Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Cdigo: 1.030.548.291
Cdigo: 98.639.837
ABRIL / 2015
Abril de 2015
DISEO DE UN SISTEMA DE GESTIN DE LA SEGURIDAD INFORMTICA
SGSI , PARA EMPRESAS DEL REA TEXTIL EN LAS CIUDADES DE
ITAG, MEDELLN Y BOGOT D.C. A TRAVS DE LA AUDITORA
Cdigo: 1.030.548.291
Cdigo: 98.639.837
ABRIL / 2015
Abril de 2015
CARTAS DE ACEPTACIN
Abril de 2015
Abril de 2015
Abril de 2015
DEDICATORIA
salir adelante.
A mi Mam Julia Garca Viatela, por brindarme en todo momento el apoyo que
necesito para salir adelante y esos valores que me hacen nico en mi forma de
ser.
A mi Pap lvaro Guzmn Vargas, por darme esa fuerza, esa sabidura para
A mis Abuelos y Abuelas, por darme esa fuerza para tomar decisiones.
A la Mujer que inspira mi vida con solo mirarla a sus hermosos ojos Martha
felicidad.
Abril de 2015
A mis Maestros, por sus extraordinarios conocimientos sobre los temas
explicados.
proyecto de grado.
conocimiento y tiempo.
Abril de 2015
Este proyecto de grado lo quiero dedicar:
A mi hijo Juan David Taborda Palacio, que lo es todo para m, y que aunque se
encuentre distante sabe que est siempre en mi corazn y que todo lo que
momento.
A mis hermanos y hermanas, que siempre han estado presentes con su apoyo
y aliento constante para que cada da pueda superar cada reto que me
proponga.
A mis dems familiares y amigos, que son constantes ejemplo y apoyo para
Abril de 2015
AGRADECIMIENTOS
Agradezco a mis padres: Julia Garca Viatela y lvaro Guzmn Vargas por
darme la vida, por brindarme en todo momento ese apoyo tan incondicional en
Agradezco a mi novia: Martha Isabel Culma Soacha y a su hija: Laura Sofa por
cada da.
maravilloso que es la vida y lo importante que es dar paso a paso con firmeza.
Abril de 2015
Agradezco a mis amigos por manifestar su apoyo y felicidad al estar
formacin profesional.
infraestructura organizacional.
Miguel Herrn Suarez, a los jurados del proyecto Eleonora Palta y Ramss
Ros Lampariello como a todos sus colaboradores que hicieron sus aportes de
Abril de 2015
AGRADECIMIENTOS
de clase y fuera de ellos, para que pueda cumplir con cada una de mis metas y
educacin.
A mi hijo Juan David Taborda Palacio, por comprender cuando est a mi lado,
llenaron de valores, que me permitieran ser una persona con principios y con
A mis hermanos y hermanas, que con su apoyo y cario, han logrado que me
generaciones.
Abril de 2015
A mis dems familiares y amigos, porque siempre han estado cuando los he
necesitado.
que con su esfuerzo y compromiso en cada tarea que nos trazamos, hemos
Abril de 2015
TABLA DE CONTENIDO
Abril de 2015
6.3.3. Riesgos informticos ..................................................................... 45
6.3.4. Seguridad informtica ................................................................... 47
6.3.5. Seguridad de la informacin .......................................................... 48
6.3.6. SGSI.............................................................................................. 49
6.3.7. Norma ISO 27001 ......................................................................... 50
6.3.8. Norma ISO 27002:2013 ................................................................ 54
6.3.9. Anlisis de riesgos informticos .................................................... 64
6.3.10. Control de Gestin ..................................................................... 64
6.3.11. Mapa Estratgico ....................................................................... 65
6.3.12. Ciberdelincuentes ...................................................................... 65
6.3.13. Auditora..................................................................................... 66
6.3.14. Auditora informtica .................................................................. 69
6.3.15. Ciclo PHVA ................................................................................ 71
6.3.16. Pasos a seguir para desarrollar la auditora............................... 73
6.4. Marco Conceptual ................................................................................ 75
6.4.1. Seguridad ...................................................................................... 75
6.4.2. Estndares de seguridad .............................................................. 75
6.4.3. Modelo de seguridad ..................................................................... 75
6.4.4. Pymes ........................................................................................... 75
6.4.5. Norma ISO 27000 ......................................................................... 76
6.4.6. Norma ISO 27001 ......................................................................... 76
6.4.7. Norma ISO 27002 ......................................................................... 77
6.4.8. Norma ISO 27005 ......................................................................... 77
6.4.9. Escalas de medicin ..................................................................... 77
6.4.10. Concepto de vulnerabilidad........................................................ 77
6.4.11. Concepto de amenaza ............................................................... 77
6.4.12. Concepto de riesgo .................................................................... 78
6.4.13. Escala de medicin probabilidad ............................................... 78
6.4.14. Escala de medicin de impacto ................................................. 78
6.4.15. Hallazgo ..................................................................................... 78
Abril de 2015
6.4.16. Concepto de control ................................................................... 78
6.4.17. Concepto de poltica .................................................................. 79
6.4.18. Concepto de procedimiento ....................................................... 79
6.5. Marco Legal ......................................................................................... 80
7. Diseo Metodolgico .................................................................................. 82
7.1. Lnea y Tipo de Investigacin .............................................................. 82
7.2. Diseo de la Investigacin ................................................................... 83
7.3. Instrumentos de Recoleccin de Informacin ...................................... 83
7.4. Poblacin y Muestra (Universo) ........................................................... 83
7.5. Fases Metodolgicas o Metodologa de la Investigacin ..................... 84
8. Nombre de las personas que participaran en el Proceso ........................... 86
9. Desarrollo de la auditora ........................................................................... 87
9.1. Plan de auditora .................................................................................. 87
9.1.1. Objetivo de la auditora ................................................................. 87
9.1.2. Alcance de la auditora .................................................................. 87
9.1.3. Metodologa para desarrollo de la auditora .................................. 87
9.2. Programa de auditora ......................................................................... 87
9.2.1. Estndares ISO ............................................................................. 87
9.3. Etapas de la auditora - etapa de conocimiento de las empresas........ 91
9.3.1. Informe director Guille Sport: ........................................................ 91
9.3.1.6. Infraestructura informtica Guille Sport ...................................... 94
9.3.2. Informe director Color Shop: ....................................................... 102
10. Tcnicas de trabajo Diseo de los instrumentos ................................ 113
10.1. Diseo de la encuesta de auditora para las Pymes .......................... 113
10.2. Anlisis de la informacin recolectada ............................................... 150
10.2.1. Anlisis de resultados Guille Sport .......................................... 150
10.2.2. Anlisis de resultados Color Shop ........................................... 161
10.3. Investigacin de la informacin recolectada ...................................... 172
10.3.1. Nivel Aceptable o que se debe monitorear de Guille Sport ...... 178
10.3.2. Nivel de Investigacin o que se requiere la posibilidad de un
tratamientode Guille Sport ........................................................................ 178
Abril de 2015
10.3.3. Nivel de Controles inmediatos o de mitigacin de Guille Sport 178
10.3.4. Nivel Aceptable o que se debe monitorear de Color Shop ...... 183
10.3.5. Nivel de Investigacin o que se requiere la posibilidad de un
tratamiento de Color Shop ....................................................................... 183
10.3.6. Nivel de Controles inmediatos o de mitigacin de Color Shop. 183
11. Resultados de la auditora .................................................................... 202
11.1. Resultados por Pyme......................................................................... 202
11.2. Resultados comparativos en la aplicacin de la auditora ................. 247
12. Diseo de un sistema de gestin de la seguridad informtica SGSI .. 255
12.1. Objetivo del SGSI .............................................................................. 255
12.2. Alcance del SGSI ............................................................................... 255
12.3. Dominios evaluados y procesos seleccionados ................................. 255
12.4. Declaracin de aplicabilidad .............................................................. 258
12.5. Poltica de seguridad de la informacin ............................................. 266
12.6. Procedimientos propuestos para mitigar los riesgos ......................... 270
12.6.1. Procedimiento de control de documentos ................................ 270
12.6.2. Procedimiento de control de registros ...................................... 272
12.6.3. Procedimiento de auditora interna .......................................... 274
12.6.4. Procedimiento de accin correctiva ......................................... 278
12.6.5. Procedimiento de accin preventiva ........................................ 280
12.6.6. Procedimiento de gestin de incidentes................................... 282
13. Conclusiones......................................................................................... 284
14. Referencias Bibliogrficas e Infografa.................................................. 286
15. Anexos .................................................................................................. 293
15.1. Carta de aceptacin de Guille Sport .................................................. 293
15.1.1. Anexos de auditora Guille Sport ............................................. 294
15.1.2. Anexos de Checklist Guille Sport ............................................. 297
15.2. Carta de aceptacin de Color Shop ................................................... 303
15.2.1. Anexos de auditora Color Shop .............................................. 304
15.2.2. Anexos Checklist Color Shop................................................... 308
Abril de 2015
LISTAS ESPECIALES
ndice de tablas
Abril de 2015
Tabla 25 Auditora de evaluacin de la seguridad de la informacin Anexo 3 120
Tabla 26 Auditora de evaluacin de la seguridad de la informacin Anexo 4 122
Tabla 27 Auditora de evaluacin de la seguridad de la informacin Anexo 5 125
Tabla 28 Auditora de evaluacin de la seguridad de la informacin Anexo 6 130
Tabla 29 Auditora de evaluacin de la seguridad de la informacin Anexo 7 132
Tabla 30 Auditora de evaluacin de la seguridad de la informacin Anexo 8 136
Tabla 31 Auditora de evaluacin de la seguridad de la informacin Anexo 9 140
Tabla 32 Auditora de evaluacin de la seguridad de la informacin Anexo 10
........................................................................................................................ 142
Tabla 33 Auditora de evaluacin de la seguridad de la informacin Anexo 11
........................................................................................................................ 144
Tabla 34 Auditora de evaluacin de la seguridad de la informacin Anexo 12
........................................................................................................................ 145
Tabla 35 Auditora de evaluacin de la seguridad de la informacin Anexo 13
........................................................................................................................ 147
Tabla 36 Descripcin de las posibles vulnerabilidades, amenazas y riesgos
Guille Sport ..................................................................................................... 150
Tabla 37 Descripcin de las posibles vulnerabilidades, amenazas y riesgos
Color Shop ...................................................................................................... 161
Tabla 38 Probabilidad de ocurrencia .............................................................. 172
Tabla 39 Valoracin de impacto...................................................................... 172
Tabla 40 Probabilidad de Ocurrencia Guille Sport .......................................... 173
Tabla 41 Valoracin del riesgo Guille Sport .................................................... 175
Tabla 42 Matriz clasificacin de riesgo Guille Sport........................................ 177
Tabla 43 Probabilidad de Ocurrencia Color Shop ........................................... 179
Tabla 44 Valoracin del riesgo Color Shop ..................................................... 181
Tabla 45. Matriz clasificacin de riesgo Color Shop ....................................... 183
Tabla 46 Cuestionario de control Anexo 1 ...................................................... 184
Tabla 47 Cuestionario de control Anexo 2 ...................................................... 185
Tabla 48 Cuestionario de control Anexo 3 ...................................................... 187
Tabla 49 Cuestionario de control Anexo 4 ...................................................... 188
Tabla 50 Cuestionario de control Anexo 5 ...................................................... 189
Abril de 2015
Tabla 51 Cuestionario de control Anexo 6 ...................................................... 191
Tabla 52 Cuestionario de control Anexo 7 ...................................................... 192
Tabla 53 Cuestionario de control Anexo 8 ...................................................... 194
Tabla 54 Cuestionario de control Anexo 9 ...................................................... 196
Tabla 55 Cuestionario de control Anexo 10 .................................................... 197
Tabla 56 Cuestionario de control Anexo 11 .................................................... 198
Tabla 57 Cuestionario de control Anexo 12 .................................................... 199
Tabla 58 Cuestionario de control Anexo 13 .................................................... 200
Tabla 59 Hallazgos Guille Sport...................................................................... 209
Tabla 60 Hallazgos Color Shop ...................................................................... 230
Tabla 61 Tabla comparativa entre las empresas ............................................ 253
Tabla 62 Dominios y procesos seleccionados ................................................ 255
Tabla 63 Declaracin de aplicabilidad con los controles propuestos .............. 258
Tabla 64 Cronograma ..................................................................................... 275
ndice de figuras
ndice de ilustraciones
Abril de 2015
Ilustracin 8 Equipo PC Color Shop................................................................ 105
Ilustracin 9 Poltica de seguridad de la informacin Guille Sport .................. 154
Ilustracin 10 Aspectos organizativos de la seguridad de la informacin Guille
Sport ............................................................................................................... 154
Ilustracin 11 Seguridad ligada a los recursos humanos Guille Sport ............ 155
Ilustracin 12 Gestin de activos Guille Sport ................................................ 155
Ilustracin 13 Control de acceso Guille Sport ................................................. 156
Ilustracin 14 Cifrado Guille Sport .................................................................. 156
Ilustracin 15 Seguridad fsica y del entorno Guille Sport............................... 157
Ilustracin 16 Seguridad en la operativa Guille Sport ..................................... 157
Ilustracin 17 Seguridad en las telecomunicaciones Guille Sport ................... 158
Ilustracin 18 Gestin de incidentes en la seguridad de la informacin Guille
Sport ............................................................................................................... 158
Ilustracin 19 Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin Guille Sport .................................................................................. 159
Ilustracin 20 Aspectos de seguridad de la informacin en la gestin de la
continuidad del negocio Guille Sport............................................................... 159
Ilustracin 21 Cumplimiento Guille Sport ........................................................ 160
Ilustracin 22 Poltica de seguridad de la informacin Color Shop ................. 165
Ilustracin 23 Aspectos organizativos de la seguridad de la informacin Color
Shop ............................................................................................................... 165
Ilustracin 24 Seguridad ligada a los recursos humanos Color Shop ............. 166
Ilustracin 25 Gestin de activos Color Shop ................................................. 166
Ilustracin 26 Control de acceso Color Shop .................................................. 167
Ilustracin 27 Cifrado Color Shop ................................................................... 167
Ilustracin 28 Seguridad fsica y del entorno Color Shop ............................... 168
Ilustracin 29 Seguridad en la operativa Color Shop ...................................... 168
Ilustracin 30 Seguridad en las telecomunicaciones Color Shop.................... 169
