacin son
susceptibles a que se pueda omitir el cumplimiento de alguna ley, y tener
consecuencias sobre la organizacin o sobre una o ms personas en particular,
por eso es necesario conocer algunas leyes, decretos y normas que rigen
sobre estos elementos buscando la proteccin del bien individual o colectivo,
algunas de estas leyes, decretos o normas son:
Decreto 1360 de 1989, donde se reglamenta el soporte lgico

(software) en el registro nacional del derecho de autor, considerando al
software como una creacin del dominio literario en conformidad a la ley
23 de 1982 sobre derechos de autor18.
Ley 527 de 1999, que establece y reglamenta el acceso y uso de los
mensajes de datos, del comercio electrnico y las firmas digitales,
adems de establecer las entidades de certificacin y otras
disposiciones19.
18
Jaramillo, A. Manual de derecho de autor. [en lnea]. [13 de mayo del 2014]. Disponible en:
http://www.derechodeautor.gov.co/documents/10181/331998/Cartilla+derecho+de+autor+(Alfre
do+Vega).pdf/e99b0ea4-5c06-4529-ae7a-152616083d40
19
Cuervo, J. Aspectos jurdicos de internet y el comercio electrnico. [en lnea]. [13 de mayo del
2014]. Disponible en: http://www.informatica-
juridica.com/trabajos/Aspectos_juridicos_de_Internet_y_el_comercio_electronico.asp
Abril de 2015
81
Decreto 1747 de 2000, que reglamenta parcialmente la ley 527 de

1999, con lo relacionado a las entidades de certificacin, los certificados
y las firmas digitales20.
Resolucin 26930 de 2000, la cual fija los estndares para la
autorizacin y el funcionamiento de las entidades de certificacin y sus
auditores21.
Ley estatutaria 1266 de 2008, que establece las disposiciones
generales del habeas data y regula el manejo de la informacin que se
contiene en las bases de datos personales, especialmente la financiera,
crediticia, comercial, de servicios y la proveniente de terceros pases22.
Ley 1273 de 2009, con la que se modifica el cdigo penal, se crea u
nuevo bien jurdico denominado "de la proteccin de la informacin y de
los datos", y se preservan integralmente los sistemas que utilicen las
tecnologas de informacin y de comunicaciones23.
20
Decreto. Artculo 160 del Decreto ley 19 de 2012. [en lnea]. [13 de mayo del 2014].
Disponible en:
http://www.sic.gov.co/documents/10165/2142817/DECRETO+333+DEL+19+DE+FEBRERO+D
E+2014+VIG+ENTES+ACREDITAC.pdf/3dcd1c36-533a-48fa-a72c-7fcb2181e771
21
Resolucin. Por la cual se fijan los estndares para la autorizacin y funcionamiento de las
entidades de certificacin y sus auditores. [en lnea]. [13 de mayo del 2014]. Disponible en:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=5793
22
Concepto. Oficina juridicial nacional. [en lnea]. [13 de mayo del 2014]. Disponible en:
http://www.legal.unal.edu.co/sisjurun/normas/Norma1.jsp?i=42011
23
DELTA. (2014). Ley de delitos informticos en Colombia. [en lnea]. [13 de mayo del 2014].
Disponible en: http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-
delitos-informaticos-en-colombia
Abril de 2015
82
7. DISEO METODOLGICO
Se realizara una investigacin de tipo factible, que consiste en el anlisis y

desarrollo de una propuesta acerca del diseo de un SGSI para las Pymes,
basado en estndares y normas internacionales, utilizando metodologas de
desarrollo de proyectos, acordes a las buenas prcticas para la implementacin
y mejora continua del mundo actual. Atendiendo a esta modalidad de proyecto,
se introducirn tres fases para el estudio con el fin de determinar que se
cumpla con los requisitos del proyecto factible.
En la primera etapa se desarrolla una evaluacin de los riesgos actuales y

potenciales, as como las vulnerabilidades que enfrentan las Pymes, ante los
intentos constantes de los ciberdelincuentes por apropiarse de la informacin
confidencial o tratar de dejar sus sistemas inutilizados temporal o
permanentemente, en esta etapa tambin se evaluar la situacin actual de
dichas empresas en cuanto a los mtodos y herramientas utilizadas para
defenderse de los posibles ataques informticos internos y externos.
En la segunda etapa y de acuerdo a los resultados de la evaluacin de las

situaciones que generan riesgos, vulnerabilidades y procesos implementados
en la actualidad, se propondr un diseo del SGSI acorde a las necesidades de
las empresas y a las que el medio trae de manera implcita, por consiguiente se
realizara una ponderacin de cada uno de los ataques evidenciados, para
determinar la probabilidad de ocurrencia a partir de las veces en que se repite
un suceso de ataque informtico, clasificando en la matriz de riesgos, donde se
evidencia una probabilidad alta, media y baja, dependiendo de la cantidad de
veces en suceder el hecho, asimismo se determinara el impacto a travs del
peor escenario propuesto en un instante de tiempo en el que se pueda
presentar el hecho, con el fin de clasificarla en un aspecto de leve impacto,
moderado impacto y catastrfico impacto; por consiguiente se identificaran las
acciones y procesos a realizar para el diseo del SGSI.
7.1. Lnea y Tipo de Investigacin
La lnea de investigacin corresponde: gestin de sistemas, los cuales

representan un gran campo de indagacin debido a sus dinamismos a travs
de la evolucin de las tecnologas de la informacin, dicha investigacin se
ver representada en el diseo de un sistema de gestin de la seguridad
informtica.
Abril de 2015
83
7.2. Diseo de la Investigacin
En funcin a los objetivos propuestos para el proyecto y dentro de la modalidad

de investigacin definida, se implementaran la auditora y tcnicas de
recoleccin de informacin, para tal efecto se cumplir con tres etapas, la
primera de ellas hace referencia a la delimitacin del objeto de estudio y la
elaboracin del marco terico, la segunda determina la realizacin de la
evaluacin de los riesgos, vulnerabilidades y situacin actual de las Pymes en
el tema de seguridad informtica, la tercera se enfoca en el diseo de un SGSI
que permita minimizar dichos riesgos, e implementar procesos adecuados con
estndares de calidad, los riesgos que se analizarn son de tipo interno y
externo y los procesos que estn implementados para su mitigacin o
prevencin.
7.3. Instrumentos de Recoleccin de Informacin
Para efectos de la investigacin se har uso de todas las fuentes bibliogrficas

posibles, textos, manuales, tesis, internet, revistas tcnicas, ponencias de
expertos, y dems elementos documentales, que permitan recopilar a su vez,
antecedentes relacionados con la investigacin.
De este modo tambin se utilizar la observacin directa y las entrevistas, de

tal manera que permitan complementar las evaluaciones a realizar.
7.4. Poblacin y Muestra (Universo)
La poblacin total del tema de estudio se estima entre 2 o 3 empresas y/o

Pymes del sector textil en las ciudades de Medelln, Itag y Bogot D.C.,
correspondiente a algunas asociaciones de Colombia que registran en cmara
de comercio de las diferentes zonas del pas.
La poblacin que servir como objeto de investigacin, puede identificarse en

personas, equipos, procedimientos y procesos en las Pymes Colombianas, por
lo tanto se podr tomar muestras a travs de la entrevista y la auditora a
profesionales de sistemas, directivos u operadores de los sistemas de cmputo
de cada Pyme, as como de procedimientos implementados, procesos
ejecutados, equipos involucrados en los procesos y herramientas locales y
externas.
Abril de 2015
84
Para el clculo de la muestra de tal manera que sea representativa al total de la

poblacin, se tendr en cuenta los siguientes factores:
El tamao de la muestra (n)

El nivel de confianza (Z)
Desviacin estndar de la poblacin ()
El tamao de la poblacin (N)
El margen de error que se acepta(e)
Estos factores se denotan en la siguiente frmula y a continuacin se exponen

los valores reales para determinar la muestra del total de la poblacin que ser
representativa para conocer la situacin generalizada de la poblacin que es
objeto de estudio o investigacin.
Tamao de la poblacin: 3
Margen de error: 5%
Nivel de confianza: 90%
Desviacin estndar o variabilidad: 50%
7.5. Fases Metodolgicas o Metodologa de la Investigacin
Fase I: Esta se basar en la descripcin de los riesgos, vulnerabilidades y

sistemas implementados actualmente para su mitigacin en las Pymes
abordadas.
En esta fase se utilizaran herramientas como:
La observacin directa, cuya finalidad es verificar de una manera

visual la implementacin de seguridad informtica vigente en las
empresas, a su vez visualizar los mtodos de trabajo y control del
personal y los planes de contingencia establecidos ante eventuales
ataques.
Las entrevistas a los profesionales del rea de sistemas, quienes son
los ms documentados y experimentados en la ejecucin de procesos
informticos, de esta manera conocer las medidas de prevencin con
las que cuenta la organizacin, por ende son los ms indicados para
ofrecer informacin relevante para el estudio.
Abril de 2015
85
Fase II: Est basada en la seleccin de herramientas de evaluacin que

servirn para diagnosticar el nivel de riesgo por procesos, las herramientas
utilizadas son:
Auditora, que se pueden realizar inclusive a algunos usuarios

diferentes al rea de sistemas, y pueden ayudar a evaluar las
actividades realizadas por estas personas y conocer que riesgos se
afrontan de acuerdo a dicha actividad.
Lista de chequeo, permiten evaluar la capacidad de respuesta que
tienen estas empresas ante un eventual ataque informtico.
Fase III: Se trata de la generacin de propuestas de un diseo de SGSI para la
organizacin.
La generacin de las alternativas se realiza de acuerdo a los

resultados y el estudio de las evaluaciones realizadas, y aunque
pueden variar de una empresa a otra se har una propuesta que
pueda ser adoptada por cualquier Pyme, tomando en cuenta los
riesgos existentes y generalizados al interior y exterior de este tipo de
empresas.
Abril de 2015
86
8. NOMBRE DE LAS PERSONAS QUE PARTICIPARAN EN EL

PROCESO
Tabla 3 Responsables del Proyecto
Nombre Cargo
Ing. Carlos Alberto Taborda Ingeniero investigador del proyecto

Bedoya
Ing. Alexnder Guzmn Ingeniero de Sistemas investigador del

Garca proyecto.
Ing. Francisco Solarte Solarte Director del proyecto de investigacin
Abril de 2015
87
Proyecto de Grado
9. DESARROLLO DE LA AUDITORA
9.1. Plan de auditora
9.1.1. Objetivo de la auditora
Diagnosticar los sistemas de informacin de las 2 empresas visitadas,

identificando los hallazgos encontrados para establecer decisiones sobre las
evidencias y disear el sistema de gestin de la seguridad informtica - SGSI
para las Pymes del sector textil en Medelln, Itag y Bogot D.C.
9.1.2. Alcance de la auditora
Determinar a travs de los hallazgos encontrados, los controles y las

recomendaciones para la implementacin y diseo de un sistema de gestin
dela seguridad informtica SGSI.
9.1.3. Metodologa para desarrollo de la auditora
Pasos para cumplir cada uno de los objetivos propuestos

Recursos para llevarla a cabo
Recursos humanos, tecnolgicos para llevar a cabo la auditora
Cronograma de actividades
Diagrama de Gantt
9.2. Programa de auditora
9.2.1. Estndares ISO
Conforme a la norma ISO 27001:2013 se seleccionaron los siguientes controles

y dominios para aplicar la auditora en cada empresa, Pyme u organizacin.
Abril de 2015
88
Proyecto de Grado
Tabla 4 Dominios y procesos seleccionados 24
Fuente: Tabla estructurada con los dominios y procesos seleccionados
DECLARACIN DE APLICABILIDAD
REF. CONTROL
5. POLTICA DE SEGURIDAD
5.1. Poltica de Seguridad de la Informacin
5.1.1 Conjunto de polticas para la seguridad de la informacin
5.1.2 Revisin de las polticas para la seguridad de la informacin
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACIN
6.1. Organizacin Interna
6.1.1 Asignacin de responsabilidades para la seguridad de la informacin
6.1.2 Segregacin de tareas
6.1.5 Seguridad de la informacin en la gestin de proyectos
6.2. Dispositivos para movilidad y teletrabajo
6.2.1. Poltica de uso de dispositivos para movilidad
6.2.2. Teletrabajo
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
7.2. Seguridad en el desempeo de las funciones del empleo (Durante la
contratacin)
7.2.1 Responsabilidades de gestin
informacin
8. GESTIN DE ACTIVOS
8.1. Responsabilidad sobre los activos
8.1.1 Inventario de Activos
8.1.2 Propiedad de los activos
8.1.3. Uso aceptable de los activos
8.1.4. Devolucin de activos
8.2. Clasificacin de la informacin
8.2.1. Directrices de clasificacin
8.2.2. Etiquetado y manipulado de la informacin
8.2.3. Manipulacin de activos
9. CONTROL DE ACCESO
9.1 Requerimientos de negocio para el control de acceso
9.1.1 Poltica de control de acceso
9.2. Gestin de acceso de usuario
9.2.1 Gestin de altas/bajas en el registro de usuarios
9.2.3 Gestin de los derechos de acceso con privilegios especiales
9.3. Responsabilidades de usuario
9.3.1 Uso de informacin confidencial para la autenticacin
9.4. Control de acceso a sistemas operativo y aplicaciones
24
Abril de 2015
89
Proyecto de Grado
9.4.1 Restriccin del acceso a la informacin

9.4.2 Procedimientos seguros de inicio de sesin
9.5.4 Uso de herramientas de administracin de sistemas
10. CIFRADO
10.1 Controles criptogrficos
10.1.1 Poltica de uso de los controles criptogrficos
10.1.2 Gestin de claves
11. SEGURIDAD FSICA Y DEL ENTORNO
11.1. reas seguras
11.1.2 Controles fsicos de entrada
11.1.3 Seguridad de oficinas, despachos y recursos
11.1.4 Proteccin contra las amenazas externas y ambientales
11.2. Seguridad de los equipos
11.2.1 Emplazamiento y proteccin de equipos
11.2.2 Instalaciones de suministro
11.2.3 Seguridad del cableado
11.2.4 Mantenimiento de los equipos
12. SEGURIDAD EN LA OPERATIVA
12.2. Proteccin contra cdigo malicioso
12.3. Copias de seguridad
12.3.1 Copias de seguridad de la informacin
12.4. Registro de actividad y supervisin
12.4.1 Registro y gestin de eventos de actividad
12.4.3 Registros de actividad del administrador y operador del sistema
12.6 Gestin de las vulnerabilidades tcnicas
12.6.1 Gestin de las vulnerabilidades tcnicas
12.6.2 Restricciones en la instalacin de sistema operativo (S.O.)
12.7 Consideraciones de las auditoras de los sistemas de informacin
12.7.1 Controles de auditora de los sistemas de informacin
13. SEGURIDAD EN LAS TELECOMUNICACIONES
13.2 Intercambio de informacin
13.2.3 Mensajera electrnica
13.2.4 Acuerdos de confidencialidad y secreto
14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIN
14.1 Requisitos de seguridad de los sistemas de informacin
14.1.1 Anlisis y especificacin de los requisitos de seguridad
14.3 Datos de prueba
14.3.1 Proteccin de los datos utilizados en pruebas
16. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
16.1. Gestin de incidentes de seguridad de la informacin y mejoras
16.1.6 Aprendizaje de los incidentes de seguridad de la informacin
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN
DE LA CONTINUIDAD DEL NEGOCIO
Abril de 2015
90
Proyecto de Grado
17.1. Aspectos de la seguridad de la informacin en la gestin de la

17.1.1 Planificacin de la continuidad de la seguridad de la informacin
17.1.3 Verificacin, revisin y evaluacin de la continuidad de la seguridad
de la informacin
18. CUMPLIMIENTO
18.1. Cumplimiento de los requisitos legales y contractuales
18.1.1 Identificacin de la legislacin aplicable
18.1.2 Derechos de propiedad intelectual (DPI)
18.1.3 Proteccin de los registros de la organizacin
18.1.4 Proteccin de datos y privacidad de la informacin personal
18.2. Revisiones de la seguridad de la informacin
18.2.2 Cumplimiento de las polticas y normas de seguridad
Abril de 2015
91
Proyecto de Grado
9.3. Etapas de la auditora - etapa de conocimiento de las empresas
9.3.1. Informe director Guille Sport:
Realizado por:
Alexander Guzmn Garca
9.3.1.1. Tema Guille Sport:
Visita inicial a Pymes del sector textil en Medelln y su rea metropolitana y

Bogot.
Figura 1 Organigrama Guille Sport25
Fuente: Estructura organizacional tomada de la empresa Guille Sport
GERENTE
SECRETARIA
OPERARIOS CORTADOR ESTAMPADOR
9.3.1.2. Objetivo Guille Sport:
Conocer a travs de una primera visita, los recursos de infraestructura y de

informtica utilizados en las Pymes para gestionar y mantener su informacin.
9.3.1.3. Descripcin general Guille Sport:
Se realiz una primera visita a la microempresa Guille Sport, ubicada en el

municipio de Bello-Antioquia, empresa que se dedica al corte, confeccin y
venta de prendas deportivas masculinas y femeninas, buscando obtener
informacin sobre la infraestructura que manejan para dar gestin a la
informacin concerniente a desarrollo de actividades propias del negocio.
25
Fuente: Estructura organizacional tomada de la empresa Guille Sport
Abril de 2015
92
Proyecto de Grado
El proceso se constituy a travs de una visita de observacin avalada por el

propietario de la empresa, y despus de realizar dicha visita, se presenta a
continuacin la infraestructura hallada:
9.3.1.4. Activos de informacin Guille Sport
Para el manejo de informacin, la empresa cuenta con los siguientes activos:
Tabla 5 Inventario de activos Guille Sport26
Fuente: Tomado de UNAD. Inventario de activos
Inventario de activos
Tipos de activos Nombre de activos empresa Guille Sport
Activo de Datos de clientes y proveedores (Archivos en Excel)

informacin
Documentos Fsicos (Libro contable, facturas entre
otros)
Software o El software no est licenciado

aplicacin
Hardware PC1 Computador de escritorio Clon. Utilizado por el

propietario de la empresa.
PC2 Computador porttil. Utilizado por la secretaria o por

su reemplazo.
Impresora multifuncional
Disco duro extrable de 1 Tera
Instalacin Cables para el fluido elctrico
Servicios Conectividad a internet
Personal Empleados de las diferentes lneas de produccin,

secretaria y propietario
26
UNAD. Inventario de activos. [en lnea]. [09 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/321_paso_1_inventario_de_activos.html
Abril de 2015
93
Proyecto de Grado
9.3.1.5. Infraestructura fsica Guille Sport
La empresa Guille Sport se encuentra ubicada en el municipio de Bello-

Antioquia, en un sector residencial, en un edificio compuesto por varios locales
destinados al comercio, el local es un rea abierta donde se encuentran zona
de corte, zona de confeccin, zona de estampado, escritorio de secretaria y
oficina del propietario de la empresa, en esta empresa laboran generalmente
entre 6 y 10 empleados, dependiendo de temporadas del ao donde se trabaja
con mayor o menor produccin.
Ilustracin 2 Zona Corte Guille Sport27
Ilustracin 3 Zona confeccin Guille Sport28
27
Fotografa de la empresa Guille Sport
28
Abril de 2015
94
Proyecto de Grado
9.3.1.6. Infraestructura informtica Guille Sport
La infraestructura informtica se basa en un servicio de conexin a internet

banda ancha de 20 megas, con un modem inalmbrica para brindar conexin
a otros equipos dentro de la empresa.
La empresa cuenta con dos equipos de cmputo con sistema operativo

Windows 7(no licenciado), uno destinado para el propietario de la misma, y el
otro para el uso de la secretaria, tambin poseen una impresora multifuncional,
cuentan con un modem instalado por un proveedor ISP, conectado por cable al
equipo del propietario de la empresa y por va inalmbrica al equipo de la
secretaria. A su vez, el propietario de la empresa cuenta con un disco duro
portable conectado a su PC.
Ilustracin 4 Mquina estampado Guille Sport29
Ilustracin 5 Equipo PC Guille Sport30
29
30
Abril de 2015
95
Proyecto de Grado
Tabla 6 Valoracin para activos Guille Sport31
Fuente: Tomado de UNAD. Valoracin de los activos
Escala de valoracin cualitativa y cuantitativa para los activos
Valoracin Cualitativa Escala de valor cuantitativo Valor cuantitativo
Muy Alto (MA) > $ 15.000.000 $ 16.000.000
Alto (A) $ 15.000.000 <valor> $ $ 7.500.000

6.000.000
Medio (M) $ 6.000.000 <valor> $ $ 3.000.000
1.000.000
Bajo (B) $ 1.000.000 <valor> $ 100.000 $ 500.000
Muy Bajo (MB) $ 100.000 <valor> $ 30.000 $ 50.000
Tabla 7 Criterio de valoracin de activos Guille Sport32
Fuente: Tomado de seguridad informtica. pilar - herramienta para anlisis y

gestin de riesgos
Valor Criterio
10 Dao muy grave
7-9 Dao grave
4-6 Dao importante
1-3 Dao menor
0 Irrelevante
31
UNAD. Valoracin de los activos. [en lnea]. [25 de febrero del 2015]. Disponible en:
online/322__paso_2_valoracin_de_los_activos.html.
32
SEGURIDAD INFORMTICA. PILAR - Herramienta para Anlisis y Gestin de Riesgos. [en
lnea]. [25 de febrero del 2015]. Disponible en:
https://seguridadinformaticaufps.wikispaces.com/PILAR+-
+Herramienta+para+An%C3%A1lisis+y+Gesti%C3%B3n+de+Riesgos
Abril de 2015
96
Proyecto de Grado
Valoracin de activos de acuerdo a la dimensiones de seguridad y criterios para activos.
Tabla 8 Dimensiones de los riesgos Guille Sport33
Fuente: Tomado de UNAD. Dimensiones de Seguridad
Dimensiones
Tipo Nombre De Activo
dao
Qu perjuicio
Qu perjuicio
no
Qu perjuicio
no
dao
no
causara que
causara que
Confidencialid
Disponibilidad
Autenticidad
Trazabilidad
Integridad
estuviera
causara
causara
causara
saber
Qu
Qu
ad
Activo de Datos de clientes y proveedores(Archivos en Excel) [9][A] [9][A] [6][M] [8][A]
informacin
Documentos Fsicos [10][MA] [1][MB] [1][MB]
Software o El software no est licenciado [10][MA]

aplicacin
Hardware PC1 Computador de escritorio Clon. Utilizado por el [9][A] [9][A] [6][M] [6][M]
PC2 Computador porttil. Utilizado por la secretaria o [8][A] [6][M] [6][M] [6][M]
por su reemplazo.
33
UNAD. Dimensiones de Seguridad. [en lnea]. [05 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/3221_dimensiones_de_seguridad.html
Abril de 2015
97
Proyecto de Grado
Impresora multifuncional [3][MB]
Disco duro extrable de 1 Tera [8][A] [8][A] [6][M] [6][M]
Instalacin Cables del fluido elctrico [7][M]
Personal Empleados de las diferentes lneas de produccin, [9][A]

secretaria y propietario
Tabla 9 Dimensiones de valoracin del impacto Guille Sport34
Fuente: Tomado de introduccin a la seguridad informtica
Cd. Nombre Dimensiones de

valoracin
[D] Disponibilidad
[I] Integridad de los datos
[C] Confidencialidad de la
informacin
[A] Autenticidad
[T] Trazabilidad
34
Mifsud, Elvira. Introduccin a la seguridad informtica. [en lnea]. [25 de febrero del 2015]. Disponible en:
http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-introduccion-a-la-seguridad-informatica?showall=1
Abril de 2015
98
Proyecto de Grado
Tabla 10 Amenazas Guille Sport35
Fuente: Tomado de UNAD. Identificacin de amenazas
Cd. Amenazas Impacto
[N] Desastres Naturales
[N.1] Incendio [D][I]
Inundacin [D][I]
[N.2]
[I] De origen industrial
Avera de origen fsico [D]

[I.5]
[I.7] Condiciones inadecuadas de temperatura o [D]

humedad
[I.9] Interrupcin de otros servicios o suministros [D]

esenciales
[E] Errores y fallos no intencionados
[E.1] Errores de los usuarios [D][I][C]
[E.16] Introduccin de falsa informacin [I]
[A] Ataques deliberados
Acceso no autorizado [D][I][C][A][T]

[A.11]
[A.15] Modificacin deliberada de la informacin [I]
Introduccin de falsa informacin [I]

[A.16]
Destruccin de la informacin [D][I]
[A.18]
Robo de equipos [D][I][C][A][T]
[A.25]
Ingeniera social [D][I][C][A][T]
[A.30]
35
UNAD. Identificacin de amenazas. [en lnea]. [25 de febrero del 2015]. Disponible en:
online/3231_identificacin_de_amenazas.html
Abril de 2015
99
Proyecto de Grado

Guille Sport36
Fuente: Tomado de UNAD. Valoracin de amenazas
Impacto Valoracin
del impacto
Muy Alto 100%

(MA)
Alto (A) 75%
Medio (M) 50%
Bajo (B) 20%
Muy bajo 5%
(MB)
Tabla 12 Escala de rango de frecuencia de amenazas Guille Sport37
Vulnerabilidad Rango Valor
Frecuencia muy alta 1 vez al da 100
Frecuencia alta 1 vez cada semana 70
Frecuencia media 1 vez cada 2 meses 50
Frecuencia baja 1 vez cada 6 meses 10
Frecuencia muy baja 1 vez al ao 5
36
UNAD. Valoracin de amenazas. [en lnea]. [17 de febrero del 2015]. Disponible en:
online/3232_valoracin_de_amenazas.html
37
Ibd., p. 1.
Abril de 2015
100
Proyecto de Grado
Tabla 13 Valoracin de las amenazas Guille Sport38
Cd. Amenazas Frecuencia Impacto Causas
[N.1] Incendio 100% Acumulacin de

gases, tormentas
elctricas.
Inundacin 5 50% Lluvia

[N.2]
Averas de origen fsico 5 20% Cortos circuitos,

[I.5]
variacin
elctrica,
apagado
incorrecto
Condiciones inadecuadas 5 20% Humedades en

[I.7]
de temperatura o paredes
humedad
[I.9] Interrupcin de otros 50 5% Interrupcin del

servicios o suministros fluido elctrico o
esenciales acceso a internet
Errores de los usuarios 50 5% Falta de

[E.1]
conocimiento en
manejo de
sistemas de
informacin.
[E.16] Introduccin de falsa 50 20% Personal poco
informacin idneo para
ingresar o
actualizar la
informacin
38
Ibd., p. 1.
Abril de 2015
101
Proyecto de Grado
Acceso no autorizado 5 5% Equipos sin

[A.11]
controles para el
acceso a los
mismos
Modificacin deliberada 5 20% Intencin de

de la informacin daos a la
[A.15]
empresa
Introduccin de falsa 50 20% Intencin de
[A.16]
informacin daar y afectar
la empresa o sus
procesos
Robo de equipos 5 5% Poca seguridad

[A.25]
de la zona
geogrfica
Ingeniera social 5 5% Desconocimiento

[A.30]
o exceso de
confianza de
algunos
empleados
Abril de 2015
102
Proyecto de Grado
9.3.2. Informe director Color Shop:
Realizado por:
Alexander Guzmn Garca
9.3.2.1. Tema Color Shop:
Visita inicial a Pymes del sector textil en Medelln y su rea metropolitana y

