Diseño Implementacion SGSI 27001 PDF

DISEO E IMPLEMENTACIN DE UN SGSI PARA EL REA DE
INFORMTICA DE LA CURADURA URBANA SEGUNDA DE PASTO BAJO

LA NORMA ISO/IEC 27001
ALBA ELISA CRDOBA SUREZ
UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA UNAD

FACULTAD DE CIENCIAS BSICAS E INGENIERA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
PASTO, COLOMBIA
2015
1
DISEO E IMPLEMENTACIN DE UN SGSI PARA EL REA DE
INFORMTICA DE LA CURADURA URBANA SEGUNDA DE PASTO BAJO
LA NORMA ISO/IEC 27001
ALBA ELISA CORDOBA SUAREZ
Proyecto de Grado para optar al ttulo de:

Especialista en Seguridad Informtica
Director de Proyecto
Ingeniero de Sistemas, Especialista en Seguridad Informtica
Martin Cancelado
Tutor UNAD
UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA UNAD

FACULTAD DE CIENCIAS BSICAS E INGENIERA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
PASTO, COLOMBIA
2015
2
Nota de aceptacin:
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
Firma del presidente del jurado
_______________________________
Firma del jurado
_______________________________
Firma del jurado
San Juan de Pasto, Mayo de 2015
3
CONTENIDO
ABSTRACT ....................................................................................................... 12
GLOSARIO .........................................................................................................................14
INTRODUCCIN ...............................................................................................................17
1. ELEMENTOS DE IDENTIFICACIN...................................................... 18
1.1 TEMA .......................................................................................................... 18
1.2 TTULO ....................................................................................................... 18
1.3 LINEA DE INVESTIGACIN ....................................................................... 18
1.3.1 Gestin de sistemas .............................................................................. 18
1.3.2 Auditora de sistemas ............................................................................. 18
1.4 PLANTEAMIENTO DEL PROBLEMA. ........................................................ 19
1.4.1 DESCRIPCIN DEL PROBLEMA .......................................................... 19
1.4.2 FORMULACIN DEL PROBLEMA .......................................................... 19
1.5 OBJETIVOS ................................................................................................ 19
1.5.1 Objetivo general ....................................................................................... 19
1.5.2 Objetivos especficos ............................................................................... 19
1.6 JUSTIFICACIN ........................................................................................ 20
1.7 DELIMITACIN .......................................................................................... 21
1.8 ALCANCES ................................................................................................. 21
2. MARCO REFERENCIAL ..........................................................................................22
2.1 MARCO TERICO ................................................................................. 22
2.1.1 Sistema de Gestin de la Seguridad de la Informacin SGSI .................. 22
2.1.1.1 Qu es un SGSI?: ............................................................................... 22
2.1.1.2 Para qu sirve un SGSI? .................................................................... 23
2.1.1.3 Qu incluye un SGSI? ........................................................................ 25
2.1.1.4 Cmo implementar un SGSI? ............................................................. 27
2.1.1.4.1 Plan: Establecer el SGSI .................................................................... 28
2.1.1.4.2 Do: Implementar y utilizar el SGSI ..................................................... 30
2.1.1.4.3 Check: Monitorizar y revisar el SGSI ................................................. 30
2.1.1.4.4 Act: Mantener y mejorar el SGSI........................................................ 31
2.1.1.5 Qu tareas tiene la gerencia en un SGSI? ......................................... 32
2.1.1.5.1 Compromiso de la direccin ............................................................... 32
2.1.1.5.2 Asignacin de Recursos .................................................................... 32
4
2.1.1.5.3 Formacin y concienciacin ............................................................... 33
2.1.1.5.4 Revisin del SGSI .............................................................................. 33
2.1.2 Conceptos Bsicos .................................................................................. 34
2.1.2.1 Qu es la seguridad de la informacin?.............................................. 34
2.1.2.2 Por qu es necesaria la seguridad de la informacin? ....................... 35
2.1.2.3 Cmo establecer los requisitos de seguridad? ................................... 35
2.1.2.4 Confidencialidad.................................................................................... 36
2.1.2.5 Integridad .............................................................................................. 36
2.1.2.6 Disponibilidad ........................................................................................ 36
2.1.2.7 Evaluacin de los riesgos de seguridad ................................................ 36
2.1.2.8 Evento de seguridad de la informacin ................................................. 36
2.1.2.9 Incidente de seguridad de la informacin.............................................. 36
2.1.2.10 Poltica de seguridad........................................................................... 37
2.1.2.11 Riesgo ................................................................................................. 37
2.1.2.12 Anlisis de riesgos .............................................................................. 37
2.1.2.13 Evaluacin de riesgos ......................................................................... 37
2.1.2.14 Valoracin del riesgo........................................................................... 37
2.1.2.15 Gestin del riesgo ............................................................................... 37
2.1.2.16 Amenaza ............................................................................................. 37
2.1.2.17 Vulnerabilidad ..................................................................................... 37
2.1.3 Sobre la Norma ISO/IEC 27000 ............................................................... 37
2.1.3.1 ISO/IEC 27000 ...................................................................................... 37
2.1.3.2 ISO/IEC 27001 ...................................................................................... 37
2.1.3.3 ISO/IEC 27002 ...................................................................................... 38
2.1.3.4 ISO/IEC 27003 ...................................................................................... 38
2.1.3.5 ISO/IEC 27004 ...................................................................................... 38
2.1.3.6 ISO/IEC 27005 ...................................................................................... 38
2.1.3.7 ISO/IEC 27006 ...................................................................................... 38
2.1.3.8 ISO/IEC 27007 ...................................................................................... 39
2.1.3.9 ISO/IEC TR 27008 ................................................................................ 39
2.1.4 Conceptos sobre Curaduras ................................................................... 39
2.1.4.1 Qu son las curaduras urbanas ........................................................... 39
2.1.4.2 Qu es el curador urbano ..................................................................... 39
5
2.1.4.3 Quin designa al curador urbano .......................................................... 39
2.1.4.4 Qu es una licencia urbanstica ............................................................ 39
2.1.4.5 Qu es una licencia de urbanizacin .................................................... 39
2.1.4.6 Qu es una licencia de parcelacin ...................................................... 40
2.1.4.7 Qu es una licencia de subdivisin ....................................................... 40
2.1.4.8 Qu es una licencia de construccin..................................................... 40
2.1.4.9 Cul es el trmino de tiempo que tiene un curador urbano para
expedir una licencia: ......................................................................................... 40
2.1.4.10 Quienes pueden solicitar una licencia urbanstica .............................. 40
2.1.4.11 Que documentos se deben adjuntar para obtener una licencia
urbanstica. ....................................................................................................... 40
2.1.4.12 Cul es la vigencia y prrroga de una licencia .................................... 41
2.2. MARCO CONTEXTUAL ............................................................................. 41
2.3. MARCO LEGAL ......................................................................................... 42
2.3.1 Normas Nacionales: ................................................................................. 43
2.3.1.1 Ley 388 del 18 de Julio de 1997 Ley de ordenamiento territorial ....... 43
2.3.1.2 Decreto 1469 del 2010 del Ministerio de Ambiente, Vivienda y
Desarrollo Territorial ......................................................................................... 45
2.3.2 Normas Locales ....................................................................................... 45
2.3.2.1 Decreto nmero 0026 del 13 de octubre de 2009 ................................ 45
2.4 MARCO HISTRICO .................................................................................. 45
3.1 TIPO DE INVESTIGACIN......................................................................... 47
Este proyecto se enmarca dentro del tipo de investigacin descriptiva y
analtica ...................................................................................................... 47
3.1.1 Descriptiva ............................................................................................... 48
3.1.2 Analtica ................................................................................................... 48
3.2 METODO DE INVESTIGACIN ................................................................ 48
3.3.2 Muestra .................................................................................................... 49
3.4 RECOLECCION DE DE LA INFORMACIN ............................................. 49
3.4.1 Informacin primaria: ............................................................................... 49
3.4.2 Informacin secundaria ............................................................................ 49
3.4.3 Instrumentos de recoleccin de informacin: ........................................... 49
3.4.3.1 Tcnica de Observacin ....................................................................... 49
3.4.3.2 Tcnica de Encuesta:............................................................................ 49
6
3.4.3.3 Tcnica de realizacin de pruebas:....................................................... 49
3.4.4 MUESTRAS ............................................................................................. 50
3.4.4.1 Muestra Empleados: ............................................................................. 50
3.4.4.2 Caractersticas de la encuesta para empleados de la Curadura: ......... 50
3.4.4.5 Descripcin del Instrumento: ................................................................. 50
3.5 PROCESAMIENTO DE LA INFORMACIN ............................................... 50
3.5.1 METODOLOGA PARA EL ANLISIS Y DISEO. .................................. 50
Planear ....................................................................................................... 51
Hacer: ......................................................................................................... 51
Verificar ...................................................................................................... 51
Actuar: ........................................................................................................ 52
3.5.2 Anlisis de la encuesta realizada a los empleados de Curadura
Urbana Segunda de Pasto. ............................................................................... 52
3.5.3 Descripcin y anlisis de la prueba realizada a la red de la Curadura
Urbana Segunda de Pasto, con Wiresshark ..................................................... 52
4. SGSI PARA LA CURADURIA URBANA SEGUNDA DE PASTO ................. 53
4.1. Establecer el SGSI .................................................................................... 53
4.1. 1 Alcance ................................................................................................... 53
4.1. 2 Poltica del Sistema de Gestin .............................................................. 53
4.1. 3 Metodologa de Evaluacin del Riesgo ................................................... 53
4.1. 4 Anlisis de Riesgos de la Curadura Urbana Segunda de Pasto ............ 54
4.1. 4.1. Inventario de Activos ........................................................................... 54
4.1. 4.1. 1 Activos esenciales............................................................................ 55
4.1. 4.1. 2 Datos/Informacin ............................................................................ 55
4.1. 4.1. 3 Claves Criptogrficas ....................................................................... 56
4.1. 4.1. 4 Inventario de Servicios ..................................................................... 56
4.1. 4.1. 5 Software Aplicaciones Informticas .............................................. 56
4.1. 4.1. 6 Equipos Informticos........................................................................ 57
4.1. 4.1. 7 Redes de comunicaciones ............................................................... 57
4.1. 4.1. 8 Soportes de Informacin _almacenamiento electrnico................... 58
4.1. 4.1. 9 Soportes de Informacin _almacenamiento no electrnico .............. 58
4.1. 4.1. 10 Equipamiento auxiliar ..................................................................... 58
4.1. 4.1. 11 Instalaciones .................................................................................. 59
7
4.1. 4.1. 12 Personal ......................................................................................... 59
4.1.4.2. Valoracin cualitativa de los activos..................................................... 59
4.1. 4.2. 1 Valoracin Cualitativa de Activos esenciales ................................... 60
4.1. 4.2. 2 Valoracin Cualitativa de Datos/Informacin ................................... 61
4.1. 4.2. 3 Valoracin Cualitativa de Claves Criptogrficas .............................. 62
4.1. 4.2. 4 Valoracin Cualitativa de Servicios .................................................. 62
4.1. 4.2. 5 Valoracin Cualitativa de Software Aplicaciones Informticas ...... 63
4.1. 4.2. 6 Valoracin Cualitativa de Equipos Informticos ............................... 64
4.1. 4.2. 7 Valoracin Cualitativa de Redes de comunicaciones ....................... 65
4.1. 4.2. 8 Valoracin Cualitativa de Soportes de Informacin
_almacenamiento electrnico ........................................................................... 66
4.1. 4.2. 9 Valoracin Cualitativa de Soportes de Informacin
_almacenamiento no electrnico ...................................................................... 66
4.1. 4.2. 10 Valoracin Cualitativa de Equipamiento auxiliar ............................ 67
4.1. 4.2. 11 Valoracin Cualitativa de Instalaciones.......................................... 68
4.1. 4.2. 12 Valoracin Cualitativa de Personal ................................................ 68
4.1. 4.3. Identificacin de Amenazas ................................................................ 68
4.1. 4.4. Salvaguardas ...................................................................................... 80
4.1. 4.4. 1 Salvaguardas de Activos esenciales ................................................ 81
4.1.4.4.2 Salvaguardas de Datos/Informacin ................................................. 84
4.1.4.4.3 Salvaguardas de Claves Criptogrficas ............................................ 87
4.1.4.4.4 Salvaguardas de Servicios ................................................................ 87
4.1.4.4.5 Salvaguardas de Software Aplicaciones Informticas .................... 90
4.1.4.4.6 Salvaguardas de Equipos Informticos ............................................. 92
4.1.4.4.7 Salvaguardas de comunicaciones..................................................... 94
4.1.4.4.8 Salvaguardas de Soportes de Informacin _almacenamiento
electrnico......................................................................................................... 95
4.1.4.4.9 Salvaguardas de Soportes de Informacin _almacenamiento no
electrnico......................................................................................................... 97
4.1.4.4.10 Salvaguardas de Equipamiento auxiliar .......................................... 98
4.1.4.4.11Salvaguardas de Instalaciones ........................................................ 99
4.1.4.4.12 Salvaguardas - Personal ................................................................. 99
4.1. 4.5. Informe de Calificacin del Riesgos ................................................. 100
8
4.1.4.6. Cmo quedaran reducidos los riesgos de seguridad a los que est
expuesta el rea de informtica de la Curadura Urbana Segunda de
Pasto? ............................................................................................................. 101
4.1.4.6. 1 Polticas y objetivos de seguridad del rea de informtica .............. 101
Generalidades:................................................................................................ 101
Alcance ........................................................................................................... 102
4.1.4.6. 2 Organizacin de la Seguridad de la Informacin............................. 104
4.1.4.6. 3 Gestin de Activos .......................................................................... 107
4.1.4.6. 4 Seguridad de los recursos humanos ............................................... 109
4.1.4.6. 5 Seguridad fsica y del entorno ......................................................... 111
4.1.4.6. 6 Gestin de operaciones y comunicaciones .................................... 113
4.1.4.6. 7 Control del Acceso .......................................................................... 117
4.1.4.6. 8 Adquisicin, desarrollo y mantenimiento de sistemas de
informacin ..................................................................................................... 119
4.1.4.6.9 Gestin de los incidentes de seguridad de la informacin ............... 122
4.1.4.6. 10 Gestin de la continuidad del negocio .......................................... 123
4.1.4.6. 11 Cumplimiento ................................................................................ 125
4.1. 4.2 Segunda Etapa Implantar .............................................................. 127
4.1. 4.2.1. Declaracin de Aplicabilidad .......................................................... 127
4.1. 4.2.2. Aplicabilidad de los Controles ....................................................... 128
4.1. 4.2.3. Definicin del Plan de Tratamiento del Riesgo............................... 158
4.1.4.2.3.1 Plan de Tratamiento del Riesgos .................................................. 159
4.1.4.2.4 Carta de Respuesta de la Curadura Urbana Segunda de Pasto .... 169
CONCLUSIONES ............................................................................................................170
BIBLIOGRAFA ................................................................................................................171
ANEXOS ............................................................................................................................174
ANEXO A ........................................................................................................ 175
ANEXO B ........................................................................................................ 177
ANLISIS DE TRFICO DE RED CON WIRESHARK DE LA RED DE LA
CURADURIA URBANA SEGUNDA DE PASTO ............................................. 177
9
LISTA DE FIGURAS
Figura 1. SGSI .................................................................................................. 23
Figura 2. Utilidad de un SGSI ........................................................................... 24
Figura 3. Que incluye un SGSI ......................................................................... 25
Figura 4. Ciclo PDCA ........................................................................................ 27
Figura 5. Gestin del Riesgo ............................................................................... 29
10
LISTA DE TABLAS
Tabla 1. Poblacin conformada por el personal de la curadura urbana
segunda de Pasto ............................................................................................. 46
Tabla 2. Poblacin conformada por clientes ..................................................... 57
Tabla 3. Escala de rango de frecuencias de amenazas .................................. 67
Tabla 4. Dimensiones de seguridad segn Magerit .......................................... 67
Tabla 5. Escala de rango porcentual de impactos en los activos para cada
dimensin de seguridad .................................................................................... 72
Tabla 6. Tipos de salvaguardas segn Magerit ................................................ 78
Tabla 7. Criterio para la evaluacin del riesgo .................................................. 96
Tabla 8. Comit de seguridad de la informacin ............................................. 110
Tabla 9. Asignacin de responsabilidades de la Informacin ......................... 111
Tabla 10. Encargados de la seguridad de la informacin ............................... 112
Tabla 11. Clasificacin de la Informacin........................................................ 114
Tabla 12. Estado de los controles .................................................................. 123
Tabla 13. Identificacin del estado de la actividad .......................................... 151
11
RESUMEN
El gobierno nacional dispone mediante leyes y decretos que en las ciudades para
el desarrollo urbano sean las curaduras urbanas o la oficina de planeacin
municipal las encargadas de otorgar licencias urbansticas en todas sus
modalidades.
Por lo tanto el Curador Urbano es un particular con funcin pblica encargado de
estudiar, tramitar y expedir licencias urbansticas a todos los interesados que
presenten solicitud de obtencin de licencia. Su funcin es verificar el
cumplimiento de las normas urbansticas y de edificaciones vigentes, con
autonoma en el ejercicio de sus funciones y responsable conforme a la ley.
Este proyecto se lleva a cabo para la Curadura Urbana Segunda de Pasto la cual
pretende cada da implementar polticas y controles de seguridad para proteger la
informacin; mejorar la atencin a sus clientes, brindndoles eficiencia y calidad
en la prestacin de su servicio y asegurar la continuidad del negocio.
Este trabajo tiene como objetivo fundamental, disear un SGSI para el rea de
informtica de la Curadura Urbana Segunda de Pasto bajo la Norma ISO/IEC
27001 con el fin de clasificar la informacin, identificar vulnerabilidades y
amenazas en el rea de informtica; valorar los riesgos y con base en estos
definir controles y polticas de seguridad que deben ser de conocimiento de la
empresa, instrucciones de los procedimientos a realizarse y la documentacin
que se debe desarrollar en todo el proceso para la posterior implementacin del
SGSI, aplicando el modelo PHVA (Planificar, hacer, verificar y actuar).
Como primera medida se recolecta informacin de la curadura a travs de la
observacin, la tcnica de la encuesta y una prueba de trfico de red que permiten
tener una idea general del manejo de la seguridad en la organizacin.
Seguidamente se realiza un anlisis de riesgos paso a paso desarrollando el

inventario de activos, la valoracin cualitativa de los activos, identificacin de
amenazas, identificacin de salvaguardas para los activos, valoracin y evaluacin
del riesgo y el informe de calificacin del riesgo, que permiten identificar los
riesgos ms apremiantes a los que est expuesta la empresa.
Posteriormente se definen las polticas y controles de seguridad, que tienen como
finalidad contribuir a la disminucin de riesgos de los elementos del rea de
informtica y fortalecer la seguridad con medidas que se ven reflejadas en la
empresa y a sus clientes en la prestacin de un servicio gil, eficiente, eficaz y
con calidad. Finalmente se realiza la primera fase de la implementacin que es el
plan de gestin del riesgo donde se concreta de forma clara cmo se va a actuar
en el control de los riesgos, se identifica los controles seleccionados, los
responsables y el tiempo. Listo para ser adoptado por la Curadura Segunda
cuando el Curador lo desee.
12
ABSTRACT
The national government has through laws and decrees that in cities for urban
development are the urban curator or the municipal planning office responsible for
granting planning permission in all its forms.
Therefore the Urban Curator is a particular public service in charge of studying,

processing and issue planning permission for all interested parties to submit
application for licensing. It will check compliance with planning regulations and
existing buildings, with autonomy in the exercise of their duties and accountable
under the law.
This project is carried out for the urban curator Second Pasto which seeks every
day to implement policies and security controls to protect information; improve
service to its customers, providing efficiency and quality in the provision of service
and ensure business continuity.
This work has as main objective, to design an ISMS for the computer field of urban
curator Second Pasto under ISO / IEC 27001 standard in order to classify
information, identify threats and vulnerabilities in the computer field; assess the
risks and based on these controls and define security policies that should be
known to the company, instructions for procedures to be performed and the
documentation that must be developed throughout the process for the subsequent
implementation of the ISMS, using the model PDCA (plan, do, check and act).
As a first step curated information through observation, survey technique and test
network traffic that provide a general idea of the management of security in the
organization is collected.
Following a risk analysis step by step developing the asset inventory, qualitative
valuation of assets, identifying threats, safeguards for identifying assets, valuation
and risk assessment and risk rating report that identify performed the most
pressing risks to which the company is exposed.
Subsequently policies and security checks, which aim to contribute to the reduction
of risks of the elements of informatics and strengthen security measures that are
reflected in the company and its customers in providing an agile defined , efficient,
effective and quality.
Finally, the first phase of implementation is the risk management plan where
concrete clearly how it will act in the control of risks, selected controls are
identified, those responsible and the time is done. Ready to be adopted by the
Second Curator Curator when desired
13
GLOSARIO
Amenaza. Causa potencial de un incidente no deseado, que puede ocasionar

dao a un sistema u organizacin.
Confidencialidad: La confidencialidad es la propiedad que impide la divulgacin

de informacin a personas o sistemas no autorizados. A grandes rasgos, asegura
el acceso a la informacin nicamente a aquellas personas que cuenten con la
debida autorizacin.
Contraseas: Una contrasea o clave es una forma de autentificacin que utiliza

informacin secreta para controlar el acceso hacia algn recurso. La contrasea
debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. A
aquellos que desean acceder a la informacin se les solicita una clave; si conocen
o no conocen la contrasea, se concede o se niega el acceso a la informacin
segn sea el caso.
Datos: El dato es una representacin simblica (numrica, alfabtica, algortmica,

etc.) de un atributo o variable cuantitativa. Los datos describen hechos empricos,
sucesos y entidades. Es un valor o referente que recibe el computador por
diferentes medios, los datos representan la informacin que el programador
manipula en la construccin de una solucin o en el desarrollo de un algoritmo.
Debilidad: Las debilidades se refieren a todos aquellos elementos, recursos,

habilidades y actitudes que la empresa ya tiene y que constituyen barreras para
lograr la buena marcha de la organizacin. (en este caso un sistema).
Disponibilidad: La disponibilidad es la caracterstica, cualidad o condicin de la

informacin de encontrarse a disposicin de quienes deben acceder a ella, ya
sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el
acceso a la informacin y a los sistemas por personas autorizadas en el momento
que as lo requieran.
Fallos: Es un estado o situacin en la que se encuentra un sistema formado por

dispositivos, equipos, aparatos y/o personas en el momento que deja de cumplir la
funcin para el cual haba sido diseado. Hay que evitar sta situacin siempre
que queramos disear un sistema altamente fiable, competitivo y fuerte. Para ello
hay que adelantarse a dicho estado o situacin mediante mtodos matemticos y
cientficos.
Integridad: Es la propiedad que busca mantener los datos libres de

modificaciones no autorizadas. (No es igual a integridad referencial en bases de
datos.) A groso modo, la integridad es el mantener con exactitud la informacin tal
14
cual fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
ISO/IEC 27000: Publicada el 1 de Mayo de 2009, revisada con una segunda

edicin de 01 de Diciembre de 2012 y una tercera edicin de 14 de Enero de
2014. Esta norma proporciona una visin general de las normas que componen la
serie 27000, indicando para cada una de ellas su alcance de actuacin y el
propsito de su publicacin. Recoge todas las definiciones para la serie de normas
27000 y aporta las bases de por qu es importante la implantacin de un SGSI,
una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una
breve descripcin de los pasos para el establecimiento, monitorizacin,
mantenimiento y mejora de un SGSI (la ltima edicin no aborda ya el ciclo Plan-
Do-Check-Act para evitar convertirlo en el nico marco de referencia para la
mejora continua).
ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre

de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de
gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002
(que ya qued anulada) y es la norma con arreglo a la cual se certifican por
auditores externos los SGSIs de las organizaciones.
Poltica de seguridad: Toda intencin y directriz expresada formalmente por la

Direccin, Su objetivo es proporcionar a la gerencia la direccin y soporte para la
seguridad de la informacin, en concordancia con los requerimientos comerciales
y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma
particular por cada organizacin. Se debe redactar un "Documento de la poltica
de seguridad de la informacin".
Procedimientos: Es un conjunto de acciones u operaciones que tienen que

realizarse de la misma forma, para obtener siempre el mismo resultado bajo las
mismas circunstancias (por ejemplo, procedimiento de emergencia).
Recursos: Un recurso es una fuente o suministro del cual se produce un beneficio
Riesgo. Combinacin de la probabilidad de un evento y sus consecuencias
Sistema de deteccin de intrusos: (o IDS de sus siglas en ingls Intrusion

Detection System) es un programa usado para detectar accesos no autorizados a
un computador o a una red. Estos accesos pueden ser ataques de habilidosos
crackers, o de Script Kiddies que usan herramientas automticas.
SGSI: Es la abreviatura utilizada para referirse a un Sistema de Gestin de la

Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
siglas de Informacin Security Management System.
15
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organizacin o de fuentes externas) o de la fecha de elaboracin.
Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser

aprovechada por una o ms amenazas.
16
INTRODUCCIN
En la actualidad la informacin se ha denominado dentro de una empresa como

uno de los activos ms importantes, de all la necesidad de proteger la
informacin de los diferentes riesgos a los que se encuentra expuesta.
El estar a la vanguardia de la tecnologa, el compartir informacin a diario a travs

de los diferentes sistemas tecnolgicos y electrnicos es una necesidad pero
tambin convierte la informacin en una activo vulnerable por lo tanto cada
organizacin asume el reto de proteger su activo ms preciado.
La implementacin de un SGSI es una opcin fundamental cuando se trata de

proteger la informacin, ya que este tiene como objetivo esencial proteger dicho
activo a travs de controles y polticas de seguridad que deben ser aplicadas en
una organizacin en cabeza de la gerencia.
La curadura urbana segunda de Pasto, a travs del diseo e implementacin de

un SGSI busca minimizar los riesgos a los que se encuentra expuesta la
informacin de la organizacin desarrollo que se documenta paso a paso.
Para el desarrollo de la primera fase se aplica la metodologa Magerit con la cual

se realiza el anlisis de riesgos que es uno de los procesos ms importantes que
se debe realizar dentro de la empresa ya que permite identificar y analizar cada
uno de los procesos y determinar los riesgos a los cuales esta expuestos cada uno
de ellos. Adems permite identificar amenazas y vulnerabilidades.
Para el anlisis de riesgos se realiza un inventario de activos, valoracin

cualitativa de dichos activos, identificacin de amenazas, definicin de
salvaguardas. Una vez realizado este procesos y analizado las pruebas
realizadas a la red de la Curadura con herramientas de anlisis de trafico de
red se procede a realizar una evaluacin de los riesgos el cual permite
determinar que activos se encuentran en peligro.
Una vez identificado claramente los activos que se encuentran en riesgo y que
generaran mayor impacto en caso de sufrir un ataque, se procede a definir
polticas de seguridad, la declaracin y aplicabilidad de los controles y el plan de
gestin del riesgo, para cada uno de estos activos teniendo en cuenta lo expuesto
por la Norma ISO/IEC 27002. Dichas polticas y controles deben ser
implementadas en la organizacin por parte de la gerencia, en este caso por
Curador urbano junto al comit de seguridad para cumplir el objetivo fundamental
del SGSI que es proteger la informacin y disminuir los riesgos, garantizando la
continuidad del negocio.
17
1. ELEMENTOS DE IDENTIFICACIN
1.1 TEMA
Dentro de las lneas de investigacin de la UNAD el proyecto de grado est

enfocado hacia la seguridad informtica, la gestin e implementacin de polticas
de seguridad, el buen uso de los recursos informticos que involucran la parte
administrativa y operativa de la empresa, especialmente en:
Medidas de seguridad lgicas con respecto a los equipos y a los usuarios

Prevencin de amenazas y riesgos.
Diseo e implementacin de polticas de seguridad
Uso adecuado de archivos y recursos
Medidas de seguridad fsica y controles de acceso
Herramientas y prcticas de seguridad
Implantacin de un SGSI que ofrece seguridad y proteccin en la informacin
para el Registros de proyectos, Control de proyectos, reportes, consultas etc.
1.2 TTULO
Diseo e implementacin de un SGSI para el rea de informtica de la Curadura

Urbana Segunda de Pasto bajo la Norma ISO/IEC 27001
1.3 LNEA DE INVESTIGACIN
La propuesta presentada se enmarca dentro de la lnea de investigacin de

gestin de sistemas especficamente dentro de la auditora de sistemas que hacen
referencia a:
1.3.1 Gestin de sistemas: Se ocupa de integrar, planificar y controlar los

aspectos tcnicos, humanos, organizativos, comerciales y sociales del proceso
completo empezando con el anlisis del dominio del problema, continuando con el
diseo de alternativas de solucin y finalizando con la operatividad de un sistema.
La gestin de sistema incluye tambin procesos que abarcan la planificacin de
actividades, metas, responsables, indicadores de eficiencia eficacia y efectividad.
1.3.2 Auditora de sistemas: Incluye control de informacin, calidad de

procesos, seguridad informtica, que son vitales para asegurar la validez y
veracidad de la informacin.
18
1.4 PLANTEAMIENTO DEL PROBLEMA.
1.4.1 Descripcin del problema. La Curadura Urbana Segunda de Pasto es

una entidad privada con funcin pblica que se encarga de tramitar y aprobar
solicitudes de licencias urbansticas en el municipio de Pasto, actualmente maneja
un volumen considerablemente alto de informacin, cuenta con una base de datos
que alberga aproximadamente de 15.000 registros de proyectos urbansticos
aprobados y en trmite, en cada registro se almacenan los datos de cada proyecto
como numero catastral, matricula inmobiliaria, direccin, barrio, estrato etc.
La Curadura funciona en el segundo piso de un edificio, cuenta con 5 oficinas

con 10 estaciones de trabajo conectadas a travs de una red inalmbrica. Los
archivos de licencias urbansticas, recursos, memorandos, descripciones, oficios,
reportes, informes y la base de datos pueden ser accedidos, consultados y
modificados por todos los empleados de la Curadura desde su estacin de
trabajo, estos cuentan con privilegios para instalar, descargar software, navegar
en internet, y pueden acceder a sus correos electrnicos, adems pueden utilizar
memorias usb, copiar cd, acceder a redes sociales teniendo a su disposicin toda
la informacin histrica y actual de la Curadura Urbana Segunda de Pasto etc.
donde es evidente la inseguridad a la que est expuesta la informacin.
1.4.2 Formulacin del problema. Cmo proteger de manera efectiva la

informacin relacionada con licencias y proyectos urbansticos en trmite en la
curadura urbana segunda de Pasto?
1.5 OBJETIVOS
1.5.1 Objetivo general. Disear e implementar un sistema de gestin de

seguridad de la informacin bajo la norma ISO/IEC 27001 en la curadura urbana
segunda de Pasto para el rea de informtica, que permita establecer polticas de
seguridad y disminuir el riesgo de la informacin ante un eventual ataque.
1.5.2 Objetivos especficos
Identificar riesgos de seguridad en el rea de informtica a los que est

expuesta la Curadura Urbana Segunda de Pasto.
Describir los principales problemas de seguridad que presenta la entidad en el

rea de informtica.
Definir las medidas de seguridad ms apropiadas a aplicarse en este caso.
19
Definir polticas de seguridad encaminadas a minimizar los riesgos a los que
est expuesta la informacin.
Plantear un SGSI para el rea de informtica bajo la norma ISO/IEC 27001

para la Curadura Urbana Segunda de Pasto que permita obtener
confidencialidad, integridad y disponibilidad de la informacin.
Implementar un SGSI para el rea de informtica que permita proteger los

recursos informticos ms valiosos para la CU como la informacin, el
hardware y el software.
1.6 JUSTIFICACIN
Proteger la informacin de una empresa consiste en poner barreras de proteccin

para bloquear posibles ataques, es necesario proteger todos los medios de acceso
a la empresa debido a que las ltimas dcadas el uso del internet y los sistemas
de informacin es ms comn lo que convierte a una empresa en vulnerable frente
a los atacantes.
La Curadura Urbana Segunda de Pasto como cualquier empresa exitosa busca

mejorar da a da prestando un mejor servicio a todo el municipio de Pasto
adoptando herramientas de optimizacin, basadas en nuevas tecnologas y
estableciendo polticas de seguridad de la informacin a fin de alcanzar el xito a
corto, mediano y largo plazo, con el propsito de establecerse metas, que
permitan aumentar las ganancias y aporten al desarrollo social con la
participacin y colaboracin tanto de directivos como de empleados.
La informacin se ha denominado como uno de los activos ms valiosos en una

empresa por lo tanto definir polticas de seguridad en el manejo de la informacin
y en el uso de herramientas tecnolgicas es vital, porque permite evitar
problemas e incidentes que afectan el buen funcionamiento de la empresa.
Por lo tanto se hace un anlisis general de los principales objetivos y necesidades

ms apremiantes que se tienen en este momento, donde es evidente que carece
de polticas de seguridad para la proteccin de la informacin a nivel general.
Hasta el momento no se han presentado dificultades referentes a ataques, pero el

riesgo es inminente y estas falencias pueden traer inconvenientes desastrosos,
puesto que la Curadura es una empresa con funcin pblica que se encarga de
expedir licencias Urbansticas para todo el municipio de Pasto, se puede decir
que la informacin puede ser robada, manipulada, o modificada para fines
delictivos.
20
Por lo anteriormente expuesto es de suma importancia el diseo de un SGSI para
el rea de informtica bajo la norma ISO/IEC 27001 que permita obtener una
visin global del estado de los sistemas de informacin y observar claramente las
medidas de seguridad a aplicar para prevenir futuros incidentes.
1.7 DELIMITACIN
El proceso se viene adelantando desde hace nueve (9) meses y se pretende

terminar en un perodo de (2) dos meses.
Para optar por el ttulo de Especialista en Informtica, se hace el diseo e

implementacin de un SGSI para el rea de Informtica de la Curadura Urbana
Segunda de Pasto bajo la Norma ISO/IEC 27001, realizando un inventario de los
activos, identificando riesgos e implementado polticas de seguridad que deben
ser aplicadas por los empleados de esta organizacin para mejorar la seguridad
de informacin sensible como lo es el registro y control de proyectos urbansticos.
Este proyecto se realizar en San Juan de Pasto (Nario Colombia), y est

dirigido a curadura urbana segunda de Pasto, ubicada en la Calle 18 # 19-95
barrio, el Centro.
1.8 ALCANCES
Este proyecto puede adaptarse a empresas de la misma naturaleza prestadoras

de servicios como la curadura urbana primera de Pasto y curaduras de otras
ciudades, atendiendo a nuevos requerimientos.
21
2. MARCO REFERENCIAL
Para desarrollar el presente proyecto es importante conocer conceptos que estn

relacionados directamente con el tema, tener un soporte terico que permita
clarificar definiciones con la finalidad de dar respuesta a los requerimientos del
proyecto; cada uno de los procesos en el desarrollo del proyecto significa la
bsqueda de resultados y est acompaada de una buena investigacin
necesaria para alcanzar los objetivos propuestos
2.1 MARCO TERICO
2.1.1 Sistema de Gestin de la Seguridad de la Informacin SGSI
2.1.1.1 Qu es un SGSI?: SGSI es la abreviatura utilizada para referirse a un