Ilustracin 31 Gestin de incidentes en la seguridad de la informacin Color
Shop ............................................................................................................... 169
Ilustracin 32 Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin Color Shop .................................................................................. 170
Abril de 2015
Ilustracin 33 Aspectos de seguridad de la informacin en la gestin de la
continuidad del negocio Color Shop ............................................................... 170
Ilustracin 34 Cumplimiento Color Shop ......................................................... 171
Ilustracin 35 Poltica de seguridad de la informacin Guille Sport ................ 202
Ilustracin 36 Aspectos organizativos de la seguridad de la informacin Guille
Sport ............................................................................................................... 202
Ilustracin 37 Seguridad ligada a los recursos humanos Guille Sport ............ 203
Ilustracin 38 Gestin de activos Guille Sport ................................................ 203
Ilustracin 39 Control de accesos Guille Sport ............................................... 204
Ilustracin 40 Cifrado Guille Sport .................................................................. 204
Ilustracin 41 Seguridad fsica y del entorno Guille Sport............................... 205
Ilustracin 42 Seguridad en la operatividad Guille Sport ................................ 205
Ilustracin 43 Seguridad en las telecomunicaciones Guille Sport ................... 206
Ilustracin 44 Gestin de incidentes en la seguridad de la informacin Guille
Sport ............................................................................................................... 206
Ilustracin 45 Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin Guille Sport .................................................................................. 207
Ilustracin 46 Aspectos de seguridad de la informacin en la gestin de la
continuidad del negocio Guille Sport............................................................... 207
Ilustracin 47 Cumplimiento Guille Sport ........................................................ 208
Ilustracin 48 Poltica de seguridad de la informacin Color Shop ................. 223
Ilustracin 49 Aspectos organizativos de la seguridad de la informacin Color
Shop ............................................................................................................... 223
Ilustracin 50 Seguridad ligada a los recursos humanos Color Shop ............. 224
Ilustracin 51 Gestin de activos Color Shop ................................................. 224
Ilustracin 52 Control de acceso Color Shop .................................................. 225
Ilustracin 53 Cifrado Color Shop ................................................................... 225
Ilustracin 54 Seguridad fsica y del entorno Color Shop ............................... 226
Ilustracin 55 Seguridad en la operativa Color Shop ...................................... 226
Ilustracin 56 Seguridad en las telecomunicaciones Color Shop.................... 227
Ilustracin 57 Gestin de incidentes en la seguridad de la informacin Color
Shop ............................................................................................................... 227
Abril de 2015
Ilustracin 58 Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin Color Shop .................................................................................. 228
Ilustracin 59 Aspectos de seguridad de la informacin en la gestin de la
continuidad del negocio Color Shop ............................................................... 228
Ilustracin 60 Cumplimiento Color Shop ......................................................... 229
Ilustracin 61 Poltica de seguridad de la informacin .................................... 247
Ilustracin 62 Aspectos organizativos de la seguridad de la informacin ....... 247
Ilustracin 63 Seguridad ligada a los recursos humanos ................................ 248
Ilustracin 64 Gestin de activos .................................................................... 248
Ilustracin 65 Control de acceso ..................................................................... 249
Ilustracin 66 Cifrado ...................................................................................... 249
Ilustracin 67 Seguridad fsica y del entorno .................................................. 250
Ilustracin 68 Seguridad en la operativa ......................................................... 250
Ilustracin 69 Seguridad en las telecomunicaciones ...................................... 251
Ilustracin 70 Gestin de incidentes en la seguridad de la informacin.......... 251
Ilustracin 71 Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin ..................................................................................................... 252
Ilustracin 72 Aspectos de seguridad de la informacin en la gestin de la
continuidad del negocio .................................................................................. 252
Ilustracin 73 Cumplimiento ............................................................................ 253
Ilustracin 74 Carta aceptacin Guille Sport ................................................... 293
Ilustracin 75 auditora anexo 1 Guille Sport .................................................. 294
Ilustracin 76 auditora anexo 2 Guille Sport .................................................. 294
Ilustracin 77 auditora anexo 3 Guille Sport .................................................. 294
Ilustracin 78 auditora anexo 4 Guille Sport .................................................. 294
Ilustracin 79 auditora anexo 5 Guille Sport .................................................. 295
Ilustracin 80 auditora anexo 6 Guille Sport .................................................. 295
Ilustracin 81 auditora anexo 7 Guille Sport .................................................. 295
Ilustracin 82 auditora anexo 8 Guille Sport .................................................. 295
Ilustracin 83 auditora anexo 9 Guille Sport .................................................. 296
Ilustracin 84 auditora anexo 10 Guille Sport ................................................ 296
Ilustracin 85 auditora anexo 11 Guille Sport ................................................ 296
Abril de 2015
Ilustracin 86 auditora anexo 12 Guille Sport ................................................ 296
Ilustracin 87 auditora anexo 13 Guille Sport ................................................ 297
Ilustracin 88 Checklist anexo 1 Guille Sport .................................................. 297
Ilustracin 89 Checklist anexo 2 Guille Sport .................................................. 297
Ilustracin 90 Checklist anexo 3 Guille Sport .................................................. 298
Ilustracin 91 Checklist anexo 4 Guille Sport .................................................. 298
Ilustracin 92 Checklist anexo 5 Guille Sport .................................................. 299
Ilustracin 93 Checklist anexo 6 Guille Sport .................................................. 299
Ilustracin 94 Checklist anexo 7 Guille Sport .................................................. 300
Ilustracin 95 Checklist anexo 8 Guille Sport .................................................. 300
Ilustracin 96 Checklist anexo 9 Guille Sport .................................................. 301
Ilustracin 97 Checklist anexo 10 Guille Sport ................................................ 301
Ilustracin 98 Checklist anexo 11 Guille Sport ................................................ 301
Ilustracin 99 Checklist anexo 12 Guille Sport ................................................ 301
Ilustracin 100 Checklist anexo 13 Guille Sport .............................................. 302
Ilustracin 101 Carta aceptacin Color Shop .................................................. 303
Ilustracin 102 auditora anexo 1 Color Shop ................................................. 304
Ilustracin 103 auditora anexo 2 Color Shop ................................................. 304
Ilustracin 104 auditora anexo 3 Color Shop ................................................. 304
Ilustracin 105 auditora anexo 4 Color Shop ................................................. 305
Ilustracin 106 auditora anexo 5 Color Shop ................................................. 305
Ilustracin 107 auditora anexo 6 Color Shop ................................................. 305
Ilustracin 108 auditora anexo 7 Color Shop ................................................. 306
Ilustracin 109 auditora anexo 8 Color Shop ................................................. 306
Ilustracin 110 auditora anexo 9 Color Shop ................................................. 306
Ilustracin 111 auditora anexo 10 Color Shop ............................................... 306
Ilustracin 112 auditora anexo 11 Color Shop ............................................... 307
Ilustracin 113 auditora anexo 12 Color Shop ............................................... 307
Ilustracin 114 auditora anexo 13 Color Shop ............................................... 307
Ilustracin 115 Checklist anexo 1 Color Shop ................................................ 308
Abril de 2015
Ilustracin 116 Checklist anexo 2 Color Shop ................................................ 308
Ilustracin 117 Checklist anexo 3 Color Shop ................................................ 308
Ilustracin 118 Checklist anexo 4 Color Shop ................................................ 309
Ilustracin 119 Checklist anexo 5 Color Shop ................................................ 309
Ilustracin 120 Checklist anexo 6 Color Shop ................................................ 309
Ilustracin 121 Checklist anexo 7 Color Shop ................................................ 310
Ilustracin 122 Checklist anexo 8 Color Shop ................................................ 310
Ilustracin 123 Checklist anexo 9 Color Shop ................................................ 310
Ilustracin 124 Checklist anexo 10 Color Shop .............................................. 311
Ilustracin 125 Checklist anexo 11 Color Shop .............................................. 311
Ilustracin 126 Checklist anexo 12 Color Shop .............................................. 311
Ilustracin 127 Checklist anexo 13 Color Shop .............................................. 311
Abril de 2015
GLOSARIO
Abril de 2015
DATOS: Representacin metodolgica de un conjunto de atributos, sucesos,
hechos y variables para ser procesada, y as obtener la informacin requerida o
solicitada conforme a las necesidades.
Abril de 2015
NORMAS: Conjunto de elementos constituidos por reglas y pautas con el fin de
ser ajustadas a un protocolo o procedimiento establecido por las
organizaciones internacionales que lo rigen, estableciendo un orden de valores
los cuales proporcionan una regulacin entre los diversos comportamientos y
estados que se pueden presentar dentro de una organizacin.
RIESGOS: Trmino que proviene del italiano, adoptado de una palabra rabe,
la cual representa el potencial de perjuicios que se pueden presentar en una
organizacin, por la falta de una estrategia de seguridad, asocindose al
peligro o dao de un acontecimiento, a travs de la probabilidad de ocurrencia
dentro de un instante de tiempo.
1
QUEES.LA. Qu es procedimiento?. [en lnea]. [09 de mayo del 2014]. Disponible en:
http://quees.la/procedimiento/
2
Ibd., p. 1.
3
ALEGSA. Definicin de vulnerabilidad. [en lnea]. [15 de mayo del 2014]. Disponible en:
http://www.alegsa.com.ar/Dic/vulnerabilidad.php
Abril de 2015
RESUMEN
Palabras claves
Abril de 2015
ABSTRACT
Also, Ill safeguard the most important resource of the PYME (Data-
Information) where the design of a (CSMS) will provide simple methodology and
pretty complete to protect each one of software assets and this way develop
process of restoration and mitigation of risks, taking the necessary corrective
and preventive measures needed.
Keywords
Abril de 2015
30
1. INTRODUCCIN
Abril de 2015
31
Abril de 2015
32
Abril de 2015
33
Abril de 2015
34
Por lo tanto, como son sociedades que estn iniciando en sus procesos
productivos y asentamiento, no conocen o no suelen invertir mucho sobre los
temas de seguridad para sus sistemas de informacin, dejando vulnerable sus
datos y sus procesos, sin tener en cuenta la importancia que es proteger la
informacin de los equipos de cmputo.
Abril de 2015
35
Abril de 2015
36
5. OBJETIVOS
Abril de 2015
37
6. MARCO REFERENCIAL
6.1. Antecedentes
Abril de 2015
38
Abril de 2015
39
Abril de 2015
40
Abril de 2015
41
6.3.1.3.1. Hardware
6.3.1.3.2. Software
Abril de 2015
42
Abril de 2015
43
6.3.2.1. Intercepcin
6.3.2.2. Modificacin
6.3.2.3. Interrupcin
6.3.2.4. Generacin
Abril de 2015
44
Las amenazas naturales son aquellas que se producen por los efectos
naturales y cambios ambientales en el entorno, ocasionando un desastre tales
como el polvo, las inundaciones, terremotos, etc.
Abril de 2015
45
Los riesgos informticos son problemas potenciales, que pueden afectar a los
sistemas de informacin u ordenadores, si no se poseen las medidas
adecuadas para salvaguardar los datos, dichos riesgos informticos se pueden
presentar por las vulnerabilidades y amenazas en cualquier momento, por lo
tanto los riesgos se pueden clasificar en:
Abril de 2015
46
Informacin4
Son aquellos que por una inadecuada configuracin del sistema, en el cual no
se poseen las metodologas apropiadas para salvaguardar la integridad y
confidencialidad de la informacin, los datos podran estar expuestos y son
vulnerables a cualquier hacker, dependiendo del nivel de estructura en el cual
se encuentra la seguridad de la informacin, de los cuales se pueden
mencionar:
Procesos de negocio
Aplicacin
Administracin de la informacin
Entorno de procesamiento
Redes
Nivel fsico
4
EBILIO UNAD. Leccin 11: Riesgos informticos. [en lnea]. [12 de diciembre del 2014].
Disponible en:
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_11_riesgos_informticos.html
Abril de 2015
47
Planeacin organizacional
Definicin de las aplicaciones
Administracin de seguridad
Operaciones de red y operaciones computacionales
Administracin de sistemas de bases de datos
Informacin / Negocio
Riesgos de seguridad general
Riesgos de choque de elctrico
Riesgos de incendio
Riesgos de niveles inadecuados de energa elctrica
Riesgos de radiaciones
Riesgos mecnicos
Abril de 2015
48
6.3.5.1. Integridad
6.3.5.2. Disponibilidad
6.3.5.3. Confidencialidad
Abril de 2015
49
6.3.6. SGSI
Relaciones inter-empresas
Capacitaciones empresariales
Habilidades y motivacin de los empleados y/o trabajadores
Bases de datos, Herramientas tecnolgicas
Know How (Conocimiento - Experiencia)
Procesos operativos
Son los bienes de naturaleza material, los cuales son perceptibles a la vista del
ser humano5, como:
Mobiliario, capital
Infraestructura y rea de terreno
Material, elementos de trabajo
Equipos informticos
Telfonos, cableado de red
Entre otros.
5
WEB AND MACROS. Los activos tangibles e intangibles - ejemplos. [en lnea]. [13 de mayo
del 2014]. Disponible en: http://www.webandmacros.com/activos_cuadro_mando_integral.htm
Abril de 2015
50
La norma ISO 27001, es la norma principal para adecuar los requisitos del
sistema de gestin de la seguridad informtica en las organizaciones, por lo
tanto esta norma es certificable para los auditores externos, los cuales evalan
las Pymes, empresas, etc., dentro de los 11 dominios que existen en la norma
ISO 27001, con el propsito de organizar y gestionar la seguridad cuyos
objetivos son:
Este dominio articula los objetivos del negocio y la razn social de la Pyme,
empresa u organizacin con las necesidades de la seguridad informtica, para
salvaguardar los datos, registro y dems informacin confidencial que se desee
proteger, por lo tanto el documento debe contemplar todos los niveles y
acciones a seguir en determinado caso.
Clasificacin de la informacin
Naturaleza del negocio
Informacin de uso interno y externo
Necesidades tcnicas y operativas
6
ISOTOOLS. ISO 27001: Dominios Tecnolgicos de Seguridad de la Informacin. [en lnea].
[22 de enero del 2015]. Disponible en: http://www.isotools.org/2013/10/03/iso-27001-dominios/
Abril de 2015
51
Asignacin de responsabilidades
Acuerdos de confidencialidad
Riesgos de acceso de terceros
7
Gutirrez, C. (2012). WELIVESECURITY: Los 10 pilares bsicos de la norma ISO 27001. [en
lnea]. [22 de enero del 2015]. Disponible en: http://www.welivesecurity.com/la-
es/2012/10/22/10-pilares-basicos-norma-iso27001/
8
BLOOGER. (2010).Seguridad de la informacin en Colombia. [en lnea]. [22 de enero del
2015]. Disponible en: (http://seguridadinformacioncolombia.blogspot.com/2010/04/iso-27001-e-
iso-27002-dominio-11.html
Abril de 2015
52
reas seguras
Seguridad fsica
Seguridad en los activos ( equipos de cmputo)
Copias de seguridad
Seguridad en redes
Abril de 2015
53
Controles criptogrficos
Gestin de incidentes
Mejoras de seguridad
Procedimientos
Proceso
Polticas
Restauracin de actividades
Gestin de seguridad
9
Gutirrez, C. (2012). Continuidad del negocio: Cmo responder ante una contingencia?. [en
lnea]. [18 de enero del 2015]. Disponible en: http://blogs.eset-
la.com/laboratorio/2012/07/18/continuidad-negocio-como-responder-ante-emergencia/
Abril de 2015
54
10
El portal ISO. (2015). ISO 27000.es. [en lnea]. [20 de enero del 2015]. Disponible en:
http://www.iso27000.es/iso27000.html
11
ISO. (2015).ISO/IEC 27002:2013. [en lnea]. [24 de enero del 2015]. Disponible en:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54533
12
El portal ISO. (2015).ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y
114 CONTROLES. [en lnea]. [22 de enero del 2015]. Disponible en:
http://www.iso27000.es/download/ControlesISO27002-2013.pdf
Abril de 2015
55
Abril de 2015
56
Abril de 2015
57
Abril de 2015
58
Abril de 2015
59
Abril de 2015
60
Abril de 2015
61
Abril de 2015
62
Este dominio contempla los planes que se deben llevar a cabo para llevar y
tener una buena comunicacin entre los suministradores
Este dominio aplica los hallazgos encontrados sobre la seguridad para dar
cavidad a la mejora continua, implementando soluciones en pro de la seguridad
informtica y los procesos de gestin.