Bogot.
Figura 2 Organigrama Color Shop39
Fuente: Estructura organizacional tomada de la empresa Color Shop
GERENTE
CONDUCTOR
APOYO/ASISTENTE OPERARIOS
9.3.2.2. Objetivo Color Shop:
Conocer a travs de una primera visita, los recursos de infraestructura

informtica utilizados en las Pymes para gestionar y mantener su informacin.
9.3.2.3. Descripcin General Color Shop:
Se realiz una primera visita a la microempresa Color Shop, ubicada en el

municipio de Medelln-Antioquia, en el barrio Sagrado Corazn, empresa que
se dedica a la terminacin de procesos industriales para prendas de vestir,
especialmente pantalones (jeans), con la visita se pretende obtener informacin
sobre la infraestructura que manejan para dar gestin a la informacin
concerniente al desarrollo de actividades propias del negocio.
39
Fuente: Estructura organizacional tomada de la empresa Color Shop
Abril de 2015
103
Proyecto de Grado
El proceso se constituy a travs de una visita de observacin avalada por el

propietario de la empresa, y despus de realizar dicha visita, se presenta a
continuacin la infraestructura hallada:
9.3.2.4. Activos de informacin Color Shop
Para el manejo de informacin, la empresa cuenta con los siguientes activos:
Tabla 14 Inventario de activos Color Shop40
Fuente: Tomado de UNAD. Inventario de activos
INVENTARIO DE ACTIVOS
Tipos de activos Nombre de activos empresa Guille Sport
Activo de Datos de clientes, proveedores y personal (Archivos de

informacin Microsoft Excel)
Documentos Fsicos (Libro contable, facturas)
Software o Sistema Operativo Windows 7 Home Edition licencias

aplicacin OEM
Office 2007 licencias OEM
Antivirus Microsoft Security Essentials
Hardware PC1 Computador de escritorio marca HP. Utilizado por el

PC2 Computador de escritorio marca HP. Utilizado por

algunos de los empleados para informar procesos
realizados.
Impresora multifuncional HP 1515 deskjet
2 memorias USB de 16 GB
Instalacin Cables para el fluido elctrico
Servicios Conectividad a internet
40
UNAD. Inventario de activos, op. cit, p.1.
Abril de 2015
104
Proyecto de Grado
Personal Empleados y propietario
Otros Sistema de video vigilancia Cctv
9.3.2.5. Infraestructura Fsica Color Shop
La empresa Color Shop se encuentra ubicada en el municipio de Medelln-

Antioquia, en un sector industrial, el edificio donde se encuentra ubicado cuenta
con diferentes locales para el comercio y fabricacin de distintas lneas de
productos, el local se divide en varias reas separadas donde se realizan
procesos como estampado y tintorera, adems de la oficina del propietario de
la empresa, la empresa tiene un total de 10 empleados, pero en temporadas de
mayor produccin se puede tener hasta 16.
Ilustracin 6 Zona Produccin Color Shop41
Ilustracin 7 Zona Produccin 2 Color Shop42
41
Fotografa de la empresa Color Shop
42
Abril de 2015
105
Proyecto de Grado
9.3.2.6. Infraestructura Informtica Color Shop
La infraestructura informtica se compone de un servicio de conexin a internet

banda ancha de 10 megas, con un modem inalmbrico para brindar conexin
a otros equipos dentro de la empresa.
La empresa cuenta con dos equipos de cmputo marca HP con sistema

operativo Windows 7 licencia OEM, y con el software de ofimtica Office 2007
cuya licencia tambin es OEM, los equipos cuentan con el antivirus propio de
Microsoft(Microsoft Security Essentials), que se descarga de manera gratuita
para este tipo de licencias del S.O, los equipos se utilizan as: uno destinado
para el propietario de la empresa, y el otro para el uso de algunos de los
empleados para datar procesos realizados en determinados espacios de
tiempo, tambin poseen una impresora multifuncional marca HP, cuentan con
un modem instalado por un proveedor ISP, conectado por cable al equipo del
propietario de la empresa y por va inalmbrica al otro equipo el cual posee una
tarjeta de red inalmbrica para este fin.
El local cuenta con un sistema de video vigilancia Cctv con dos cmaras que
apuntan una hacia el interior y otra hacia el exterior del mismo, el cual guarda
la informacin en un disco duro de 160GB.
Ilustracin 8 Equipo PC Color Shop43
43
Abril de 2015
106
Proyecto de Grado
Tabla 15 Valoracin para activos Color Shop44
Fuente: Tomado de UNAD. Valoracin de los activos
ESCALA DE VALORACIN CUALITATIVA Y CUANTITATIVA PARA LOS

ACTIVOS
Valoracin Cualitativa Escala de valor cuantitativo Valor cuantitativo
Muy Alto (MA) > $ 15.000.000 $ 16.000.000
Alto (A) $ 15.000.000 <valor> $ $ 7.500.000

6.000.000
Medio (M) $ 6.000.000 <valor> $ 1.000.000 $ 3.000.000
Bajo (B) $ 1.000.000 <valor> $ 100.000 $ 500.000
Muy Bajo (MB) $ 100.000 <valor> $ 30.000 $ 50.000
Tabla 16 Criterio de Valoracin de activos Color Shop45
Fuente: Tomado de seguridad informtica. PILAR - Herramienta para anlisis y

gestin de riesgos
Valor Criterio
10 Dao muy grave
7-9 Dao grave
4-6 Dao importante
1-3 Dao menor
0 Irrelevante
44
UNAD. Valoracin de los activos, op. cit, p.1.
45
SEGURIDAD INFORMTICA. PILAR - Herramienta para Anlisis y Gestin de Riesgos, op.
cit, p.1.
Abril de 2015
107
Proyecto de Grado
Valoracin de activos de acuerdo a la dimensiones de seguridad y criterios para activos
Tabla 17 Dimensiones de los riesgos Color Shop46
Fuente: Tomado de UNAD. Dimensiones de Seguridad
Dimensiones
Tipo Nombre de Activo
dao
Qu perjuicio
Qu perjuicio
no
Qu perjuicio
no
dao
no
causara que
causara que
Confidencialid
Disponibilidad
Autenticidad
Trazabilidad
Integridad
causara
causara
causara
Qu
Qu
ad
Activo de Datos de clientes, proveedores y personal (Archivos de [9][A] [9][A] [8][M] [8][A]
informacin Microsoft Excel)
Documentos Fsicos (Libro contable, facturas) [10][MA] [1][MB] [9][A]
Software o Sistema Operativo Windows 7 Home Edition licencias OEM [6][M] 9][A] [8][A] 9][A]
aplicacin
Office 2007 licencias OEM 9][A] [6][M] 9][A]
Antivirus Microsoft Security Essentials [8][A] [8][A] [8][A]
Hardware PC1 Computador de escritorio marca HP. Utilizado por el [9][A] [9][A] [6][M] [6][M]
46
UNAD. Dimensiones de Seguridad, op. cit, p.1.
Abril de 2015
108
Proyecto de Grado
PC2 Computador de escritorio marca HP. Utilizado por [8][A] [8][M] [6][M] [6][M]
algunos de los empleados para informar procesos
realizados.
Impresora multifuncional HP 1515 deskjet [3][MB]
2 memorias USB de 16 GB [8][A] [8][A] [6][M] [6][M]
Instalacin Cables del fluido elctrico [7][M]
Personal Empleados y propietario [9][A]
Otros Sistema de video vigilancia Cctv [9][A] [9][A]
Abril de 2015
109
Proyecto de Grado
Tabla 18 Dimensiones de valoracin del impacto Color Shop47
Fuente: Tomado de Fuente: Tomado de introduccin a la seguridad informtica
Cod. Nombre Dimensiones de

valoracin
[D] Disponibilidad
[I] Integridad de los datos
[C] Confidencialidad de la
informacin
[A] Autenticidad
[T] Trazabilidad
Tabla 19 Amenazas Color Shop48
Fuente: Tomado de UNAD. Identificacin de amenazas
Cod. Amenazas Impacto
[N.1] Incendio [D][I]
[N.2] Inundacin [D][I]
[I.5] Avera de origen fsico [D]
[I.7] Condiciones inadecuadas de temperatura o humedad [D]
Interrupcin de otros servicios o suministros esenciales [D]

[I.9]
[E.1] Errores de los usuarios [D][I][C]
[E.16] Introduccin de falsa informacin [I]
47
Mifsud, Elvira, op. cit, p.1.
48
UNAD. Identificacin de amenazas, op. cit, p.1.
Abril de 2015
110
Proyecto de Grado
Acceso no autorizado [D][I][C][A][T]

[A.11]
[A.15] Modificacin deliberada de la informacin [I]
Introduccin de falsa informacin [I]

[A.16]
Destruccin de la informacin [D][I]
[A.18]
[A.25] Robo de equipos [D][I][C][A][T]
[A.30] Ingeniera social

[D][I][C][A][T]

Color Shop49
Impacto Valoracin
del impacto
Muy Alto 100%

(MA)
Alto (A) 75%
Medio (M) 50%
Bajo (B) 20%
Muy bajo 5%
(MB)
49
UNAD. Valoracin de amenazas, op. cit, p.1.
Abril de 2015
111
Proyecto de Grado
Tabla 21 Escala de rango de frecuencia de amenazas Color Shop50
Vulnerabilidad Rango Valor
Tabla 22 Valoracin de las amenazas Color Shop51
Cd. Amenazas Frecuencia Impacto Causas
[N.1] Incendio 100% Acumulacin de gases,

tormentas elctricas.
Inundacin 5 50% Lluvia

[N.2]
[I.5] Averas de origen 5 20% Cortos circuitos,

fsico variacin elctrica,
apagado incorrecto
Condiciones 5 20% Humedades en paredes

[I.7]
inadecuadas de
temperatura o
humedad
Interrupcin de 50 5% Interrupcin del fluido

[I.9]
otros servicios o elctrico o acceso a
suministros
50
51
Abril de 2015
112
Proyecto de Grado
esenciales internet
Errores de los 50 5% Falta de conocimiento

[E.1]
usuarios en manejo de sistemas
de informacin.
Introduccin de 50 20% Personal poco idneo
[E.16]
falsa informacin para ingresar o
actualizar la informacin
[A.11] Acceso no 5 5% Equipos sin controles

autorizado para el acceso a los
mismos
Modificacin 5 20% Intencin de daos a la

deliberada de la empresa
[A.15]
informacin
[A.16] Introduccin de 50 20% Intencin de daar y

falsa informacin afectar la empresa o sus
procesos
[A.25] Robo de equipos 5 5% Poca seguridad de la

zona geogrfica
[A.30] Ingeniera social

5 5% Desconocimiento o
exceso de confianza de
algunos empleados
Abril de 2015
113
Proyecto de Grado
10. TCNICAS DE TRABAJO DISEO DE LOS INSTRUMENTOS
10.1. Diseo de la encuesta de auditora para las Pymes
Para el desarrollo e implementacin de la tcnica de trabajo y diseo de los instrumentos de auditora, se tom como base la
apreciacin de cada uno de los dominios identificados, por lo tanto a partir del modelo de madurez de COBIT se estableci la
clasificacin para conceptuar cada dominio evaluado, y as identificar los riesgos asociados a cada proceso emparejando la
calificacin como:
0 = No se aplica la gestin de
procesos52
1 = Los procesos son ad hoc y
desorganizados53
2 = Los procesos siguen un cierto
patrn54
3 = Los procesos estn documentados
y comunicados55
4 = Los procesos se monitorizan y se
miden56
5 = Los procesos se mejoran y
optimizan57
52
Senn, J. Gestin de riesgo COBIT. [en lnea]. [25 de febrero del 2015]. Disponible en:
http://www.revistadintel.es/Revista1/DocsNum32/SISA/SISA32.pdf
53
Ibd., p. 2.
54
Ibd., p. 2.
55
Ibd., p. 2.
56
Ibd., p. 2.
Abril de 2015
114
Proyecto de Grado
No PARMETRO Calificacin Hallazgo

0 = No se 1 = Los 2 = Los 3 = Los 4 = Los 5 = Los Verba Documenta
aplica la procesos procesos procesos estn procesos se procesos l l
gestin de son ad siguen un documentados monitorizan se
procesos hoc y cierto y comunicados y se mejoran y
desorganiza patrn miden optimizan
dos
A5: EVALUACIN QUE PERMITE EVALUAR LA POLTICA DE SEGURIDAD DE LA INFORMACIN
A5.1. Poltica de Seguridad
de la Informacin
Conjunto de polticas
para la seguridad de la
informacin
1 Est definida la poltica
de seguridad para la
empresa?
2 Se encuentran
definidos los objetivos
generales y el alcance
de seguridad
informtica, como
mecanismo para
compartir informacin?
3 Se tiene la estructura
necesaria para
establecer los objetivos
de control, evaluando
los riesgos?
necesaria para
establecer la gestin de
57
Ibd., p. 2.
Abril de 2015
115
Proyecto de Grado
los riesgos?
5 Se realizan
capacitaciones
constantes sobre las
vulnerabilidades,
riesgos y amenazas que
tiene una organizacin?
Revisin de las
polticas para la
seguridad de la
informacin.
1 Se realizan acciones
preventivas y
correctivas?
2 Se realizan revisiones
peridicas de la poltica
de seguridad?
3 Los incidentes de
seguridad se reporta?
4 Se realizan revisiones
peridicas de la poltica
de seguridad?
OBSERVACIONES:
Abril de 2015
116
Proyecto de Grado

0 = No se 1 = Los 2 = Los 3 = Los 4 = Los 5 = Los Verbal Documental
aplica la procesos son procesos procesos estn procesos se procesos
gestin ad hoc y siguen un documentados monitorizan se
de desorganizados cierto y comunicados y se mejoran y
procesos patrn miden optimizan
A6: EVALUACIN QUE PERMITE EVALUAR LOS ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN
A6.1. Organizacin interna
Asignacin de
responsabilidades
para la seguridad de
la informacin
1 Documentar las metas
de seguridad,
verificando que
satisface los requisitos
de la empresa?
2 Revisar y probar la
poltica de seguridad de
la informacin?
3 Definir las iniciativas
de seguridad?
4 Proporciona los
recursos requeridos
para la seguridad de la
informacin?
5 Se asignan funciones
conforme a las
necesidades de la
informacin?
6 Se asignan las
responsabilidades a
Abril de 2015
117
Proyecto de Grado
cada proceso de
seguridad?
7 Se documentan los
procesos de asignacin
y seguridad?
Segregacin de tareas
1 Los activos
informticos se
encuentran definidos
claramente?
2 Se garantizan las
actividades de
seguridad, siguiendo la
poltica de seguridad?
3 Se identifican los
cambios, cuando
existen amenazas?
4 Se evalan y
coordinan los controles
de seguridad?
Seguridad de la
informacin en la
gestin de proyectos
1 La direccin se
compromete con la
seguridad de la
informacin?
2 Autorizacin por la
direccin para la
inversin de recursos,
tiempos y formaciones?
3 Existen los
procedimientos
documentados para
contactar a las
Abril de 2015
118
Proyecto de Grado
autoridades
competentes?
4 Existen los
procedimientos
documentados para
contactar a las
entidades pblicas?
5 Existen los
procedimientos
documentados para
contactar a las
empresas proveedoras
de telecomunicaciones?
A6.2. Dispositivos para
movilidad y
teletrabajo
Poltica de uso de
dispositivos para
movilidad
1 Se tiene definida la
poltica de seguridad
para dispositivos
mviles?
2 Los controles
aseguran la proteccin
de los canales de
comunicacin?
3 Los controles
aseguran la proteccin
contra cdigo
malicioso?
4 Los controles
aseguran la
disponibilidad,
integridad y
Abril de 2015
119
Proyecto de Grado
confidencialidad de la
informacin?
Teletrabajo
clara para la
presentacin de
informes?
2 Se cuenta con unos
procesos especficos
para la gestin de
cambio?
3 La poltica de acceso,
cuenta con los mdulos
permitidos para la
identificacin de
usuario?
4 Se cuenta con los
privilegios de acceso?
OBSERVACIONES:
Abril de 2015
120
Proyecto de Grado

A7: EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
A7.2. Seguridad en el
desempeo de las
funciones del empleo
Responsabilidades de
gestin
1 Se tienen las
directrices sobre las
funciones de seguridad
en el sistema de
informacin?
2 Se poseen las
habilidades y
calificaciones
apropiadas?
3 Logran un grado de
concientizacin sobre la
seguridad dentro de la
organizacin?
4 Estn de acuerdo con
los trminos y las
condiciones laborales?
Concienciacin,
educacin y
capacitacin en
seguridad de la
informacin
Abril de 2015
121
Proyecto de Grado
1 Se utiliza una
formacin en el uso
correcto de los servicios
de procesamiento de
informacin?
2 Se realizan
capacitaciones sobre
las amenazas, riesgos y
vulnerabilidades?
3 Se establecen los
procesos de formacin
y concientizacin,
diseado para
presentar las polticas
de seguridad de la
organizacin?
OBSERVACIONES:
Abril de 2015
122
Proyecto de Grado

A8: EVALUACIN QUE PERMITE EVALUAR LA GESTIN DE ACTIVOS
A8.1. Responsabilidad
sobre los activos
Inventario de
activos
1 Se establece un
inventario de activos
informticos por
categora?
2 Se incluyen los
requisitos para
mantener seguro los
activos informticos?
Propiedad de los
activos
1 Los activos
informticos
mantienen un cdigo
de ingreso a la
organizacin, cada
vez que se adquiere
uno nuevo?
2 Se clasifican los
activos, conforme a
sus caractersticas?
3 Los activos se
Abril de 2015
123
Proyecto de Grado
clasifican por
niveles?
Uso aceptable de
los activos
1 Se informa a los
empleados el uso de
los activos?
Devolucin de
activos
1 Existe un proceso
de terminacin para
incluir la devolucin
del software?
2 Existe un proceso
de terminacin para
de los documentos?
3 Existe un proceso
de terminacin para
de los equipos
mviles?
4 Existe un proceso
de terminacin para
de los equipos de
cmputo?
5 Existe un
procedimiento que
garantice la
transferencia de
informacin al
finalizar su
contratacin?
A8.2. Clasificacin de la
informacin
Abril de 2015
124
Proyecto de Grado
Directrices de
clasificacin
1 Se tienen las
directrices sobre
cmo se clasifican los
2 Existe la
clasificacin de
seguridad por
niveles?
Etiquetado y
manipulado de la
informacin
1 Se capacita sobre
cmo se debe enviar,
y manipular las bases
de informacin
confidencial?
2 Existe una marca
para identificar las
fuentes de
informacin?
Manipulacin de
activos
1 Los activos
informticos poseen
una documentacin
adecuada?
2 Existen manuales
de configuracin de
los activos
informticos?
Abril de 2015
125
Proyecto de Grado

gestin ad hoc y siguen documentados monitorizan se
de desorganizados un cierto y comunicados y se mejoran y
A9: EVALUACIN QUE PERMITE EVALUAR EL CONTROL DE ACCESO
A9.1. Requerimientos de
negocio para el control
de acceso
Poltica de control de
acceso
1 Se tiene implementado
la poltica de control de
acceso conforme a la
poltica de seguridad?
2 Se atiende la
legislacin vigente,
conforme a las normas
actuales?
3 Identificar la
informacin relacionada
con las aplicaciones?
4 Identificar los riesgos
asociados a la
informacin?
A9.2. Gestin de acceso de
usuario
Gestin de altas/bajas
en el registro de
usuarios
Abril de 2015
126
Proyecto de Grado
1 Se establecen los
repositorios donde se
registran los usuarios
que ingresan al sistema
operativo?
2 Se establecen los
contadores para
identificar cuantas
sesiones estn abiertas
por usuario?
3 Se verifica el nivel de
acceso otorgado a cada
usuario peridicamente?
4 Se verifica que el
usuario tenga
autorizacin del dueo
del sistema para el uso
de la informacin?
Gestin de los
derechos de acceso
con privilegios
especiales
1 Se establece para
cada tipo de activo los
privilegios otorgados de
acuerdo a la evaluacin
de riesgos asociada?
2 Se promueve el
desarrollo de rutinas del
sistema para evitar la
necesidad de otorgar
privilegios innecesarios?
A9.3. Responsabilidades de
usuario
Uso de informacin
confidencial para la
Abril de 2015
127
Proyecto de Grado
autenticacin
1 Est definida la
polticas de seguridad
para usuarios de los
equipos?
2 Las contraseas
predeterminadas por el
proveedor se cambian
inmediatamente
despus de la
instalacin de los
sistemas o del software?
3 Las contraseas
temporales se
suministran de forma
segura a los usuarios?
A9.4. Control de acceso a
sistemas operativo y
aplicaciones
Restriccin del acceso
a la informacin
1 El control de acceso se
realiza de acuerdo a la
poltica del control de
accesos?
2 Se controla los
derechos de acceso de
otras aplicaciones?
3 Se garantiza que los
datos de salida de los
sistemas de aplicacin
que manejan
informacin sensible
solo contienen la
informacin pertinente
Abril de 2015
128
Proyecto de Grado
para el uso de la salida

y que se enva
nicamente a terminales
o sitios autorizados.
Procedimientos
seguros de inicio de
sesin
1 Se establece la poltica
de autenticacin a los
equipos, con
contraseas personales
y perfiles definidos?
2 Se valida la
informacin de registro
con la base de datos
para el acceso?
3 Los controles de
acceso se aplican al
personal de soporte
tcnico?
4 Los controles de
acceso se aplican a los
operadores?
5 Los controles de
administradores de red?
6 Los controles de
programadores de
sistemas?
7 Los controles de
administradores de
bases de datos?
Abril de 2015
129
Proyecto de Grado
Uso de herramientas
de administracin de
sistemas
1 Se regula la instalacin
de software en los
equipos personales?
2 Se lleva un registro de
todo uso de las
utilidades del sistema?
3 Se utilizan
procedimientos de
identificacin,
autenticacin y
autorizacin para las
utilidades del sistema?
OBSERVACIONES:
Abril de 2015
130
Proyecto de Grado

A10: EVALUACIN QUE PERMITE EVALUAR EL CIFRADO
A10.1. Controles
criptogrficos
Poltica de uso de
los controles
criptogrficos
1 Se establece la
poltica de cifrado
para las claves
pblicas y privadas
en el manejo de
informacin
confidencial?
2 Se verifica
peridicamente la
poltica de cifrado
conforme a la
norma actual?
Gestin de claves
1 Se valida las
metodologas para
cifrar las claves y
uso en los
mensajes emitidos?
Abril de 2015
131
Proyecto de Grado
2 Se controla los
derechos de acceso
a los usuarios por
medio de claves
criptogrficas
cuando es
informacin
confidencial?
3 Se asigna los
derechos de acceso
a los usuarios por
medio de claves
criptogrficas
cuando es
informacin
confidencial?
OBSERVACIONES:
Abril de 2015
132
Proyecto de Grado

A11: EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD FSICA Y DEL ENTORNO
A11.1. reas seguras
Controles fsicos
de entrada
1 Se definen los
controles fsicos
para cada activo?
2 Se definen los
controles tcnicos
para cada activo?
3 Se definen los
controles
organizacionales
para cada activo?
4 Se dicta la poltica
de control de
accesos conforme al
SGSI?
Seguridad de
oficinas,
despachos y
recursos
1 Se dicta la poltica
de uso de las
oficinas acorde a la
poltica de gestin
Abril de 2015
133
Proyecto de Grado
de acceso y del
SGSI?
2 Se establece el
reglamento sobre
las actividades y
procesos
informticos?
3 Se establece las
normas sobre las
actividades y
procesos
informticos?
Proteccin contra
las amenazas
externas y
ambientales
1 Definir un plan de
respuesta para cada
tipo de efecto que
pudiera causar
amenaza externa?
2 Se suministran
equipos apropiados
contra las amenazas
ambientales y son
ubicados
adecuadamente?
A11.2. Seguridad de los
equipos
Emplazamiento y
proteccin de
equipos
1 Monitorear el uso
de equipos
personales a travs
Abril de 2015
134
Proyecto de Grado
de la poltica de uso
de equipos
personales?
2 Los equipos estn
distribuidos de tal
forma que no pueda
acceder cualquier
usuario?
3 Los elementos que
requieren proteccin
especial estn
aislados?
Instalaciones de
suministro
1 Se establece el
plan de continuidad
para este tipo de
riesgos?
2 Se instalan las
UPS para
suministrar energa
a los equipos de
cmputo?
3 Las UPS y plantas
de energa son
revisadas con
frecuencia?
Seguridad del
cableado
1 El cableado se
encuentre
canalizado por
conductos
especficos del suelo
tcnico instalado en
las oficinas?
Abril de 2015
135
Proyecto de Grado
2 Existe un control
de acceso en los
cuartos de cableado
que soportan los
sistemas crticos?
3 Tienen rtulos de
equipos y de cables
claramente
identificables para
minimizar los errores
en el manejo?
Mantenimiento de
los equipos
1 Se realiza el
mantenimiento
acorde a los
procesos de gestin
de activos?
2 La informacin
confidencial es
retirada
peridicamente de
los equipos de
cmputo?
3 El personal de
mantenimiento es
suficientemente
confiable?
4 Se lleva un registro
de todas las fallas
reales y
sospechosas?
OBSERVACIONES:
Abril de 2015
136
Proyecto de Grado

A12: EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD EN LA OPERATIVA
A12.1. Proteccin contra
cdigo malicioso
Controles contra el
cdigo malicioso
1 Se establece la
de equipos
personales en la que
se previene el uso de
programas no
autorizados por la
empresa?
2 Se regula el uso de
software antivirus y
su actualizacin?
3 Se lleva a cabo
revisiones mensuales
sobre el contenido del
software y los datos
que soportan los
procesos crticos del
negocio?
4 Se investiga la
aparicin de archivos
o cdigos no
Abril de 2015
137
Proyecto de Grado
autorizados por el
desarrollador del
software?
A12.2. Copias de
seguridad
Copias de
seguridad de la
informacin
1 Se realizan copias
de seguridad de
manera peridica
sobre la informacin
registrada en las
oficinas Backup?
2 Las copias de
seguridad se
almacenan en un sitio
seguro?
3 Se puede consultar
de las copias de
seguridad los
archivos y la
informacin est
completa?
A12.4. Registro de
actividad y
supervisin
Registro y gestin
de eventos de
actividad
1 Se monitorea los
cambios de
configuracin del
sistema?
2 Supervisar los
controles definidos al
Abril de 2015
138
Proyecto de Grado
uso de equipos
personales?
Registros de
actividad del
administrador y
operador del
sistema
1 Se monitorea el
ingreso de usuarios a
las diferentes
aplicaciones?
2 Se registran las
alertas o fallas del
sistema, como
mensajes de
consola?
A12.6. Gestin de las
vulnerabilidades
tcnicas
Gestin de las
vulnerabilidades
tcnicas
1 Se establece el
cuadro de control que
evidencie los riesgos
asociados a la
organizacin?
Restricciones en la
instalacin de
sistema operativo
(S.O.)
1 Se tiene instalado
un corta fuego en el
sistema operativo?
2 Se asignan
privilegios a los
Abril de 2015
139
Proyecto de Grado
usuarios conforme a
su perfil o cargo?
A12.7. Consideraciones de
las auditoras de los
sistemas de
informacin
Controles de
auditora de los
sistemas de
informacin
1 Se realiza
mensualmente y
trimestralmente una
auditora interna por
los procesos de
seguridad que se han
implementado en la
organizacin?
OBSERVACIONES:
Abril de 2015
140
Proyecto de Grado

