Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1
DISEO E IMPLEMENTACIN DE UN SGSI PARA EL REA DE
INFORMTICA DE LA CURADURA URBANA SEGUNDA DE PASTO BAJO
LA NORMA ISO/IEC 27001
Director de Proyecto
Ingeniero de Sistemas, Especialista en Seguridad Informtica
Martin Cancelado
Tutor UNAD
2
Nota de aceptacin:
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
Firma del presidente del jurado
_______________________________
Firma del jurado
_______________________________
Firma del jurado
3
CONTENIDO
ABSTRACT ....................................................................................................... 12
GLOSARIO .........................................................................................................................14
INTRODUCCIN ...............................................................................................................17
1. ELEMENTOS DE IDENTIFICACIN...................................................... 18
1.1 TEMA .......................................................................................................... 18
1.2 TTULO ....................................................................................................... 18
1.3 LINEA DE INVESTIGACIN ....................................................................... 18
1.3.1 Gestin de sistemas .............................................................................. 18
1.3.2 Auditora de sistemas ............................................................................. 18
1.4 PLANTEAMIENTO DEL PROBLEMA. ........................................................ 19
1.4.1 DESCRIPCIN DEL PROBLEMA .......................................................... 19
1.4.2 FORMULACIN DEL PROBLEMA .......................................................... 19
1.5 OBJETIVOS ................................................................................................ 19
1.5.1 Objetivo general ....................................................................................... 19
1.5.2 Objetivos especficos ............................................................................... 19
1.6 JUSTIFICACIN ........................................................................................ 20
1.7 DELIMITACIN .......................................................................................... 21
1.8 ALCANCES ................................................................................................. 21
2. MARCO REFERENCIAL ..........................................................................................22
2.1 MARCO TERICO ................................................................................. 22
2.1.1 Sistema de Gestin de la Seguridad de la Informacin SGSI .................. 22
2.1.1.1 Qu es un SGSI?: ............................................................................... 22
2.1.1.2 Para qu sirve un SGSI? .................................................................... 23
2.1.1.3 Qu incluye un SGSI? ........................................................................ 25
2.1.1.4 Cmo implementar un SGSI? ............................................................. 27
2.1.1.4.1 Plan: Establecer el SGSI .................................................................... 28
2.1.1.4.2 Do: Implementar y utilizar el SGSI ..................................................... 30
2.1.1.4.3 Check: Monitorizar y revisar el SGSI ................................................. 30
2.1.1.4.4 Act: Mantener y mejorar el SGSI........................................................ 31
2.1.1.5 Qu tareas tiene la gerencia en un SGSI? ......................................... 32
2.1.1.5.1 Compromiso de la direccin ............................................................... 32
2.1.1.5.2 Asignacin de Recursos .................................................................... 32
4
2.1.1.5.3 Formacin y concienciacin ............................................................... 33
2.1.1.5.4 Revisin del SGSI .............................................................................. 33
2.1.2 Conceptos Bsicos .................................................................................. 34
2.1.2.1 Qu es la seguridad de la informacin?.............................................. 34
2.1.2.2 Por qu es necesaria la seguridad de la informacin? ....................... 35
2.1.2.3 Cmo establecer los requisitos de seguridad? ................................... 35
2.1.2.4 Confidencialidad.................................................................................... 36
2.1.2.5 Integridad .............................................................................................. 36
2.1.2.6 Disponibilidad ........................................................................................ 36
2.1.2.7 Evaluacin de los riesgos de seguridad ................................................ 36
2.1.2.8 Evento de seguridad de la informacin ................................................. 36
2.1.2.9 Incidente de seguridad de la informacin.............................................. 36
2.1.2.10 Poltica de seguridad........................................................................... 37
2.1.2.11 Riesgo ................................................................................................. 37
2.1.2.12 Anlisis de riesgos .............................................................................. 37
2.1.2.13 Evaluacin de riesgos ......................................................................... 37
2.1.2.14 Valoracin del riesgo........................................................................... 37
2.1.2.15 Gestin del riesgo ............................................................................... 37
2.1.2.16 Amenaza ............................................................................................. 37
2.1.2.17 Vulnerabilidad ..................................................................................... 37
2.1.3 Sobre la Norma ISO/IEC 27000 ............................................................... 37
2.1.3.1 ISO/IEC 27000 ...................................................................................... 37
2.1.3.2 ISO/IEC 27001 ...................................................................................... 37
2.1.3.3 ISO/IEC 27002 ...................................................................................... 38
2.1.3.4 ISO/IEC 27003 ...................................................................................... 38
2.1.3.5 ISO/IEC 27004 ...................................................................................... 38
2.1.3.6 ISO/IEC 27005 ...................................................................................... 38
2.1.3.7 ISO/IEC 27006 ...................................................................................... 38
2.1.3.8 ISO/IEC 27007 ...................................................................................... 39
2.1.3.9 ISO/IEC TR 27008 ................................................................................ 39
2.1.4 Conceptos sobre Curaduras ................................................................... 39
2.1.4.1 Qu son las curaduras urbanas ........................................................... 39
2.1.4.2 Qu es el curador urbano ..................................................................... 39
5
2.1.4.3 Quin designa al curador urbano .......................................................... 39
2.1.4.4 Qu es una licencia urbanstica ............................................................ 39
2.1.4.5 Qu es una licencia de urbanizacin .................................................... 39
2.1.4.6 Qu es una licencia de parcelacin ...................................................... 40
2.1.4.7 Qu es una licencia de subdivisin ....................................................... 40
2.1.4.8 Qu es una licencia de construccin..................................................... 40
2.1.4.9 Cul es el trmino de tiempo que tiene un curador urbano para
expedir una licencia: ......................................................................................... 40
2.1.4.10 Quienes pueden solicitar una licencia urbanstica .............................. 40
2.1.4.11 Que documentos se deben adjuntar para obtener una licencia
urbanstica. ....................................................................................................... 40
2.1.4.12 Cul es la vigencia y prrroga de una licencia .................................... 41
2.2. MARCO CONTEXTUAL ............................................................................. 41
2.3. MARCO LEGAL ......................................................................................... 42
2.3.1 Normas Nacionales: ................................................................................. 43
2.3.1.1 Ley 388 del 18 de Julio de 1997 Ley de ordenamiento territorial ....... 43
2.3.1.2 Decreto 1469 del 2010 del Ministerio de Ambiente, Vivienda y
Desarrollo Territorial ......................................................................................... 45
2.3.2 Normas Locales ....................................................................................... 45
2.3.2.1 Decreto nmero 0026 del 13 de octubre de 2009 ................................ 45
2.4 MARCO HISTRICO .................................................................................. 45
3.1 TIPO DE INVESTIGACIN......................................................................... 47
Este proyecto se enmarca dentro del tipo de investigacin descriptiva y
analtica ...................................................................................................... 47
3.1.1 Descriptiva ............................................................................................... 48
3.1.2 Analtica ................................................................................................... 48
3.2 METODO DE INVESTIGACIN ................................................................ 48
3.3.2 Muestra .................................................................................................... 49
3.4 RECOLECCION DE DE LA INFORMACIN ............................................. 49
3.4.1 Informacin primaria: ............................................................................... 49
3.4.2 Informacin secundaria ............................................................................ 49
3.4.3 Instrumentos de recoleccin de informacin: ........................................... 49
3.4.3.1 Tcnica de Observacin ....................................................................... 49
3.4.3.2 Tcnica de Encuesta:............................................................................ 49
6
3.4.3.3 Tcnica de realizacin de pruebas:....................................................... 49
3.4.4 MUESTRAS ............................................................................................. 50
3.4.4.1 Muestra Empleados: ............................................................................. 50
3.4.4.2 Caractersticas de la encuesta para empleados de la Curadura: ......... 50
3.4.4.5 Descripcin del Instrumento: ................................................................. 50
3.5 PROCESAMIENTO DE LA INFORMACIN ............................................... 50
3.5.1 METODOLOGA PARA EL ANLISIS Y DISEO. .................................. 50
Planear ....................................................................................................... 51
Hacer: ......................................................................................................... 51
Verificar ...................................................................................................... 51
Actuar: ........................................................................................................ 52
3.5.2 Anlisis de la encuesta realizada a los empleados de Curadura
Urbana Segunda de Pasto. ............................................................................... 52
3.5.3 Descripcin y anlisis de la prueba realizada a la red de la Curadura
Urbana Segunda de Pasto, con Wiresshark ..................................................... 52
4. SGSI PARA LA CURADURIA URBANA SEGUNDA DE PASTO ................. 53
4.1. Establecer el SGSI .................................................................................... 53
4.1. 1 Alcance ................................................................................................... 53
4.1. 2 Poltica del Sistema de Gestin .............................................................. 53
4.1. 3 Metodologa de Evaluacin del Riesgo ................................................... 53
4.1. 4 Anlisis de Riesgos de la Curadura Urbana Segunda de Pasto ............ 54
4.1. 4.1. Inventario de Activos ........................................................................... 54
4.1. 4.1. 1 Activos esenciales............................................................................ 55
4.1. 4.1. 2 Datos/Informacin ............................................................................ 55
4.1. 4.1. 3 Claves Criptogrficas ....................................................................... 56
4.1. 4.1. 4 Inventario de Servicios ..................................................................... 56
4.1. 4.1. 5 Software Aplicaciones Informticas .............................................. 56
4.1. 4.1. 6 Equipos Informticos........................................................................ 57
4.1. 4.1. 7 Redes de comunicaciones ............................................................... 57
4.1. 4.1. 8 Soportes de Informacin _almacenamiento electrnico................... 58
4.1. 4.1. 9 Soportes de Informacin _almacenamiento no electrnico .............. 58
4.1. 4.1. 10 Equipamiento auxiliar ..................................................................... 58
4.1. 4.1. 11 Instalaciones .................................................................................. 59
7
4.1. 4.1. 12 Personal ......................................................................................... 59
4.1.4.2. Valoracin cualitativa de los activos..................................................... 59
4.1. 4.2. 1 Valoracin Cualitativa de Activos esenciales ................................... 60
4.1. 4.2. 2 Valoracin Cualitativa de Datos/Informacin ................................... 61
4.1. 4.2. 3 Valoracin Cualitativa de Claves Criptogrficas .............................. 62
4.1. 4.2. 4 Valoracin Cualitativa de Servicios .................................................. 62
4.1. 4.2. 5 Valoracin Cualitativa de Software Aplicaciones Informticas ...... 63
4.1. 4.2. 6 Valoracin Cualitativa de Equipos Informticos ............................... 64
4.1. 4.2. 7 Valoracin Cualitativa de Redes de comunicaciones ....................... 65
4.1. 4.2. 8 Valoracin Cualitativa de Soportes de Informacin
_almacenamiento electrnico ........................................................................... 66
4.1. 4.2. 9 Valoracin Cualitativa de Soportes de Informacin
_almacenamiento no electrnico ...................................................................... 66
4.1. 4.2. 10 Valoracin Cualitativa de Equipamiento auxiliar ............................ 67
4.1. 4.2. 11 Valoracin Cualitativa de Instalaciones.......................................... 68
4.1. 4.2. 12 Valoracin Cualitativa de Personal ................................................ 68
4.1. 4.3. Identificacin de Amenazas ................................................................ 68
4.1. 4.4. Salvaguardas ...................................................................................... 80
4.1. 4.4. 1 Salvaguardas de Activos esenciales ................................................ 81
4.1.4.4.2 Salvaguardas de Datos/Informacin ................................................. 84
4.1.4.4.3 Salvaguardas de Claves Criptogrficas ............................................ 87
4.1.4.4.4 Salvaguardas de Servicios ................................................................ 87
4.1.4.4.5 Salvaguardas de Software Aplicaciones Informticas .................... 90
4.1.4.4.6 Salvaguardas de Equipos Informticos ............................................. 92
4.1.4.4.7 Salvaguardas de comunicaciones..................................................... 94
4.1.4.4.8 Salvaguardas de Soportes de Informacin _almacenamiento
electrnico......................................................................................................... 95
4.1.4.4.9 Salvaguardas de Soportes de Informacin _almacenamiento no
electrnico......................................................................................................... 97
4.1.4.4.10 Salvaguardas de Equipamiento auxiliar .......................................... 98
4.1.4.4.11Salvaguardas de Instalaciones ........................................................ 99
4.1.4.4.12 Salvaguardas - Personal ................................................................. 99
4.1. 4.5. Informe de Calificacin del Riesgos ................................................. 100
8
4.1.4.6. Cmo quedaran reducidos los riesgos de seguridad a los que est
expuesta el rea de informtica de la Curadura Urbana Segunda de
Pasto? ............................................................................................................. 101
4.1.4.6. 1 Polticas y objetivos de seguridad del rea de informtica .............. 101
Generalidades:................................................................................................ 101
Alcance ........................................................................................................... 102
4.1.4.6. 2 Organizacin de la Seguridad de la Informacin............................. 104
4.1.4.6. 3 Gestin de Activos .......................................................................... 107
4.1.4.6. 4 Seguridad de los recursos humanos ............................................... 109
4.1.4.6. 5 Seguridad fsica y del entorno ......................................................... 111
4.1.4.6. 6 Gestin de operaciones y comunicaciones .................................... 113
4.1.4.6. 7 Control del Acceso .......................................................................... 117
4.1.4.6. 8 Adquisicin, desarrollo y mantenimiento de sistemas de
informacin ..................................................................................................... 119
4.1.4.6.9 Gestin de los incidentes de seguridad de la informacin ............... 122
4.1.4.6. 10 Gestin de la continuidad del negocio .......................................... 123
4.1.4.6. 11 Cumplimiento ................................................................................ 125
4.1. 4.2 Segunda Etapa Implantar .............................................................. 127
4.1. 4.2.1. Declaracin de Aplicabilidad .......................................................... 127
4.1. 4.2.2. Aplicabilidad de los Controles ....................................................... 128
4.1. 4.2.3. Definicin del Plan de Tratamiento del Riesgo............................... 158
4.1.4.2.3.1 Plan de Tratamiento del Riesgos .................................................. 159
4.1.4.2.4 Carta de Respuesta de la Curadura Urbana Segunda de Pasto .... 169
CONCLUSIONES ............................................................................................................170
BIBLIOGRAFA ................................................................................................................171
ANEXOS ............................................................................................................................174
ANEXO A ........................................................................................................ 175
ANEXO B ........................................................................................................ 177
ANLISIS DE TRFICO DE RED CON WIRESHARK DE LA RED DE LA
CURADURIA URBANA SEGUNDA DE PASTO ............................................. 177
9
LISTA DE FIGURAS
10
LISTA DE TABLAS
11
RESUMEN
El gobierno nacional dispone mediante leyes y decretos que en las ciudades para
el desarrollo urbano sean las curaduras urbanas o la oficina de planeacin
municipal las encargadas de otorgar licencias urbansticas en todas sus
modalidades.