Abril de 2015
63
Este dominio establece las medidas para la continuidad del negocio a travs de
las actividades que son recurrentes, para identificar las que no se pueden
eliminar porque generan un gran impacto.
Este dominio establece los pasos para dar cumplimiento a los requisitos legales
en cuanto a la seguridad, diseando, operatividad y gestin de los sistemas
para mantener la seguridad informtica.
Abril de 2015
64
13
Gestion.ORG. (2002). Qu es el control de gestin?. [en lnea]. [16 de mayo del 2014].
Disponible en: http://www.gestion.org/estrategia-empresarial/4594/que-es-el-control-de-gestion/
Abril de 2015
65
La metodologa determina una serie de pasos para desarrollar cada una de las
actividades que se han planteado, de esta manera se puede llevar un orden
consecutivo de cmo se debe actuar frente a las acciones y situaciones
adversas que se pueden presentar a travs de los medios informticos o
sistema operativo de una organizacin, estableciendo:
Indicadores
Metas
Iniciativas estratgicas
6.3.12. Ciberdelincuentes
Los delitos informticos se definen como toda actividad ilegal y ofensas que se
pueden cometer ante cualquier individuo o grupo de personas con motivos
criminales, asimismo daar intencionadamente a la vctima. El trmino delito
informtico generalmente es usado indistintamente a la palabra crimen
ciberntico, a la cual en ingls se le conoce como cibercrimen, donde la
Organizacin de las Naciones Unidas (ONU) lo divide en dos categoras con
sus respectivas definiciones:
Abril de 2015
66
6.3.13. Auditora
Abril de 2015
67
La auditora externa son los mtodos utilizados por una empresa ajena para
examinar sistemticamente las herramientas que soportan la gestin de la
empresa, como por ejemplo: el sistema de informacin administrativo, el
sistema de informacin contable y aquellos sistemas que soportan algn
procedimiento que pueda ser auditado para determinar la integridad del estado
actual de los documentos, expedientes e informacin que ocasiono el ingreso
de informacin.
14
Instituto de auditores internos. Qu es la auditoria interna?. [en lnea]. [15 de enero del
2015]. Disponible en:
http://www.iaiperu.org/index.php?option=com_content&view=article&id=80:ique-es-auditoria-
interna&catid=49:preguntas-frecuentes&Itemid=40
Abril de 2015
68
Abril de 2015
69
6.3.13.4. El auditor
Por ende se realiza un examen crtico, sistemtico y objetivo para evaluar los
recursos informticos y as verificar que se encuentren desarrollando la gestin
en pro del cumplimiento de los objetivos propuestos y la seguridad de la
informacin, a fin de tomar de forma adecuada las decisiones frente a las
amenazas, riesgos y vulnerabilidades informticas.
Abril de 2015
70
Observacin
Realizacin de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadstico
Flujo gramas
Listas de chequeo
Mapas conceptuales
Abril de 2015
71
Planear
Hacer
Verificar
Actuar
15
Implementacin SIG. (2014). El ciclo de Deming. [ilustracin 1]. [en lnea]. [16 de mayo del
2014]. Disponible en: http://www.implementacionsig.com/index.php/generalidades-sig/55-ciclo-
de-
Abril de 2015
72
Objetivos
Polticas de seguridad
Requisitos
Actividades
Asimismo realizar un anlisis de los resultados que se van llevando hasta el
momento, teniendo en cuenta la lista de chequeo.
Abril de 2015
73
Para realizar el estudio preliminar se debe identificar las funciones del rea a
auditar, con el fin de identificar y conocer la distribucin de los equipos de
cmputo, infraestructura y mtodos de seguridad existentes, indagando sobre:
Abril de 2015
74
Estndares ISO
Checklist
Encuesta inicial
Matrices de riesgo
Objetivo de la auditora
Alcance de la auditora
Desarrollo de la auditora en el cual se define
o Situacin actual
o Hallazgos
o Recomendaciones
o Planes de accin Sistema de gestin de la seguridad
informtica (SGSI)
Tabular las encuestas y los hallazgos para determinar los riesgos,
vulnerabilidades y amenazas y as disear el sistema de gestin de la
seguridad informtica.
Abril de 2015
75
6.4.1. Seguridad
Si bien los estndares nos proporcionan una base importante para llegar a
crear un modelo de seguridad, sta se basa en las polticas de seguridad de la
organizacin, las cuales determinan los procedimientos, los estndares y las
herramientas que ayudarn a estas labores16.
6.4.4. Pymes
16
Gmez, J. Seguridad de la Informacin. [en lnea]. [09 de diciembre del 2013]. Disponible en:
http://www.slideshare.net/hvillas/seguridaddela-informacion-17506228
Abril de 2015
76
Por consiguiente las Pymes poseen una mayor flexibilidad para adaptarse a las
diferentes medidas que puede proveer el mercado de los negocios y as
implementar proyectos de innovacin para poner en marcha propuestas que
enriquezcan la productividad del pas.
Es la norma establecida para dar a conocer por medio de las buenas prcticas
los estndares y normas de seguridad frente a cada uno de los activos
informticos de una organizacin o Pymes, de esta manera se establecer un
sistema de control para los componentes y elementos que conforman los
sistemas informticos, salvaguardando el activo ms importante de las
empresas, (informacin datos).
Abril de 2015
77
Abril de 2015
78
6.4.15. Hallazgo
Abril de 2015
79
Abril de 2015
80
Durante el diseo del SGSI para las Pymes, se debe tener en cuenta que
elementos de infraestructura hardware y software, polticas, sistemas y
metodologas de gestin del riesgo, procesos, procedimientos, planes de
seguridad y dems elementos sern necesarios para la implementacin de
SGSI, estos elementos durante su aplicacin o implementacin son
susceptibles a que se pueda omitir el cumplimiento de alguna ley, y tener
consecuencias sobre la organizacin o sobre una o ms personas en particular,
por eso es necesario conocer algunas leyes, decretos y normas que rigen
sobre estos elementos buscando la proteccin del bien individual o colectivo,
algunas de estas leyes, decretos o normas son:
18
Jaramillo, A. Manual de derecho de autor. [en lnea]. [13 de mayo del 2014]. Disponible en:
http://www.derechodeautor.gov.co/documents/10181/331998/Cartilla+derecho+de+autor+(Alfre
do+Vega).pdf/e99b0ea4-5c06-4529-ae7a-152616083d40
19
Cuervo, J. Aspectos jurdicos de internet y el comercio electrnico. [en lnea]. [13 de mayo del
2014]. Disponible en: http://www.informatica-
juridica.com/trabajos/Aspectos_juridicos_de_Internet_y_el_comercio_electronico.asp
Abril de 2015
81
20
Decreto. Artculo 160 del Decreto ley 19 de 2012. [en lnea]. [13 de mayo del 2014].
Disponible en:
http://www.sic.gov.co/documents/10165/2142817/DECRETO+333+DEL+19+DE+FEBRERO+D
E+2014+VIG+ENTES+ACREDITAC.pdf/3dcd1c36-533a-48fa-a72c-7fcb2181e771
21
Resolucin. Por la cual se fijan los estndares para la autorizacin y funcionamiento de las
entidades de certificacin y sus auditores. [en lnea]. [13 de mayo del 2014]. Disponible en:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=5793
22
Concepto. Oficina juridicial nacional. [en lnea]. [13 de mayo del 2014]. Disponible en:
http://www.legal.unal.edu.co/sisjurun/normas/Norma1.jsp?i=42011
23
DELTA. (2014). Ley de delitos informticos en Colombia. [en lnea]. [13 de mayo del 2014].
Disponible en: http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-
delitos-informaticos-en-colombia
Abril de 2015
82
7. DISEO METODOLGICO
Abril de 2015
83
Abril de 2015
84
Tamao de la poblacin: 3
Margen de error: 5%
Nivel de confianza: 90%
Desviacin estndar o variabilidad: 50%
Abril de 2015
85
Abril de 2015
86
Nombre Cargo
Abril de 2015
87
Proyecto de Grado
9. DESARROLLO DE LA AUDITORA
Abril de 2015
88
Proyecto de Grado
DECLARACIN DE APLICABILIDAD
REF. CONTROL
5. POLTICA DE SEGURIDAD
5.1. Poltica de Seguridad de la Informacin
5.1.1 Conjunto de polticas para la seguridad de la informacin
5.1.2 Revisin de las polticas para la seguridad de la informacin
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACIN
6.1. Organizacin Interna
6.1.1 Asignacin de responsabilidades para la seguridad de la informacin
6.1.2 Segregacin de tareas
6.1.5 Seguridad de la informacin en la gestin de proyectos
6.2. Dispositivos para movilidad y teletrabajo
6.2.1. Poltica de uso de dispositivos para movilidad
6.2.2. Teletrabajo
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
7.2. Seguridad en el desempeo de las funciones del empleo (Durante la
contratacin)
7.2.1 Responsabilidades de gestin
7.2.2 Concienciacin, educacin y capacitacin en seguridad de la
informacin
8. GESTIN DE ACTIVOS
8.1. Responsabilidad sobre los activos
8.1.1 Inventario de Activos
8.1.2 Propiedad de los activos
8.1.3. Uso aceptable de los activos
8.1.4. Devolucin de activos
8.2. Clasificacin de la informacin
8.2.1. Directrices de clasificacin
8.2.2. Etiquetado y manipulado de la informacin
8.2.3. Manipulacin de activos
9. CONTROL DE ACCESO
9.1 Requerimientos de negocio para el control de acceso
9.1.1 Poltica de control de acceso
9.2. Gestin de acceso de usuario
9.2.1 Gestin de altas/bajas en el registro de usuarios
9.2.3 Gestin de los derechos de acceso con privilegios especiales
9.3. Responsabilidades de usuario
9.3.1 Uso de informacin confidencial para la autenticacin
9.4. Control de acceso a sistemas operativo y aplicaciones
24
Fuente: Tabla estructurada con los dominios y procesos seleccionados
Abril de 2015
89
Proyecto de Grado
Abril de 2015
90
Proyecto de Grado
Abril de 2015
91
Proyecto de Grado
Realizado por:
GERENTE
SECRETARIA
25
Fuente: Estructura organizacional tomada de la empresa Guille Sport
Abril de 2015
92
Proyecto de Grado
Inventario de activos
Impresora multifuncional
26
UNAD. Inventario de activos. [en lnea]. [09 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/321_paso_1_inventario_de_activos.html
Abril de 2015
93
Proyecto de Grado
27
Fotografa de la empresa Guille Sport
28
Fotografa de la empresa Guille Sport
Abril de 2015
94
Proyecto de Grado
29
Fotografa de la empresa Guille Sport
30
Fotografa de la empresa Guille Sport
Abril de 2015
95
Proyecto de Grado
Valor Criterio
0 Irrelevante
31
UNAD. Valoracin de los activos. [en lnea]. [25 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/322__paso_2_valoracin_de_los_activos.html.
32
SEGURIDAD INFORMTICA. PILAR - Herramienta para Anlisis y Gestin de Riesgos. [en
lnea]. [25 de febrero del 2015]. Disponible en:
https://seguridadinformaticaufps.wikispaces.com/PILAR+-
+Herramienta+para+An%C3%A1lisis+y+Gesti%C3%B3n+de+Riesgos
Abril de 2015
96
Proyecto de Grado
Dimensiones
dao
Qu perjuicio
Qu perjuicio
no
Qu perjuicio
no
dao
no
causara que
causara que
Confidencialid
Disponibilidad
Autenticidad
Trazabilidad
Integridad
estuviera
causara
causara
causara
saber
Qu
Qu
ad
Activo de Datos de clientes y proveedores(Archivos en Excel) [9][A] [9][A] [6][M] [8][A]
informacin
Documentos Fsicos [10][MA] [1][MB] [1][MB]
Hardware PC1 Computador de escritorio Clon. Utilizado por el [9][A] [9][A] [6][M] [6][M]
propietario de la empresa.
PC2 Computador porttil. Utilizado por la secretaria o [8][A] [6][M] [6][M] [6][M]
por su reemplazo.
33
UNAD. Dimensiones de Seguridad. [en lnea]. [05 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/3221_dimensiones_de_seguridad.html
Abril de 2015
97
Proyecto de Grado
[D] Disponibilidad
[C] Confidencialidad de la
informacin
[A] Autenticidad
[T] Trazabilidad
34
Mifsud, Elvira. Introduccin a la seguridad informtica. [en lnea]. [25 de febrero del 2015]. Disponible en:
http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-introduccion-a-la-seguridad-informatica?showall=1
Abril de 2015
98
Proyecto de Grado
Inundacin [D][I]
[N.2]
[I] De origen industrial
35
UNAD. Identificacin de amenazas. [en lnea]. [25 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/3231_identificacin_de_amenazas.html
Abril de 2015
99
Proyecto de Grado
Impacto Valoracin
del impacto
Muy bajo 5%
(MB)
36
UNAD. Valoracin de amenazas. [en lnea]. [17 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/3232_valoracin_de_amenazas.html
37
Ibd., p. 1.
Abril de 2015
100
Proyecto de Grado
38
Ibd., p. 1.
Abril de 2015
101
Proyecto de Grado
Abril de 2015
102
Proyecto de Grado
Realizado por:
GERENTE
CONDUCTOR
APOYO/ASISTENTE OPERARIOS
39
Fuente: Estructura organizacional tomada de la empresa Color Shop
Abril de 2015
103
Proyecto de Grado
INVENTARIO DE ACTIVOS
2 memorias USB de 16 GB
40
UNAD. Inventario de activos, op. cit, p.1.
Abril de 2015
104
Proyecto de Grado
41
Fotografa de la empresa Color Shop
42
Fotografa de la empresa Color Shop
Abril de 2015
105
Proyecto de Grado
El local cuenta con un sistema de video vigilancia Cctv con dos cmaras que
apuntan una hacia el interior y otra hacia el exterior del mismo, el cual guarda
la informacin en un disco duro de 160GB.
43
Fotografa de la empresa Color Shop
Abril de 2015
106
Proyecto de Grado
Valor Criterio
0 Irrelevante
44
UNAD. Valoracin de los activos, op. cit, p.1.
45
SEGURIDAD INFORMTICA. PILAR - Herramienta para Anlisis y Gestin de Riesgos, op.
cit, p.1.
Abril de 2015
107
Proyecto de Grado
Dimensiones
dao
Qu perjuicio
Qu perjuicio
no
Qu perjuicio
no
dao
no
causara que
causara que
Confidencialid
Disponibilidad
Autenticidad
Trazabilidad
Integridad
causara
causara
causara
Qu
Qu
ad
Activo de Datos de clientes, proveedores y personal (Archivos de [9][A] [9][A] [8][M] [8][A]
informacin Microsoft Excel)
Documentos Fsicos (Libro contable, facturas) [10][MA] [1][MB] [9][A]
Software o Sistema Operativo Windows 7 Home Edition licencias OEM [6][M] 9][A] [8][A] 9][A]
aplicacin
Office 2007 licencias OEM 9][A] [6][M] 9][A]
Hardware PC1 Computador de escritorio marca HP. Utilizado por el [9][A] [9][A] [6][M] [6][M]
propietario de la empresa.
46
UNAD. Dimensiones de Seguridad, op. cit, p.1.