A13: EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD EN LAS TELECOMUNICACIONES
A13.2. Intercambio de
informacin
Mensajera
electrnica
1 Se establecen los
protocolos para
enviar la informacin
por los canales de
comunicacin?
2 Se verifica los
canales de
comunicacin
mensualmente
identificando los
canales de
transmisin por el
internet?
Acuerdos de
confidencialidad y
secreto
1 Se documenta
donde se establecen
los acuerdos de
confidencialidad?
Abril de 2015
141
Proyecto de Grado
2 Se documenta
donde se establecen
las polticas de
confidencialidad?
3 Se monitorea el
cumplimiento de los
acuerdos?
OBSERVACIONES:
Abril de 2015
142
Proyecto de Grado

A16: EVALUACIN QUE PERMITE EVALUAR LA GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
A16.1. Gestin de
incidentes de
seguridad de la
informacin y
mejoras
Aprendizaje de los
incidentes de
seguridad de la
informacin
1 Se verifican las
amenazas, riesgos
y vulnerabilidades
asociados a la
empresa?
2 De acuerdo a las
amenazas, riesgos
y vulnerabilidades
se debe establecer
una propuesta para
disminuir el riesgo?
A14.3. Datos de prueba
Proteccin de los
datos utilizados en
pruebas
Abril de 2015
143
Proyecto de Grado
1 Se realizan
pruebas a los
activos informticos,
estableciendo las
mejores alternativas
para mitigar los
riesgos?
2 Se realizan
pruebas a las bases
de datos,
estableciendo la
informacin
confidencial y la no
confidencial?
OBSERVACIONES:
Abril de 2015
144
Proyecto de Grado

A14: EVALUACIN QUE PERMITE EVALUAR LA ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
A16.1. Gestin de
incidentes de
seguridad de la
informacin y
mejoras
Aprendizaje de
los incidentes de
seguridad de la
informacin
Se establecen
procesos de
resolucin de
incidentes de
seguridad de la
informacin?
Se evalan los
incidentes de
seguridad?
OBSERVACIONES:
Abril de 2015
145
Proyecto de Grado

A17: EVALUACIN QUE PERMITE EVALUAR LOS ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE LA CONTINUIDAD
DEL NEGOCIO
A17.1. Aspectos de la
seguridad de la
informacin en la
gestin de la
continuidad del
negocio
Planificacin de
la continuidad de
la seguridad de la
informacin
1 Se define el
proceso de gestin
de continuidad del
negocio?
2 Se define las
directrices de
continuidad del
negocio de
conformidad con la
poltica de
seguridad de la
informacin?
3 Se garantiza la
seguridad del
personal, la
Abril de 2015
146
Proyecto de Grado
proteccin de los
servicios y
procesos de
informacin?
Verificacin,
revisin y
evaluacin de la
continuidad de la
seguridad de la
informacin
1 Se define los
planes de
continuidad del
negocio de
acuerdo al orden
de prioridades?
2 Se implementa
los planes de
continuidad del
negocio de
acuerdo al orden
de prioridades?
OBSERVACIONES:
Abril de 2015
147
Proyecto de Grado

A18: EVALUACIN QUE PERMITE EVALUAR EL CUMPLIMIENTO
A18.1. Cumplimiento de
los requisitos
legales y
contractuales
Identificacin de
la legislacin
aplicable
1 Se identifica la
legislacin
aplicable para los
procesos que
intervienen en el
manejo de la
informacin?
Derechos de
propiedad
intelectual (DPI)
1 Se identifica la
legislacin
aplicable y los
trminos
contractuales en
las licencias
utilizadas?
2 Se hace un
Abril de 2015
148
Proyecto de Grado
inventario de
software para
garantizar la
idoneidad de su
uso?
3 Se dictan polticas
de cumplimiento?
Proteccin de los
registros de la
organizacin
1 Se mantienen
disponibles los
documentos del
Sistema de gestin
de la seguridad
informtica - SGSI?
2 Los documentos
se mantienen
editables para los
usuarios
autorizados?
3 Se clasifica la
informacin en
funcin de su
importancia?
4 Se establecen
copias de
seguridad de la
informacin
relevante?
5 Se protege la
informacin fsica
sensible?
Proteccin de
datos y
privacidad de la
Abril de 2015
149
Proyecto de Grado
informacin
personal
1 Se establece el
documento de
seguridad de
conformidad con la
legislacin de
proteccin de datos
personales?
A18.2. Revisiones de la
seguridad de la
informacin
Cumplimiento de
las polticas y
normas de
seguridad
1 Se dicta y
acuerda la poltica
del sistema de
gestin de la
seguridad
informtica - SGSI?
OBSERVACIONES:
Abril de 2015
150
Proyecto de Grado
10.2. Anlisis de la informacin recolectada
10.2.1. Anlisis de resultados Guille Sport
En la investigacin que se realiz, se puede determinar que un 80% de las personas son poco conocedores de los sistemas
informticos, de las consecuencias generadas del mal uso de estos y del impacto que genera en la empresa la alteracin o
prdida de informacin relevante.
Se desconoce las normativas de derechos de autor y propiedad intelectual, en cuanto al software utilizado para el manejo de
la informacin en los equipos de cmputo.
Se desestima casi en un 100% del personal, la importancia de mantener buenas prcticas en el manejo de los equipos y de la
informacin all almacenada, adems de tener reglas claras y polticas establecidas para la manipulacin de la misma
informacin, por ende se estableci la siguiente tabla de vulnerabilidades, amenas y riesgos de la empresa.
Tabla 36 Descripcin de las posibles vulnerabilidades, amenazas y riesgos Guille Sport
Cd. Vulnerabilidad Amenazas Ligadas Riesgos Potenciales

Hardware
V1 Control a dispositivos de Virus informticos, malware. Mal funcionamiento de los sistemas,
almacenamiento externos destruccin de sistemas operativos,
aplicativos e informacin.
V2 Manipulacin de los Ataques insiders Alteracin de archivos, registros, robo o
equipos sin control alguno destruccin de informacin, robo o
destruccin de equipos de cmputo, fuga
de informacin.
V3 Falta de equipos UPS's Cortes de energa o sobrecargas en los Perdida de informacin, daos en los
para contingencias equipos. equipos, perdida de tiempos en los
procesos y actividades del negocio.
Abril de 2015
151
Proyecto de Grado
Software
V4 Software no licenciado Virus informticos, malware, utilizacin de Mal funcionamiento de los sistemas,
exploit. destruccin de sistemas operativos,
V5 Software con problemas de Ataques de Inyeccin SQL, informacin Modificacin de informacin, robo de datos
desarrollo inconsistente de los usuarios del sistema, bases de
datos a merced del atacante.
V6 Sistemas sin restricciones instalacin de programas keylogger Sustraccin de informacin de la empresa
de acceso o datos personales.
V7 Algunos equipos no tiene el Utilizacin de exploit Intrusin no autorizada en los equipos,
sistema operativo modificacin, borrado o robo de
actualizado informacin, ataques de DOS, consecucin
de privilegios.
V8 Falta de control a las Utilizacin de exploit, propagacin de Robo alteracin y destruccin de datos,
actualizaciones del cdigo malicioso mal funcionamiento de los equipos y
proveedor servicios.
Seguridad fsica
V9 Instalaciones fsicas sin Intrusin de delincuencia comn, saboteo Robo de equipos de cmputo,
medidas de seguridad al interior telecomunicaciones, papelera, archivos,
elementos de almacenamiento de
informacin, dao a la informacin y a los
equipos que la contienen.
V10 Instalaciones con Ataques deliberados a los equipos e Inundaciones, incendios, terremotos,
deficiencias en planes de instalaciones, desastres naturales. tormentas, destruccin parcial o total de
contingencia ante equipos y datos.
desastres naturales o
provocados.
V11 Control de acceso fsico a Manipulacin de informacin si control de Robo, destruccin, modificacin o borrado
las oficinas no existente acceso, ataques intencionados a los de informacin, destruccin fsica de
Abril de 2015
152
Proyecto de Grado
equipos, desastres provocados. equipos, incendios.

V12 Instalaciones fsicas con Destruccin de los equipos, degradacin o Perdida de informacin, equipos o partes
control ambiental inutilizacin de los mismos. asociadas a su gestin.
inapropiado
Seguridad lgica
V13 Control en el recambio y Entrega de medios obsoletos o daados a Sustraccin de informacin sensible de la
destruccin de medios de terceros sin la adecuada destruccin o compaa a travs de personas externas.
almacenamiento proceso de borrado de informacin.
V14 Control de acceso Suplantacin de contenido Robo de datos, alteracin o destruccin de
deficiente o faltante los mismos, suplantacin de identidad de
usuarios.
Redes de comunicaciones
V15 Vulnerabilidades de los Inyeccin de cdigo SSI, ataques con Alteracin en el funcionamiento del cdigo,
navegadores utilizados cdigo XSS programas y sitios, apropiacin de
informacin sin autorizacin.
V16 Uso de aplicaciones poco Inyeccin SQL Robo de informacin de bases de datos.
confiables para compartir
archivos o para asistencia
remota
Personal
V17 Falta de una poltica de Ataques no intencionados, ingeniera Borrado, o eliminacin de archivos,
seguridad clara social, phishing. destruccin del S.O, robo de informacin
personal.
V18 Personal inconforme en la Ataques insiders Alteracin de archivos, registros, robo o
compaa destruccin de informacin, robo o
de informacin.
V19 Usuarios con pocos Ataques con ingeniera social Robo de datos, alteracin o destruccin de
conocimientos en los mismos, suplantacin de identidad de
Abril de 2015
153
Proyecto de Grado
informtica usuarios.
V20 Falta de conciencia en los Abuso de permisos, divulgacin de Sustraccin de informacin sensible de la
funcionarios para el uso de contraseas, instalacin de software y compaa y los usuarios, dao en
las tecnologas complementos no autorizados. aplicativos, bases de datos y repositorios.
V21 Soportes tcnicos con Dejar pasar instalaciones crticas en los Sustraccin de datos personales y su
deficiencias en equipos, como: Antivirus, Parches de posterior uso en actividades delictivas, mal
capacitacin y experiencia seguridad o configuraciones seguras que funcionamiento de los equipos, robo de
causaran propagacin de cdigo malicioso informacin, o destruccin premeditada de
o ingeniera social. la misma.
Abril de 2015
154
Proyecto de Grado
10.2.1.1. Evaluacin de la auditora para Guille Sport
A continuacin se presentan los resultados de la visita a la empresa Guille

Sport aplicando el instrumento de auditora frente a la calificacin de los
procesos:
Ilustracin 9 Poltica de seguridad de la informacin Guille Sport
EVALUACIN QUE PERMITE EVALUAR LA POLTICA DE

SEGURIDAD DE LA INFORMACIN
Calificacin del proceso
5
4
3
2
1
0
Preguntas

Sport
EVALUACIN QUE PERMITE EVALUAR LOS ASPECTOS

ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Abril de 2015
155
Proyecto de Grado
Ilustracin 11 Seguridad ligada a los recursos humanos Guille Sport
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD LIGADA

A LOS RECURSOS HUMANOS
Calificacin del proceso 5

4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Ilustracin 12 Gestin de activos Guille Sport
EVALUACIN QUE PERMITE EVALUAR LA GESTIN DE

ACTIVOS
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
Abril de 2015
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Requerimientos de
Se tiene
Identificar la
Gestin de acceso de
Se establecen los
Se verifica el nivel de
Gestin de los derechos
Se promueve el
Uso de informacin
ACCESO
Las contraseas
Preguntas
Preguntas
Control de acceso a
Proyecto de Grado
El control de acceso se
Se garantiza que los
Ilustracin 14 Cifrado Guille Sport Se establece la poltica
Los controles de
Ilustracin 13 Control de acceso Guille Sport
EVALUACIN QUE PERMITE EVALUAR EL CIFRADO Los controles de

EVALUACIN QUE PERMITE EVALUAR EL CONTROL DE
Los controles de
Se regula la instalacin
Se utilizan
156
157
Proyecto de Grado
Ilustracin 15 Seguridad fsica y del entorno Guille Sport
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD FSICA

Y DEL ENTORNO

4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Ilustracin 16 Seguridad en la operativa Guille Sport
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD EN

LA OPERATIVA
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
158
Proyecto de Grado
Ilustracin 17 Seguridad en las telecomunicaciones Guille Sport
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD EN LAS

TELECOMUNICACIONES

4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas

Sport

INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
159
Proyecto de Grado

informacin Guille Sport
EVALUACIN QUE PERMITE EVALUAR LA ADQUISICIN,

DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE
Calificacin del proceso INFORMACIN
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Gestin de Aprendizaje de Se establecen Se evalan los
incidentes de los incidentes de procesos de incidentes de
seguridad de la seguridad de la resolucin de seguridad?
informacin y informacin incidentes de
mejoras seguridad de la
informacin?
Preguntas

continuidad del negocio Guille Sport
EVALUACIN QUE PERMITE EVALUAR LOS ASPECTOS DE

SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE LA
CONTINUIDAD DEL NEGOCIO
Calificacin del proeceso
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
Abril de 2015
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Cumplimiento de los
Identificacin de la
Se identifica la
Derechos de propiedad
Se identifica la
Se hace un inventario
Se dictan polticas de
Proteccin de los
Se mantienen
Los documentos se
Preguntas
Proyecto de Grado
Se clasifica la
Se establecen copias
Se protege la
Proteccin de datos y
Ilustracin 21 Cumplimiento Guille Sport
Se establece el
Revisiones de la
EVALUACIN QUE PERMITE EVALUAR EL CUMPLIMIENTO
Cumplimiento de las
Se dicta y acuerda la
160
161
Proyecto de Grado
10.2.2. Anlisis de resultados Color Shop
En la investigacin realizada, se puede visualizar y evidenciar casi en un 100% la falta de conocimiento del personal en temas
relacionados con la seguridad de la informacin, la infraestructura utilizada para la manipulacin de la misma y el compromiso
con sus empresas para mantener la integridad, disponibilidad y confidencialidad de esta.
De igual manera se nota la inexistencia de alguna poltica de seguridad de la informacin, procedimientos que permitan tener
control adecuado de los procesos que tienen correlacin con los datos y los elementos que con estos interactan.
De este mismo modo casi el 100% de la poblacin de estas empresas considera un costo alto e innecesario, la inversin en
proyectos enmarcados en la seguridad de la informacin, por ende se estableci la siguiente tabla de vulnerabilidades,
amenas y riesgos de la empresa.
Tabla 37 Descripcin de las posibles vulnerabilidades, amenazas y riesgos Color Shop
Cd. Vulnerabilidad Amenazas Ligadas Riesgos Potenciales

Hardware
V1 Control a dispositivos de Virus informticos, malware. Mal funcionamiento de los sistemas,
almacenamiento externos destruccin de sistemas operativos,
V2 Manipulacin de los Ataques insiders Alteracin de archivos, registros, robo o
equipos sin control alguno destruccin de informacin, robo o
de informacin.
V3 Falta de equipos UPS's Cortes de energa o sobrecargas en los Perdida de informacin, daos en los
para contingencias equipos. equipos, perdida de tiempos en los
procesos y actividades del negocio.
Abril de 2015
162
Proyecto de Grado
Software
V4 Software con problemas de Ataques de Inyeccin SQL, informacin Modificacin de informacin, robo de datos
desarrollo inconsistente de los usuarios del sistema, bases de
datos a merced del atacante.
V5 Sistemas sin restricciones instalacin de programas keylogger Sustraccin de informacin de la empresa
de acceso o datos personales.
V6 Falta de control a las Utilizacin de exploit, propagacin de Robo alteracin y destruccin de datos,
actualizaciones del cdigo malicioso mal funcionamiento de los equipos y
proveedor servicios.
Seguridad fsica
V7 Instalaciones fsicas con Intrusin de delincuencia comn, saboteo Robo de equipos de cmputo,
medidas de seguridad al interior telecomunicaciones, papelera, archivos,
deficientes. elementos de almacenamiento de
informacin, dao a la informacin y a los
equipos que la contienen.
V8 Instalaciones con Ataques deliberados a los equipos e Inundaciones, incendios, terremotos,
deficiencias en planes de instalaciones, desastres naturales. tormentas, destruccin parcial o total de
contingencia ante equipos y datos.
provocados.
V9 Control de acceso fsico a Manipulacin de informacin si control de Robo, destruccin, modificacin o borrado
las oficinas no existente acceso, ataques intencionados a los de informacin, destruccin fsica de
equipos, desastres provocados. equipos, incendios.
V10 Instalaciones fsicas con Destruccin de los equipos, degradacin o Perdida de informacin, equipos o partes
control ambiental inutilizacin de los mismos. asociadas a su gestin.
inapropiado
Abril de 2015
163
Proyecto de Grado
Seguridad lgica
V11 Control en el recambio y Entrega de medios obsoletos o daados a Sustraccin de informacin sensible de la
destruccin de medios de terceros sin la adecuada destruccin o compaa a travs de personas externas.
almacenamiento proceso de borrado de informacin.
V12 Control de acceso Suplantacin de contenido Robo de datos, alteracin o destruccin de
deficiente o faltante los mismos, suplantacin de identidad de
usuarios.
V13 Vulnerabilidades de los Inyeccin de cdigo SSI, ataques con Alteracin en el funcionamiento del cdigo,
navegadores utilizados cdigo XSS programas y sitios, apropiacin de
informacin sin autorizacin.
V14 Uso de aplicaciones poco Inyeccin SQL Robo de informacin de bases de datos.
confiables para compartir
archivos o para asistencia
remota
Personal
V15 Falta de una poltica de Ataques no intencionados, ingeniera Borrado, o eliminacin de archivos,
seguridad clara social, phishing. destruccin del S.O, robo de informacin
personal.
V16 Personal inconforme en la Ataques insiders Alteracin de archivos, registros, robo o
compaa destruccin de informacin, robo o
de informacin.
V17 Usuarios con pocos Ataques con ingeniera social Robo de datos, alteracin o destruccin de
conocimientos en los mismos, suplantacin de identidad de
informtica usuarios.
Abril de 2015
164
Proyecto de Grado
V18 Falta de conciencia en los Abuso de permisos, divulgacin de Sustraccin de informacin sensible de la
funcionarios para el uso de contraseas, instalacin de software y compaa y los usuarios, dao en
las tecnologas complementos no autorizados. aplicativos, bases de datos y repositorios.
V19 Soportes tcnicos con Dejar pasar instalaciones crticas en los Sustraccin de datos personales y su
deficiencias en equipos, como: Antivirus, Parches de posterior uso en actividades delictivas, mal
capacitacin y experiencia seguridad o configuraciones seguras que funcionamiento de los equipos, robo de
causaran propagacin de cdigo malicioso informacin, o destruccin premeditada de
o ingeniera social. la misma.
Abril de 2015
165
Proyecto de Grado
10.2.2.1. Evaluacin de la auditora para Color Shop
A continuacin se presentan los resultados de la visita a la empresa Color Shop

aplicando el instrumento de auditora frente a la calificacin de los procesos:
Ilustracin 22 Poltica de seguridad de la informacin Color Shop
EVALUACIN QUE PERMITE EVALUAR LA POLTICA DE

5
4
3
2
1
0
Preguntas

Shop

5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
166
Proyecto de Grado
Ilustracin 24 Seguridad ligada a los recursos humanos Color Shop
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD

Calificacin del proceso LIGADA A LOS RECURSOS HUMANOS
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Ilustracin 25 Gestin de activos Color Shop

ACTIVOS
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Abril de 2015
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Requerimientos de
Se tiene implementado
Identificar la
Gestin de acceso de
Se establecen los
Gestin de los derechos
Se promueve el
Uso de informacin
Las contraseas
Preguntas
Preguntas
Control de acceso a
Proyecto de Grado
El control de acceso se
Ilustracin 27 Cifrado Color Shop

Se establece la poltica
Los controles de acceso
Ilustracin 26 Control de acceso Color Shop
EVALUACIN QUE PERMITE EVALUAR EL CIFRADO

EVALUACIN QUE PERMITE EVALUAR EL CONTROL DE ACCESO
Se regula la instalacin
Se utilizan
167
168
Proyecto de Grado
Ilustracin 28 Seguridad fsica y del entorno Color Shop
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD FSICA Y

DEL ENTORNO
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Ilustracin 29 Seguridad en la operativa Color Shop
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD EN LA

OPERATIVA
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
169
Proyecto de Grado
Ilustracin 30 Seguridad en las telecomunicaciones Color Shop

TELECOMUNICACIONES
calificacin del proceso
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas

Shop

5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
170
Proyecto de Grado

informacin Color Shop
EVALUACIN QUE PERMITE EVALUAR LA

ADQUISICIN, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS DE
INFORMACIN
5
4
3
2
1
0
Preguntas

continuidad del negocio Color Shop

5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Abril de 2015
Cumplimiento de los
Identificacin de la
Se identifica la
Derechos de
Se identifica la
Se hace un
Se dictan polticas
Proteccin de los
Se mantienen
Los documentos se
Preguntas
Proyecto de Grado
Se clasifica la
Se establecen
Se protege la
Proteccin de datos
Ilustracin 34 Cumplimiento Color Shop
Se establece el
Revisiones de la
Cumplimiento de las
Se dicta y acuerda
171
172
Proyecto de Grado
10.3. Investigacin de la informacin recolectada
Para determinar la valoracin del riesgo e identificar la informacin recolectada,

se equipara la probabilidad de ocurrencia y de impacto, conforme a las tablas
de probabilidad de ocurrencia y valoracin de impacto, de acuerdo a la
informacin recolectada en la fase preliminar, el anlisis del proceso de
observacin, instrumento de auditora y fotografas de las Pymes:
Tabla 38 Probabilidad de ocurrencia58
Fuente: Tomada del libro I Magerit versin 3 p. 28
Probabilidad Rango Valor
Tabla 39 Valoracin de impacto
Fuente: Tomada del libro I Magerit versin 3 p. 28
Impacto Valoracin
del impacto
Catastrfico 100%
Moderado 65%
Leve 30%
58
UNIDISTRITAL. Gestin de riesgos. . [en lnea]. [25 de febrero del 2015]. Disponible en:
http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5GestionRiesgo.pdf
Abril de 2015
173
Proyecto de Grado
Tabla 40 Probabilidad de Ocurrencia Guille Sport
Nmero de veces
Variables Riesgos potenciales o peor escenario
que ocurre
Hardware
Control a dispositivos de
Mal funcionamiento de los sistemas, destruccin de sistemas
R1 almacenamiento 1 vez cada 2 meses
operativos, aplicativos e informacin.
externos
Manipulacin de los
Alteracin de archivos, registros, robo o destruccin de informacin,
R2 equipos sin control 1 vez al da
robo o destruccin de equipos de cmputo, fuga de informacin.
alguno
Falta de equipos UPS's Perdida de informacin, daos en los equipos, perdida de tiempos en
R3 1 vez al ao
para contingencias los procesos y actividades del negocio.
Software
Mal funcionamiento de los sistemas, destruccin de sistemas
R4 Software no licenciado 1 vez al ao
operativos, aplicativos e informacin.
Software con problemas Modificacin de informacin, robo de datos de los usuarios del
R5 1 vez cada 2 meses
de desarrollo sistema, bases de datos a merced del atacante.
Sistemas sin
R6 1 vez cada semana Sustraccin de informacin de la empresa o datos personales.
restricciones de acceso
Algunos equipos no tiene
Intrusin no autorizada en los equipos, modificacin, borrado o robo
R7 el sistema operativo 1 vez cada 6 meses
de informacin, ataques de DOS, consecucin de privilegios.
actualizado
Falta de control a las
Robo alteracin y destruccin de datos, mal funcionamiento de los
R8 actualizaciones del 1 vez cada 6 meses
equipos y servicios.
proveedor
Abril de 2015
174
Proyecto de Grado
Seguridad fsica
Robo de equipos de cmputo, telecomunicaciones, papelera,
Instalaciones fsicas sin
R9 1 vez al ao archivos, elementos de almacenamiento de informacin, dao a la
medidas de seguridad
informacin y a los equipos que la contienen.
Instalaciones con
deficiencias en planes de
Inundaciones, incendios, terremotos, tormentas, destruccin parcial o
R10 contingencia ante 1 vez cada 6 meses
total de equipos y datos.
provocados.
Control de acceso fsico
Robo, destruccin, modificacin o borrado de informacin, destruccin
R11 a las oficinas no 1 vez al da
fsica de equipos, incendios.
existente
Instalaciones fsicas con
R12 control ambiental 1 vez cada semana Perdida de informacin, equipos o partes asociadas a su gestin.
inapropiado
Seguridad lgica
Control en el recambio y
Sustraccin de informacin sensible de la compaa a travs de
R13 destruccin de medios 1 vez cada 6 meses
personas externas.
de almacenamiento
Control de acceso Robo de datos, alteracin o destruccin de los mismos, suplantacin
R14 1 vez cada semana
deficiente o faltante de identidad de usuarios.
Vulnerabilidades de los Alteracin en el funcionamiento del cdigo, programas y sitios,
R15 1 vez al ao
navegadores utilizados apropiacin de informacin sin autorizacin.
Uso de aplicaciones
poco confiables para
R16 1 vez cada 2 meses Robo de informacin de bases de datos.
compartir archivos o
para asistencia remota
Personal
Abril de 2015
175
Proyecto de Grado
Falta de una poltica de Borrado, o eliminacin de archivos, destruccin del S.O, robo de
R17 1 vez al da
seguridad clara informacin personal.
Personal inconforme en Alteracin de archivos, registros, robo o destruccin de informacin,
R18 1 vez cada 6 meses
la compaa robo o destruccin de equipos de cmputo, fuga de informacin.
Usuarios con pocos
Robo de datos, alteracin o destruccin de los mismos, suplantacin
R19 conocimientos en 1 vez cada semana
de identidad de usuarios.
informtica
Falta de conciencia en
Sustraccin de informacin sensible de la compaa y los usuarios,
R20 los funcionarios para el 1 vez cada 2 meses
dao en aplicativos, bases de datos y repositorios.
uso de las tecnologas
Soportes tcnicos con
Sustraccin de datos personales y su posterior uso en actividades
deficiencias en
R21 1 vez cada 2 meses delictivas, mal funcionamiento de los equipos, robo de informacin, o
capacitacin y
destruccin premeditada de la misma.
experiencia
Tabla 41 Valoracin del riesgo Guille Sport59
Riesgos / Valoracin Probabilidad Impacto