Por lo tanto el Curador Urbano es un particular con funcin pblica encargado de
estudiar, tramitar y expedir licencias urbansticas a todos los interesados que
presenten solicitud de obtencin de licencia. Su funcin es verificar el
cumplimiento de las normas urbansticas y de edificaciones vigentes, con
autonoma en el ejercicio de sus funciones y responsable conforme a la ley.
Este proyecto se lleva a cabo para la Curadura Urbana Segunda de Pasto la cual
pretende cada da implementar polticas y controles de seguridad para proteger la
informacin; mejorar la atencin a sus clientes, brindndoles eficiencia y calidad
en la prestacin de su servicio y asegurar la continuidad del negocio.
Este trabajo tiene como objetivo fundamental, disear un SGSI para el rea de
informtica de la Curadura Urbana Segunda de Pasto bajo la Norma ISO/IEC
27001 con el fin de clasificar la informacin, identificar vulnerabilidades y
amenazas en el rea de informtica; valorar los riesgos y con base en estos
definir controles y polticas de seguridad que deben ser de conocimiento de la
empresa, instrucciones de los procedimientos a realizarse y la documentacin
que se debe desarrollar en todo el proceso para la posterior implementacin del
SGSI, aplicando el modelo PHVA (Planificar, hacer, verificar y actuar).
Como primera medida se recolecta informacin de la curadura a travs de la
observacin, la tcnica de la encuesta y una prueba de trfico de red que permiten
tener una idea general del manejo de la seguridad en la organizacin.
12
ABSTRACT
The national government has through laws and decrees that in cities for urban
development are the urban curator or the municipal planning office responsible for
granting planning permission in all its forms.
This project is carried out for the urban curator Second Pasto which seeks every
day to implement policies and security controls to protect information; improve
service to its customers, providing efficiency and quality in the provision of service
and ensure business continuity.
This work has as main objective, to design an ISMS for the computer field of urban
curator Second Pasto under ISO / IEC 27001 standard in order to classify
information, identify threats and vulnerabilities in the computer field; assess the
risks and based on these controls and define security policies that should be
known to the company, instructions for procedures to be performed and the
documentation that must be developed throughout the process for the subsequent
implementation of the ISMS, using the model PDCA (plan, do, check and act).
As a first step curated information through observation, survey technique and test
network traffic that provide a general idea of the management of security in the
organization is collected.
Following a risk analysis step by step developing the asset inventory, qualitative
valuation of assets, identifying threats, safeguards for identifying assets, valuation
and risk assessment and risk rating report that identify performed the most
pressing risks to which the company is exposed.
Subsequently policies and security checks, which aim to contribute to the reduction
of risks of the elements of informatics and strengthen security measures that are
reflected in the company and its customers in providing an agile defined , efficient,
effective and quality.
Finally, the first phase of implementation is the risk management plan where
concrete clearly how it will act in the control of risks, selected controls are
identified, those responsible and the time is done. Ready to be adopted by the
Second Curator Curator when desired
13
GLOSARIO
14
cual fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
15
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organizacin o de fuentes externas) o de la fecha de elaboracin.
16
INTRODUCCIN
Una vez identificado claramente los activos que se encuentran en riesgo y que
generaran mayor impacto en caso de sufrir un ataque, se procede a definir
polticas de seguridad, la declaracin y aplicabilidad de los controles y el plan de
gestin del riesgo, para cada uno de estos activos teniendo en cuenta lo expuesto
por la Norma ISO/IEC 27002. Dichas polticas y controles deben ser
implementadas en la organizacin por parte de la gerencia, en este caso por
Curador urbano junto al comit de seguridad para cumplir el objetivo fundamental
del SGSI que es proteger la informacin y disminuir los riesgos, garantizando la
continuidad del negocio.
17
1. ELEMENTOS DE IDENTIFICACIN
1.1 TEMA
1.2 TTULO
18
1.4 PLANTEAMIENTO DEL PROBLEMA.
1.5 OBJETIVOS
19
Definir polticas de seguridad encaminadas a minimizar los riesgos a los que
est expuesta la informacin.
1.6 JUSTIFICACIN
20
Por lo anteriormente expuesto es de suma importancia el diseo de un SGSI para
el rea de informtica bajo la norma ISO/IEC 27001 que permita obtener una
visin global del estado de los sistemas de informacin y observar claramente las
medidas de seguridad a aplicar para prevenir futuros incidentes.
1.7 DELIMITACIN
1.8 ALCANCES
21
2. MARCO REFERENCIAL
22
organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI1.
Figura 1. SGSI
Fuente: www.iso27000.es
23
El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las
condiciones variables del entorno, la proteccin adecuada de los objetivos de
negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos fundamentales en los que
un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin
de las organizaciones2.
Fuente: www.iso27000.es
2
IBID., ISO 27001.
24
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su
informacin y los asume, minimiza, transfiere o controla mediante una sistemtica
definida, documentada y conocida por todos, que se revisa y mejora
constantemente.
Fuente: www.iso27000.es
Documentos de Nivel 1:
Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa
tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que
expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y
directrices principales, etc., del SGSI.
Documentos de Nivel 2:
Documentos de Nivel 3:
3
IBID., ISO 27001.
25
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los
requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output
que demuestra que se ha cumplido lo indicado en los mismos.
De manera especfica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo
una identificacin clara de las dependencias, relaciones y lmites que existen entre el
alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que
el mbito de influencia del SGSI considere un subconjunto de la organizacin como
delegaciones, divisiones, reas, procesos, sistemas o tareas concretas)4.
4
IBID., ISO 27001.
26
SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Control de la documentacin
Fuente: www.iso27000.es
5
IBID., ISO 27001.
27
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI6.
6
IBID., ISO 27001.
28
originan; transferir el riesgo a terceros, p. ej., compaas aseguradoras o
proveedores de outsourcing7.
Fuente: www.iso27000.es
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001
para el tratamiento del riesgo que cumplan con los requerimientos
identificados en el proceso de evaluacin del riesgo.
Aprobar por parte de la direccin tanto los riesgos residuales como la
implantacin y uso del SGSI.
Definir una declaracin de aplicabilidad que incluya: Los objetivos de control y
controles seleccionados y los motivos para su eleccin; los objetivos de control
y controles que actualmente ya estn implantados; los objetivos de control y
controles del Anexo A excluidos y los motivos para su exclusin; este es un
mecanismo que permite, adems, detectar posibles omisiones involuntarias.
7
IBID., ISO 27001.
8
ISO / IEC 2700 (2009) Tecnologa de la informacin - Tcnicas de seguridad - Gestin de la seguridad de la
Informacin Medicin. Obtenido de http://www.iso27001security.com/html/27004.html
29
referenciada en ISO 27001, en su segunda clusula, en trminos de documento
indispensable para la aplicacin de este documento y deja abierta la posibilidad
de incluir controles adicionales en el caso de que la gua no contemplase todas las
necesidades particulares.
La organizacin deber:
9
IBID., ISO 27001.
30
incidentes, resultados de las mediciones de eficacia, sugerencias y
observaciones de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los
riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles
cambios que hayan podido producirse en la organizacin, la tecnologa, los
objetivos y procesos de negocio, las amenazas identificadas, la efectividad de
los controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales, etc.
Realizar peridicamente auditoras internas del SGSI en intervalos
planificados.
Revisar el SGSI por parte de la direccin peridicamente para garantizar que
el alcance definido sigue siendo el adecuado y que las mejoras en el proceso
del SGSI son evidentes.
Actualizar los planes de seguridad en funcin de las conclusiones y nuevos
hallazgos encontrados durante las actividades de monitorizacin y revisin.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad
o el rendimiento del SGSI.
31
2.1.1.5 Qu tareas tiene la gerencia en un SGSI? 10. Uno de los componentes
primordiales en la implantacin exitosa de un Sistema de Gestin de Seguridad de
la Informacin es la implicacin de la direccin. No se trata de una expresin
retrica, sino que debe asumirse desde un principio que un SGSI afecta
fundamentalmente a la gestin del negocio y requiere, por tanto, de decisiones y
acciones que slo puede tomar la gerencia de la organizacin. No se debe caer en
el error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada a
niveles inferiores del organigrama; se estn gestionando riesgos e impactos de
negocio que son responsabilidad y decisin de la direccin.
32
Identificar y tratar todos los requerimientos legales y normativos, as como las
obligaciones contractuales de seguridad.
Aplicar correctamente todos los controles implementados, manteniendo de esa
forma la seguridad adecuada.
Realizar revisiones cuando sea necesario y actuar adecuadamente segn los
resultados de las mismas.
Mejorar la eficacia del SGSI donde sea necesario.
11
IBID., ISO 27001.
33
Recomendaciones de mejora.
12
IBID., ISO 27001.
34
del negocio de la organizacin. Esto debera hacerse en conjunto con otros
procesos de gestin de negocio.
13
IBID., ISO 27001.
35
2.1.2.4 Confidencialidad: La confidencialidad es la propiedad que impide la
divulgacin de informacin a personas o sistemas no autorizados. A grandes
rasgos, asegura el acceso a la informacin nicamente a aquellas personas que
cuenten con la debida autorizacin.
14
IBID., ISO 27001.
36
2.1.2.10 Poltica de seguridad: Toda intencin y directriz expresada formalmente por
la Direccin, Su objetivo es proporcionar a la gerencia la direccin y soporte para
la seguridad de la informacin, en concordancia con los requerimientos
comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser
creado de forma particular por cada organizacin. Se debe redactar un
"Documento de la poltica de seguridad de la informacin".
2.1.2.14 Valoracin del riesgo. Proceso de comparacin del riesgo estimado frente a
criterios de riesgo establecidos para determinar la importancia del riesgo.
2.1.2.15 Gestin del riesgo. Actividades coordinadas para dirigir y controlar una
organizacin con respecto al riesgo.