Sistema de Gestin de la Seguridad de la Informacin. ISMS es el concepto
equivalente en idioma ingls, siglas de Informacin Security Management System.
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de

datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organizacin o de fuentes externas) o de la fecha de elaboracin.
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de

su confidencialidad, integridad y disponibilidad, as como de los sistemas
implicados en su tratamiento, dentro de una organizacin.
La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de

su confidencialidad, integridad y disponibilidad, as como de los sistemas
implicados en su tratamiento, dentro de una organizacin. As pues, estos tres
trminos constituyen la base sobre la que se cimienta todo el edificio de la
seguridad de la informacin:
Confidencialidad: la informacin no se pone a disposicin ni se revela a

individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la informacin y
sus mtodos de proceso.
Disponibilidad: acceso y utilizacin de la informacin y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
En base al conocimiento del ciclo de vida de cada informacin relevante se debe

adoptar el uso de un proceso sistemtico, documentado y conocido por toda la
22
organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI1.
Figura 1. SGSI
Fuente: www.iso27000.es
2.1.1.2 Para qu sirve un SGSI? La informacin, junto a los procesos y

sistemas que hacen uso de ella, son activos muy importantes de una organizacin.
La confidencialidad, integridad y disponibilidad de informacin sensible pueden
llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad,
conformidad legal e imagen empresarial necesarios para lograr los objetivos de la
organizacin y asegurar beneficios econmicos.
Las organizaciones y sus sistemas de informacin estn expuestos a un nmero

cada vez ms elevado de amenazas que, aprovechando cualquiera de las
vulnerabilidades existentes, pueden someter a activos crticos de informacin a
diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus
informticos, el hacking o los ataques de denegacin de servicio son algunos
ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de
sufrir incidentes de seguridad causados voluntaria o involuntariamente desde
dentro de la propia organizacin o aquellos provocados accidentalmente por
catstrofes naturales y fallos tcnicos.
1 1
ISO 27001. (2005). El portal de ISO 27001 en Espaol. Obtenido de http://www.iso27000.es/iso27000.html
23
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las
condiciones variables del entorno, la proteccin adecuada de los objetivos de
negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos fundamentales en los que
un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin
de las organizaciones2.
Figura 2. Utilidad de un SGSI
El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por

s mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la
organizacin, con la gerencia al frente, tomando en consideracin tambin a
clientes y proveedores de bienes y servicios. El modelo de gestin de la seguridad
debe contemplar unos procedimientos adecuados y la planificacin e implantacin
de controles de seguridad basados en una evaluacin de riesgos y en una
medicin de la eficacia de los mismos.
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a

establecer estas polticas y procedimientos en relacin a los objetivos de negocio
de la organizacin, con objeto de mantener un nivel de exposicin siempre menor
al nivel de riesgo que la propia organizacin ha decidido asumir.
2
IBID., ISO 27001.
24
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su
informacin y los asume, minimiza, transfiere o controla mediante una sistemtica
definida, documentada y conocida por todos, que se revisa y mejora
constantemente.
2.1.1.3 Qu incluye un SGSI?. En el mbito de la gestin de la calidad segn

ISO 9001, siempre se ha mostrado grficamente la documentacin del sistema
como una pirmide de cuatro niveles. Es posible trasladar ese modelo a un
Sistema de Gestin de la Seguridad de la Informacin basado en ISO 27001 de la
siguiente forma 3:
Figura 3. Qu incluye un SGSI
Documentos de Nivel 1:
Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa
tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que
expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y
directrices principales, etc., del SGSI.
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma

eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin.
Instrucciones, checklists y formularios: documentos que describen cmo se realizan las

tareas y las actividades especficas relacionadas con la seguridad de la informacin.
3
IBID., ISO 27001.
25
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los
requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output
que demuestra que se ha cumplido lo indicado en los mismos.
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo
una identificacin clara de las dependencias, relaciones y lmites que existen entre el
alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que
el mbito de influencia del SGSI considere un subconjunto de la organizacin como
delegaciones, divisiones, reas, procesos, sistemas o tareas concretas)4.
Poltica y objetivos de seguridad: Documento de contenido genrico que establece el

compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad
de la informacin.
Procedimientos y mecanismos de control que soportan al SGSI: Aquellos

procedimientos que regulan el propio funcionamiento del SGSI.
Enfoque de evaluacin de riesgos: Descripcin de la metodologa a emplear (cmo se

realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e
impactos en relacin a los activos de informacin contenidos dentro del alcance
seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de
riesgo aceptables .
Informe de evaluacin de riesgos: Estudio resultante de aplicar la metodologa de

evaluacin anteriormente mencionada a los activos de informacin de la organizacin.
Plan de tratamiento de riesgos: Documento que identifica las acciones de la direccin,

los recursos, las responsabilidades y las prioridades para gestionar los riesgos de
seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de
riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.
Procedimientos documentados: Todos los necesarios para asegurar la planificacin,

operacin y control de los procesos de seguridad de la informacin, as como para la
medida de la eficacia de los controles implantados.
Registros: Documentos que proporcionan evidencias de la conformidad con los requisitos

y del funcionamiento eficaz del SGSI.
Declaracin de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas);

documento que contiene los objetivos de control y los controles contemplados por el
4
IBID., ISO 27001.
26
SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Control de la documentacin
Para los documentos generados se debe establecer, documentar, implantar y mantener

un procedimiento que defina las acciones de gestin necesarias para:
Aprobar documentos apropiados antes de su emisin5.

Revisar y actualizar documentos cuando sea necesario y renovar su validez
Garantizar que los cambios y el estado actual de revisin de los documentos estn
identificados.
Garantizar que las versiones relevantes de documentos vigentes estn disponible
en los lugares de empleo.
Garantizar que los documentos se mantienen legibles y fcilmente identificables.
Garantizar que los documentos permanecen disponibles para aquellas personas
que los necesiten y que son transmitidos, almacenados y finalmente destruidos
acorde con los procedimientos aplicables segn su clasificacin.
Garantizar que los documentos procedentes del exterior estn identificados.
Garantizar que la distribucin de documentos est controlada.
Prevenir la utilizacin de documentos obsoletos.
Aplicar la identificacin apropiada a documentos que son retenidos con algn
propsito.
2.1.1.4 Cmo implementar un SGSI?. Para establecer y gestionar un Sistema de

Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo
continuo PDCA, tradicional en los sistemas de gestin de la calidad.
Figura 4. Ciclo PDCA
5
IBID., ISO 27001.
27
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI6.
2.1.1.4.1 Plan: Establecer el SGSI
Definir el alcance del SGSI en trminos del negocio, la organizacin, su

localizacin, activos y tecnologas, incluyendo detalles y justificacin de
cualquier exclusin.
Definir una poltica de seguridad que: Incluya el marco general y los objetivos
de seguridad de la informacin de la organizacin; considere requerimientos
legales o contractuales relativos a la seguridad de la informacin; est
alineada con el contexto estratgico de gestin de riesgos de la organizacin
en el que se establecer y mantendr el SGSI; establezca los criterios con los
que se va a evaluar el riesgo; est aprobada por la direccin.
Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los
requerimientos del negocio, adems de establecer los criterios de aceptacin
del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta
metodologa es que los resultados obtenidos sean comparables y repetibles
(existen numerosas metodologas estandarizadas para la evaluacin de
riesgos, aunque es perfectamente aceptable definir una propia).
Identificar los riesgos: Identificar los activos que estn dentro del alcance del
SGSI y a sus responsables directos, denominados propietarios; identificar las
amenazas en relacin a los activos; identificar las vulnerabilidades que puedan
ser aprovechadas por dichas amenazas; identificar los impactos en la
confidencialidad, integridad y disponibilidad de los activos.
Analizar y evaluar los riesgos: Evaluar el impacto en el negocio de un fallo de
seguridad que suponga la prdida de confidencialidad, integridad o
disponibilidad de un activo de informacin; evaluar de forma realista la
probabilidad de ocurrencia de un fallo de seguridad en relacin a las
amenazas, vulnerabilidades, impactos en los activos y los controles que ya
estn implementados; estimar los niveles de riesgo; determinar, segn los
criterios de aceptacin de riesgo previamente establecidos, si el riesgo es
aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
Aplicar controles adecuados; aceptar el riesgo, siempre y cuando se siga
cumpliendo con las polticas y criterios establecidos para la aceptacin de los
riesgos; evitar el riesgo, p. ej., mediante el cese de las actividades que lo
6
IBID., ISO 27001.
28
originan; transferir el riesgo a terceros, p. ej., compaas aseguradoras o
proveedores de outsourcing7.
Figura 5. Gestin de Riesgos8
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001
para el tratamiento del riesgo que cumplan con los requerimientos
identificados en el proceso de evaluacin del riesgo.
Aprobar por parte de la direccin tanto los riesgos residuales como la
implantacin y uso del SGSI.
Definir una declaracin de aplicabilidad que incluya: Los objetivos de control y
controles seleccionados y los motivos para su eleccin; los objetivos de control
y controles que actualmente ya estn implantados; los objetivos de control y
controles del Anexo A excluidos y los motivos para su exclusin; este es un
mecanismo que permite, adems, detectar posibles omisiones involuntarias.
En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO

17799) proporciona una completa gua de implantacin que contiene 133
controles, segn 39 objetivos de control agrupados en 11 dominios. Esta norma es
7
IBID., ISO 27001.
8
ISO / IEC 2700 (2009) Tecnologa de la informacin - Tcnicas de seguridad - Gestin de la seguridad de la
Informacin Medicin. Obtenido de http://www.iso27001security.com/html/27004.html
29
referenciada en ISO 27001, en su segunda clusula, en trminos de documento
indispensable para la aplicacin de este documento y deja abierta la posibilidad
de incluir controles adicionales en el caso de que la gua no contemplase todas las
necesidades particulares.
2.1.1.4.2 Do: Implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos que identifique las acciones,
recursos, responsabilidades y prioridades en la gestin de los riesgos de
seguridad de la informacin9.
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los

objetivos de control identificados, incluyendo la asignacin de recursos,
responsabilidades y prioridades.
Implementar los controles anteriormente seleccionados que lleven a los
objetivos de control.
Definir un sistema de mtricas que permita obtener resultados
reproducibles y comparables para medir la eficacia de los controles o
grupos de controles.
Procurar programas de formacin y concienciacin en relacin a la
seguridad de la informacin a todo el personal.
Gestionar las operaciones del SGSI.
Gestionar los recursos necesarios asignados al SGSI para el
mantenimiento de la seguridad de la informacin.
Implantar procedimientos y controles que permitan una rpida deteccin y
respuesta a los incidentes de seguridad.
2.1.1.4.3 Check: Monitorizar y revisar el SGSI
La organizacin deber:
Ejecutar procedimientos de monitorizacin y revisin para: Detectar a tiempo

los errores en los resultados generados por el procesamiento de la
informacin; identificar brechas e incidentes de seguridad; ayudar a la
direccin a determinar si las actividades desarrolladas por las personas y
dispositivos tecnolgicos para garantizar la seguridad de la informacin se
desarrollan en relacin a lo previsto; detectar y prevenir eventos e incidentes
de seguridad mediante el uso de indicadores; determinar si las acciones
realizadas para resolver brechas de seguridad fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de
la poltica y objetivos del SGSI, los resultados de auditoras de seguridad,
9
IBID., ISO 27001.
30
incidentes, resultados de las mediciones de eficacia, sugerencias y
observaciones de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los
riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles
cambios que hayan podido producirse en la organizacin, la tecnologa, los
objetivos y procesos de negocio, las amenazas identificadas, la efectividad de
los controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales, etc.
Realizar peridicamente auditoras internas del SGSI en intervalos
planificados.
Revisar el SGSI por parte de la direccin peridicamente para garantizar que
el alcance definido sigue siendo el adecuado y que las mejoras en el proceso
del SGSI son evidentes.
Actualizar los planes de seguridad en funcin de las conclusiones y nuevos
hallazgos encontrados durante las actividades de monitorizacin y revisin.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad
o el rendimiento del SGSI.
2.1.1.4.4 Act: Mantener y mejorar el SGSI
La organizacin deber regularmente:
Implantar en el SGSI las mejoras identificadas.

Realizar las acciones preventivas y correctivas adecuadas en relacin a la
clusula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias
propias y de otras organizaciones.
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel
de detalle adecuado y acordar, si es pertinente, la forma de proceder.
Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva
de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.
Tngase en cuenta que no tiene que haber una secuencia estricta de las
fases, sino que, p. ej., puede haber actividades de implantacin que ya se
lleven a cabo cuando otras de planificacin an no han finalizado; o que se
monitoricen controles que an no estn implantados en su totalidad.
31
2.1.1.5 Qu tareas tiene la gerencia en un SGSI? 10. Uno de los componentes
primordiales en la implantacin exitosa de un Sistema de Gestin de Seguridad de
la Informacin es la implicacin de la direccin. No se trata de una expresin
retrica, sino que debe asumirse desde un principio que un SGSI afecta
fundamentalmente a la gestin del negocio y requiere, por tanto, de decisiones y
acciones que slo puede tomar la gerencia de la organizacin. No se debe caer en
el error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada a
niveles inferiores del organigrama; se estn gestionando riesgos e impactos de
negocio que son responsabilidad y decisin de la direccin.
El trmino Direccin debe contemplarse siempre desde el punto de vista del

alcance del SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de
la organizacin afectada por el SGSI (recurdese que el alcance no tiene por qu
ser toda la organizacin).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la
direccin se detallan en los siguientes puntos:
2.1.1.5.1 Compromiso de la direccin. La direccin de la organizacin debe

comprometerse con el establecimiento, implementacin, operacin,
monitorizacin, revisin, mantenimiento y mejora del SGSI. Para ello, debe tomar
las siguientes iniciativas:
Establecer una poltica de seguridad de la informacin.

Asegurarse de que se establecen objetivos y planes del SGSI.
Establecer roles y responsabilidades de seguridad de la informacin.
Comunicar a la organizacin tanto la importancia de lograr los objetivos de
seguridad de la informacin y de cumplir con la poltica de seguridad, como
sus responsabilidades legales y la necesidad de mejora continua.
Asignar suficientes recursos al SGSI en todas sus fases.
Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.
Asegurar que se realizan auditoras internas.
Realizar revisiones del SGSI, como se detalla ms adelante.
2.1.1.5.2 Asignacin de Recursos. Para el correcto desarrollo de todas las

actividades relacionadas con el SGSI, es imprescindible la asignacin de recursos.
Es responsabilidad de la direccin garantizar que se asignan los suficientes para:
Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el

SGSI.
Garantizar que los procedimientos de seguridad de la informacin apoyan los
requerimientos de negocio.
10
IBID., ISO 27001.
32
Identificar y tratar todos los requerimientos legales y normativos, as como las
obligaciones contractuales de seguridad.
Aplicar correctamente todos los controles implementados, manteniendo de esa
forma la seguridad adecuada.
Realizar revisiones cuando sea necesario y actuar adecuadamente segn los
resultados de las mismas.
Mejorar la eficacia del SGSI donde sea necesario.
2.1.1.5.3 Formacin y concienciacin11. La formacin y la concienciacin en

seguridad de la informacin son elementos bsicos para el xito de un SGSI. Por
ello, la direccin debe asegurar que todo el personal de la organizacin al que se
le asignen responsabilidades definidas en el SGSI est suficientemente
capacitado. Se deber:
Determinar las competencias necesarias para el personal que realiza tareas

en aplicacin del SGSI.
Satisfacer dichas necesidades por medio de formacin o de otras acciones
como, p. ej., contratacin de personal ya formado.
Evaluar la eficacia de las acciones realizadas.
Mantener registros de estudios, formacin, habilidades, experiencia y
cualificacin.
Adems, la direccin debe asegurar que todo el personal relevante est
concienciado de la importancia de sus actividades de seguridad de la informacin
y de cmo contribuye a la consecucin de los objetivos del SGSI.
2.1.1.5.4 Revisin del SGSI. La direccin de la organizacin se le asigna tambin

la tarea de, al menos una vez al ao, revisar el SGSI, para asegurar que contine
siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que
le ayuden a tomar decisiones, entre las que se pueden enumerar:
Resultados de auditoras y revisiones del SGSI.

Observaciones de todas las partes interesadas.
Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el
rendimiento y eficacia del SGSI.
Informacin sobre el estado de acciones preventivas y correctivas.
Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en
evaluaciones de riesgos anteriores.
Resultados de las mediciones de eficacia.
Estado de las acciones iniciadas a raz de revisiones anteriores de la
direccin.
Cualquier cambio que pueda afectar al SGSI.
11
IBID., ISO 27001.
33
Recomendaciones de mejora.
Basndose en todas estas informaciones, la direccin debe revisar el SGSI y

tomar decisiones y acciones relativas a:
Mejora de la eficacia del SGSI.

Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos.
Modificacin de los procedimientos y controles que afecten a la seguridad de
la informacin, en respuesta a cambios internos o externos en los requisitos
de negocio, requerimientos de seguridad, procesos de negocio, marco legal,
obligaciones contractuales, niveles de riesgo y criterios de aceptacin de
riesgos.
Necesidades de recursos.
Mejora de la forma de medir la efectividad de los controles12.
2.1.2 Conceptos Bsicos
2.1.2.1 Qu es la seguridad de la informacin?. La informacin es un activo

que, como otros activos importantes del negocio, es esencial para las actividades
de la organizacin y, en consecuencia, necesita una proteccin adecuada. Esto es
especialmente importante en el entorno de negocios cada vez ms interconectado.
Como resultado de esta interconexin creciente, la informacin se expone a un
gran nmero y variedad de amenazas y vulnerabilidades (vase tambin OECD
Gua para la seguridad redes sistemas de informacin).
La informacin puede existir en diversas formas. Se puede imprimir o escribir en

papel, almacenar electrnicamente, transmitir por correo o por medios
electrnicos, presentar en pelculas, o expresarse en la conversacin. Cualquiera
sea su forma o medio por el cual se comparte o almacena, siempre debera tener
proteccin adecuada.
La seguridad de la informacin es la proteccin de la informacin contra una gran

variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar
el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades de
negocio.
La seguridad de la informacin se logra implementando un conjunto apropiado de

controles, incluyendo polticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y hardware. Los controles necesitan ser
establecidos, implementados, monitoreados, revisados y mejorados, donde sea
necesario, para asegurar que se cumplen los objetivos especficos de seguridad y
12
IBID., ISO 27001.
34
del negocio de la organizacin. Esto debera hacerse en conjunto con otros
procesos de gestin de negocio.
2.1.2.2 Por qu es necesaria la seguridad de la informacin?. La seguridad

de la informacin es importante tanto para los negocios del sector pblico como
del privado y para proteger la infraestructura critica. En ambos sectores, la
seguridad de la informacin actuara como un elemento facilitador para lograr, por
ejemplo, gobierno en lnea (e government) o negocios electrnicos (e-Business) y
evitar o reducir los riesgos pertinentes. La interconexin de las redes pblicas y
privadas y compartir los recursos de informacin incrementan la dificultad para
lograr el control del acceso. La tendencia hacia la computacin distribuida tambin
ha debilitado la eficacia del control central y especializado.
Muchos sistemas de informacin no se han diseado para ser seguros. La

seguridad que se puede lograr a travs de los medios tcnicos es limitada y
debera estar soportada por una buena gestin y por procedimientos apropiados.
La identificacin de los controles que se deberan establecer requiere planificacin
y atencin cuidadosa a los detalles. La gestin de la seguridad de la informacin
requiere, como mnimo, la participacin de todos los empleados de la
organizacin13.
Tambin puede requerir la participacin de accionistas, proveedores, terceras

partes, clientes u otras partes externas. De igual modo puede ser necesaria la
asesora especializada de organizaciones externas.
2.1.2.3 Cmo establecer los requisitos de seguridad? Es esencial que la

organizacin identifique sus requisitos de seguridad. Existen tres fuentes
principales de requisitos de seguridad:
Una fuente se deriva de la evaluacin de los riesgos para la organizacin,

teniendo en cuenta la estrategia y los objetivos globales del negocio. A travs
de la evaluacin de riesgos, se identifican las amenazas para los activos, se
evalan la vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto
potencial.
Otra fuente son los requisitos legales, estatutarios, reglamentarios y
contractuales que debe cumplir la organizacin, sus socios comerciales, los
contratistas y los proveedores de servicios, as como su entorno socio-cultural.
Una fuente adicional es el conjunto particular de principios, objetivos y
requisitos del negocio para el procesamiento de la informacin que la
organizacin ha desarrollado para apoyar sus operaciones.
13
IBID., ISO 27001.
35
2.1.2.4 Confidencialidad: La confidencialidad es la propiedad que impide la
divulgacin de informacin a personas o sistemas no autorizados. A grandes
rasgos, asegura el acceso a la informacin nicamente a aquellas personas que
cuenten con la debida autorizacin.
2.1.2.5 Integridad: Es la propiedad que busca mantener los datos libres de

modificaciones no autorizadas. (No es igual a integridad referencial en bases de
datos.) A groso modo, la integridad es el mantener con exactitud la informacin tal
cual fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
2.1.2.6 Disponibilidad: La disponibilidad es la caracterstica, cualidad o condicin de

la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya
sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el
acceso a la informacin y a los sistemas por personas autorizadas en el momento
que as lo requieran.
2.1.2.7 Evaluacin de los riesgos de seguridad: La reduccin de riesgos no puede

ser un proceso arbitrario y regido por la voluntad de los dueos o administradores
de la empresa, sino que adems de seguir medidas adecuadas y eficientes, se
deben tener en cuenta los requerimientos y restricciones de la legislacin y las
regulaciones nacionales e internacionales, objetivos organizacionales, bienestar
de clientes y trabajadores, costos de implementacin y operacin (pues existen
medidas de seguridad de gran calidad pero excesivamente caras, tanto que es
ms cara la seguridad que la propia ganancia de una empresa, afectando la
rentabilidad)14.
Se debe saber que ningn conjunto de controles puede lograr la seguridad

completa, pero que s es posible reducir al mximo los riesgos que amenacen con
afectar la seguridad en una organizacin.
2.1.2.8 Evento de seguridad de la informacin. Un evento de seguridad de la

informacin es la presencia identificada de un estado del sistema, del servicio o de
la red que indica un posible incumplimiento de la poltica de seguridad de la
informacin, una falla de controles, o una situacin previamente desconocida que
puede ser pertinente para la seguridad.
2.1.2.9 Incidente de seguridad de la informacin. Un incidente de seguridad de la

informacin est indicado por un solo evento o una serie de eventos inesperados o
no deseados de seguridad de la informacin que tienen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad
de la informacin.
14
IBID., ISO 27001.
36
2.1.2.10 Poltica de seguridad: Toda intencin y directriz expresada formalmente por
la Direccin, Su objetivo es proporcionar a la gerencia la direccin y soporte para
la seguridad de la informacin, en concordancia con los requerimientos
comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser
creado de forma particular por cada organizacin. Se debe redactar un
"Documento de la poltica de seguridad de la informacin".
2.1.2.11 Riesgo. Combinacin de la probabilidad de un evento y sus consecuencias
2.1.2.12 Anlisis de riesgos. Uso sistemtico de la informacin para identificar las

fuentes y estimar el riesgo.
2.1.2.13 Evaluacin de riesgos. Todo proceso de anlisis y valoracin del riesgo.
2.1.2.14 Valoracin del riesgo. Proceso de comparacin del riesgo estimado frente a
criterios de riesgo establecidos para determinar la importancia del riesgo.
2.1.2.15 Gestin del riesgo. Actividades coordinadas para dirigir y controlar una
organizacin con respecto al riesgo.
2.1.2.16 Amenaza. Causa potencial de un incidente no deseado, que puede

ocasionar dao a un sistema u organizacin.
2.1.2.17 Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser

aprovechada por una o ms amenazas.
2.1.3 Sobre la Norma ISO/IEC 27000
2.1.3.1 ISO/IEC 2700015: Publicada el 1 de Mayo de 2009, revisada con una segunda
edicin de 01 de Diciembre de 2012 y una tercera edicin de 14 de Enero de
2014. Esta norma proporciona una visin general de las normas que componen la
serie 27000, indicando para cada una de ellas su alcance de actuacin y el
propsito de su publicacin. Recoge todas las definiciones para la serie de normas
27000 y aporta las bases de por qu es importante la implantacin de un SGSI,
una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una
breve descripcin de los pasos para el establecimiento, monitorizacin,
mantenimiento y mejora de un SGSI (la ltima edicin no aborda ya el ciclo Plan-
Do-Check-Act para evitar convertirlo en el nico marco de referencia para la
mejora continua).
2.1.3.2 ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de

Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del
15
IBID., ISO 27001.
37
sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-
2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por
auditores externos los SGSIs de las organizaciones.
2.1.3.3 ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO

17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas
prcticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de
control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su
apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los
controles de ISO 27002:2005.
2.1.3.4 ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una

gua que se centra en los aspectos crticos necesarios para el diseo e
implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe
el proceso de especificacin y diseo desde la concepcin hasta la puesta en
marcha de planes de implementacin, as como el proceso de obtencin de
aprobacin por la direccin para implementar un SGSI.
2.1.3.5 ISO/IEC 27004: Publicada el 15 de Diciembre de 2009. No certificable. Es una

gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables
para determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados segn ISO/IEC 27001.
2.1.3.6 ISO/IEC 27005: Publicada en segunda edicin el 1 de Junio de 2011 (primera

edicin del 15 de Junio de 2008). No certificable. Proporciona directrices para la
gestin del riesgo en la seguridad de la informacin. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001:2005 y est diseada para
ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un
enfoque de gestin de riesgos. Su primera publicacin revis y retir las normas
ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:200016.
2.1.3.7 ISO/IEC 27006: Publicada en segunda edicin el 1 de Diciembre de 2011

(primera edicin del 1 de Marzo de 2007). Especifica los requisitos para la
acreditacin de entidades de auditora y certificacin de sistemas de gestin de
seguridad de la informacin. Es una versin revisada de EA-7/03 (Requisitos para
la acreditacin de entidades que operan certificacin/registro de SGSIs) que
aade a ISO/IEC 17021 (Requisitos para las entidades de auditora y certificacin
de sistemas de gestin) los requisitos especficos relacionados con ISO
27001:2005 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditacin
de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO 27001,
pero no es una norma de acreditacin por s misma.
16
IBID., ISO 27001.
38
2.1.3.8 ISO/IEC 27007: Publica da el 14 de Noviembre de 2011. No certificable. Es
una gua de auditora de un SGSI, como complemento a lo especificado en ISO
19011. En Espaa, esta norma no est traducida.
2.1.3.9 ISO/IEC TR 27008: Publicada el 15 de Octubre de 2011. No certificable. Es

una gua de auditora de los controles seleccionados en el marco de implantacin
de un SGSI. En Espaa, esta norma no est traducida.
2.1.4 Conceptos sobre Curaduras
2.1.4.1 Que son las curaduras urbanas: Son oficinas independientes de la

Administracin Municipal, que operan bajo la responsabilidad de particulares
llamados Curadores Urbanos y en las cuales los interesados deben realizar los
trmites relacionados con la obtencin de licencias urbansticas y reconocimientos
de edificaciones y otras actividades complementarias a stas.
2.1.4.2 Qu es el curador urbano: El Curador Urbano es un particular con funciones

pblicas; encargado de estudiar, tramitar y expedir licencias de parcelacin,
urbanizacin, construccin, y subdivisin de predios, a peticin del interesado en
adelantar proyectos de esta ndole en las distintas zonas de la ciudad que la
administracin municipal le haya determinado como su jurisdiccin.
Igualmente, resolvern las solicitudes de prorroga y modificacin de dichas
licencias as como otras actuaciones como aprobacin de los planos de propiedad
horizontal y movimiento de tierras. El Curador Urbano ejerce una funcin pblica
para la verificacin del cumplimiento de las normas urbansticas y de edificaciones
vigentes y es autnomo en el ejercicio de sus funciones y responsable conforme a
la Ley17.
2.1.4.3 Quin designa al curador urbano: El alcalde municipal designa a los

Curadores Urbanos para perodos individuales de cinco (5) aos, previo concurso
de mritos y puede ser designado previa evaluacin de su desempeo.
2.1.4.4 Qu es una licencia urbanstica: Es la autorizacin previa, expedida por el

cual el Curador Urbano a solicitud del interesado para adelantar obras de
urbanizacin, parcelacin, loteo o subdivisin de predios; de construccin,
ampliacin, adecuacin, reforzamiento estructural, modificacin y demolicin de
edificaciones.
2.1.4.5 Qu es una licencia de urbanizacin: Es la autorizacin previa para ejecutar

en uno o varios predios localizados en suelo urbano, la creacin de espacios
pblicos y privados y la construccin de las obras de infraestructura que permitan
la adecuacin y dotacin de estos terrenos para la futura construccin de
17
Decreto1469. (2010). Ministerio de Vivienda Ciudad y Territorio. Obtenido de http://www.minvivienda.gov.co.
39
edificaciones con destino a usos urbanos acordes con el plan de ordenamiento
territorial del municipio.
2.1.4.6 Qu es una licencia de parcelacin: Es la autorizacin previa para ejecutar en

uno o varios predios localizados en suelo rural y suburbano, la creacin de
espacios pblicos y privados y la ejecucin de obras para vas e infraestructura
que garanticen la autoprestacin de los servicios domiciliarios que permitan
destinar los predios resultantes a los usos permitidos por el plan de ordenamiento
territorial del municipio y la normatividad agraria y ambiental aplicable.
2.1.4.7 Qu es una licencia de subdivisin: Es la autorizacin previa para dividir uno o

varios predios localizados en suelo rural, urbano o de expansin de conformidad
con el plan de ordenamiento territorial del municipio. Son modalidades de la
Licencia de Subdivisin en suelo rural y de expansin; la Subdivisin Rural y en
suelo urbano; la Subdivisin Urbana y Reloteo. La Licencia de Subdivisin no
implica autorizacin alguna para urbanizar, parcelar, o construir sobre los lotes
resultantes, para cuyo efecto, en todos los casos, deber adelantar el trmite de
solicitud de licencia de parcelacin, urbanizacin o construccin.
2.1.4.8 Qu es una licencia de construccin: Es la autorizacin previa para desarrollar

edificaciones en uno o varios predios de conformidad con el plan de ordenamiento
territorial del municipio. Son modalidades de la licencia de construccin las
autorizaciones para Obra nueva, Ampliacin, Adecuacin, Modificacin,
Restauracin, Reforzamiento estructural, Demolicin y Cerramiento.
2.1.4.9 Cul es el trmino de tiempo que tiene un curador urbano para expedir una
licencia: Cuarenta y cinco (45) das hbiles. Este plazo podr prorrogarse hasta en
la mitad del mismo 18.
2.1.4.10 Quienes pueden solicitar una licencia urbanstica: Los titulares de derechos
reales principales, los propietarios del derecho de dominio a ttulo de fiducia y los
fideicomitentes de las mismas fiducias, de los inmuebles objeto de la solicitud. Los
poseedores solo podrn ser titulares de las licencias de construccin.
2.1.4.11 Que documentos se deben adjuntar para obtener una licencia

urbanstica. Toda solicitud de licencia debe acompaarse de los siguientes
documentos:
Formulario nico nacional de solicitud de licencia, completamente diligenciado.
Copia del certificado de libertad y tradicin del inmueble o inmuebles objeto de
la solicitud, cuya fecha de expedicin no sea superior a un (1) mes antes de la
fecha de solicitud.
18
IBID., Decreto1469.
40
Plano de localizacin e identificacin del predio o predios objeto de la solicitud,
mediante carta catastral del Codazzi IGAC.
Certificado de demarcacin urbanstica y arquitectnica de la oficina de
Planeacin Municipal.
Copia del documento que acredite el pago o declaracin privada con pago del
impuesto predial de los ltimos cinco (5) aos, donde figure la nomenclatura
alfanumrica o identificacin del predio.
Si el solicitante de la licencia fuera una persona jurdica, deber acreditarse la
existencia y representacin de la misma mediante el documento legal idneo,
cuya fecha de expedicin no sea superior a un (1) mes.
Poder debidamente otorgado, cuando se acte mediante apoderado.
La relacin de la direccin de los vecinos de los predios colindantes objeto de
la solicitud y si fuere posible el nombre de ellos.
La manifestacin bajo la gravedad del juramento de si el proyecto sometido a
consideracin se destinar o no a vivienda de inters social, de lo cual se
dejar constancia en el acto que resuelva la solicitud de licencia.
Los documentos o planos que el proyecto requiera en forma especfica.
2.1.4.12 Cul es la vigencia y prrroga de una licencia: Las licencias de urbanizacin,

parcelacin y construccin tendrn una vigencia mxima de veinticuatro (24)
meses, prorrogables por una sola vez por un plazo adicional de doce (12) meses.
Cuando en la misma licencia se conceda licencia de urbanizacin y construccin,

estas tendrn una vigencia mxima de treinta y seis (36) meses prorrogables por
un periodo adicional de doce (12) meses.
La prrroga deber formularse dentro de los treinta (30) das calendario, anteriores
al vencimiento de la respectiva licencia, siempre y cuando se haya iniciado la
obra19.
Las licencias de subdivisin tendrn una vigencia improrrogable de seis (6) meses.
Las Licencias de Reconocimiento, cuando fuere necesario adecuar la edificacin

al cumplimiento de las normas, tendrn un plazo mximo de veinticuatro (24)
meses improrrogables, para que el interesado ejecute dichas actuaciones.
2.2. MARCO CONTEXTUAL
La Curadura Urbana Segunda de Pasto inicia labores el 18 de Julio del 2002 la

sede de la curadura urbana segunda est ubicada en el centro de la ciudad,
contigua a la plaza del carnaval y la cultura, en la Calle 18 No 19 95 oficina 208,
209, 210, 211, conmutador 7204488 telefax 7330203.
19
IBID., Decreto1469.
41
En la actualidad la curadura segunda de Pasto cuenta con 12 empleados que se
encargan de elaborar diferentes trabajos as:
La curadura cuenta con una recepcin encargada de radicacin, liquidaciones y

atencin al pblico, un rea tcnica dividida en una parte legal revisada por una
abogada con especializacin en derecho administrativo, quien es la persona
encargada de revisar la legalidad de la documentacin recibida; y en cuanto a la
parte estructural revisada por un ingeniero especializado en estructuras quien es
el encargado de cotejar los planos y memorias a la luz de la Norma de Sismo-
resistencia Colombiana NSR 10.
En cuanto a la revisin arquitectnica es realizada por el curador urbano quien al

contar con un postgrado en urbanismo se encarga de revisar los planos
arquitectnicos y atender consultas en cuanto al cumplimiento del Plan de
Ordenamiento Territorial POT.
Por otra parte existen personas que se encargan de realizar la parte operativa
como, ingreso de proyectos al sistema actual, comunicacin de vecinos, ubicacin
de proyectos, transcripcin de memos, elaboracin de licencias, citacin de
vecinos y organizacin de archivo.
2.3. MARCO LEGAL
Las Curaduras por ser oficinas independientes de la Administracin Municipal,

que operan bajo la responsabilidad de particulares llamados Curadores Urbanos
que ejercen la funcin pblica estn reglamentadas por las siguientes normas y
Decretos nacionales y locales.
Normas Nacionales y locales20
Ley 388 del 18 de Julio de 1997 Ley de ordenamiento territorial