Muy Alto Medio Bajo Muy Leve Moderado Catastrfico
Alto (A) (M) (B) bajo
(MA) (MB)
Hardware
R1 Control a dispositivos de 50 100%
almacenamiento externos
R2 Manipulacin de los equipos sin control 100 65%
59
Fuente: Tomado de UNAD. Valoracin de amenazas, op. cit, p.1.
Abril de 2015
176
Proyecto de Grado
alguno
R3 Falta de equipos UPS's para 5 65%
contingencias
Software
R4 Software no licenciado 5 100%
R5 Software con problemas de desarrollo 50 100%
R6 Sistemas sin restricciones de acceso 70 100%
R7 Algunos equipos no tiene el sistema 10 30%
operativo actualizado
R8 Falta de control a las actualizaciones 10 30%
del proveedor
Seguridad fsica
R9 Instalaciones fsicas sin medidas de 5 100%
seguridad
R10 Instalaciones con deficiencias en 10 65%
planes de contingencia ante desastres
naturales o provocados.
R11 Control de acceso fsico a las oficinas 100 30%
no existente
R12 Instalaciones fsicas con control 70 65%
ambiental inapropiado
Seguridad lgica
R13 Control en el recambio y destruccin 10 65%
de medios de almacenamiento
R14 Control de acceso deficiente o faltante 70 30%
R15 Vulnerabilidades de los navegadores 5 65%
utilizados
R16 Uso de aplicaciones poco confiables 50 30%
Abril de 2015
177
Proyecto de Grado
para compartir archivos o para

asistencia remota
Personal
R17 Falta de una poltica de seguridad clara 100 100%
R18 Personal inconforme en la compaa 10 65%
R19 Usuarios con pocos conocimientos en 70 30%
informtica
R20 Falta de conciencia en los funcionarios 50 65%
para el uso de las tecnologas
R21 Soportes tcnicos con deficiencias en 50 100%
capacitacin y experiencia
Tabla 42 Matriz clasificacin de riesgo Guille Sport60
Fuente: Tomado de UNAD. Mdulo riesgos y control informtico
Leve Moderado Catastrfico

Alta R11, R14, R19 R2, R12 R6, R17
Media R16 R20 R1, R5, R21
Baja R7, R8 R3, R10, R13, R15, R18 R4, R9
60
Fuente: Tomado de UNAD. Mdulo riesgos y control informtico. [en lnea]. [25 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233004/Modulo_Riesgos_y_Control_Informatico_V5_2012_DEFINITIVO_.pdf
Abril de 2015
178
Proyecto de Grado
10.3.1. Nivel Aceptable o que se debe monitorear de Guille Sport
R3 Falta de equipos UPS's para contingencias

R7 Algunos equipos no tiene el sistema operativo actualizado
R13 Control en el recambio y destruccin de medios de almacenamiento
R8 Falta de control a las actualizaciones del proveedor
Instalaciones con deficiencias en planes de contingencia ante desastres
R10
R18 Personal inconforme en la compaa
Uso de aplicaciones poco confiables para compartir archivos o para
R16
asistencia remota
R15 Vulnerabilidades de los navegadores utilizados

tratamientode Guille Sport
R14 Control de acceso deficiente o faltante

R11 Control de acceso fsico a las oficinas no existente
R20 Falta de conciencia en los funcionarios para el uso de las tecnologas
R9 Instalaciones fsicas sin medidas de seguridad
R4 Software no licenciado
R19 Usuarios con pocos conocimientos en informtica
10.3.3. Nivel de Controles inmediatos o de mitigacin de Guille Sport
R1 Control a dispositivos de almacenamiento externos

R17 Falta de una poltica de seguridad clara
R12 Instalaciones fsicas con control ambiental inapropiado
R2 Manipulacin de los equipos sin control alguno
R6 Sistemas sin restricciones de acceso
R5 Software con problemas de desarrollo
R21 Soportes tcnicos con deficiencias en capacitacin y experiencia
Abril de 2015
179
Proyecto de Grado
Tabla 43 Probabilidad de Ocurrencia Color Shop
Variables Nmero de veces Riesgos potenciales o peor escenario

que ocurre
Hardware
R1 Control a dispositivos de 1 vez cada 6 meses Mal funcionamiento de los sistemas, destruccin de sistemas
almacenamiento operativos, aplicativos e informacin.
externos
R2 Manipulacin de los 1 vez al da Alteracin de archivos, registros, robo o destruccin de informacin,
equipos sin control robo o destruccin de equipos de cmputo, fuga de informacin.
alguno
R3 Falta de equipos UPS's 1 vez cada 6 meses Perdida de informacin, daos en los equipos, perdida de tiempos en
para contingencias los procesos y actividades del negocio.
Software
R4 Software con problemas 1 vez cada semana Modificacin de informacin, robo de datos de los usuarios del
de desarrollo sistema, bases de datos a merced del atacante.
R5 Sistemas sin 1 vez cada 2 meses Sustraccin de informacin de la empresa o datos personales.
restricciones de acceso
R6 Falta de control a las 1 vez al ao Robo alteracin y destruccin de datos, mal funcionamiento de los
actualizaciones del equipos y servicios.
proveedor
Seguridad fsica
R7 Instalaciones fsicas con 1 vez cada semana Robo de equipos de cmputo, telecomunicaciones, papelera,
medidas de seguridad archivos, elementos de almacenamiento de informacin, dao a la
deficientes. informacin y a los equipos que la contienen.
R8 Instalaciones con 1 vez cada semana Inundaciones, incendios, terremotos, tormentas, destruccin parcial o
deficiencias en planes total de equipos y datos.
de contingencia ante
Abril de 2015
180
Proyecto de Grado
provocados.
R9 Control de acceso fsico 1 vez cada 2 meses Robo, destruccin, modificacin o borrado de informacin, destruccin
a las oficinas no fsica de equipos, incendios.
existente
R10 Instalaciones fsicas con 1 vez al ao Perdida de informacin, equipos o partes asociadas a su gestin.
control ambiental
inapropiado
Seguridad lgica
R11 Control en el recambio y 1 vez al ao Sustraccin de informacin sensible de la compaa a travs de
destruccin de medios personas externas.
de almacenamiento
R12 Control de acceso 1 vez al da Robo de datos, alteracin o destruccin de los mismos, suplantacin
deficiente o faltante de identidad de usuarios.
R13 Vulnerabilidades de los 1 vez cada 6 meses Alteracin en el funcionamiento del cdigo, programas y sitios,
navegadores utilizados apropiacin de informacin sin autorizacin.
R14 Uso de aplicaciones 1 vez cada semana Robo de informacin de bases de datos.
poco confiables para
compartir archivos o
para asistencia remota
Personal
R15 Falta de una poltica de 1 vez cada semana Borrado, o eliminacin de archivos, destruccin del S.O, robo de
seguridad clara informacin personal.
R16 Personal inconforme en 1 vez al ao Alteracin de archivos, registros, robo o destruccin de informacin,
la compaa robo o destruccin de equipos de cmputo, fuga de informacin.
R17 Usuarios con pocos 1 vez cada 2 meses Robo de datos, alteracin o destruccin de los mismos, suplantacin
conocimientos en de identidad de usuarios.
informtica
R18 Falta de conciencia en 1 vez al da Sustraccin de informacin sensible de la compaa y los usuarios,
Abril de 2015
181
Proyecto de Grado
los funcionarios para el dao en aplicativos, bases de datos y repositorios.

uso de las tecnologas
R19 Soportes tcnicos con 1 vez al da Sustraccin de datos personales y su posterior uso en actividades
deficiencias en delictivas, mal funcionamiento de los equipos, robo de informacin, o
capacitacin y destruccin premeditada de la misma.
experiencia
Tabla 44 Valoracin del riesgo Color Shop61
Probabilidad Impacto
Riesgos / Valoracin Muy Muy
Alto Medio Bajo
Alto bajo Leve Moderado Catastrfico
(A) (M) (B)
(MA) (MB)
HARDWARE
R1 Control a dispositivos de almacenamiento externos 10 30%
R2 Manipulacin de los equipos sin control alguno 100 100%
R3 Falta de equipos UPS's para contingencias 10 65%
SOFTWARE
R4 Software con problemas de desarrollo 70 65%
R5 Sistemas sin restricciones de acceso 50 100%
R6 Falta de control a las actualizaciones del proveedor 5 30%
SEGURIDAD FSICA
Instalaciones fsicas con medidas de seguridad
R7 70 65%
deficientes.
Instalaciones con deficiencias en planes de
R8 70 100%
contingencia ante desastres naturales o
61
Fuente: Tomado de UNAD. Valoracin de amenazas, op. cit, p.1.
Abril de 2015
182
Proyecto de Grado
provocados.
R9 Control de acceso fsico a las oficinas no existente 50 30%
Instalaciones fsicas con control ambiental
R10 5 65%
inapropiado
SEGURIDAD LGICA
Control en el recambio y destruccin de medios de
R11 5 65%
almacenamiento
R12 Control de acceso deficiente o faltante 100 100%
REDES DE COMUNICACIONES
R13 Vulnerabilidades de los navegadores utilizados 10 100%
Uso de aplicaciones poco confiables para compartir
R14 70 30%
archivos o para asistencia remota
PERSONAL
R15 Falta de una poltica de seguridad clara 70 100%
R16 Personal inconforme en la compaa 5 30%
R17 Usuarios con pocos conocimientos en informtica 50 65%
Falta de conciencia en los funcionarios para el uso
R18 100 65%
de las tecnologas
Soportes tcnicos con deficiencias en capacitacin
R19 100 30%
y experiencia
Abril de 2015
183
Proyecto de Grado
Tabla 45. Matriz clasificacin de riesgo Color Shop62
Fuente: Tomado de UNAD. Mdulo riesgos y control informtico
Leve Moderado Catastrfico

Alta R14, R19 R4, R7, R18 R2, R8, R12, R15
Media R9 R17 R5
Baja R1, R6, R16 R3, R10, R11 R13
10.3.4. Nivel Aceptable o que se debe monitorear de Color Shop
R1 Control a dispositivos de almacenamiento externos

R10 Instalaciones fsicas con control ambiental inapropiado
R11 Control en el recambio y destruccin de medios de almacenamiento
R16 Personal inconforme en la compaa
R3 Falta de equipos UPS's para contingencias
R6 Falta de control a las actualizaciones del proveedor
R9 Control de acceso fsico a las oficinas no existente

tratamiento de Color Shop
R13 Vulnerabilidades de los navegadores utilizados

R14 Uso de aplicaciones poco confiables para compartir archivos o para
asistencia remota
R17 Usuarios con pocos conocimientos en informtica
R19 Soportes tcnicos con deficiencias en capacitacin y experiencia
10.3.6. Nivel de Controles inmediatos o de mitigacin de Color Shop
R2 Manipulacin de los equipos sin control alguno

R12 Control de acceso deficiente o faltante
R15 Falta de una poltica de seguridad clara
R18 Falta de conciencia en los funcionarios para el uso de las tecnologas
R4 Software con problemas de desarrollo
R5 Sistemas sin restricciones de acceso
R7 Instalaciones fsicas con medidas de seguridad deficientes.
R8 Instalaciones con deficiencias en planes de contingencia ante desastres
62
Fuente: Tomado de UNAD. Mdulo riesgos y control informtico, op. cit, p.1.
Abril de 2015
184
Proyecto de Grado
Tabla 46 Cuestionario de control Anexo 1
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 1
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
A5: EVALUAR LA POLTICA DE SEGURIDAD DE LA INFORMACIN

A5.1. Poltica de Seguridad de la Informacin
Conjunto de polticas para la seguridad de la
informacin
1 Est definida la poltica de seguridad para la
empresa?
2 Se encuentran definidos los objetivos generales
y el alcance de seguridad informtica, como
mecanismo para compartir informacin?
3 Se tiene la estructura necesaria para establecer
los objetivos de control, evaluando los riesgos?
4 Se tiene la estructura necesaria para establecer
la gestin de los riesgos?
5 Se realizan capacitaciones constantes sobre las
vulnerabilidades, riesgos y amenazas que tiene
una organizacin?
Revisin de las polticas para la seguridad de
la informacin.
1 Se realizan acciones preventivas y correctivas?
2 Se realizan revisiones peridicas de la poltica
de seguridad?
3 Los incidentes de seguridad se reporta?
4 Se realizan revisiones peridicas de la poltica
de seguridad?
OBSERVACIONES:
Abril de 2015
185
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 2
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A6: EVALUAR LOS ASPECTOS ORGANIZATIVOS DE LA

A6.1. Organizacin interna
Asignacin de responsabilidades para la
seguridad de la informacin
1 Documentar las metas de seguridad,
verificando que satisface los requisitos de la
empresa?
2 Revisar y probar la poltica de seguridad de la
informacin?
3 Definir las iniciativas de seguridad?
4 Proporciona los recursos requeridos para la
seguridad de la informacin?
5 Se asignan funciones conforme a las
necesidades de la informacin?
6 Se asignan las responsabilidades a cada
proceso de seguridad?
7 Se documentan los procesos de asignacin y
seguridad?
Segregacin de tareas
1 Los activos informticos se encuentran
definidos claramente?
2 Se garantizan las actividades de seguridad,
siguiendo la poltica de seguridad?
3 Se identifican los cambios, cuando existen
amenazas?
4 Se evalan y coordinan los controles de
seguridad?
Seguridad de la informacin en la gestin de
proyectos
1 La direccin se compromete con la seguridad
de la informacin?
Abril de 2015
186
Proyecto de Grado
2 Autorizacin por la direccin para la inversin

de recursos, tiempos y formaciones?
3 Existen los procedimientos documentados para
contactar a las autoridades competentes?
contactar a las entidades pblicas?
contactar a las empresas proveedoras de
telecomunicaciones?
A6.2. Dispositivos para movilidad y teletrabajo
Poltica de uso de dispositivos para
movilidad
1 Se tiene definida la poltica de seguridad para
dispositivos mviles?
2 Los controles aseguran la proteccin de los
canales de comunicacin?
3 Los controles aseguran la proteccin contra
cdigo malicioso?
4 Los controles aseguran la disponibilidad,
integridad y confidencialidad de la informacin?
Teletrabajo
1 Se tiene la estructura clara para la
presentacin de informes?
2 Se cuenta con unos procesos especficos para
la gestin de cambio?
3 La poltica de acceso, cuenta con los mdulos
permitidos para la identificacin de usuario?
4 Se cuenta con los privilegios de acceso?
OBSERVACIONES:
Abril de 2015
187
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 3
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A7: EVALUAR LA SEGURIDAD LIGADA A LOS RECURSOS

HUMANOS
A7.2. Seguridad en el desempeo de las funciones
del empleo
Responsabilidades de gestin
1 Se tienen las directrices sobre las funciones de
seguridad en el sistema de informacin?
2 Se poseen las habilidades y calificaciones
apropiadas?
3 Logran un grado de concientizacin sobre la
seguridad dentro de la organizacin?
4 Estn de acuerdo con los trminos y las
condiciones laborales?
Concienciacin, educacin y capacitacin en
1 Se utiliza una formacin en el uso correcto de
los servicios de procesamiento de informacin?
2 Se realizan capacitaciones sobre las
amenazas, riesgos y vulnerabilidades?
3 Se establecen los procesos de formacin y
concientizacin, diseado para presentar las
polticas de seguridad de la organizacin?
OBSERVACIONES:
Abril de 2015
188
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 4
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A8: EVALUAR LA GESTIN DE ACTIVOS

A8.1. Responsabilidad sobre los activos
Inventario de activos
1 Se establece un inventario de activos
informticos por categora?
2 Se incluyen los requisitos para mantener
seguro los activos informticos?
Propiedad de los activos
1 Los activos informticos mantienen un cdigo
de ingreso a la organizacin, cada vez que se
adquiere uno nuevo?
2 Se clasifican los activos, conforme a sus
caractersticas?
3 Los activos se clasifican por niveles?
Uso aceptable de los activos
1 Se informa a los empleados el uso de los
activos?
Devolucin de activos
1 Existe un proceso de terminacin para incluir la
devolucin del software?
devolucin de los documentos?
devolucin de los equipos mviles?
devolucin de los equipos de cmputo?
5 Existe un procedimiento que garantice la
transferencia de informacin al finalizar su
contratacin?
Abril de 2015
189
Proyecto de Grado
A8.2. Clasificacin de la informacin

Directrices de clasificacin
1 Se tienen las directrices sobre cmo se
clasifican los activos informticos?
2 Existe la clasificacin de seguridad por niveles?
Etiquetado y manipulado de la informacin
1 Se capacita sobre cmo se debe enviar, y
manipular las bases de informacin
confidencial?
2 Existe una marca para identificar las fuentes de
informacin?
Manipulacin de activos
1 Los activos informticos poseen una
documentacin adecuada?
2 Existen manuales de configuracin de los
OBSERVACIONES:
Cdigo: SGSI-
P-02-F-02
FORMATO
ANEXO 5
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A9: EVALUACIN QUE PERMITE EVALUAR EL CONTROL DE

ACCESO
A9.1. Requerimientos de negocio para el control de
acceso
Poltica de control de acceso
1 Se tiene implementado la poltica de control de
acceso conforme a la poltica de seguridad?
2 Se atiende la legislacin vigente, conforme a las
Abril de 2015
190
Proyecto de Grado
normas actuales?
3 Identificar la informacin relacionada con las
aplicaciones?
4 Identificar los riesgos asociados a la
informacin?
A9.2. Gestin de acceso de usuario
Gestin de altas/bajas en el registro de
usuarios
1 Se establecen los repositorios donde se
registran los usuarios que ingresan al sistema
operativo?
2 Se establecen los contadores para identificar
cuantas sesiones estn abiertas por usuario?
3 Se verifica el nivel de acceso otorgado a cada
usuario peridicamente?
4 Se verifica que el usuario tenga autorizacin del
dueo del sistema para el uso de la informacin?
Gestin de los derechos de acceso con
privilegios especiales
1 Se establece para cada tipo de activo los
privilegios otorgados de acuerdo a la evaluacin
de riesgos asociada?
2 Se promueve el desarrollo de rutinas del sistema
para evitar la necesidad de otorgar privilegios
innecesarios?
A9.3. Responsabilidades de usuario
Uso de informacin confidencial para la
autenticacin
1 Est definida la poltica de seguridad para
usuarios de los equipos?
2 Las contraseas predeterminadas por el
proveedor se cambian inmediatamente despus
de la instalacin de los sistemas o del software?
3 Las contraseas temporales se suministran de
forma segura a los usuarios?
A9.4. Control de acceso a sistemas operativo y
aplicaciones
Restriccin del acceso a la informacin
1 El control de acceso se realiza de acuerdo a la
poltica del control de accesos?
2 Se controla los derechos de acceso de otras
aplicaciones?
3 Se garantiza que los datos de salida de los
sistemas de aplicacin que manejan informacin
sensible solo contienen la informacin pertinente
para el uso de la salida y que se enva
nicamente a terminales o sitios autorizados?
Abril de 2015
191
Proyecto de Grado
Procedimientos seguros de inicio de sesin

1 Se establece la poltica de autenticacin a los
equipos, con contraseas personales y perfiles
definidos?
2 Se valida la informacin de registro con la base
de datos para el acceso?
3 Los controles de acceso se aplican al personal
de soporte tcnico?
4 Los controles de acceso se aplican a los
operadores?
administradores de red?
programadores de sistemas?
administradores de bases de datos?
Uso de herramientas de administracin de
sistemas
1 Se regula la instalacin de software en los
equipos personales?
2 Se lleva un registro de todo uso de las utilidades
del sistema?
3 Se utilizan procedimientos de identificacin,
autenticacin y autorizacin para las utilidades del
sistema?
OBSERVACIONES:
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 6
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
Abril de 2015
192
Proyecto de Grado
A10: EVALUACIN QUE PERMITE EVALUAR EL CIFRADO

A10.1. Controles criptogrficos
Poltica de uso de los controles
criptogrficos
1 Se establece la poltica de cifrado para las
claves pblicas y privadas en el manejo de
informacin confidencial?
2 Se verifica peridicamente la poltica de
cifrado conforme a la norma actual?
Gestin de claves
1 Se valida las metodologas para cifrar las
claves y uso en los mensajes emitidos?
2 Se controla los derechos de acceso a los
usuarios por medio de claves criptogrficas
cuando es informacin confidencial?
3 Se asigna los derechos de acceso a los
usuarios por medio de claves criptogrficas
cuando es informacin confidencial?
OBSERVACIONES:
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 7
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A11: EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD FSICA

Y DEL ENTORNO
A11.1. reas seguras
Controles fsicos de entrada
1 Se definen los controles fsicos para cada
activo?
Abril de 2015
193
Proyecto de Grado
2 Se definen los controles tcnicos para cada

activo?
3 Se definen los controles organizacionales
para cada activo?
4 Se dicta la poltica de control de accesos
conforme al SGSI?
Seguridad de oficinas, despachos y
recursos
1 Se dicta la poltica de uso de las oficinas
acorde a la poltica de gestin de acceso y del
SGSI?
2 Se establece el reglamento sobre las
actividades y procesos informticos?
3 Se establece las normas sobre las
actividades y procesos informticos?
Proteccin contra las amenazas externas y
ambientales
1 Definir un plan de respuesta para cada tipo de
efecto que pudiera causar amenaza externa?
2 Se suministran equipos apropiados contra las
amenazas ambientales y son ubicados
adecuadamente?
A11.2. Seguridad de los equipos
Emplazamiento y proteccin de equipos
1 Monitorear el uso de equipos personales a
travs de la poltica de uso de equipos
personales?
2 Los equipos estn distribuidos de tal forma
que no pueda acceder cualquier usuario?
3 Los elementos que requieren proteccin
especial estn aislados?
Instalaciones de suministro
1 Se establece el plan de continuidad para este
tipo de riesgos?
2 Se instalan las UPS para suministrar energa
a los equipos de cmputo?
3 Las UPS y plantas de energa son revisadas
con frecuencia?
Seguridad del cableado
1 El cableado se encuentre canalizado por
conductos especficos del suelo tcnico
instalado en las oficinas?
2 Existe un control de acceso en los cuartos de
cableado que soportan los sistemas crticos?
3 Tienen rtulos de equipos y de cables
claramente identificables para minimizar los
Abril de 2015
194
Proyecto de Grado
errores en el manejo?
Mantenimiento de los equipos
1 Se realiza el mantenimiento acorde a los
procesos de gestin de activos?
2 La informacin confidencial es retirada
peridicamente de los equipos de cmputo?
3 El personal de mantenimiento es
suficientemente confiable?
4 Se lleva un registro de todas las fallas reales
y sospechosas?
OBSERVACIONES:
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 8
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A12: EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD EN LA

OPERATIVA
A12.1. Proteccin contra cdigo malicioso
Controles contra el cdigo malicioso
1 Se establece la poltica de seguridad de
equipos personales en la que se previene el uso
de programas no autorizados por la empresa?
2 Se regula el uso de software antivirus y su
actualizacin?
3 Se lleva a cabo revisiones mensuales sobre el
contenido del software y los datos que soportan
los procesos crticos del negocio?
4 Se investiga la aparicin de archivos o cdigos
no autorizados por el desarrollador del
software?
Abril de 2015
195
Proyecto de Grado
A12.2. Copias de seguridad

Copias de seguridad de la informacin
1 Se realizan copias de seguridad de manera
peridica sobre la informacin registrada en las
oficinas Backup?
2 Las copias de seguridad se almacenan en un
sitio seguro?
3 Se puede consultar de las copias de seguridad
los archivos y la informacin est completa?
A12.4. Registro de actividad y supervisin
Registro y gestin de eventos de actividad
1 Se monitorea los cambios de configuracin del
sistema?
2 Supervisar los controles definidos al uso de
equipos personales?
Registros de actividad del administrador y
operador del sistema
1 Se monitorea el ingreso de usuarios a las
diferentes aplicaciones?
2 Se registran las alertas o fallas del sistema,
como mensajes de consola?
A12.6. Gestin de las vulnerabilidades tcnicas
Gestin de las vulnerabilidades tcnicas
1 Se establece el cuadro de control que
evidencie los riesgos asociados a la
organizacin?
Restricciones en la instalacin de sistema
operativo (S.O.)
1 Se tiene instalado un corta fuego en el sistema
operativo?
2 Se asignan privilegios a los usuarios conforme
a su perfil o cargo?
A12.7. Consideraciones de las auditoras de los
sistemas de informacin
Controles de auditora de los sistemas de
informacin
1 Se realiza mensualmente y trimestralmente
una auditora interna por los procesos de
seguridad que se han implementado en la
organizacin?
OBSERVACIONES:
Abril de 2015
196
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 9
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A13: EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD EN

LAS TELECOMUNICACIONES
A13.2. Intercambio de informacin
Mensajera electrnica
1 Se establecen los protocolos para enviar la
informacin por los canales de comunicacin?
2 Se verifica los canales de comunicacin
mensualmente identificando los canales de
transmisin por el internet?
Acuerdos de confidencialidad y secreto
1 Se documenta donde se establecen los
acuerdos de confidencialidad?
2 Se documenta donde se establecen las
polticas de confidencialidad?
3 Se monitorea el cumplimiento de los
acuerdos?
OBSERVACIONES:
Abril de 2015
197
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 10
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A16: EVALUACIN QUE PERMITE EVALUAR LA GESTIN DE

A16.1. Gestin de incidentes de seguridad de la
informacin y mejoras
Aprendizaje de los incidentes de seguridad
de la informacin
1 Se verifican las amenazas, riesgos y
vulnerabilidades asociados a la empresa?
2 De acuerdo a las amenazas, riesgos y
vulnerabilidades se debe establecer una
propuesta para disminuir el riesgo?
A14.3. Datos de prueba
Proteccin de los datos utilizados en
pruebas
1 Se realizan pruebas a los activos informticos,
estableciendo las mejores alternativas para
mitigar los riesgos?
2 Se realizan pruebas a las bases de datos,
estableciendo la informacin confidencial y la
no confidencial?
OBSERVACIONES:
Abril de 2015
198
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 11
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A14: EVALUACIN QUE PERMITE EVALUAR LA ADQUISICIN,

INFORMACIN
A16.1. Gestin de incidentes de seguridad de la
informacin y mejoras
Aprendizaje de los incidentes de
Se establecen procesos de resolucin de
incidentes de seguridad de la informacin?
Se evalan los incidentes de seguridad?
OBSERVACIONES:
Abril de 2015
199
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 12
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A17: EVALUACIN QUE PERMITE EVALUAR LOS ASPECTOS DE

A17.1. Aspectos de la seguridad de la informacin
en la gestin de la continuidad del negocio
Planificacin de la continuidad de la
1 Se define el proceso de gestin de
continuidad del negocio?
2 Se define las directrices de continuidad del
negocio de conformidad con la poltica de
seguridad de la informacin?
3 Se garantiza la seguridad del personal, la
proteccin de los servicios y procesos de
informacin?
Verificacin, revisin y evaluacin de la
continuidad de la seguridad de la
informacin
1 Se define los planes de continuidad del
negocio de acuerdo al orden de prioridades?
2 Se implementa los planes de continuidad del
negocio de acuerdo al orden de prioridades?
OBSERVACIONES:
Abril de 2015
200
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
ANEXO 13
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
A18: EVALUACIN QUE PERMITE EVALUAR EL CUMPLIMIENTO