Abril de 2015
108
Proyecto de Grado
PC2 Computador de escritorio marca HP. Utilizado por [8][A] [8][M] [6][M] [6][M]
algunos de los empleados para informar procesos
realizados.
Abril de 2015
109
Proyecto de Grado
[D] Disponibilidad
[C] Confidencialidad de la
informacin
[A] Autenticidad
[T] Trazabilidad
47
Mifsud, Elvira, op. cit, p.1.
48
UNAD. Identificacin de amenazas, op. cit, p.1.
Abril de 2015
110
Proyecto de Grado
Impacto Valoracin
del impacto
Muy bajo 5%
(MB)
49
UNAD. Valoracin de amenazas, op. cit, p.1.
Abril de 2015
111
Proyecto de Grado
Abril de 2015
112
Proyecto de Grado
esenciales internet
Abril de 2015
113
Proyecto de Grado
Para el desarrollo e implementacin de la tcnica de trabajo y diseo de los instrumentos de auditora, se tom como base la
apreciacin de cada uno de los dominios identificados, por lo tanto a partir del modelo de madurez de COBIT se estableci la
clasificacin para conceptuar cada dominio evaluado, y as identificar los riesgos asociados a cada proceso emparejando la
calificacin como:
0 = No se aplica la gestin de
procesos52
1 = Los procesos son ad hoc y
desorganizados53
2 = Los procesos siguen un cierto
patrn54
3 = Los procesos estn documentados
y comunicados55
4 = Los procesos se monitorizan y se
miden56
5 = Los procesos se mejoran y
optimizan57
52
Senn, J. Gestin de riesgo COBIT. [en lnea]. [25 de febrero del 2015]. Disponible en:
http://www.revistadintel.es/Revista1/DocsNum32/SISA/SISA32.pdf
53
Ibd., p. 2.
54
Ibd., p. 2.
55
Ibd., p. 2.
56
Ibd., p. 2.
Abril de 2015
114
Proyecto de Grado
57
Ibd., p. 2.
Abril de 2015
115
Proyecto de Grado
los riesgos?
5 Se realizan
capacitaciones
constantes sobre las
vulnerabilidades,
riesgos y amenazas que
tiene una organizacin?
Revisin de las
polticas para la
seguridad de la
informacin.
1 Se realizan acciones
preventivas y
correctivas?
2 Se realizan revisiones
peridicas de la poltica
de seguridad?
3 Los incidentes de
seguridad se reporta?
4 Se realizan revisiones
peridicas de la poltica
de seguridad?
OBSERVACIONES:
Abril de 2015
116
Proyecto de Grado
Abril de 2015
117
Proyecto de Grado
cada proceso de
seguridad?
7 Se documentan los
procesos de asignacin
y seguridad?
Segregacin de tareas
1 Los activos
informticos se
encuentran definidos
claramente?
2 Se garantizan las
actividades de
seguridad, siguiendo la
poltica de seguridad?
3 Se identifican los
cambios, cuando
existen amenazas?
4 Se evalan y
coordinan los controles
de seguridad?
Seguridad de la
informacin en la
gestin de proyectos
1 La direccin se
compromete con la
seguridad de la
informacin?
2 Autorizacin por la
direccin para la
inversin de recursos,
tiempos y formaciones?
3 Existen los
procedimientos
documentados para
contactar a las
Abril de 2015
118
Proyecto de Grado
autoridades
competentes?
4 Existen los
procedimientos
documentados para
contactar a las
entidades pblicas?
5 Existen los
procedimientos
documentados para
contactar a las
empresas proveedoras
de telecomunicaciones?
A6.2. Dispositivos para
movilidad y
teletrabajo
Poltica de uso de
dispositivos para
movilidad
1 Se tiene definida la
poltica de seguridad
para dispositivos
mviles?
2 Los controles
aseguran la proteccin
de los canales de
comunicacin?
3 Los controles
aseguran la proteccin
contra cdigo
malicioso?
4 Los controles
aseguran la
disponibilidad,
integridad y
Abril de 2015
119
Proyecto de Grado
confidencialidad de la
informacin?
Teletrabajo
1 Se tiene la estructura
clara para la
presentacin de
informes?
2 Se cuenta con unos
procesos especficos
para la gestin de
cambio?
3 La poltica de acceso,
cuenta con los mdulos
permitidos para la
identificacin de
usuario?
4 Se cuenta con los
privilegios de acceso?
OBSERVACIONES:
Abril de 2015
120
Proyecto de Grado
Abril de 2015
121
Proyecto de Grado
1 Se utiliza una
formacin en el uso
correcto de los servicios
de procesamiento de
informacin?
2 Se realizan
capacitaciones sobre
las amenazas, riesgos y
vulnerabilidades?
3 Se establecen los
procesos de formacin
y concientizacin,
diseado para
presentar las polticas
de seguridad de la
organizacin?
OBSERVACIONES:
Abril de 2015
122
Proyecto de Grado
Abril de 2015
123
Proyecto de Grado
clasifican por
niveles?
Uso aceptable de
los activos
1 Se informa a los
empleados el uso de
los activos?
Devolucin de
activos
1 Existe un proceso
de terminacin para
incluir la devolucin
del software?
2 Existe un proceso
de terminacin para
incluir la devolucin
de los documentos?
3 Existe un proceso
de terminacin para
incluir la devolucin
de los equipos
mviles?
4 Existe un proceso
de terminacin para
incluir la devolucin
de los equipos de
cmputo?
5 Existe un
procedimiento que
garantice la
transferencia de
informacin al
finalizar su
contratacin?
A8.2. Clasificacin de la
informacin
Abril de 2015
124
Proyecto de Grado
Directrices de
clasificacin
1 Se tienen las
directrices sobre
cmo se clasifican los
activos informticos?
2 Existe la
clasificacin de
seguridad por
niveles?
Etiquetado y
manipulado de la
informacin
1 Se capacita sobre
cmo se debe enviar,
y manipular las bases
de informacin
confidencial?
2 Existe una marca
para identificar las
fuentes de
informacin?
Manipulacin de
activos
1 Los activos
informticos poseen
una documentacin
adecuada?
2 Existen manuales
de configuracin de
los activos
informticos?
Abril de 2015
125
Proyecto de Grado
Abril de 2015
126
Proyecto de Grado
1 Se establecen los
repositorios donde se
registran los usuarios
que ingresan al sistema
operativo?
2 Se establecen los
contadores para
identificar cuantas
sesiones estn abiertas
por usuario?
3 Se verifica el nivel de
acceso otorgado a cada
usuario peridicamente?
4 Se verifica que el
usuario tenga
autorizacin del dueo
del sistema para el uso
de la informacin?
Gestin de los
derechos de acceso
con privilegios
especiales
1 Se establece para
cada tipo de activo los
privilegios otorgados de
acuerdo a la evaluacin
de riesgos asociada?
2 Se promueve el
desarrollo de rutinas del
sistema para evitar la
necesidad de otorgar
privilegios innecesarios?
A9.3. Responsabilidades de
usuario
Uso de informacin
confidencial para la
Abril de 2015
127
Proyecto de Grado
autenticacin
1 Est definida la
polticas de seguridad
para usuarios de los
equipos?
2 Las contraseas
predeterminadas por el
proveedor se cambian
inmediatamente
despus de la
instalacin de los
sistemas o del software?
3 Las contraseas
temporales se
suministran de forma
segura a los usuarios?
A9.4. Control de acceso a
sistemas operativo y
aplicaciones
Restriccin del acceso
a la informacin
1 El control de acceso se
realiza de acuerdo a la
poltica del control de
accesos?
2 Se controla los
derechos de acceso de
otras aplicaciones?
3 Se garantiza que los
datos de salida de los
sistemas de aplicacin
que manejan
informacin sensible
solo contienen la
informacin pertinente
Abril de 2015
128
Proyecto de Grado
Procedimientos
seguros de inicio de
sesin
1 Se establece la poltica
de autenticacin a los
equipos, con
contraseas personales
y perfiles definidos?
2 Se valida la
informacin de registro
con la base de datos
para el acceso?
3 Los controles de
acceso se aplican al
personal de soporte
tcnico?
4 Los controles de
acceso se aplican a los
operadores?
5 Los controles de
acceso se aplican a los
administradores de red?
6 Los controles de
acceso se aplican a los
programadores de
sistemas?
7 Los controles de
acceso se aplican a los
administradores de
bases de datos?
Abril de 2015
129
Proyecto de Grado
Uso de herramientas
de administracin de
sistemas
1 Se regula la instalacin
de software en los
equipos personales?
2 Se lleva un registro de
todo uso de las
utilidades del sistema?
3 Se utilizan
procedimientos de
identificacin,
autenticacin y
autorizacin para las
utilidades del sistema?
OBSERVACIONES:
Abril de 2015
130
Proyecto de Grado
Abril de 2015
131
Proyecto de Grado
2 Se controla los
derechos de acceso
a los usuarios por
medio de claves
criptogrficas
cuando es
informacin
confidencial?
3 Se asigna los
derechos de acceso
a los usuarios por
medio de claves
criptogrficas
cuando es
informacin
confidencial?
OBSERVACIONES:
Abril de 2015
132
Proyecto de Grado
Abril de 2015
133
Proyecto de Grado
de acceso y del
SGSI?
2 Se establece el
reglamento sobre
las actividades y
procesos
informticos?
3 Se establece las
normas sobre las
actividades y
procesos
informticos?
Proteccin contra
las amenazas
externas y
ambientales
1 Definir un plan de
respuesta para cada
tipo de efecto que
pudiera causar
amenaza externa?
2 Se suministran
equipos apropiados
contra las amenazas
ambientales y son
ubicados
adecuadamente?
A11.2. Seguridad de los
equipos
Emplazamiento y
proteccin de
equipos
1 Monitorear el uso
de equipos
personales a travs
Abril de 2015
134
Proyecto de Grado
de la poltica de uso
de equipos
personales?
2 Los equipos estn
distribuidos de tal
forma que no pueda
acceder cualquier
usuario?
3 Los elementos que
requieren proteccin
especial estn
aislados?
Instalaciones de
suministro
1 Se establece el
plan de continuidad
para este tipo de
riesgos?
2 Se instalan las
UPS para
suministrar energa
a los equipos de
cmputo?
3 Las UPS y plantas
de energa son
revisadas con
frecuencia?
Seguridad del
cableado
1 El cableado se
encuentre
canalizado por
conductos
especficos del suelo
tcnico instalado en
las oficinas?
Abril de 2015
135
Proyecto de Grado
2 Existe un control
de acceso en los
cuartos de cableado
que soportan los
sistemas crticos?
3 Tienen rtulos de
equipos y de cables
claramente
identificables para
minimizar los errores
en el manejo?
Mantenimiento de
los equipos
1 Se realiza el
mantenimiento
acorde a los
procesos de gestin
de activos?
2 La informacin
confidencial es
retirada
peridicamente de
los equipos de
cmputo?
3 El personal de
mantenimiento es
suficientemente
confiable?
4 Se lleva un registro
de todas las fallas
reales y
sospechosas?
OBSERVACIONES:
Abril de 2015
136
Proyecto de Grado
Abril de 2015
137
Proyecto de Grado
autorizados por el
desarrollador del
software?
A12.2. Copias de
seguridad
Copias de
seguridad de la
informacin
1 Se realizan copias
de seguridad de
manera peridica
sobre la informacin
registrada en las
oficinas Backup?
2 Las copias de
seguridad se
almacenan en un sitio
seguro?
3 Se puede consultar
de las copias de
seguridad los
archivos y la
informacin est
completa?
A12.4. Registro de
actividad y
supervisin
Registro y gestin
de eventos de
actividad
1 Se monitorea los
cambios de
configuracin del
sistema?
2 Supervisar los
controles definidos al
Abril de 2015
138
Proyecto de Grado
uso de equipos
personales?
Registros de
actividad del
administrador y
operador del
sistema
1 Se monitorea el
ingreso de usuarios a
las diferentes
aplicaciones?
2 Se registran las
alertas o fallas del
sistema, como
mensajes de
consola?
A12.6. Gestin de las
vulnerabilidades
tcnicas
Gestin de las
vulnerabilidades
tcnicas
1 Se establece el
cuadro de control que
evidencie los riesgos
asociados a la
organizacin?
Restricciones en la
instalacin de
sistema operativo
(S.O.)
1 Se tiene instalado
un corta fuego en el
sistema operativo?
2 Se asignan
privilegios a los
Abril de 2015
139
Proyecto de Grado
usuarios conforme a
su perfil o cargo?
A12.7. Consideraciones de
las auditoras de los
sistemas de
informacin
Controles de
auditora de los
sistemas de
informacin
1 Se realiza
mensualmente y
trimestralmente una
auditora interna por
los procesos de
seguridad que se han
implementado en la
organizacin?
OBSERVACIONES:
Abril de 2015
140
Proyecto de Grado
Abril de 2015
141
Proyecto de Grado
2 Se documenta
donde se establecen
las polticas de
confidencialidad?
3 Se monitorea el
cumplimiento de los
acuerdos?
OBSERVACIONES:
Abril de 2015
142
Proyecto de Grado
Abril de 2015
143
Proyecto de Grado
1 Se realizan
pruebas a los
activos informticos,
estableciendo las
mejores alternativas
para mitigar los
riesgos?
2 Se realizan
pruebas a las bases
de datos,
estableciendo la
informacin
confidencial y la no
confidencial?
OBSERVACIONES:
Abril de 2015
144
Proyecto de Grado
Abril de 2015
145
Proyecto de Grado
Abril de 2015
146
Proyecto de Grado
proteccin de los
servicios y
procesos de
informacin?
Verificacin,
revisin y
evaluacin de la
continuidad de la
seguridad de la
informacin
1 Se define los
planes de
continuidad del
negocio de
acuerdo al orden
de prioridades?
2 Se implementa
los planes de
continuidad del
negocio de
acuerdo al orden
de prioridades?
OBSERVACIONES:
Abril de 2015
147
Proyecto de Grado
Abril de 2015
148
Proyecto de Grado
inventario de
software para
garantizar la
idoneidad de su
uso?
3 Se dictan polticas
de cumplimiento?
Proteccin de los
registros de la
organizacin
1 Se mantienen
disponibles los
documentos del
Sistema de gestin
de la seguridad
informtica - SGSI?
2 Los documentos
se mantienen
editables para los
usuarios
autorizados?
3 Se clasifica la
informacin en
funcin de su
importancia?
4 Se establecen
copias de
seguridad de la
informacin
relevante?
5 Se protege la
informacin fsica
sensible?
Proteccin de
datos y
privacidad de la
Abril de 2015
149
Proyecto de Grado
informacin
personal
1 Se establece el
documento de
seguridad de
conformidad con la
legislacin de
proteccin de datos
personales?
A18.2. Revisiones de la
seguridad de la
informacin
Cumplimiento de
las polticas y
normas de
seguridad
1 Se dicta y
acuerda la poltica
del sistema de
gestin de la
seguridad
informtica - SGSI?
OBSERVACIONES:
Abril de 2015
150
Proyecto de Grado
En la investigacin que se realiz, se puede determinar que un 80% de las personas son poco conocedores de los sistemas
informticos, de las consecuencias generadas del mal uso de estos y del impacto que genera en la empresa la alteracin o
prdida de informacin relevante.
Se desconoce las normativas de derechos de autor y propiedad intelectual, en cuanto al software utilizado para el manejo de
la informacin en los equipos de cmputo.