Decreto 4397-2006 - Modifica Decreto 564/06 y Decreto 96/06
Decreto 2181_290606- planes parciales
Ley 810 de 2003 sanciones urbansticas
Ley 675 - propiedad horizontal
Ley 361 de 1997 - minusvlidos
Decreto1504-1998- espacio pblico
Decreto 1538 DE 2005 - accesibilidad
Decreto 96 2006 - decreto 3600_20-09 de 2007 suelo rural
Ley 9 de 1989 ley de reforma urbana
20
MINVIVIENDA. (2010). Decreto 1469. Obtenido de http://www.minvivienda.gov.co/Decretos%20Vivienda/1469%20-
%202010.pdf#search=1469
42
Decreto 975-2004 subsidio de vivienda
Decreto 1469 de 2010
Plan de ordenamiento territorial de Pasto POT.
2.3.1 Normas Nacionales:
2.3.1.1 Ley 388 del 18 de Julio de 1997 Ley de ordenamiento territorial: Por la cual se
modifica la Ley 9 de 1989, y la Ley 3 de 1991 y se dictan otras disposiciones. El
Congreso de Colombia.
DECRETA: CAPITULO I Objetivos y principios generales Artculo 1. Objetivos. La

presente ley tiene por objetivos:
1. Armonizar y actualizar las disposiciones contenidas en la Ley 9 de 1989 con

las nuevas normas establecidas en la Constitucin Poltica, la Ley Orgnica del
Plan de Desarrollo, la Ley Orgnica de reas Metropolitanas y la Ley por la que
se crea el Sistema Nacional Ambiental.
2. El establecimiento de los mecanismos que permitan al municipio, en ejercicio de
su autonoma, promover el ordenamiento de su territorio, el uso equitativo y
racional del suelo, la preservacin y defensa del patrimonio ecolgico y cultural
localizado en su mbito territorial y la prevencin de desastres en
asentamientos de alto riesgo, as como la ejecucin de acciones urbansticas
eficientes.
3. Garantizar que la utilizacin del suelo por parte de sus propietarios se ajuste a
la funcin social de la propiedad y permita hacer efectivos los derechos
constitucionales a la vivienda y a los servicios pblicos domiciliarios, y velar por
la creacin y la defensa del espacio pblico, as como por la proteccin del
medio ambiente y la prevencin de desastres.
4. Promover la armoniosa concurrencia de la Nacin, las entidades territoriales, las
autoridades ambientales y las instancias y autoridades administrativas y de
planificacin, en el cumplimiento de las obligaciones constitucionales y legales
que prescriben al Estado el ordenamiento del territorio, para lograr el
mejoramiento de la calidad de vida de sus habitantes.
5. Facilitar la ejecucin de actuaciones urbanas integrales, en las cuales confluyan

en forma coordinada la iniciativa, la organizacin y la gestin municipales con la
poltica urbana nacional, as como con los esfuerzos y recursos de las
entidades encargadas del desarrollo de dicha poltica21.
21
MINVIVIENDA. (1997). Ley 388. Obtenido de http://www.minvivienda.gov.co/LeyesMinvivienda/0388%20-
%201997.pdf#search=ley%20388%20de%201997
43
Artculo 2. Principios. El ordenamiento del territorio se fundamenta en los
siguientes principios:
1. La funcin social y ecolgica de la propiedad.
2. La prevalencia del inters general sobre el particular.
3. La distribucin equitativa de las cargas y los beneficios.
Artculo 3. Funcin pblica del urbanismo. El ordenamiento del territorio

constituye en su conjunto una funcin pblica, para el cumplimiento de los
siguientes fines:
1. Posibilitar a los habitantes el acceso a las vas pblicas, infraestructuras de

transporte y dems espacios pblicos, y su destinacin al uso comn, y hacer
efectivos los derechos constitucionales de la vivienda y los servicios pblicos
domiciliarios.
2. Atender los procesos de cambio en el uso del suelo y adecuarlo en aras del
inters comn, procurando su utilizacin racional en armona con la funcin
social de la propiedad a la cual le es inherente una funcin ecolgica,
buscando el desarrollo sostenible.
3. Propender por el mejoramiento de la calidad de vida de los habitantes, la
distribucin equitativa de las oportunidades y los beneficios del desarrollo y la
preservacin del patrimonio cultural y natural.
4. Mejorar la seguridad de los asentamientos humanos ante los riesgos
naturales.
Artculo 4. Participacin democrtica. En ejercicio de las diferentes actividades

que conforman la accin urbanstica, las administraciones municipales, distritales y
metropolitanas debern fomentar la concertacin entre los intereses sociales,
econmicos y urbansticos, mediante la participacin de los pobladores y sus
organizaciones. Esta concertacin tendr por objeto asegurar la eficacia de las
polticas pblicas respecto de las necesidades y aspiraciones de los diversos
sectores de la vida econmica y social relacionados con el ordenamiento del
territorio municipal, teniendo en cuenta los principios sealados en el artculo 2 de
la presente ley. La participacin ciudadana podr desarrollarse mediante el
derecho de peticin, la celebracin de audiencias pblicas, el ejercicio de la accin
de cumplimiento, la intervencin en la formulacin, discusin y ejecucin de los
planes de ordenamiento y en los procesos de otorgamiento, modificacin,
suspensin o revocatoria de las licencias urbansticas, en los trminos
establecidos en la ley y sus reglamentos...
_______________________
21
MINVIVIENDA. (1997). Ley 388. Obtenido de http://www.minvivienda.gov.co/LeyesMinvivienda/0388%20-
%201997.pdf#search=ley%20388%20de%201997
44
2.3.1.2 Decreto 1469 del 2010 del Ministerio de Ambiente, Vivienda y Desarrollo
Territorial: "Por el cual se reglamentan las disposiciones relativas a las licencias
urbansticas; al reconocimiento de edificaciones; a la funcin pblica que
desempean los curadores urbanos; a la legalizacin de asentamientos humanos
constituidos por viviendas de inters social, y se expiden otras disposiciones.
2.3.2 Normas Locales
2.3.2.1 Decreto nmero 0026 del 13 de octubre de 2009: Por medio del cual se realiza
la revisin ordinaria y ajustes del Plan de Ordenamiento Territorial del Municipio de
Pasto, adoptado mediante Decreto Municipal 0084 de 2003 y se dictan otras
disposiciones.
2.4 MARCO HISTRICO
LA CURADURIA URBANA SEGUNDA DE PASTO inicia labores el 18 de Julio

del 2002 una vez toma posesin del cargo de curador urbano segundo de Pasto;
el arquitecto Germn Vela Luna, ante el alcalde del municipio de Pasto, Dr.
Eduardo Alvarado Santander, por designacin realizada despus de haber logrado
obtener el puntaje necesario en el concurso de mritos, realizado por la alcalda
municipal por convocatoria pblica.
Actualmente el ingeniero Hernando Castillo Bravo ejerce el cargo de curador

urbano segundo de Pasto, tras ser designado mediante Decreto expedido por la
Administracin Municipal como Curador Urbano Segundo Provisional desde el 19
de Julio 2012 hasta la fecha
La sede de la curadura urbana segunda est ubicada en el centro de la ciudad,

contigua a la plaza del carnaval y la cultura, en la Calle 18 No 19 95 oficina 208,
209, 210, 211, conmutador 7204488 telefax 7330203.
En la actualidad la curadura segunda de Pasto cuenta con 12 empleados que se

encargan de elaborar diferentes trabajos as:
La curadura cuenta con una recepcin encargada de radicacin, liquidaciones y

atencin al pblico, un rea tcnica dividida en una parte legal revisada por una
abogada con especializacin en derecho administrativo, quien es la persona
encargada de revisar la legalidad de la documentacin recibida; y en cuanto a la
parte estructural revisada por un ingeniero especializado en estructuras quien es
el encargado de cotejar los planos y memorias a la luz de la Norma de Sismo-
resistencia Colombiana NSR 98.
45
En cuanto a la revisin arquitectnica es realizada por el curador urbano quien al
contar con un postgrado en urbanismo se encarga de revisar los planos
arquitectnicos y atender consultas en cuanto al cumplimiento del Plan de
Ordenamiento Territorial POT.
Por otra parte existen personas que se encargan de realizar la parte operativa
como, ingreso de proyectos al sistema actual, comunicacin de vecinos, ubicacin
de proyectos, transcripcin de memos, elaboracin de licencias, citacin de
vecinos y organizacin de archivo.
46
3. DISEO METODOLGICO
El proyecto est encaminado al diseo de un SGSI bajo la norma ISO/IEC 27001

que permita definir polticas de seguridad orientadas a la disminucin de riesgos
para la informacin de la Curadura Urbana Segunda de Pasto y a satisfacer los
requerimientos necesarios para la prestacin de un buen servicio con eficiencia y
calidad.
Con los diferentes mtodos de recoleccin de informacin como la encuestas a

empleados de los diferentes departamentos de la Curadura Urbana Segunda de
Pasto y la observacin directa de los procesos se pretende realizar una
investigacin analtica y descriptiva donde se identifiquen los componentes
necesarios a tener en cuenta en el diseo del SGSI.
Se analizar paso a paso cuales son las necesidades en el rea de informtica en

cuanto a seguridad fsica, seguridad interna, seguridad externa, seguridad lgica,
seguridad perimetral, elementos de control para la seguridad del hardware y
software, alcances, anlisis de riesgos, amenazas, posibles ataques, plan de
contingencia y polticas de seguridad.
Este proceso se lo realiza mediante observacin directa y encuestas a empleados.
La encuesta aplicada a los empleados de la curadura, pretende medir las

buenas prcticas de ellos para el manejo de la informacin, el conocimiento de los
riesgos y el conocimiento sobre la seguridad de la informacin.
Tanto la observacin directa como la aplicacin de la encuesta estn encaminadas

a medir el grado de conocimiento sobre la importancia de seguridad en el manejo
de la informacin y la importancia del seguimiento y aplicacin de polticas de
seguridad.
Una vez analizada la informacin se propondr polticas de seguridad a

implementar teniendo en cuanta la Norma ISO/IEC 27001 para disminuir los
riesgos en cuanto a la seguridad de la informacin.
3.1 TIPO DE INVESTIGACIN
Este proyecto se enmarca dentro del tipo de investigacin descriptiva y

analtica porque abarca la recoleccin, descripcin, registro, anlisis e
interpretacin de la informacin, y la comprensin de procesos y fenmenos de la
realidad estudiada. El anlisis se hace sobre el funcionamiento y manejo actual de
47
la informacin, sobre el cual se pretende detectar falencias, plantear soluciones y
resolver problemas22.
3.1.1 Descriptiva: se efecta cuando se desea describir, en todos sus componentes

principales, una realidad; se refiere a la etapa preparatoria del trabajo cientfico
que permita ordenar el resultado de las observaciones de las conductas, las
caractersticas, los factores, los procedimientos y otras variables de fenmenos y
hechos. Este tipo de investigacin no tiene hiptesis explicada.
3.1.2 Analtica: Es un procesamiento ms complejo con respecto a la investigacin

descriptiva, que consiste fundamentalmente en establecer la comparacin de
variables entre grupos de estudio y de control sin aplicar o manipular las variables,
estudiando stas segn se dan naturalmente en los grupos. Adems, se refiere a
la proposicin de hiptesis que el investigador trata de probar o negar.
3.2 MTODO DE INVESTIGACIN
El mtodo de investigacin definido en este estudio es de tipo descriptivo, puesto

que se conoce una situacin problema, a partir de la cual se espera analizar y
evaluar a travs de variables los diferentes requerimientos para el anlisis y
diseo de un SGSI bajo la norma ISO/IEC 27001.
3.3 UNIVERSO Y MUESTRA
3.3.1 Poblacin. Para la encuesta de los empleados, la poblacin de estudio

est conformada por el personal que labora en la curadura urbana segunda de
Pasto.
Tabla 1. Poblacin conformada por el personal de la curadura urbana segunda de

Pasto.
Poblacin Nmero de Personas

Curadura Urbana Segunda de Pasto 11 Empleados
Total 11 Empleados
Fuente: Esta Investigacin
22
Ciclo PDCA. Sistemas de Gestin de Seguridad de la Informacin. Obtenido de
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-14-agosto-2013/135_ciclo_pdca__edward_deming.htmll
48
3.3.2 Muestra
Teniendo en cuenta que el personal que labora en la Curadura es igual a un
nmero de personas relativamente pequeo, se tom como muestra el total de
personas = 11.
3.4 RECOLECCIN DE LA INFORMACIN
La informacin que se pretende recopilar se obtendr de la curadura urbana

segunda de Pasto, su perfil, generalidades, situacin actual y en general el
anlisis de riesgos de seguridad en el rea de informtica
3.4.1 Informacin primaria: Encuestas y pruebas: A travs de las encuestas

aplicadas a los empleados de la Curadura se determinar la problemtica interna
de la Curadura referente al manejo de la informacin, los procedimientos de
seguridad actuales e la implementacin de polticas de seguridad necesarias para
disminuir riesgos, adems de la realizacin de pruebas como reconocimiento,
mapeo y escaneo de red que permitan detectar posibles riesgos a los que est
expuesta la informacin.
3.4.2 Informacin secundaria: Para determinar los requerimientos externos se tendr

en cuenta toda la informacin de tipo bibliogrfico, los conceptos aprendidos en la
transcurso de la especializacin, los cuales permiten enfocarnos en el problema
de investigacin, as como pginas de Internet con informacin del tema de
estudio.
3.4.3 Instrumentos de recoleccin de informacin. Para la recoleccin de la

informacin se utiliz la tcnica de observacin directa, la tcnica de la encuesta y
realizacin de pruebas:
3.4.3.1 Tcnica de Observacin: (Modalidad de observacin Nmero de

Observadores: Individual; segn el lugar donde se realiza: En la vida real) Se
observ cmo se realizan siguientes actividades como: Inicio del sistema,
ubicacin del servidor, ingreso de datos al sistema, elaboracin de copias de
seguridad, actualizacin de informacin, manejo de correos electrnicos.
3.4.3.2 Tcnica de Encuesta: Para la encuesta empleados, consiste en un

cuestionario que contiene preguntas cerradas, preguntas categorizadas con
respuesta en abanico, preguntas de estimacin. Para la estructuracin del
documento se tom en cuenta variables como: Tiempo, frecuencia, calidad,
problemas, estados, reportes y nivel de satisfaccin.
3.4.3.3 Tcnica de realizacin de pruebas: Consiste en la realizacin de pruebas con

herramientas de escaneo o de anlisis de trfico de red, cuando la red est
operando, para verificar cul es su funcionamiento.
49
3.4.4 Muestras
3.4.4.1 Muestra Empleados: Tcnica de Encuesta: Para la estructuracin del

documento se tom en cuenta aspectos como: Eventos presentados referentes a
la confidencialidad, integridad y disponibilidad de la informacin, manejo de
contraseas, medidas y polticas de seguridad, fallos, robos, virus etc.
3.4.4.2 Caractersticas de la encuesta para empleados de la Curadura. El

instrumento consta de: 10 tems, la forma de contestar es escrita en un tiempo de
10 a 15 minutos.
3.4.4.5 Descripcin del Instrumento:
Presentacin: Los instrumentos estn diseados con base en el siguiente criterio:

El cumplimiento de los Objetivos.
Normas de Administracin: Los instrumentos fueron aplicados en forma

individual a los empleados de la Curadura. El diseo de tems consta de
preguntas cerradas, preguntas categorizadas con respuesta en abanico,
preguntas de estimacin y de opcin mltiple las cuales el sujeto puede elegir la
respuesta con la que mayor se identifique.
reas que explora: La elaboracin de los instrumentos permite indagar si existen

falencias y dificultades en los procesos de manejo y seguridad de la informacin.
3.5 PROCESAMIENTO DE LA INFORMACIN
La informacin de la cual se dispone para el diseo e implementacin de un SGSI

para el rea de Informtica de la curadura urbana segunda de Pasto se clasifica
y analiza minuciosamente para determinar riesgos, debilidades, amenazas y
polticas de seguridad a implementarse a travs del SGSI.
3.5.1 Metodologa para el anlisis y diseo. En el diseo de un SGSI se debe

seguir una serie de procesos que permitan organizar las actividades para
construir el producto, teniendo en cuenta un conjunto de mtodos y tcnicas que
permitan desarrollar un SGSI de calidad.
Para el desarrollo del presente proyecto se toma como gua el mtodo

denominado Ciclo PDCA (en espaol PHVA)
Para la implantacin de un sistema de Gestin de la seguridad de la informacin,

se requiere del desarrollo de actividades que marquen un orden lgico para llevar
organizado todo el proceso. El modelo PDCA (Plan, do, check, act), en su
50
equivalencia en espaol es Planificar, hacer, verificar y actuar (PHVA), es una
estrategia de mejora continua de calidad en cuatro pasos. Este modelo es muy
utilizado para implantacin de sistemas de gestin, como los sistemas de gestin
de la calidad que muchas empresas de hoy lo implantan para la calidad
administrativa y de servicios con el objetivo de perfeccionarlos y continuar en un
proceso de mejora continua23.
Para el caso de la implantacin de Sistemas de Gestin de la Seguridad

informtica, el ciclo PDCA es una estrategia efectiva para la organizacin y
documentacin que se requiere en este proceso.
El ciclo PDCA como modelo para implantacin de SGSI, permanece en una

constante revaluacin, por cuanto funciona, bajo la filosofa del mejoramiento
continuo; en seguridad sera la revaluacin de las medidas de prevencin,
correccin y evaluacin, manteniendo un constante ciclo que por sus
caractersticas no podra terminar. A continuacin se detalla cada uno de los
pasos del modelo Deming como metodologa apropiada los SGSI.
Planear: En esta etapa se enmarca todo el proceso de anlisis de la situacin en

que actualmente se encuentra la empresa respecto a los mecanismos de
seguridad implementados y la normativa ISO/IEC 17799:2005, la cual se pretende
implantar para evaluacin y certificacin. As mismo en la etapa de planeacin se
organizan fases relevantes como son:
Establecer el compromiso con los directivos de la empresa para el inicio,

proceso y ejecucin
Fase de anlisis de informacin de la organizacin, En esta fase se
comprueba cules son los sistemas informticos de hardware y los sistemas
de informacin que actualmente utiliza la empresa para el cumplimiento de su
misin u objeto social.
Fase de evaluacin del riesgo; En esta fase se evala los riesgos, se tratan y
se seleccionan los controles a implementar.
Hacer: En esta etapa se implementan todos los controles necesarios de acuerdo a

una previa seleccin en la etapa de planeacin, teniendo en cuenta el tipo de
empresa. Tambin se formula y se implementa un plan de riesgo
Verificar: Consiste en efectuar el control de todos los procedimientos

implementados en el SGSI. En este sentido, se realizan exmenes peridicos
para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos
23
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-14-agosto-2013/135_ciclo_pdca__edward_deming.htmll
51
aceptables y residuales y se realicen peridicamente auditoras internas para el
SGSI.
Actuar: Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas,

realizar las acciones correctivas y preventivas, mantener comunicacin con el
personal de la organizacin relevante.
3.5.2 Anlisis de la encuesta realizada a los empleados de Curadura Urbana

Segunda de Pasto. Despus de analizada la informacin recolecta por medio de
la encuesta a los empleados de la Curadura a travs de 10 preguntas que estn
encaminadas a evaluar los siguientes aspectos como incidentes presentados,
manejo y cambio de contraseas, medidas y polticas de seguridad adoptadas
actualmente por la empresa, se pueden exponer las siguientes conclusiones:
Se puede decir que el manejo y cambio de contraseas no es el ms adecuado

y no se cambian las contraseas con frecuencia.
Los empleados manifiestan que todos han tenido inconvenientes al utilizar su

computador como instrumento de trabajo, ya sea por lentitud, por bloqueo, por
mensajes de error, inconvenientes de acceso a red. Adems manifiestan no
conocer polticas concretas que se deben tener en cuenta para proteger la
informacin.
Por lo anteriormente mencionado se hace necesario implementar un SGSI que

permita clasificar la informacin, conocer que activos son los ms importantes
para la empresa, realizar un anlisis de riesgos, definir salvaguardas, definir
responsabilidades en el manejo de la informacin y adoptar polticas y controles
de seguridad para proteger el rea de informtica de la Curadura Urbana
Segunda de Pasto. (Anexo A.)
3.5.3 Descripcin y anlisis de la prueba realizada a la red de la Curadura

Urbana Segunda de Pasto, con Wiresshark. Adicionalmente se realiza un
anlisis de trfico para la red de la Curadura Urbana Segunda de Pasto, utilizando
la herramienta Wireshark con virtualbox con kali Linux, donde se puede observar
las actividades de cada uno de los host que integran la red, la direccin Ip del
servidor, la direccin ip de los host, los protocolos de transmisin como UDP,
TCP, HTTPs, ARP, DNS, el tiempo, la fuente, el destino, el protocolo utilizado, la
longitud, las solicitudes que se realizan al servidor, los accesos a pginas de
internet etc. El informe y pantallazos sobre el anlisis de la red se encuentra en el
anexo B
52
4. SGSI PARA LA CURADURIA URBANA SEGUNDA DE PASTO
Teniendo en cuenta el ciclo PDCA que permite realizar una serie de pasos y
procesos para la construccin de un SGSI, a continuacin se procede a realizar
cada una de estas etapas:
4.1. ESTABLECER EL SGSI
4.1.1 Alcance. Con el fin de mejorar la calidad en la prestacin del servicio en el

otorgamiento de licencias urbansticas se aplica el SGSI a los procesos, recursos
informticos y tecnolgicos que hacen parte del rea de informtica de la
Curadura Urbana Segunda de Pasto con el fin de establecer polticas para
gestionar adecuadamente la seguridad de la informacin y debe ser aplicada y
cumplida por todos los empleados de la organizacin.
4.1.2 Poltica del Sistema de Gestin. La Curadura Urbana Segunda de Pasto

pretende que la informacin manejada por la entidad referente al estudio, tramite,
otorgamiento y archivo sobre la expedicin de licencias urbansticas; est
debidamente protegida con el fin de preservar y salvaguardar la confidencialidad,
disponibilidad e integridad de la informacin, ya que es una entidad privada con
funcin pblica encargada de autorizar licencias que cumplan con las normas
urbansticas, arquitectnicas, jurdicas y estructurales tanto locales como
nacionales.
El Curador Urbano es el responsable de la implementacin de los requerimientos

de seguridad con el fin de proteger la informacin por lo tanto en su organizacin
se debe elaborar un anlisis y evaluacin del riesgo para gestionarlos
adecuadamente y disminuir eventos indeseados.
4.1.3 Metodologa de Evaluacin del Riesgo. Se elige la metodologa Magerit

para el anlisis y gestin de los de riesgos porque:
Los pasos para su ejecucin estn claramente definidos.
La documentacin es clara, amplia y permite realizar una identificacin

adecuada del entorno donde va a ser aplicada.
Permite enfocar los esfuerzos al anlisis de riesgos crticos para la empresa,

por lo tanto se puede trabajar ms claramente en las posibles soluciones para
dichos riesgos.
53
Se puede decir que por estar incluida en los estndares ISO, sirve como
como punto de partida para procesos de certificacin y mejoramiento del
sistema de gestin para la empresa.
Permite el anlisis a riesgos, donde se identifican y valoran los diferentes

componentes que pueden tener los riesgos.
Permite la minimizacin de riesgos mediante la implementacin de medidas de

seguridad.
MAGERIT le permita una empresa saber cunto valor est en juego y le

ayudar a protegerlo.
Con MAGERIT los resultados de anlisis de riesgos se pueden expresar en

valores cualitativos y cuantitativos, lo que permite a los directivos tomar
decisiones.
Segn MAGERIT: El anlisis de riesgos es una aproximacin metdica para

determinar el riesgo siguiendo unos pasos pautados estos pasos son:
Paso 1: Inventario de Activos

Paso 2: Valoracin de los activos
Paso 3: Amenazas (identificacin y valoracin)
Paso 4: Salvaguardias
Paso 5: Impacto residual y riesgo residual
Resultados del anlisis de riesgos
4.1.4 Anlisis de Riesgos de la Curadura Urbana Segunda de Pasto
4.1.4.1. Inventario de Activos. Las empresas deben proteger la confidencialidad,

integridad y disponibilidad de la informacin para velar por la continuidad del
negocio independientemente de su actividad social. Para proteger dicha
informacin de riesgos y amenazas la Curadura Urbana Segunda de Pasto realiza
un inventario de sus activos teniendo en cuenta la metodologa Magerit que los
clasifica en los siguientes grupos.
Activos esenciales
Datos o informacin (catalogados como fundamentales),
Servicios,
Las aplicaciones de software.
Equipos informticos
Personal
Redes de Comunicacin
54
Soportes de Informacin
Equipamiento Auxiliar
Instalaciones
4.1. 4.1.1 Activos esenciales
Cdigo grupo Nombre grupo de activo Cdigo Activo de Nombre activo de

de activo Magerit acuerdo a la empresa acuerdo a la empresa
Magerit
[vr] Datos vitales [I_Proyectos] Informacin de Proyectos
radicados (base de
datos y registro de
proyectos )
[I_Licencias] Informacin de Licencias
[I_Normativa] Informacin de
Normativa ( Normas
locales, nacionales, POT,
acuerdos, decretos,
Cartografa)
[per] Datos de Carcter [I_Contabilidad] Contabilidad de la
Personal empresa
[classified] Datos clasificados [E_S_Licenciador] Ejecutable software
Licenciador
[D_Histricos] Datos Histricos de
proyectos radicados
[D_Proyectos] Documentacin de
proyectos tramitados.
4.1. 4.1.2 Datos/Informacin
Cdigo Nombre grupo de activo Cdigo Activo de acuerdo Nombre activo de

grupo de Magerit a la empresa acuerdo a la empresa
activo
Magerit
[files] Ficheros [A_proyectos] Archivos de proyectos
radicados
[A_Clientes] Archivos de Clientes
[A_Contabilidad] Archivo de Contabilidad
[A_Informes y Licencias ] Archivos de Informes y
licencias expedidas
[backup] Copias de Respaldo [A_Copias de Seguridad] Archivo de Copias de
seguridad de la
informacin
[conf] Datos de configuracin [D_Configuracion_ser] Datos de configuracin
de servidores y equipos
[int] Datos de gestin interna [D_GestionProyectos] Datos de Gestin de
proyectos radicados
[password] Credenciales [Pass_usuarios] Contraseas de acceso
de empleados
55
4.1.4.1.3 Claves Criptogrficas. Debemos garantizar cifrado de datos y
comunicaciones por el hecho de manejar aplicaciones bancarias.
Cdigo grupo Nombre grupo de Cdigo Activo de acuerdo a la Nombre activo de

de activo activo Magerit empresa acuerdo a la empresa
Magerit
[encrypt] Claves de cifra [CC_Aplicaciones_bancarias] Claves de cifra de
aplicaciones
bancarias
4.1.4.1.4 Inventario de Servicios. Los servicios son para los clientes y

empleados.
Cdigo Nombre grupo de activo Cdigo Activo de acuerdo a Nombre activo de

grupo de Magerit la empresa acuerdo a la empresa
activo
Magerit
[ext] A usuarios externos (bajo [S_U_Externo] Servicios prestados a
una relacin contractual) usuarios externos bajo
relacin contractual
(Clientes de proyectos)
[int] Interno (a usuarios de la [S_U_Interno] Servicios prestados a
propia organizacin) trabajadores tanto al
interior como haciendo
uso de internet.
[www] World wide web [S_Internet] Servicio de internet al
que pueden acceder los
empleados.
[email] Correo electrnico [S_correo] Manejo de correos
electrnicos
[file] Almacenamiento de [S_A_Bases de datos] Servicio de
ficheros almacenamiento de
informacin en el
servidor de bases de
datos.
[ipm] Gestin de privilegios [G_privilegios] Manejo de privilegios de
acuerdo al rol dentro de
la empresa y el lugar de
donde est ingresando,
considerando el
desempeo como
teletrabajo.
4.1.4.1.5 Software Aplicaciones Informticas. Ya que la empresa se dedica al

otorgamiento de licencias urbansticas cuenta con un servidor y software
licenciador donde se registra, actualiza y almacena el estado de cada proyecto,
genera reportes y licencias.
56
Cdigo grupo de Nombre grupo de activo Cdigo Activo de Nombre activo de
activo Magerit Magerit acuerdo a la empresa acuerdo a la empresa
[app] Servidor de aplicaciones [Server_App] Servidor de
aplicaciones
[dbms] Sistema de gestin de bases [S_BaseDeDatos] Gestor base de datos,
de datos aplicacin destinada a
realizar el proceso de
gestin de las bases
de datos manejadas
al interior de la
empresa.
[Oficce] Ofimtica [Oficce] Office 2010
[av] Antivirus [Antivirus] McAfee original con
actualizaciones
automticas.
[os] Sistema operativo [OS_Win7] Sistema operativo
Windows 7, en su
versin professional
con actualizaciones
automticas
activadas.
4.1.4.1.6 Equipos Informticos. Se consideran todos los equipos informticos de

la empresa.
Cdigo grupo de Nombre grupo de activo Cdigo Activo de Nombre activo de

activo Magerit Magerit acuerdo a la empresa acuerdo a la empresa
[host] Grandes equipos (Servidor [S_Aplicaciones] Servidor
de bases de datos, Aplicaciones
servidores de aplicacin) [S_Database] Servidor de Base de
Datos
[mid] Equipos medios (Equipos de [PC_trabajadores] Equipos de mesa
trabajo conectados a travs
de red inalmbrica por red
802.1x)
[pc] Equipos que son fcilmente [PC_portatiles] Equipos Portatiles
transportados
[print] Equipos de impresin [E_Impresoras] Impresoras
[router] Enrutadores [R_enrutadores] Enrutadores
4.1.4.1.7 Redes de comunicaciones. Se considera las redes de comunicaciones.
Cdigo grupo Nombre grupo de activo Cdigo Activo de acuerdo Nombre activo de
de activo Magerit a la empresa acuerdo a la empresa
Magerit
[wifi] Red inalmbrica [R_wifi] Red Inalmbrica
[LAN] Red local [R_Local] Red local
[Internet] Internet [Internet] Internet
57
4.1.4.1.8 Soportes de Informacin _almacenamiento electrnico. Se considera
dispositivos fsicos de almacenamiento electrnico.
Cdigo grupo Nombre grupo de activo Cdigo Activo de Nombre activo de

de activo Magerit acuerdo a la empresa acuerdo a la empresa
Magerit
[cd] Discos [A_CD] Almacenamientos en
Disco Duro
[cd] Cederrom (CD_ROM) [A_CD] Almacenamiento en CD
[USB] Memorias [A_Memorias] Almacenamiento en
Memorias
[dvd] DVR [A_DVD] Almacenamiento en DVD
4.1.4.1.9 Soportes de Informacin _almacenamiento no electrnico. Se

considera dispositivos fsicos de almacenamiento no electrnico.
Cdigo Nombre grupo de Cdigo Activo de acuerdo a la Nombre activo de acuerdo a

grupo de activo Magerit empresa la empresa
activo
Magerit
[printed] Material impreso C_Documentacinproyecto Carpetas con la
documentacin de cada
proyecto(documentacin,
planos, memorias de clculo y
estudios de suelos)
C_Reporteseinformes Carpetas de reportes e
informes impresos
C_SoprtesContabilidad Carpetas facturas y soportes
contabilidad
C_varios Carpetas varios
4.1.4.1.10 Equipamiento auxiliar. Equipos de soportes a los sistemas

informticos sin estar directamente relacionados.
Cdigo Nombre grupo de Cdigo Activo de acuerdo a la Nombre activo de acuerdo a

grupo de activo Magerit empresa la empresa
activo
Magerit
[printed] Sistemas de U_Computadores Ups computadores
Alimentacin
ininterrumpida
[suplly] Suministros Esenciales Suministros esenciales tales
Esenciales como: Papel, sobres,
carpetas, tinta, etc.
[Furniture] Mobiliario M_Mobiliario Mobiliario: Estantes,
armarios, escritorios,
archivadores, etc.
58
4.1.4.1.11 Instalaciones
Cdigo grupo de activo Nombre grupo de activo Cdigo Activo de Nombre activo de
Magerit Magerit acuerdo a la acuerdo a la
empresa empresa
[building] Edificio [E_empresa] Edificio de la
empresa
(Curadura)
4.1.4.1.12 Personal
Cdigo Nombre grupo de activo Cdigo Activo de Nombre activo de
grupo de Magerit acuerdo a la empresa acuerdo a la empresa
activo
Magerit
[ui] Usuarios internos [E_personal] Personal de recepcin,
rea tcnica,
administrativa y archivo
[adm] Administradores de sistemas [A_sistemas] Administrador de
sistemas
4.1.4.2. Valoracin cualitativa de los activos. Teniendo en cuenta que todos los
activos no tienen la misma relevancia e importancia para la empresa y que cada
uno de estos en caso de ser atacado o sufrir un incidente genera un impacto
diferente en la organizacin, se procede a realizar una valoracin cualitativa para
cada uno de los activos teniendo en cuenta las dimensiones de seguridad como
confiabilidad, integridad, autenticidad, disponibilidad y trazabilidad de acuerdo a la
siguiente Tabla.
Tabla 2: Criterios de Valoracin
Fuente: Tomado del Magerit V3 libro 2 Catalogo de elementos
59
4.1.4.2.1 Valoracin Cualitativa de Activos esenciales
Cdigo Nombre Cdigo Activo de Nombre activo de Dimensin de
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
[vr] Datos [I_Proyectos] Informacin de Confiabilidad 7

vitales Proyectos Integridad 7
radicados (base de
datos y registro de Autenticidad 7
proyectos )
Disponibilidad
Trazabilidad
[I_Licencias] Informacin de Confiabilidad 7
Licencias Integridad 7
Autenticidad 6
Disponibilidad 6
Trazabilidad
[I_Normativa] Informacin de Confiabilidad
Normativa ( Integridad 3
Normas locales,
Autenticidad
nacionales, POT,
acuerdos, decretos, Disponibilidad 3
Cartografa)
Trazabilidad
[per] Datos de [I_Contabilidad] Contabilidad de la Confiabilidad 6