A18.1. Cumplimiento de los requisitos legales y
contractuales
Identificacin de la legislacin aplicable
1 Se identifica la legislacin aplicable para los
procesos que intervienen en el manejo de la
informacin?
Derechos de propiedad intelectual (DPI)
1 Se identifica la legislacin aplicable y los
trminos contractuales en las licencias
utilizadas?
2 Se hace un inventario de software para
garantizar la idoneidad de su uso?
3 Se dictan polticas de cumplimiento?
Proteccin de los registros de la
organizacin
1 Se mantienen disponibles los documentos del
Sistema de gestin de la seguridad informtica
- SGSI?
2 Los documentos se mantienen editables para
los usuarios autorizados?
3 Se clasifica la informacin en funcin de su
importancia?
4 Se establecen copias de seguridad de la
informacin relevante?
5 Se protege la informacin fsica sensible?
Proteccin de datos y privacidad de la
informacin personal
1 Se establece el documento de seguridad de
conformidad con la legislacin de proteccin de
Abril de 2015
201
Proyecto de Grado
datos personales?
A18.2. Revisiones de la seguridad de la
informacin
Cumplimiento de las polticas y normas de
seguridad
1 Se dicta y acuerda la poltica del sistema de
gestin de la seguridad informtica - SGSI?
OBSERVACIONES:
Abril de 2015
202
Proyecto de Grado
11. RESULTADOS DE LA AUDITORA
11.1. Resultados por Pyme
A partir del cuestionario de control y/o lista de chequeo en cada una de las
empresas se identific los siguientes resultados por empresa:
Ilustracin 35 Poltica de seguridad de la informacin Guille Sport
CONTROLAR LA POLTICA DE SEGURIDAD DE LA

INFORMACIN
SI
NO
N/A
Preguntas

Sport
CONTROLAR LOS ASPECTOS ORGANIZATIVOS DE LA

SI
Organizacin
Documentar
Se tiene
Definir las
Se asignan
Se identifican
Autorizacin
Existen los
Se cuenta con
Se cuenta con
Dispositivos
Los controles
Se
Los activos
NO
Teletrabajo
N/A
Preguntas
Abril de 2015
203
Proyecto de Grado
Ilustracin 37 Seguridad ligada a los recursos humanos Guille Sport
CONTROLAR LA SEGURIDAD LIGADA A LOS RECURSOS

HUMANOS
SI
NO
N/A
Preguntas
Ilustracin 38 Gestin de activos Guille Sport
CONTROLAR LA GESTIN DE ACTIVOS
SI
NO
N/A
Preguntas
Abril de 2015
Requerimientos de
Abril de 2015
Se tiene
Identificar la
Gestin de acceso
Se establecen los
Se verifica el nivel
Gestin de los
Se promueve el
Uso de informacin
Las contraseas
Preguntas Control de acceso a
El control de
Preguntas
Se garantiza que
Proyecto de Grado
Se establece la
CONTROL DE ACCESO
CONTROL DE CIFRADO
Los controles de
Los controles de
Ilustracin 40 Cifrado Guille Sport
Los controles de
Se regula la
Ilustracin 39 Control de accesos Guille Sport
Se utilizan
SI
SI
NO
N/A
NO
N/A
204
205
Proyecto de Grado
Ilustracin 41 Seguridad fsica y del entorno Guille Sport
CONTROL DE LA SEGURIDAD FSICA Y DEL ENTORNO
SI
NO
N/A
Preguntas
Ilustracin 42 Seguridad en la operatividad Guille Sport
CONTROL DE LA SEGURIDAD EN LA OPERATIVA
SI
NO
N/A
Preguntas
Abril de 2015
206
Proyecto de Grado
Ilustracin 43 Seguridad en las telecomunicaciones Guille Sport
CONTROL DE LA SEGURIDAD EN LAS TELECOMUNICACIONES
SI
NO
N/A
Preguntas

Sport
CONTROL PARA LA GESTIN DE INCIDENTES EN LA

SI
NO
N/A
Preguntas
Abril de 2015
207
Proyecto de Grado

informacin Guille Sport
CONTROL PARA LA ADQUISICIN,

DESARROLLO Y MANTENIMIENTO DE LOS
SISTEMAS DE INFORMACIN
SI
NO
N/A
Preguntas

continuidad del negocio Guille Sport
CONTROL PARA LOS ASPECTOS DE SEGURIDAD DE LA

INFORMACIN EN LA GESTIN DE LA CONTINUIDAD DEL
NEGOCIO
SI
NO
N/A
Preguntas
Abril de 2015
Cumplimiento de los
Abril de 2015
Identificacin de la
Se identifica la
Derechos de
Se identifica la
Se hace un
Se dictan polticas
Proteccin de los
Se mantienen
Los documentos se
Pruebas
Se clasifica la
Se establecen
Se protege la
Proyecto de Grado
Proteccin de datos
Se establece el
CONTROL PARA EL CUMPLIMIENTO
Revisiones de la
Ilustracin 47 Cumplimiento Guille Sport
Cumplimiento de las
Se dicta y acuerda
SI
NO
N/A
208
209
Proyecto de Grado
A travs de las auditorias, visita preliminar y listas de chequeo se encontraron los siguientes hallazgos, con sus respectivas
causas, recursos afectados y los controles por cada uno para determinar las posibles soluciones en prospectiva.
Tabla 59 Hallazgos Guille Sport
Recursos
Ref. Dominio/proceso Hallazgo Causas Controles propuestos
afectados
Establecer las polticas
de seguridad de la
Conjunto de polticas informacin para la
No hay definida una El desconocimiento de
5.1.1 para la seguridad de La informacin, el compaa
la informacin poltica de seguridad de la estndares y modelos de
buen nombre de la Realizar revisiones
informacin, ni objetivos ni seguridad de la informacin,
empresa, los peridicas de la poltica
alcance de seguridad, por la visin de poca necesidad
equipos y de seguridad
ende no hay de proteger la informacin, la
procesos, y Establecer objetivos, y
documentacin ni abnegacin a la inversin en
Revisin de las finalmente la alcance de la poltica de
procedimientos para ser temas diferentes a la razn
polticas para la compaa. seguridad
5.1.2 revisados. social.
seguridad de la Hacerla de estricto
informacin cumplimiento para todos
los colaboradores
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN
Se carece de Exceso de confianza en el Documentar y definir los
Asignacin de procedimientos personal, desconocimiento de La informacin, procesos de asignacin
responsabilidades (documentos) para las los riesgos y amenazas como activo ms y seguridad
6.1.1
para la seguridad de actividades relacionadas latentes al interior o exterior valioso, personal, Asignar las
la informacin con el manejo de la de la compaa. Organizacin equipos, procesos. responsabilidades a
informacin. Nadie tiene por procesos y cada proceso de
Abril de 2015
210
Proyecto de Grado
asignadas tareas que responsabilidades casi nulas, seguridad

permitan controlar la falta de compromiso de la Definir los activos de
Segregacin de manipulacin de la direccin por la seguridad.
6.1.2 informacin y asignar
tareas informacin o hacerse responsable
responsable del buen uso Compromiso de la
de esta. Direccin con la
seguridad de la
Seguridad de la
informacin
6.1.5 informacin en la
Autorizacin por la
gestin de proyectos
direccin para la
tiempos y formaciones
La informacin, las
No hay existencia de Falta de compromiso de la
Poltica de uso de comunicaciones y
poltica alguna para el empresa para adoptar
6.2.1. dispositivos para los canales que Definir la poltica de
control en la utilizacin de polticas relacionadas a la
movilidad esta emplea, los seguridad para
este tipo de dispositivos. seguridad de la informacin
equipos. dispositivos mviles
6.2.2. Teletrabajo

7.2. Seguridad en el desempeo de las funciones del empleo (Durante la contratacin)
Indiferencia por parte de la Especificacin de
Personal poco capacitado direccin para promover polticas de seguridad de
La informacin, la
en temas de seguridad, de buenas prcticas en el informacin, involucrar al
credibilidad de la
Responsabilidades manipulacin de equipos manejo de equipos de personal y hacer
7.2.1 compaa, los
de gestin de cmputo y de cmputo y de la informacin, seguimiento
equipos, los
proteccin a los activos de falta de capacitacin y Establecer las directrices
procesos.
informacin personal poco comprometido sobre las funciones de
con la seguridad de la seguridad informtica.
Abril de 2015
211
Proyecto de Grado
informacin de la compaa, Formacin al personal

y poco consiente de hacer en temas de seguridad
.un buen uso de los de la informacin.
elementos informticos. Realizar capacitaciones
sobre las amenazas,
Concienciacin,
riesgos y
educacin y
vulnerabilidades
7.2.2 capacitacin en
seguridad de la Establecer los procesos
informacin de formacin y
concientizacin,
diseado para presentar
las polticas de
seguridad de la
organizacin
Mantener un inventario
de activos definido. -
Relacin de riesgos con
8.1.1 Inventario de Activos tipos de activos. -
Mantener registro de
personas y sus
Los activos no tiene
Falta de una definicin clara capacitaciones
responsables asignados y
de asignacin de activos y Equipos e Identificar el propietario
Propiedad de los son accedidos y
8.1.2 responsables de su custodia informacin. de los activos y el
activos manipulados de manera
y buen uso. responsable
incontrolada.
Uso aceptable de los
8.1.3.
activos Informar a los
empleados sobre el uso
Devolucin de
8.1.4. de los activos
activos
Abril de 2015
212
Proyecto de Grado

Directrices de Los activos de informacin Capacitar sobre cmo se
8.2.1. no pasan por unos debe enviar, y manipular
clasificacin
procesos de las bases de informacin
Etiquetado y documentacin marcacin Procesos inexistentes para confidencial
8.2.2. manipulado de la Informacin
asignacin o clasificacin, clasificar, manipular o Identificar y clasificar las
informacin relevante.
la informacin tampoco etiquetar la informacin fuentes de informacin
cuenta con procesos de
Manipulacin de organizacin o Documentar los activos
8.2.3.
activos clasificacin alguna. de informacin.
Falta de definicin de Definir la poltica de
El acceso a los equipos de
controles de acceso a los control de acceso para
cmputo se hace sin
Poltica de control de equipos y recursos, no definir Equipos e todos los usuarios de los
9.1.1 ningn tipo de control o
acceso responsables para los activos informacin. equipos.
restriccin, no se define
y reglas de acceso a los
unos procesos para esto.
mismos.
Establecer privilegios de
acceso a los usuarios
Cualquier colaborador que segn su rol y necesidad
desee ingresar a los de acceder a la
Informacin
equipos, lo hace sin No se tiene implementado un informacin.
relevante y/o
Gestin de restricciones, no se procedimiento para tal fin, no Verificar peridicamente
sensible, equipos
9.2.1 altas/bajas en el gestionan privilegios, se define una poltica para que el nivel de acceso
de cmputo, la
registro de usuarios debido a esto no hay gestin de accesos y otorgado a cada usuario
continuidad del
implementada una gestin privilegios a los usuarios. siga siendo el
negocio.
de altas y bajas de especificado en el
registros de usuarios. documento.
Verificar que el usuario
Abril de 2015
213
Proyecto de Grado
Gestin de los tenga autorizacin del

derechos de acceso dueo del sistema para
9.2.3
con privilegios el uso de la informacin.
especiales
Definir polticas de
seguridad para usuarios
de los equipos.
No se determina que
Establecer contratos con
informacin es La informacin, los
Uso de informacin No fijar procedimientos que indicacin de
confidencial, tampoco se equipos, el buen
9.3.1 confidencial para la indiquen la confidencialidad responsabilidad y
le da un tratamiento a la nombre de la
autenticacin de la informacin. confidencialidad sobre la
misma para evitar fugas, o compaa.
informacin.
alteracin de informacin.
Definir perfiles de
usuario para el acceso a
los equipos.
Implementar poltica de
Restriccin del control de accesos
9.4.1 acceso a la Controlar los derechos
informacin de acceso de otras
No se evidencia Falta de definicin de
aplicaciones
procedimientos ni polticas que implementen El sistema
Establecer la poltica de
configuraciones para el reglas y configuraciones de operativo y las
autenticacin a los
Procedimientos inicio de sesin de inicio de sesin seguras, aplicaciones, la
equipos, con
9.4.2 seguros de inicio de usuarios a los equipos, los restricciones a personal no informacin, los
contraseas personales
sesin usuarios tienen acceso autorizado, o uso de equipos de
y perfiles definidos.
completo al sistema y a las herramientas del sistema sin cmputo.
aplicaciones instaladas. autorizacin. Regular la instalacin de
software en los equipos
Uso de herramientas de cmputo personales,
9.5.4 de administracin de conforme a la poltica de
sistemas seguridad de equipos
Abril de 2015
214
Proyecto de Grado
personales.
Llevar un registro de
todo uso de las
utilidades del sistema
Usar procedimientos de
identificacin,
autenticacin y
10. CIFRADO
Poltica de uso de los cifrado para las claves
10.1.1 controles pblicas y privadas en el
criptogrficos No se cifra o utiliza ningn Inters bajo por parte de los manejo de informacin
tipo de procedimiento para propietarios por tener una La informacin, los confidencial.
cifrar datos o para poltica que permita mantener equipos de Controlar y asignar los
gestionar claves de ningn los activos de informacin lo cmputo- derechos de acceso a
tipo. ms seguros posible. los usuarios por medio
de claves criptogrficas
cuando es informacin
confidencial.
11.1. reas seguras
Hay libre acceso y trnsito Definicin de controles
Equipos,
por las oficinas donde se fsicos, tcnicos y
Exceso de confianza en el informacin
encuentran los equipos de organizacionales para
Controles fsicos de personal, falta de importante de la
11.1.2 cmputo, no se controla el cada activo.
entrada compromiso con la seguridad empresa,
acceso a estas, no se Dictar la poltica de
de los activos. dispositivos
define una distribucin de control de accesos
externos.
los activos o se adecuan conforme al SGSI.
Abril de 2015
215
Proyecto de Grado
elementos necesarios para Definir la poltica de uso

la proteccin de estos. de las oficinas acorde a
la poltica de gestin de
Seguridad de
acceso y del SGSI.
11.1.3 oficinas, despachos y
Establecer el reglamento
recursos
y las normas sobre las
actividades y procesos
informticos.
Definicin de un plan de
respuesta para cada tipo
de efecto que pudiera
causar amenaza interna
Proteccin contra las
o externa.
11.1.4 amenazas externas y
Suministrar equipos
ambientales
apropiados contra las
amenazas ambientales y
son ubicados
adecuadamente.
Regular y monitorear el
No se controla las uso de equipos
temperaturas donde se Desconocimiento de la personales a travs de la
encuentran los equipos de importancia de mantener los poltica de uso de
Equipos de equipos personales.
Emplazamiento y cmputo, el mantenimiento equipos actualizados, con
cmputo, Distribuir los equipos
11.2.1 proteccin de que se realiza es mantenimiento peridico,
dispositivos donde sean accedidos
equipos correctivo (solo cuando tener equipos de regulacin
externos, solo por el personal
ocurre una incidencia que de voltajes o UPS de
informacin autorizado.
deja inoperativo el equipo), contingencia, libres de
almacenada.
los equipos no cuentan temperaturas altas, o Aislar elementos que
con proteccin contra altas humedades en el ambiente. requieran proteccin
o bajas de tensin. especial
11.2.2 Instalaciones de Establecer el plan de
Abril de 2015
216
Proyecto de Grado
suministro continuidad para este

tipo de riesgos
Existe un control de
acceso en los cuartos de
cableado que soportan
Seguridad del los sistemas crticos.
11.2.3
cableado Tienen rtulos de
equipos y de cables
claramente identificables
para minimizar los
errores en el manejo.
Realizar mantenimiento
acorde a los procesos de
Mantenimiento de los gestin de activos.
11.2.4
equipos Llevar un registro de
todas las fallas reales y
sospechosas.
seguridad de equipos
personales en la que se
Los equipos carecen de
Aplicaciones, previene el uso de
sistemas de proteccin Falta de mantenimiento
Sistema Operativo, programas no
seguros contra cdigo preventivo al sistema
Controles contra el informacin, discos autorizados por la
12.2.1 malicioso, estn operativo y aplicaciones,
cdigo malicioso duros y empresa. Regular el uso
desactualizados de licenciamiento del software
dispositivos de software antivirus y
parches de seguridad y inexistente.
externos. su actualizacin.
antivirus.
Llevar a cabo revisiones
mensuales sobre el
contenido del software y
Abril de 2015
217
Proyecto de Grado
los datos que soportan

los procesos crticos del
negocio.
Investigar la aparicin de
archivos o cdigos no
autorizados y aprobados
por el desarrollador del
software y/o aplicacin.
Realizar copias de
seguridad de manera
peridica sobre la
Las copias de seguridad a informacin registrada
la informacin importante, en las oficinas Backup.
Dispositivos
se realizan en dispositivos Falta de control de acceso a Almacenar las copias de
Copias de seguridad extrables, la
12.3.1 extrables, y se dejan las oficinas y equipos de seguridad en lugares
de la informacin informacin de la
conectados al equipo., cmputo. seguros y evitar que
compaa.
donde cualquiera puede queden al alcance de
tomarlos personas no
autorizadas.

Supervisar los controles
definidos al uso de
Registro y gestin de La actividad en los activos equipos personales.
12.4.1 Informacin
eventos de actividad de informacin no se Monitorear los cambios
No se definen procedimientos equipos,
monitorea, y no hay una de configuracin del
para esta actividad. dispositivos
administracin clara de los sistema.
extrables.
Registros de sistemas. Monitorear el ingreso de
12.4.3 actividad del usuarios a las diferentes
administrador y aplicaciones.
Abril de 2015
218
Proyecto de Grado
operador del sistema Registrar las alertas o

fallas del sistema, como
mensajes de consola.
Establecer un cuadro de
Gestin de las control o cuadro de
12.6.1 vulnerabilidades mando que evidencie los
tcnicas Restricciones inexistentes El sistema, las riesgos asociados a la
No hay poltica de seguridad
al sistema de los equipos, aplicaciones, la organizacin.
establecida para estos
no se data ni se controlan informacin, los Instalacin de corta
Restricciones en la procesos
las vulnerabilidades. equipos fuegos y asignacin de
instalacin de
12.6.2 privilegios a cada
sistema operativo
usuario conforme a su
(S.O.)
perfil o cargo.
Realizar mensualmente
y trimestralmente una
Controles de
No se audita ningn No hay procedimientos de auditora interna por los
auditora de los Equipos,
12.7.1 proceso relacionado con auditora establecidos en la procesos de seguridad
sistemas de informacin.
los activos de informacin. compaa. que se han
informacin
implementado en la
organizacin.
Los contratos no Establecer los protocolos
especifican mantener para enviar la
confidencialidad de la Informacin, buen informacin por los
Mensajera Polticas y procedimientos canales de
13.2.3 informacin de la nombre de la
electrnica inexistentes en la compaa. comunicacin.
empresa, no se realiza empresa.
soporte a los procesos de Verificar los canales de
transmisin de informacin comunicacin
Abril de 2015
219
Proyecto de Grado
de manera electrnica. mensualmente

identificando los canales
de transmisin por el
internet.
Definir documento donde
se establecen los
acuerdos de
confidencialidad.
Acuerdos de Definir documento donde
13.2.4 confidencialidad y se establecen las
secreto polticas de
confidencialidad.
Hacer seguimiento al
cumplimiento de los
acuerdos.
14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
Mantener los sistemas
actualizados, buscando
identificar las amenazas,
No se plantea ningn riesgos y
Equipos,
Anlisis y requisito pertinente a la vulnerabilidades
Desconocimiento, falta de informacin
especificacin de los seguridad de la asociados a los activos
14.1.1 compromiso con la seguridad relevante, el buen
requisitos de informacin, es un tema de informacin.
de la informacin. nombre de la
seguridad desconocido en la Elaborar documento con
compaa.
compaa. especificaciones de los
requisitos de seguridad
para los sistemas de
informacin.
Abril de 2015
220
Proyecto de Grado
Definir un plan de
pruebas a los activos
informticos,
estableciendo las
No se ejecutan pruebas a No existen procedimientos, mejores alternativas
Proteccin de los Informacin
los sistemas y a la protocolos o polticas para para mitigar los riesgos.
14.3.1 datos utilizados en relevante de la
informacin que interacta efectuar las actividades de Definir un plan de
pruebas empresa
con estos. pruebas. pruebas a las pruebas a
las bases de datos,
estableciendo la
informacin confidencial
y la no confidencial.
Establecer procesos de
resolucin de incidentes
Equipos de de seguridad de la
Desconocimiento sobre
Aprendizaje de los cmputo, informacin, bien sea de
No se gestionan incidentes procesos, normas,
incidentes de dispositivos manera reactiva o
16.1.6 de seguridad de la estndares y buenas
seguridad de la externos, proactiva.
informacin. prcticas de la seguridad de
informacin informacin Implementar
la informacin.
almacenada. herramientas para
evaluar los incidentes de
seguridad.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE LA CONTINUIDAD DEL NEGOCIO
17.1. Aspectos de la seguridad de la informacin en la gestin de la continuidad del negocio
No se cuenta con planes No se ve la seguridad de los Definir el proceso de
Planificacin de la
de accin o de activos de informacin, como gestin de continuidad
continuidad de la Toda la compaa
17.1.1 contingencia, ni una inversin o del negocio y las
seguridad de la y sus activos.
documentacin que implementacin necesaria en directrices de
informacin
permita mantener el la compaa. continuidad del negocio
Abril de 2015
221
Proyecto de Grado
funcionamiento de la de conformidad con la

empresa ante la poltica de seguridad de
ocurrencia de riesgos o la informacin.
amenazas. Definir e implantar los
planes de continuidad
Verificacin, revisin
del negocio de acuerdo
y evaluacin de la
al orden de prioridades,
17.1.3 continuidad de la
en los trminos
seguridad de la
presentados en la
informacin
instruccin de
continuidad del negocio.
18. CUMPLIMIENTO
Identificar la legislacin
que aplica para los
Identificacin de la
18.1.1 procesos que intervienen
legislacin aplicable
en el manejo de la
informacin.
Identificar la legislacin
No se cuenta con software
Derechos de Registros fsicos y aplicable y los trminos
licenciado, la informacin Ahorro en adquisicin de
18.1.2 propiedad intelectual lgicos, equipos, contractuales en las
del personal es de fcil licencias, desconocimiento de
(DPI) informacin licencias utilizadas
acceso en los equipos de la parte legal, exceso de
personal, la Hacer un inventario de
cmputo, los registros no confianza.
compaa. software para garantizar
son bien custodiados.
la idoneidad de su uso.
Proteccin de los Dictar poltica de
18.1.3 registros de la cumplimiento.
organizacin Clasificar la informacin
en funcin de su
importancia.
Abril de 2015
222
Proyecto de Grado
Establecer copias de
seguridad de la
informacin relevante,
proteger en armarios o
cajones bajo llave la
informacin fsica
sensible de prdida.
Establecer el documento
Proteccin de datos y de seguridad de
18.1.4 privacidad de la conformidad con la
informacin personal legislacin de proteccin
de datos personales.
Dictar y acordar la
Cumplimiento de las No existe una poltica de Desconocimiento, descuido,
Todos los activos poltica del sistema de
18.2.2 polticas y normas de seguridad de la poco interesen la
de la empresa. gestin de la seguridad
seguridad informacin. implementacin de la poltica.
informtica SGSI.
Abril de 2015
223
Proyecto de Grado
Ilustracin 48 Poltica de seguridad de la informacin Color Shop
CONTROL POLTICA DE SEGURIDAD DE LA INFORMACIN
SI
NO
N/A
Preguntas

Shop
CONTROL PARA LOS ASPECTOS ORGANIZATIVOS DE LA

SI
NO
N/A
Pregunta
Abril de 2015
224
Proyecto de Grado
Ilustracin 50 Seguridad ligada a los recursos humanos Color Shop
CONTROL DE LA SEGURIDAD LIGADA A LOS RECURSOS

HUMANOS
SI
NO
N/A
Preguntas
Ilustracin 51 Gestin de activos Color Shop
CONTROL PARA LA GESTIN DE ACTIVOS
SI
NO
N/A
Preguntas
Abril de 2015
Requerimientos de
Se tiene
Abril de 2015
Identificar la
Gestin de acceso de
Se establecen los
Gestin de los
Se promueve el
Uso de informacin
Las contraseas
Preguntas
Control de acceso a
El control de acceso
Preguntas
Proyecto de Grado
Se establece la
CONTROL DE ACCESO
CONTROL DE CIFRADO
Los controles de
Los controles de
Ilustracin 53 Cifrado Color Shop

Los controles de
Ilustracin 52 Control de acceso Color Shop
Se regula la
Se utilizan
SI
SI
NO
NO
N/A
N/A
225
reas seguras
Abril de 2015
Se definen los
Se definen los
Seguridad de
Se establece el
Se suministran
Emplazamiento y
Los equipos estn
Preguntas
Instalaciones de
Preguntas
Se instalan las UPS
Proyecto de Grado
Seguridad del cableado
Existe un control de
Mantenimiento de
La informacin
CONTROL PARA LA SEGURIDAD EN LA OPERATIVA

Se lleva un registro
Ilustracin 55 Seguridad en la operativa Color Shop
CONTROL PARA LA SEGURIDAD FSICA Y DEL ENTORNO
Ilustracin 54 Seguridad fsica y del entorno Color Shop
SI
SI
NO
NO
N/A
N/A
226
227
Proyecto de Grado
Ilustracin 56 Seguridad en las telecomunicaciones Color Shop
CONTROL PARA LA SEGURIDAD EN LAS

TELECOMUNICACIONES
SI
NO
N/A
Preguntas

Shop
CONTROL PARA LA GESTIN DE INCIDENTES EN LA

SI
NO
N/A
Preguntas
Abril de 2015
228
Proyecto de Grado

informacin Color Shop
CONTROL PARA LA ADQUISICIN,

DESARROLLO Y MANTENIMIENTO DE LOS
SISTEMAS DE INFORMACIN
SI
NO
N/A
Preguntas

continuidad del negocio Color Shop
CONTROL PARA LOS ASPECTOS DE SEGURIDAD DE LA

INFORMACIN EN LA GESTIN DE LA CONTINUIDAD DEL
NEGOCIO
SI
NO
N/A
Pruebas
Abril de 2015
Cumplimiento de
Abril de 2015
Identificacin de la
Se identifica la
Derechos de
Se identifica la
Se hace un
Se dictan polticas
Proteccin de los
Se mantienen
Los documentos
Preguntas
Se clasifica la
Se establecen
Se protege la
Proyecto de Grado
Proteccin de datos
CONTROL DE CUMPLIMIENTO
Se establece el
Revisiones de la
Ilustracin 60 Cumplimiento Color Shop
Cumplimiento de
Se dicta y acuerda
SI
NO
N/A
229
230
Proyecto de Grado
A travs de las auditorias, visita preliminar y listas de chequeo se encontraron los siguientes hallazgos, con sus respectivas
causas, recursos afectados y los controles por cada uno para determinar las posibles soluciones en prospectiva.
Tabla 60 Hallazgos Color Shop
Recursos Controles
REF. Dominio/proceso Hallazgo Causas
afectados propuestos
Establecer las polticas
de seguridad de la
Conjunto de Desinters por parte de
No se cuenta con una informacin para la
polticas para la la direccin en la
5.1.1 poltica de seguridad de compaa
seguridad de la adopcin de modelos y La informacin, el
informacin la informacin, no se
estndares para proteger buen nombre de Realizar revisiones
definen objetivos, ni
la informacin al ser la empresa, los peridicas de la
alcance de un sistema
temas desconocidos, equipos y poltica de seguridad
de seguridad, no hay
visin incorrecta del procesos, y Establecer objetivos, y
documentacin
costo-beneficio que finalmente la alcance de la poltica
Revisin de las relacionada a la
representa la compaa. de seguridad
polticas para la seguridad de activos de
5.1.2 implementacin de la Hacerla de estricto
poltica de seguridad cumplimiento para
informacin
todos los
colaboradores
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN
Asignacin de Se carece de Exceso de confianza en La informacin, Documentar y definir
6.1.1 responsabilidades procedimientos el personal, como activo ms los procesos de
para la seguridad de (documentos) para las desconocimiento de los valioso, personal, asignacin y seguridad
Abril de 2015
231
Proyecto de Grado
la informacin actividades riesgos y amenazas equipos, Asignar las

relacionadas con el latentes al interior o procesos. responsabilidades a
manejo de la exterior de la compaa. cada proceso de
informacin. Nadie tiene Organizacin por seguridad
asignadas tareas que procesos y Definir los activos de
Segregacin de permitan controlar la responsabilidades casi
6.1.2 informacin y asignar
tareas manipulacin de la nulas, falta de responsable
informacin o hacerse compromiso de la Compromiso de la
responsable del buen direccin por la Direccin con la
uso de esta. seguridad. seguridad de la
Seguridad de la
informacin
Autorizacin por la
gestin de proyectos
direccin para la
tiempos y formaciones
La informacin,
No hay existencia de Falta de compromiso de
las
Poltica de uso de poltica alguna para el la empresa para adoptar
comunicaciones y
6.2.1. dispositivos para control en la utilizacin polticas relacionadas a
los canales que
movilidad de este tipo de la seguridad de la Definir la poltica de
esta emplea, los
dispositivos. informacin seguridad para
equipos.
dispositivos mviles
6.2.2. Teletrabajo