2.1.3.1 ISO/IEC 2700015: Publicada el 1 de Mayo de 2009, revisada con una segunda
edicin de 01 de Diciembre de 2012 y una tercera edicin de 14 de Enero de
2014. Esta norma proporciona una visin general de las normas que componen la
serie 27000, indicando para cada una de ellas su alcance de actuacin y el
propsito de su publicacin. Recoge todas las definiciones para la serie de normas
27000 y aporta las bases de por qu es importante la implantacin de un SGSI,
una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una
breve descripcin de los pasos para el establecimiento, monitorizacin,
mantenimiento y mejora de un SGSI (la ltima edicin no aborda ya el ciclo Plan-
Do-Check-Act para evitar convertirlo en el nico marco de referencia para la
mejora continua).
15
IBID., ISO 27001.
37
sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-
2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por
auditores externos los SGSIs de las organizaciones.
16
IBID., ISO 27001.
38
2.1.3.8 ISO/IEC 27007: Publica da el 14 de Noviembre de 2011. No certificable. Es
una gua de auditora de un SGSI, como complemento a lo especificado en ISO
19011. En Espaa, esta norma no est traducida.
17
Decreto1469. (2010). Ministerio de Vivienda Ciudad y Territorio. Obtenido de http://www.minvivienda.gov.co.
39
edificaciones con destino a usos urbanos acordes con el plan de ordenamiento
territorial del municipio.
2.1.4.9 Cul es el trmino de tiempo que tiene un curador urbano para expedir una
licencia: Cuarenta y cinco (45) das hbiles. Este plazo podr prorrogarse hasta en
la mitad del mismo 18.
2.1.4.10 Quienes pueden solicitar una licencia urbanstica: Los titulares de derechos
reales principales, los propietarios del derecho de dominio a ttulo de fiducia y los
fideicomitentes de las mismas fiducias, de los inmuebles objeto de la solicitud. Los
poseedores solo podrn ser titulares de las licencias de construccin.
18
IBID., Decreto1469.
40
Plano de localizacin e identificacin del predio o predios objeto de la solicitud,
mediante carta catastral del Codazzi IGAC.
Certificado de demarcacin urbanstica y arquitectnica de la oficina de
Planeacin Municipal.
Copia del documento que acredite el pago o declaracin privada con pago del
impuesto predial de los ltimos cinco (5) aos, donde figure la nomenclatura
alfanumrica o identificacin del predio.
Si el solicitante de la licencia fuera una persona jurdica, deber acreditarse la
existencia y representacin de la misma mediante el documento legal idneo,
cuya fecha de expedicin no sea superior a un (1) mes.
Poder debidamente otorgado, cuando se acte mediante apoderado.
La relacin de la direccin de los vecinos de los predios colindantes objeto de
la solicitud y si fuere posible el nombre de ellos.
La manifestacin bajo la gravedad del juramento de si el proyecto sometido a
consideracin se destinar o no a vivienda de inters social, de lo cual se
dejar constancia en el acto que resuelva la solicitud de licencia.
Los documentos o planos que el proyecto requiera en forma especfica.
La prrroga deber formularse dentro de los treinta (30) das calendario, anteriores
al vencimiento de la respectiva licencia, siempre y cuando se haya iniciado la
obra19.
Las licencias de subdivisin tendrn una vigencia improrrogable de seis (6) meses.
19
IBID., Decreto1469.
41
En la actualidad la curadura segunda de Pasto cuenta con 12 empleados que se
encargan de elaborar diferentes trabajos as:
Por otra parte existen personas que se encargan de realizar la parte operativa
como, ingreso de proyectos al sistema actual, comunicacin de vecinos, ubicacin
de proyectos, transcripcin de memos, elaboracin de licencias, citacin de
vecinos y organizacin de archivo.
20
MINVIVIENDA. (2010). Decreto 1469. Obtenido de http://www.minvivienda.gov.co/Decretos%20Vivienda/1469%20-
%202010.pdf#search=1469
42
Decreto 975-2004 subsidio de vivienda
Decreto 1469 de 2010
Plan de ordenamiento territorial de Pasto POT.
2.3.1.1 Ley 388 del 18 de Julio de 1997 Ley de ordenamiento territorial: Por la cual se
modifica la Ley 9 de 1989, y la Ley 3 de 1991 y se dictan otras disposiciones. El
Congreso de Colombia.
21
MINVIVIENDA. (1997). Ley 388. Obtenido de http://www.minvivienda.gov.co/LeyesMinvivienda/0388%20-
%201997.pdf#search=ley%20388%20de%201997
43
Artculo 2. Principios. El ordenamiento del territorio se fundamenta en los
siguientes principios:
1. La funcin social y ecolgica de la propiedad.
2. La prevalencia del inters general sobre el particular.
3. La distribucin equitativa de las cargas y los beneficios.
_______________________
21
MINVIVIENDA. (1997). Ley 388. Obtenido de http://www.minvivienda.gov.co/LeyesMinvivienda/0388%20-
%201997.pdf#search=ley%20388%20de%201997
44
2.3.1.2 Decreto 1469 del 2010 del Ministerio de Ambiente, Vivienda y Desarrollo
Territorial: "Por el cual se reglamentan las disposiciones relativas a las licencias
urbansticas; al reconocimiento de edificaciones; a la funcin pblica que
desempean los curadores urbanos; a la legalizacin de asentamientos humanos
constituidos por viviendas de inters social, y se expiden otras disposiciones.
2.3.2.1 Decreto nmero 0026 del 13 de octubre de 2009: Por medio del cual se realiza
la revisin ordinaria y ajustes del Plan de Ordenamiento Territorial del Municipio de
Pasto, adoptado mediante Decreto Municipal 0084 de 2003 y se dictan otras
disposiciones.
45
En cuanto a la revisin arquitectnica es realizada por el curador urbano quien al
contar con un postgrado en urbanismo se encarga de revisar los planos
arquitectnicos y atender consultas en cuanto al cumplimiento del Plan de
Ordenamiento Territorial POT.
Por otra parte existen personas que se encargan de realizar la parte operativa
como, ingreso de proyectos al sistema actual, comunicacin de vecinos, ubicacin
de proyectos, transcripcin de memos, elaboracin de licencias, citacin de
vecinos y organizacin de archivo.
46
3. DISEO METODOLGICO
47
la informacin, sobre el cual se pretende detectar falencias, plantear soluciones y
resolver problemas22.
22
Ciclo PDCA. Sistemas de Gestin de Seguridad de la Informacin. Obtenido de
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-14-agosto-2013/135_ciclo_pdca__edward_deming.htmll
48
3.3.2 Muestra
Teniendo en cuenta que el personal que labora en la Curadura es igual a un
nmero de personas relativamente pequeo, se tom como muestra el total de
personas = 11.
49
3.4.4 Muestras
50
equivalencia en espaol es Planificar, hacer, verificar y actuar (PHVA), es una
estrategia de mejora continua de calidad en cuatro pasos. Este modelo es muy
utilizado para implantacin de sistemas de gestin, como los sistemas de gestin
de la calidad que muchas empresas de hoy lo implantan para la calidad
administrativa y de servicios con el objetivo de perfeccionarlos y continuar en un
proceso de mejora continua23.
23
Ciclo PDCA. Sistemas de Gestin de Seguridad de la Informacin. Obtenido de
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-14-agosto-2013/135_ciclo_pdca__edward_deming.htmll
51
aceptables y residuales y se realicen peridicamente auditoras internas para el
SGSI.
52
4. SGSI PARA LA CURADURIA URBANA SEGUNDA DE PASTO
Teniendo en cuenta el ciclo PDCA que permite realizar una serie de pasos y
procesos para la construccin de un SGSI, a continuacin se procede a realizar
cada una de estas etapas:
53
Se puede decir que por estar incluida en los estndares ISO, sirve como
como punto de partida para procesos de certificacin y mejoramiento del
sistema de gestin para la empresa.
54
Soportes de Informacin
Equipamiento Auxiliar
Instalaciones
55
4.1.4.1.3 Claves Criptogrficas. Debemos garantizar cifrado de datos y
comunicaciones por el hecho de manejar aplicaciones bancarias.
56
Cdigo grupo de Nombre grupo de activo Cdigo Activo de Nombre activo de
activo Magerit Magerit acuerdo a la empresa acuerdo a la empresa
[app] Servidor de aplicaciones [Server_App] Servidor de
aplicaciones
[dbms] Sistema de gestin de bases [S_BaseDeDatos] Gestor base de datos,
de datos aplicacin destinada a
realizar el proceso de
gestin de las bases
de datos manejadas
al interior de la
empresa.
[Oficce] Ofimtica [Oficce] Office 2010
[av] Antivirus [Antivirus] McAfee original con
actualizaciones
automticas.
[os] Sistema operativo [OS_Win7] Sistema operativo
Windows 7, en su
versin professional
con actualizaciones
automticas
activadas.
Cdigo grupo Nombre grupo de activo Cdigo Activo de acuerdo Nombre activo de
de activo Magerit a la empresa acuerdo a la empresa
Magerit
[wifi] Red inalmbrica [R_wifi] Red Inalmbrica
[LAN] Red local [R_Local] Red local
[Internet] Internet [Internet] Internet
57
4.1.4.1.8 Soportes de Informacin _almacenamiento electrnico. Se considera
dispositivos fsicos de almacenamiento electrnico.
58
4.1.4.1.11 Instalaciones
Cdigo grupo de activo Nombre grupo de activo Cdigo Activo de Nombre activo de
Magerit Magerit acuerdo a la acuerdo a la
empresa empresa
[building] Edificio [E_empresa] Edificio de la
empresa
(Curadura)
4.1.4.1.12 Personal
Cdigo Nombre grupo de activo Cdigo Activo de Nombre activo de
grupo de Magerit acuerdo a la empresa acuerdo a la empresa
activo
Magerit
[ui] Usuarios internos [E_personal] Personal de recepcin,
rea tcnica,
administrativa y archivo
[adm] Administradores de sistemas [A_sistemas] Administrador de
sistemas
4.1.4.2. Valoracin cualitativa de los activos. Teniendo en cuenta que todos los
activos no tienen la misma relevancia e importancia para la empresa y que cada
uno de estos en caso de ser atacado o sufrir un incidente genera un impacto
diferente en la organizacin, se procede a realizar una valoracin cualitativa para
cada uno de los activos teniendo en cuenta las dimensiones de seguridad como
confiabilidad, integridad, autenticidad, disponibilidad y trazabilidad de acuerdo a la
siguiente Tabla.
59
4.1.4.2.1 Valoracin Cualitativa de Activos esenciales
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
60
4.1.4.2.2 Valoracin Cualitativa de Datos/Informacin
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
61
4.1.4.2.3 Valoracin Cualitativa de Claves Criptogrficas. Debemos garantizar
cifrado de datos y comunicaciones por el hecho de manejar aplicaciones
bancarias.
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
4.1.4.2.4 Valoracin Cualitativa de Servicios. Los servicios son para los clientes
y empleados.
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
Disponibilidad
Trazabilidad
[www] World wide [S_Internet] Servicio de internet Confiabilidad 6
web al que pueden Integridad 6
acceder los Autenticidad 6
empleados.
Disponibilidad
Trazabilidad
[email] Correo [S_correo] Manejo de correos Confiabilidad 6
electrnico electrnicos Integridad 6
Autenticidad 7
62
Disponibilidad
Trazabilidad
[file] Almacenam [S_A_Bases de Servicio de Confiabilidad 7
iento de datos] almacenamiento de Integridad 7
ficheros informacin en el Autenticidad 7
servidor de bases Disponibilidad
de datos.
Trazabilidad
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
[app] Servidor [Server_App] Servidor de Confiabilidad 7
de aplicaciones Integridad 7
aplicacion
es Autenticidad 7
Disponibilidad
Trazabilidad
63
Integridad
Autenticidad
Disponibilidad 2
Trazabilidad
[av] Antivirus [Antivirus] McAfee original Confiabilidad 7
con Integridad
actualizaciones Autenticidad
automticas. Disponibilidad 7
Trazabilidad
[os] Sistema [OS_Win7] Sistema operativo Confiabilidad
operativo Windows 7, en su Integridad
versin Autenticidad
professional con Disponibilidad 4
actualizaciones Trazabilidad
automticas
activadas.