Carcter empresa Integridad 6
Personal Autenticidad 6
Disponibilidad
Trazabilidad
[classified] Datos [E_S_Licenciador] Ejecutable software Confiabilidad
clasificado Licenciador Integridad 6
s Autenticidad
Disponibilidad 3
Trazabilidad
[D_Histricos] Datos Histricos de Confiabilidad 3
proyectos Integridad 3
radicados Autenticidad
Disponibilidad
Trazabilidad
[D_Proyectos] Documentacin de Confiabilidad
proyectos Integridad
tramitados. Autenticidad 6
Disponibilidad 6
Trazabilidad
60
4.1.4.2.2 Valoracin Cualitativa de Datos/Informacin
Criterio
Magerit Magerit
[files] Ficheros [A_proyectos] Archivos de Confiabilidad 6

proyectos Integridad 6
radicados Autenticidad
Disponibilidad
Trazabilidad
[A_Clientes] Archivos de Confiabilidad 6
Clientes Integridad 6
Autenticidad
Disponibilidad
Trazabilidad
[A_Contabilidad] Archivo de Confiabilidad 6
Contabilidad Integridad 6
Autenticidad
Disponibilidad
Trazabilidad
[A_Informes y Archivos de Confiabilidad 6
Licencias ] Informes y licencias Integridad 6
expedidas Autenticidad
Disponibilidad 6
Trazabilidad
[backup] Copias de [A_Copias de Archivo de Copias Confiabilidad
Respaldo Seguridad] de seguridad de la Integridad 6
informacin Autenticidad
Disponibilidad
Trazabilidad
[conf] Datos de [D_Configuracion_se Datos de Confiabilidad
configuraci r] configuracin de Integridad
n servidores y Autenticidad 6
equipos
Disponibilidad
Trazabilidad
[int] Datos de [D_GestionProyectos Datos de Gestin Confiabilidad
gestin ] de proyectos Integridad
interna radicados Autenticidad
Disponibilidad 6
Trazabilidad
[password] Credencial [Pass_usuarios] Contraseas de Confiabilidad
es acceso de Integridad
empleados Autenticidad 6
Disponibilidad
Trazabilidad
61
4.1.4.2.3 Valoracin Cualitativa de Claves Criptogrficas. Debemos garantizar
cifrado de datos y comunicaciones por el hecho de manejar aplicaciones
bancarias.
Criterio
Magerit Magerit
[encrypt] Claves de [CC_Aplicaciones_b Claves de cifra de Confiabilidad 6

cifra ancarias] aplicaciones Integridad 7
bancarias Autenticidad 6
Disponibilidad
Trazabilidad
4.1.4.2.4 Valoracin Cualitativa de Servicios. Los servicios son para los clientes
y empleados.
Criterio
Magerit Magerit
[ext] A usuarios [S_U_Externo] Servicios prestados Confiabilidad 6

externos a usuarios externos
Integridad 6
(bajo una bajo relacin
relacin contractual Autenticidad 6
contractual) (Clientes de
proyectos) Disponibilidad
Trazabilidad
[int] Interno (a [S_U_Interno] Servicios prestados Confiabilidad 6

usuarios de a trabajadores
la propia tanto al interior Integridad 6
organizaci como haciendo uso
n) de internet. Autenticidad 6
Disponibilidad
Trazabilidad
[www] World wide [S_Internet] Servicio de internet Confiabilidad 6
web al que pueden Integridad 6
acceder los Autenticidad 6
empleados.
Disponibilidad
Trazabilidad
[email] Correo [S_correo] Manejo de correos Confiabilidad 6
electrnico electrnicos Integridad 6
Autenticidad 7
62
Disponibilidad
Trazabilidad
[file] Almacenam [S_A_Bases de Servicio de Confiabilidad 7
iento de datos] almacenamiento de Integridad 7
ficheros informacin en el Autenticidad 7
servidor de bases Disponibilidad
de datos.
Trazabilidad
[ipm] Gestin de [G_privilegios] Manejo de Confiabilidad 7

privilegios privilegios de
acuerdo al rol Integridad 7
dentro de la
empresa y el lugar Autenticidad 7
de Disponibilidad
donde est Trazabilidad
ingresando,
considerando el
desempeo como
teletrabajo.
4.1.4.2.5 Valoracin Cualitativa de Software Aplicaciones Informticas
Criterio
Magerit Magerit
[app] Servidor [Server_App] Servidor de Confiabilidad 7
de aplicaciones Integridad 7
aplicacion
es Autenticidad 7
Disponibilidad
Trazabilidad
[dbms] Sistema [S_BaseDeDatos] Gestor base de Confiabilidad 7

de gestin datos, aplicacin
de bases destinada a Integridad 7
de datos realizar el
Autenticidad 7
proceso de
gestin de las Disponibilidad
bases de datos Trazabilidad
manejadas al
interior de la
empresa.
[Oficce] Ofimtica [Oficce] Office 2010 Confiabilidad
63
Integridad
Autenticidad
Disponibilidad 2
Trazabilidad
[av] Antivirus [Antivirus] McAfee original Confiabilidad 7
con Integridad
actualizaciones Autenticidad
automticas. Disponibilidad 7
Trazabilidad
[os] Sistema [OS_Win7] Sistema operativo Confiabilidad
operativo Windows 7, en su Integridad
versin Autenticidad
professional con Disponibilidad 4
actualizaciones Trazabilidad
automticas
activadas.
4.1.4.2.6 Valoracin Cualitativa de Equipos Informticos
Criterio
Magerit Magerit
[host] Grandes [S_Aplicaciones] Servidor Confiabilidad 7

equipos Aplicaciones
Integridad 7
(Servidor Servidor de Base
de bases de Autenticidad 7
de datos, Datos
servidores Servidor Disponibilidad 7
de Aplicaciones Trazabilidad
aplicacin) Servidor de Base
de
Datos
Servidor
Aplicaciones
[S_Database] Servidor de Base Confiabilidad 7
de
Datos Integridad 7
Autenticidad 7
Disponibilidad 7
Trazabilidad
[mid] Equipos [PC_trabajadores] Equipos de mesa Confiabilidad 6
medios Integridad 6
(Equipos Autenticidad 6
de trabajo
Disponibilidad
64
conectado Trazabilidad
s a travs
de red
inalmbric
a por red
802.1x)
[pc] Equipos [PC_portatiles] Equipos Portatiles Confiabilidad 6
que son Integridad 6
fcilmente Autenticidad 6
transporta Disponibilidad
dos Trazabilidad
[print] Equipos [E_Impresoras] Impresoras Confiabilidad
de Integridad
impresin Autenticidad
Disponibilidad 4
Trazabilidad
[router] Enrutadore [R_enrutadores] Enrutadores Confiabilidad 7
s Integridad 7
Autenticidad 7
Disponibilidad 7
Trazabilidad
4.1.4.2.7 Valoracin Cualitativa de Redes de comunicaciones
Criterio
Magerit Magerit
[wifi] Red [R_wifi] Red Inalmbrica Confiabilidad 7

inalmbrica
Integridad 7
Autenticidad
Disponibilidad 7
Trazabilidad
[LAN] Red local [R_Local] [LAN] Confiabilidad 7
Integridad 7
Autenticidad
Disponibilidad 7
Trazabilidad
[Internet] Internet [Internet] [Internet] Confiabilidad
Integridad
Autenticidad
Disponibilidad 7
Trazabilidad
65
4.1.4.2.8 Valoracin Cualitativa de Soportes de Informacin _almacenamiento
electrnico
Criterio
Magerit Magerit
[cd] Discos [A_CD] Almacenamientos Confiabilidad

en Disco Duro
Integridad 5
Autenticidad
Disponibilidad 5
Trazabilidad
[cd] Cederrom [A_CD] Almacenamiento en Confiabilidad
(CD_ROM) CD Integridad
Autenticidad
Disponibilidad
Trazabilidad
[USB] Memorias [A_Memorias] Almacenamiento en Confiabilidad
Memorias Integridad 5
Autenticidad
Disponibilidad 5
Trazabilidad
[dvd] DVR [A_DVD] Almacenamiento en Confiabilidad
DVD Integridad 5
Autenticidad
Disponibilidad 5
Trazabilidad
4.1.4.2.9 Valoracin Cualitativa de Soportes de Informacin _almacenamiento no

electrnico

Criterio
Magerit Magerit
[printed] Material C_ Documentacin Carpetas con la Confiabilidad

impreso proyecto documentacin de
Integridad 7
cada
proyecto(documenta Autenticidad
cin, planos, Disponibilidad
memorias de clculo
Trazabilidad
y estudios de suelos)
C_ Reportes e Carpetas de reportes Confiabilidad
informes e informes impresos Integridad 7
66
Autenticidad
Disponibilidad
Trazabilidad
C_Sop0rtesContabili Carpetas facturas y Confiabilidad
dad soportes contabilidad Integridad 7
Autenticidad
Disponibilidad
Trazabilidad
C_varios Carpetas varios Confiabilidad
Integridad 7
Autenticidad
Disponibilidad
Trazabilidad
4.1. 4.2.10 Valoracin Cualitativa de Equipamiento auxiliar
Cdigo Nombre grupo de Cdigo Activo Nombre activo de Dimensin de
Criterio
grupo de activo Magerit de acuerdo a acuerdo a la Seguridad
activo la empresa empresa
Magerit
[printed] Sistemas de U_Computado Ups computadores Confiabilidad

Alimentacin res Integridad
ininterrumpida
Autenticidad
Disponibilidad 4
Trazabilidad
[suplly] Suministros Esenciales Suministros Confiabilidad
Esenciales esenciales tales Integridad
como: Papel, Autenticidad
sobres, carpetas,
tinta, etc. Disponibilidad 2
Trazabilidad
Mobiliario M_Mobiliario Mobiliario: Mobiliario Confiabilidad
Estantes, Integridad
armarios, Autenticidad
escritorios, Disponibilidad 3
archivadores, Trazabilidad
etc.
67
4.1.4.2.11 Valoracin Cualitativa de Instalaciones
Criterio
Magerit Magerit
[building] Edificio [E_empresa] Edificio de la Confiabilidad
empresa Integridad
(Curadura) Autenticidad
Disponibilidad 5
Trazabilidad
4.1. 4.2.12 Valoracin Cualitativa de Personal
Criterio
Magerit Magerit
[ui] Usuarios [E_personal] Personal de Confiabilidad
internos recepcin, rea
Integridad
tcnica,
administrativa y Autenticidad
archivo Disponibilidad 6
Trazabilidad
[adm] Administrad [A_sistemas] Administrador de Confiabilidad
ores de sistemas Integridad
sistemas
Autenticidad
Disponibilidad 6
Trazabilidad
4.1.4.3. Identificacin de Amenazas. La valoracin de amenazas se realiza

teniendo en cuenta la frecuencia con la que ocurre, las dimensiones de seguridad
segn Magerit y la escala de rango porcentual de impactos en los activos
Tabla 3: Escala de rango de frecuencia de amenazas
Vulnerabilidad Rango Valor
Frecuencia muy alta 1 vez al da 100

Frecuencia alta 1 vez cada 1 semanas 70
Frecuencia media 1 vez cada 2 meses 50
Frecuencia baja 1 vez cada 6 meses 10
Frecuencia muy baja 1 vez al ao 5
Fuente: Tomada del mdulo de sistemas de gestin de la seguridad informtica
68
Tabla 4: Dimensiones de seguridad segn Magerit
Dimensiones de Seguridad a valorar Identificacin

Autenticidad A
Confiabilidad C
Integridad I
Disponibilidad D
Trazabilidad T
Tabla 5: Escala de rango porcentual de impactos en los activos para cada

dimensin de seguridad.
Impacto Valor cuantitativo
Muy alto 100%

Alto 75%
Medio 50%
Bajo 20%
Muy bajo 5%
Fuente: Tomada del mdulo de sistemas de gestin de la seguridad informtica
En la siguiente tabla se procede a identificar las amenazas para el inventario de

activos realizado. En algunos casos se toma los activos ms crticos o la
categora, identificando su frecuencia e impacto.
Relacin de amenazas por activo identificando su frecuencia e impacto

Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
[N.1] Fuego Equipos 5 100
[N.2] Daos por informticos %
agua Instalaciones
[I.1] Fuego Equipos 10 100
[I.2] Daos por informticos %
69
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
agua Instalaciones
Soporte de 5 100
[N.1] Fuego
almacenamiento %
[N.2] Daos por
electrnico y no
agua
electrnico
Soporte de 5 100
[I.1] Fuego
almacenamiento %
[I.2] Daos por
electrnico y no
agua
electrnico
[N.1] Fuego Equipamiento 5 50%
[N.2] Daos por Auxiliar
agua
[I.1] Fuego Equipamiento 5 50%
[I.2] Daos por Auxiliar
agua
Equipos 10 100
informticos, %
Soporte de 5 75%
[N.*] Desastres Informacin
industriales Equipamiento 5 20%
Auxiliar
Instalaciones 5 100
%
Equipos 10 100
Informticos %
Soporte de 5 75%
[I.*] Desastres Informacin
industriales Equipamiento 5 20%
Auxiliar
Instalaciones 5 100
%
Equipos 50
75%
Informticos
[I.3] Contaminacin
Soporte de 5
mecnica 50%
informacin
Equipamiento 5 20%
70
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
auxiliar
[I.4] Contaminacin Router de acceso 50 100
electromagntica inalmbrico. %
Software - 50
100
Aplicaciones
%
Informticas
[I.5] Avera de Equipos 10 100
origen fsico o informticos %%
lgico Soportes de 5
20%
Informacin
Equipamiento 5
20%
Auxiliar
Equipos 50 100
Informticos %
[I.6] Corte del Soporte de 5
suministro elctrico Informacin 50%
(electrnicos)
Ups computadores 5 5%
[I.7] Condiciones Equipos 50
inadecuadas de Informticos 100
temperatura o %
humedad
Redes de 50
[I.8] Fallo de
comunicaciones 100
servicios de
(Red inalmbrica, %
comunicaciones
red local e internet)
[I.9] Interrupcin de Equipamiento 5
otros servicios y Auxiliar
5%
suministros
esenciales.
[I.10] Degradacin Soportes de 5
de los soportes de Informacin
5%
almacenamiento de
la informacin.
[E.1] Errores de los Archivos de 50 100 100
75%
usuarios proyectos radicados % %
71
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Archivos de Clientes 5 100
50% 50%
%
Datos/Informacin Archivo de 5 100 100
50%
Contabilidad % %
Archivos de Informes 10 100 100
50%
y licencias expedidas % %
Archivo de Copias 5
100 100
de seguridad de la 50%
% %
informacin
Datos de 5
100 100
configuracin de 50%
% %
servidores y equipos
Datos de Gestin de 5 100 100 100
proyectos radicados % % %
Contraseas de 5
acceso de 50% 50% 50%
empleados
[E.1] Errores de los Claves 5
100 100 100
usuarios Criptogrficas
% % %
Servicios prestados 5
a usuarios externos
bajo relacin 50% 50% 50%
contractual (Clientes
de proyectos)
Servicios prestados 5
[E.1] Errores de los
a trabajadores tanto
usuarios 100 100
al interior como 75%
% %
haciendo uso de
internet.
Servicios
Servicio de internet
al que pueden 10
75% 50% 50%
acceder los
empleados.
Manejo de correos 5
50% 50% 75%
electrnicos
72
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Servicio de 10
almacenamiento de
informacin en el 75% 75% 75%
servidor de bases de
datos.
Manejo de privilegios 5
de acuerdo al rol
dentro de la empresa
y el lugar de donde
est ingresando, 100
75% 75%
considerando el %
desempeo como
teletrabajo.
Servidor de 5 100
75% 75%
aplicaciones %
Gestor base de 5
datos, aplicacin
destinada a realizar
el proceso de gestin 100 100 100
de las bases de % % %
datos manejadas al
[E.1] Errores de los
interior de la
usuarios
empresa.
Office 2010 5 75% 50% 75%
McAfee original con 5
Aplicaciones
actualizaciones 75% 20% 75%
automticas.
Sistema operativo 10
Windows 7, en su
versin professional
75% 20% 75%
con actualizaciones
automticas
activadas.
73
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Soportes de 10
Informacin
50% 50% 50%
[E.1] Errores de los almacenamiento
usuarios. electrnico.
10
Soporte de Soportes de
informacin Informacin
50% 50% 50%
_almacenamiento
no electrnico.
Datos/Informacin 50 100
75% 50%
%
Claves 5 100
[E.2] Errores del 75% 50%
criptogrficas %
administrador
Servicios 5 75% 50% 75%
Aplicaciones 5 100 75
75%
% %
Redes de 10 100 75
75%
Comunicacin % %
Datos de 5
[E.4] Errores de 100
configuracin de
configuracin %
servidores y equipos
Personal de 50
recepcin, rea
tcnica, 75%
[E.7] Deficiencias
administrativa y
en la organizacin
archivo
Administrador de 5
75%
sistemas
Software 5
[E.8] Difusin de
Aplicaciones 50% 50% 75%
software daino
Informticas
Servicios 5 20%
[E.9] Errores de [re-
Software 5
]encaminamiento 20%
Aplicaciones
74
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Informticas
Redes de 5
20%
comunicaciones
Activos esenciales 5 100
[E.14] Escapes de %
informacin Datos / informacin 5 100
%
[E.15] Escapes de Datos / informacin 10 100
informacin %
Datos / informacin 10
[E.18] Escapes de Aplicaciones 5 50%
informacin Soporte 5
20%
Informacin
Datos / informacin 10 75%
Claves 5
75%
[E.19] Fugas de criptogrficas
informacin Servicios 10 75%
Aplicaciones 10 50%
Personal 10 75%
Servidor de 5
75% 50% 20%
aplicaciones
Gestor base de 10
datos, aplicacin
el proceso de gestin
50% 20% 75%
de las bases de
[E.20]
datos manejadas al
Vulnerabilidades
interior de la
de los programas
empresa.
(software)
Office 2010 5 5% 5% 5%
100
actualizaciones 75% 20%
%
automticas.
Windows 7, en su 50% 20% 75%
versin professional
75
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
con actualizaciones
automticas
activadas
Servidor de 5
20% 75%
aplicaciones
Gestor base de 10
datos, aplicacin
el proceso de gestin
20% 75%
de las bases de
datos manejadas al
[E.21] Errores de
interior de la
mantenimiento /
empresa.
actualizacin de
Office 2010 5 20% 20%
programas (softwa-
re)
actualizaciones 5% 20%
automticas.
Windows 7, en su
versin profesional
50% 50%
con actualizaciones
automticas
activadas
Servicios 5 100
%
[E.24] Cada del
Equipos 10
sistema por 100
Informticos
agotamiento de %
recursos
Redes de 5 100
comunicaciones %
Equipos 5 100
75%
Informticos %
[E.25] Prdida de Soporte 5 100
20%
equipos -Robo Informacin %
Equipamiento 5
5% 20%
Auxiliar
76
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Personal de 10
recepcin, rea
[E.28] tcnica, 75%
Indisponibilidad del administrativa y
personal archivo
Administrador de 5 100
sistemas %
Datos / informacin 5 75% 75% 75%
Claves 5
75% 75% 50%
[A.5] Suplantacin criptogrficas
de la identidad del Servicios 5 50% 75% 50%
usuario Aplicaciones 5 20% 75% 50%
Redes de 5
20% 75% 75%
comunicaciones
Datos / informacin 5 100
75% 5%
%
Claves 5
75% 50% 5%
criptogrficas
[A.6] Abuso de Servicios 5
privilegios de 50% 50% 75%
acceso
Equipos 50
75% 75% 75%
Informticos
Redes de 10
75% 50% 75%
comunicaciones
Servicios 5 75% 75% 75%
Aplicaciones 10 75% 75% 75%
Equipos 50
75% 75% 75%
Informticos
Redes de 10
75% 75% 75%
[A.7] Uso no comunicaciones
previsto Soporte de 5
20% 20% 20%
Informacin
Equipamiento 5
20% 20% 20%
Auxiliar
Instalaciones 10
75% 50% 20%
77
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
[A.8] Difusin de Aplicaciones 5
50% 75% 75%
software daino
75% 50%
%
Claves 5
50% 75% 20%
criptogrficas
Servicios 5 75% 50% 50%
Aplicaciones 10 75% 50% 50%
Equipos 10
[A.11] Acceso no 75% 20% 75%
Informticos
autorizado
Redes de 10
75% 20% 75%
comunicaciones
Soporte de 5
20% 20% 20%
Informacin
Equipamiento 5
5% 5% 5%
Auxiliar
Instalaciones 5 75% 20% 20%
[A.13] Repudio Servicios 5 50% 75%
[A.14] Redes de 5
Interceptacin de comunicaciones
75%
informacin
(escucha pasiva)
Datos / informacin 5 75%
[A.15] Modificacin Claves 5
75%
deliberada de la criptogrficas
informacin Servicios 5 75%
Aplicaciones 5 75%
%
Claves 5 100
criptogrficas %
[A.18] Destruccin
Servicios 5 100
de informacin
%
Aplicaciones 5 100
%
Soporte de la 5 75%
78
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
informacin
%
[A.19] Divulgacin Claves 5 100
de informacin criptogrficas %
Soporte de 5
Informacin
[A.22] Manipulacin Aplicaciones 10 100 100 100
de programas % % %
Equipos 50 100
75%
Informticos %
[A.23] Manipulacin Soportes de 5
20% 20%
de los equipos Informacin
Equipamiento 5
5% 5%
auxiliar
Equipos 5
75%
Informticos
[A.24] Denegacin
Servicios 5 75%
de servicio
Redes de 5
75%
Comunicacin
Equipos 5 100
75%
informticos %
[A.25] Robo
Soporte de 5
75% 20%
Informacin
Equipo 5 100
Informticos %
Soporte de 5
[A.26] Ataque 50%
Informacin
destructivo
Equipamiento 5
50%
Auxiliar
instalaciones 5 75%
[A.28] Personal 5
Indisponibilidad del 75%
Personal
[A.29] Extorsin Personal 5 75% 75% 75%
[A.30] Ingeniera Personal 5 75% 75% 75%
79
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Social
4.1.4.4. Salvaguardas
Una vez realizado el inventario de activos, e identificado las amenazas y

vulnerabilidades, se definen las salvaguardas que son procedimiento tecnolgico
que reduce el riesgo, de acuerdo a los activos que se van proteger, en este caso
se tiene en cuenta las salvaguardas definidas en Magerit.
Tabla 6: Tipos de salvaguardas segn Magerit.
Efecto Tipo
Preventivas: reducen la probabilidad [PR] preventivas
[DR] disuasorias
[EL] eliminatorias
Acotan la degradacin [IM] minimizadoras
[CR] correctivas
[RC] recuperativas
Consolidan el efecto de las dems [MN] de monitorizacin
[DC] de deteccin
[AW] de concienciacin
[AD] administrativas
Fuente: Magerit. V 3.0 Libro 1
80
4.1.4.4.1 Salvaguardas de Activos esenciales
Cdigo Nombre Cdigo Activo Nombre activo Tipo de Des.

grupo de grupo de de acuerdo a la de acuerdo a Proteccin Salvaguarda
activo activo empresa la empresa
Magerit Magerit
[vr] Datos [I_Proyectos] Informacin de Preventivas(PR) Polticas de

vitales Proyectos seguridad para
radicados el personal
(base de datos que tiene
y registro de acceso a la
proyectos ) informacin
Acceso
restringido
Recuperacin Copias de
(RC) Seguridad (por
lo menos dos
respaldos
guardados en
sitios seguros)
Concienciacin Capacitacin
(AW) al personal en
el manejo de la
informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminacin (EL) Gestin de
contraseas
[I_Licencias] Informacin de Preventivas(PR) Polticas de
Licencias seguridad para
el personal
que tiene
acceso a la
informacin
(RC) Seguridad de
los archivos de
licencias
(AW) al personal en
el manejo de la
informacin.
(AD) marcha del
Plan Director
contraseas
81
[I_Normativa] Informacin de Preventivas(PR) Polticas de
Normativa ( seguridad para
Normas el personal
locales, que tiene
nacionales, acceso a la
POT, informacin
acuerdos, Recuperacin Copias de
decretos, (RC) Seguridad
Cartografa) Concienciacin Capacitacin
(AW) al personal en
el manejo de la
informacin.
(AD) marcha del
Plan Director
[per] Datos de [I_Contabilidad] Contabilidad Preventivas(PR) Polticas de
Carcter de la empresa seguridad para
Personal el personal
que tiene
acceso a la
informacin
(RC) Seguridad de
la informacin
de contabilidad
(AW) al personal en
el manejo de la
informacin.
(AD) marcha del
Plan Director
[classified Datos [E_S_Licenciad Ejecutable Preventivas(PR) Polticas de

] clasificados or] software seguridad para
Licenciador el personal
que tiene
acceso a la
informacin
(RC) Seguridad
(AW) al personal en
el manejo de la
informacin.
(AD) marcha del
Plan Director
contraseas
[D_Histricos] Datos Preventivas(PR) Polticas de
Histricos de seguridad para
proyectos el personal
82
radicados que tiene
acceso a la
informacin.
Acceso
Restringido
(RC) Seguridad de
datos
histricos
guardadas en
sitios seguros
(AW) al personal en
el manejo de la
informacin.
(AD) marcha del
Plan Director
[D_Proyectos] Documentaci Preventivas(PR) Polticas de
n de proyectos seguridad para
tramitados. el personal
que tiene
acceso a la
informacin.
Acceso
Restringido
(RC) Seguridad de
datos
histricos
guardadas en
sitios seguros
(AW) al personal en
el manejo de la
informacin.
(AD) marcha del
Plan Director
Preventivas(PR) Polticas de
seguridad para
el personal
que tiene
acceso a la
informacin
83
4.1.4.4.2 Salvaguardas de Datos/Informacin
Cdigo Nombre Cdigo Activo Nombre activo Tipo de Des.
Magerit Magerit
[files] Ficheros [A_proyectos] Archivos de Preventivas(PR) Polticas de

proyectos seguridad para
radicados el personal
que tiene
acceso a la
informacin.
Gestin de
privilegios
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
contraseas
[A_Clientes] Archivos de Preventivas(PR) Polticas de
Clientes seguridad para
el personal
que tiene
acceso a la
informacin.
Gestin de
privilegios
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
contraseas
[A_Contabilidad] Archivo de Preventivas(PR) Polticas de
Contabilidad seguridad para
el personal
que tiene
acceso a la
informacin.
Gestin de
privilegios
84
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
contraseas
[A_Informes y Archivos de Preventivas(PR) Polticas de
Licencias ] Informes y seguridad para
licencias el personal
expedidas que tiene
acceso a la
informacin.
Gestin de
privilegios
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
contraseas
[backup] Copias de [A_Copias de Archivo de Preventivas(PR) Polticas de
Respaldo Seguridad] Copias de seguridad para
seguridad de el personal
la informacin que tiene
acceso a la
informacin.
Gestin de
privilegios
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
contraseas
[conf] Datos de [D_Configuracio Datos de Preventivas(PR) Polticas de
configuraci n_ser] configuracin seguridad para
n de servidores el personal
y equipos que tiene
85
acceso a la
informacin.
Gestin de
privilegios
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
contraseas
[int] Datos de [D_GestionProy Datos de Preventivas(PR) Polticas de
gestin ectos] Gestin de seguridad para
interna proyectos el personal
radicados que tiene
acceso a la
informacin.
Gestin de
privilegios
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
contraseas
[passwor Credencial [Pass_usuarios] Contraseas Preventivas(PR) Polticas de
d] es de acceso de seguridad para
empleados el personal
que tiene
acceso a la
informacin.
Gestin de
privilegios
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
contraseas
86
4.1.4.4.3 Salvaguardas de Claves Criptogrficas
Cdigo Nombre Cdigo Activo Nombre activo Tipo de Descripcin

Magerit Magerit
[encrypt] Claves de [CC_Aplicacione Claves de cifra Clasificacin y

cifra s_bancarias] de Encriptacin
aplicaciones Tipo de P de la
bancarias Preventivas(PR)r informacin
Gestin de
privilegios.
Minimizacin (IM) Detencin del
servicio en
caso de
ataque
Correctivas(CR) Gestin de
incidentes
Monitorizacin(M Registro de
n) descarga
Deteccin (DC) Activacin de
IDS y Firewall,
software de
monitorizacin
y escaneo,
manejo de
antivirus
4.1.4.4.4 Salvaguardas de Servicios

Magerit Magerit
[ext] A usuarios [S_U_Externo] Servicios Preventivas(PR) Clasificacin

externos prestados a de la
(bajo una usuarios informacin en
relacin externos bajo este caso
contractual) relacin catalogada
contractual como
(Clientes de confidencial.
proyectos)
Polticas de
seguridad,
Gestin de
privilegios
(RC) Seguridad
87
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
[int] Interno (a [S_U_Interno] Servicios Preventivas(PR) Clasificacin

usuarios de prestados a de la
la propia trabajadores informacin en
organizaci tanto al interior este caso
n) como catalogada
haciendo uso como
de internet. confidencial.
Polticas de
seguridad,
Gestin de
privilegios
(RC) Seguridad de
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
[www] World wide [S_Internet] Servicio de Monitorizacin(M Registro de
web internet al que n) descarga
pueden Preventivas(PR) Clasificacin
acceder los de la
empleados. informacin en
este caso
catalogada
como
confidencial.
Polticas de
seguridad,
Gestin de
privilegios
(RC) Seguridad de
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
[email] Correo [S_correo] Manejo de Monitorizacin(M Registro de
88
electrnico correos n) descarga
electrnicos Preventivas(PR) Clasificacin
de la
informacin en
este caso
catalogada
como
confidencial.
Polticas de
seguridad,
Gestin de
privilegios
(RC) Seguridad de
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
[file] Almacenam [S_A_Bases de Servicio de Monitorizacin(M Registro de
iento de datos] almacenamien n) descarga
ficheros to de Preventivas(PR) Clasificacin
informacin en de la
el servidor de informacin en
bases de este caso
datos. catalogada
como
confidencial.
Polticas de
seguridad,
Gestin de
privilegios
(RC) Seguridad de
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
[ipm] Gestin de [G_privilegios] Manejo de Preventivas(PR) Clasificacin
privilegios privilegios de de la
acuerdo al rol informacin en
dentro de la este caso
empresa y el catalogada
lugar de como
89
donde est confidencial.
ingresando,
considerando Polticas de
el desempeo seguridad,
como Gestin de
teletrabajo. privilegios
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
Eliminacin (EL) Eliminacin de
cuentas sin
contrasea
4.1.4.4.5 Salvaguardas de Software Aplicaciones Informticas