7.2. Seguridad en el desempeo de las funciones del empleo (Durante la contratacin)
Abril de 2015
232
Proyecto de Grado
Especificacin de
polticas de seguridad
de informacin,
involucrar al personal y
Responsabilidades
7.2.1 hacer seguimiento
de gestin
Establecer las
directrices sobre las
Poco inters por parte de funciones de
Personal poco la direccin en la seguridad informtica.
capacitado en temas de implementacin de La informacin, la Formacin al personal
seguridad, de espacios de credibilidad de la en temas de seguridad
manipulacin de capacitacin. Falta de compaa, los de la informacin.
equipos de cmputo y procedimientos para la equipos, los Realizar
de proteccin a los asignacin de procesos. capacitaciones sobre
Concienciacin,
activos de informacin responsabilidades en la las amenazas, riesgos
educacin y
gestin. y vulnerabilidades
7.2.2 capacitacin en
seguridad de la Establecer los
informacin procesos de formacin
y concientizacin,
diseado para
presentar las polticas
de seguridad de la
organizacin
No hay unos procesos Falta de una definicin Mantener un inventario
de inventario, clara de asignacin de Equipos e de activos definido. -
asignacin de activos y responsables informacin. Relacin de riesgos
responsables, de su custodia y buen con tipos de activos. -
Abril de 2015
233
Proyecto de Grado
propietarios y usos de uso. Mantener registro de

los activos. personas y sus
capacitaciones
Identificar el
Propiedad de los propietario de los
8.1.2
activos activos y el
responsable
Uso aceptable de
8.1.3.
los activos
Informar a los
empleados sobre el
Devolucin de
8.1.4. uso de los activos
activos

Los activos de Capacitar sobre cmo
Directrices de se debe enviar, y
8.2.1. informacin no pasan
clasificacin manipular las bases de
por unos procesos de
documentacin informacin
Procesos inexistentes confidencial
Etiquetado y marcacin asignacin o informacin
para clasificar, manipular Identificar y clasificar
8.2.2. manipulado de la clasificacin, la relevante.
o etiquetar la informacin las fuentes de
informacin informacin tampoco
cuenta con procesos de informacin
Manipulacin de organizacin o Documentar los
8.2.3.
activos clasificacin alguna. activos de informacin.
Abril de 2015
234
Proyecto de Grado
No hay definida una

Definir la poltica de
No existe restriccin poltica que permita
Poltica de control Equipos e control de acceso para
9.1.1 para el acceso a regular el acceso de
de acceso informacin. todos los usuarios de
equipos o aplicaciones, acuerdo a roles y
los equipos.
perfiles.
Establecer privilegios
de acceso a los
usuarios segn su rol y
necesidad de acceder
a la informacin.
Gestin de Verificar
Informacin peridicamente que el
9.2.1 altas/bajas en el
El acceso a los equipos No hay definida una relevante y/o nivel de acceso
registro de usuarios
de cmputo se hace sin poltica para gestin de sensible, equipos otorgado a cada
ningn tipo de control o accesos y privilegios a de cmputo, la usuario siga siendo el
restriccin. los usuarios. continuidad del especificado en el
negocio. documento.
Verificar que el usuario
Gestin de los tenga autorizacin del
derechos de acceso dueo del sistema
9.2.3 para el uso de la
con privilegios
especiales informacin.
La informacin es No fijar procedimientos La informacin, Definir polticas de
Uso de informacin
tratada toda con el que indiquen la los equipos, el seguridad para
9.3.1 confidencial para la
mismo criterio, el confidencialidad de la buen nombre de usuarios de los
autenticacin
personal la puede informacin, la compaa. equipos.
Abril de 2015
235
Proyecto de Grado
acceder cuando se especialmente la Establecer contratos

utiliza el sistema, la referente a la con indicacin de
contrasea de ingreso autenticacin en los responsabilidad y
al equipo del propietario activos de informacin. confidencialidad sobre
es conocida por varias la informacin.
personas. Definir perfiles de
usuario para el acceso
a los equipos.
Implementar poltica
Restriccin del de control de accesos
9.4.1 acceso a la Controlar los derechos
informacin de acceso de otras
aplicaciones
Establecer la poltica
No hay control alguno
Falta de definicin de de autenticacin a los
para el acceso a los
polticas que equipos, con
Procedimientos equipos, no se tiene El sistema
implementen reglas y contraseas
9.4.2 seguros de inicio de configuracin de inicio operativo y las
configuraciones de inicio personales y perfiles
sesin de sesin en estos, se aplicaciones, la
de sesin seguras, definidos.
puede acceder a las informacin, los
restricciones a personal Regular la instalacin
herramientas equipos de
no autorizado, o uso de de software en los
administrativas del cmputo.
herramientas del sistema equipos de cmputo
sistema sin ninguna
sin autorizacin. personales, conforme
restriccin.
a la poltica de
Uso de herramientas seguridad de equipos
9.5.4 de administracin de personales.
sistemas Llevar un registro de
todo uso de las
Abril de 2015
236
Proyecto de Grado
Usar procedimientos
de identificacin,
autenticacin y
10. CIFRADO
Poltica de uso de Establecer la poltica
10.1.1 los controles de cifrado para las
criptogrficos claves pblicas y
privadas en el manejo
No se cifra o utiliza
de informacin
ningn tipo de
Falta una poltica de La informacin, confidencial.
procedimiento para
seguridad para el los equipos de Controlar y asignar los
cifrar datos o para
proceso. cmputo- derechos de acceso a
10.1.2 Gestin de claves gestionar claves de
los usuarios por medio
ningn tipo.
de claves
criptogrficas cuando
es informacin
confidencial.
11.1. reas seguras
Hay libre acceso y Definicin de controles
Equipos,
trnsito por las oficinas fsicos, tcnicos y
Exceso de confianza en informacin
donde se encuentran organizacionales para
Controles fsicos de el personal, falta de importante de la
11.1.2 los equipos de cada activo.
entrada compromiso con la empresa,
cmputo, no se controla Dictar la poltica de
seguridad de los activos. dispositivos
el acceso a estas, no se control de accesos
externos.
define una distribucin conforme al SGSI.
Abril de 2015
237
Proyecto de Grado
de los activos o se Definir la poltica de

adecuan elementos uso de las oficinas
necesarios para la acorde a la poltica de
proteccin de estos. gestin de acceso y
Seguridad de
del SGSI.
11.1.3 oficinas, despachos
Establecer el
y recursos
reglamento y las
normas sobre las
actividades y procesos
informticos.
Definicin de un plan
de respuesta para
cada tipo de efecto
que pudiera causar
Proteccin contra
amenaza interna o
las amenazas
11.1.4 externa.
externas y
Suministrar equipos
ambientales
apropiados contra las
amenazas ambientales
y son ubicados
adecuadamente.
No se identifica un sitio Falta de un plan de Regular y monitorear
seguro para la mantenimiento Equipos de el uso de equipos
proteccin de los preventivo a los equipos, cmputo, personales a travs de
Emplazamiento y
equipos, el inexistencia de dispositivos la poltica de uso de
11.2.1 proteccin de
mantenimiento que se dispositivos de externos, equipos personales.
equipos
realiza es correctivo, las regulacin de voltajes, informacin Distribuir los equipos
locaciones no cuentan temperaturas altas almacenada. donde sean accedidos
con sistemas de dentro de la compaa solo por el personal
Abril de 2015
238
Proyecto de Grado
enfriamiento adecuado sin sistemas de autorizado.

para mantener la regulacin para las
temperatura ideal que mismas. Aislar elementos que
permita la proteccin de requieran proteccin
los equipos de especial
cmputo.
Instalaciones de
11.2.2 Establecer el plan de
suministro
continuidad para este
tipo de riesgos
Tienen rtulos de
Seguridad del equipos y de cables
11.2.3
cableado claramente
identificables para
minimizar los errores
en el manejo.
Realizar
mantenimiento acorde
a los procesos de
Mantenimiento de
11.2.4 gestin de activos.
los equipos
Llevar un registro de
todas las fallas reales
y sospechosas.
Los equipos cuentan Falta de actualizacin a Aplicaciones, Establecer la poltica
Controles contra el
12.2.1 con antivirus, pero se los equipos y Sistema de seguridad de
cdigo malicioso
encuentran aplicaciones, con los Operativo, equipos personales en
Abril de 2015
239
Proyecto de Grado
desactualizados, no hay parches y controladores informacin, la que se previene el

herramientas diferentes ms recientes. discos duros y uso de programas no
como proteccin contra dispositivos autorizados por la
el cdigo malicioso. externos. empresa. Regular el
uso de software
antivirus y su
actualizacin.
Llevar a cabo
revisiones mensuales
sobre el contenido del
software y los datos
que soportan los
procesos crticos del
negocio.
Investigar la aparicin
de archivos o cdigos
no autorizados y
aprobados por el
desarrollador del
software y/o
aplicacin.
Se hacen copias de Realizar copias de
No se ha determinado la
seguridad, pero en Dispositivos seguridad de manera
mejor manera de
Copias de seguridad dispositivos extrables, extrables, la peridica sobre la
12.3.1 mantener copias de
de la informacin corriendo el riesgo de informacin de la informacin registrada
seguridad, y en lugares
prdida de estos en el compaa. en las oficinas
seguros.
transporte de un lugar a Backup.
Abril de 2015
240
Proyecto de Grado
otro. Almacenar las copias

de seguridad en
lugares seguros y
evitar que queden al
alcance de personas
no autorizadas.

Supervisar los
controles definidos al
uso de equipos
Registro y gestin
personales.
12.4.1 de eventos de
Monitorear los
actividad No se administra el
cambios de
sistema en los equipos
Informacin configuracin del
de cmputo, no se No se definen
equipos, sistema.
registra de ninguna procedimientos para esta
dispositivos Monitorear el ingreso
manera eventos de actividad.
extrables. de usuarios a las
Registros de actividad en los
diferentes
actividad del mismos.
aplicaciones.
12.4.3 administrador y
Registrar las alertas o
operador del
fallas del sistema,
sistema
como mensajes de
consola.
No hay documentos El sistema, las Establecer un cuadro
Gestin de las No existe una poltica de
donde se plasmen las aplicaciones, la de control o cuadro de
12.6.1 vulnerabilidades seguridad establecida
vulnerabilidades informacin, los mando que evidencie
tcnicas para estos procesos
tcnicas, no hay equipos los riesgos asociados
Abril de 2015
241
Proyecto de Grado
restricciones para el a la organizacin.

acceso a los S.O.
Instalacin de corta
Restricciones en la
fuegos y asignacin de
instalacin de
12.6.2 privilegios a cada
sistema operativo
usuario conforme a su
(S.O.)
perfil o cargo.
Realizar
mensualmente y
Controles de No se audita ningn trimestralmente una
No hay procedimientos
auditora de los proceso relacionado Equipos, auditora interna por
12.7.1 de auditora establecidos
sistemas de con los activos de informacin. los procesos de
en la compaa.
informacin informacin. seguridad que se han
implementado en la
organizacin.
Polticas y Establecer los
No hay artculos o procedimientos protocolos para enviar
clusulas de inexistentes en la la informacin por los
confidencialidad de la compaa, falta de canales de
informacin en los personal capacitado para Informacin, buen comunicacin.
Mensajera
13.2.3 contratos y en el la realizacin de nombre de la Verificar los canales
electrnica
manejo de la procesos de empresa. de comunicacin
informacin y su mantenimiento y soporte mensualmente
transmisin por va en procesos de identificando los
electrnica. transmisin de canales de transmisin
informacin electrnica.. por el internet.
Abril de 2015
242
Proyecto de Grado
Definir documento
donde se establecen
los acuerdos de
confidencialidad.
Acuerdos de Definir documento
13.2.4 confidencialidad y donde se establecen
secreto las polticas de
confidencialidad.
Hacer seguimiento al
cumplimiento de los
acuerdos.
14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
Mantener los sistemas
actualizados,
buscando identificar
las amenazas, riesgos
No se identifica ningn Desconocimiento, falta
Equipos, y vulnerabilidades
Anlisis y anlisis o estudio de de compromiso con la
informacin asociados a los activos
especificacin de los requisitos para seguridad de la
14.1.1 relevante, el buen de informacin.
requisitos de implementar la informacin por parte del
nombre de la Elaborar documento
seguridad seguridad de la propietario de la
compaa. con especificaciones
informacin. compaa.
de los requisitos de
seguridad para los
sistemas de
informacin.
Proteccin de los No se realizan pruebas No existen Informacin Definir un plan de
14.3.1
datos utilizados en a los sistemas y a la procedimientos, relevante de la pruebas a los activos
Abril de 2015
243
Proyecto de Grado
pruebas informacin que protocolos o polticas empresa informticos,

interacta con estos. para efectuar las estableciendo las
actividades de pruebas. mejores alternativas
para mitigar los
riesgos.
Definir un plan de
pruebas a las pruebas
a las bases de datos,
estableciendo la
informacin
confidencial y la no
confidencial.
Establecer procesos
de resolucin de
incidentes de
Equipos de
Desconocimiento sobre seguridad de la
Aprendizaje de los cmputo,
No se gestionan procesos, normas, informacin, bien sea
incidentes de dispositivos
16.1.6 incidentes de seguridad estndares y buenas de manera reactiva o
seguridad de la externos,
de la informacin. prcticas de la seguridad proactiva.
informacin informacin
de la informacin. Implementar
almacenada.
herramientas para
evaluar los incidentes
de seguridad.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE LA CONTINUIDAD DEL NEGOCIO
17.1. Aspectos de la seguridad de la informacin en la gestin de la continuidad del negocio
Planificacin de la No hay definidos ni Desconocimiento de los Toda la compaa Definir el proceso de
17.1.1
continuidad de la documentados planes a SGSI, y su aplicacin y sus activos. gestin de continuidad
Abril de 2015
244
Proyecto de Grado
seguridad de la seguir como como elemento del negocio y las

informacin contingencia para que primordial para la directrices de
el negocio pueda seguridad de los activos continuidad del
continuar en momentos de informacin. negocio de
de riesgo o amenaza. conformidad con la
de la informacin.
Definir e implantar los
planes de continuidad
Verificacin, revisin del negocio de
y evaluacin de la acuerdo al orden de
17.1.3 continuidad de la prioridades, en los
seguridad de la trminos presentados
informacin en la instruccin de
continuidad del
negocio.
18. CUMPLIMIENTO
Se accede a los Uso indebido de los Identificar la
equipos de manera equipos, acceso a legislacin que aplica
Identificacin de la sencilla, y se obtiene descargas de para los procesos que
18.1.1
legislacin aplicable igualmente de una aplicaciones sin control, Registros fsicos y intervienen en el
manera fcil la falta de una poltica de lgicos, equipos, manejo de la
informacin del control de accesos, ser informacin informacin.
personal almacenada permisivos en el uso de personal, la Identificar la
Derechos de en estos, aunque el S.O los equipos, falta de compaa. legislacin aplicable y
18.1.2 propiedad intelectual y el software de conciencia en mantener los trminos
(DPI) Ofimtica, cuentan con los equipos con los contractuales en las
licencia OEM, hay otras aplicativos bajo las licencias utilizadas
Abril de 2015
245
Proyecto de Grado
aplicaciones sin indicaciones del marco Hacer un inventario de

licenciamiento. legal. software para
garantizar la idoneidad
de su uso. Dictar
poltica de
cumplimiento.
Clasificar la
Proteccin de los informacin en funcin
18.1.3 registros de la de su importancia.
organizacin Establecer copias de
seguridad de la
informacin relevante,
proteger en armarios o
cajones bajo llave la
informacin fsica
sensible de prdida.
Establecer el
documento de
Proteccin de datos seguridad de
18.1.4 y privacidad de la conformidad con la
informacin personal legislacin de
proteccin de datos
personales.
Desconocimiento,
Dictar y acordar la
descuido, poco inters
Cumplimiento de las No se cuenta con una poltica del sistema de
en la implementacin Todos los activos
18.2.2 polticas y normas poltica de seguridad de gestin de la
procedimientos y de la empresa.
de seguridad la informacin. seguridad informtica
polticas ligada a la
SGSI.
seguridad de los activos
Abril de 2015
246
Proyecto de Grado
de informacin.
Abril de 2015
247
Proyecto de Grado
11.2. Resultados comparativos en la aplicacin de la auditora
Ilustracin 61 Poltica de seguridad de la informacin
EVALUACIN QUE PERMITE EVALUAR LA POLTICA DE SEGURIDAD

DE LA INFORMACIN
5
4
3
2
1
0 Guille Sport
Color Shop
Preguntas
Ilustracin 62 Aspectos organizativos de la seguridad de la informacin

5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Se cuenta con un
Se asignan funciones
Documentar las
Se documentan los
Los activos
Existen los
Dispositivos para
Se tiene definida la
Los controles
Se cuenta con los

Definir las iniciativas
Se identifican los
Autorizacin por la
Teletrabajo
Organizacin interna
Color Shop
Preguntas
Abril de 2015
248
Proyecto de Grado
Ilustracin 63 Seguridad ligada a los recursos humanos
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD LIGADA A

LOS RECURSOS HUMANOS
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Ilustracin 64 Gestin de activos
EVALUACIN QUE PERMITE EVALUAR LA GESTIN DE ACTIVOS
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Abril de 2015
Calificacin del proceso Calificacin del proceso
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Abril de 2015
0,5
1,5
2,5
3,5
4,5
0
1
2
3
4
5
Requerimientos de
Se tiene
Identificar la
Gestin de acceso de
Se establecen los
Gestin de los
Se promueve el
Uso de informacin
Las contraseas
Control de acceso a
Preguntas
Preguntas
El control de acceso
Proyecto de Grado
Se establece la
Ilustracin 66 Cifrado
Los controles de
Los controles de
Ilustracin 65 Control de acceso
Los controles de
Se regula la
Se utilizan
EVALUACIN QUE PERMITE EVALUAR EL CIFRADO

EVALUACIN QUE PERMITE EVALUAR EL CONTROL DE ACCESO
Color Shop
Color Shop
Guille Sport
Guille Sport
249
250
Proyecto de Grado
Ilustracin 67 Seguridad fsica y del entorno
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD FSICA Y

DEL ENTORNO
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Seguridad de
Se establece el
Proteccin contra
Se definen los
Se definen los
Se suministran
Emplazamiento y
Instalaciones de
Seguridad del
Mantenimiento de
Se lleva un registro
Los equipos estn
Se instalan las UPS
Existe un control
La informacin
reas seguras
Color Shop
Preguntas
Ilustracin 68 Seguridad en la operativa
EVALUACIN QUE PERMITE EVALUAR LA SEGURIDAD EN LA

OPERATIVA
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Abril de 2015
251
Proyecto de Grado
Ilustracin 69 Seguridad en las telecomunicaciones

TELECOMUNICACIONES
calificacin del proceso
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Ilustracin 70 Gestin de incidentes en la seguridad de la informacin
EVALUACIN QUE PERMITE EVALUAR LA GESTIN DE INCIDENTES

EN LA SEGURIDAD DE LA INFORMACIN
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Abril de 2015
252
Proyecto de Grado

informacin
EVALUACIN QUE PERMITE EVALUAR LA ADQUISICIN,

INFORMACIN
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Gestin de Aprendizaje deSe establecen Se evalan
incidentes de los incidentes procesos de los incidentes Color Shop
seguridad de de seguridad resolucin de de seguridad?
la informacin de la incidentes de
y mejoras informacin seguridad de
la
informacin?
Preguntas


5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Abril de 2015
253
Proyecto de Grado
Ilustracin 73 Cumplimiento
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Se establece el
Se dicta y acuerda
Cumplimiento de
Se clasifica la
Se dictan polticas
Derechos de
Se hace un
Proteccin de los
Se mantienen
Se establecen
Se protege la
Proteccin de datos
Revisiones de la
Identificacin de la
Se identifica la
Se identifica la
Los documentos se
Cumplimiento de las
Color Shop
Preguntas
Tabla 61 Tabla comparativa entre las empresas
Empresa 1 Empresa 2
Guille Sport Color Shop
Semejanzas Control casi nulo para el Control casi nulo para el acceso a
acceso a los equipos, y por los equipos, y por ende a la
ende a la informacin que informacin que en estos se
en estos se almacena. almacena.
Gran cantidad de Gran cantidad de software

software inapropiado, inapropiado, improductivo y de
improductivo y de dudosa dudosa procedencia.
procedencia.
No tiene procedimientos escritos
No tiene procedimientos para procesos de manejos de
escritos para procesos de informacin.
manejos de informacin.
Falta de control para el ingreso a
Falta de control para el las oficinas donde se almacena la
ingreso a las oficinas informacin.
donde se almacena la
informacin. Parte de la informacin,
especficamente facturas y
Parte de la informacin, contabilidad son manejadas de
especficamente facturas y
Abril de 2015
254
Proyecto de Grado
contabilidad son forma fsica (papel).

manejadas de forma fsica
(papel). Trabaja casi con igual cantidad de
personal y de equipos de cmputo.
Trabaja casi con igual
cantidad de personal y de
equipos de cmputo.
Diferencias Las instalaciones fsicas El Sistema Operativo y el software

mantienen una de Ofimtica eslegal.
temperatura ms apta para
los equipos de cmputo. Los dispositivos extrables para
respaldo de informacin solo se
Cuenta con una persona conectan cuando se va a realizar
para el mantenimiento de este proceso, posteriormente se
los equipos de cmputo desconecta y es guardado por el
(aunque emprica en el gerente.
campo)
Abril de 2015
255
Proyecto de Grado
12. DISEO DE UN SISTEMA DE GESTIN DE LA SEGURIDAD

INFORMTICA SGSI
12.1. Objetivo del SGSI
Establecer la poltica y los controles necesarios para proteger la informacin de

las Pymes del sector textil en Medelln, Itag y Bogot D.C., conforme a los
hallazgos detectados a travs de la auditora.
12.2. Alcance del SGSI
Disear y proponer el sistema de gestin de la seguridad informtica (SGSI)

con sus respectivos controles, enmarcados en la poltica de seguridad para
establecer las mejores prcticas en cuanto a cmo se debe gestionar los
riesgos, vulnerabilidades y amenazas asociadas a las empresas textiles de las
ciudades de Medelln, Itag y Bogot D.C., conforme a los procedimientos
propuestos.
12.3. Dominios evaluados y procesos seleccionados
Tabla 62 Dominios y procesos seleccionados63
REF. CONTROL
5.1.1 Conjunto de polticas para la seguridad de la informacin
5.1.2 Revisin de las polticas para la seguridad de la informacin
INFORMACIN
6.1.1 Asignacin de responsabilidades para la seguridad de la informacin
6.1.5 Seguridad de la informacin en la gestin de proyectos
6.2.1. Poltica de uso de dispositivos para movilidad
6.2.2. Teletrabajo
63
Abril de 2015
256
Proyecto de Grado
contratacin)
7.2.1 Responsabilidades de gestin
informacin
8.1.2 Propiedad de los activos
8.1.3. Uso aceptable de los activos
8.2.1. Directrices de clasificacin
8.2.2. Etiquetado y manipulado de la informacin
9.1.1 Poltica de control de acceso
9.2.1 Gestin de altas/bajas en el registro de usuarios
9.2.3 Gestin de los derechos de acceso con privilegios especiales
9.3.1 Uso de informacin confidencial para la autenticacin
9.4.1 Restriccin del acceso a la informacin
9.4.2 Procedimientos seguros de inicio de sesin
9.5.4 Uso de herramientas de administracin de sistemas
10. CIFRADO
10.1.1 Poltica de uso de los controles criptogrficos
11.1. reas seguras
11.1.2 Controles fsicos de entrada
11.1.3 Seguridad de oficinas, despachos y recursos
11.1.4 Proteccin contra las amenazas externas y ambientales
11.2.1 Emplazamiento y proteccin de equipos
11.2.2 Instalaciones de suministro
11.2.3 Seguridad del cableado
11.2.4 Mantenimiento de los equipos
12.3.1 Copias de seguridad de la informacin
Abril de 2015
257
Proyecto de Grado

12.4.1 Registro y gestin de eventos de actividad
12.4.3 Registros de actividad del administrador y operador del sistema
12.6.1 Gestin de las vulnerabilidades tcnicas
12.6.2 Restricciones en la instalacin de sistema operativo (S.O.)
12.7.1 Controles de auditora de los sistemas de informacin
13.2.4 Acuerdos de confidencialidad y secreto
DE INFORMACIN
14.1.1 Anlisis y especificacin de los requisitos de seguridad
14.3.1 Proteccin de los datos utilizados en pruebas
16.1.6 Aprendizaje de los incidentes de seguridad de la informacin
17.1.1 Planificacin de la continuidad de la seguridad de la informacin
17.1.3 Verificacin, revisin y evaluacin de la continuidad de la seguridad
de la informacin
18. CUMPLIMIENTO
18.1.1 Identificacin de la legislacin aplicable
18.1.2 Derechos de propiedad intelectual (DPI)
18.1.3 Proteccin de los registros de la organizacin
18.1.4 Proteccin de datos y privacidad de la informacin personal
18.2.2 Cumplimiento de las polticas y normas de seguridad
Abril de 2015
258
Proyecto de Grado
12.4. Declaracin de aplicabilidad
Aplicabilidad en dominios, objetivos de control y controles acorde a la norma