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
Autenticidad 7
Disponibilidad 7
Trazabilidad
[mid] Equipos [PC_trabajadores] Equipos de mesa Confiabilidad 6
medios Integridad 6
(Equipos Autenticidad 6
de trabajo
Disponibilidad
64
conectado Trazabilidad
s a travs
de red
inalmbric
a por red
802.1x)
[pc] Equipos [PC_portatiles] Equipos Portatiles Confiabilidad 6
que son Integridad 6
fcilmente Autenticidad 6
transporta Disponibilidad
dos Trazabilidad
[print] Equipos [E_Impresoras] Impresoras Confiabilidad
de Integridad
impresin Autenticidad
Disponibilidad 4
Trazabilidad
[router] Enrutadore [R_enrutadores] Enrutadores Confiabilidad 7
s Integridad 7
Autenticidad 7
Disponibilidad 7
Trazabilidad
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
65
4.1.4.2.8 Valoracin Cualitativa de Soportes de Informacin _almacenamiento
electrnico
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
66
Autenticidad
Disponibilidad
Trazabilidad
C_Sop0rtesContabili Carpetas facturas y Confiabilidad
dad soportes contabilidad Integridad 7
Autenticidad
Disponibilidad
Trazabilidad
C_varios Carpetas varios Confiabilidad
Integridad 7
Autenticidad
Disponibilidad
Trazabilidad
Criterio
grupo de activo Magerit de acuerdo a acuerdo a la Seguridad
activo la empresa empresa
Magerit
67
4.1.4.2.11 Valoracin Cualitativa de Instalaciones
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
[building] Edificio [E_empresa] Edificio de la Confiabilidad
empresa Integridad
(Curadura) Autenticidad
Disponibilidad 5
Trazabilidad
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
[ui] Usuarios [E_personal] Personal de Confiabilidad
internos recepcin, rea
Integridad
tcnica,
administrativa y Autenticidad
archivo Disponibilidad 6
Trazabilidad
[adm] Administrad [A_sistemas] Administrador de Confiabilidad
ores de sistemas Integridad
sistemas
Autenticidad
Disponibilidad 6
Trazabilidad
68
Tabla 4: Dimensiones de seguridad segn Magerit
69
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
agua Instalaciones
Soporte de 5 100
[N.1] Fuego
almacenamiento %
[N.2] Daos por
electrnico y no
agua
electrnico
Soporte de 5 100
[I.1] Fuego
almacenamiento %
[I.2] Daos por
electrnico y no
agua
electrnico
[N.1] Fuego Equipamiento 5 50%
[N.2] Daos por Auxiliar
agua
[I.1] Fuego Equipamiento 5 50%
[I.2] Daos por Auxiliar
agua
Equipos 10 100
informticos, %
Soporte de 5 75%
[N.*] Desastres Informacin
industriales Equipamiento 5 20%
Auxiliar
Instalaciones 5 100
%
Equipos 10 100
Informticos %
Soporte de 5 75%
[I.*] Desastres Informacin
industriales Equipamiento 5 20%
Auxiliar
Instalaciones 5 100
%
Equipos 50
75%
Informticos
[I.3] Contaminacin
Soporte de 5
mecnica 50%
informacin
Equipamiento 5 20%
70
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
auxiliar
[I.4] Contaminacin Router de acceso 50 100
electromagntica inalmbrico. %
Software - 50
100
Aplicaciones
%
Informticas
[I.5] Avera de Equipos 10 100
origen fsico o informticos %%
lgico Soportes de 5
20%
Informacin
Equipamiento 5
20%
Auxiliar
Equipos 50 100
Informticos %
[I.6] Corte del Soporte de 5
suministro elctrico Informacin 50%
(electrnicos)
Ups computadores 5 5%
[I.7] Condiciones Equipos 50
inadecuadas de Informticos 100
temperatura o %
humedad
Redes de 50
[I.8] Fallo de
comunicaciones 100
servicios de
(Red inalmbrica, %
comunicaciones
red local e internet)
[I.9] Interrupcin de Equipamiento 5
otros servicios y Auxiliar
5%
suministros
esenciales.
[I.10] Degradacin Soportes de 5
de los soportes de Informacin
5%
almacenamiento de
la informacin.
[E.1] Errores de los Archivos de 50 100 100
75%
usuarios proyectos radicados % %
71
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Archivos de Clientes 5 100
50% 50%
%
Datos/Informacin Archivo de 5 100 100
50%
Contabilidad % %
Archivos de Informes 10 100 100
50%
y licencias expedidas % %
Archivo de Copias 5
100 100
de seguridad de la 50%
% %
informacin
Datos de 5
100 100
configuracin de 50%
% %
servidores y equipos
Datos de Gestin de 5 100 100 100
proyectos radicados % % %
Contraseas de 5
acceso de 50% 50% 50%
empleados
[E.1] Errores de los Claves 5
100 100 100
usuarios Criptogrficas
% % %
Servicios prestados 5
a usuarios externos
bajo relacin 50% 50% 50%
contractual (Clientes
de proyectos)
Servicios prestados 5
[E.1] Errores de los
a trabajadores tanto
usuarios 100 100
al interior como 75%
% %
haciendo uso de
internet.
Servicios
Servicio de internet
al que pueden 10
75% 50% 50%
acceder los
empleados.
Manejo de correos 5
50% 50% 75%
electrnicos
72
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Servicio de 10
almacenamiento de
informacin en el 75% 75% 75%
servidor de bases de
datos.
Manejo de privilegios 5
de acuerdo al rol
dentro de la empresa
y el lugar de donde
est ingresando, 100
75% 75%
considerando el %
desempeo como
teletrabajo.
Servidor de 5 100
75% 75%
aplicaciones %
Gestor base de 5
datos, aplicacin
destinada a realizar
el proceso de gestin 100 100 100
de las bases de % % %
datos manejadas al
[E.1] Errores de los
interior de la
usuarios
empresa.
Office 2010 5 75% 50% 75%
McAfee original con 5
Aplicaciones
actualizaciones 75% 20% 75%
automticas.
Sistema operativo 10
Windows 7, en su
versin professional
75% 20% 75%
con actualizaciones
automticas
activadas.
73
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Soportes de 10
Informacin
50% 50% 50%
[E.1] Errores de los almacenamiento
usuarios. electrnico.
10
Soporte de Soportes de
informacin Informacin
50% 50% 50%
_almacenamiento
no electrnico.
Datos/Informacin 50 100
75% 50%
%
Claves 5 100
[E.2] Errores del 75% 50%
criptogrficas %
administrador
Servicios 5 75% 50% 75%
Aplicaciones 5 100 75
75%
% %
Redes de 10 100 75
75%
Comunicacin % %
Datos de 5
[E.4] Errores de 100
configuracin de
configuracin %
servidores y equipos
Personal de 50
recepcin, rea
tcnica, 75%
[E.7] Deficiencias
administrativa y
en la organizacin
archivo
Administrador de 5
75%
sistemas
Software 5
[E.8] Difusin de
Aplicaciones 50% 50% 75%
software daino
Informticas
Servicios 5 20%
[E.9] Errores de [re-
Software 5
]encaminamiento 20%
Aplicaciones
74
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Informticas
Redes de 5
20%
comunicaciones
Activos esenciales 5 100
[E.14] Escapes de %
informacin Datos / informacin 5 100
%
[E.15] Escapes de Datos / informacin 10 100
informacin %
Datos / informacin 10
[E.18] Escapes de Aplicaciones 5 50%
informacin Soporte 5
20%
Informacin
Datos / informacin 10 75%
Claves 5
75%
[E.19] Fugas de criptogrficas
informacin Servicios 10 75%
Aplicaciones 10 50%
Personal 10 75%
Servidor de 5
75% 50% 20%
aplicaciones
Gestor base de 10
datos, aplicacin
destinada a realizar
el proceso de gestin
50% 20% 75%
de las bases de
[E.20]
datos manejadas al
Vulnerabilidades
interior de la
de los programas
empresa.
(software)
Office 2010 5 5% 5% 5%
McAfee original con 5
100
actualizaciones 75% 20%
%
automticas.
Sistema operativo 10
Windows 7, en su 50% 20% 75%
versin professional
75
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
con actualizaciones
automticas
activadas
Servidor de 5
20% 75%
aplicaciones
Gestor base de 10
datos, aplicacin
destinada a realizar
el proceso de gestin
20% 75%
de las bases de
datos manejadas al
[E.21] Errores de
interior de la
mantenimiento /
empresa.
actualizacin de
Office 2010 5 20% 20%
programas (softwa-
McAfee original con 10
re)
actualizaciones 5% 20%
automticas.
Sistema operativo 10
Windows 7, en su
versin profesional
50% 50%
con actualizaciones
automticas
activadas
Servicios 5 100
%
[E.24] Cada del
Equipos 10
sistema por 100
Informticos
agotamiento de %
recursos
Redes de 5 100
comunicaciones %
Equipos 5 100
75%
Informticos %
[E.25] Prdida de Soporte 5 100
20%
equipos -Robo Informacin %
Equipamiento 5
5% 20%
Auxiliar
76
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Personal de 10
recepcin, rea
[E.28] tcnica, 75%
Indisponibilidad del administrativa y
personal archivo
Administrador de 5 100
sistemas %
Datos / informacin 5 75% 75% 75%
Claves 5
75% 75% 50%
[A.5] Suplantacin criptogrficas
de la identidad del Servicios 5 50% 75% 50%
usuario Aplicaciones 5 20% 75% 50%
Redes de 5
20% 75% 75%
comunicaciones
Datos / informacin 5 100
75% 5%
%
Claves 5
75% 50% 5%
criptogrficas
[A.6] Abuso de Servicios 5
privilegios de 50% 50% 75%
acceso
Equipos 50
75% 75% 75%
Informticos
Redes de 10
75% 50% 75%
comunicaciones
Servicios 5 75% 75% 75%
Aplicaciones 10 75% 75% 75%
Equipos 50
75% 75% 75%
Informticos
Redes de 10
75% 75% 75%
[A.7] Uso no comunicaciones
previsto Soporte de 5
20% 20% 20%
Informacin
Equipamiento 5
20% 20% 20%
Auxiliar
Instalaciones 10
75% 50% 20%
77
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
[A.8] Difusin de Aplicaciones 5
50% 75% 75%
software daino
Datos / informacin 10 100
75% 50%
%
Claves 5
50% 75% 20%
criptogrficas
Servicios 5 75% 50% 50%
Aplicaciones 10 75% 50% 50%
Equipos 10
[A.11] Acceso no 75% 20% 75%
Informticos
autorizado
Redes de 10
75% 20% 75%
comunicaciones
Soporte de 5
20% 20% 20%
Informacin
Equipamiento 5
5% 5% 5%
Auxiliar
Instalaciones 5 75% 20% 20%
[A.13] Repudio Servicios 5 50% 75%
[A.14] Redes de 5
Interceptacin de comunicaciones
75%
informacin
(escucha pasiva)
Datos / informacin 5 75%
[A.15] Modificacin Claves 5
75%
deliberada de la criptogrficas
informacin Servicios 5 75%
Aplicaciones 5 75%
Datos / informacin 5 100
%
Claves 5 100
criptogrficas %
[A.18] Destruccin
Servicios 5 100
de informacin
%
Aplicaciones 5 100
%
Soporte de la 5 75%
78
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
informacin
Datos / informacin 10 100
%
[A.19] Divulgacin Claves 5 100
de informacin criptogrficas %
Soporte de 5
Informacin
[A.22] Manipulacin Aplicaciones 10 100 100 100
de programas % % %
Equipos 50 100
75%
Informticos %
[A.23] Manipulacin Soportes de 5
20% 20%
de los equipos Informacin
Equipamiento 5
5% 5%
auxiliar
Equipos 5
75%
Informticos
[A.24] Denegacin
Servicios 5 75%
de servicio
Redes de 5
75%
Comunicacin
Equipos 5 100
75%
informticos %
[A.25] Robo
Soporte de 5
75% 20%
Informacin
Equipo 5 100
Informticos %
Soporte de 5
[A.26] Ataque 50%
Informacin
destructivo
Equipamiento 5
50%
Auxiliar
instalaciones 5 75%
[A.28] Personal 5
Indisponibilidad del 75%
Personal
[A.29] Extorsin Personal 5 75% 75% 75%
[A.30] Ingeniera Personal 5 75% 75% 75%
79
Relacin de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensin de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Social
4.1.4.4. Salvaguardas
Efecto Tipo
Preventivas: reducen la probabilidad [PR] preventivas
[DR] disuasorias
[EL] eliminatorias
Acotan la degradacin [IM] minimizadoras
[CR] correctivas
[RC] recuperativas
Consolidan el efecto de las dems [MN] de monitorizacin
[DC] de deteccin
[AW] de concienciacin
[AD] administrativas
80
4.1.4.4.1 Salvaguardas de Activos esenciales
81
[I_Normativa] Informacin de Preventivas(PR) Polticas de
Normativa ( seguridad para
Normas el personal
locales, que tiene
nacionales, acceso a la
POT, informacin
acuerdos, Recuperacin Copias de
decretos, (RC) Seguridad
Cartografa) Concienciacin Capacitacin
(AW) al personal en
el manejo de la
informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
[per] Datos de [I_Contabilidad] Contabilidad Preventivas(PR) Polticas de
Carcter de la empresa seguridad para
Personal el personal
que tiene
acceso a la
informacin
Recuperacin Copias de
(RC) Seguridad de
la informacin
de contabilidad
Concienciacin Capacitacin
(AW) al personal en
el manejo de la
informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
82
radicados que tiene
acceso a la
informacin.