Magerit Magerit
[app] Servidor de [Server_App] Servidor de Preventivas(PR) Polticas de

aplicacione aplicaciones seguridad,
s Gestin de
privilegios
Preventivas(PR) Clasificacin
de la
informacin en
este caso
catalogada
como
confidencial
(RC) Seguridad
(AW) al personal en
el manejo de
la informacin.
[dbms] Sistema de [S_BaseDeDato Gestor base Deteccin (DC) Activacin de

gestin de s] de datos, IDS y Firewall,
bases de aplicacin software de
datos destinada a monitorizacin
realizar el y escaneo,
90
proceso de manejo de
gestin de las antivirus
bases de Preventivas(PR) Polticas de
datos seguridad,
manejadas al Gestin de
interior de la privilegios
empresa. Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
n) uso y
descarga
cuentas sin
contrasea
incidentes
[Oficce] Ofimtica [Oficce] Office 2010 Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
n) uso y
descarga
cuentas sin
contrasea
seguridad,
Gestin de
privilegios
[av] Antivirus [Antivirus] McAfee Concienciacin Capacitacin

original con (AW) al personal en
actualizacione el manejo de
s automticas. la informacin.
n) uso y
descarga
cuentas sin
contrasea
seguridad,
Gestin de
privilegios
[os] Sistema [OS_Win7] Sistema Concienciacin Capacitacin

operativo operativo (AW) al personal en
Windows 7, en el manejo de
su versin la informacin.
professional Monitorizacin(M Registro de
91
con n) uso y
actualizacione descarga
s automticas Eliminacin (EL) Eliminacin de
activadas. cuentas sin
contrasea
seguridad,
Gestin de
privilegios
4.1.4.4.6 Salvaguardas de Equipos Informticos

Magerit Magerit
[host] Grandes Servidor Preventivas(PR) Polticas de

equipos [S_Aplicaciones] Aplicaciones seguridad,
(Servidor Gestin de
de bases privilegios
de datos, Eliminacin (EL) Eliminacin de
servidores cuentas sin
de contrasea
aplicacin) Minimizacin (IM) Detencin del
servicio en
caso de
ataque
incidentes
n) descarga,
registro de
acceso
Firewall,
software de
monitorizacin
y escaneo,
manejo de
antivirus
(AW) al personal en
el manejo.
[S_Database] Servidor de Preventivas(PR) Polticas de
Base de seguridad,
Datos Gestin de
privilegios
cuentas sin
92
contrasea
servicio en
caso de
ataque
incidentes
n) descarga,
registro de
acceso
Firewall,
software de
monitorizacin
y escaneo,
manejo de
antivirus
(AW) al personal en
el manejo.
[mid] Equipos [PC_trabajadore Equipos de Deteccin (DC) Activacin de
medios s] mesa IDS y Firewall,
(Equipos manejo de
de trabajo antivirus
conectados Preventivas(PR) Polticas de
a travs de seguridad,
red Gestin de
inalmbrica privilegios
por red Concienciacin Capacitacin
802.1x) (AW) al personal en
el manejo de
la informacin.
(RC) Seguridad
cuentas sin
contrasea
incidentes
[pc] Equipos [PC_portatiles] Equipos Deteccin (DC) Activacin de
que son Portatiles IDS y Firewall,
fcilmente manejo de
transportad antivirus
os Preventivas(PR) Polticas de
seguridad,
Gestin de
privilegios
(AW) al personal en
el manejo de
la informacin.
93
(RC) Seguridad
cuentas sin
contrasea
incidentes
[print] Equipos de [E_Impresoras] Impresoras Preventivas(PR) Polticas de
impresin seguridad.
incidentes
[router] Enrutadore [R_enrutadores] Enrutadores Preventivas(PR) Polticas de
s seguridad,
Gestin de
privilegios
servicio en
caso de
ataque
incidentes
n) descarga,
registro de
acceso
Firewall,
software de
monitorizacin
y escaneo,
manejo de
antivirus
4.1.4.4.7 Salvaguardas de comunicaciones

Magerit Magerit
[wifi] Red [R_wifi] Red Preventivas(PR) Polticas de

inalmbrica Inalmbrica seguridad,
Gestin de
privilegios
servicio en
caso de
ataque
incidentes
94
Disuasin (DR) Guardias de
seguridad
[LAN] Red local [R_Local] [LAN] Preventivas(PR) Polticas de
seguridad,
Gestin de
privilegios
servicio en
caso de
ataque
incidentes
seguridad
[Internet] Internet [Internet] [Internet] Preventivas(PR) Polticas de
seguridad,
Gestin de
privilegios
servicio en
caso de
ataque
incidentes
seguridad
4.1.4.4.8 Salvaguardas de Soportes de Informacin _almacenamiento electrnico

Magerit Magerit
[cd] Discos [A_CD] Almacenamien Preventivas(PR) Polticas de

tos en Disco seguridad para
Duro el personal
que tiene
acceso a la
informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
[cd] Cederrom [A_CD] Almacenamien Preventivas(PR) Polticas de
(CD_ROM) to en CD seguridad para
95
el personal
que tiene
acceso a la
informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
[USB] Memorias [A_Memorias] Almacenamien Preventivas(PR) Polticas de

to en seguridad para
Memorias el personal
que tiene
acceso a la
informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
[dvd] DVR [A_DVD] Almacenamien Preventivas(PR) Polticas de

to en DVD seguridad para
el personal
que tiene
acceso a la
informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
96
4.1.4.4.9 Salvaguardas de Soportes de Informacin _almacenamiento no electrnico

Magerit Magerit
[printed] Material C_Documentaci Carpetas con Preventivas(PR) Polticas de

impreso nproyecto la seguridad para
documentaci el personal
n de cada que tiene
proyecto(docu acceso a la
mentacin, informacin
planos, Concienciacin Capacitacin
memorias de (AW) al personal en
clculo y el manejo de
estudios de la informacin.
suelos) Administrativas Puesta en
(AD) marcha del
Plan Director
seguridad
C_Reporteseinf Carpetas de Preventivas(PR) Polticas de

ormes reportes e seguridad para
informes el personal
impresos que tiene
acceso a la
informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
C_Sop0rtesCont Carpetas Preventivas(PR) Polticas de

abilidad facturas y seguridad para
soportes el personal
contabilidad que tiene
acceso a la
informacin
(AW) al personal en
el manejo de
la informacin.
97
(AD) marcha del
Plan Director
seguridad
C_varios Carpetas Preventivas(PR) Polticas de

varios seguridad para
el personal
que tiene
acceso a la
informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
4.1.4.4.10 Salvaguardas de Equipamiento auxiliar

Magerit Magerit
[printed] Sistemas U_Computadore Ups Preventivas(PR) Polticas de

de s computadores seguridad para
Alimentaci el personal
n que tiene
ininterrumpi acceso a la
da informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
[suplly] Suministros Esenciales Suministros Preventivas(PR) Polticas de

Esenciales esenciales seguridad para
tales como: el personal
Papel, sobres, que tiene
carpetas, tinta, acceso a la
98
etc. informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
Mobiliario M_Mobiliari Mobiliario: Mobiliario Preventivas(PR) Polticas de

o Estantes, seguridad para
armarios, el personal
escritorios, que tiene
archivadores, acceso a la
etc. informacin
(AW) al personal en
el manejo de
la informacin.
(AD) marcha del
Plan Director
seguridad
4.1.4.4.11Salvaguardas de Instalaciones

Magerit Magerit
[building] Edificio [E_empresa] Edificio de la Guardias de

Disuasin (DR)
empresa seguridad
(Curadura) Deteccin de
Deteccin(DC)
Incendios
4.1.4.4.12 Salvaguardas - Personal

Magerit Magerit
[ui] Usuarios [E_personal] Personal de Concienciacin Cursos de
99
internos recepcin, (AW) capacitacin y
rea tcnica, entrenamiento
administrativa Administrativas Puesta en
y archivo (AD) marcha del
Plan Director
[adm] Administrad [A_sistemas] Administrador Concienciacin Cursos de
ores de de sistemas (AW) capacitacin y
sistemas entrenamiento
(AD) marcha del
Plan Director
4.1.4.5. Informe de Calificacin del Riesgos. Teniendo en cuenta el anlisis de

riesgos se puede observar que existen activos de la Curadura Urbana Segunda
de Pasto que presentan riesgos catalogados como crticos y su probabilidad de
frecuencia es alta tal es el caso de los equipos informticos, datos e informacin,
este riesgo puede generar perdida de la informacin, divulgacin de la informacin
confidencial, dao en equipos y servidor, manipulacin y daos en la base de
datos, propagacin de virus y el cese de actividades de la empresa.
Referente a los activos de redes de comunicaciones (routers e acceso

inalmbrico), software y aplicaciones informticas tambin se puede decir que el
riesgo es catalogado como crtico, el cual puede ser causado por errores de
usuarios y de administrador; de all la importancia de establecer polticas de
seguridad encaminadas a proteger los activos de la organizacin y minimizar los
riesgos para que en caso de presentarse el impacto sea mnimo.
Condiciones inadecuadas de temperatura y humedad, corte del suministro

elctrico, avera de orden fsico y lgico y amenazas como manipulacin no
autorizada de equipos puede ocasionar daos en las aplicaciones, en el servidor y
los equipos que pueden originar perdida de informacin vital, y retraso en el
otorgamiento de licencias urbansticas.
Deficiencias en la organizacin por parte del personal de recepcin rea tcnica

administrativa y archivo, abuso de privilegios de acceso y uso no previsto son
amenazas que se deben de tener en cuenta ya que de acuerdo al anlisis de
riesgos estn catalogadas como importantes y pueden ocasionar grandes daos a
la empresa.
Por otra parte los impactos generados por los desastres naturales como fuego e
inundaciones son crticos en el caso de que se llegasen a presentar
afortunadamente la posibilidad de que ocurra es muy baja, esto no quiere decir
que no se deba de tener en cuenta al contrario tambin se debe considerar como
100
una posibilidad y se debe establecer polticas y medidas de seguridad
encaminadas a minimizar cada riesgo.
En este orden de ideas los activos con mayor necesidad de ser protegidos son:
Equipos informticos, datos e informacin, software y aplicaciones, redes de
comunicacin puesto que son vulnerables y blanco fcil de los atacantes.
De que se los debe proteger: Del uso no previsto, del abuso de privilegios, fallos
en los servicios de comunicaciones, errores de usuarios y administradores del
sistema, condiciones inadecuadas de seguridad, contaminacin electromagntica
y mecnica etc.
Como se los debe proteger: Definiendo e implementando polticas de seguridad

que permitan capacitar al usuario y al administrador en el manejo y clasificacin de
la informacin, gestin de contraseas, control de acceso, implementacin de
equipos y software que permitan mejorar la seguridad, seguridad fsica y lgica,
actualizaciones permanentes del software, elaboracin permanente de backups.
Etc.
4.1.4.6. Cmo quedaran reducidos los riesgos de seguridad a los que est
expuesta el rea de informtica de la Curadura Urbana Segunda de Pasto?
Una vez realizado el anlisis de riesgos para los activos de la Curadura Urbana
Segunda de Pasto y teniendo en cuenta los resultados obtenidos, se procede a
especificar las polticas y objetivos de la seguridad del rea de informtica,
teniendo como gua la norma ISO/IEC-27002.
Polticas y controles que se definen y se pretender implementar en cada

dependencia con el fin de minimizar los riesgos encontrados.
4.1.4.6.1 Polticas y objetivos de seguridad del rea de informtica.

Generalidades: La informacin actualmente es considerada como uno de los
activos ms importante de una empresa por lo tanto se puede decir que la
seguridad de la misma es un pilar fundamental que contribuye al logro de la misin
y cumplimiento de los objetivos en este caso de la Curadura Urbana Segunda de
Pasto que es prestar un servicio eficiente y de calidad en el otorgamiento de
licencias urbansticas.
Objetivo: Definir polticas de seguridad para el rea de informtica de la

Curadura Urbana Segunda de Pasto, que sirvan como estrategias de apoyo para
lograr disminuir riesgos, evitar incidentes, mantener la confidencialidad, brindar un
servicio eficiente y de calidad en el otorgamiento de licencias urbansticas,
manteniendo permanentemente una excelente imagen corporativa.
101
Alcance: Esta poltica se debe aplicar a todos los procesos y dependencias
relacionados con el rea de informtica de la Curadura Urbana Segunda de
Pasto.
Responsables: La responsabilidad de la seguridad de la informacin est en

cabeza del Curador Urbano, seguida por el responsable de la seguridad y el
responsable del mantenimiento y todo el equipo de trabajo; es decir todos los
empleados que hacen parte de la organizacin.
Para la aplicacin de estas polticas de seguridad el Curador Urbano debe

designar un responsable de seguridad informtica y sistemas de informacin, un
responsable de la seguridad de la informacin, responsable de recursos humanos,
responsable del rea legal y administrativa, los cuales conformaran el comit de
seguridad.
Comit de seguridad de la informacin: Tiene las siguientes funciones presentar al

Curador la aprobacin de las polticas de seguridad, monitorear riesgos y
amenazas, plantear modificaciones en las polticas de seguridad, velar y
controlar que sean cumplidas por todos los empleados de la Curadura. Este
comit debe elegir un coordinador que se encargara de coordinar las acciones
de dicho comit y presentar solicitudes de modificaciones y requerimiento para
la aprobacin del Curador.
Comit de Revisin Interna o Control Interno: Responsable de practicar

auditorias peridicas sobre el manejo de los sistemas de informacin y la
aplicacin de las polticas de seguridad, estas deben estar debidamente
documentas y son las responsables de encontrar fallas y brindar soluciones
para corregir dichas fallas
Responsable del rea de Informtica y de la seguridad informtica:

Cumple la funcin de documentacin, mantenimiento, actualizacin y gestin
de polticas de seguridad para todos los recursos tecnolgicos de la
organizacin (Hardware, software, red, servidores etc) y se encarga de
supervisar el cumplimiento de las polticas de seguridad,
Responsable de la Informacin y sistemas de informacin: Es el

encargado de clasificar la informacin de acuerdo a su grado de
confidencialidad y definir los permisos de acceso a los usuarios, adems se
encargara de controlar, documentar y almacenar toda la informacin de la
empresa, elaborar y almacenar copias de seguridad.
102
Responsable de Recursos Humanos: Es el encargado de divulgar las
polticas de seguridad y la obligatoriedad del cumplimiento de las mismas por
todos los empleados de la empresa. Si se generan cambios este se encargara
de divulgar dichos cambios.
Responsable del rea Legal y Administrativa: Responsable del

cumplimiento de todas las polticas de seguridad en todos los contratos
laborales.
El propietario de la informacin: Responsable de conocer y cumplir con

todos los requerimientos y polticas de seguridad estipuladas por la empresa y
encargado de contribuir con la confidencialidad, disponibilidad e integridad de
la informacin
Poltica: Esta poltica define aspectos especficos y pautas sobre la seguridad

para el rea de informtica de la Curadura Urbana Segunda de Pasto tales como:
Organizacin de la seguridad: Su objetivo es guiar la administracin y

direccin de la seguridad para su posterior implementacin.
Clasificacin y Control de Activos: Su objetivo es clasificar jerrquicamente
los activos de la organizacin y protegerlos de manera apropiada.
Control de Acceso: Su objetivo es controlar y restringir el acceso a la
informacin que es vital para la organizacin o es catalogada como
confidencial.
Desarrollo y mantenimiento de los sistemas: Su objetivo es implementar
medidas de seguridad en el desarrollo (confidencialidad, copias de seguridad,
acceso restringido), implementacin y mantenimiento de los sistemas de
informacin.
Administrador de Operaciones: Su objetivo es contrarrestar las
interrupciones en los procesos productivos, solucionar fallas y desastres.
Seguridad de los usuarios: Su objetivo es reducir el riesgo que generan los
errores humanos y tambin velar por la buena utilizacin de las instalaciones.
(Capacitacin permanente y adecuada para disminuir errores producidos por
un manejo incorrecto o por desinformacin)
Seguridad Fsica: Su objetivo es impedir el acceso no autorizado y evitar
daos y robos en la empresa. (Proteger tanto la planta)
Cumplimiento: Su objetivo es hacer cumplir las polticas de seguridad
anteriormente establecidas y hacer cumplir las obligaciones establecidas por
las leyes, el reglamento, los contratos e imponer sanciones por incumplimiento
de las mismas
Recursos: La empresa en cabeza del Curador cada ao debe disponer de un
rubro destinado a la seguridad de la informacin.
103
4.1.4.6.2 Organizacin de la Seguridad de la Informacin
Generalidades: Establecer la seguridad de la informacin como una de los

objetivos vitales para la Curadura.
Objetivo: Organizar, controlar y administrar la informacin dentro de la

organizacin.
Alcance: Esta poltica se debe aplicar a todos los procesos de la Curadura

Urbana Segunda de Pasto tanto internos como externos.
Responsables: La responsabilidad de la organizacin de seguridad de la

informacin est en cabeza del Curador, seguida por director del comit de
seguridad de la informacin y todos sus miembros as:
Comit de seguridad de la informacin: Es el encargado de desarrollar la

implementacin de las polticas de seguridad. Se encargara de realizar
seguimiento, monitoreo, anlisis de riesgo, implementacin de controles, velar
por la continuidad y hacer conocer de los avances, cambios y dificultades a la
direccin general.
Responsable del rea de Informtica y de la seguridad informtica: Se
encargara de dirigir la implementacin de polticas de seguridad con la
asesora de profesionales especializados, e implementar medidas de
seguridad como la restriccin del acceso a la informacin que sea catalogada
como confidencial
El comit de revisin Interna o control Interno: Se encargara de revisar la
vigencia y el cumplimiento de las polticas de seguridad.
Responsable del rea de Administracin: Se encarga de destinar y
disponer de recursos necesario para la adquisicin de elementos necesarios
para el cumplimiento de dichas polticas (Hardware, software, elementos de
logstica, asesora especializada)
Responsable del rea Legal y Administrativa: Responsable de informar a
proveedores, y equipo de trabajo sobre las modificaciones en las polticas de
seguridad.
Poltica: Infraestructura de la seguridad de la informacin
Organizacin Interna y coordinacin de la seguridad de la informacin

de la Curadura Urbana Segunda de Pasto: Crear un comit de seguridad
de la informacin que garantice el apoyo a la implementacin de todas las
medidas de seguridad estructurado de la siguiente forma.
104
Tabla 8: Comit de Seguridad de la informacin
Comit de seguridad de la informacin

rea o dependencia Representante
Curador Gerencia
Responsable de la seguridad de la informacin
responsable de recursos humanos
responsable del rea legal y administrativa
Fuente: Modelo de poltica de seguridad para organismo de la administracin pblica nacional
Funciones del comit de seguridad:

Revisar y proponer polticas de seguridad al director general.
Monitorear e identificar cambios que generen riesgos para la organizacin
Identificar amenazas y posibles vulnerabilidades.
Documentar y monitorear los incidentes concernientes a la seguridad
Evaluar las posibles soluciones y elegir la ms adecuada encaminada a
contribuir con la seguridad de la informacin.
Asegurase de que la seguridad haga parte del procesos de planificacin
de la organizacin
Determinar y organizar la implementacin de controles de seguridad
Asignacin de responsabilidades para la seguridad de la informacin: El

Curador asigna las funciones referentes a la seguridad informtica al
responsable del departamento de seguridad informtica quien de ahora en
adelante ser el directo garante de la seguridad de la informacin de la
empresa y responsable del cumplimiento de lo tratado en la presente poltica.
Asignacin de responsabilidades, que deben quedar debidamente documentadas

y aprobadas por el comit de seguridad de la informacin de acuerdo a la
siguiente tabla.
Tabla 9: Asignacin de responsables para la seguridad de la informacin
Proceso Responsable
Control de Acceso
Seguridad Fsica (industrial)
Seguridad de la Informacin
Seguridad de Usuarios (personal)
Seguridad del software
Seguridad de las comunicaciones (red y servidores)
Seguridad en el desarrollo y mantenimiento de
sistemas
Seguridad Operacional
105
Tabla 10: Encargados de la seguridad de la Informacin en la Organizacin
Informacin Propietario Recursos Procesos Administrador

Asociados Involucrados
Proceso de autorizacin para los servicios de procesamiento de

informacin: Los nuevos servicios de procesamiento de informacin deben
ser autorizados previamente por el responsable de la seguridad de la
informacin y deben ser autorizados para el usuario apropiado; de igual manera
al implementar hardware y software se debe verificar que sean compatibles con
el sistema actual e identificar e implementar controles de seguridad para
porttiles y computadores personales nuevos que ingresan a la empresa.
Acuerdos sobre confidencialidad: Identificar y revisar con regularidad los

requisitos de confidencialidad (suscribir contratos de confidencialidad y no
divulgacin para la proteccin de la informacin vital para la empresa.), que
deben ser encaminados a proteger la informacin legalmente, para lo cual se
debe tener en cuenta la clasificacin de la informacin, en este caso se debe
proteger la informacin confidencial, se debe definir por cunto tiempo se va a
proteger y designar un responsable para hacer buen uso de esta.
Contactos con las autoridades: La organizacin debe mantener contactos

adecuados con las autoridades que especializadas en seguridad y delitos
informticos para comunicarse de manera inmediata en caso de ser necesario.
(Saber cundo y a quin dirigirse en caso de incidentes)
Contactos con grupos de inters especiales: Los responsables de la

seguridad deben estar en contacto permanente con foros y empresas
especializadas en seguridad ya que estos estn a la vanguardia de las nuevas
formas de ataque.
Revisin independiente de la seguridad de la informacin: El comit de

revisin interna o control interno se encargara de realizar revisiones
independientes para garantizar el cumplimiento de las polticas de seguridad.
Este comit debe informar al curador de las fallas encontradas y de las mejoras
y cambios que son necesarios implementarse. (La revisin la deben realizar
profesionales idneos o expertos en seguridad, de ser necesario se debe
contratar personal externo para realizar dicha revisin)
106
Partes externas y coordinacin de la seguridad de la informacin: Se debe
controlar todo acceso a los servicios, comunicacin, procesamiento de la
informacin y comunicacin que provienen de partes externas as:
Se debe definir un convenio con la parte externa para compartir informacin

Se deben identificar los riesgos provenientes de las partes externas e
implementar controles adecuados antes de autorizar el acceso.
Identificar los servicios de los que va disponer la parte externa.
Definir el tipo de acceso que va a tener la parte externa: ya sea acceso
fsico, acceso lgico, acceso a la red etc.
Identificar el valor y la sensibilidad de la informacin a la que van a tener
acceso
Implementar controles necesarios para proteger la informacin de terceros
Conocer los controles y medidas que implementara la parte externa para el
manejo y uso de la informacin
Definir unos requisitos legales que est obligada a cumplir la parte externa
para compartir informacin y servicios.
Establecer y definir posibles medidas de contingencia en caso de fallos,
errores, ataques etc.,
Todo servicio con terceros se debe hacer mediante contrato y en cada
contrato se deben definir claramente las obligaciones, las polticas de
seguridad y las implicaciones legales en caso de incumplimiento.
Estas medidas deben ser tomadas para: Proveedores de servicios de red, de

internet, de telefona, de mantenimiento, de soporte, de auditoria, de gestin, de
negocios, personal de trabajo temporal, clientes etc.
4.1.4.6.3 Gestin de Activos
Generalidades: Una vez realizado el inventario de activos y la evaluacin de

riesgos se clasifican los activos de acuerdo a su sensibilidad y vulnerabilidad.
Objetivo: Clasificar la informacin de acuerdo a su grado de confidencialidad,

definir niveles de proteccin y garantizar que los activos de la organizacin sean
protegidos de manera adecuada
Alcance: Esta poltica se debe aplicar a todos los activos de la organizacin.

Responsables: La responsabilidad de la seguridad de la informacin est en
manos de:
Responsables de la Informacin: Son los encargados de clasificar la

informacin de acuerdo a su grado de confidencialidad, mantener actualizada
y documentada la clasificacin y de definir los permisos de acceso a los
107
usuarios. Cada dependencia debe supervisar que la clasificacin y rotulado de
la informacin sea correcto.
Poltica
Inventario de Activos: Se realiza un inventario de activos los cuales debe

estar debidamente clasificados y ordenados segn su importancia, propietario,
ubicacin e informacin almacenada, este inventario debe ser actualizado
constantemente y conservarse de manera ordenada.
Clasificacin de la informacin: Para clasificar la informacin de deben

tener en cuenta los criterios bsicos de seguridad:
Tabla 11: Clasificacin de la Informacin
Categora Nivel de Confidencialidad:
0 Informacin pblica: Que puede ser conocida por todo el

personal
0 interno y externo.
1 Reservada de uso interno (informacin que solo puede
ser
1 conocida por los miembros de la empresa).
2 Informacin reservada confidencial (informacin que
solo
2 es conocida por un grupo de la empresa).
3 Reservada secreta (informacin que solo es conocida
por
3 un grupo reducido de la empresa y su divulgacin
ocasionara problemas o perdidas).
Categora Nivel de Integridad:
0 Si la informacin, es modificada sin previa autorizacin

esta puede repararse y no afecta a la organizacin
1 Si la informacin es modificada sin previa autorizacin
esta puede repararse , pero puede ocasionar perdidas
leves
esta no puede repararse y ocasiona prdidas
significativas a la organizacin.
esta no puede repararse y ocasiona prdidas graves a la
organizacin
Categora Nivel de Disponibilidad:
108
Hace referencia a cuya informacin en caso de no
0 poderse acceder, no afecta los procesos y servicios de la
organizacin.
0
0
1 Hace referencia a cuya informacin que en caso de no
poderse
1 acceder en un plazo largo como una semana,
puede ocasionar prdidas significativas a la empresa
2 Hace referencia a cuya informacin que en caso de no
poderse
2 acceder en un plazo corto como un da, puede
ocasionar prdidas significativas a la empresa
3 Hace referencia a cuya informacin que debe estar
disponible
3 todo el tiempo y la inaccesibilidad mayor a
una hora puede ocasionar prdidas significativas a la
empresa
Criticidad baja: ninguno de los valores asignados superan el
Criticidad media: alguno de los valores asignados es 2
Criticidad alta: alguno de los valores asignados es 3
Fuente: Modelo de poltica de seguridad para organismo de la administracin pblica nacional.
Teniendo en cuenta los anteriores criterios el propietario se encarga de

clasificarla e identificar los elementos asociados:
Rotulado de la informacin: Definir procedimientos de rotulado,

almacenamiento y fsico y electrnico de la informacin de acuerdo a su Nivel
De Criticidad.
4.1.4.6. 4 Seguridad de los recursos humanos
Generalidades: Es fundamental educar y concienciar al personal sobre la

importancia de la aplicacin de las polticas de seguridad, desde el primer instante
que se ingresa a la empresa y de las sanciones que conlleva el incumplimiento de
las mismas. Por lo tanto es importante que el personal este consiente de la
importancia, este capacitado y en caso de ocurrir un incidente informar en qu
condiciones ocurri para establecer mecanismos que conduzcan a que dichas
fallas o incidentes no vuelvan a ocurrir y establecer los correctivos necesarios.
Objetivo: Minimizar los riesgos ocasionados por errores humanos y promover un

uso adecuado de los recursos informticos as como capacitar y concienciar sobre
la importancia de la aplicacin de las polticas de seguridad e informacin
oportuna de incidentes para ser corregidos en debida forma.
109
Alcance: Esta poltica se debe aplicar a todo el personal de la organizacin,
interno y externo
Responsables:
El personal de recursos humanos que es el encargado de seleccionar el

personal, informara, capacitara y establecer acuerdos de confidencialidad y
de cumplimiento de todas las polticas de seguridad con el personal que
ingrese a la empresa.
Responsable del rea Legal y Administrativa: Es el responsable de

establecer trminos y condiciones laborales. Mediante clusulas en los
contratos los acuerdos de confidencialidad y cumplimiento de polticas de
seguridad con todo el personal y con terceros.
Responsable de la seguridad informtica: Se encargara de capacitar y

concienciar al personal con asesora de profesionales especializados, sobre
el uso correcto de los recursos informticos y el cumplimiento de las polticas
de seguridad as como del acuerdo de confidencialidad.
Poltica
Antes de la contratacin Laboral: La organizacin antes de la contratacin

laboral debe documentar los roles y responsabilidades que estos van a
desempear.
En la seleccin del personal se debe revisar antecedentes (hoja de vida,

experiencia laboral, experiencia crediticia etc.). Se debe seleccionar y
clasificar que informacin va estar disponible para estos tanto para personal
como para terceros.
Trminos y condiciones laborales: Tanto para empleados como para terceros

estos deben conocer los trminos y las condiciones del contrato laboral
haciendo nfasis en los aspectos relativos a la seguridad, la confidencialidad
y se debe verificar que los contratos estn firmados. (El contrato debe
contener, derechos, deberes, responsabilidades, estar de acuerdo a la ley y
posibles sanciones por incumplimiento).
Durante la Vigencia del contrato: La direccin debe exigir que los

empleados y terceras partes cumplan a cabalidad con las polticas de
seguridad establecidas por la empresa. Para esto debe darles a conocer las
110
polticas de seguridad, motivarlos y verificar que estn de acuerdo con los
trminos y condiciones establecidas en el contrato laboral.
Capacitacin y formacin: La organizacin capacitara e informara sobre las

polticas de seguridad establecidas en la organizacin, as mismo capacitara e
informara cuando se presenten cambios y modificaciones.
La capacitacin al personal y a terceras partes se realizara por personal

especializado de la organizacin que resalte la importancia del cumplimiento
de las polticas de seguridad y les ensee como detectar posibles fallas e
incidentes y les explique cmo comunicar estas fallas a la organizacin.
La organizacin lleva a cabo verificaciones del cumplimiento de las

obligaciones en los puestos de trabajo.
El empleado debe someterse a: Cumplir con el control y la poltica de

seguridad, formar y cumplir el compromiso de confidencialidad, cumplir los
trminos y condiciones del contrato, capacitarse, comunicar sobre incidentes y
anomalas.
Para el personal y terceras partes que violen o incumplan las polticas de

seguridad se llevara a cabo un proceso disciplinario de acuerdo a los
estatutos de la empresa.
Terminacin o Cambio del contrato laboral: La organizacin gestiona de

manera adecuada la terminacin del contrato o cambio de contrato y una vez
terminado el contrato verifica la suspensin de los servicios, la devolucin de
los activos, devolucin de documentos, dispositivos (pc, celulares, usb etc),
verifica y gestiona el cambio de contraseas. Los responsables de realizar
estos procesos son l responsable de seguridad y el rea de recursos
humanos.
4.1.4.6.5 Seguridad fsica y del entorno
Generalidades: Para la seguridad fsica se deben tener en cuenta los siguientes

aspectos: La proteccin fsica de acceso, proteccin y mantenimiento de equipos
de acuerdo a su importancia, los posibles daos e interferencias; El mantenimiento
de las instalaciones se debe hacer bajo estrictas normas de seguridad.
Objetivo: Evitar el dao, interferencias y el acceso no autorizado a la informacin

de la empresa.
111
Alcance: Esta poltica se debe aplicar la instalaciones de la Curadura y todos sus
equipos, expedientes, cableados, documentacin etc.
Responsables:
Responsable de la seguridad informtica: Este se encargara de dirigir las

polticas a seguir en el resguardo de los equipos, su mantenimiento y control
de acceso etc. Tambin se encargara de clasificar las reas (Para servidores
se creara un rea restringida que tendr un tratamiento especial).
El Responsable del rea informtica se encargara de adoptar todas las
polticas establecidas por el responsable de la seguridad y verificara el
cumplimiento de las mismas.
Poltica
Permetro de Seguridad Fsica: El comit de seguridad con el responsable

de seguridad definen un permetro de seguridad para el rea considerada
como crtica que si no existen se debe crear (almacena todos los dispositivos
considerados vitales como servidores y almacenamiento de informacin
confidencial) y se deben adoptar las siguientes medidas:
Definir claramente el permetro de seguridad

Establecer barreras de seguridad
Definir el personal autorizado para el acceso al rea restringida.
Controles de Acceso Fsico: El responsable de la seguridad junto con el

responsable del rea de informtica establecern controles de acceso al rea
restringida:
Limitar el acceso al rea donde se encuentra almacena la informacin,

llevar un registro solo del personal autorizado.
Verificar que el personal que ingrese porte un documento visible que lo
catalogue como personal autorizado.
Revisar peridicamente los registros del personal que accede.
Actualizar constantemente la lista de personal autorizado.
Seguridad de Oficinas e instalaciones; Se debe tener en cuenta las

condiciones de iluminacin ventilacin salubridad, equipamiento antiincendios,
medidas que prevengan inundaciones robos etc. Preferiblemente el rea de
oficinas y atencin al pblico debe estar alejada del rea restringida, disponer
de guardias de seguridad y de alarmas.
Ubicacin y proteccin de copias de seguridad y equipamiento: El

equipamiento se ubicara en un sitio donde se minimice el riesgo, es decir en
112
un lugar aislado y protegido tanto de amenazas naturales ambientales, fsicas
y humanas, adicional a esta medida se restringir el acceso. Por lo tanto solo
podr acceder personal autorizado con su credencial y los ingresos y tareas a
realizar sern debidamente documentadas por el responsable de la seguridad;
las labores de aseo sern verificadas para evitar daos y hurtos.
Suministro de Energa: Peridicamente se deben revisar el buen

funcionamiento de las instalaciones elctricas para evitar incidentes, la
organizacin debe optar por contrarrestar fallas en el suministro de energa
tales como la adquisicin de una planta elctrica, la compra de ups para los pc
etc.
Seguridad en el Cableado: Proteger el cableado que transporta datos de

daos e interceptacin cumpliendo con las normas, que el cableado baya por
conductos seguros, separa los cables de energa de los cables de
comunicacin etc.
Mantenimiento de Equipos: Los responsables del rea de informtica deben

someter todos los equipos peridicamente e mantenimiento preventivo, este
mantenimiento debe ser registrado y documentado, cada equipo debe tener un
inventario de dispositivos para saber qu cambio se hicieron y que dispositivos
se retiraron.
Seguridad en la reutilizacin o eliminacin de equipos: Cuando un equipos

es cambiado de sitio o eliminado se debe tener total precaucin con los
dispositivos de almacenamiento como discos duros los cuales deben ser
formateados o destruidos de forma segura para evitar incidentes con la
informacin.
4.1.4.6.6 Gestin de operaciones y comunicaciones
Generalidades: La Curadura debe crear condiciones que garanticen la

confidencialidad, integridad y disponibilidad de la informacin que se produce y se
recibe a travs de diferentes canales de comunicacin.
Objetivo: Adoptar medidas de seguridad encaminadas a prevenir la proliferacin y

expansin de software malicioso que son catalogadas como amenazas en
potencia, garantizar el adecuado funcionamiento de los sistemas de informacin y
designar responsables encargados de adoptar todas las medidas de seguridad
necesarias para prevenir posibles ataques
Alcance: Esta poltica se debe aplicar a todo el sistema informtico (red,

servidores, comunicaciones y equipos) etc.
113
Responsables:
El responsable de la seguridad informtica: Sera el encargado de definir

procedimientos para el control actualizacin y modificacin de los sistemas
operativos tanto de servidores como pcs.
Toda actualizacin, modificacin y mantenimiento debe estar debidamente

documentada
Definir mecanismos para el reporte y manejo de incidentes
Definir polticas de control para el uso de correo electrnico, consulta de
pginas, navegacin en internet y uso de redes sociales.
Adquirir antivirus licenciado y verificar que las actualizaciones se estn
realizando peridicamente.
Establecer y verificar polticas de control de usuarios mediante
contraseas y gestin de privilegios.
Controlar la realizacin de copias de seguridad
Solicitar recursos para actualizaciones (Software) para cubrir necesidades
a futuro en materia de seguridad.
Adquirir herramientas de monitoreo de sistemas y verificar que estn
siendo utilizadas para tal fin
Establecer protocolos para la destruccin de herramientas de
almacenamiento, como discos duros, cintas, usb (en el caso de ya no ser
necesarias)
Todo procedimiento debe ser debidamente documentado.
El Responsable del rea informtica se encargara de adoptar todas las

polticas establecidas por el responsable de la seguridad y verificara el
cumplimiento de las mismas.
El responsable del rea legal, junto con el responsable de la seguridad y el

responsable de rea informtica se encargaran de verificar y hacer cumplir a
cabalidad los contratos y acuerdos.
Poltica
Procedimientos y responsabilidades operativas
Documentacin de los procedimientos operativos: Los S.O. se

actualizarn permanentemente y toda actualizacin y modificacin de los
S.O. ser autorizada por el responsable de seguridad y debidamente
documentada y realizada por el rea de informtica.
114
Control de Cambios en las Operaciones: Todo cambio debe ser
evaluado y aprobado previamente y se tendrn en cuenta los siguientes
aspectos: Evaluacin del cambio y posible impacto, planificacin, prueba,
e identificacin de responsabilidades en caso de que el cambio sea
fallido.
Procedimientos de Manejo de incidentes: El responsable de la
seguridad junto con el jefe del rea de informtica establecern protocolo
para el manejo de incidentes tales como: Definir los posibles tipos de
incidentes (Fallas operativas, cdigo malicioso, intrusiones, fraude
informtico, error humano, desastres naturales). En caso de presentarse
incidentes comunicarlos a la direccin y seguir el plan de contingencia,
implementar controles de acceso a los sistemas y medidas de
recuperacin.
Planificacin y Aprobacin de sistemas
Planificacin de la Capacidad: El responsable del rea de seguridad

informtica es el encargado de evaluar constantemente las necesidades a
futuro de los S.O. para evitar posibles fallas.
Aprobacin del sistema: El responsable de la seguridad y el responsable
del rea informtica sugieren a la direccin las posibles especificaciones
necesarias para actualizar los sistemas Operativos.
Proteccin Contra software malicioso: El responsable de la seguridad y el

responsable del rea de informtica definen los siguientes criterios de
seguridad y el cumplimiento de los mismos:
Prohibir las instalaciones y descargas en los pc de la empresa.