ISO 27002:2013
Tabla 63 Declaracin de aplicabilidad con los controles propuestos
DECLARACIN DE APLICABILIDAD
REF. CONTROL APLICACIN
Documento de poltica de seguridad de la
Conjunto de polticas
informacin
5.1.1 para la seguridad de
Establecer las polticas de seguridad de la
la informacin
informacin para la compaa
Revisin de las Realizar acciones preventivas y correctivas
polticas para la cada vez que se evidencie un hallazgo.
5.1.2
seguridad de la Realizar revisiones peridicas de la poltica de
informacin seguridad
INFORMACIN
Asignar las responsabilidades a cada proceso
de seguridad
Asignacin de Revisar la poltica de seguridad de la
responsabilidades informacin.
6.1.1
para la seguridad de Documentar y definir los procesos de
la informacin asignacin y seguridad
Asignar las responsabilidades a cada proceso
de seguridad
Los activos informticos se encuentran
definidos claramente
Garantizar las actividades de seguridad,
siguiendo la poltica de seguridad
Compromiso de la Direccin con la seguridad
de la informacin
Autorizacin por la direccin para la inversin
Seguridad de la
de recursos, tiempos y formaciones
gestin de proyectos Procedimientos documentados para contactar a
las autoridades competentes.
Procedimientos documentados para contactar a
las entidades pblicas
6.2.1. Poltica de uso de Definir la poltica de seguridad para dispositivos
Abril de 2015
259
Proyecto de Grado
dispositivos para mviles

movilidad Los controles aseguran la proteccin de los
canales de comunicacin
Los controles aseguran la proteccin contra
cdigo malicioso
Los controles aseguran la disponibilidad,
integridad y confidencialidad de la informacin
Estructurar clara para la presentacin de
informes
Contar con un procesos especfico para la
6.2.2. Teletrabajo gestin de cambio
La poltica de acceso, cuenta con los mdulos
permitidos para la identificacin de usuario
Contar con los privilegios de acceso
contratacin)
Especificacin de polticas de seguridad de
informacin, involucrar al personal y hacer
Responsabilidades de
7.2.1 seguimiento
gestin
Establecer las directrices sobre las funciones de
Formacin al personal en temas de seguridad
Concienciacin, de la informacin.
educacin y Realizar capacitaciones sobre las amenazas,
7.2.2 capacitacin en riesgos y vulnerabilidades
seguridad de la Establecer los procesos de formacin y
informacin concientizacin, diseado para presentar las
polticas de seguridad de la organizacin
Mantener un inventario de activos definido. -
Relacin de riesgos con tipos de activos. -
Mantener registro de personas y sus
capacitaciones
Identificar el propietario de los activos y el
Propiedad de los
8.1.2 responsable
activos
Los activos se clasifican por niveles
Uso aceptable de los Informar a los empleados sobre el uso de los
8.1.3.
activos activos
Proceso de terminacin para incluir la
devolucin del software.
devolucin de los documentos
devolucin de los equipos mviles.
Abril de 2015
260
Proyecto de Grado

devolucin de los equipos de cmputo.
Procedimiento que garantice la transferencia de
informacin al finalizar su contratacin.
Existen las directrices sobre cmo se clasifican
Directrices de
8.2.1. los activos informticos
clasificacin
Existe la clasificacin de seguridad por niveles
Capacitar sobre cmo se debe enviar, y
Etiquetado y
manipular las bases de informacin confidencial
8.2.2. manipulado de la
Existe una marca para identificar las fuentes de
informacin
informacin
Los activos informticos poseen una
documentacin adecuada
Manuales de configuracin de los activos
informticos
Desarrollar la poltica de control de accesos
conforme con la poltica de seguridad y
Poltica de control de atendiendo la legislacin aplicable.
9.1.1
acceso Identificar la informacin relacionada con las
aplicaciones y los riesgos asociados a la
informacin
Establecer para cada activo, un repositorio
donde quede registro de los usuarios para tener
inventario de todos los accesos otorgados a
Gestin de altas/bajas cada activo.
9.2.1 en el registro de Verificar que el nivel de acceso otorgado a
usuarios cada usuario peridicamente.
Verificar que el usuario tenga autorizacin del
dueo del sistema para el uso de la
informacin.
Establecer para cada tipo de activo los
Gestin de los privilegios otorgados de acuerdo a la
derechos de acceso evaluacin de riesgos asociada.
9.2.3
con privilegios Promueve el desarrollo de rutinas del sistema
especiales para evitar la necesidad de otorgar privilegios
innecesarios.
Definir polticas de seguridad para usuarios de
los equipos.
Uso de informacin
Las contraseas predeterminadas por el
9.3.1 confidencial para la
proveedor se cambian inmediatamente despus
autenticacin
de la instalacin de los sistemas o del software
Las contraseas temporales se suministran de
Abril de 2015
261
Proyecto de Grado
forma segura a los usuarios.

El control de acceso se realiza de acuerdo a la
poltica del control de accesos.
Controlar los derechos de acceso de otras
aplicaciones
Restriccin del acceso Garantiza que los datos de salida de los
9.4.1
a la informacin sistemas de aplicacin que manejan
informacin sensible solo contienen la
informacin pertinente para el uso de la salida y
que se enva nicamente a terminales o sitios
autorizados.
Establecer la poltica de autenticacin a los
equipos, con contraseas personales y perfiles
definidos.
Validar la informacin de registro con la base
Procedimientos
de datos para el acceso.
9.4.2 seguros de inicio de
sesin El control se aplica a todos los tipos de usuarios
(incluyendo el personal de soporte tcnico,
operadores, administradores de red,
programadores de sistemas y administradores
de bases de datos)
Regular la instalacin de software en los
equipos de cmputo personales, conforme a la
poltica de seguridad de equipos personales.
Uso de herramientas
Llevar un registro de todo uso de las utilidades
9.5.4 de administracin de
del sistema
sistemas
Usar procedimientos de identificacin,
autenticacin y autorizacin para las utilidades
del sistema
10. CIFRADO
Establecer la poltica de cifrado para las claves
Poltica de uso de los pblicas y privadas en el manejo de informacin
10.1.1 controles confidencial.
criptogrficos Verificar la poltica de cifrado conforme a la
norma actual.
Validar las metodologas para cifrar las claves y
uso en los mensajes emitidos.
10.1.2 Gestin de claves Controlar y asignar los derechos de acceso a
los usuarios por medio de claves criptogrficas
cuando es informacin confidencial.
11.1. reas seguras
Definicin de controles fsicos, tcnicos y
Controles fsicos de
11.1.2 organizacionales para cada activo.
entrada
Dictar la poltica de control de accesos
Abril de 2015
262
Proyecto de Grado
conforme al SGSI.
Dictar la poltica de uso de las oficinas acorde a
Seguridad de oficinas, la poltica de gestin de acceso y del SGSI.
11.1.3
despachos y recursos Establecer el reglamento y las normas sobre las
actividades y procesos informticos.
Definicin de un plan de respuesta para cada
tipo de efecto que pudiera causar amenaza
externa.
11.1.4 amenazas externas y
Suministrar equipos apropiados contra las
ambientales
amenazas ambientales y son ubicados
adecuadamente.
Regular y monitorear el uso de equipos
personales a travs de la poltica de uso de
equipos personales.
Emplazamiento y
11.2.1 Los equipos estn distribuidos de tal forma que
proteccin de equipos
no pueda acceder cualquier usuario.
Los elementos que requieren proteccin
especial estn aislados.
Establecer el plan de continuidad para este tipo
de riesgos
Instalar las UPS y los suministros de energa
necesarios, para dar soporte al cierre del
Instalaciones de ordenador o al funcionamiento continuo de
11.2.2
suministro equipos que soportan operaciones crticas para
el negocio.
Las UPS y plantas de energa son revisadas
con frecuencia para asegurarse de que tiene la
capacidad adecuada.
El cableado se encuentre canalizado por
conductos especficos del suelo tcnico
instalado en las oficinas.
Seguridad del Existe un control de acceso en los cuartos de
11.2.3
cableado cableado que soportan los sistemas crticos.
Tienen rtulos de equipos y de cables
claramente identificables para minimizar los
errores en el manejo.
Realizar mantenimiento acorde a los procesos
de gestin de activos.
La informacin confidencial es retirada
Mantenimiento de los peridicamente de los equipos de cmputo o el
11.2.4
equipos personal de mantenimiento es suficientemente
confiable.
Llevar un registro de todas las fallas reales y
sospechosas.
Abril de 2015
263
Proyecto de Grado
Establecer la poltica de seguridad de equipos

personales en la que se previene el uso de
programas no autorizados por la empresa.
Regular el uso de software antivirus y su
actualizacin.
Controles contra el
12.2.1 Llevar a cabo revisiones mensuales sobre el
cdigo malicioso
contenido del software y los datos que soportan
los procesos crticos del negocio.
Investigar la aparicin de archivos o cdigos no
autorizados y aprobados por el desarrollador
del software y/o aplicacin.
Realizar copias de seguridad de manera
peridica sobre la informacin registrada en las
oficinas Backup.
Copias de seguridad Las copias de seguridad se almacenan en un
12.3.1
de la informacin sitio seguro.
Despus de realizar la copia de seguridad se
puede consultar los archivos y la informacin
est completa.
Supervisar los controles definidos al uso de
Registro y gestin de equipos personales.
12.4.1
eventos de actividad Monitorear los cambios de configuracin del
sistema.
Monitorear el ingreso de usuarios a las
Registros de actividad
diferentes aplicaciones.
12.4.3 del administrador y
Registrar las alertas o fallas del sistema, como
operador del sistema
mensajes de consola.
Gestin de las Establecer un cuadro de control o cuadro de
12.6.1 vulnerabilidades mando que evidencie los riesgos asociados a la
tcnicas organizacin.
Restricciones en la Instalacin de corta fuego y asignacin de
12.6.2 instalacin de sistema privilegios a cada usuario conforme a su perfil o
operativo (S.O.) cargo.
Controles de auditora Realizar mensualmente y trimestralmente una
12.7.1 de los sistemas de auditora interna por los procesos de seguridad
informacin que se han implementado en la organizacin.
Establecer los protocolos para enviar la
informacin por los canales de comunicacin.
Verificar los canales de comunicacin
mensualmente identificando los canales de
Abril de 2015
264
Proyecto de Grado
transmisin por el internet.

Documento donde se establecen los acuerdos
Acuerdos de de confidencialidad.
13.2.4 confidencialidad y Documento donde se establecen las polticas
secreto de confidencialidad.
Monitorear el cumplimiento de los acuerdos.
DE INFORMACIN
Verificar las amenazas, riesgos y
Anlisis y
vulnerabilidades asociados a la empresa.
especificacin de los
14.1.1 Conforme a las amenazas, riesgos y
requisitos de
vulnerabilidades se debe establecer una
seguridad
propuesta para disminuir el riesgo.
Realizar pruebas a los activos informticos,
estableciendo las mejores alternativas para
Proteccin de los
mitigar los riesgos.
14.3.1 datos utilizados en
Realizar pruebas a las bases de datos,
pruebas
estableciendo la informacin confidencial y la
no confidencial.
Aprendizaje de los Establecer procesos de resolucin de
incidentes de incidentes de seguridad de la informacin, bien
16.1.6
seguridad de la sea de manera reactiva o proactiva.
informacin Evaluar los incidentes de seguridad.
Definir el proceso de gestin de continuidad del
negocio y las directrices de continuidad del
Planificacin de la
negocio de conformidad con la poltica de
continuidad de la
17.1.1 seguridad de la informacin.
seguridad de la
Garantizar la seguridad del personal, la
informacin
proteccin de los servicios y procesos de
informacin.
Verificacin, revisin y
Definir e implantar los planes de continuidad del
evaluacin de la
negocio de acuerdo al orden de prioridades, en
17.1.3 continuidad de la
los trminos presentados en la instruccin de
seguridad de la
continuidad del negocio.
informacin
18. CUMPLIMIENTO
Identificacin de la Identificar la legislacin que aplica para los
18.1.1
legislacin aplicable procesos que intervienen en el manejo de la
Abril de 2015
265
Proyecto de Grado
informacin.
Identificar la legislacin aplicable y los trminos
Derechos de contractuales en las licencias utilizadas
18.1.2 propiedad intelectual Hacer un inventario de software para garantizar
(DPI) la idoneidad de su uso. Dictar poltica de
cumplimiento.
Mantener disponibles los documentos del
sistema de gestin de la seguridad informtica
SGSI.
Los documentos solo son editables para los
responsables de estos y/o usuarios
Proteccin de los
autorizados.
18.1.3 registros de la
Clasificar la informacin en funcin de su
organizacin
importancia.
Establecer copias de seguridad de la
informacin relevante, proteger en armarios o
cajones bajo llave la informacin fsica sensible
de prdida.
Proteccin de datos y Establece el documento de seguridad de
18.1.4 privacidad de la conformidad con la legislacin de proteccin de
informacin personal datos personales.
Cumplimiento de las
Dictar y acordar la poltica del sistema de
18.2.2 polticas y normas de
gestin de la seguridad informtica SGSI.
seguridad
Abril de 2015
266
Proyecto de Grado
12.5. Poltica de seguridad de la informacin
DISPOSICION NRO 001
Por la cual se adoptan las polticas de seguridad de la informacin de las

PYMES del sector textil en las ciudades de Itag, Medelln y Bogot DC.
El gerente de la PYME en uso de sus facultades legales y estatutarias, y
CONSIDERANDO:
Que la Poltica de Seguridad de la informacin en la PYME. Establece la forma

como la informacin generada en la empresa, o proveniente de sus clientes o
terceras personas debe ser manejada en sus diversas formas.
Que mediante la disposicin 01 de marzo 20 de 2015, la PYME. Adopta la

norma ISO/IEC 27001, como mejor prctica para establecer el Sistema de
Gestin de Seguridad de la Informacin.
Que mediante la Directiva Nro. 01 de marzo de 2015, la PYME. Fija los

lineamientos para la gestin integral de los riesgos, entre los que se incluyen
los riesgos de seguridad de la informacin de la compaa.
DISPONE:
1. Introduccin
La Poltica de Seguridad de la Informacin de la PYME. Es una declaracin de

la conducta, tica y responsabilidades adoptada por la compaa y aceptada
por sus colaboradores para proveer y procurar un ambiente seguro en el
manejo de la informacin propia, de clientes y de terceras personas.
1.1. Objetivo General
El objetivo principal de la Poltica de Seguridad de la Informacin es que la

PYME. Vele para que la informacin que maneja, bien sea propia, dejada en
custodia o compartida con terceros:
Abril de 2015
267
Proyecto de Grado
1.1.1 Se encuentre protegida contra modificaciones no autorizadas, realizadas

con o sin intencin.
1.1.2 Sea accedida y utilizada nicamente por aquellas personas que tienen
una necesidad justificada para la realizacin de sus funciones dentro de la
organizacin y/o negocio.
1.1.3 Est disponible cuando se requiera y sea utilizada para los fines que fue
obtenida.
1.2. Objetivos Especficos
Los objetivos especficos que busca la Poltica de Seguridad de la informacin

son:
Determinar la informacin de los clientes y de la PYME. como el activo

de informacin ms importante a ser protegido.
Definir la conducta a seguir en lo referente al acceso, uso, manejo y
administracin de la informacin.
Fundamentar el desarrollo, implantacin, mantenimiento y cumplimiento
de la Poltica de Seguridad de la informacin.
Comunicar a todo el personal y a los que vayan a hacer uso de la
informacin de la PYME. de sus responsabilidades y cuidado de la
misma.
Establecer y comunicar internamente en la compaa y a las personas
externas interesadas, la responsabilidad en el acceso, uso, manejo y
administracin de los activos de informacin, que soportan el
conocimiento, procesos, y sistemas del negocio.
2. Alcance
La Poltica de Seguridad de la Informacin aplica a los colaboradores, clientes,

proveedores, y dems entes externos de la PYME, que accedan a cualquier
activo de informacin de la compaa, o que lo tienen bajo su responsabilidad
no importando su ubicacin.
3. Cumplimiento de la Poltica de Seguridad de la Informacin
Es de carcter obligatorio, el cumplimiento de las Polticas de Seguridad de la

Informacin establecidas en esta disposicin, junto con los estndares de
seguridad y el sistema de gestin que las contempla. Todos los colaboradores
de la compaa, clientes y usuarios deben entender su rol y asumir su
responsabilidad respecto al acceso, uso, manejo y administracin de la
informacin al igual que de los activos que se relacionan con esta. Cualquier
Abril de 2015
268
Proyecto de Grado
incumplimiento a esta Poltica que ponga en riesgo la integridad,

confidencialidad y disponibilidad de la informacin o que afecte el acceso, uso,
manejo o administracin de la misma se ver sometido a las acciones legales
y/o disciplinarias que se consideren pertinentes.
4. Polticas de Seguridad de la informacin
Las Polticas de Seguridad de la Informacin que la PYME, adopta por medio

de esta disposicin y que sern desarrolladas a travs de los estndares de
seguridad y los sistemas de gestin que las despliegan son:
Poltica 1. Gestin de la Seguridad de la Informacin
La PYME. Implementa y mantiene una Poltica de Seguridad de la

Informacin.
Poltica 2. Administracin y Proteccin de activos de informacin
Cada activo de informacin se administra y protege acorde a su nivel de

clasificacin.
Poltica 3. Administracin del Riesgo de Seguridad de la Informacin
La PYME. Administra los riesgos asociados a los activos de informacin.
Poltica 4. Seguridad de la informacin en los procesos asociados
La PYME. Establece y aplica las mejores prcticas de seguridad de la

informacin en procesos asociados a las personas.
Poltica 5. Seguridad Fsica
La PYME. Aplica las mejores prcticas en seguridad fsica.
Poltica 6. Administracin de las plataformas de TIC
Abril de 2015
269
Proyecto de Grado
La PYME. Administra sus plataformas de tecnologas de informacin y

comunicaciones, adoptando las mejores prcticas internacionales en
Poltica 7. Control de acceso
Todo acceso autorizado, requiere de una identificacin y autenticacin

personal e intransferible.
Poltica 8. Gestin de incidentes de seguridad
La PYME. Provee los mecanismos y recursos necesarios para atender y

responder ante los incidentes de seguridad de la informacin.
Poltica 9. Cumplimiento y gestin de regulaciones
La PYME. Gestiona la conformidad con los requisitos legales y

normativos.
Poltica 10. Sobre la responsabilidad de Terceros
Terceros que utilicen local o remotamente activos de informacin de la

PYME, deben cumplir con la poltica de seguridad de la informacin.
Nombre completo
Gerente PYME.
Proyect: Visto bueno Fecha
Aprob: Visto bueno Fecha
Abril de 2015
270
Proyecto de Grado
12.6. Procedimientos propuestos para mitigar los riesgos
12.6.1. Procedimiento de control de documentos
Cdigo: P-SGSI-01-
001
Versin: 1
Procedimiento Control de Documentos
Vigencia: Marzo de 2015
Pgina: 1 de 1
1. Objetivo
2. Alcance
3. Definiciones y abreviaturas
4. Procedimiento
5. Registro
1. OBJETIVO
Garantizar que la compaa cuente con los documentos necesarios, que

contengan la informacin explicita para controlar procesos relacionados con los
activos de informacin.
2. ALCANCE
El alcance de este procedimiento es la documentacin que la direccin

considere necesaria para abordar los temas de seguridad de la informacin
acorde a las necesidades.
3. DEFINICIONES Y ABREVIATURAS
SGSI: Sistema de Gestin de Seguridad de la Informacin.
5. PROCEDIMIENTO
La direccin elaborar los documentos que se requieran para mantener un

control adecuado sobre los procesos de la compaa en los cuales intervengan
activos de informacin, en su defecto delegar a alguno de los empleados a tal
Abril de 2015
271
Proyecto de Grado
funcin, una vez se tenga cada documento, los pasos a seguir son los
siguientes:
El encargado del control de los documentos elabora una ficha o archivo

digital con el listado de todos los documentos, su identificacin y
localizacin.
Se har una verificacin peridica (la determina la direccin) de la
actualizacin de cada documento.
Se informar al director de la necesidad de actualizar uno o ms
documentos.
Se actualizan los documentos informados, buscando que la informacin
de estos sea confiable.
Se hace la verificacin de la actualizacin realizada al documento y se
actualiza el archivo de listado de documentos.
6. REGISTRO
Los registros que se obtienen de poner en prctica este procedimiento, se

generan cuando las personas encargadas elaboran un nuevo documento, o en
su defecto realizan cambios o actualizaciones en uno o ms de ellos, de lo cual
queda el registro del documento activo con todas sus actualizaciones y dems
informacin, y el registro del listado de documentos igualmente actualizado con
la informacin pertinente.
Abril de 2015
272
Proyecto de Grado
12.6.2. Procedimiento de control de registros
Cdigo: P-SGSI-01-
002
Versin: 1
Procedimiento Control de Registros
Pgina: 1 de 1
1. Objetivo
2. Alcance
4. Procedimiento
5. Registro
1. OBJETIVO
Verificar que las acciones realizadas en los activos de informacin tengan un

registro documentado, y que los resultados se mantengan actualizados y
agreguen valor para la toma de decisiones.
2. ALCANCE
El alcance de este procedimiento es registrar las actividades realizadas por las

personas en los activos de informacin, buscando que cada accin lleve un
seguimiento que permita determinar el uso de los activos y realizar los
respectivos ajustes a las desviaciones en los procesos y polticas de SGSI.
5. PROCEDIMIENTO
La direccin indicar que procesos que involucren los activos de informacin,

tendrn supervisin y control a la actividad realizada en estos, una vez se
determine, se tendr la documentacin necesaria para llevar dichos registros,
los resultados y las acciones realizadas en caso de hacer uso de estas, para
esto se seguirn los siguientes pasos:
Abril de 2015
273
Proyecto de Grado
El encargado del control de registros elabora una ficha o plantilla digital

con el listado de todos los activos, su identificacin y localizacin.
Se har una verificacin peridica (la determina la direccin) de los
registros generados en cada activo.
Se informar al director de la actividad encontrada y de los registros que
incumplen con la poltica de seguridad de la informacin adoptada por la
compaa.
Se registran las acciones realizadas y avaladas por la direccin.
Se hace verificacin al cumplimiento de las acciones propuestas y
realizadas.
6. REGISTRO

generan cuando las personas encargadas actualizan o realizan cambios en los
documentos asociados, de estos queda el registro del documento activo con
todas sus actualizaciones y dems informacin, y el registro del listado de
documentos igualmente actualizado con la informacin pertinente a todos los
cambios realizados.
Abril de 2015
274
Proyecto de Grado
12.6.3. Procedimiento de auditora interna
SISTEMA DE GESTIN INTEGRADO
TTULO DEL DOCUMENTO: PROCEDIMIENTO DE AUDITORIA INTERNA
CDIGO DEL DOCUMENTO:
VERSIN: 01 FECHA DE CREACIN: 24/03/2015
INFORMACIN SOBRE RESPONSABLES
Fecha Nombre Responsable Cargo
Elaboracin
Revisin
Aprobacin
OBJETIVO
Este procedimiento tiene el objetivo de entregar una completa gua de auditora

al proceso del cumplimiento de condiciones, con las cuales se adopta la
implementacin del SGSI (Sistema de Gestin de Seguridad de la Informacin)
de la compaa.
ALCANCE
Este procedimiento es creado para la auditoria del proceso cumplimiento de

condiciones, en los aspectos de verificacin al cumplimiento en la
documentacin existente en el SGSI, la debida implementacin y control de los
procesos sometidos en el mismo.
REFERENCIAS
RECURSOS
ENCARGADO de servicios de ti O GERENTE GENERAL
Analista de calidad auditor, GERENTE GENERAL, O ENCARGADO POR LA

DIRECCIN
Analista informtica auditor, GERENTE GENERAL O ENCARGADO POR LA

DIRECCIN
Analista de CONTROL INTERNO, GERENTE GENERAL O ENCARGADO

POR LA DIRECCIN
CONTENIDO
Abril de 2015
275
Proyecto de Grado
Definir cronograma anual de auditoria
Responsable: Encargado de servicios de TI o Gerente general

El Responsable o designado por parte de la compaa, debe programar una
reunin con todos los involucrados en el proceso de auditora, a saber:
Analista de control interno o responsable designado

Analista de Informtica auditor o responsable designado
Analista de Calidad auditor o responsable designado
Encargado de Servicios TI o responsable designado
Esta reunin tiene como objetivo definir y conciliar con todos los involucrados el
cronograma dentro del cual se realizar la auditoria al proceso del
cumplimiento de condiciones, y debe dividirse en seis etapas para tratar los
temas de la documentacin exigida en el SGSI, bajo las premisa de la ISO/IEC
27001:2013. Se define como poltica, que la auditoria se realiza anualmente.
Tabla 64 Cronograma
Auditoria Auditoria a la Auditoria a Auditoria a Evaluacin Iniciar

Polticas, metodologa, planificacin, la eficacia de Hallazgos Ciclo de
objetivos y evaluacin y operacin y control de e Informe Mejora
alcance tratamiento del de procesos de S.I. controles Continua
riesgo
Etapa Semana 1
1
Etapa Semana 1
2
Etapa Semana 1
3
Etapa Semana 2
4
Etapa Semana 2
5
Etapa Semana 2
6
DEFINIR EL TAMAO Y CARACTERISTICAS DE LA MUESTRA
Responsable: Partes Interesadas en el Proceso de Auditoria

La muestra a considerar ser la informacin recopilada durante el periodo
comprendido por el ao inmediatamente anterior y debe tomarse de la
evaluacin hecha a los distintos procesos de S.I.
PRIMERA ETAPA: AUDITORA POLTICAS, OBJETIVOS Y ALCANCE
Responsable: Analista de Calidad auditor o responsable designado
Abril de 2015
276
Proyecto de Grado
La auditora evala las polticas, objetivos y alcance del SGSI, verificando que
estn acorde a lo dispuesto por la compaa, con el fin de garantizar que se
controlan los procedimientos y procesos establecidos, y as lograr encontrar un
equilibrio entre lo que est escrito y lo que se hace.
SEGUNDA ETAPA: AUDITORA METODOLOGIA, EVALUACION Y

TRATAMIENTO DEL RIESGO
Responsable: Analista de control interno o responsable designado

Esta auditora evala los procesos que involucran lo referente a los riesgos y a
su tratamiento, permite determinar si la gestin de los riesgos se hace de
acuerdo a lo que est implementado, y si cumple con las leyes y regulaciones
vigentes que son aplicables a los procesos y a la informacin.
TERCERA ETAPA: AUDITORA PLANIFICACIN, OPERACIN Y CONTROL

DE PROCESOS DE S.I
Responsable: Analista Calidad auditor o responsable designado

Esta tercera etapa se encarga de verificar que cada uno de los procesos estn
planificados, coordinados y ejecutados bajo los parmetros establecidos y con
controles definidos para un funcionamiento adecuado y un resultado enfocado
a los objetivos de la compaa.
CUARTA ETAPA: AUDITORA A LA EFICACIA DE CONTROLES
Responsable: Analista de control interno y analista de informtica auditor o responsable designado

En esta etapa se tiene como objetivo verificar la eficacia de los controles en los
procesos de seguridad de la informacin donde sobresale la gestin de los
riesgos y los controles asociados a estos, esta etapa debe determinar si dichos
controles son efectivos para mantener los SI seguros o si de lo contrario es
necesario reevaluarlos y redefinirlos.
EVALUAR HALLAZGOS
Responsable: Analista Calidad auditor, analista de informtica auditor o responsable designado

Los responsables deben diligenciar un informe de auditora de manera
individual relacionando las evaluaciones y las observaciones de cada etapa
auditada.
Los responsables deben generar unas recomendaciones que permitan

disminuir los riesgos de S.I en los que se puedan incurrir debido a actividades
como: mala ejecucin de los procesos de S.I, falta de toma de acciones
preventivas en cuanto a la revisin y control de los procesos y riesgos
asociados, falta de compromiso en el cumplimiento de la poltica de S.I.
REALIZAR INFORME DE AUDITORIA
Responsable: Analista Calidad auditor, analista de informtica auditor o responsable designado
Abril de 2015
277
Proyecto de Grado
Esta etapa, va orientada a entregar un informe de hallazgos de auditora al

SGSI implementado en la compaa. Este consolidado de auditoras deber
contribuir con la elaboracin de planes de mejora y actividades de mejora
continua.
Registro:
Formato de Informe ejecutivo de auditora de Incidentes

INICIAR CICLO DE MEJORA CONTINUA
Responsable: Encargado de Servicios de TI o responsable designado

El Encargado de Servicios de TI o responsable designado, es responsable por
el registro, la elaboracin, ejecucin y seguimiento de las Acciones Correctivas,
Preventivas y de Mejora derivadas de la auditoria.
El registro de cada una se realiza en el formato de Acciones correctivas.
Las acciones correctivas documentadas reciben un monitoreo de estado,

responsable y grado de cumplimiento en el Formato de monitoreo de Acciones
Correctivas.
Registro:
Formato Acciones correctivas
Formato de monitoreo de Acciones Correctivas

REGISTROS
ANEXOS
Abril de 2015
278
Proyecto de Grado
12.6.4. Procedimiento de accin correctiva
Cdigo: P-SGSI-01-
004
Versin: 1
Procedimiento de Accin Correctiva
Pgina: 1 de 1
1. Objetivo
2. Alcance
4. Procedimiento
5. Registro
1. OBJETIVO
Verificar que acorde a lo documentado, se ejecuten de manera pertinente las

acciones correctivas definidas por la direccin, y que permitan mitigar los
efectos de las amenazas materializadas en los activos de informacin de la
compaa.
2. ALCANCE
El alcance de este procedimiento involucra todos los activos de informacin, y

las acciones correctivas implementadas para tratar las amenazas detectadas,
igualmente aplicable a las no conformidades encontradas en los procesos de
auditoria interna.
5. PROCEDIMIENTO
La direccin o el responsable asignado, tendrn una lista o archivo digital con

datos de las no conformidades (salen de la auditoria interna), vulnerabilidades,
riesgos, o posibles amanezcas a las que se encuentra expuesta la compaa,
una vez definida esta informacin se procede de la siguiente manera:
Abril de 2015
279
Proyecto de Grado
Se verifica el evento o suceso ocasionado.