Acceso
Restringido
Recuperacin Copias de
(RC) Seguridad de
datos
histricos
guardadas en
sitios seguros
Concienciacin Capacitacin
(AW) al personal en
el manejo de la
informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
[D_Proyectos] Documentaci Preventivas(PR) Polticas de
n de proyectos seguridad para
tramitados. el personal
que tiene
acceso a la
informacin.
Acceso
Restringido
Recuperacin Copias de
(RC) Seguridad de
datos
histricos
guardadas en
sitios seguros
Concienciacin Capacitacin
(AW) al personal en
el manejo de la
informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Preventivas(PR) Polticas de
seguridad para
el personal
que tiene
acceso a la
informacin
83
4.1.4.4.2 Salvaguardas de Datos/Informacin
Cdigo Nombre Cdigo Activo Nombre activo Tipo de Des.
grupo de grupo de de acuerdo a la de acuerdo a Proteccin Salvaguarda
activo activo empresa la empresa
Magerit Magerit
84
Recuperacin Copias de
(RC) Seguridad
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminacin (EL) Gestin de
contraseas
[A_Informes y Archivos de Preventivas(PR) Polticas de
Licencias ] Informes y seguridad para
licencias el personal
expedidas que tiene
acceso a la
informacin.
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminacin (EL) Gestin de
contraseas
[backup] Copias de [A_Copias de Archivo de Preventivas(PR) Polticas de
Respaldo Seguridad] Copias de seguridad para
seguridad de el personal
la informacin que tiene
acceso a la
informacin.
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminacin (EL) Gestin de
contraseas
[conf] Datos de [D_Configuracio Datos de Preventivas(PR) Polticas de
configuraci n_ser] configuracin seguridad para
n de servidores el personal
y equipos que tiene
85
acceso a la
informacin.
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminacin (EL) Gestin de
contraseas
[int] Datos de [D_GestionProy Datos de Preventivas(PR) Polticas de
gestin ectos] Gestin de seguridad para
interna proyectos el personal
radicados que tiene
acceso a la
informacin.
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminacin (EL) Gestin de
contraseas
[passwor Credencial [Pass_usuarios] Contraseas Preventivas(PR) Polticas de
d] es de acceso de seguridad para
empleados el personal
que tiene
acceso a la
informacin.
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminacin (EL) Gestin de
contraseas
86
4.1.4.4.3 Salvaguardas de Claves Criptogrficas
87
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Polticas de
seguridad,
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad de
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
[www] World wide [S_Internet] Servicio de Monitorizacin(M Registro de
web internet al que n) descarga
pueden Preventivas(PR) Clasificacin
acceder los de la
empleados. informacin en
este caso
catalogada
como
confidencial.
Polticas de
seguridad,
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad de
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
[email] Correo [S_correo] Manejo de Monitorizacin(M Registro de
88
electrnico correos n) descarga
electrnicos Preventivas(PR) Clasificacin
de la
informacin en
este caso
catalogada
como
confidencial.
Polticas de
seguridad,
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad de
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
[file] Almacenam [S_A_Bases de Servicio de Monitorizacin(M Registro de
iento de datos] almacenamien n) descarga
ficheros to de Preventivas(PR) Clasificacin
informacin en de la
el servidor de informacin en
bases de este caso
datos. catalogada
como
confidencial.
Polticas de
seguridad,
Gestin de
privilegios
Recuperacin Copias de
(RC) Seguridad de
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
[ipm] Gestin de [G_privilegios] Manejo de Preventivas(PR) Clasificacin
privilegios privilegios de de la
acuerdo al rol informacin en
dentro de la este caso
empresa y el catalogada
lugar de como
89
donde est confidencial.
ingresando,
considerando Polticas de
el desempeo seguridad,
como Gestin de
teletrabajo. privilegios
Recuperacin Copias de
(RC) Seguridad
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminacin (EL) Eliminacin de
cuentas sin
contrasea
90
proceso de manejo de
gestin de las antivirus
bases de Preventivas(PR) Polticas de
datos seguridad,
manejadas al Gestin de
interior de la privilegios
empresa. Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Monitorizacin(M Registro de
n) uso y
descarga
Eliminacin (EL) Eliminacin de
cuentas sin
contrasea
Correctivas(CR) Gestin de
incidentes
[Oficce] Ofimtica [Oficce] Office 2010 Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Monitorizacin(M Registro de
n) uso y
descarga
Eliminacin (EL) Eliminacin de
cuentas sin
contrasea
Preventivas(PR) Polticas de
seguridad,
Gestin de
privilegios
91
con n) uso y
actualizacione descarga
s automticas Eliminacin (EL) Eliminacin de
activadas. cuentas sin
contrasea
Preventivas(PR) Polticas de
seguridad,
Gestin de
privilegios
92
contrasea
Minimizacin (IM) Detencin del
servicio en
caso de
ataque
Correctivas(CR) Gestin de
incidentes
Monitorizacin(M Registro de
n) descarga,
registro de
acceso
Deteccin (DC) Activacin de
Firewall,
software de
monitorizacin
y escaneo,
manejo de
antivirus
Concienciacin Capacitacin
(AW) al personal en
el manejo.
[mid] Equipos [PC_trabajadore Equipos de Deteccin (DC) Activacin de
medios s] mesa IDS y Firewall,
(Equipos manejo de
de trabajo antivirus
conectados Preventivas(PR) Polticas de
a travs de seguridad,
red Gestin de
inalmbrica privilegios
por red Concienciacin Capacitacin
802.1x) (AW) al personal en
el manejo de
la informacin.
Recuperacin Copias de
(RC) Seguridad
Eliminacin (EL) Eliminacin de
cuentas sin
contrasea
Correctivas(CR) Gestin de
incidentes
[pc] Equipos [PC_portatiles] Equipos Deteccin (DC) Activacin de
que son Portatiles IDS y Firewall,
fcilmente manejo de
transportad antivirus
os Preventivas(PR) Polticas de
seguridad,
Gestin de
privilegios
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
93
Recuperacin Copias de
(RC) Seguridad
Eliminacin (EL) Eliminacin de
cuentas sin
contrasea
Correctivas(CR) Gestin de
incidentes
[print] Equipos de [E_Impresoras] Impresoras Preventivas(PR) Polticas de
impresin seguridad.
Correctivas(CR) Gestin de
incidentes
[router] Enrutadore [R_enrutadores] Enrutadores Preventivas(PR) Polticas de
s seguridad,
Gestin de
privilegios
Minimizacin (IM) Detencin del
servicio en
caso de
ataque
Correctivas(CR) Gestin de
incidentes
Monitorizacin(M Registro de
n) descarga,
registro de
acceso
Deteccin (DC) Activacin de
Firewall,
software de
monitorizacin
y escaneo,
manejo de
antivirus
94
Disuasin (DR) Guardias de
seguridad
[LAN] Red local [R_Local] [LAN] Preventivas(PR) Polticas de
seguridad,
Gestin de
privilegios
Minimizacin (IM) Detencin del
servicio en
caso de
ataque
Correctivas(CR) Gestin de
incidentes
Disuasin (DR) Guardias de
seguridad
[Internet] Internet [Internet] [Internet] Preventivas(PR) Polticas de
seguridad,
Gestin de
privilegios
Minimizacin (IM) Detencin del
servicio en
caso de
ataque
Correctivas(CR) Gestin de
incidentes
Disuasin (DR) Guardias de
seguridad
95
el personal
que tiene
acceso a la
informacin
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Disuasin (DR) Guardias de
seguridad
96
4.1.4.4.9 Salvaguardas de Soportes de Informacin _almacenamiento no electrnico
97
Administrativas Puesta en
(AD) marcha del
Plan Director
Disuasin (DR) Guardias de
seguridad
98
etc. informacin
Concienciacin Capacitacin
(AW) al personal en
el manejo de
la informacin.
Administrativas Puesta en
(AD) marcha del
Plan Director
Disuasin (DR) Guardias de
seguridad
4.1.4.4.11Salvaguardas de Instalaciones
99
internos recepcin, (AW) capacitacin y
rea tcnica, entrenamiento
administrativa Administrativas Puesta en
y archivo (AD) marcha del
Plan Director
[adm] Administrad [A_sistemas] Administrador Concienciacin Cursos de
ores de de sistemas (AW) capacitacin y
sistemas entrenamiento
Administrativas Puesta en
(AD) marcha del
Plan Director
Por otra parte los impactos generados por los desastres naturales como fuego e
inundaciones son crticos en el caso de que se llegasen a presentar
afortunadamente la posibilidad de que ocurra es muy baja, esto no quiere decir
que no se deba de tener en cuenta al contrario tambin se debe considerar como
100
una posibilidad y se debe establecer polticas y medidas de seguridad
encaminadas a minimizar cada riesgo.
En este orden de ideas los activos con mayor necesidad de ser protegidos son:
Equipos informticos, datos e informacin, software y aplicaciones, redes de
comunicacin puesto que son vulnerables y blanco fcil de los atacantes.
De que se los debe proteger: Del uso no previsto, del abuso de privilegios, fallos
en los servicios de comunicaciones, errores de usuarios y administradores del
sistema, condiciones inadecuadas de seguridad, contaminacin electromagntica
y mecnica etc.
4.1.4.6. Cmo quedaran reducidos los riesgos de seguridad a los que est
expuesta el rea de informtica de la Curadura Urbana Segunda de Pasto?
Una vez realizado el anlisis de riesgos para los activos de la Curadura Urbana
Segunda de Pasto y teniendo en cuenta los resultados obtenidos, se procede a
especificar las polticas y objetivos de la seguridad del rea de informtica,
teniendo como gua la norma ISO/IEC-27002.
101
Alcance: Esta poltica se debe aplicar a todos los procesos y dependencias
relacionados con el rea de informtica de la Curadura Urbana Segunda de
Pasto.
102
Responsable de Recursos Humanos: Es el encargado de divulgar las
polticas de seguridad y la obligatoriedad del cumplimiento de las mismas por
todos los empleados de la empresa. Si se generan cambios este se encargara
de divulgar dichos cambios.
103
4.1.4.6.2 Organizacin de la Seguridad de la Informacin
104
Tabla 8: Comit de Seguridad de la informacin
105
Tabla 10: Encargados de la seguridad de la Informacin en la Organizacin
106
Partes externas y coordinacin de la seguridad de la informacin: Se debe
controlar todo acceso a los servicios, comunicacin, procesamiento de la
informacin y comunicacin que provienen de partes externas as:
107
usuarios. Cada dependencia debe supervisar que la clasificacin y rotulado de
la informacin sea correcto.
Poltica
108
Hace referencia a cuya informacin en caso de no
0 poderse acceder, no afecta los procesos y servicios de la
organizacin.