Verificar constantemente el contenido del software
Escanear constantemente el software
Monitorear constantemente el software de los servidores
Antes de realizar instalaciones o cambios verificar que toda informacin
entrante est libre de virus
Concientizar al personal de la importancia de la proteccin en el manejo
de la informacin.
Mantenimiento
Resguardo de la informacin: Los responsables de la informacin

definirn un esquema de proteccin de la informacin entre ellas: Copias
de seguridad y prueba de restauracin, definir un esquema de rotulado de
copias, almacenar copias de seguridad en una ubicacin remota, el
115
almacenamiento de copias de seguridad debe estar fsicamente protegida
con un esquema de seguridad especial.
Registro de actividades del personal operativo: El responsable de

seguridad debe llevar un registro del uso de los sistemas como: Tiempo de
inicio, cierre, errores del sistema, intentos de acceso al sistema, medidas
tomada etc
Registro de fallas: El responsable de seguridad debe llevar un registro

fallas en los sistemas, como fueron resueltas, medidas correctivas etc
(documentar todas las fallas de los sistemas )
Administracin de la Red: El responsable de la seguridad define y toma las

medidas necesarias para proteger la red de datos para evitar posibles daos,
interferencias etc.
Establece procedimiento de administracin y delega un responsable que

debe documentar todos los procedimientos realizados en la red
Establecer controles para asegurar la disponibilidad, la confidencialidad y
la integridad de la informacin.
Garantizar mediante actividades de supervisin que los controles se
apliquen.
Administracin de medios de almacenamiento: El responsable de la

seguridad y el responsable del rea de informtica establecern y verificaran
el cumplimiento del correcto almacenamiento de respaldos de seguridad y
eliminacin de informacin de cintas magnticas, discos duros para evitar
incidentes con el manejo de la informacin.
Eliminacin de medios de informacin: El responsable de la seguridad

y el responsable del rea de informtica deben verificar la correcta
eliminacin de informacin desde dispositivos de almacenamiento.
Procedimientos de manejo de informacin: Para almacenar la

informacin los empleados deben seguir el siguiente procedimientos tales
como: Proteger documentos, redes y dispositivos informticos, restringir el
acceso a personal no autorizado, conservar los dispositivos de
almacenamiento en medios seguros.
Seguridad de la documentacin del sistema: La documentacin del

sistema debe estar almacenada en un lugar seguro y el acceso a esta
debe ser restringido.
116
Intercambios de Informacin y de Software: Se debe utilizar medios de
mensajera confiable, se deben de tener en cuenta las siguientes
recomendaciones: Uso adecuado por de la mensajera electrnica por parte
del personal, no abrir mensajes de remitentes desconocidos, toda informacin
que llega debe ser escaneada, se debe conocer los posibles riesgos de
seguridad a los que se enfrenta un usuario al utilizar mensajera electrnica
(interceptacin, robo, engaos, bombas lgicas etc.) y transferir por este
medio informacin confidencial.
4.1.4.6.7 Control del Acceso
Generalidades: La poltica de control debe ser documentada, revisada y

actualizada constantemente con el fin de evitar el acceso a los sistemas de
informacin, bases de datos y documentos por personal no autorizado que
pongan en peligro la informacin de la empresa.
Objetivo: Controlar el acceso a la informacin
Alcance: Esta poltica se aplica a todas los procesos o formas de acceso a los
sistemas de informacin, bases de datos o servicios de informacin de la
empresa.
Responsables:
Responsable de la seguridad informtica: Es el encargado de definir

normas, pautas y procedimientos para los accesos a los sistemas, bases de
datos y servicios de informacin (acceso a los pc, acceso a la red, acceso a
los servidores, acceso a internet, acceso a claves de seguridad, acceso a
transacciones etc.). Tambin debe realizar un control de los privilegios de los
usuarios y concientizar a los usuarios de la importancia de la no divulgacin de
las contraseas
El Responsable del rea informtica Se encarga de dirigir normas y
procedimientos para implementar Sistemas operativos, Gateway, firewall,
servicios de red etc., debe verificar que todos estos dispositivos y servicios
queden debidamente configurados, debe realizar pruebas de escaneo,
monitoreo para evitar intromisin. Adems debe promover y realizar la gestin
de contraseas y privilegios, capacitar y concientizar a los usuarios de la
utilizacin de las medidas de control de acceso.
117
Poltica
Poltica de Control de acceso: El responsable del rea de informtica

cumplir con las siguientes funciones:
Implementar mtodos de autenticacin y control de acceso
Segmentar la red (adquirir enrutadores y gateways)
Implementar el control de puertos y ruteo de red
Efectuar un control de los registros de auditoria.
Definir perfiles de acceso
Controlar los cambios en los accesos
Administracin de accesos de usuarios
Registracin de usuarios: Definir un registro formal de usuarios para

otorgar y revocar accesos, utilizar identificadores de usuarios nicos.
Administracin de Privilegios: Identificar los privilegios, asignar los

privilegios de acuerdo a las necesidades del trabajo, mantener un registro
actualizado de los privilegios.
Administracin de contraseas de usuario: Los usuarios deben

comprometerse a utilizar y mantener en secreto sus contraseas esto
debe estar estipulado en el contrato laboral, cambiar peridicamente las
contraseas, las contraseas deben cumplir con todos los criterios de
seguridad.
Administracin de contraseas crticas: Para realizar configuraciones,

asignaciones y cambios en los servidores, enrutadores etc., se utilizara
contraseas con un nivel de complejidad ms alto
Responsabilidad de los usuarios: Los usuarios deben usar contraseas,

deben mantener la contrasea en secreto, pedir cambio de contrasea en
caso de riesgo, usar contraseas de calidad etc. El usuario est obligado a
proteger los equipos asignados, no debe dejar los equipos abandonados o
desatendidos, una vez terminado un servicio debe cerrar cesin, cerrar cesin
despus de utilizar correos electrnicos, apagar el equipo en forma correcta.
118
Control de acceso a la red: El responsable de la seguridad informtica es el
encargado de otorgar los permisos para el acceso a la red y sus recursos,
realizar normas y procedimientos de autorizacin, establecer controles y
procedimientos de control de acceso, para autenticacin de usuarios para
conexiones externas debe de escogerse un mtodo de autenticacin, un
protocolo de autenticacin, a autenticar las conexiones a sistemas
informticos remotos, proteccin de puertos para evitar accesos no
autorizados, en lo posible subdividir o segmentar la red para realizar procesos
separados con el fin de que si se presenta un incidente no se contamine toda
la red o si un espa ingresa a esta no tenga acceso a toda la informacin, por
otra parte se debe controlar el acceso lgico a los servicios, configurar los
servicios de manera segura etc. El acceso a internet solo ser autorizado por
el jefe del rea de informtica.
Se debe restringir algunos servicios como: Utilizacin de correo electrnico,

transferencias de archivos, acceso interactivo y acceso a red fuera del horario
laborar.
Control de Acceso al sistema operativo: Los responsables de la seguridad

y el jefe del rea de informtica deben definir los procedimientos para realizar
la proteccin de los sistemas operativos, el acceso a los servicios de
informacin solo se realizara a travs de un proceso de conexin seguro,
limitar el tiempo para el procesos de conexin, limitar el nmero de intentos de
conexin; todos los usuarios utilizaran contraseas seguras.
Control de Acceso a las aplicaciones: Controlar los derechos los acceso de

los usuarios, restringir la informacin, controlar el acceso a las funciones de
los sistemas, revisar las salidas de informacin es decir que solo se envi la
informacin solicitada.
Monitoreo de acceso y uso de los sistemas: Revisar y monitorear que los

usuarios solo estn realizando actividades que hayan sido autorizadas
previamente, se debe monitorear, el acceso, la identificacin de usuarios,
fecha y hora de eventos, archivos accedidos, se debe supervisar el inicio y
cierre del sistema, las operaciones con privilegios, cambios de configuracin
del sistema, intentos de acceso no autorizado, alertas fallas del sistema etc.
4.1.4.6.8 Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Generalidades: Se debe documentar y aprobar los requerimientos de seguridad a

aplicar en la implementacin de los sistemas de informacin; se debe llevar a cabo
adecuadas polticas de seguridad para las bases de datos, los sistemas
119
operativos, todo esto con el fin de evitar que personas conocedoras de los
procesos puedan cometer fraudes o ilcitos y si es el caso identificarlos de manera
inmediata.
Objetivo: Adoptar medidas de seguridad en la implementacin de los sistemas de

informacin.
Alcance: Esta poltica se debe aplicar a todos los sistemas informticos tanto
sistemas operativos como software requerido para la entidad.
Responsables:
Responsable de la seguridad informtica, el propietario de la

informacin y el rea de auditoria interna se encargaran de definir e
implementar controles en el desarrollo y mantenimiento de sistemas de
informacin.
El Responsable del rea informtica se encargara de definir el

procedimiento para asignar claves, de garantizar el cumplimiento de los
requisitos de seguridad del software, de controlar los cambios en los sistemas
etc.
El responsable del rea legal y administrativa, se encargara del

licenciamiento del software adquirido y en el caso del software desarrollado
por la organizacin de establecer las polticas de derechos de autor y fijar las
condiciones de los contratos y de entrega.
Poltica
Requerimientos de seguridad de los sistemas:
Anlisis y especificaciones de los requerimientos de seguridad:

Identificar y definir los requerimientos y controles necesarios en materia
seguridad desde las etapas de anlisis y diseo del sistema ya que
implementar medidas de seguridad desde estas etapas sale menos
costoso que hacerlo despus.
Seguridad en los sistemas de aplicaciones: Se debe establecer

controles de los registro de auditoria para evitar la prdida de los datos de
los sistemas de informacin (validacin y autenticacin de los datos de
entrada y de salida )
Validacin de datos de entrada: Se debe establecer un control de

validacin de los datos de entrada como: Revisin peridica de contenidos
120
de campos claves, se debe establecer como se realizara y con qu
mtodo, adems se definir las responsabilidades del personal.
Controles de procedimientos interno: El responsable de la seguridad

junto con el jefe del rea de sistemas deben establecer controles para la
etapa del diseo, se deben implementar procedimientos que permitan
identificar el uso y localizacin en los aplicativos, controles y
verificaciones, revisin peridica de los registros, controles de integridad
de los registros y de los archivos, controles que verifique la consecucin y
orden en la ejecucin de los aplicativos.
Tambin se deben implementar controles para la autenticacin de

mensajes y para la validacin de datos de salida.
Controles criptogrficos
Poltica controles criptogrficos: Se debe utilizar controles

criptogrficos para los siguientes casos: Proteccin de claves de acceso
a sistemas, datos y servicios, transmisin de informacin clasificada,
resguardo de informacin. El responsable de la seguridad se encargara
de definir la poltica de controles criptogrficos, el mtodo y el
responsable de administracin de claves (Uso de algoritmo de cifrado y
firma digital, servicios de no repudio)
Administracin de claves: El responsable de administrar las claves

debe aplicar las polticas de proteccin de las claves implementando un
sistema de administracin de claves criptogrficas que permitan usar
tcnicas de clave secreta, estas claves sern protegidas contra copia,
destruccin, divulgacin, modificacin etc.
Seguridad de los procesos de soporte
Procedimiento de control de cambios: Verificar que los cambios sean

propuestos por personal autorizado, mantener un registro del nivel de
autorizacin, identificar todos los elementos que requieren
modificaciones, obtener aprobacin por parte del responsable del rea
de informtica para cumplir con los requerimientos del software.
Revisin tcnica de los cambios en el sistema operativo: Antes de

realizar cambios en el sistema operativo se debe revisar y verificar que
121
los cambios son necesarios, que impacto genera, informar al rea
involucrada y verificar la continuidad del negocio.
Restriccin del cambio de paquetes de software: Se debe evaluar la

necesidad, los costos, la parte legal (licencias ) y el impacto del cambio
que este genera en la organizacin
Canales ocultos y cdigo malicioso: Se debe adquirir software a

personal confiable y conocido, examinar cdigos fuentes que estn
libres de virus, llevar un control de acceso al software y las
modificaciones instaladas, utilizar antivirus y software de monitoreo y
escaneo.
Adquisicin de software: Para la adquisicin de software a terceros

se deben establecer condiciones puntuales rigurosas tales como:
acuerdos de licencias, procedimientos certificacin de calidad, calidad
en el software, verificacin del cumplimiento de las condiciones de
seguridad.
4.1.4.6.9 Gestin de los incidentes de seguridad de la informacin
Generalidades: Todos los empleados de la curadura deben tener muy clara la

obligacin de reportar formalmente fallas, eventos y debilidades de manera
inmediata al responsable de la seguridad.
Objetivo: Garantizar que todos los eventos maliciosos, como fallas y debilidades
de la seguridad de la informacin sean comunicados de manera inmediata.
Alcance: Esta poltica la deben cumplir todos los empleados de la Curadura.
Responsables:
Responsable de la seguridad informtica: El responsable de la seguridad

debe establecer un protocolo el cual deben conocer todos empleados para
conozcan cual es el procesos a seguir en caso de presentarse una falla. Es
decir cmo y a quien reportarlo para que se tomen los correctivos necesarios.
El Responsable del rea informtica debe concientizar y capacitar a los

empleados para que estn atentos a eventos sospechosos y en caso de
presentarse los reporten de inmediato.
122
Poltica
Reportes sobre los eventos de seguridad de la informacin: Se debe

establecer un punto de contacto que siempre est disponible y brinde
respuesta oportuna y adecuada a los incidentes. Todos los empleados deben
estar informados sobre la obligatoriedad de reportar e informar sobre
incidentes, fallas, vulnerabilidades y debilidades observadas en el sistema (los
empleados para reportar los incidentes deben diligencian un formato).
Gestin de incidentes y las mejoras en la seguridad de la informacin: La

organizacin en cabeza del responsable de la seguridad establece
procedimientos para el manejo de eventos y debilidades de la seguridad. Se
debe evaluar y gestionar todos los incidentes de seguridad de la informacin
as:
Responsabilidades y procedimientos: Establecer procedimientos para

manejar eventos como: Fallas en el sistema, virus, negacin del servicio,
violacin de confidencialidad, integridad y disponibilidad, uso inadecuado
de los sistemas informticos, cdigo malicioso; identificar la causa,
implementar acciones correctivas y reportar todo el procesos realizado al
responsable de la seguridad.
Aprendizaje debido a los incidentes de seguridad informtica: El

responsable del rea de informtica, debe llevar un registro de los
incidentes presentados, de cmo se han manejado, las posibles causas y
cuanto le cuestan a la empresa resolverlos, para en un futuro no cometer
los mismos errores.
Recoleccin de Evidencia: En el caso de llevar a cabo una accin

disciplinaria, se debe recolectar la evidencia siguiendo las siguientes
pautas: No se debe manipular la evidencia, se debe crear una copia
intacta de la evidencia y esta debe ser resguarda a travs de una cadena
de custodia.
4.1.4.6. 10 Gestin de la continuidad del negocio
Generalidades: Es indispensable que toda empresa disponga de un procesos de

gestin de continuidad del negocio en caso de llegarse a presentar una
eventualidad como un desastre natural, robo, daos en los servidores etc.
Objetivo: Asegurar el funcionamiento continuo de la organizacin
123
Alcance: Esta poltica se debe aplicar a todos los procesos crticos y prioritarios
de la empresa.
Responsables:
El comit de seguridad junto con el responsable de la seguridad

informtica debe identificar las amenazas, evaluar los riesgos identificar
controles preventivos, desarrollar un plan estratgico y un plan de
contingencia.
El Responsable del rea informtica participara en la elaboracin y
documentacin del plan de contingencia.
Poltica
Proceso de la administracin de la continuidad de la empresa: El comit

de la seguridad ser el encargado de identificar los procesos crticos,
asegurarse de que todos los empleados de la empresa comprendan y
conozcan los riesgos, elaborar y documentar una estrategia de continuidad del
negocio y proponer la adquisicin de plizas y seguros
Continuidad de las actividades y anlisis de los impactos: Antes de

elaborar el plan de contingencia el comit de seguridad debe identificar los
eventos o amenazas, evaluar los riesgos e identificar controles preventivos.
Todo esto debe estar debidamente documentado.
Elaboracin e implantacin de los planes de continuidad de las

actividades de la empresa: El comit de seguridad junto con el responsable
de la seguridad debe elaborar el plan de contingencia que debe contemplar los
siguientes aspectos: Responsables de los procedimientos de emergencia,
definir acciones y correctivos, implementar procedimientos de emergencia,
documentar estos procedimientos e instruir al personal; actualizar
constantemente el plan de contingencia.
Marco para la planificacin de la continuidad de las actividades de la

empresa: Se debe especificar claramente los requisitos y condiciones para su
puesta en marcha, los responsables y los requerimientos etc. Adicionalmente
debe prever las condiciones de implementacin, definir los procedimientos de
emergencia, y las acciones a realizarse, describir los procedimientos de
recuperacin, definir un cronograma de mantenimiento y documentar las
responsabilidades y funciones de las personas. (elaborar un documento muy
completo del plan de contingencia.)
124
Ensayo, mantenimiento y reevaluacin de los planes de continuidad de la
empresa: El comit de seguridad establecer un cronograma de pruebas, el
cronograma sealara quienes son los responsables, efectuara pruebas,
realizara simulaciones y pruebas completas en las instalaciones, involucrando
procesos y con todo el personal.
4.1.4.6. 11 Cumplimiento
Generalidades: Todas las empresas deben cumplir con las obligaciones

estipuladas por la ley.
Objetivo: Cumplir con todas las obligaciones estipuladas por la ley
Alcance: Esta poltica se debe aplicar a todo el personal de la empresa.
Responsables:
Responsable de la seguridad informtica: Este se encargara de definir

procedimientos encaminados a cumplir con todas las normas y restricciones
legales, se encargara de realizar revisiones peridicas a la empresa para
verificar el cumplimiento de las polticas de seguridad, solicitar auditorias
peridicas, documentar y dar a conocer los requisitos normativos.
Todos los empleados y directivos estn obligados a conocer y dar a
conocer a cumplir y hacer cumplir la presente poltica y la normativa vigente.
Poltica
Cumplimiento de requisitos legales:
Identificacin de la legislacin aplicable: Se definirn claramente los

requisitos normativos contractuales.
Derechos de propiedad intelectual: Solo se podr utilizar material

autorizado, respetando la propiedad intelectual.
Derecho de propiedad intelectual del software: El responsable de la

seguridad junto con el responsable del rea de informtica implementar
controles y procedimientos para el manejo de licencias.
Proteccin de los registros de la empresa: Los registros crticos sern

debidamente protegidos contra prdida, falsificacin o robo. Para el
almacenamiento y proteccin de los registros contables, base de datos y
125
otros de estos se debe realizar un inventario, implementar controles, y
establecer procedimientos de almacenamiento, divulgacin, manipulacin
o eliminacin.
Proteccin de datos: Todos los empleados estn obligados a cumplir un

compromiso de confidencialidad es decir a utilizar la informacin solo para
bien de la Curadura.
Prevencin del uso inadecuado de los recursos de procesamiento de

informacin: Cuando un empleado utilice la informacin o los recursos de
la organizacin sin ser autorizado ser considerado como uso indebido y
esto va en contra de las normas de la empresa y puede estar sujeto a
sanciones.
Regulacin de controles para el uso de criptografa: Para hacer usos

de herramientas criptogrficas el responsable del rea legal junto con el
responsable del rea de seguridad deben cumplir con las leyes de firma
digital y encriptacin vigentes en el pas, una vez conozcan las normas de
uso, se implementan los controles y se dan a conocer al encargado.
Recoleccin de Evidencia: Cuando una accin indebida o inapropiada

involucre la aplicacin de la ley, la evidencia presentada debe cumplir con
lo establecido en las leyes que rigen a nuestro pas.
Para la recoleccin de la evidencia se debe cumplir con las siguientes

condiciones: Realizar una copia de seguridad para que la evidencia
original no sea modificada, guardar la evidencia en un sitio seguro.
Revisin de las polticas de seguridad y la compatibilidad tcnica
Cumplimiento de las polticas de seguridad: El responsable del rea de

informtica realizara revisiones del cumplimiento de las polticas de
seguridad en la empresa.
Verificacin de la compatibilidad tcnica: El responsable de la

seguridad revisara que los controles para el hardware y el software sean
implementados correctamente.
Auditoras de sistemas
Controles de auditoria de sistemas: Cuando se realicen auditoras a

los sistemas, el responsable de la seguridad debe definir el rea a
126
auditar, controlar el alcance de las comprobaciones, limitar la auditoria
para evitar modificaciones.
Proteccin de los elementos utilizados por la auditoria de sistemas:

El responsable de la seguridad debe definir instrucciones y
procedimientos para el acceso archivos, datos o software.
Sanciones previstas por incumplimiento: El incumplimiento o violacin de

las polticas de seguridad implica sanciones, de acuerdo a los contratos
suscritos con la empresa y en caso de acciones legales se proceder de
acuerdo a la ley.
4.1. 4.2 Segunda Etapa Implantar
4.1.4.2.1. Declaracin de Aplicabilidad. En la declaracin de aplicabilidad (Dda)

se define como se implementaran los sistemas de seguridad de la informacin, ya
que este documento aplica la relacin entre la calificacin y el tratamiento del
riesgo y la implementacin de un sistema de seguridad de la informacin y es un
documento fundamental desde donde parte una auditoria.
Para la declaracin de aplicabilidad de la Curadura Urbana Segunda de Pasto, se
ha tenido en cuenta los siguientes documentos: Los 133 controles sugeridos en el
Anexo A de la norma ISO 27001, las poltica de Seguridad de la Informacin, la
evaluacin y tratamiento de riesgos y el Informe de evaluacin y tratamiento de
riesgos.
Una vez identificados los riesgos la declaracin de aplicabilidad permite identificar

los controles necesarios documentando si cada uno de estos controles es
aplicable o no o si ya est implementado o no.
La declaracin de aplicabilidad se realiz sobre el anlisis de riesgos teniendo en

cuenta los siguientes parmetros:
Dominio: Que indica el nmero del control de acuerdo al anexo A de la Norma

ISO/IEC 27001.
Controles segn la ISO/IEC 27001: Se identifica el nombre del control
Aplicabilidad: Se identifica si es o no es aplicable a la Curadura.
Justificacin: Explica porque es o no es aplicable dicho control.
Objetivo del Control
Actividades para la implementacin del control
Estado del control.
El estado del control se lo identifica y clasifica con la siguiente tabla teniendo en

cuenta la abreviatura y el color
127
Tabla 12: Estado de los Controles
Estado Abreviatura Color

Planificado [No implementado] (P) Rojo
Parcialmente implementado (PI) Amarillo
Totalmente implementado (TI) Verde
No aplica (NA) Sin Color
Fuente: Basado en Magerit