Se desestima casi en un 100% del personal, la importancia de mantener buenas prcticas en el manejo de los equipos y de la
informacin all almacenada, adems de tener reglas claras y polticas establecidas para la manipulacin de la misma
informacin, por ende se estableci la siguiente tabla de vulnerabilidades, amenas y riesgos de la empresa.
Abril de 2015
151
Proyecto de Grado
Software
V4 Software no licenciado Virus informticos, malware, utilizacin de Mal funcionamiento de los sistemas,
exploit. destruccin de sistemas operativos,
aplicativos e informacin.
V5 Software con problemas de Ataques de Inyeccin SQL, informacin Modificacin de informacin, robo de datos
desarrollo inconsistente de los usuarios del sistema, bases de
datos a merced del atacante.
V6 Sistemas sin restricciones instalacin de programas keylogger Sustraccin de informacin de la empresa
de acceso o datos personales.
V7 Algunos equipos no tiene el Utilizacin de exploit Intrusin no autorizada en los equipos,
sistema operativo modificacin, borrado o robo de
actualizado informacin, ataques de DOS, consecucin
de privilegios.
V8 Falta de control a las Utilizacin de exploit, propagacin de Robo alteracin y destruccin de datos,
actualizaciones del cdigo malicioso mal funcionamiento de los equipos y
proveedor servicios.
Seguridad fsica
V9 Instalaciones fsicas sin Intrusin de delincuencia comn, saboteo Robo de equipos de cmputo,
medidas de seguridad al interior telecomunicaciones, papelera, archivos,
elementos de almacenamiento de
informacin, dao a la informacin y a los
equipos que la contienen.
V10 Instalaciones con Ataques deliberados a los equipos e Inundaciones, incendios, terremotos,
deficiencias en planes de instalaciones, desastres naturales. tormentas, destruccin parcial o total de
contingencia ante equipos y datos.
desastres naturales o
provocados.
V11 Control de acceso fsico a Manipulacin de informacin si control de Robo, destruccin, modificacin o borrado
las oficinas no existente acceso, ataques intencionados a los de informacin, destruccin fsica de
Abril de 2015
152
Proyecto de Grado
Abril de 2015
153
Proyecto de Grado
informtica usuarios.
V20 Falta de conciencia en los Abuso de permisos, divulgacin de Sustraccin de informacin sensible de la
funcionarios para el uso de contraseas, instalacin de software y compaa y los usuarios, dao en
las tecnologas complementos no autorizados. aplicativos, bases de datos y repositorios.
V21 Soportes tcnicos con Dejar pasar instalaciones crticas en los Sustraccin de datos personales y su
deficiencias en equipos, como: Antivirus, Parches de posterior uso en actividades delictivas, mal
capacitacin y experiencia seguridad o configuraciones seguras que funcionamiento de los equipos, robo de
causaran propagacin de cdigo malicioso informacin, o destruccin premeditada de
o ingeniera social. la misma.
Abril de 2015
154
Proyecto de Grado
5
4
3
2
1
0
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Abril de 2015
155
Proyecto de Grado
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
Calificacin del proceso
Calificacin del proceso
Abril de 2015
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Requerimientos de
Se tiene
Identificar la
Gestin de acceso de
Se establecen los
Se verifica el nivel de
Gestin de los derechos
Se promueve el
Uso de informacin
ACCESO
Las contraseas
Preguntas
Preguntas
Control de acceso a
Proyecto de Grado
El control de acceso se
Se garantiza que los
Ilustracin 14 Cifrado Guille Sport Se establece la poltica
Los controles de
Ilustracin 13 Control de acceso Guille Sport
Los controles de
Se regula la instalacin
Se utilizan
156
157
Proyecto de Grado
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
158
Proyecto de Grado
Preguntas
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
159
Proyecto de Grado
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Gestin de Aprendizaje de Se establecen Se evalan los
incidentes de los incidentes de procesos de incidentes de
seguridad de la seguridad de la resolucin de seguridad?
informacin y informacin incidentes de
mejoras seguridad de la
informacin?
Preguntas
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
Calificacin del proceso
Abril de 2015
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Cumplimiento de los
Identificacin de la
Se identifica la
Derechos de propiedad
Se identifica la
Se hace un inventario
Se dictan polticas de
Proteccin de los
Se mantienen
Los documentos se
Preguntas
Proyecto de Grado
Se clasifica la
Se establecen copias
Se protege la
Proteccin de datos y
Ilustracin 21 Cumplimiento Guille Sport
Se establece el
Revisiones de la
EVALUACIN QUE PERMITE EVALUAR EL CUMPLIMIENTO
Cumplimiento de las
Se dicta y acuerda la
160
161
Proyecto de Grado
En la investigacin realizada, se puede visualizar y evidenciar casi en un 100% la falta de conocimiento del personal en temas
relacionados con la seguridad de la informacin, la infraestructura utilizada para la manipulacin de la misma y el compromiso
con sus empresas para mantener la integridad, disponibilidad y confidencialidad de esta.
De igual manera se nota la inexistencia de alguna poltica de seguridad de la informacin, procedimientos que permitan tener
control adecuado de los procesos que tienen correlacin con los datos y los elementos que con estos interactan.
De este mismo modo casi el 100% de la poblacin de estas empresas considera un costo alto e innecesario, la inversin en
proyectos enmarcados en la seguridad de la informacin, por ende se estableci la siguiente tabla de vulnerabilidades,
amenas y riesgos de la empresa.
Abril de 2015
162
Proyecto de Grado
Software
V4 Software con problemas de Ataques de Inyeccin SQL, informacin Modificacin de informacin, robo de datos
desarrollo inconsistente de los usuarios del sistema, bases de
datos a merced del atacante.
V5 Sistemas sin restricciones instalacin de programas keylogger Sustraccin de informacin de la empresa
de acceso o datos personales.
V6 Falta de control a las Utilizacin de exploit, propagacin de Robo alteracin y destruccin de datos,
actualizaciones del cdigo malicioso mal funcionamiento de los equipos y
proveedor servicios.
Seguridad fsica
V7 Instalaciones fsicas con Intrusin de delincuencia comn, saboteo Robo de equipos de cmputo,
medidas de seguridad al interior telecomunicaciones, papelera, archivos,
deficientes. elementos de almacenamiento de
informacin, dao a la informacin y a los
equipos que la contienen.
V8 Instalaciones con Ataques deliberados a los equipos e Inundaciones, incendios, terremotos,
deficiencias en planes de instalaciones, desastres naturales. tormentas, destruccin parcial o total de
contingencia ante equipos y datos.
desastres naturales o
provocados.
V9 Control de acceso fsico a Manipulacin de informacin si control de Robo, destruccin, modificacin o borrado
las oficinas no existente acceso, ataques intencionados a los de informacin, destruccin fsica de
equipos, desastres provocados. equipos, incendios.
V10 Instalaciones fsicas con Destruccin de los equipos, degradacin o Perdida de informacin, equipos o partes
control ambiental inutilizacin de los mismos. asociadas a su gestin.
inapropiado
Abril de 2015
163
Proyecto de Grado
Seguridad lgica
V11 Control en el recambio y Entrega de medios obsoletos o daados a Sustraccin de informacin sensible de la
destruccin de medios de terceros sin la adecuada destruccin o compaa a travs de personas externas.
almacenamiento proceso de borrado de informacin.
V12 Control de acceso Suplantacin de contenido Robo de datos, alteracin o destruccin de
deficiente o faltante los mismos, suplantacin de identidad de
usuarios.
Redes de comunicaciones
V13 Vulnerabilidades de los Inyeccin de cdigo SSI, ataques con Alteracin en el funcionamiento del cdigo,
navegadores utilizados cdigo XSS programas y sitios, apropiacin de
informacin sin autorizacin.
V14 Uso de aplicaciones poco Inyeccin SQL Robo de informacin de bases de datos.
confiables para compartir
archivos o para asistencia
remota
Personal
V15 Falta de una poltica de Ataques no intencionados, ingeniera Borrado, o eliminacin de archivos,
seguridad clara social, phishing. destruccin del S.O, robo de informacin
personal.
V16 Personal inconforme en la Ataques insiders Alteracin de archivos, registros, robo o
compaa destruccin de informacin, robo o
destruccin de equipos de cmputo, fuga
de informacin.
V17 Usuarios con pocos Ataques con ingeniera social Robo de datos, alteracin o destruccin de
conocimientos en los mismos, suplantacin de identidad de
informtica usuarios.
Abril de 2015
164
Proyecto de Grado
V18 Falta de conciencia en los Abuso de permisos, divulgacin de Sustraccin de informacin sensible de la
funcionarios para el uso de contraseas, instalacin de software y compaa y los usuarios, dao en
las tecnologas complementos no autorizados. aplicativos, bases de datos y repositorios.
V19 Soportes tcnicos con Dejar pasar instalaciones crticas en los Sustraccin de datos personales y su
deficiencias en equipos, como: Antivirus, Parches de posterior uso en actividades delictivas, mal
capacitacin y experiencia seguridad o configuraciones seguras que funcionamiento de los equipos, robo de
causaran propagacin de cdigo malicioso informacin, o destruccin premeditada de
o ingeniera social. la misma.
Abril de 2015
165
Proyecto de Grado
5
4
3
2
1
0
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
166
Proyecto de Grado
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
Calificacin del proceso
Calificacin del proceso
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Abril de 2015
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Requerimientos de
Se tiene implementado
Identificar la
Gestin de acceso de
Se establecen los
Se verifica el nivel de
Gestin de los derechos
Se promueve el
Uso de informacin
Las contraseas
Preguntas
Preguntas
Control de acceso a
Proyecto de Grado
El control de acceso se
Se garantiza que los
Se regula la instalacin
Se utilizan
167
168
Proyecto de Grado
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
169
Proyecto de Grado
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
170
Proyecto de Grado
5
4
3
2
1
0
Preguntas
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
Preguntas
Abril de 2015
Calificacin del proceso
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Abril de 2015
Cumplimiento de los
Identificacin de la
Se identifica la
Derechos de
Se identifica la
Se hace un
Se dictan polticas
Proteccin de los
Se mantienen
Los documentos se
Preguntas
Proyecto de Grado
Se clasifica la
Se establecen
Se protege la
Proteccin de datos
Ilustracin 34 Cumplimiento Color Shop
Se establece el
Revisiones de la
EVALUACIN QUE PERMITE EVALUAR EL CUMPLIMIENTO
Cumplimiento de las
Se dicta y acuerda
171
172
Proyecto de Grado
10.3. Investigacin de la informacin recolectada
Impacto Valoracin
del impacto
Catastrfico 100%
Moderado 65%
Leve 30%
58
UNIDISTRITAL. Gestin de riesgos. . [en lnea]. [25 de febrero del 2015]. Disponible en:
http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5GestionRiesgo.pdf
Abril de 2015
173
Proyecto de Grado
Nmero de veces
Variables Riesgos potenciales o peor escenario
que ocurre
Hardware
Control a dispositivos de
Mal funcionamiento de los sistemas, destruccin de sistemas
R1 almacenamiento 1 vez cada 2 meses
operativos, aplicativos e informacin.
externos
Manipulacin de los
Alteracin de archivos, registros, robo o destruccin de informacin,
R2 equipos sin control 1 vez al da
robo o destruccin de equipos de cmputo, fuga de informacin.
alguno
Falta de equipos UPS's Perdida de informacin, daos en los equipos, perdida de tiempos en
R3 1 vez al ao
para contingencias los procesos y actividades del negocio.
Software
Mal funcionamiento de los sistemas, destruccin de sistemas
R4 Software no licenciado 1 vez al ao
operativos, aplicativos e informacin.
Software con problemas Modificacin de informacin, robo de datos de los usuarios del
R5 1 vez cada 2 meses
de desarrollo sistema, bases de datos a merced del atacante.
Sistemas sin
R6 1 vez cada semana Sustraccin de informacin de la empresa o datos personales.
restricciones de acceso
Algunos equipos no tiene
Intrusin no autorizada en los equipos, modificacin, borrado o robo
R7 el sistema operativo 1 vez cada 6 meses
de informacin, ataques de DOS, consecucin de privilegios.
actualizado
Falta de control a las
Robo alteracin y destruccin de datos, mal funcionamiento de los
R8 actualizaciones del 1 vez cada 6 meses
equipos y servicios.
proveedor
Abril de 2015
174
Proyecto de Grado
Seguridad fsica
Robo de equipos de cmputo, telecomunicaciones, papelera,
Instalaciones fsicas sin
R9 1 vez al ao archivos, elementos de almacenamiento de informacin, dao a la
medidas de seguridad
informacin y a los equipos que la contienen.
Instalaciones con
deficiencias en planes de
Inundaciones, incendios, terremotos, tormentas, destruccin parcial o
R10 contingencia ante 1 vez cada 6 meses
total de equipos y datos.
desastres naturales o
provocados.
Control de acceso fsico
Robo, destruccin, modificacin o borrado de informacin, destruccin
R11 a las oficinas no 1 vez al da
fsica de equipos, incendios.
existente
Instalaciones fsicas con
R12 control ambiental 1 vez cada semana Perdida de informacin, equipos o partes asociadas a su gestin.
inapropiado
Seguridad lgica
Control en el recambio y
Sustraccin de informacin sensible de la compaa a travs de
R13 destruccin de medios 1 vez cada 6 meses
personas externas.
de almacenamiento
Control de acceso Robo de datos, alteracin o destruccin de los mismos, suplantacin
R14 1 vez cada semana
deficiente o faltante de identidad de usuarios.
Redes de comunicaciones
Vulnerabilidades de los Alteracin en el funcionamiento del cdigo, programas y sitios,
R15 1 vez al ao
navegadores utilizados apropiacin de informacin sin autorizacin.
Uso de aplicaciones
poco confiables para
R16 1 vez cada 2 meses Robo de informacin de bases de datos.
compartir archivos o
para asistencia remota
Personal
Abril de 2015
175
Proyecto de Grado
Falta de una poltica de Borrado, o eliminacin de archivos, destruccin del S.O, robo de
R17 1 vez al da
seguridad clara informacin personal.
Personal inconforme en Alteracin de archivos, registros, robo o destruccin de informacin,
R18 1 vez cada 6 meses
la compaa robo o destruccin de equipos de cmputo, fuga de informacin.
Usuarios con pocos
Robo de datos, alteracin o destruccin de los mismos, suplantacin
R19 conocimientos en 1 vez cada semana
de identidad de usuarios.
informtica
Falta de conciencia en
Sustraccin de informacin sensible de la compaa y los usuarios,
R20 los funcionarios para el 1 vez cada 2 meses
dao en aplicativos, bases de datos y repositorios.
uso de las tecnologas
Soportes tcnicos con
Sustraccin de datos personales y su posterior uso en actividades
deficiencias en
R21 1 vez cada 2 meses delictivas, mal funcionamiento de los equipos, robo de informacin, o
capacitacin y
destruccin premeditada de la misma.
experiencia
59
Fuente: Tomado de UNAD. Valoracin de amenazas, op. cit, p.1.
Abril de 2015
176
Proyecto de Grado
alguno
R3 Falta de equipos UPS's para 5 65%
contingencias
Software
R4 Software no licenciado 5 100%
R5 Software con problemas de desarrollo 50 100%
R6 Sistemas sin restricciones de acceso 70 100%
R7 Algunos equipos no tiene el sistema 10 30%
operativo actualizado
R8 Falta de control a las actualizaciones 10 30%
del proveedor
Seguridad fsica
R9 Instalaciones fsicas sin medidas de 5 100%
seguridad
R10 Instalaciones con deficiencias en 10 65%
planes de contingencia ante desastres
naturales o provocados.