0
0
1 Hace referencia a cuya informacin que en caso de no
poderse
1 acceder en un plazo largo como una semana,
puede ocasionar prdidas significativas a la empresa
2 Hace referencia a cuya informacin que en caso de no
poderse
2 acceder en un plazo corto como un da, puede
ocasionar prdidas significativas a la empresa
3 Hace referencia a cuya informacin que debe estar
disponible
3 todo el tiempo y la inaccesibilidad mayor a
una hora puede ocasionar prdidas significativas a la
empresa
Criticidad baja: ninguno de los valores asignados superan el
Criticidad media: alguno de los valores asignados es 2
Criticidad alta: alguno de los valores asignados es 3
109
Alcance: Esta poltica se debe aplicar a todo el personal de la organizacin,
interno y externo
Responsables:
Poltica
110
polticas de seguridad, motivarlos y verificar que estn de acuerdo con los
trminos y condiciones establecidas en el contrato laboral.
111
Alcance: Esta poltica se debe aplicar la instalaciones de la Curadura y todos sus
equipos, expedientes, cableados, documentacin etc.
Responsables:
Poltica
112
un lugar aislado y protegido tanto de amenazas naturales ambientales, fsicas
y humanas, adicional a esta medida se restringir el acceso. Por lo tanto solo
podr acceder personal autorizado con su credencial y los ingresos y tareas a
realizar sern debidamente documentadas por el responsable de la seguridad;
las labores de aseo sern verificadas para evitar daos y hurtos.
113
Responsables:
Poltica
114
Control de Cambios en las Operaciones: Todo cambio debe ser
evaluado y aprobado previamente y se tendrn en cuenta los siguientes
aspectos: Evaluacin del cambio y posible impacto, planificacin, prueba,
e identificacin de responsabilidades en caso de que el cambio sea
fallido.
Procedimientos de Manejo de incidentes: El responsable de la
seguridad junto con el jefe del rea de informtica establecern protocolo
para el manejo de incidentes tales como: Definir los posibles tipos de
incidentes (Fallas operativas, cdigo malicioso, intrusiones, fraude
informtico, error humano, desastres naturales). En caso de presentarse
incidentes comunicarlos a la direccin y seguir el plan de contingencia,
implementar controles de acceso a los sistemas y medidas de
recuperacin.
Mantenimiento
115
almacenamiento de copias de seguridad debe estar fsicamente protegida
con un esquema de seguridad especial.
116
Intercambios de Informacin y de Software: Se debe utilizar medios de
mensajera confiable, se deben de tener en cuenta las siguientes
recomendaciones: Uso adecuado por de la mensajera electrnica por parte
del personal, no abrir mensajes de remitentes desconocidos, toda informacin
que llega debe ser escaneada, se debe conocer los posibles riesgos de
seguridad a los que se enfrenta un usuario al utilizar mensajera electrnica
(interceptacin, robo, engaos, bombas lgicas etc.) y transferir por este
medio informacin confidencial.
Alcance: Esta poltica se aplica a todas los procesos o formas de acceso a los
sistemas de informacin, bases de datos o servicios de informacin de la
empresa.
Responsables:
117
Poltica
118
Control de acceso a la red: El responsable de la seguridad informtica es el
encargado de otorgar los permisos para el acceso a la red y sus recursos,
realizar normas y procedimientos de autorizacin, establecer controles y
procedimientos de control de acceso, para autenticacin de usuarios para
conexiones externas debe de escogerse un mtodo de autenticacin, un
protocolo de autenticacin, a autenticar las conexiones a sistemas
informticos remotos, proteccin de puertos para evitar accesos no
autorizados, en lo posible subdividir o segmentar la red para realizar procesos
separados con el fin de que si se presenta un incidente no se contamine toda
la red o si un espa ingresa a esta no tenga acceso a toda la informacin, por
otra parte se debe controlar el acceso lgico a los servicios, configurar los
servicios de manera segura etc. El acceso a internet solo ser autorizado por
el jefe del rea de informtica.
119
operativos, todo esto con el fin de evitar que personas conocedoras de los
procesos puedan cometer fraudes o ilcitos y si es el caso identificarlos de manera
inmediata.
Alcance: Esta poltica se debe aplicar a todos los sistemas informticos tanto
sistemas operativos como software requerido para la entidad.
Responsables:
Poltica
120
de campos claves, se debe establecer como se realizara y con qu
mtodo, adems se definir las responsabilidades del personal.
Controles criptogrficos
121
los cambios son necesarios, que impacto genera, informar al rea
involucrada y verificar la continuidad del negocio.
Objetivo: Garantizar que todos los eventos maliciosos, como fallas y debilidades
de la seguridad de la informacin sean comunicados de manera inmediata.
Responsables:
122
Poltica
123
Alcance: Esta poltica se debe aplicar a todos los procesos crticos y prioritarios
de la empresa.
Responsables:
Poltica
124
Ensayo, mantenimiento y reevaluacin de los planes de continuidad de la
empresa: El comit de seguridad establecer un cronograma de pruebas, el
cronograma sealara quienes son los responsables, efectuara pruebas,
realizara simulaciones y pruebas completas en las instalaciones, involucrando
procesos y con todo el personal.
4.1.4.6. 11 Cumplimiento
Responsables:
Poltica
125
otros de estos se debe realizar un inventario, implementar controles, y
establecer procedimientos de almacenamiento, divulgacin, manipulacin
o eliminacin.
Auditoras de sistemas
126
auditar, controlar el alcance de las comprobaciones, limitar la auditoria
para evitar modificaciones.
127
Tabla 12: Estado de los Controles
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Polticas de
5
seguridad
Polticas de
seguridad de
5.1
la
informacin.
Documentos La implementacin de Garantizar que Documentaci
de polticas las polticas de los n de todos
de seguridad seguridad debe estar procedimientos los procesos
de la debidamente para el manejo a
5.1.1 informacin Si documentada y para de la informacin desarrollarse P
que sirva como gua en sean conocidos para la
la implementacin del por los implementaci
SGI miembros de la n de la
Curadura. seguridad
Revisin de Es necesario revisar Garantizar que Revisin de
polticas seguidamente las las polticas de las polticas
para polticas de seguridad seguridad de la de seguridad
5.1.2 Si P
seguridad de para verificar el informacin se de la
la cumplimiento de las mantengan informacin.
informacin mismas actualizadas.
Aspectos
organizativo
s de la
6
seguridad de
la
informacin
Organizaci
6.1
n interna
128
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Compromiso Cada trabajador debe Garantizar que Polticas de
de la conocer cules son sus slo personas gestin de
direccin responsabilidades frente dentro de cierta privilegios.
con la al manejo de la jerarqua dentro
seguridad de informacin en la de la empresa
6.1.1 Si PI
la Curadura para tengan acceso a
informacin asumirlas de manera la informacin.
adecuada, adems debe
conocer a fondo el rol
que desempea.
Coordinaci Es importante que cada Garantizar que Polticas de
n de la empleado que labora en slo personas seguridad
seguridad de la Curadura conozca su idneas tengan para el
la lmite en el manejo de la acceso a la personal que
6.1.2 Si PI
informacin informacin informacin. maneja la
informacin
al interior de
la empresa.
Asignacin Los empleados de la Garantizar que Planes de
de las Curadura que tiene las polticas de capacitacin
responsabili acceso a la informacin seguridad de la para el
dades deben contribuir de informacin personal a
6.1.3 relativas a la Si manera exhaustiva al estn acordes cargo del PI
seguridad de mejoramiento de la con los manejo de la
la seguridad dentro de la requerimientos y informacin.
informacin empresa exigencias del
entorno.
Procesos de Toda informacin nueva Garantizar la Polticas de
autorizacin que ingrese a la proteccin de la seguridad
de recursos Curadura debe ser informacin de para nuevos
para el protegida bajo los nuevos clientes activos de
6.1.4 Si PI
tratamiento parmetros y polticas y proyectos que informacin.
de la de seguridad (software llega a la
informacin nuevo, programas, empresa.
bases de datos etc.)
Acuerdos de Se deben definir Garantizar el Acuerdos de
confidenciali acuerdos de adecuado confidencialid
dad confidencialidad para el manejo de la ad para los
manejo de la informacin en empleados
6.1.5 Si informacin que deben todos los niveles de la PI
quedar establecidos en de acceso a la empresa.
el contrato laboral o en misma.
los contratos de
prestacin de servicios.
129
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Contacto La informacin debe ser Evitar fallas en Definir
con las manejada de acuerdo a los canales de canales
autoridades las polticas de comunicacin seguros para
6.1.6 Si seguridad y a travs de para el manejo el manejo de PI
canales de de la la
comunicacin seguros informacin. informacin.
para evitar incidentes.
Contacto Para el cumplimiento de Estandarizar el Polticas para
con los los objetivos y alcances manejo de la el manejo de
grupos de del SGSI se deben informacin a la
especial definir polticas internas nivel interno. informacin
6.1.7 inters Si para la proteccin de la al interior de PI
informacin que deben la
ser conocidas por todos organizacin.
los empleados de la
Curadura.
Revisin Se debe definir de qu Dinamizar las Polticas
independient manera sern polticas de pensadas en
e de la adoptadas y seguridad para futuros
seguridad de modificadas las polticas que se ajusten a activos que
la de seguridad cuando se los nuevos formaran
6.1.8 Si P
informacin presenten cambios en activos que parte de la
los activos de la entran a formar empresa.
empresa (nuevos parte de la
programas, nuevos empresa.
servicios etc.)
6.2 Terceros
Identificaci Es necesario identificar Identificar los Controles de
n de los los posibles riesgos riesgos acceso a la
riesgos asociados a los accesos asociados al informacin
derivado del otorgados a la acceso a la redundantes.
acceso a informacin entidades informacin y
terceros externas o a terceros, sistemas de
N
6.2.1 No considerando el uso de informacin por
A
aplicaciones web y parte de
portales terceros.
electrnicos.(cuando se
de la conectividad con
planeacin y se haga
uso de un servidor web)
Tratamiento Es necesario que los Brindar Controles de
de la terceros que necesiten lineamientos a la seguridad
seguridad en acceder a la informacin hora de que un para clientes
N
6.2.2 la relacin No conozcan bajo qu clienta requiera externos.
A
con los condiciones pueden tener acceso a la
clientes tener acceso a la informacin.
informacin.
130
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Tratamiento Cualquier convenio o Establecer Polticas para
de la acuerdo realizado con controles de el manejo de
seguridad en otra entidad como seguridad para acuerdos que
contratos planeacin que el acceso a impliquen la
con terceros implique la relacin con activos internos relacin con
N
6.2.3 No los activos internos de la empresa informacin
A
(informacin) de la por parte de interna de
curadura deben terceros. empresa.
garantizar el
cumplimiento de
requisitos de seguridad.
Gestin de
7
Activos
Responsabili
7.1 dad sobre
los activos
Inventario de Es importante identificar Jerarquizar la Clasificacin
activos los activos de acuerdo importancia de de los activos
a su grado de los activos al y
importancia dentro de la interior de la establecimien
Curadura, en la que se empresa. to del nivel de
7.1.1 Si deja claro que el activo importancia P
ms relevante es la de los
base de datos donde se mismos.
registran los proyectos,
el archivo de licencias y
el archivo fsico.
Propietario Cada activo dentro de la Tener Asignar
de activos Curadura debe tener responsables de responsables
relacionado un los activos que tanto para los
responsable de la forman parte de activos de
seguridad. la empresa. informacin a
travs del
rea de
gestin de
7.1.2 Si TI
proyectos,
como para
activos
fsicos que
forman parte
de los
sistemas de
informacin.
131
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Uso Las polticas sobre Definir polticas Polticas de
aceptable de manejo de la para el manejo manejo de
los activos informacin deben de activos. activos.
7.1.3 Si PI
permitir tener claridad
acerca del manejo
adecuado de activos.
Clasificacin
7.2 de la
informacin
Directrices La informacin debe ser Identificar el Establecimie
de clasificada de acuerdo a nivel de nto de
clasificacin su grado de importancia importancia de prioridades
7.2.1 Si para establecer los los activos de en el manejo PI
controles adecuados informacin al de la
para el manejo de la interior de la informacin.
misma. empresa.
Etiquetado y Cada tipo de Identificar el Polticas de
manipulado informacin debe ser nivel de acceso a la
de la identificado para que confidencialidad informacin.
informacin cada persona y acceso a la
conociendo su informacin.
7.2.2 Si naturaleza respete su PI
nivel de
confidencialidad, es
decir debe ser
etiquetada relacionando
sus restricciones.