4.1. 4.2.2. Aplicabilidad de los Controles
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Polticas de
5
seguridad
Polticas de
seguridad de
5.1
la
informacin.
Documentos La implementacin de Garantizar que Documentaci
de polticas las polticas de los n de todos
de seguridad seguridad debe estar procedimientos los procesos
de la debidamente para el manejo a
5.1.1 informacin Si documentada y para de la informacin desarrollarse P
que sirva como gua en sean conocidos para la
la implementacin del por los implementaci
SGI miembros de la n de la
Curadura. seguridad
Revisin de Es necesario revisar Garantizar que Revisin de
polticas seguidamente las las polticas de las polticas
para polticas de seguridad seguridad de la de seguridad
5.1.2 Si P
seguridad de para verificar el informacin se de la
la cumplimiento de las mantengan informacin.
informacin mismas actualizadas.
Aspectos
organizativo
s de la
6
seguridad de
la
informacin
Organizaci
6.1
n interna
128
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Compromiso Cada trabajador debe Garantizar que Polticas de
de la conocer cules son sus slo personas gestin de
direccin responsabilidades frente dentro de cierta privilegios.
con la al manejo de la jerarqua dentro
seguridad de informacin en la de la empresa
6.1.1 Si PI
la Curadura para tengan acceso a
informacin asumirlas de manera la informacin.
adecuada, adems debe
conocer a fondo el rol
que desempea.
Coordinaci Es importante que cada Garantizar que Polticas de
n de la empleado que labora en slo personas seguridad
seguridad de la Curadura conozca su idneas tengan para el
la lmite en el manejo de la acceso a la personal que
6.1.2 Si PI
informacin informacin informacin. maneja la
informacin
al interior de
la empresa.
Asignacin Los empleados de la Garantizar que Planes de
de las Curadura que tiene las polticas de capacitacin
responsabili acceso a la informacin seguridad de la para el
dades deben contribuir de informacin personal a
6.1.3 relativas a la Si manera exhaustiva al estn acordes cargo del PI
seguridad de mejoramiento de la con los manejo de la
la seguridad dentro de la requerimientos y informacin.
informacin empresa exigencias del
entorno.
Procesos de Toda informacin nueva Garantizar la Polticas de
autorizacin que ingrese a la proteccin de la seguridad
de recursos Curadura debe ser informacin de para nuevos
para el protegida bajo los nuevos clientes activos de
6.1.4 Si PI
tratamiento parmetros y polticas y proyectos que informacin.
de la de seguridad (software llega a la
informacin nuevo, programas, empresa.
bases de datos etc.)
Acuerdos de Se deben definir Garantizar el Acuerdos de
confidenciali acuerdos de adecuado confidencialid
dad confidencialidad para el manejo de la ad para los
manejo de la informacin en empleados
6.1.5 Si informacin que deben todos los niveles de la PI
quedar establecidos en de acceso a la empresa.
el contrato laboral o en misma.
los contratos de
prestacin de servicios.
129
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Contacto La informacin debe ser Evitar fallas en Definir
con las manejada de acuerdo a los canales de canales
autoridades las polticas de comunicacin seguros para
6.1.6 Si seguridad y a travs de para el manejo el manejo de PI
canales de de la la
comunicacin seguros informacin. informacin.
para evitar incidentes.
Contacto Para el cumplimiento de Estandarizar el Polticas para
con los los objetivos y alcances manejo de la el manejo de
grupos de del SGSI se deben informacin a la
especial definir polticas internas nivel interno. informacin
6.1.7 inters Si para la proteccin de la al interior de PI
informacin que deben la
ser conocidas por todos organizacin.
los empleados de la
Curadura.
Revisin Se debe definir de qu Dinamizar las Polticas
independient manera sern polticas de pensadas en
e de la adoptadas y seguridad para futuros
seguridad de modificadas las polticas que se ajusten a activos que
la de seguridad cuando se los nuevos formaran
6.1.8 Si P
informacin presenten cambios en activos que parte de la
los activos de la entran a formar empresa.
empresa (nuevos parte de la
programas, nuevos empresa.
servicios etc.)
6.2 Terceros
Identificaci Es necesario identificar Identificar los Controles de
n de los los posibles riesgos riesgos acceso a la
riesgos asociados a los accesos asociados al informacin
derivado del otorgados a la acceso a la redundantes.
acceso a informacin entidades informacin y
terceros externas o a terceros, sistemas de
N
6.2.1 No considerando el uso de informacin por
A
aplicaciones web y parte de
portales terceros.
electrnicos.(cuando se
de la conectividad con
planeacin y se haga
uso de un servidor web)
Tratamiento Es necesario que los Brindar Controles de
de la terceros que necesiten lineamientos a la seguridad
seguridad en acceder a la informacin hora de que un para clientes
N
6.2.2 la relacin No conozcan bajo qu clienta requiera externos.
A
con los condiciones pueden tener acceso a la
clientes tener acceso a la informacin.
informacin.
130
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Tratamiento Cualquier convenio o Establecer Polticas para
de la acuerdo realizado con controles de el manejo de
seguridad en otra entidad como seguridad para acuerdos que
contratos planeacin que el acceso a impliquen la
con terceros implique la relacin con activos internos relacin con
N
6.2.3 No los activos internos de la empresa informacin
A
(informacin) de la por parte de interna de
curadura deben terceros. empresa.
garantizar el
cumplimiento de
requisitos de seguridad.
Gestin de
7
Activos
Responsabili
7.1 dad sobre
los activos
Inventario de Es importante identificar Jerarquizar la Clasificacin
activos los activos de acuerdo importancia de de los activos
a su grado de los activos al y
importancia dentro de la interior de la establecimien
Curadura, en la que se empresa. to del nivel de
7.1.1 Si deja claro que el activo importancia P
ms relevante es la de los
base de datos donde se mismos.
registran los proyectos,
el archivo de licencias y
el archivo fsico.
Propietario Cada activo dentro de la Tener Asignar
de activos Curadura debe tener responsables de responsables
relacionado un los activos que tanto para los
responsable de la forman parte de activos de
seguridad. la empresa. informacin a
travs del
rea de
gestin de
7.1.2 Si TI
proyectos,
como para
activos
fsicos que
forman parte
de los
sistemas de
informacin.
131
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Uso Las polticas sobre Definir polticas Polticas de
aceptable de manejo de la para el manejo manejo de
los activos informacin deben de activos. activos.
7.1.3 Si PI
permitir tener claridad
acerca del manejo
adecuado de activos.
Clasificacin
7.2 de la
informacin
Directrices La informacin debe ser Identificar el Establecimie
de clasificada de acuerdo a nivel de nto de
clasificacin su grado de importancia importancia de prioridades
7.2.1 Si para establecer los los activos de en el manejo PI
controles adecuados informacin al de la
para el manejo de la interior de la informacin.
misma. empresa.
Etiquetado y Cada tipo de Identificar el Polticas de
manipulado informacin debe ser nivel de acceso a la
de la identificado para que confidencialidad informacin.
informacin cada persona y acceso a la
conociendo su informacin.
7.2.2 Si naturaleza respete su PI
nivel de
confidencialidad, es
decir debe ser
etiquetada relacionando
sus restricciones.
Seguridad
en los
8
recursos
Humanos
Seguridad
8.1 antes del
empleo
Funciones y Antes de contratar Contratar Claridad en
responsabili personal es necesario personal idneo las polticas
dades definir claramente el para ocupar un de
8.1.1 Si P
perfil y cargo contratacin.
responsabilidades del determinado.
cargo.
132
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Para contratar al Garantizar en los Claridad en
Investigaci personal se deben nuevos las polticas
n de evaluar las cualidades empleados tanto de
antecedente profesionales, el nivel de cualidades contratacin.
8.1.2 Si TI
s. tica y compromiso con profesionales
la empresa. especficas
como principios
ticos.
Trminos y Es necesario que los Establecer las Claridad en
condiciones nuevos empleados reglas que debe las polticas
de conozcan polticas y seguir quien de
8.1.3 contratacin. Si responsabilidades en desee formar contratacin. P
cuanto a sus funciones y parte de la
manejo de la empresa.
informacin
Seguridad
en el
desempeo
8.2 de las
funciones al
interior de la
empresa
Responsabili Se debe asegurar que Garantizar que Definicin de
dades de la las polticas diseadas los empleados polticas de
direccin para el manejo de la usen las manejo de la
informacin sean polticas informacin,
8.2.1 Si PI
cumplidas por los definidas por la acompaada
empleados de la empresa. s de planes
Curadura de
capacitacin.
Concienciaci Todas las polticas de Dar a conocer Planes de
n, seguridad de la las polticas de capacitacin
formacin y informacin deben ser seguridad de la en polticas
8.2.2 capacitacin Si conocidas al interior de informacin. de seguridad PI
en seguridad la Curadura. de la
de la informacin.
informacin
133
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Proceso Las posibles sanciones Dar a conocer Planes de
disciplinario. por incumplimiento de las sanciones capacitacin
las polticas de que acarrea el en polticas
seguridad o el mal mal manejo de la de seguridad
manejo de la informacin. de la
8.2.3 Si informacin que pongan informacin. P
en riesgo la seguridad
de la informacin deben
ser conocidas por todos
los empleados de la
Empresa.
Finalizacin
8.3 o cambio de
empleo
Responsabili Es necesario garantizar Evitar impacto Implementaci
dad del cese que despus de la negativo en la n de
o cambio finalizacin de un informacin tras polticas de
contrato interno, la la salida de un manejo de
8.3.1 Si P
informacin que maneja empleado que privilegios
esta persona no se vea tenga sobre la
afectada o divulgada. conocimiento informacin.
sobre la misma.
Devolucin Se deben tener Garantizar que Implementaci
de activos protocolos que los activos no se n de
garanticen que un vean afectados mecanismos
8.3.2 Si TI
empleado haga entrega tras la salida de para la
de los activos que tiene un empleado de devolucin de
a su cargo. la empresa. activos.
Retirada de Se debe contar con Evitar niveles de Implementaci
los derechos procedimientos para acceso a la n de
de acceso revocar privilegios a informacin polticas de
personal que no inadecuados, manejo de
8.3.3 Si PI
requiera de los mimos. que pongan en privilegios
riesgo la sobre la
seguridad de la informacin.
misma.
Seguridad
9 fsica y del
ambiente
reas
9.1
Seguras
134
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Permetro de Se debe garantizar la Asegurar las Polticas de
seguridad seguridad de las zonas reas que control de
fsica. que manejan contengan acceso fsico
informacin sensible informacin a reas que
9.1.1 Si (archivo fsico, sensible. contienen PI
ubicacin de servidores, informacin
equipos, sensible.
almacenamiento copias
de seguridad etc).
Controles Slo personal Restringir el Polticas de
fsicos de autorizado debe acceder acceso a reas control de
entrada. a reas que contengan que contengan acceso fsico
activos sensibles. informacin a reas que
9.1.2 Si PI
(Archivo histrico fsico, sensible. contienen
almacenamiento de informacin
copias de seguridad, sensible.
uso de servidor).
Seguridad En oficinas al interior de Garantizar la Polticas de
de oficinas, la Curadura se puede seguridad en control de
despachos e tener acceso a oficinas y acceso fsico.
9.1.3 Si PI
instalaciones informacin sensible por despachos.
. lo cual se debe aplicar
controles de seguridad
Proteccin Se debe garantizar que Garantizar la Proteccin
contra las ninguna amenaza proteccin contra
amenazas ambiental externa pueda contra factores
externas y generar dao sobre la amenazas atmosfricos
9.1.4 Si PI
de origen informacin. ambientales como
ambiental. externas. temperatura,
humedad,
etc.
Trabajo en Las reas sobre las que Garantizar el Verificacin
reas se desarrollan las desarrollo de las del nivel de
seguras. actividades deben actividades seguridad de
cumplir estndares de sobre reas las reas de
9.1.5 Si PI
seguridad lo cual es seguras. trabajo.
muy importante tanto
para equipos como para
el personal.
135
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
reas de Las reas como archivo Garantizar que Control de
acceso histrico y ubicacin de el acceso a acceso fsico
pblico y de servidores se reas sensibles a
carga y denominan reas dentro de la determinadas
descarga. sensibles por la empresa tenga reas de la
9.1.6 Si PI
informacin que maneja, mecanismos de empresa.
por tanto se debe evitar control.
que terceros puedan
llegar a tener acceso a
esta.
Seguridad
9.2
en equipos
Emplazamie Es necesario tener Garantizar la Implementar
nto y protecciones contra integridad de los controles
proteccin daos ambientales, equipos al para el
de equipos. especialmente para los interior de la control de
9.2.1 Si servidores que se empresa. factores PI
maneja al interior de la ambientales
empresa. como
humedad,
polvo, etc.
Instalacione La integridad de los Garantizar que Implementar
s de equipos depende de los fallos elctricos UPS.
suministro. controles para la no afecten la
proteccin antes fallas integridad de los
9.2.2 Si PI
elctricas, ya un fallo de equipos que
energa puede dejar forman parte del
inutilizable un equipo, sistema de
daar su disco duro etc. informacin.
Seguridad Se debe garantizar que Garantizar que Implementar
del las redes de datos no las redes de y auditar los
cableado. vean afectada su datos no sean sistemas de
integridad y alteradas cableado
confidencialidad de los fsicamente y no existentes.
9.2.3 Si TI
datos que transportan. puedan ser
interceptados los
datos que se
transportan a
travs de estas.
Mantenimien Se debe realizar Garantizar la Implementar
to de los mantenimiento peridico integridad y planes de
equipos. de los equipos como disponibilidad de mantenimient
9.2.4 Si PI
poltica interna de la los equipos. o de equipos
empresa. al interior de
la empresa
136
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Seguridad Todo equipo que trabaje Garantizar la Aplicar
de los fuera de la empresa seguridad al controles de
equipos pero tenga injerencia interior de la acceso a
fuera de las interna debe tener empresa al equipos
instalaciones reglas y restricciones de permitir acceso a externos que
. acceso. equipos que tengan que
trabajen fuera. ver
N
9.2.5 No directamente
A
con la
actividad de
la empresa
(Acceso
remoto
derivado del
teletrabajo)
Reutilizacin Al dar de baja un equipo Garantizar que Establecer
o retirada puede quedar ningn dato polticas para
segura de almacenada informacin sensible o el proceso de
equipos. que puede comprometer licencia sean baja de
9.2.6 Si TI
la confidencialidad de la expuestos a equipos.
empresa. terceros tras un
proceso de baja
de equipos.
Retirada de Tanto las aplicaciones Garantizar que Establecer
materiales propias como de ningn tipo de polticas
propiedad terceros que la empresa aplicacin salga sobre el
de la utiliza deben ser de la empresa. manejo de
9.2.7 Si TI
empresa. protegidas para evitar aplicaciones
que puedan ser sacadas y licencias al
de la empresa. interior de la
empresa.
Administraci
n de
10 comunicacio
nes y
operaciones
Procedimien
tos y
responsabili
10.1
dades
operacionale
s
137
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Documentac Para garantizar la Garantizar la Polticas para
in de los continuidad de procesos documentacin la
procedimient se debe contar con de procesos documentaci
os de bitcoras que permitan operacionales. n de
10.1. operacin. conocer los procedimient
Si P
1 procedimientos os.
operacionales
especialmente los que
tengan que ver con
activos esenciales.
Se debe tener claridad Gestionar los Implementaci
Gestin de de quienes sern los cambios de roles n de
cambios. encargados de realizar encargados de polticas de
10.1.
Si el proceso de la administracin manejo de P
2
administracin de la de la privilegios
informacin. informacin. sobre la
informacin.
Slo el personal Garantizar que Implementaci
Segregacin autorizado debe tener un nmero n de
de tareas. acceso a la informacin. reducido de polticas de
10.1.
Si personas tengan manejo de PI
3
acceso a la privilegios
informacin. sobre la
informacin.
Separacin Cada rea dentro de la Reducir los Implementar
de los empresa debe ser riesgos de controles de
10.1. recursos de separada de acuerdo a acceso no acceso a
Si TI
4 desarrollo, sus funciones y autorizado a la reas
prueba y competencias. informacin. seguras.
operacin.
Supervisin
de los
10.2 servicios
prestados
por terceros
Provisin de Cualquier servicio Garantizar que Definir
servicios subcontratado debe los servicios polticas para
contar con polticas de prestados por la integracin
10.2. seguridad de la terceros y control de N
No
1 informacin. cumplan con sistemas de A
requerimientos terceros al
mnimos de interior de la
seguridad. empresa.
138
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Supervisin Cualquier servicio Garantizar la Definir
y revisin de prestado por terceros calidad en la polticas para
los servicios debe ser controlado prestacin de la integracin
A.10. prestados internamente mediantes servicios y control de N
No
2.2 por terceros. procesos de autoridad. ofrecidos por sistemas de A
tercero. terceros al
interior de la
empresa.
Gestin del Cualquier cambio en los Garantizar que Definir
cambio en servicios prestados por los cambios en polticas para
los servicios terceros debe ser la prestacin de la integracin
A.10. prestados monitoreado servicio sean y control de N
No
2.3 por terceros. constantemente. acordes con las sistemas de A
necesidades y terceros al
requerimientos interior de la
de la empresa. empresa.
Planificacin
A.10.
y aceptacin
3
del sistema
Es importante que Garantizar que Planificacin
Gestin de dentro de las polticas los recursos con de recursos
capacidades internas sea planificado los que cuenta la acordes con
. el crecimiento de la empresa sean las
empresa para que los acordes con los necesidades
A.10.
Si recursos sean acordes requerimientos y TI
3.1
con el mismo. de la misma. proyecciones
de
crecimiento
de la
empresa.
Se debe definir la Garantizar la Definicin de
capacidad de compatibilidad polticas para
Aceptacin integracin de nuevos de nuevos la integracin
del sistema. elementos al sistema, ya elementos en de nuevos
10.3. sea por actualizacin, cuanto a sus elementos al
Si P
2 renovacin o totalmente dimensiones sistema de
nuevos. fsicas y lgicas informacin.
que garanticen
la seguridad de
la informacin.
Proteccin
contra
software
10.4
malicioso y
cdigo
mvil.
139
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Se deben tener Garantizar la Implementar
controles que garanticen seguridad en mecanismos
Controles que cdigos maliciosos contra de de seguridad
contra el no terminen afectando el amenazas para
cdigo sistema. lgicas al garantizar el
malicioso. sistema de control lgico
10.4. informacin. al interior de
Si TI
1 la empresa
(Antivirus,
sistemas de
encriptacin y
manejo de
aplicaciones
seguras).
Controles
contra el Por seguridad no se NA NA
10.4. N
cdigo No autoriza el uso de
2 A
descargado cdigo mvil.
en el cliente.
Gestin
interna de
10.5
soportes y
recuperacin
Respaldar la Garantizar Backups
informacin garantiza polticas de regulares de
que ante cualquier respaldo para el la
Copias de problema de seguridad manejo de la informacin.
seguridad de se tendr una fcil informacin.
la recuperacin de la
informacin. informacin.
bases de datos, archivo
10.5.
Si de licencias, archivo de TI
1
contabilidad, archivo de
manejo tcnico, bases
de datos de clientes,
ingenieros arquitectos,
documentos auxiliares,
normativa ), de acuerdo
con la poltica de
recuperacin
A.10. Gestin de
6 redes
Controles de Es necesario que la red Garantizar la Definicin de
red. inalmbrica que maneja proteccin de las polticas de
A.10.
Si la empresa sea redes contra administraci PI
6.1
controlada. ataques n y uso de
informticos. redes.
140
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Seguridad Deben existir polticas Garantizar el uso Definicin de
de los que permitan la adecuado de los polticas de
A.10.
servicios de Si definicin de acuerdos recursos de red administraci PI
6.2
red. sobre el manejo de las en cada nivel del n y uso de
redes. servicio. redes.
Utilizacin y
seguridad de
A.10.
los soportes
7
de
informacin
Gestin de No se permite el uso de Garantizar que Definicin de
soportes medios informticos la informacin no polticas para
A.10. extrables. removibles para evitar sea extrada por que la
Si PI
7.1 fugas y amenazas que los trabajadores informacin
puedan contener. de la empresa no sea
extrada
Retirada de Se debe contar con Evitar que Definir
soportes. polticas que permitan informacin polticas para
eliminar de forma almacenada en la gestin y
segura los soportes de medios que van eliminacin
A.10.
Si informacin de la a ser eliminados de medios de PI
7.2
empresa. (Destruccin pueda quedar almacenamie
segura de elementos expuesta a ntos.
desde papel hasta terceros.
discos duros.)
Procedimien Se debe garantizar que Evitar que malas Definir
tos de la informacin en manipulaciones polticas para
manipulaci cualquier nivel sea puedan dejar la
10.7. n de la manipulada y expuesta la manipulacin
Si TI
3 informacin. almacenada de forma informacin. y
segura. almacenamie
nto de
informacin.
Seguridad La documentacin de Garantizas la Definir
de la los sistemas proteccin del polticas y
documentaci (informacin de activo ms sistemas de
n del proyectos y bases de importante al proteccin
10.7.
sistema. Si datos) deben ser interior de la para la TI
4
protegidos. empresa. documentaci
n de los
sistemas de
informacin.
Intercambio
de
10.8
informacin
y software
141
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Polticas y Se debe garantizar que Garantizas la Disear
procedimient la informacin se seguridad de la polticas e
os de encuentre segura al ser informacin al implementar
intercambio transportada haciendo ser enviada por controles
10.8. Si TI
de uso de diferentes diferentes para el
1
informacin. servicios de medios de intercambio
comunicacin. comunicacin. seguro de
informacin.
Acuerdos de Se debe tener claridad Garantizar el Disear
intercambio. de la forma como se intercambio polticas e
puede compartir seguro de implementar
.10.8. informacin al interior de informacin. controles
Si TI
2 la empresa. para el
intercambio
seguro de
informacin.
Implementar
mecanismos
Soportes Garantizar la de proteccin
fsicos en Se debe proteger la proteccin de la de
trnsito. informacin durante el informacin al informacin
transporte de la misma ser transportada. como por
10.8.
Si ejemplo P
3
encriptacin
(se garantiza
con los
controles con
que cuenta la
empresa).
Mensajera Se debe proteger la Garantizar que Implementar
electrnica. informacin contenida la informacin de mecanismos
en correos electrnicos. mensajera de proteccin
electrnica se para evitar
10.8.
Si encuentre accesos no TI
4
totalmente autorizados a
protegida. los servicios
de
mensajera.
Sistemas de Todos los sistemas de Garantizar la Polticas para
informacin informacin tanto conexin segura el acceso a la
10.8. empresariale internos como externos entre los informacin
Si TI
5 s. deben estar conectados sistemas de tanto a nivel
de forma segura. informacin. interno como
externo.
Servicios de
10.9 comercio
electrnico
142
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
De debe garantizar que Proteger la Implementaci
la informacin informacin que n de
involucrada en comercio usada en mecanismos
Comercio sea protegida, por la comercio para la
electrnico naturaleza de la electrnico. proteccin de
empresa esto se puede la
garantizar. informacin
involucrada
10.9. en comercio N
Si
1 electrnico A
(Los
mecanismos
de seguridad
de las
aplicaciones
permiten
garantizar
esto.)
Transaccion La informacin Garantizar la Implementar
es en lnea involucrada en procesos seguridad de la mecanismos
de transacciones informacin de seguridad
electrnicas que maneja involucrada en para
la empresa por su transacciones en garantizar la
10.9.
Si actividad econmica lnea. seguridad de TI
2
deber ser protegida para la
evitar problemas de informacin
seguridad. usada en
transacciones
en lnea.
Informacin La informacin que se Garantizar la Polticas para
pblicament maneja por aplicaciones integridad de la la verificacin
e disponible de acceso pblico debe informacin de la
10.9. ser protegida. disponible en integridad de N
Si
3 sistemas de sistemas de A
acceso pblico. informacin
de acceso
pblico.
Monitorizaci
10.10
n
Registros de Se deben tener registros Contar con Polticas de
Auditoria de auditoras que soportes de implementaci
permitan facilitar actividades para n y control
10.10
Si investigaciones futuras procesos de de registros P
.1
en caso de detectarse investigacin de actividad.
algn incidente de asociados a los
seguridad. mismos.
143
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Supervisin Se debe realizar Verificar la Polticas de
del usos del monitoreo de cualquier instalacin de implementaci
sistema cambio en los sistemas sistemas de n y control
10.10 de informacin, informacin. de registros
Si P
.2 revisando sus de actividad.
resultados.
Revisar las actividades
de monitoreo
Proteccin Se debe tener control Proteger los Polticas de
de la sobre los registros de registros de implementaci
10.10 informacin actividad para que no actividad contra n y control
Si P
.3 de los puedan ser alterados acciones de de registros
registros (intentos forzosos o no modificacin de de actividad.
autorizados) los mismos.
Registros de Es muy importante que Garantizar que Polticas de
administraci la actividad de quienes las acciones de implementaci
10.10 n y tengan mayores tipo n y control
Si P
.4 operacin. privilegios sean administrativo se de registros
monitoreados. realicen de de actividad.
forma adecuada.
Registro de Se debe controlar Garantizar la Polticas de
fallos. cualquier avera que se trazabilidad de control y
10.10
Si presente en el sistema averas en el gestin de
.5
de informacin. sistema. fallas en el
sistema.
Sincronizaci Es muy importante que Garantizar que Polticas de
n del reloj. todos los sistemas estn todo el sistema implementaci
sincronizados para que est n y control
10.10
Si cualquier registro sincronizado. de registros P
.6
coincida en tiempos y se de actividad.
pueda hacer la
trazabilidad del mismo.
Control de
11
acceso
Requisitos
de negocio
11.1
para control
de accesos
Poltica de Basado en los servicios Controlar el Definir
control de que presta la Curadura acceso de polticas para
acceso. que es otorgar licencias acuerdo a las el control de
11.1.
Si urbansticas, se deben actividades que acceso PI
1
establecer polticas de desarrolla la teniendo en
control de acceso. empresa. cuenta reas
crticas.
144
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Gestin de
11.2 acceso de
usuario
Registro de Es importante gestionar Brindar o quitar Definir
usuario. los usuarios para que acceso a polticas para
sean asignados y dados usuarios basado el ingreso o
11.2.
Si de alta en el sistema sin en eliminacin P
1
generar problemas de procedimientos de usuarios
seguridad. propios de la del sistema.
empresa.
Gestin de Se debe garantizar que Controlar los Definir
privilegios. cada usuario tenga privilegios de polticas para
11.2.
Si acceso al sistema de acceso. la gestin de P
2
informacin basado en privilegios.
privilegios.
Gestin de Debe existir un Asignar Establecer
contraseas procedimiento para la contraseas de polticas para
11.2.
de usuario. Si asignacin de forma segura. la asignacin P
3
contraseas al interior de
de la empresa. contraseas.
Revisin de Se debe verificar que los Verificar el Establecer
los derechos usuarios puedan acceso a polticas para
de acceso acceder slo a los sistemas de la verificacin
11.2.
de usuario. Si sistemas que tienen informacin. regular del P
4
permiso. acceso a
sistemas de
informacin.
Responsabili
11.3 dades del
usuario
Uso de Se debe definir y Controlar el uso Establecer
contraseas. verificar el uso de de contraseas polticas para
contraseas seguras. seguras. que los
usuarios
realicen un
11.3. adecuado
Si PI
1 manejo de
los sistemas
de
informacin
ofrecidos por
la empresa.
145
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Equipo de Es importante que los Garantizar la Establecer
usuario servidores de los seguridad de las polticas para
desatendido. clientes tengan aplicaciones que los
mecanismos de entregadas a los usuarios
proteccin para los clientes. realicen un
11.3. sistemas de la empresa adecuado
Si PI
2 que alojan en los manejo de
mismos. los sistemas
de
informacin
ofrecidos por
la empresa.
Poltica de Se debe evitar que por Garantizar que Establecer
puesto de alguna razn quede la informacin no polticas para
trabajo expuesta informacin a sea expuesta a que los
despejado y la vista de terceros. la vista de usuarios
pantalla Polticas para escritorios terceras realicen un
11.3. limpia. y monitores limpios de personas. adecuado
Si P
3 informacin manejo de
los sistemas
de
informacin
ofrecidos por
la empresa.
Control de
11.4 acceso en
red
Poltica de Los clientes de los Garantizar el Establecer
uso de los servicios de la empresa acceso a polticas de
11.4. servicios en slo podrn tener servicios acceso a
Si P
1 red. acceso a los servicios autorizados. servicios
autorizados. ofrecidos por
la empresa.
Autenticaci Tanto para clientes Garantizar el Establecer
n de usuario externos de servicios acceso remoto polticas de
para alojados en la empresa seguro. acceso a
11.4. N
conexiones NO como para empleados servicios
2 A
externas. con acceso remoto ofrecidos por
deben existir polticas de la empresa.
acceso adecuadas.
Identificaci Se debe garantizar Garantizar que Establecer
n de los conocer la procedencia todas las polticas de
11.4. equipos en de cualquier peticin de conexiones acceso a
Si P
3 las redes. servicio. establecidas servicios
sean seguras. ofrecidos por
la empresa.
146
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Proteccin El entorno de Proteger el Establecer
de los diagnstico de la sistema de polticas de
puertos de empresa debe estar diagnstico de acceso a
11.4.
diagnstico Si protegido. los sistemas de servicios P
4
y informacin. ofrecidos por
configuraci la empresa.
n remotos.
Segregacin Se debe tener Garantizar la Establecer
de las redes. claramente definido el identificacin de polticas de
11.4. papel de cada usuario los usuarios en acceso a
Si PI
5 dentro de la red, un grupo servicios
asignndolo a un grupo determinado. ofrecidos por
determinado. la empresa.
Control de la El acceso a los sistemas Restringir el Establecer
conexin a internos de la empresa acceso a polticas de
11.4. la red. debe estar limitado para servicios de red acceso a
Si TI
6 que no se puedan usar desde servicios
servicios que pongan en ubicaciones ofrecidos por
juego la seguridad. externas. la empresa.
Control de Se debe controlar el Garantizar que Establecer
encaminami enrutamiento de la informacin de polticas de
ento informacin. la empresa no enrutamiento
11.4.
(routing) de Si use rutas que de la P
7
red. pongan en informacin.
peligro su
integridad.
Control de
acceso al
11.5
sistema
operativo
Procedimien Se debe controlar el Controlar el Establecer
tos seguros acceso a los sistemas acceso al SO polticas de
11.5.
de inicio de Si operativos con los con acceso a los P
1
sesin. procedimientos procedimientos sistemas
adecuados. seguros. operativos.
Identificaci Deben existir Garantizar que Establecer
n y mecanismos de los usuarios polticas de
11.5. autenticaci identificacin nicos tengan manejo de
Si P
2 n de usuario. para los usuarios. credenciales credenciales
nicas de de usuarios.
acceso.
Sistema de Se debe garantizar que Garantizar la Establecer
gestin de los sistemas de gestin eficiencia y polticas de
11.5. contraseas. de contraseas sean seguridad en los manejo de
Si P
3 eficientes. sistemas de credenciales
gestin de de usuarios.
contraseas.
147
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Uso de los Se debe controlar el uso Realizar control Establecer
recursos del de aplicaciones sobre el uso de polticas de
sistema. administrativas seguras aplicaciones uso de
11.5. que pueden ser usadas administrativas. aplicaciones
Si P
4 para generar algn tipo de carcter
de dao al sistema. administrativo
propias del
sistema.
Desconexin Se debe controlar el Garantizar el Establecer
automtica tiempo de inactividad del bloqueo de polticas de
11.5.
de sesin. Si equipo. equipos tras acceso a los P
5
cierto tiempo de sistemas
inactividad. operativos.
Limitacin Se debe controlar el Controlar el uso Establecer
del tiempo tiempo de conexin al del sistema polticas de
11.5.
de conexin. Si SO basado en el uso de operativo. acceso a los P
6
aplicaciones. sistemas
operativos.
Control de
11.6 acceso a las
Aplicaciones
Restriccin Se debe restringir el Generar Establecer
del acceso a acceso a los sistemas restricciones a la controles
la en especial al programa gestin de para el
informacin. que maneja la base de aplicaciones. acceso a los
datos, genera licencia, diferentes
11.6. reportes, notificaciones, niveles de
Si PI
1 citaciones y estado de aplicaciones,
cada proyecto. considerando
que se
manejan
diferentes
entornos
148
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Aislamiento Los sistemas sensibles Garantizar que Establecer
de sistemas como copias de los sistemas controles
sensibles. seguridad, archivo fsico sensibles de la para el
y servidores deben estar empresa tengan acceso a los
aislados un entorno diferentes
informtico niveles de
propio. aplicaciones,
11.6.
Si considerando PI
2
que se
manejan
diferentes
entornos
como
desarrollo y
pruebas.
Informtica
11.7 mvil y tele
trabajo
Ordenadore La conexin a travs de Brindar Establecer
s porttiles y red inalmbrica hace proteccin polticas para
comunicacio necesario la definicin contra riesgos el manejo de
11.7. N
nes mviles. Si de polticas de derivados del riesgos
1 A
proteccin en cuento a uso de recursos derivados de
recursos mviles. mviles. la informtica
mvil.
Teletrabajo. Ya que se considera el Garantizar el Disear e
teletrabajo al interior de desempeo implementar
la empresa es necesario seguro y polticas para
11.7. considerar polticas y eficiente de la gestin del N
NO
2 procedimientos tanto actividades de teletrabajo. A
para acceso como para teletrabajo.
cumplimiento de
funciones.
Adquisicin,
desarrollo y
mantenimien
12
to de
sistemas de
informacin
Requisitos
de seguridad
12.1
de los
sistemas
149
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Anlisis y Es importante que todo Garantizar que Establecer
especificaci nuevo sistema de todo nuevo polticas para
12.1. n de los seguridad especifique sistema incluya la integracin
Si P
1 requisitos de los controles necesarios controles de de sistemas
seguridad para su implementacin. seguridad. de
informacin.
Seguridad Las aplicaciones del Garantizar Establecer
de las sistema deben brindar seguridad en las polticas de
12.2 aplicaciones Si seguridad. aplicaciones del seguridad P
del sistema sistema. para las
aplicaciones.
Validacin Cualquier acceso debe Garantizar la Establecer
de los datos ser validado para seguridad del polticas de
12.2.
de entrada. Si garantizar que se est acceso a las seguridad P
1
haciendo desde una aplicaciones. para las
aplicacin confiable. aplicaciones.
Control del Se deben verificar las Garantizar que Establecer
procesamien aplicaciones para la informacin no polticas de
to interno. detectar alteraciones en haya sido seguridad
12.2. la informacin. modificada para las
Si P
2 durante el aplicaciones.
procesamiento o
de forma
deliberada.
Integridad Se debe asegurar la Garantizar que Establecer
de los autenticidad de la los mensajes en polticas de
12.2.
mensajes. Si informacin en los las aplicaciones seguridad P
3
mensajes en las no sean para las
aplicaciones. modificados. aplicaciones.
Validacin Se debe garantizar la Garantizar la Establecer
de los datos correcta funcionalidad integridad de la polticas de
12.2.
de salida. Si de la aplicacin al informacin de seguridad P
4
arrojar los datos salida de la para las
esperados. aplicacin. aplicaciones.
Controles
12.3 criptogrfico
s
Poltica de Es necesario contar con Garantizar la Establecer
uso de los polticas de proteccin confidencialidad polticas de
12.3. N
controles No de la informacin al ser de la informacin proteccin de
1 A
criptogrfico entregada al usuario. la
s. informacin.
Gestin de Se debe gestionar Garantizar la Establecer
claves. adecuadamente las gestin polticas de
12.3. N
No claves como por adecuada de proteccin de
2 A
ejemplo haciendo uso claves al interior la
de un PKI. de la empresa. informacin.
150
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Seguridad
de los
12.4
ficheros del
sistema
Control del Es necesario controlar la Controlar la Establecer
software en instalacin de software instalacin de polticas para
explotacin. de tal manera que software. la instalacin
12.4. N
No responda a las de software y
1 A
necesidades de la modificacin
empresa. de ficheros
del sistema.
Proteccin Se deberan Proteger la Establecer
de los datos seleccionar, proteger y informacin polticas para
de prueba controlar empleada en el la proteccin
12.4. N
del sistema. No cuidadosamente los entorno de de cdigos
2 A
datos utilizados para las pruebas. fuente y
pruebas. archivos del
sistema.
Control de Se debera restringir el Garantizar la Establecer
acceso al acceso al cdigo fuente proteccin del polticas para
cdigo de los programas cdigo fuente de la proteccin
12.4. N
fuente de los No aplicaciones de cdigos
3 A
programas. desarrolladas fuente y
por la empresa. archivos del
sistema.
Seguridad
en los
12.5 procesos de
desarrollo y
soporte
Procedimien Se debe tener control de Garantizar que Establecer
tos de versiones de los cambios polticas para
control de aplicaciones para que respondan a garantizar la
cambios. los cambios sean procedimientos seguridad de
12.5. realizados conforme a formales dentro las
Si P
1 necesidades reales de de la empresa. aplicaciones
la empresa. en desarrollo
y
funcionamien
to.
151
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Revisin Se debe revisar la Garantizar que Establecer
tcnica de funcionalidad de las un cambio en el polticas para
las aplicaciones tras realizar SO no afecte el garantizar la
aplicaciones cambios en el Sistema funcionamiento seguridad de
12.5. tras efectuar Operativo para no crear de las las
Si PI
2 cambios en conflictos aplicaciones. aplicaciones
el sistema en desarrollo
operativo. y
funcionamien
to
Restriccione Se debe tener control de Garantizar el Establecer
s a los cualquier modificacin adecuado polticas para
cambios en en el software de la funcionamiento garantizar la
los paquetes empresa. de las seguridad de
12.5. de software. aplicaciones. las
Si TI
3 aplicaciones
en desarrollo
y
funcionamien
to
Fugas de Se debe garantizar la Garantizar la Establecer
informacin. confidencialidad de la confidencialidad polticas para
informacin referente a de la garantizar la
aplicaciones como informacin. seguridad de
12.5. programa licenciador, las
Si PI
4 base de datos, licencias aplicaciones
etc. en desarrollo
y
funcionamien
to
Externalizaci Si se contrata desarrollo
n del de software a la medida NA NA
12.5. desarrollo de es importante realizar N
No
5 software. monitorizacin para A
evitar incidentes en el
manejo.
Gestin de
las
12.6
vulnerabilida
des tcnicas
152
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Se debe estar Garantizar la Definir
Control de verificando proteccin polticas para
Vulnerabilida constantemente las contra la gestin de
des tcnicas vulnerabilidades que vulnerabilidades vulnerabilidad
12.6.
Si puedan presentar los de los sistemas es de P
1
sistemas o tecnologas empleados en la aplicaciones
usadas dentro de la empresa. o sistemas
Curadura. usados por la
empresa.
Gestin de
incidentes
13 de seguridad
de la
informacin
Comunicaci
n de eventos
y
debilidades
13.1
en la
seguridad de
la
informacin
Notificacin Se deben disponer Garantizar la Definir
de los canales de pronta solucin a polticas para
eventos de comunicacin que eventos de la gestin de
13.1.
seguridad de Si permitan dar a conocer seguridad incidentes de PI
1
la eventos de seguridad presentes en la seguridad de
informacin. que afecten la seguridad empresa. la
de la empresa. informacin.
Notificacin Se deben definir Garantizar la Definir
de puntos mecanismos para que rpida solucin polticas para
dbiles de todas las personas que de incidentes la gestin de
13.1.
seguridad. Si tengan que ver con el informticos. incidentes de PI
2
sistema de informacin seguridad de
puedan reportar la
incidentes de seguridad. informacin.
Gestin de
incidentes y
mejoras en
13.2
la seguridad
de la
informacin
153
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Responsabili Se debe establecer Definir Definir
dades y quin es el responsable responsables polticas para
procedimient de manejar determinado para la gestin la gestin de
13.2.
os. Si tipo de incidente para de eventos de incidentes de PI
1
que sea mucha ms seguridad. seguridad de
rpida la respuesta. la
informacin.
Aprendizaje Se debe poder Determinar el Definir
de los establecer el costo de costo de un polticas para
incidentes un evento de seguridad evento de la gestin de
13.2.
de seguridad Si de la informacin. seguridad incidentes de PI
2
de la informtica. seguridad de
informacin. la
informacin.
Recopilacin Se deben tener Definir medidas Definir
de mecanismos para en contra de polticas para
evidencias. determinar la forma quienes generen la gestin de
como se debe actuar eventos de incidentes de
13.2.
Si contra personas que se seguridad seguridad de P
3
les compruebe la informtica. la
generacin de eventos informacin.
de seguridad
informtica.
Gestin de
14 continuidad
del negocio
Aspectos de
la gestin de
14.1
continuidad
del negocio
Inclusin de Es necesario contar con Contar con Definir
la seguridad procesos de seguridad procedimientos polticas de
de la de la informacin que de seguridad de seguridad de
informacin aseguren la continuidad la informacin la
14.1.
en el Si del negocio al interior de que garanticen informacin PI
1
proceso de la empresa. la continuidad que
gestin de la del negocio. garanticen la
continuidad continuidad
del negocio. del negocio.
154
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Continuidad Es necesario tener Tener claridad Definir
del negocio claridad de los eventos del grado de polticas de
y evaluacin que pueden afectar el afectacin sobre seguridad de
de riesgos. negocio y el impacto de el negocio de un la
14.1.
Si los mismos. evento informacin P
2
determinado. que
garanticen la
continuidad
del negocio.
Desarrollo e Es muy importante Tener planes de Definir
implantacin contar con planes de contingencia polticas de
de planes de contingencia que ante eventos seguridad de
continuidad permitan la recuperacin informticos. la
14.1.
que incluyan Si del negocio ante informacin P
3
la seguridad cualquier evento que que
de la ponga en riesgo la garanticen la
informacin. informacin. continuidad
del negocio.
Marco de Es ideal tener Contar con un Definir
referencia estandarizado el plan de polticas de
para la esquema del plan de continuidad seguridad de
planificacin continuidad para estandarizado. la
14.1.
de la Si garantizar su fcil informacin P
4
continuidad aplicabilidad en la que
del negocio. empresa. garanticen la
continuidad
del negocio.
Pruebas, Se deben evaluar los Garantizar que Definir
mantenimien planes de continuidad los planes de polticas de
to y garantizando que continuidad seguridad de
reevaluacin evoluciones con los evolucionen en la
14.1.
de planes de Si requerimientos del concordancia informacin P
5
continuidad. negocio. con los que
requerimientos garanticen la
del negocio. continuidad
del negocio.
15 Conformidad
Conformidad
con los
15.1
requisitos
legales
155
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Identificaci Es muy importante que Alinear los Definir
n de la la empresa sea sistemas de polticas que
legislacin consciente de sus informacin con permitan el
aplicable. obligaciones legales los cumplimiento
15.1. para garantizar el requerimientos de los
Si P
1 cumplimiento de las legales. requerimiento
mismas. s de carcter
legal por
parte de la
empresa.
Derechos de Se debe garantizar el Garantizar el uso Definir
propiedad uso de cualquier de software polticas que
intelectual material u software de debidamente permitan el
(DPI). acuerdo a las licencias licenciado y cumplimiento
15.1. definidas para los contenidos de los
Si PI
2 mismos. respetando los requerimiento
derechos de s de carcter
autor. legal por
parte de la
empresa.
Proteccin Se debe garantizar la Definir Definir
de los integridad de los mecanismos polticas que
documentos registros importantes para garantizar permitan el
de la para evitar cualquier la integridad de cumplimiento
15.1. organizacin prdida de informacin. los registros de los
Si PI
3 importantes de requerimiento
carcter legal. s de carcter
legal por
parte de la
empresa.
Proteccin Debe garantizar la Brindar Definir
de datos y proteccin de los datos proteccin de los polticas de
privacidad en concordancia con datos de proteccin de
15.1. de la requerimientos de acuerdo a informacin
Si PI
4 informacin carcter legal y que requerimientos alineadas con
de carcter mucha de la informacin de carcter requerimiento
personal. que maneja tiene esta legal. s de carcter
caracterstica. legal.
Prevencin Se debe garantizar que Garantizar el uso Definir
del uso los recursos empleados exclusivo de los polticas para
indebido de para el tratamiento de la sistemas de el manejo de
15.1.
recursos de Si informacin sean tratamiento de la los sistemas TI
5
tratamiento dedicados slo a este informacin para de
de la fin. este propsito. informacin.
informacin.
156
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Regulacin Los controles Garantizar la Definir
de los empleados deben estar confidencialidad polticas para
controles cifrados para asegurar de los controles el manejo de
15.1. criptogrfico su concordancia con la de seguridad y los sistemas N
No
6 s. legislacin vigente su concordancia de A
teniendo en cuenta el con la informacin.
tipo de informacin que legislacin.
se maneja.
Revisiones
de la poltica
de seguridad
15.2
y de la
conformidad
tcnica
Cumplimient Cada director de rea Garantizar la Revisar el
o de las debe asegurarse de que adecuada uso de
polticas y los procedimientos de realizacin de procedimient
normas de seguridad se realicen los os de
seguridad. adecuadamente. procedimientos seguridad de
15.2.
Si de seguridad en conformidad P
1
cada rea de la con los
empresa. lineamientos
de la
empresa y
estndares.
Comprobaci Es importante que los Garantizar la Revisar el
n del procedimientos de alineacin entre uso de
cumplimient seguridad estn en procedimientos procedimient
o tcnico. concordancia con los de seguridad y os de
estndares definidos estndares. seguridad de
15.2.
Si para los mismos. conformidad P
2
con los
lineamientos
de la
empresa y
estndares.
Consideraci
ones sobre
15.3
la auditora
de sistemas
157
Controles Apl
Actividades
segn la ica
para la Es
implementac ta
in de los do
27001 (S/
controles
No)
Controles de Es muy importante tener Evitar que Establecer
auditoria de control sobre los procedimientos polticas para
los sistemas procedimientos de de auditora el desarrollo
de auditora desarrollados terminen de procesos
15.3. informacin al interior de la empresa sacando de de auditoria.
Si P
1 sobre sistemas en funcionamiento
funcionamiento. algn sistema
importante
dentro de la
empresa.
Proteccin Se deben tener control Evitar el uso Establecer
de las sobre el acceso a inadecuado de polticas para
herramienta herramientas de herramientas de el desarrollo
15.3. s de auditora ya que muchas auditora. de procesos
Si P
2 auditoria de pueden comprometer la de auditoria.
los sistemas seguridad al interior de
de la empresa.
informacin
4.1.4.2.3. Definicin del Plan de Tratamiento del Riesgo. En este documento