R11 Control de acceso fsico a las oficinas 100 30%
no existente
R12 Instalaciones fsicas con control 70 65%
ambiental inapropiado
Seguridad lgica
R13 Control en el recambio y destruccin 10 65%
de medios de almacenamiento
R14 Control de acceso deficiente o faltante 70 30%
Redes de comunicaciones
R15 Vulnerabilidades de los navegadores 5 65%
utilizados
R16 Uso de aplicaciones poco confiables 50 30%
Abril de 2015
177
Proyecto de Grado
60
Fuente: Tomado de UNAD. Mdulo riesgos y control informtico. [en lnea]. [25 de febrero del 2015]. Disponible en:
http://datateca.unad.edu.co/contenidos/233004/Modulo_Riesgos_y_Control_Informatico_V5_2012_DEFINITIVO_.pdf
Abril de 2015
178
Proyecto de Grado
Abril de 2015
179
Proyecto de Grado
Abril de 2015
180
Proyecto de Grado
provocados.
R9 Control de acceso fsico 1 vez cada 2 meses Robo, destruccin, modificacin o borrado de informacin, destruccin
a las oficinas no fsica de equipos, incendios.
existente
R10 Instalaciones fsicas con 1 vez al ao Perdida de informacin, equipos o partes asociadas a su gestin.
control ambiental
inapropiado
Seguridad lgica
R11 Control en el recambio y 1 vez al ao Sustraccin de informacin sensible de la compaa a travs de
destruccin de medios personas externas.
de almacenamiento
R12 Control de acceso 1 vez al da Robo de datos, alteracin o destruccin de los mismos, suplantacin
deficiente o faltante de identidad de usuarios.
Redes de comunicaciones
R13 Vulnerabilidades de los 1 vez cada 6 meses Alteracin en el funcionamiento del cdigo, programas y sitios,
navegadores utilizados apropiacin de informacin sin autorizacin.
R14 Uso de aplicaciones 1 vez cada semana Robo de informacin de bases de datos.
poco confiables para
compartir archivos o
para asistencia remota
Personal
R15 Falta de una poltica de 1 vez cada semana Borrado, o eliminacin de archivos, destruccin del S.O, robo de
seguridad clara informacin personal.
R16 Personal inconforme en 1 vez al ao Alteracin de archivos, registros, robo o destruccin de informacin,
la compaa robo o destruccin de equipos de cmputo, fuga de informacin.
R17 Usuarios con pocos 1 vez cada 2 meses Robo de datos, alteracin o destruccin de los mismos, suplantacin
conocimientos en de identidad de usuarios.
informtica
R18 Falta de conciencia en 1 vez al da Sustraccin de informacin sensible de la compaa y los usuarios,
Abril de 2015
181
Proyecto de Grado
Probabilidad Impacto
Riesgos / Valoracin Muy Muy
Alto Medio Bajo
Alto bajo Leve Moderado Catastrfico
(A) (M) (B)
(MA) (MB)
HARDWARE
R1 Control a dispositivos de almacenamiento externos 10 30%
R2 Manipulacin de los equipos sin control alguno 100 100%
R3 Falta de equipos UPS's para contingencias 10 65%
SOFTWARE
R4 Software con problemas de desarrollo 70 65%
R5 Sistemas sin restricciones de acceso 50 100%
R6 Falta de control a las actualizaciones del proveedor 5 30%
SEGURIDAD FSICA
Instalaciones fsicas con medidas de seguridad
R7 70 65%
deficientes.
Instalaciones con deficiencias en planes de
R8 70 100%
contingencia ante desastres naturales o
61
Fuente: Tomado de UNAD. Valoracin de amenazas, op. cit, p.1.
Abril de 2015
182
Proyecto de Grado
provocados.
R9 Control de acceso fsico a las oficinas no existente 50 30%
Instalaciones fsicas con control ambiental
R10 5 65%
inapropiado
SEGURIDAD LGICA
Control en el recambio y destruccin de medios de
R11 5 65%
almacenamiento
R12 Control de acceso deficiente o faltante 100 100%
REDES DE COMUNICACIONES
R13 Vulnerabilidades de los navegadores utilizados 10 100%
Uso de aplicaciones poco confiables para compartir
R14 70 30%
archivos o para asistencia remota
PERSONAL
R15 Falta de una poltica de seguridad clara 70 100%
R16 Personal inconforme en la compaa 5 30%
R17 Usuarios con pocos conocimientos en informtica 50 65%
Falta de conciencia en los funcionarios para el uso
R18 100 65%
de las tecnologas
Soportes tcnicos con deficiencias en capacitacin
R19 100 30%
y experiencia
Abril de 2015
183
Proyecto de Grado
Abril de 2015
184
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 1
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
185
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 2
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
186
Proyecto de Grado
Abril de 2015
187
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 3
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
OBSERVACIONES:
Abril de 2015
188
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 4
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
189
Proyecto de Grado
OBSERVACIONES:
Cdigo: SGSI-
P-02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 5
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
190
Proyecto de Grado
normas actuales?
3 Identificar la informacin relacionada con las
aplicaciones?
4 Identificar los riesgos asociados a la
informacin?
A9.2. Gestin de acceso de usuario
Gestin de altas/bajas en el registro de
usuarios
1 Se establecen los repositorios donde se
registran los usuarios que ingresan al sistema
operativo?
2 Se establecen los contadores para identificar
cuantas sesiones estn abiertas por usuario?
3 Se verifica el nivel de acceso otorgado a cada
usuario peridicamente?
4 Se verifica que el usuario tenga autorizacin del
dueo del sistema para el uso de la informacin?
Gestin de los derechos de acceso con
privilegios especiales
1 Se establece para cada tipo de activo los
privilegios otorgados de acuerdo a la evaluacin
de riesgos asociada?
2 Se promueve el desarrollo de rutinas del sistema
para evitar la necesidad de otorgar privilegios
innecesarios?
A9.3. Responsabilidades de usuario
Uso de informacin confidencial para la
autenticacin
1 Est definida la poltica de seguridad para
usuarios de los equipos?
2 Las contraseas predeterminadas por el
proveedor se cambian inmediatamente despus
de la instalacin de los sistemas o del software?
3 Las contraseas temporales se suministran de
forma segura a los usuarios?
A9.4. Control de acceso a sistemas operativo y
aplicaciones
Restriccin del acceso a la informacin
1 El control de acceso se realiza de acuerdo a la
poltica del control de accesos?
2 Se controla los derechos de acceso de otras
aplicaciones?
3 Se garantiza que los datos de salida de los
sistemas de aplicacin que manejan informacin
sensible solo contienen la informacin pertinente
para el uso de la salida y que se enva
nicamente a terminales o sitios autorizados?
Abril de 2015
191
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 6
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
192
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 7
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
193
Proyecto de Grado
Abril de 2015
194
Proyecto de Grado
errores en el manejo?
Mantenimiento de los equipos
1 Se realiza el mantenimiento acorde a los
procesos de gestin de activos?
2 La informacin confidencial es retirada
peridicamente de los equipos de cmputo?
3 El personal de mantenimiento es
suficientemente confiable?
4 Se lleva un registro de todas las fallas reales
y sospechosas?
OBSERVACIONES:
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 8
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
195
Proyecto de Grado
Abril de 2015
196
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 9
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
197
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 10
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
198
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 11
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
199
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 12
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
200
Proyecto de Grado
Cdigo: SGSI-P-
02-F-02
FORMATO
CUESTIONARIO DE CONTROL Versin: 01
ANEXO 13
Fecha
elaboracin:
02/03/2015
Vigente desde:
02/03/2015
No PARMETRO SI NO N/A
Abril de 2015
201
Proyecto de Grado
datos personales?
A18.2. Revisiones de la seguridad de la
informacin
Cumplimiento de las polticas y normas de
seguridad
1 Se dicta y acuerda la poltica del sistema de
gestin de la seguridad informtica - SGSI?
OBSERVACIONES:
Abril de 2015
202
Proyecto de Grado
A partir del cuestionario de control y/o lista de chequeo en cada una de las
empresas se identific los siguientes resultados por empresa:
SI
NO
N/A
Preguntas
SI
Organizacin
Documentar
Se tiene
Definir las
Se asignan
Se identifican
Autorizacin
Existen los
Se cuenta con
Se cuenta con
Dispositivos
Los controles
Se
Los activos
NO
Teletrabajo
N/A
Preguntas
Abril de 2015
203
Proyecto de Grado
SI
NO
N/A
Preguntas
SI
NO
N/A
Preguntas
Abril de 2015
Requerimientos de
Abril de 2015
Se tiene
Identificar la
Gestin de acceso
Se establecen los
Se verifica el nivel
Gestin de los
Se promueve el
Uso de informacin
Las contraseas
Preguntas Control de acceso a
El control de
Preguntas
Se garantiza que
Proyecto de Grado
Se establece la
CONTROL DE ACCESO
CONTROL DE CIFRADO
Los controles de
Los controles de
Ilustracin 40 Cifrado Guille Sport
Los controles de
Se regula la
Ilustracin 39 Control de accesos Guille Sport
Se utilizan
SI
SI
NO
N/A
NO
N/A
204
205
Proyecto de Grado
SI
NO
N/A
Preguntas
SI
NO
N/A
Preguntas
Abril de 2015
206
Proyecto de Grado
SI
NO
N/A
Preguntas
SI
NO
N/A
Preguntas
Abril de 2015
207
Proyecto de Grado
SI
NO
N/A
Preguntas
SI
NO
N/A
Preguntas
Abril de 2015
Cumplimiento de los
Abril de 2015
Identificacin de la
Se identifica la
Derechos de
Se identifica la
Se hace un
Se dictan polticas
Proteccin de los
Se mantienen
Los documentos se
Pruebas
Se clasifica la
Se establecen
Se protege la
Proyecto de Grado
Proteccin de datos
Se establece el
CONTROL PARA EL CUMPLIMIENTO
Revisiones de la
Ilustracin 47 Cumplimiento Guille Sport
Cumplimiento de las
Se dicta y acuerda
SI
NO
N/A
208
209
Proyecto de Grado
A travs de las auditorias, visita preliminar y listas de chequeo se encontraron los siguientes hallazgos, con sus respectivas
causas, recursos afectados y los controles por cada uno para determinar las posibles soluciones en prospectiva.
Recursos
Ref. Dominio/proceso Hallazgo Causas Controles propuestos
afectados
5. POLTICA DE SEGURIDAD
5.1. Poltica de Seguridad de la Informacin
Establecer las polticas
de seguridad de la
Conjunto de polticas informacin para la
No hay definida una El desconocimiento de
5.1.1 para la seguridad de La informacin, el compaa
la informacin poltica de seguridad de la estndares y modelos de
buen nombre de la Realizar revisiones
informacin, ni objetivos ni seguridad de la informacin,
empresa, los peridicas de la poltica
alcance de seguridad, por la visin de poca necesidad
equipos y de seguridad
ende no hay de proteger la informacin, la
procesos, y Establecer objetivos, y
documentacin ni abnegacin a la inversin en
Revisin de las finalmente la alcance de la poltica de
procedimientos para ser temas diferentes a la razn
polticas para la compaa. seguridad
5.1.2 revisados. social.
seguridad de la Hacerla de estricto
informacin cumplimiento para todos
los colaboradores
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN
6.1. Organizacin Interna
Se carece de Exceso de confianza en el Documentar y definir los
Asignacin de procedimientos personal, desconocimiento de La informacin, procesos de asignacin
responsabilidades (documentos) para las los riesgos y amenazas como activo ms y seguridad
6.1.1
para la seguridad de actividades relacionadas latentes al interior o exterior valioso, personal, Asignar las
la informacin con el manejo de la de la compaa. Organizacin equipos, procesos. responsabilidades a
informacin. Nadie tiene por procesos y cada proceso de
Abril de 2015
210
Proyecto de Grado
Abril de 2015
211
Proyecto de Grado
Abril de 2015
212
Proyecto de Grado
Abril de 2015
213
Proyecto de Grado
Abril de 2015
214
Proyecto de Grado
personales.
Llevar un registro de
todo uso de las
utilidades del sistema
Usar procedimientos de
identificacin,
autenticacin y
autorizacin para las
utilidades del sistema
10. CIFRADO
10.1 Controles criptogrficos
Establecer la poltica de
Poltica de uso de los cifrado para las claves
10.1.1 controles pblicas y privadas en el
criptogrficos No se cifra o utiliza ningn Inters bajo por parte de los manejo de informacin
tipo de procedimiento para propietarios por tener una La informacin, los confidencial.
cifrar datos o para poltica que permita mantener equipos de Controlar y asignar los
gestionar claves de ningn los activos de informacin lo cmputo- derechos de acceso a
tipo. ms seguros posible. los usuarios por medio
10.1.2 Gestin de claves
de claves criptogrficas
cuando es informacin
confidencial.
11. SEGURIDAD FSICA Y DEL ENTORNO
11.1. reas seguras
Hay libre acceso y trnsito Definicin de controles
Equipos,
por las oficinas donde se fsicos, tcnicos y
Exceso de confianza en el informacin
encuentran los equipos de organizacionales para
Controles fsicos de personal, falta de importante de la
11.1.2 cmputo, no se controla el cada activo.
entrada compromiso con la seguridad empresa,
acceso a estas, no se Dictar la poltica de
de los activos. dispositivos
define una distribucin de control de accesos
externos.
los activos o se adecuan conforme al SGSI.
Abril de 2015
215
Proyecto de Grado
Abril de 2015
216
Proyecto de Grado
Abril de 2015
217
Proyecto de Grado
Abril de 2015
218
Proyecto de Grado
Abril de 2015
219
Proyecto de Grado
Abril de 2015
220
Proyecto de Grado
Definir un plan de
pruebas a los activos
informticos,
estableciendo las
No se ejecutan pruebas a No existen procedimientos, mejores alternativas
Proteccin de los Informacin
los sistemas y a la protocolos o polticas para para mitigar los riesgos.
14.3.1 datos utilizados en relevante de la
informacin que interacta efectuar las actividades de Definir un plan de
pruebas empresa
con estos. pruebas. pruebas a las pruebas a
las bases de datos,
estableciendo la
informacin confidencial
y la no confidencial.
16. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
16.1. Gestin de incidentes de seguridad de la informacin y mejoras
Establecer procesos de
resolucin de incidentes
Equipos de de seguridad de la
Desconocimiento sobre
Aprendizaje de los cmputo, informacin, bien sea de
No se gestionan incidentes procesos, normas,
incidentes de dispositivos manera reactiva o
16.1.6 de seguridad de la estndares y buenas
seguridad de la externos, proactiva.
informacin. prcticas de la seguridad de
informacin informacin Implementar
la informacin.
almacenada. herramientas para
evaluar los incidentes de
seguridad.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN EN LA GESTIN DE LA CONTINUIDAD DEL NEGOCIO
17.1. Aspectos de la seguridad de la informacin en la gestin de la continuidad del negocio
No se cuenta con planes No se ve la seguridad de los Definir el proceso de
Planificacin de la
de accin o de activos de informacin, como gestin de continuidad
continuidad de la Toda la compaa
17.1.1 contingencia, ni una inversin o del negocio y las
seguridad de la y sus activos.
documentacin que implementacin necesaria en directrices de
informacin
permita mantener el la compaa. continuidad del negocio
Abril de 2015
221
Proyecto de Grado
Abril de 2015
222
Proyecto de Grado
Establecer copias de
seguridad de la
informacin relevante,
proteger en armarios o
cajones bajo llave la
informacin fsica
sensible de prdida.