Se informa a la direccin y se documenta el evento.
Se informa al responsable de tomar las acciones correctivas (bien sea
interno o externo).
Se registran las acciones realizadas para corregir el evento o la no
conformidad.
Se documentan y se toman otras acciones en caso de ser necesario y
avaladas por la direccin.
6. REGISTRO

todas sus actualizaciones y dems cambios realizados, en dichos registros se
involucran los formatos de acciones correctivas y el de monitoreo de acciones
correctivas ligados al procedimiento de auditoria interna.
Abril de 2015
280
Proyecto de Grado
12.6.5. Procedimiento de accin preventiva
Cdigo: P-SGSI-01-
005
Versin: 1
Procedimiento de Accin Preventiva
Pgina: 1 de 1
1. Objetivo
2. Alcance
4. Procedimiento
5. Registro
1. OBJETIVO
Verificar que acorde a lo documentado, se ejecuten de manera pertinente las

acciones de carcter preventivo definidas por la direccin, y que permitan evitar
al mximo que los riesgo, vulnerabilidades y amenazas a los que est expuesta
la compaa, se materialicen, e impidan el normal funcionamiento de la misma
o ponga en riesgo el futuro de esta.
2. ALCANCE
El alcance de este procedimiento involucra todos los activos de informacin, y

las acciones preventivas implementadas para tratar a tiempo las posibles
amenazas antes de que se materialicen.
5. PROCEDIMIENTO
La direccin o el responsable asignado, tendrn una lista o archivo digital con

datos de las vulnerabilidades, riesgos, o posibles amanezcas a las que se
encuentra expuesta la compaa, una vez definida esta informacin se procede
de la siguiente manera:
Abril de 2015
281
Proyecto de Grado
Se hace seguimiento o monitoreo a los activos de informacin y al

cumplimiento de la poltica de seguridad.
Se informa a la direccin y se documenta acerca de los posibles
incumplimientos.
Se informa al responsable de tomar las acciones preventivas (bien sea
interno o externo) en caso de tener que adoptarlas.
Se registran las acciones realizadas en cada activo de informacin.
Se documentan y se toman otras acciones en caso de ser necesario y
avaladas por la direccin.
6. REGISTRO

todas sus actualizaciones y dems cambios realizados.
Abril de 2015
282
Proyecto de Grado
12.6.6. Procedimiento de gestin de incidentes
Cdigo: P-SGSI-01-
006
Versin: 1
Procedimiento de Gestin de incidentes
Pgina: 1 de 1
1. Objetivo
2. Alcance
4. Procedimiento
5. Registro
1. OBJETIVO
Determinar la manera de gestionar los incidentes de Seguridad de la

Informacin, ocurridos durante los procesos en los que intervienen activos de
informacin
2. ALCANCE
El alcance de este procedimiento involucra todos los activos de informacin, y a

la manera en que se dar gestin a los incidentes ocurridos en estos.
5. PROCEDIMIENTO
Se tendr un documento con los pasos secuenciales a seguir para dar gestin
oportuna a los incidentes resultantes de la aplicacin diaria de los procesos en
la compaa, se determina que los pasos a seguir para la gestin son:
Abril de 2015
283
Proyecto de Grado
Nivel de Prioridad: Impacto y Urgencia, determina la importancia del

incidente y cmo afecta los procesos, adems del tiempo mximo que
se pretende para dar solucin al mismo.
Registro: Determina la documentacin del incidente reportado.
Clasificacin: Acorde al impacto y urgencia se determina el nivel de
prioridad y los recursos asignados a este.
Anlisis, Resolucin y Cierre: Sugiere el proceso completo y datado,
desde que se gener el incidente hasta su solucin.
6. REGISTRO

generan cuando las personas encargadas documentan cada accin realizada
durante el proceso de gestin de incidentes, estos registros quedan asociados
al formato de gestin de incidentes de la compaa.
Abril de 2015
284
Proyecto de Grado
13. CONCLUSIONES
Con los resultados obtenidos durante la etapa de identificacin, auditora y lista

de chequeo, se puede dimensionar herramientas de software, protocolos,
procedimientos y actividades que mitiguen el riesgo en las empresas Color
Shop y Guille Sport, implementando el desarrollo de acciones preventivas y
correctivas en cada uno de los dominios seleccionados para garantizar en un
porcentaje alto un ptimo funcionamiento de la organizacin con respecto a la
El riesgo informtico es un factor que puede determinar la permanencia en el

mercado o la desaparicin gradual o inmediata de las empresas del mismo,
basados en el poder mantener o no la integridad, confiabilidad y disponibilidad
de los activos de informacin y su relacin con los procesos de la compaa.
Herramientas como las auditoras, permiten visualizar el grado de proteccin o

desproteccin en que se encuentran los activos de informacin en las
organizaciones, los cuales ayudan a determinar las alternativas adecuadas
para implementar metodologas o estructuras, que disminuyan las posibilidades
de que las amenazas, riesgos y vulnerabilidades a las que se someten da a
da las compaas, se materialicen y puedan causar daos irreversibles en las
mismas, acoplando un plan de contingencia o poltica de seguridad.
Identificando los riesgos, amenazas y vulnerabilidades de cada una de las

empresas, se evidencian similitudes en cuanto al desconocimiento de
metodologas y procesos para gestionar la seguridad informtica, por lo tanto
las grficas representan y dimensionan la falta de procesos en cada empresa
para controlar las actividades y acciones, por ende es importante emparejar
cada uno de los riesgos asociados a los dominios de la ISO 27002 para
implementar los controles adecuados.
La implementacin de un sistema de gestin de la seguridad informtica

(SGSI), proporciona herramientas para cada uno de los activos informticos,
recursos humanos y aquellas reas que por sus actividades requieren de la
utilizacin e implementacin de las tecnologas de la informacin (TI) para
desarrollar la gestin de cada uno de sus procesos, por ende se deben utilizar
tcnicas, estndares y metodologas como las ISO 27001, 27002 y 27005 para
detectar, implementar y proporcionar herramientas que mitiguen los riesgos.
Abril de 2015
285
Proyecto de Grado
La investigacin de este proyecto permiti determinar que las PYMES, no

dimensionan en un alto grado, lo importante que es hoy, mantener segura la
informacin y los activos que se interrelacionan con esta, y la importancia de
llevar a cabo procesos bien estructurados y documentados, que ayuden a
minimizar cualquier tipo de riesgo que ponga en peligro la continuidad del
negocio.
La matriz de riesgo ayuda a determinar las acciones correctivas y preventivas

para cada uno de los riesgos identificados y asociados durante la etapa de
anlisis de cada una de las empresas, ya que proporciona una visin general
de cul es el comportamiento de las vulnerabilidades y amenazas a partir de la
caracterizacin en prospectiva de los escenarios ms catastrficos y la
probabilidad de ocurrencia.
Los cambios constantes y las dinmicas del negocio, hacen que se generen
nuevas amenazas y vulnerabilidades, por lo tanto se debe mantener una
capacitacin constante y la aplicacin de los procedimientos para mitigar los
riesgos al interior y exterior de las empresas, para que se mantenga la
continuidad del negocio expandiendo su cobertura.
Un Sistema de Gestin de Seguridad de la Informacin (SGSI), es una

estructura dentro de la compaa, que permite minimizar los riesgos internos y
externos a los que se expone esta, y dar un mayor grado de confiabilidad a la
direccin, clientes y proveedores.
Una poltica de seguridad bien planteada, permite mantener control hacia

procesos en los que se interacta de forma directa o indirecta con los activos
de informacin, y ayuda a determinar responsabilidades de los colaboradores
ante dichos activos.
Abril de 2015
286
Proyecto de Grado
14. REFERENCIAS BIBLIOGRFICAS E INFOGRAFA
Acevedo, Hector. SOC Security Operations Center. Tercerizacin de la

seguridad. [en lnea]. [18 de noviembre del 2013]. Disponible en:
http://contaduriapublica.org.mx/?p=3403
ALEGSA. Definicin de vulnerabilidad. [en lnea]. [15 de mayo del 2014].

Disponible en: http://www.alegsa.com.ar/Dic/vulnerabilidad.php
Artculos. Reglamento sobre seguridad informtica. [en lnea]. [02 de marzo del
2014]. Disponible en: http://www.di.sld.cu/documentos/resol/resol_6_96.pdf
Bisongo, Maria. Metodologa para el aseguramiento de entornos

informatizados. [en lnea]. [02 de marzo del 2014]. Disponible en:
http://materias.fi.uba.ar/7500/bisogno-tesisdegradoingenieriainformatica.pdf
Blog. Qu es un mapa estratgico y para qu sirve?. [en lnea]. [16 de mayo

del 2014]. Disponible en: http://www.blogtrw.com/2011/12/que-es-un-mapa-
estrategico-y-para-que-sirve/
Blog. Gestin empresarial. [en lnea]. [12 de mayo del 2014]. Disponible en:
http://gestionempresarial4.wordpress.com/174-2/
Canal UPCT. Metodologa de la investigacin. [en lnea]. [18 de noviembre del

2013]. Disponible en: http://www.youtube.com/watch?v=BI1Ie-edBzY
ClubEnsayos. Seguridad Informtica. [en lnea]. [07 de diciembre del 2013].

Disponible en: http://clubensayos.com/Tecnolog%C3%ADa/Seguridad-
Inform%C3%A1tica/1132093.html
Comisin Europea. Qu es una Pyme?. [en lnea]. [15 de mayo del 2014].
Disponible en: http://ec.europa.eu/enterprise/policies/sme/facts-figures-
analysis/sme-definition/index_es.htm
Abril de 2015
287
Proyecto de Grado
Concepto. Oficina juridicial nacional. [en lnea]. [13 de mayo del 2014].
Disponible en:
http://www.legal.unal.edu.co/sisjurun/normas/Norma1.jsp?i=42011
Cruz, Erik, Rodrguez, Diana. Modelo de seguridad para la medicin de

vulnerabilidades y reduccin de riesgos en redes de datos. [en lnea]. [02 de
marzo del 2014]. Disponible en:
http://itzamna.bnct.ipn.mx/dspace/bitstream/123456789/8428/1/IF2.52.pdf
Cuervo, J. Aspectos jurdicos de internet y el comercio electrnico. [en lnea].

[13 de mayo del 2014]. Disponible en: http://www.informatica-
juridica.com/trabajos/Aspectos_juridicos_de_Internet_y_el_comercio_electronic
o.asp
Daza, Manuel. Seguridad informtica para Pymes: Gasto o inversin?. [en

lnea]. [2 de Mayo de 2014]. Disponible en: http://www.baquia.com/tecnologia-y-
negocios/entry/emprendedores/seguridad-informatica-para-Pymes-gasto-o-
inversion
Decreto. Artculo 160 del Decreto ley 19 de 2012. [en lnea]. [13 de mayo del
http://www.sic.gov.co/documents/10165/2142817/DECRETO+333+DEL+19+DE
+FEBRERO+DE+2014+VIG+ENTES+ACREDITAC.pdf/3dcd1c36-533a-48fa-
a72c-7fcb2181e771
DELTA. Ley de delitos informticos en Colombia. [en lnea]. [13 de mayo del
2014]. Disponible en: http://www.deltaasesores.com/articulos/autores-
invitados/otros/3576-ley-de-delitos-informaticos-en-colombia
Departamento administrativo de la funcin pblica. Gua de diagnstico para

implementar el sistema de gestin de la calidad bajo la norma tcnica de
calidad en la gestin pblica. [en lnea]. [11 de mayo del 2014]. Disponible en:
http://portal.dafp.gov.co/form/formularios.retrive_publicaciones?no=408
Abril de 2015
288
Proyecto de Grado
Ebilio UNAD. Biblioteca virtual. [en lnea]. [01 de diciembre del 2013].
Disponible en: http://biblioteca.unad.edu.co/
Ebilio UNAD. Leccin 11: Riesgos informticos. [en lnea]. [12 de diciembre del
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_11_riesgos_infor
mticos.html
Flrez, Wilmar, Arboleda, Carlos, & Cadavid, John. Solucin integral para las
PYMES mediante un UTM. [en lnea]. [3 de Mayo de 2014]. Disponible en:
http://web.usbmed.edu.co/usbmed/fing/v3n1/v3n1a4.pdf
Garca, Juan. Dinmica de Sistemas Historia. [en lnea]. [13 de noviembre del
2013]. Disponible en: http://www.dinamica-de-sistemas.com/wds5.htm
Gestion.ORG. Qu es el control de gestin?. [en lnea]. [16 de mayo del

2014]. Disponible en: http://www.gestion.org/estrategia-empresarial/4594/que-
es-el-control-de-gestion/
Gmez, Joel. La seguridad y la confidencialidad de la informacin es obligacin

de todos. [en lnea]. [02 de marzo del 2014]. Disponible en:
http://www.merca20.com/la-seguridad-y-confidencialidad-de-la-informacion-es-
obligacion-de-todos/
Gmez, Yessica. Seguridad de la Informacin. [en lnea]. [09 de diciembre del

2013]. Disponible en: http://www.slideshare.net/hvillas/seguridaddela-
informacion-17506228
Hugo. Tesis Marco Terico. [en lnea]. [07 de diciembre del 2013]. Disponible
en: http://problema.blogcindario.com/2008/10/00014-marco-teorico.html
Implementacin SIG. El ciclo de Deming. [en lnea]. [16 de mayo del 2014].
Disponible en: http://www.implementacionsig.com/index.php/generalidades-
sig/55-ciclo-de-
Abril de 2015
289
Proyecto de Grado
INEGI. Estndares Internacionales. [en lnea]. [02 de marzo del 2014].

Disponible en: http://www.youtube.com/watch?v=vIDG_moCXKo
INSEMOT. Que informacin protege la gestin de la seguridad de la

informacin. [en lnea]. [13 de noviembre del 2013]. Disponible en:
http://www.insemot.eu/es/gesti%C3%B3n-de-un-si/217-what-information-is-
protected-by-information-security-management
Instituto tecnolgico de Sonora. Diseo de un sistema de gestin de calidad de

una empresa dedicada a la elaboracin y comercializacin de frituras. [en
lnea]. [11 de mayo del 2014]. Disponible en:
http://www.itson.mx/publicaciones/pacioli/Documents/no65/24.pdf
INTECO. Implantacin de un SGSI en la empresa. [en lnea]. [07 de diciembre

del 2013]. Disponible en:
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGS
I.pdf
ISO 27000. El directorio de la norma ISO 27000. [en lnea]. [13 de mayo del
2014]. Disponible en: http://www.27000.org/other.htm
ISO. Gestin de la seguridad de la informacin - 27001 ISO / IEC. [en lnea].

[12 de mayo del 2014]. Disponible en:
http://www.iso.org/iso/home/standards/management-standards/iso27001.htm
ISO27000.ES. Que es un SGSI. [en lnea]. [12 de Noviembre del 2013].

Disponible en: http://www.iso27000.es/sgsi.html#section2a
ISO27000.ES. Sistema de gestin de la seguridad de la informacin. [en lnea].

[14 de Noviembre del 2013]. Disponible en:
http://www.iso27000.es/download/doc_sgsi_all.pdf
Abril de 2015
290
Proyecto de Grado
Jaramillo, Alfredo. Manual de derecho de autor. [en lnea]. [13 de mayo del
http://www.derechodeautor.gov.co/documents/10181/331998/Cartilla+derecho+
de+autor+(Alfredo+Vega).pdf/e99b0ea4-5c06-4529-ae7a-152616083d40
Logisman. Familia de las ISO 27000: seguridad de la informacin. [en lnea].

[15 de mayo del 2014]. Disponible en: http://custodia-documental.com/familia-
iso-27000-seguridad-de-la-informacion/
Mantilla, Samuel. Estndares Internacionales de Auditora. [en lnea]. [02 de

marzo del 2014]. Disponible en:
http://www.youtube.com/watch?v=_wWo3N8Oa2Y
Meadows, Dennis. Los Lmites del Crecimiento. [en lnea]. [13 de noviembre del
2013]. Disponible en: http://www.ayto-
toledo.org/medioambiente/a21/limitescrecimiento.pdf
Ministerio de Comunicaciones. Modelo de seguridad de la informacin. [en

lnea]. [13 de noviembre del 2013]. Disponible en:
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pd
f
Muoz, Hernn. Diseo de sistema de gestin de seguridad informtica. [en

lnea]. [02 de marzo del 2014]. Disponible en:
http://www.dspace.espol.edu.ec/bitstream/123456789/6962/8/Tesis%20de%20
grado.pdf
Pallas, Gustavo. Metodologa de implementacin de un SGSI en un grupo

empresarial jerrquico. [en lnea]. [31 de marzo de 2014]. Disponible en:
http://www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf
Resolucin. Por la cual se fijan los estndares para la autorizacin y

funcionamiento de las entidades de certificacin y sus auditores. [en lnea]. [13
de mayo del 2014]. Disponible en:
Abril de 2015
291
Proyecto de Grado
Resolucin. Resolucin 305 de 2008. [en lnea]. [02 de marzo del 2014].
Disponible en:
Ros, Julio. Seguridad Informtica. [en lnea]. [17 de Septiembre de 2013].

Disponible en: http://www.monografias.com/trabajos82/la-seguridad-
informatica/la-seguridad-informatica.shtml#introducca#ixzz2fCGghfuG
Rodrguez, Andrea, Erazo, Leydy, Guzmn, Luis, Acevedo, Julin. Gua

prctica para la implementacin de un sistema de gestin de calidad en
PYMES. [en lnea]. [11 de mayo del 2014]. Disponible en:
http://www.hiperion.com.co/Guia.pdf
Santos, Alan y Tarazona, Juan. Estudio de factibilidad para la implementacin y

puesta en marcha de una empresa de consultora para organizaciones PYMES
en la ciudad de Bucaramanga y su rea metropolitana. [en lnea]. [11 de mayo
http://repository.upb.edu.co:8080/jspui/bitstream/123456789/317/1/digital_1627
2.pdf
Santos, Luz. Gua para la evaluacin de seguridad en un sistema. [en lnea].

[02 de marzo del 2014]. Disponible en:
https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&ca
d=rja&ved=0CHYQFjAJ&url=http%3A%2F%2Fwww.acis.org.co%2Fmemorias%
2FJornadasSeguridad%2FIIJNSI%2Fpamplona.doc&ei=2o8TU_zIJMKSkQf06I
GICQ&usg=AFQjCNFakSrKbN2XFGBRRIvlaZ77VA8grA&sig2=Wlp21VTk_tLG
6m3Ss7q6_g&bvm=bv.62286460,d.eW0
Santos, Mateo. Los retos de seguridad para las PYMES. [en lnea]. [03 de
mayo del 2014]. Disponible en: http://www.enter.co/#!/especiales/enterprise/los-
retos-de-seguridad-para-las-Pymes/
TIME. Dinmica Empresarial. [en lnea]. [13 de noviembre del 2013]. Disponible
en:
http://timerime.com/en/event/1348664/Dinmica+Empresarial+John+David+Ster
man/
Abril de 2015
292
Proyecto de Grado
Web and macros. Los activos tangibles e intangibles - ejemplos. [en lnea]. [13
de mayo del 2014]. Disponible en:
http://www.webandmacros.com/activos_cuadro_mando_integral.htm
Web. Ciclo PHVA Planear hacer verificar actuar. [en lnea]. [12 de mayo
http://guajiros.udea.edu.co/fnsp/cvsp/Practica%20procesos/Metodologias%20pr
ocesos/CicloPHVA.pdf
Abril de 2015
293
Proyecto de Grado
15. ANEXOS
15.1. Carta de aceptacin de Guille Sport
Ilustracin 74 Carta aceptacin Guille Sport
Abril de 2015
294
Proyecto de Grado
15.1.1. Anexos de auditora Guille Sport
Ilustracin 75 auditora anexo 1 Guille Sport
Abril de 2015
295
Proyecto de Grado
Abril de 2015
296
Proyecto de Grado
Abril de 2015
297
Proyecto de Grado
15.1.2. Anexos de Checklist Guille Sport
Ilustracin 88 Checklist anexo 1 Guille Sport
Abril de 2015
298
Proyecto de Grado
Abril de 2015
299
Proyecto de Grado
Abril de 2015
300
Proyecto de Grado
Abril de 2015
301
Proyecto de Grado
Abril de 2015
302
Proyecto de Grado
Abril de 2015
303
Proyecto de Grado
15.2. Carta de aceptacin de Color Shop
Ilustracin 101 Carta aceptacin Color Shop
Abril de 2015
304
Proyecto de Grado
15.2.1. Anexos de auditora Color Shop
Ilustracin 102 auditora anexo 1 Color Shop
Abril de 2015
305
Proyecto de Grado
Abril de 2015
306
Proyecto de Grado
Abril de 2015
307
Proyecto de Grado
Abril de 2015
308
Proyecto de Grado
15.2.2. Anexos Checklist Color Shop
Ilustracin 115 Checklist anexo 1 Color Shop
Abril de 2015
309
Proyecto de Grado
Abril de 2015
310
Proyecto de Grado
Abril de 2015
311
Proyecto de Grado
Abril de 2015

Unad PDF

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Unad PDF

Caricato da

Copyright:

Formati disponibili

DISEO DE UN SISTEMA DE GESTIN DE LA SEGURIDAD INFORMTICA

SGSI, PARA EMPRESAS DEL REA TEXTIL EN LAS CIUDADES DE

ING. ALEXNDER GUZMN GARCA

ING. CARLOS ALBERTO TABORDA BEDOYA

UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA - UNAD

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA

ESPECIALIZACIN EN SEGURIDAD INFORMTICA

BOGOT D.C. COLOMBIA

ING. ALEXNDER GUZMN GARCA

ING. CARLOS ALBERTO TABORDA BEDOYA

Trabajo de grado para optar el ttulo de Especializacin en Seguridad

ING. FRANCISCO SOLARTE SOLARTE

Director del Proyecto

UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA - UNAD

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA

ESPECIALIZACIN EN SEGURIDAD INFORMTICA

BOGOT D.C. COLOMBIA

Este proyecto de grado lo quiero dedicar:

A Dios, que es mi gua en todo momento, siempre est a mi lado guindome

por el camino de la vida, fortaleciendo cada uno de mis pasos da a da para

afrontar los problemas, ensendome las diferentes perspectivas de la vida.

A mi Hermana Julie Andrea Guzmn Garca, que siempre me apoya y ayuda

en todo los momentos de mi vida.

Isabel Culma Soacha.

A Sofa, la nia ms hermosa, dulce y tierna que con su sonrisa irradia

A mis Familiares, por su apoyo incondicional.

A mis Amigos, por sus enseanzas y aportes profesionales.

A la Universidad Nacional Abierta y a Distancia UNAD, Escuela de Ciencias

Bsicas Tecnologa e Ingeniera, Especializacin en Seguridad Informtica, por

permitirme desarrollar mis conocimientos.

A los Ingenieros Francisco Solarte Solarte, Eleonora Palta y Ramss Ros

Lampariello, por su respaldo, apoyo, gua y orientacin en el desarrollo del

Al Director Nacional, por todo el apoyo y colaboracin en el desarrollo y

culminacin del proyecto de grado.

Al Comit proyectos de grado y sus colaboradores, por sus aportes de

Alexnder Guzmn Garca

A mi esposa Silvia Marcela Oyuela Cano, quien es mi inspiracin y apoyo

constante, que con su paciencia, comprensin y dedicacin, me ayuda cada

da a lograr mis objetivos.

hago es para darle el mejor ejemplo y brindarle lo mejor de m en todo

A mis padres Rosalba Bedoya y Rafael Taborda (fallecido), que en medio de su

humildad me brindaron la mejor enseanza, y con lo poco que tenan me dieron

el impulso para ir cada vez ms all.

que no claudique en mis propsitos.

A todas aquellas personas y entidades que con su empeo, paciencia,

dedicacin, esfuerzo y compromiso, me han brindado las mejores herramientas

para ir paso a paso avanzando en el camino del conocimiento.

Carlos Alberto Taborda Bedoya

Agradezco a Dios por haberme permitido llegar a estos momentos tan

maravillosos de mi vida, llenndome de salud, amor, paz y sabidura para

afrontar todos los retos de la vida.

mis decisiones y en mi crecimiento como profesional.

Agradezco a mi hermana: Julie Andrea Guzmn Garca por escucharme,

apoyarme y estar siempre a mi lado en los momentos difciles.

apoyarme y brindarme la mano en los momentos difciles, por llenarme de

felicidad en instantes transcendentales de mi vida y por impulsarme a ser mejor

Agradezco a mis abuelos y abuelas maternas y paternas por mostrarme lo

Agradezco a mis familiares por sus enseanzas y experiencias de la vida, por

estar siempre pendiente participando directa o indirectamente de mis logros.

Agradezco a mis maestros por enriquecer con sus conocimientos mi

aprendizaje intelectual hacia un enfoque profesional.

culminando una etapa de mi vida tan importante, por apoyarnos en nuestra