se concreta claramente cmo se va a actuar en el control de los riesgos, se
identifica los controles seleccionados, los responsables y el tiempo.
Para la definicin del plan de tratamiento de riesgos se ha tenido en cuenta los

siguientes documentos:
Los 133 controles sugeridos en el Anexo A de la norma ISO 27001
Anlisis de riesgos de la Curadura Urbana segunda de Pasto
Inventario de activos, valoracin cualitativa de activos,

Identificacin de amenazas,
Identificacin de salvaguardas para los activos,
Valoracin y evaluacin del riesgo
Informe de calificacin del riesgo
Polticas de seguridad
Declaracin de aplicabilidad y aplicabilidad de los controles
Se identifica el estado de la actividad de acuerdo a si est parcialmente

implementado o si es propuesto para implementacin.
158
Tabla 13: Identificacin del estado de la Actividad
Estado de la Actividad Abreviatura Color

Planificado [No implementado] (P) Rojo
Parcialmente implementado (PI) Amarillo
4.1.4.2.3.1 Plan de Tratamiento del Riesgos
Descripcin de las Tiempo

Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Documentacin de todos Es necesario que se
los procesos a 2 meses defina una poltica para
desarrollarse para la la documentacin de
implementacin de la Curador, Jefe de todos los
P
seguridad Sistemas procedimientos en
relacin con las
polticas de manejo de
la informacin.
Revisin de las polticas 2 meses
Curador, Jefe de
de seguridad de la P
Sistemas
informacin.
Polticas de gestin de 1 mes Es necesario que se
privilegios. definan polticas para la
verificacin de acceso
Curador, Jefe de
a los sistemas de PI
Sistemas
informacin y verificar
los privilegios con los
que tiene acceso.
Polticas de seguridad 1 mes Es necesario que los
para el personal que empleados que
maneja la informacin al manejan la informacin
interior de la empresa. Curador, Jefe de conozcan y apliquen
PI
Sistemas las polticas
seleccionadas para el
manejo de la
informacin.
Planes de capacitacin 2 meses Planes de capacitacin
Curador, Jefe de
para el personal a cargo para el personal a
Sistemas, Comit PI
del manejo de la cargo del manejo de la
de seguridad
informacin. informacin.
Polticas de seguridad 2 meses Es necesaria la
para nuevos activos de definicin de polticas
Curador, Jefe de
informacin. de seguridad para
Sistemas, Comit PI
nuevos y futuros
de seguridad
activos dentro de la
empresa.
159
Estado
de la
Activid
seguridad y del la
ad
Acuerdos de 1 mes Es necesario que los
confidencialidad para los acuerdos de
empleados de la confidencialidad para el
empresa. manejo de la
Curador informacin queden PI
establecidos en el
contrato laboral o en
los contratos de
prestacin de servicios.
Definir canales seguros 3 meses Definir polticas de
para el manejo de la Curador, Jefe de seguridad para evitar
PI
informacin. Sistemas fallas en los canales de
comunicacin.
Polticas para el manejo 2 meses Es necesario definir,
de la informacin al documentar e informar
interior de la sobre la
organizacin. implementacin y
Curador, Jefe de
cumplimiento de las PI
Sistemas,
polticas de seguridad
para el manejo de la
informacin al interior
de la empresa.
Polticas pensadas en 3 meses Es necesaria la
futuros activos que definicin de polticas
Curador, Jefe de
formaran parte de la de seguridad para
Sistemas, Comit P
empresa. nuevos y futuros
de seguridad
activos dentro de la
empresa.
Clasificacin de los 3 meses Es necesario que se
Curador, Jefe de
activos y establecimiento clasifiquen los activos
Sistemas, Comit P
del nivel de importancia de acuerdo al nivel de
de seguridad
de los mismos. seguridad.
Polticas de manejo de 3 meses Es necesario definir,
activos. documentar e informar
Curador, Jefe de sobre el manejo de los
Sistemas, Comit activos y las polticas PI
de seguridad de seguridad a
aplicarse a dichos
activos.
Establecimiento de Curador, Jefe de 3 meses Es necesario definir
prioridades en el manejo Sistemas, Comit PI
de la informacin. de seguridad
160
Estado
de la
Activid
seguridad y del la
ad
Polticas de acceso a la 2 meses Es necesario definir,
informacin. documentar e informar
sobre la
Curador, Jefe de
implementacin y
Sistemas, Comit PI
cumplimiento de las
de seguridad
para el acceso a la
informacin.
Claridad en las polticas Curador, Jefe de 1 mes Es necesario definir e
de contratacin. recursos informar las polticas de
P
humanos, rea confidencialidad dentro
Jurdica de la organizacin,
Definicin de polticas de 3 meses Aunque existen
manejo de la polticas de seguridad
informacin, para la informacin, se
acompaadas de planes debe definir la
de capacitacin. competencia de
Curador, Jefe de
manejo de la misma y
Sistemas, Comit PI
garantizar el
de seguridad
conocimiento de las
mismas por parte de
todas las personas que
tienen acceso a la
misma.
Implementacin de 3 meses Es necesario que se
polticas de manejo de definan polticas para la
privilegios sobre la Curador, Jefe de verificacin de acceso
informacin. Sistemas, Comit a los sistemas de P
de seguridad informacin y verificar
los privilegios con los
que tiene acceso.
Polticas de control de 3 meses Ya se encuentran
acceso fsico a reas que implementados
contienen informacin controles para acceso
sensible. Curador, Jefe de a la empresa mediante
Sistemas, Comit clave y al archivo solo PI
de seguridad a personal autorizado,
es ideal que es
extiendan a todas las
reas.
161
Estado
de la
Activid
seguridad y del la
ad
Polticas de control de 1 mes Ya se encuentran
acceso fsico. implementados
controles para acceso
a la empresa mediante
Curador clave y al archivo solo PI
a personal autorizado,
es ideal que es
extiendan a todas las
reas.
Proteccin contra 3 meses Es necesario
factores atmosfricos establecer controles
Curador, Jefe de
como temperatura, ambientales para evitar
Sistemas, Comit PI
humedad, etc. el deterioro de activos
de seguridad
derivado de estos
factores.
Verificacin del nivel de 3 meses Es necesario
seguridad de las reas establecer controles
de trabajo. que permitan verificar
Curador, Jefe de de seguridad a aplicar
Sistemas, Comit en cada rea de trabajo PI
de seguridad de acuerdo a la
informacin que se
maneje en cada
dependencia.
Control de acceso fsico 1 mes Es necesario
a determinadas reas de establecer controles de
la empresa. seguridad para reas
crticas donde se debe
Curador, Jefe de
seleccionar el personal
Sistemas, Comit PI
que tiene acceso a esta
de seguridad
y las responsabilidades
que esto implica
ejemplo: rea de
archivo
Implementar controles 1 mes Es necesario
para el control de establecer controles
Curador, Jefe de
factores ambientales ambientales para evitar
Sistemas, Comit PI
como humedad, polvo, el deterioro de activos
de seguridad
etc. derivado de estos
factores.
Implementar UPS. 3 meses Debe existir sistemas
de respaldo ante
Curador cadas del suministro PI
elctrico. Para cada
uno de los equipos.
162
Estado
de la
Activid
seguridad y del la
ad
Implementar planes de 3 meses Es necesario que se
mantenimiento de Curador, Jefe de establezca un plan
equipos al interior de la Sistemas, Comit para el mantenimiento PI
empresa de seguridad de equipos al interior
de la empresa.
Polticas para la 3 meses Es necesario iniciar el
documentacin de proceso de
procedimientos. implementacin de un
plan director
Curador, Jefe de debidamente
Sistemas, Comit documentado de P
de seguridad seguridad de la
informacin que
permita cubrir cada uno
de los aspectos que
han sido enumerados.
Implementacin de 3 meses Es necesario
polticas de manejo de implementar controles
privilegios sobre la y polticas de seguridad
informacin. aplicados a los grupos
Curador, Jefe de
de trabajos y
Sistemas, Comit P
adicionalmente realizar
de seguridad
controles que permitan
gestionar la gestin de
privilegios dentros del
sistema.
Definicin de polticas 3 meses Es necesario definir
para la integracin de controles que se deben
Curador, Jefe de
nuevos elementos al tener en cuenta en el
Sistemas, Comit P
sistema de informacin. caso de que ingresen
de seguridad
nuevos elementos al
sistema de informacin,
Definicin de polticas de 3 meses Es necesario definir
administracin y uso de Curador, Jefe de polticas de seguridad
redes. Sistemas, Comit para el manejo y PI
de seguridad administracin de la
red.
163
Estado
de la
Activid
seguridad y del la
ad
Definicin de polticas 3 meses Aunque existen
para que la informacin restricciones que se
no sea extrada deben tener en cuenta
en cuanto al manejo de
la informacin es
necesario definir
Curador, Jefe de
Sistemas, Comit PI
para evitar que la
de seguridad
informacin sea
extrada, adems
concientizar de las
implicaciones legales a
las que se expone
quien lo haga.
Definir polticas para la 3 meses Se debe definir
gestin y eliminacin de polticas a tener en
medios de cuenta para la
almacenamientos. eliminacin de medios
de almacenamiento
tales como discos
Curador, Jefe de duros, CD, DVD,
Sistemas, Comit memorias usb y papel PI
de seguridad firmado o sellado ya
que si es desechado de
forma incorrecta puede
ser utilizado de forma
indebida por terceros y
ocasionar problemas a
la organizacin.
Implementar 6 meses Es necesario definir
mecanismos de polticas de seguridad
proteccin de para el manejo de
Curador, Jefe de
informacin como por herramientas
Sistemas, Comit P
ejemplo encriptacin (se criptogrficas, en caso
de seguridad
garantiza con los de ser implementadas.
controles con que cuenta
la empresa).
Polticas de 3 meses Es necesario que sean
implementacin y control definidos sistemas de
de registros de actividad. Curador, Jefe de registros de actividad
Sistemas, Comit para tener control de P
de seguridad cualquier cambio en los
sistemas de
informacin.
164
Estado
de la
Activid
seguridad y del la
ad
Polticas de control y 3 meses Es necasrio definir
gestin de fallas en el polticas de seguridad
Curador, Jefe de
sistema. para implentar la
Sistemas, Comit P
gestin de fallos
de seguridad
(notificin, visualizacin
y reparacin de fallos).
Polticas de 3 meses Es necasrio definir
implementacin y control Curador, Jefe de polticas de seguridad
de registros de actividad. Sistemas, Comit para la administracin P
de seguridad del registro de
actividades.
Definir polticas para el 1 mes Es necesario definir
control de acceso polticas a seguir para
teniendo en cuenta reas Curador, Jefe de controlar el acceso a
crticas. Sistemas, Comit reas restringidas PI
de seguridad (llevar un registro
detallado de ingreso a
estas reas)
Definir polticas para el 3 meses Es necesario definir
ingreso o eliminacin de Curador, Jefe de polticas de seguridad a
usuarios del sistema. Sistemas, Comit aseguir en el procesos P
de seguridad de eliminacin de
usuarios.
Definir polticas para la 3 meses Es necesario definir
gestin de privilegios. polticas de seguridad
para la gestin de
privilegios, esta labor la
Curador, Jefe de
debe realizar el
Sistemas, Comit P
administrador del
de seguridad
sistema que se
encargara de definir los
roles y permisos a los
usuarios del sistema.
Establecer polticas para 3 meses Es necesario
la asignacin de establecer polticas de
contraseas. seguridad que permitan
implementar el uso de
Curador, Jefe de contraseas. Es decir
Sistemas, Comit para cada usuario y P
de seguridad equipo una contrasea
la cual debe cumplir
con todas las
condiciones de una
contrasea segura.
165
Estado
de la
Activid
seguridad y del la
ad
Establecer polticas para 3 meses Implmentar polticas de
la verificacin regular del Curador, Jefe de seguridad que permitan
acceso a sistemas de Sistemas, Comit verificar los accesos a P
informacin. de seguridad los sistemas de
informacin.
Establecer polticas para 3 meses Es necesario definir
que los usuarios realicen polticas que los
un adecuado manejo de trabajadores de la
los sistemas de empresa deben poner
Curador, Jefe de
informacin ofrecidos por en prctica para la
Sistemas, Comit PI
la empresa. utilizacin de los
de seguridad
sistemas de
informacin de la
empresa adicionales a
los ya existentes.
Establecer polticas de Curador, Jefe de 3 meses Es necesario definir
enrutamiento de la Sistemas, Comit polticas de P
informacin. de seguridad enrutamiento de red.
Establecer polticas de 3 meses Es necesario
acceso a los sistemas Curador, Jefe de establecer polticas
operativos. Sistemas, Comit para el acceso y P
de seguridad manejo del sistema
operativo.
Establecer polticas de 3 meses Es necesario definir
manejo de credenciales polticas de seguridad
de usuarios. para el manejo de
Curador, Jefe de
credenciales de
Sistemas, Comit P
usuarios (manejo del
de seguridad
administrador de
credenciales en el
S.O.)
Establecer polticas de 3 meses Es necesario definir
uso de aplicaciones de polticas de seguridad
Curador, Jefe de
carcter administrativo para el uso de
Sistemas, Comit P
propias del sistema. aplicaciones de
de seguridad
carcter administrativo
propias del sistema.
Establecer controles para 3 meses Es necesario definir
el acceso a los diferentes polticas de seguridad
niveles de aplicaciones, para el uso y
Curador, Jefe de
considerando que se configuracin de los
Sistemas, Comit PI
manejan diferentes diferentes niveles de
de seguridad
entornos. aplicaciones que se
manejan en los
diferentes entornos.
166
Estado
de la
Activid
seguridad y del la
ad
la integracin de polticas de seguridad
sistemas de informacin. para la integracin de
Curador, Jefe de
sistemas de
Sistemas, Comit P
informacin para que la
de seguridad
informacin sea
compartidad de forma
segura.
garantizar la seguridad Curador, Jefe de polticas de seguridad
de las aplicaciones en Sistemas, Comit para acada apliacin P
funcionamiento. de seguridad manejada en la
Curaduria.
gestin de polticas de seguridad
Curador, Jefe de
vulnerabilidades de para la gestin de
Sistemas, Comit P
aplicaciones o sistemas vulnerabilidades de
de seguridad
usados por la empresa. aplicaciones usadas
por la empresa.
gestin de incidentes de Curador, Jefe de polticas de seguridad
seguridad de la Sistemas, Comit para la gestin de PI
informacin. de seguridad incidentes de seguridad
de la informacin.
Definir polticas de 6 meses Es necesario y de
seguridad de la suma importancia
informacin que definir polticas de
garanticen la continuidad seguridad de la
del negocio. informacin a
Curador, Jefe de
implementarse
Sistemas, Comit P
encaminadas a
de seguridad
garantizar la
continuidad del negocio
(tramite y expedicin
de licencias
urbanisticas)
Definir polticas de 6 meses Es necesario definir
proteccin de polticas de seguridad a
informacin alineadas Curador, Jefe de implementarse con el
con requerimientos de Sistemas, Comit fin de proteger la PI
carcter legal. de seguridad informacin teniendo
en cuenta las normas
legales.
167
Estado
de la
Activid
seguridad y del la
ad
Revisar el uso de 6 meses Es necesario
procedimientos de establecer polticas de
seguridad de seguridad que permitan
conformidad con los Curador, Jefe de verificar que los
lineamientos de la Sistemas, Comit procedimientos se P
empresa y estndares. de seguridad estn realizando de
acuerdo a las polticas
y estndares definidos
por la empresa.
el desarrollo de procesos Curador, Jefe de polticas de seguridad
de auditoria. Sistemas, Comit que permitan P
de seguridad desarrollar futuras
auditorias.
168
4.1.4.2.4 Carta de Respuesta de la Curadura Urbana Segunda de Pasto
169
CONCLUSIONES
Para conocer la estructura y servicios que presta la Curadura y los posibles

problemas de seguridad a lo que est expuesta de manera general; se utilizan
herramientas como la observacin directa, la aplicacin de la encuesta y la
aplicacin de la prueba de anlisis de la red, todo esto con el fin de recolectar
informacin, tener mayor claridad y definir un punto de partida para desarrollar la
primera fase del SGSI.
Se puede decir que mediante el anlisis de riesgos elaborado se evidencian todos

los problemas de seguridad de la curadura urbana Segunda de Pasto ya que
este permite encontrar todos los elementos crticos dentro de la empresa, valorar
dichos riesgos, determinar las amenazas, el impacto para cada dimensin de
seguridad, la frecuencia, valorar los riesgos y determinar las salvaguardas.
Para el anlisis de riesgos de la Curadura Urbana Segunda de Pasto se utiliz la

metodologa Magerit que permite documentar paso a paso el Inventario de
activos, la valoracin cualitativa de activos, Identificacin de amenazas,
Identificacin de salvaguardas para los activos, Valoracin y evaluacin del riesgo
y el Informe de calificacin del riesgo donde se evidencia claramente los activos
que se encuentran en riesgo y que deben ser tratados de inmediato.
Una vez realizado el proceso de anlisis de riesgo que permite conocer a fondo
los riesgos a los que est expuesta la empresa se procede a definir polticas de
seguridad, la declaracin de aplicabilidad y aplicabilidad de los controles teniendo
como soporte la Norma ISO/IEC-27002 que sugiere 11 dominios, 39 objetivos de
control y 133 controles en materia de seguridad que abarcan todos los aspectos a
proteger en una empresa.
Se puede decir que todo el proceso realizado para el anlisis de riesgos, la

definicin de polticas de seguridad, la declaracin de aplicabilidad y aplicabilidad
de los controles conforma el diseo del SGSI para la Curadura Urbana Segunda
de Pasto bajo la norma ISO/IEC 27001 teniendo como objetivo principal garantizar
la confidencialidad, disponibilidad e integridad de la informacin.
Se desarrolla la primera fase de implementacin del SGSI que hace referencia al

plan de tratamiento del riesgo donde se define claramente cmo se va a actuar en
el control de los riesgos, se identifica los controles seleccionados, los
responsables y el tiempo. Por otra parte con la carta de respuesta del Curador se
seala que se tendr en cuenta todo el proceso realizado para continuar con la
implementacin.
De manera general se puede concluir que la implementacin de un SGSI en el

rea de informtica de la Curadura Urbana Segunda puede generar grandes
170
beneficios a mediano y largo plazo, garantizando el cumplimiento de estndares
que trabajan por la proteccin de la informacin y los activos relacionados.
Adems contribuyen a fortalecer la continuidad del negocio ya que su objetivo es
disminuir al mximo los riesgos a los que est expuesta la informacin.
171
BIBLIOGRAFA
AMUTIO, Miguel y CANDAU, Javier. MAGERIT. Versin 3.0 Metodologa de

Anlisis y Gestin de Riesgos de los Sistemas de Informacin Libro I. Mtodo.
Ministerio de Hacienda y Administraciones Pblica. Espaa, 2012.
________. Versin 3.0 Metodologa de Anlisis y Gestin de Riesgos de los

Sistemas de Informacin Libro II. Catlogo de Elementos. Ministerio de Hacienda y
Administraciones Pblica. Espaa, 2012.
________. Versin 3.0 Metodologa de Anlisis y Gestin de Riesgos de los

Sistemas de Informacin Libro IIIGua de tcnicas. Ministerio de Hacienda y
Administraciones Pblica. Espaa, 2012.

http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-14-agosto-
2013/135_ciclo_pdca__edward_deming.htmll
CORLETTI Alejandro, Controles de seguridad. 2006. Obtenido de

http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_II.pdf.
ISO 27001. (2005). El portal de ISO 27001 en Espaol. Obtenido de

http://www.iso27000.es/iso27000.html
ISO 27001. (2013). Statement of Applicability of ISO/IEC 27001 Annex A controls.

Obtenido de www.ISO27001security.com
ISO 27001. (2013). Plan de tratamiento de riesgos, Obtenido de

http://www.iso27001standard.com/es/documentacion/Plan-de-tratamiento-de-
riesgos.
ISO / IEC 27002 (2013). Tecnologa de la informacin - Tcnicas de seguridad -

Cdigo de prcticas para los controles de seguridad de la informacin
MINVIVIENDA (2010). Decreto 1469, Obtenido: http://www.minvivienda.gov.co/
UNIVERSIDAD JAVERIANA. Manual del sistema de gestin de la seguridad de la

informacin, Obtenido:
172
http://pegasus.javeriana.edu.co/~CIS0830IS12/documents/Anexo%20K%20MG-
05%20Manual%20del%20Sistema%20de%20Gestion%20de%20Seguridad%20de%20la
%20Informacion.pdf.
UNIVERSIDAD DISTRITAL. Seguridad de la Informacin: Poltica para la

seguridad de la informacin de la Universidad Distrital Francisco Jos de Caldas,
obtenido en:
https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_segurid
ad/archivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.pdf
SUAREZ SIERRA, Lorena. (2013). Sistema de Gestion de La Seguridad de La

Informacion.
173
ANEXOS
174
ANEXO A
ENCUESTA PARA EL PERSONAL DE LA CURADURIA
Como empleado de la Curadura Urbana Segunda de Pasto le solicitamos

completar esta pequea encuesta para contribuir con su opinin a mejorar
nuestros procesos y proteger la informacin.
Esta encuesta dura aproximadamente 10 minutos:
Basndose en su propia experiencia:

Marque con una X su respuesta
Con que frecuencia se cambian las contraseas del pc a su cargo?
____ a) Entre 1 y dos meses
____ b) Entre 2 y 6 meses
____ c) Entre 6 meses y 1 ao
____ d) ms de 1 ao
Con que frecuencia utiliza internet?
____ a) Una vez al da
____ b) Dos a 10 veces en el da
____ c) Muchas veces en el da
____ a) Todo el tiempo
Los problemas ms frecuentes que se presentan en el pc a su cargo son: Siendo

1= Siempre, 2= Algunas veces, 3= nunca
Afirmaciones: 1 2 3
a) El pc se bloquea
b) El pc presenta mensajes de error
c) El pc no se conecta a la red
d) El pc es lento
175
Valore las siguientes afirmaciones: Siendo 1= malo, 2= Aceptable, 3= Bueno, 4=
Excelente
Afirmaciones: 1 2 3 4
a) Cambio de Contraseas peridicamente
b) Actualizacin de Software permanente
c) Almacenamiento y manejo de copias de

seguridad
d) informacin sobre la responsabilidades en

cuanto al manejo de la informacin
e) Ubicacin estratgica de los equipos y

servidores para ser protegidos.
En general: Ha tenido usted algn problema en el momento de utilizar el pc?

SI:____ NO:____
Las dificultades presentadas influyen en la calidad de atencin al cliente?
SI:____ NO:____
Las dificultades presentadas en su pc influyen en el tiempo utilizado y en la
calidad de su trabajo?
SI:____ NO:____
Cree usted que las medidas de seguridad utilizadas son suficientes para
proteger la informacin y prevenir posibles incidentes?
SI:____ NO:____
Recomendara usted adoptar polticas de seguridad encaminadas a proteger la
informacin y evitar posibles daos de la informacin?
SI:____ NO:____
Recomendara usted adoptar polticas de seguridad encaminadas a proteger la
informacin y evitar posibles daos de la informacin?
SI:____ NO:____
176
ANEXO B
ANLISIS DE TRFICO DE RED CON WIRESHARK DE LA RED DE LA CURADURIA

URBANA SEGUNDA DE PASTO
Whireshark es una herramienta utilizada para el anlisis de trfico de redes, que

permite saber que sucede en la red, en la siguiente imagen se indica se puede
observar los siguientes datos: El tiempo, la fuente, el destino, el protocolo
utilizado, la longitud, las solicitudes que se realizan al servidor, los accesos a
pginas de internet etc.
Whireshark captura todo lo que sucede en la red (todas las peticiones)
177
Se puede observar que el servidor se conect a travs de la peticin DNS.
Al utilizar este programa podemos observar si se est generando trfico no

deseado como un virus que puede provocar lentitud.
178
Mediante este anlisis se puede seleccionar un paquete y en panel de detalles de
paquete se encuentra informacin adicional para casa paquete.
179
180

Diseño Implementacion SGSI 27001 PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Diseño Implementacion SGSI 27001 PDF

Caricato da

Copyright:

Formati disponibili

DISEO E IMPLEMENTACIN DE UN SGSI PARA EL REA DE

INFORMTICA DE LA CURADURA URBANA SEGUNDA DE PASTO BAJO

ALBA ELISA CRDOBA SUREZ

UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA UNAD

ALBA ELISA CORDOBA SUAREZ

Proyecto de Grado para optar al ttulo de:

UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA UNAD

San Juan de Pasto, Mayo de 2015

Figura 1. SGSI .................................................................................................. 23

Figura 2. Utilidad de un SGSI ........................................................................... 24

Figura 3. Que incluye un SGSI ......................................................................... 25

Figura 4. Ciclo PDCA ........................................................................................ 27

Figura 5. Gestin del Riesgo ............................................................................... 29

Tabla 1. Poblacin conformada por el personal de la curadura urbana

segunda de Pasto ............................................................................................. 46

Tabla 2. Poblacin conformada por clientes ..................................................... 57

Tabla 3. Escala de rango de frecuencias de amenazas .................................. 67

Tabla 4. Dimensiones de seguridad segn Magerit .......................................... 67

Tabla 5. Escala de rango porcentual de impactos en los activos para cada

dimensin de seguridad .................................................................................... 72

Tabla 6. Tipos de salvaguardas segn Magerit ................................................ 78

Tabla 7. Criterio para la evaluacin del riesgo .................................................. 96

Tabla 8. Comit de seguridad de la informacin ............................................. 110

Tabla 9. Asignacin de responsabilidades de la Informacin ......................... 111

Tabla 10. Encargados de la seguridad de la informacin ............................... 112

Tabla 11. Clasificacin de la Informacin........................................................ 114

Tabla 12. Estado de los controles .................................................................. 123

Tabla 13. Identificacin del estado de la actividad .......................................... 151

Seguidamente se realiza un anlisis de riesgos paso a paso desarrollando el

Therefore the Urban Curator is a particular public service in charge of studying,

Amenaza. Causa potencial de un incidente no deseado, que puede ocasionar

Confidencialidad: La confidencialidad es la propiedad que impide la divulgacin

Contraseas: Una contrasea o clave es una forma de autentificacin que utiliza

Datos: El dato es una representacin simblica (numrica, alfabtica, algortmica,

Debilidad: Las debilidades se refieren a todos aquellos elementos, recursos,

Disponibilidad: La disponibilidad es la caracterstica, cualidad o condicin de la

Fallos: Es un estado o situacin en la que se encuentra un sistema formado por

Integridad: Es la propiedad que busca mantener los datos libres de

ISO/IEC 27000: Publicada el 1 de Mayo de 2009, revisada con una segunda

ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre

Poltica de seguridad: Toda intencin y directriz expresada formalmente por la

Procedimientos: Es un conjunto de acciones u operaciones que tienen que

Recursos: Un recurso es una fuente o suministro del cual se produce un beneficio

Riesgo. Combinacin de la probabilidad de un evento y sus consecuencias

Sistema de deteccin de intrusos: (o IDS de sus siglas en ingls Intrusion

SGSI: Es la abreviatura utilizada para referirse a un Sistema de Gestin de la

Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser

En la actualidad la informacin se ha denominado dentro de una empresa como

El estar a la vanguardia de la tecnologa, el compartir informacin a diario a travs

La implementacin de un SGSI es una opcin fundamental cuando se trata de

La curadura urbana segunda de Pasto, a travs del diseo e implementacin de

Para el desarrollo de la primera fase se aplica la metodologa Magerit con la cual

Para el anlisis de riesgos se realiza un inventario de activos, valoracin

Dentro de las lneas de investigacin de la UNAD el proyecto de grado est

Medidas de seguridad lgicas con respecto a los equipos y a los usuarios

Diseo e implementacin de un SGSI para el rea de informtica de la Curadura

1.3 LNEA DE INVESTIGACIN

La propuesta presentada se enmarca dentro de la lnea de investigacin de

1.3.1 Gestin de sistemas: Se ocupa de integrar, planificar y controlar los

1.3.2 Auditora de sistemas: Incluye control de informacin, calidad de

1.4.1 Descripcin del problema. La Curadura Urbana Segunda de Pasto es

La Curadura funciona en el segundo piso de un edificio, cuenta con 5 oficinas

1.4.2 Formulacin del problema. Cmo proteger de manera efectiva la