Seguridad
en los
8
recursos
Humanos
Seguridad
8.1 antes del
empleo
Funciones y Antes de contratar Contratar Claridad en
responsabili personal es necesario personal idneo las polticas
dades definir claramente el para ocupar un de
8.1.1 Si P
perfil y cargo contratacin.
responsabilidades del determinado.
cargo.
132
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Para contratar al Garantizar en los Claridad en
Investigaci personal se deben nuevos las polticas
n de evaluar las cualidades empleados tanto de
antecedente profesionales, el nivel de cualidades contratacin.
8.1.2 Si TI
s. tica y compromiso con profesionales
la empresa. especficas
como principios
ticos.
Trminos y Es necesario que los Establecer las Claridad en
condiciones nuevos empleados reglas que debe las polticas
de conozcan polticas y seguir quien de
8.1.3 contratacin. Si responsabilidades en desee formar contratacin. P
cuanto a sus funciones y parte de la
manejo de la empresa.
informacin
Seguridad
en el
desempeo
8.2 de las
funciones al
interior de la
empresa
Responsabili Se debe asegurar que Garantizar que Definicin de
dades de la las polticas diseadas los empleados polticas de
direccin para el manejo de la usen las manejo de la
informacin sean polticas informacin,
8.2.1 Si PI
cumplidas por los definidas por la acompaada
empleados de la empresa. s de planes
Curadura de
capacitacin.
Concienciaci Todas las polticas de Dar a conocer Planes de
n, seguridad de la las polticas de capacitacin
formacin y informacin deben ser seguridad de la en polticas
8.2.2 capacitacin Si conocidas al interior de informacin. de seguridad PI
en seguridad la Curadura. de la
de la informacin.
informacin
133
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Proceso Las posibles sanciones Dar a conocer Planes de
disciplinario. por incumplimiento de las sanciones capacitacin
las polticas de que acarrea el en polticas
seguridad o el mal mal manejo de la de seguridad
manejo de la informacin. de la
8.2.3 Si informacin que pongan informacin. P
en riesgo la seguridad
de la informacin deben
ser conocidas por todos
los empleados de la
Empresa.
Finalizacin
8.3 o cambio de
empleo
Responsabili Es necesario garantizar Evitar impacto Implementaci
dad del cese que despus de la negativo en la n de
o cambio finalizacin de un informacin tras polticas de
contrato interno, la la salida de un manejo de
8.3.1 Si P
informacin que maneja empleado que privilegios
esta persona no se vea tenga sobre la
afectada o divulgada. conocimiento informacin.
sobre la misma.
Devolucin Se deben tener Garantizar que Implementaci
de activos protocolos que los activos no se n de
garanticen que un vean afectados mecanismos
8.3.2 Si TI
empleado haga entrega tras la salida de para la
de los activos que tiene un empleado de devolucin de
a su cargo. la empresa. activos.
Retirada de Se debe contar con Evitar niveles de Implementaci
los derechos procedimientos para acceso a la n de
de acceso revocar privilegios a informacin polticas de
personal que no inadecuados, manejo de
8.3.3 Si PI
requiera de los mimos. que pongan en privilegios
riesgo la sobre la
seguridad de la informacin.
misma.
Seguridad
9 fsica y del
ambiente
reas
9.1
Seguras
134
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Permetro de Se debe garantizar la Asegurar las Polticas de
seguridad seguridad de las zonas reas que control de
fsica. que manejan contengan acceso fsico
informacin sensible informacin a reas que
9.1.1 Si (archivo fsico, sensible. contienen PI
ubicacin de servidores, informacin
equipos, sensible.
almacenamiento copias
de seguridad etc).
Controles Slo personal Restringir el Polticas de
fsicos de autorizado debe acceder acceso a reas control de
entrada. a reas que contengan que contengan acceso fsico
activos sensibles. informacin a reas que
9.1.2 Si PI
(Archivo histrico fsico, sensible. contienen
almacenamiento de informacin
copias de seguridad, sensible.
uso de servidor).
Seguridad En oficinas al interior de Garantizar la Polticas de
de oficinas, la Curadura se puede seguridad en control de
despachos e tener acceso a oficinas y acceso fsico.
9.1.3 Si PI
instalaciones informacin sensible por despachos.
. lo cual se debe aplicar
controles de seguridad
Proteccin Se debe garantizar que Garantizar la Proteccin
contra las ninguna amenaza proteccin contra
amenazas ambiental externa pueda contra factores
externas y generar dao sobre la amenazas atmosfricos
9.1.4 Si PI
de origen informacin. ambientales como
ambiental. externas. temperatura,
humedad,
etc.
Trabajo en Las reas sobre las que Garantizar el Verificacin
reas se desarrollan las desarrollo de las del nivel de
seguras. actividades deben actividades seguridad de
cumplir estndares de sobre reas las reas de
9.1.5 Si PI
seguridad lo cual es seguras. trabajo.
muy importante tanto
para equipos como para
el personal.
135
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
reas de Las reas como archivo Garantizar que Control de
acceso histrico y ubicacin de el acceso a acceso fsico
pblico y de servidores se reas sensibles a
carga y denominan reas dentro de la determinadas
descarga. sensibles por la empresa tenga reas de la
9.1.6 Si PI
informacin que maneja, mecanismos de empresa.
por tanto se debe evitar control.
que terceros puedan
llegar a tener acceso a
esta.
Seguridad
9.2
en equipos
Emplazamie Es necesario tener Garantizar la Implementar
nto y protecciones contra integridad de los controles
proteccin daos ambientales, equipos al para el
de equipos. especialmente para los interior de la control de
9.2.1 Si servidores que se empresa. factores PI
maneja al interior de la ambientales
empresa. como
humedad,
polvo, etc.
Instalacione La integridad de los Garantizar que Implementar
s de equipos depende de los fallos elctricos UPS.
suministro. controles para la no afecten la
proteccin antes fallas integridad de los
9.2.2 Si PI
elctricas, ya un fallo de equipos que
energa puede dejar forman parte del
inutilizable un equipo, sistema de
daar su disco duro etc. informacin.
Seguridad Se debe garantizar que Garantizar que Implementar
del las redes de datos no las redes de y auditar los
cableado. vean afectada su datos no sean sistemas de
integridad y alteradas cableado
confidencialidad de los fsicamente y no existentes.
9.2.3 Si TI
datos que transportan. puedan ser
interceptados los
datos que se
transportan a
travs de estas.
Mantenimien Se debe realizar Garantizar la Implementar
to de los mantenimiento peridico integridad y planes de
equipos. de los equipos como disponibilidad de mantenimient
9.2.4 Si PI
poltica interna de la los equipos. o de equipos
empresa. al interior de
la empresa
136
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Seguridad Todo equipo que trabaje Garantizar la Aplicar
de los fuera de la empresa seguridad al controles de
equipos pero tenga injerencia interior de la acceso a
fuera de las interna debe tener empresa al equipos
instalaciones reglas y restricciones de permitir acceso a externos que
. acceso. equipos que tengan que
trabajen fuera. ver
N
9.2.5 No directamente
A
con la
actividad de
la empresa
(Acceso
remoto
derivado del
teletrabajo)
Reutilizacin Al dar de baja un equipo Garantizar que Establecer
o retirada puede quedar ningn dato polticas para
segura de almacenada informacin sensible o el proceso de
equipos. que puede comprometer licencia sean baja de
9.2.6 Si TI
la confidencialidad de la expuestos a equipos.
empresa. terceros tras un
proceso de baja
de equipos.
Retirada de Tanto las aplicaciones Garantizar que Establecer
materiales propias como de ningn tipo de polticas
propiedad terceros que la empresa aplicacin salga sobre el
de la utiliza deben ser de la empresa. manejo de
9.2.7 Si TI
empresa. protegidas para evitar aplicaciones
que puedan ser sacadas y licencias al
de la empresa. interior de la
empresa.
Administraci
n de
10 comunicacio
nes y
operaciones
Procedimien
tos y
responsabili
10.1
dades
operacionale
s
137
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Documentac Para garantizar la Garantizar la Polticas para
in de los continuidad de procesos documentacin la
procedimient se debe contar con de procesos documentaci
os de bitcoras que permitan operacionales. n de
10.1. operacin. conocer los procedimient
Si P
1 procedimientos os.
operacionales
especialmente los que
tengan que ver con
activos esenciales.
Se debe tener claridad Gestionar los Implementaci
Gestin de de quienes sern los cambios de roles n de
cambios. encargados de realizar encargados de polticas de
10.1.
Si el proceso de la administracin manejo de P
2
administracin de la de la privilegios
informacin. informacin. sobre la
informacin.
Slo el personal Garantizar que Implementaci
Segregacin autorizado debe tener un nmero n de
de tareas. acceso a la informacin. reducido de polticas de
10.1.
Si personas tengan manejo de PI
3
acceso a la privilegios
informacin. sobre la
informacin.
Separacin Cada rea dentro de la Reducir los Implementar
de los empresa debe ser riesgos de controles de
10.1. recursos de separada de acuerdo a acceso no acceso a
Si TI
4 desarrollo, sus funciones y autorizado a la reas
prueba y competencias. informacin. seguras.
operacin.
Supervisin
de los
10.2 servicios
prestados
por terceros
Provisin de Cualquier servicio Garantizar que Definir
servicios subcontratado debe los servicios polticas para
contar con polticas de prestados por la integracin
10.2. seguridad de la terceros y control de N
No
1 informacin. cumplan con sistemas de A
requerimientos terceros al
mnimos de interior de la
seguridad. empresa.
138
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Supervisin Cualquier servicio Garantizar la Definir
y revisin de prestado por terceros calidad en la polticas para
los servicios debe ser controlado prestacin de la integracin
A.10. prestados internamente mediantes servicios y control de N
No
2.2 por terceros. procesos de autoridad. ofrecidos por sistemas de A
tercero. terceros al
interior de la
empresa.
Gestin del Cualquier cambio en los Garantizar que Definir
cambio en servicios prestados por los cambios en polticas para
los servicios terceros debe ser la prestacin de la integracin
A.10. prestados monitoreado servicio sean y control de N
No
2.3 por terceros. constantemente. acordes con las sistemas de A
necesidades y terceros al
requerimientos interior de la
de la empresa. empresa.
Planificacin
A.10.
y aceptacin
3
del sistema
Es importante que Garantizar que Planificacin
Gestin de dentro de las polticas los recursos con de recursos
capacidades internas sea planificado los que cuenta la acordes con
. el crecimiento de la empresa sean las
empresa para que los acordes con los necesidades
A.10.
Si recursos sean acordes requerimientos y TI
3.1
con el mismo. de la misma. proyecciones
de
crecimiento
de la
empresa.
Se debe definir la Garantizar la Definicin de
capacidad de compatibilidad polticas para
Aceptacin integracin de nuevos de nuevos la integracin
del sistema. elementos al sistema, ya elementos en de nuevos
10.3. sea por actualizacin, cuanto a sus elementos al
Si P
2 renovacin o totalmente dimensiones sistema de
nuevos. fsicas y lgicas informacin.
que garanticen
la seguridad de
la informacin.
Proteccin
contra
software
10.4
malicioso y
cdigo
mvil.
139
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Se deben tener Garantizar la Implementar
controles que garanticen seguridad en mecanismos
Controles que cdigos maliciosos contra de de seguridad
contra el no terminen afectando el amenazas para
cdigo sistema. lgicas al garantizar el
malicioso. sistema de control lgico
10.4. informacin. al interior de
Si TI
1 la empresa
(Antivirus,
sistemas de
encriptacin y
manejo de
aplicaciones
seguras).
Controles
contra el Por seguridad no se NA NA
10.4. N
cdigo No autoriza el uso de
2 A
descargado cdigo mvil.
en el cliente.
Gestin
interna de
10.5
soportes y
recuperacin
Respaldar la Garantizar Backups
informacin garantiza polticas de regulares de
que ante cualquier respaldo para el la
Copias de problema de seguridad manejo de la informacin.
seguridad de se tendr una fcil informacin.
la recuperacin de la
informacin. informacin.
bases de datos, archivo
10.5.
Si de licencias, archivo de TI
1
contabilidad, archivo de
manejo tcnico, bases
de datos de clientes,
ingenieros arquitectos,
documentos auxiliares,
normativa ), de acuerdo
con la poltica de
recuperacin
A.10. Gestin de
6 redes
Controles de Es necesario que la red Garantizar la Definicin de
red. inalmbrica que maneja proteccin de las polticas de
A.10.