Establecer el documento
Proteccin de datos y de seguridad de
18.1.4 privacidad de la conformidad con la
informacin personal legislacin de proteccin
de datos personales.
18.2. Revisiones de la seguridad de la informacin
Dictar y acordar la
Cumplimiento de las No existe una poltica de Desconocimiento, descuido,
Todos los activos poltica del sistema de
18.2.2 polticas y normas de seguridad de la poco interesen la
de la empresa. gestin de la seguridad
seguridad informacin. implementacin de la poltica.
informtica SGSI.
Abril de 2015
223
Proyecto de Grado
SI
NO
N/A
Preguntas
SI
NO
N/A
Pregunta
Abril de 2015
224
Proyecto de Grado
SI
NO
N/A
Preguntas
SI
NO
N/A
Preguntas
Abril de 2015
Requerimientos de
Se tiene
Abril de 2015
Identificar la
Gestin de acceso de
Se establecen los
Se verifica el nivel de
Gestin de los
Se promueve el
Uso de informacin
Las contraseas
Preguntas
Control de acceso a
El control de acceso
Preguntas
Se garantiza que los
Proyecto de Grado
Se establece la
CONTROL DE ACCESO
CONTROL DE CIFRADO
Los controles de
Los controles de
Se regula la
Se utilizan
SI
SI
NO
NO
N/A
N/A
225
reas seguras
Abril de 2015
Se definen los
Se definen los
Seguridad de
Se establece el
Se suministran
Emplazamiento y
Preguntas
Instalaciones de
Preguntas
Se instalan las UPS
Proyecto de Grado
Existe un control de
Mantenimiento de
La informacin
SI
SI
NO
NO
N/A
N/A
226
227
Proyecto de Grado
SI
NO
N/A
Preguntas
SI
NO
N/A
Preguntas
Abril de 2015
228
Proyecto de Grado
SI
NO
N/A
Preguntas
SI
NO
N/A
Pruebas
Abril de 2015
Cumplimiento de
Abril de 2015
Identificacin de la
Se identifica la
Derechos de
Se identifica la
Se hace un
Se dictan polticas
Proteccin de los
Se mantienen
Los documentos
Preguntas
Se clasifica la
Se establecen
Se protege la
Proyecto de Grado
Proteccin de datos
CONTROL DE CUMPLIMIENTO
Se establece el
Revisiones de la
Ilustracin 60 Cumplimiento Color Shop
Cumplimiento de
Se dicta y acuerda
SI
NO
N/A
229
230
Proyecto de Grado
A travs de las auditorias, visita preliminar y listas de chequeo se encontraron los siguientes hallazgos, con sus respectivas
causas, recursos afectados y los controles por cada uno para determinar las posibles soluciones en prospectiva.
Recursos Controles
REF. Dominio/proceso Hallazgo Causas
afectados propuestos
5. POLTICA DE SEGURIDAD
5.1. Poltica de Seguridad de la Informacin
Establecer las polticas
de seguridad de la
Conjunto de Desinters por parte de
No se cuenta con una informacin para la
polticas para la la direccin en la
5.1.1 poltica de seguridad de compaa
seguridad de la adopcin de modelos y La informacin, el
informacin la informacin, no se
estndares para proteger buen nombre de Realizar revisiones
definen objetivos, ni
la informacin al ser la empresa, los peridicas de la
alcance de un sistema
temas desconocidos, equipos y poltica de seguridad
de seguridad, no hay
visin incorrecta del procesos, y Establecer objetivos, y
documentacin
costo-beneficio que finalmente la alcance de la poltica
Revisin de las relacionada a la
representa la compaa. de seguridad
polticas para la seguridad de activos de
5.1.2 implementacin de la Hacerla de estricto
seguridad de la informacin.
poltica de seguridad cumplimiento para
informacin
todos los
colaboradores
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIN
6.1. Organizacin Interna
Asignacin de Se carece de Exceso de confianza en La informacin, Documentar y definir
6.1.1 responsabilidades procedimientos el personal, como activo ms los procesos de
para la seguridad de (documentos) para las desconocimiento de los valioso, personal, asignacin y seguridad
Abril de 2015
231
Proyecto de Grado
6.2.2. Teletrabajo
Abril de 2015
232
Proyecto de Grado
Especificacin de
polticas de seguridad
de informacin,
involucrar al personal y
Responsabilidades
7.2.1 hacer seguimiento
de gestin
Establecer las
directrices sobre las
Poco inters por parte de funciones de
Personal poco la direccin en la seguridad informtica.
capacitado en temas de implementacin de La informacin, la Formacin al personal
seguridad, de espacios de credibilidad de la en temas de seguridad
manipulacin de capacitacin. Falta de compaa, los de la informacin.
equipos de cmputo y procedimientos para la equipos, los Realizar
de proteccin a los asignacin de procesos. capacitaciones sobre
Concienciacin,
activos de informacin responsabilidades en la las amenazas, riesgos
educacin y
gestin. y vulnerabilidades
7.2.2 capacitacin en
seguridad de la Establecer los
informacin procesos de formacin
y concientizacin,
diseado para
presentar las polticas
de seguridad de la
organizacin
8. GESTIN DE ACTIVOS
8.1. Responsabilidad sobre los activos
No hay unos procesos Falta de una definicin Mantener un inventario
de inventario, clara de asignacin de Equipos e de activos definido. -
8.1.1 Inventario de Activos
asignacin de activos y responsables informacin. Relacin de riesgos
responsables, de su custodia y buen con tipos de activos. -
Abril de 2015
233
Proyecto de Grado
Abril de 2015
234
Proyecto de Grado
Abril de 2015
235
Proyecto de Grado
Usar procedimientos
de identificacin,
autenticacin y
autorizacin para las
utilidades del sistema
10. CIFRADO
10.1 Controles criptogrficos
Poltica de uso de Establecer la poltica
10.1.1 los controles de cifrado para las
criptogrficos claves pblicas y
privadas en el manejo
No se cifra o utiliza
de informacin
ningn tipo de
Falta una poltica de La informacin, confidencial.
procedimiento para
seguridad para el los equipos de Controlar y asignar los
cifrar datos o para
proceso. cmputo- derechos de acceso a
10.1.2 Gestin de claves gestionar claves de
los usuarios por medio
ningn tipo.
de claves
criptogrficas cuando
es informacin
confidencial.
11. SEGURIDAD FSICA Y DEL ENTORNO
11.1. reas seguras
Hay libre acceso y Definicin de controles
Equipos,
trnsito por las oficinas fsicos, tcnicos y
Exceso de confianza en informacin
donde se encuentran organizacionales para
Controles fsicos de el personal, falta de importante de la
11.1.2 los equipos de cada activo.
entrada compromiso con la empresa,
cmputo, no se controla Dictar la poltica de
seguridad de los activos. dispositivos
el acceso a estas, no se control de accesos
externos.
define una distribucin conforme al SGSI.
Abril de 2015
237
Proyecto de Grado
Abril de 2015
238
Proyecto de Grado
Tienen rtulos de
Seguridad del equipos y de cables
11.2.3
cableado claramente
identificables para
minimizar los errores
en el manejo.
Realizar
mantenimiento acorde
a los procesos de
Mantenimiento de
11.2.4 gestin de activos.
los equipos
Llevar un registro de
todas las fallas reales
y sospechosas.
12. SEGURIDAD EN LA OPERATIVA
12.2. Proteccin contra cdigo malicioso
Los equipos cuentan Falta de actualizacin a Aplicaciones, Establecer la poltica
Controles contra el
12.2.1 con antivirus, pero se los equipos y Sistema de seguridad de
cdigo malicioso
encuentran aplicaciones, con los Operativo, equipos personales en
Abril de 2015
239
Proyecto de Grado
Abril de 2015
240
Proyecto de Grado
Abril de 2015
241
Proyecto de Grado
Abril de 2015
242
Proyecto de Grado
Definir documento
donde se establecen
los acuerdos de
confidencialidad.
Acuerdos de Definir documento
13.2.4 confidencialidad y donde se establecen
secreto las polticas de
confidencialidad.
Hacer seguimiento al
cumplimiento de los
acuerdos.
14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN
14.1 Requisitos de seguridad de los sistemas de informacin
Mantener los sistemas
actualizados,
buscando identificar
las amenazas, riesgos
No se identifica ningn Desconocimiento, falta
Equipos, y vulnerabilidades
Anlisis y anlisis o estudio de de compromiso con la
informacin asociados a los activos
especificacin de los requisitos para seguridad de la
14.1.1 relevante, el buen de informacin.
requisitos de implementar la informacin por parte del
nombre de la Elaborar documento
seguridad seguridad de la propietario de la
compaa. con especificaciones
informacin. compaa.
de los requisitos de
seguridad para los
sistemas de
informacin.
14.3 Datos de prueba
Proteccin de los No se realizan pruebas No existen Informacin Definir un plan de
14.3.1
datos utilizados en a los sistemas y a la procedimientos, relevante de la pruebas a los activos
Abril de 2015
243
Proyecto de Grado
Abril de 2015
244
Proyecto de Grado
Abril de 2015
245
Proyecto de Grado
Abril de 2015
246
Proyecto de Grado
de informacin.
Abril de 2015
247
Proyecto de Grado
5
Calificacin del proceso
4
3
2
1
0 Guille Sport
Color Shop
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Se cuenta con un
Se asignan funciones
Documentar las
Se documentan los
Los activos
Existen los
Dispositivos para
Se tiene definida la
Los controles
Se identifican los
Autorizacin por la
Teletrabajo
Organizacin interna
Color Shop
Preguntas
Abril de 2015
248
Proyecto de Grado
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Abril de 2015
Calificacin del proceso Calificacin del proceso
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Abril de 2015
0,5
1,5
2,5
3,5
4,5
0
1
2
3
4
5
Requerimientos de
Se tiene
Identificar la
Gestin de acceso de
Se establecen los
Se verifica el nivel de
Gestin de los
Se promueve el
Uso de informacin
Las contraseas
Control de acceso a
Preguntas
Preguntas
El control de acceso
Se garantiza que los
Proyecto de Grado
Se establece la
Ilustracin 66 Cifrado
Los controles de
Los controles de
Ilustracin 65 Control de acceso
Los controles de
Se regula la
Se utilizan
Color Shop
Color Shop
Guille Sport
Guille Sport
249
250
Proyecto de Grado
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Seguridad de
Se establece el
Proteccin contra
Se definen los
Se definen los
Se suministran
Emplazamiento y
Instalaciones de
Seguridad del
Mantenimiento de
Se lleva un registro
Los equipos estn
Existe un control
La informacin
reas seguras
Color Shop
Preguntas
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Abril de 2015
251
Proyecto de Grado
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Abril de 2015
252
Proyecto de Grado
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Gestin de Aprendizaje deSe establecen Se evalan
incidentes de los incidentes procesos de los incidentes Color Shop
seguridad de de seguridad resolucin de de seguridad?
la informacin de la incidentes de
y mejoras informacin seguridad de
la
informacin?
Preguntas
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Color Shop
Preguntas
Abril de 2015
253
Proyecto de Grado
Ilustracin 73 Cumplimiento
5
Calificacin del proceso
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0 Guille Sport
Se establece el
Se dicta y acuerda
Cumplimiento de
Se clasifica la
Se dictan polticas
Derechos de
Se hace un
Proteccin de los
Se mantienen
Se establecen
Se protege la
Proteccin de datos
Revisiones de la
Identificacin de la
Se identifica la
Se identifica la
Los documentos se
Cumplimiento de las
Color Shop
Preguntas
Empresa 1 Empresa 2
Semejanzas Control casi nulo para el Control casi nulo para el acceso a
acceso a los equipos, y por los equipos, y por ende a la
ende a la informacin que informacin que en estos se
en estos se almacena. almacena.
Abril de 2015
254
Proyecto de Grado
Abril de 2015
255
Proyecto de Grado
REF. CONTROL
5. POLTICA DE SEGURIDAD
5.1. Poltica de Seguridad de la Informacin
5.1.1 Conjunto de polticas para la seguridad de la informacin
5.1.2 Revisin de las polticas para la seguridad de la informacin
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACIN
6.1. Organizacin Interna
6.1.1 Asignacin de responsabilidades para la seguridad de la informacin
6.1.2 Segregacin de tareas
6.1.5 Seguridad de la informacin en la gestin de proyectos
6.2. Dispositivos para movilidad y teletrabajo
6.2.1. Poltica de uso de dispositivos para movilidad
6.2.2. Teletrabajo
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
7.2. Seguridad en el desempeo de las funciones del empleo (Durante la
63
Fuente: Tabla estructurada con los dominios y procesos seleccionados
Abril de 2015
256
Proyecto de Grado
contratacin)
7.2.1 Responsabilidades de gestin
7.2.2 Concienciacin, educacin y capacitacin en seguridad de la
informacin
8. GESTIN DE ACTIVOS
8.1. Responsabilidad sobre los activos
8.1.1 Inventario de Activos
8.1.2 Propiedad de los activos
8.1.3. Uso aceptable de los activos
8.1.4. Devolucin de activos
8.2. Clasificacin de la informacin
8.2.1. Directrices de clasificacin
8.2.2. Etiquetado y manipulado de la informacin
8.2.3. Manipulacin de activos
9. CONTROL DE ACCESO
9.1 Requerimientos de negocio para el control de acceso
9.1.1 Poltica de control de acceso
9.2. Gestin de acceso de usuario
9.2.1 Gestin de altas/bajas en el registro de usuarios
9.2.3 Gestin de los derechos de acceso con privilegios especiales
9.3. Responsabilidades de usuario
9.3.1 Uso de informacin confidencial para la autenticacin
9.4. Control de acceso a sistemas operativo y aplicaciones
9.4.1 Restriccin del acceso a la informacin
9.4.2 Procedimientos seguros de inicio de sesin
9.5.4 Uso de herramientas de administracin de sistemas
10. CIFRADO
10.1 Controles criptogrficos
10.1.1 Poltica de uso de los controles criptogrficos
10.1.2 Gestin de claves
11. SEGURIDAD FSICA Y DEL ENTORNO
11.1. reas seguras
11.1.2 Controles fsicos de entrada
11.1.3 Seguridad de oficinas, despachos y recursos
11.1.4 Proteccin contra las amenazas externas y ambientales
11.2. Seguridad de los equipos
11.2.1 Emplazamiento y proteccin de equipos
11.2.2 Instalaciones de suministro
11.2.3 Seguridad del cableado
11.2.4 Mantenimiento de los equipos
12. SEGURIDAD EN LA OPERATIVA
12.2. Proteccin contra cdigo malicioso
12.2.1 Controles contra el cdigo malicioso
12.3. Copias de seguridad
12.3.1 Copias de seguridad de la informacin
Abril de 2015
257
Proyecto de Grado
Abril de 2015
258
Proyecto de Grado
DECLARACIN DE APLICABILIDAD
REF. CONTROL APLICACIN
5. POLTICA DE SEGURIDAD
5.1. Poltica de Seguridad de la Informacin
Documento de poltica de seguridad de la
Conjunto de polticas
informacin
5.1.1 para la seguridad de
Establecer las polticas de seguridad de la
la informacin
informacin para la compaa
Revisin de las Realizar acciones preventivas y correctivas
polticas para la cada vez que se evidencie un hallazgo.
5.1.2
seguridad de la Realizar revisiones peridicas de la poltica de
informacin seguridad
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACIN
6.1. Organizacin Interna
Asignar las responsabilidades a cada proceso
de seguridad
Asignacin de Revisar la poltica de seguridad de la
responsabilidades informacin.
6.1.1
para la seguridad de Documentar y definir los procesos de
la informacin asignacin y seguridad
Asignar las responsabilidades a cada proceso
de seguridad
Los activos informticos se encuentran
definidos claramente
6.1.2 Segregacin de tareas
Garantizar las actividades de seguridad,
siguiendo la poltica de seguridad
Compromiso de la Direccin con la seguridad
de la informacin
Autorizacin por la direccin para la inversin
Seguridad de la
de recursos, tiempos y formaciones
6.1.5 informacin en la
gestin de proyectos Procedimientos documentados para contactar a
las autoridades competentes.
Procedimientos documentados para contactar a
las entidades pblicas
6.2. Dispositivos para movilidad y teletrabajo
6.2.1. Poltica de uso de Definir la poltica de seguridad para dispositivos
Abril de 2015
259
Proyecto de Grado
Abril de 2015
260
Proyecto de Grado
Abril de 2015
261
Proyecto de Grado
Abril de 2015
262
Proyecto de Grado
conforme al SGSI.
Dictar la poltica de uso de las oficinas acorde a
Seguridad de oficinas, la poltica de gestin de acceso y del SGSI.
11.1.3
despachos y recursos Establecer el reglamento y las normas sobre las
actividades y procesos informticos.
Definicin de un plan de respuesta para cada
tipo de efecto que pudiera causar amenaza
Proteccin contra las
externa.
11.1.4 amenazas externas y
Suministrar equipos apropiados contra las
ambientales
amenazas ambientales y son ubicados
adecuadamente.
11.2. Seguridad de los equipos
Regular y monitorear el uso de equipos
personales a travs de la poltica de uso de
equipos personales.
Emplazamiento y
11.2.1 Los equipos estn distribuidos de tal forma que
proteccin de equipos
no pueda acceder cualquier usuario.
Los elementos que requieren proteccin
especial estn aislados.
Establecer el plan de continuidad para este tipo
de riesgos
Instalar las UPS y los suministros de energa
necesarios, para dar soporte al cierre del
Instalaciones de ordenador o al funcionamiento continuo de
11.2.2
suministro equipos que soportan operaciones crticas para
el negocio.
Las UPS y plantas de energa son revisadas
con frecuencia para asegurarse de que tiene la
capacidad adecuada.
El cableado se encuentre canalizado por
conductos especficos del suelo tcnico
instalado en las oficinas.
Seguridad del Existe un control de acceso en los cuartos de
11.2.3
cableado cableado que soportan los sistemas crticos.
Tienen rtulos de equipos y de cables
claramente identificables para minimizar los
errores en el manejo.
Realizar mantenimiento acorde a los procesos
de gestin de activos.
La informacin confidencial es retirada
Mantenimiento de los peridicamente de los equipos de cmputo o el
11.2.4
equipos personal de mantenimiento es suficientemente
confiable.
Llevar un registro de todas las fallas reales y
sospechosas.
12. SEGURIDAD EN LA OPERATIVA
12.2. Proteccin contra cdigo malicioso
Abril de 2015
263
Proyecto de Grado
Abril de 2015
264
Proyecto de Grado
Abril de 2015
265
Proyecto de Grado
informacin.
Identificar la legislacin aplicable y los trminos
Derechos de contractuales en las licencias utilizadas
18.1.2 propiedad intelectual Hacer un inventario de software para garantizar
(DPI) la idoneidad de su uso. Dictar poltica de
cumplimiento.
Mantener disponibles los documentos del
sistema de gestin de la seguridad informtica
SGSI.
Los documentos solo son editables para los
responsables de estos y/o usuarios
Proteccin de los
autorizados.
18.1.3 registros de la
Clasificar la informacin en funcin de su
organizacin
importancia.
Establecer copias de seguridad de la
informacin relevante, proteger en armarios o
cajones bajo llave la informacin fsica sensible
de prdida.
Proteccin de datos y Establece el documento de seguridad de
18.1.4 privacidad de la conformidad con la legislacin de proteccin de
informacin personal datos personales.
18.2. Revisiones de la seguridad de la informacin
Cumplimiento de las
Dictar y acordar la poltica del sistema de
18.2.2 polticas y normas de
gestin de la seguridad informtica SGSI.
seguridad
Abril de 2015
266
Proyecto de Grado
CONSIDERANDO:
DISPONE:
1. Introduccin
Abril de 2015
267
Proyecto de Grado
1.1.2 Sea accedida y utilizada nicamente por aquellas personas que tienen
una necesidad justificada para la realizacin de sus funciones dentro de la
organizacin y/o negocio.
1.1.3 Est disponible cuando se requiera y sea utilizada para los fines que fue
obtenida.
2. Alcance
Abril de 2015
268
Proyecto de Grado
Abril de 2015
269
Proyecto de Grado
Nombre completo
Gerente PYME.
Abril de 2015
270
Proyecto de Grado
Cdigo: P-SGSI-01-
001
Versin: 1
Procedimiento Control de Documentos
Vigencia: Marzo de 2015
Pgina: 1 de 1
1. Objetivo
2. Alcance
3. Definiciones y abreviaturas
4. Procedimiento
5. Registro
1. OBJETIVO
2. ALCANCE
3. DEFINICIONES Y ABREVIATURAS
5. PROCEDIMIENTO
Abril de 2015
271
Proyecto de Grado
funcin, una vez se tenga cada documento, los pasos a seguir son los
siguientes:
6. REGISTRO
Abril de 2015
272
Proyecto de Grado
Cdigo: P-SGSI-01-
002
Versin: 1
Procedimiento Control de Registros
Vigencia: Marzo de 2015
Pgina: 1 de 1
1. Objetivo
2. Alcance
3. Definiciones y abreviaturas
4. Procedimiento
5. Registro
1. OBJETIVO
2. ALCANCE
3. DEFINICIONES Y ABREVIATURAS
5. PROCEDIMIENTO
Abril de 2015
273
Proyecto de Grado
6. REGISTRO
Abril de 2015
274
Proyecto de Grado
Elaboracin
Revisin
Aprobacin
OBJETIVO
ALCANCE
REFERENCIAS
RECURSOS
CONTENIDO
Abril de 2015
275
Proyecto de Grado
Esta reunin tiene como objetivo definir y conciliar con todos los involucrados el
cronograma dentro del cual se realizar la auditoria al proceso del
cumplimiento de condiciones, y debe dividirse en seis etapas para tratar los
temas de la documentacin exigida en el SGSI, bajo las premisa de la ISO/IEC
27001:2013. Se define como poltica, que la auditoria se realiza anualmente.
Tabla 64 Cronograma
Abril de 2015
276
Proyecto de Grado
La auditora evala las polticas, objetivos y alcance del SGSI, verificando que
estn acorde a lo dispuesto por la compaa, con el fin de garantizar que se
controlan los procedimientos y procesos establecidos, y as lograr encontrar un
equilibrio entre lo que est escrito y lo que se hace.
EVALUAR HALLAZGOS
Abril de 2015
277
Proyecto de Grado
Registro:
Registro:
ANEXOS
Abril de 2015
278
Proyecto de Grado
Cdigo: P-SGSI-01-
004
Versin: 1
Procedimiento de Accin Correctiva
Vigencia: Marzo de 2015
Pgina: 1 de 1
1. Objetivo
2. Alcance
3. Definiciones y abreviaturas
4. Procedimiento
5. Registro
1. OBJETIVO
2. ALCANCE
3. DEFINICIONES Y ABREVIATURAS
5. PROCEDIMIENTO
Abril de 2015
279
Proyecto de Grado
6. REGISTRO
Abril de 2015
280
Proyecto de Grado
Cdigo: P-SGSI-01-
005
Versin: 1
Procedimiento de Accin Preventiva
Vigencia: Marzo de 2015
Pgina: 1 de 1
1. Objetivo
2. Alcance
3. Definiciones y abreviaturas
4. Procedimiento
5. Registro
1. OBJETIVO
2. ALCANCE
3. DEFINICIONES Y ABREVIATURAS
5. PROCEDIMIENTO
Abril de 2015
281
Proyecto de Grado
6. REGISTRO
Abril de 2015
282
Proyecto de Grado
Cdigo: P-SGSI-01-
006
Versin: 1
Procedimiento de Gestin de incidentes
Vigencia: Marzo de 2015
Pgina: 1 de 1
1. Objetivo
2. Alcance
3. Definiciones y abreviaturas
4. Procedimiento
5. Registro
1. OBJETIVO
2. ALCANCE
3. DEFINICIONES Y ABREVIATURAS
5. PROCEDIMIENTO
Se tendr un documento con los pasos secuenciales a seguir para dar gestin
oportuna a los incidentes resultantes de la aplicacin diaria de los procesos en
la compaa, se determina que los pasos a seguir para la gestin son:
Abril de 2015
283
Proyecto de Grado
6. REGISTRO
Abril de 2015
284
Proyecto de Grado
13. CONCLUSIONES
Abril de 2015
285
Proyecto de Grado
Los cambios constantes y las dinmicas del negocio, hacen que se generen
nuevas amenazas y vulnerabilidades, por lo tanto se debe mantener una
capacitacin constante y la aplicacin de los procedimientos para mitigar los
riesgos al interior y exterior de las empresas, para que se mantenga la
continuidad del negocio expandiendo su cobertura.
Abril de 2015
286
Proyecto de Grado
Artculos. Reglamento sobre seguridad informtica. [en lnea]. [02 de marzo del
2014]. Disponible en: http://www.di.sld.cu/documentos/resol/resol_6_96.pdf
Blog. Gestin empresarial. [en lnea]. [12 de mayo del 2014]. Disponible en:
http://gestionempresarial4.wordpress.com/174-2/
Comisin Europea. Qu es una Pyme?. [en lnea]. [15 de mayo del 2014].
Disponible en: http://ec.europa.eu/enterprise/policies/sme/facts-figures-
analysis/sme-definition/index_es.htm
Abril de 2015
287
Proyecto de Grado
Concepto. Oficina juridicial nacional. [en lnea]. [13 de mayo del 2014].
Disponible en:
http://www.legal.unal.edu.co/sisjurun/normas/Norma1.jsp?i=42011
Decreto. Artculo 160 del Decreto ley 19 de 2012. [en lnea]. [13 de mayo del
2014]. Disponible en:
http://www.sic.gov.co/documents/10165/2142817/DECRETO+333+DEL+19+DE
+FEBRERO+DE+2014+VIG+ENTES+ACREDITAC.pdf/3dcd1c36-533a-48fa-
a72c-7fcb2181e771
DELTA. Ley de delitos informticos en Colombia. [en lnea]. [13 de mayo del
2014]. Disponible en: http://www.deltaasesores.com/articulos/autores-
invitados/otros/3576-ley-de-delitos-informaticos-en-colombia
Abril de 2015
288
Proyecto de Grado
Ebilio UNAD. Biblioteca virtual. [en lnea]. [01 de diciembre del 2013].
Disponible en: http://biblioteca.unad.edu.co/
Ebilio UNAD. Leccin 11: Riesgos informticos. [en lnea]. [12 de diciembre del
2014]. Disponible en:
http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_11_riesgos_infor
mticos.html
Flrez, Wilmar, Arboleda, Carlos, & Cadavid, John. Solucin integral para las
PYMES mediante un UTM. [en lnea]. [3 de Mayo de 2014]. Disponible en:
http://web.usbmed.edu.co/usbmed/fing/v3n1/v3n1a4.pdf
Garca, Juan. Dinmica de Sistemas Historia. [en lnea]. [13 de noviembre del
2013]. Disponible en: http://www.dinamica-de-sistemas.com/wds5.htm
Hugo. Tesis Marco Terico. [en lnea]. [07 de diciembre del 2013]. Disponible
en: http://problema.blogcindario.com/2008/10/00014-marco-teorico.html
Implementacin SIG. El ciclo de Deming. [en lnea]. [16 de mayo del 2014].
Disponible en: http://www.implementacionsig.com/index.php/generalidades-
sig/55-ciclo-de-
Abril de 2015
289
Proyecto de Grado
ISO 27000. El directorio de la norma ISO 27000. [en lnea]. [13 de mayo del
2014]. Disponible en: http://www.27000.org/other.htm
Abril de 2015
290
Proyecto de Grado
Jaramillo, Alfredo. Manual de derecho de autor. [en lnea]. [13 de mayo del
2014]. Disponible en:
http://www.derechodeautor.gov.co/documents/10181/331998/Cartilla+derecho+
de+autor+(Alfredo+Vega).pdf/e99b0ea4-5c06-4529-ae7a-152616083d40
Meadows, Dennis. Los Lmites del Crecimiento. [en lnea]. [13 de noviembre del
2013]. Disponible en: http://www.ayto-
toledo.org/medioambiente/a21/limitescrecimiento.pdf
Abril de 2015
291
Proyecto de Grado
Resolucin. Resolucin 305 de 2008. [en lnea]. [02 de marzo del 2014].
Disponible en:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=33486
Santos, Mateo. Los retos de seguridad para las PYMES. [en lnea]. [03 de
mayo del 2014]. Disponible en: http://www.enter.co/#!/especiales/enterprise/los-
retos-de-seguridad-para-las-Pymes/
TIME. Dinmica Empresarial. [en lnea]. [13 de noviembre del 2013]. Disponible
en:
http://timerime.com/en/event/1348664/Dinmica+Empresarial+John+David+Ster
man/
Abril de 2015
292
Proyecto de Grado
Web and macros. Los activos tangibles e intangibles - ejemplos. [en lnea]. [13
de mayo del 2014]. Disponible en:
http://www.webandmacros.com/activos_cuadro_mando_integral.htm
Web. Ciclo PHVA Planear hacer verificar actuar. [en lnea]. [12 de mayo
del 2014]. Disponible en:
http://guajiros.udea.edu.co/fnsp/cvsp/Practica%20procesos/Metodologias%20pr
ocesos/CicloPHVA.pdf
Abril de 2015
293
Proyecto de Grado
15. ANEXOS
Abril de 2015
294
Proyecto de Grado
Abril de 2015
295
Proyecto de Grado
Abril de 2015
296
Proyecto de Grado
Abril de 2015
297
Proyecto de Grado
Abril de 2015
298
Proyecto de Grado
Abril de 2015
299
Proyecto de Grado
Abril de 2015
300
Proyecto de Grado
Abril de 2015
301
Proyecto de Grado
Abril de 2015
302
Proyecto de Grado
Abril de 2015
303
Proyecto de Grado
Abril de 2015
304
Proyecto de Grado
Abril de 2015
305
Proyecto de Grado
Abril de 2015
306
Proyecto de Grado
Abril de 2015
307
Proyecto de Grado
Abril de 2015
308
Proyecto de Grado
Abril de 2015
309
Proyecto de Grado
Abril de 2015
310
Proyecto de Grado
Abril de 2015
311
Proyecto de Grado
Abril de 2015