Si la empresa sea redes contra administraci PI
6.1
controlada. ataques n y uso de
informticos. redes.
140
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Seguridad Deben existir polticas Garantizar el uso Definicin de
de los que permitan la adecuado de los polticas de
A.10.
servicios de Si definicin de acuerdos recursos de red administraci PI
6.2
red. sobre el manejo de las en cada nivel del n y uso de
redes. servicio. redes.
Utilizacin y
seguridad de
A.10.
los soportes
7
de
informacin
Gestin de No se permite el uso de Garantizar que Definicin de
soportes medios informticos la informacin no polticas para
A.10. extrables. removibles para evitar sea extrada por que la
Si PI
7.1 fugas y amenazas que los trabajadores informacin
puedan contener. de la empresa no sea
extrada
Retirada de Se debe contar con Evitar que Definir
soportes. polticas que permitan informacin polticas para
eliminar de forma almacenada en la gestin y
segura los soportes de medios que van eliminacin
A.10.
Si informacin de la a ser eliminados de medios de PI
7.2
empresa. (Destruccin pueda quedar almacenamie
segura de elementos expuesta a ntos.
desde papel hasta terceros.
discos duros.)
Procedimien Se debe garantizar que Evitar que malas Definir
tos de la informacin en manipulaciones polticas para
manipulaci cualquier nivel sea puedan dejar la
10.7. n de la manipulada y expuesta la manipulacin
Si TI
3 informacin. almacenada de forma informacin. y
segura. almacenamie
nto de
informacin.
Seguridad La documentacin de Garantizas la Definir
de la los sistemas proteccin del polticas y
documentaci (informacin de activo ms sistemas de
n del proyectos y bases de importante al proteccin
10.7.
sistema. Si datos) deben ser interior de la para la TI
4
protegidos. empresa. documentaci
n de los
sistemas de
informacin.
Intercambio
de
10.8
informacin
y software
141
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Polticas y Se debe garantizar que Garantizas la Disear
procedimient la informacin se seguridad de la polticas e
os de encuentre segura al ser informacin al implementar
intercambio transportada haciendo ser enviada por controles
10.8. Si TI
de uso de diferentes diferentes para el
1
informacin. servicios de medios de intercambio
comunicacin. comunicacin. seguro de
informacin.
Acuerdos de Se debe tener claridad Garantizar el Disear
intercambio. de la forma como se intercambio polticas e
puede compartir seguro de implementar
.10.8. informacin al interior de informacin. controles
Si TI
2 la empresa. para el
intercambio
seguro de
informacin.
Implementar
mecanismos
Soportes Garantizar la de proteccin
fsicos en Se debe proteger la proteccin de la de
trnsito. informacin durante el informacin al informacin
transporte de la misma ser transportada. como por
10.8.
Si ejemplo P
3
encriptacin
(se garantiza
con los
controles con
que cuenta la
empresa).
Mensajera Se debe proteger la Garantizar que Implementar
electrnica. informacin contenida la informacin de mecanismos
en correos electrnicos. mensajera de proteccin
electrnica se para evitar
10.8.
Si encuentre accesos no TI
4
totalmente autorizados a
protegida. los servicios
de
mensajera.
Sistemas de Todos los sistemas de Garantizar la Polticas para
informacin informacin tanto conexin segura el acceso a la
10.8. empresariale internos como externos entre los informacin
Si TI
5 s. deben estar conectados sistemas de tanto a nivel
de forma segura. informacin. interno como
externo.
Servicios de
10.9 comercio
electrnico
142
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
De debe garantizar que Proteger la Implementaci
la informacin informacin que n de
involucrada en comercio usada en mecanismos
Comercio sea protegida, por la comercio para la
electrnico naturaleza de la electrnico. proteccin de
empresa esto se puede la
garantizar. informacin
involucrada
10.9. en comercio N
Si
1 electrnico A
(Los
mecanismos
de seguridad
de las
aplicaciones
permiten
garantizar
esto.)
Transaccion La informacin Garantizar la Implementar
es en lnea involucrada en procesos seguridad de la mecanismos
de transacciones informacin de seguridad
electrnicas que maneja involucrada en para
la empresa por su transacciones en garantizar la
10.9.
Si actividad econmica lnea. seguridad de TI
2
deber ser protegida para la
evitar problemas de informacin
seguridad. usada en
transacciones
en lnea.
Informacin La informacin que se Garantizar la Polticas para
pblicament maneja por aplicaciones integridad de la la verificacin
e disponible de acceso pblico debe informacin de la
10.9. ser protegida. disponible en integridad de N
Si
3 sistemas de sistemas de A
acceso pblico. informacin
de acceso
pblico.
Monitorizaci
10.10
n
Registros de Se deben tener registros Contar con Polticas de
Auditoria de auditoras que soportes de implementaci
permitan facilitar actividades para n y control
10.10
Si investigaciones futuras procesos de de registros P
.1
en caso de detectarse investigacin de actividad.
algn incidente de asociados a los
seguridad. mismos.
143
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Supervisin Se debe realizar Verificar la Polticas de
del usos del monitoreo de cualquier instalacin de implementaci
sistema cambio en los sistemas sistemas de n y control
10.10 de informacin, informacin. de registros
Si P
.2 revisando sus de actividad.
resultados.
Revisar las actividades
de monitoreo
Proteccin Se debe tener control Proteger los Polticas de
de la sobre los registros de registros de implementaci
10.10 informacin actividad para que no actividad contra n y control
Si P
.3 de los puedan ser alterados acciones de de registros
registros (intentos forzosos o no modificacin de de actividad.
autorizados) los mismos.
Registros de Es muy importante que Garantizar que Polticas de
administraci la actividad de quienes las acciones de implementaci
10.10 n y tengan mayores tipo n y control
Si P
.4 operacin. privilegios sean administrativo se de registros
monitoreados. realicen de de actividad.
forma adecuada.
Registro de Se debe controlar Garantizar la Polticas de
fallos. cualquier avera que se trazabilidad de control y
10.10
Si presente en el sistema averas en el gestin de
.5
de informacin. sistema. fallas en el
sistema.
Sincronizaci Es muy importante que Garantizar que Polticas de
n del reloj. todos los sistemas estn todo el sistema implementaci
sincronizados para que est n y control
10.10
Si cualquier registro sincronizado. de registros P
.6
coincida en tiempos y se de actividad.
pueda hacer la
trazabilidad del mismo.
Control de
11
acceso
Requisitos
de negocio
11.1
para control
de accesos
Poltica de Basado en los servicios Controlar el Definir
control de que presta la Curadura acceso de polticas para
acceso. que es otorgar licencias acuerdo a las el control de
11.1.
Si urbansticas, se deben actividades que acceso PI
1
establecer polticas de desarrolla la teniendo en
control de acceso. empresa. cuenta reas
crticas.
144
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Gestin de
11.2 acceso de
usuario
Registro de Es importante gestionar Brindar o quitar Definir
usuario. los usuarios para que acceso a polticas para
sean asignados y dados usuarios basado el ingreso o
11.2.
Si de alta en el sistema sin en eliminacin P
1
generar problemas de procedimientos de usuarios
seguridad. propios de la del sistema.
empresa.
Gestin de Se debe garantizar que Controlar los Definir
privilegios. cada usuario tenga privilegios de polticas para
11.2.
Si acceso al sistema de acceso. la gestin de P
2
informacin basado en privilegios.
privilegios.
Gestin de Debe existir un Asignar Establecer
contraseas procedimiento para la contraseas de polticas para
11.2.
de usuario. Si asignacin de forma segura. la asignacin P
3
contraseas al interior de
de la empresa. contraseas.
Revisin de Se debe verificar que los Verificar el Establecer
los derechos usuarios puedan acceso a polticas para
de acceso acceder slo a los sistemas de la verificacin
11.2.
de usuario. Si sistemas que tienen informacin. regular del P
4
permiso. acceso a
sistemas de
informacin.
Responsabili
11.3 dades del
usuario
Uso de Se debe definir y Controlar el uso Establecer
contraseas. verificar el uso de de contraseas polticas para
contraseas seguras. seguras. que los
usuarios
realicen un
11.3. adecuado
Si PI
1 manejo de
los sistemas
de
informacin
ofrecidos por
la empresa.
145
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Equipo de Es importante que los Garantizar la Establecer
usuario servidores de los seguridad de las polticas para
desatendido. clientes tengan aplicaciones que los
mecanismos de entregadas a los usuarios
proteccin para los clientes. realicen un
11.3. sistemas de la empresa adecuado
Si PI
2 que alojan en los manejo de
mismos. los sistemas
de
informacin
ofrecidos por
la empresa.
Poltica de Se debe evitar que por Garantizar que Establecer
puesto de alguna razn quede la informacin no polticas para
trabajo expuesta informacin a sea expuesta a que los
despejado y la vista de terceros. la vista de usuarios
pantalla Polticas para escritorios terceras realicen un
11.3. limpia. y monitores limpios de personas. adecuado
Si P
3 informacin manejo de
los sistemas
de
informacin
ofrecidos por
la empresa.
Control de
11.4 acceso en
red
Poltica de Los clientes de los Garantizar el Establecer
uso de los servicios de la empresa acceso a polticas de
11.4. servicios en slo podrn tener servicios acceso a
Si P
1 red. acceso a los servicios autorizados. servicios
autorizados. ofrecidos por
la empresa.
Autenticaci Tanto para clientes Garantizar el Establecer
n de usuario externos de servicios acceso remoto polticas de
para alojados en la empresa seguro. acceso a
11.4. N
conexiones NO como para empleados servicios
2 A
externas. con acceso remoto ofrecidos por
deben existir polticas de la empresa.
acceso adecuadas.
Identificaci Se debe garantizar Garantizar que Establecer
n de los conocer la procedencia todas las polticas de
11.4. equipos en de cualquier peticin de conexiones acceso a
Si P
3 las redes. servicio. establecidas servicios
sean seguras. ofrecidos por
la empresa.
146
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Proteccin El entorno de Proteger el Establecer
de los diagnstico de la sistema de polticas de
puertos de empresa debe estar diagnstico de acceso a
11.4.
diagnstico Si protegido. los sistemas de servicios P
4
y informacin. ofrecidos por
configuraci la empresa.
n remotos.
Segregacin Se debe tener Garantizar la Establecer
de las redes. claramente definido el identificacin de polticas de
11.4. papel de cada usuario los usuarios en acceso a
Si PI
5 dentro de la red, un grupo servicios
asignndolo a un grupo determinado. ofrecidos por
determinado. la empresa.
Control de la El acceso a los sistemas Restringir el Establecer
conexin a internos de la empresa acceso a polticas de
11.4. la red. debe estar limitado para servicios de red acceso a
Si TI
6 que no se puedan usar desde servicios
servicios que pongan en ubicaciones ofrecidos por
juego la seguridad. externas. la empresa.
Control de Se debe controlar el Garantizar que Establecer
encaminami enrutamiento de la informacin de polticas de
ento informacin. la empresa no enrutamiento
11.4.
(routing) de Si use rutas que de la P
7
red. pongan en informacin.
peligro su
integridad.
Control de
acceso al
11.5
sistema
operativo
Procedimien Se debe controlar el Controlar el Establecer
tos seguros acceso a los sistemas acceso al SO polticas de
11.5.
de inicio de Si operativos con los con acceso a los P
1
sesin. procedimientos procedimientos sistemas
adecuados. seguros. operativos.
Identificaci Deben existir Garantizar que Establecer
n y mecanismos de los usuarios polticas de
11.5. autenticaci identificacin nicos tengan manejo de
Si P
2 n de usuario. para los usuarios. credenciales credenciales
nicas de de usuarios.
acceso.
Sistema de Se debe garantizar que Garantizar la Establecer
gestin de los sistemas de gestin eficiencia y polticas de
11.5. contraseas. de contraseas sean seguridad en los manejo de
Si P
3 eficientes. sistemas de credenciales
gestin de de usuarios.
contraseas.
147
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Uso de los Se debe controlar el uso Realizar control Establecer
recursos del de aplicaciones sobre el uso de polticas de
sistema. administrativas seguras aplicaciones uso de
11.5. que pueden ser usadas administrativas. aplicaciones
Si P
4 para generar algn tipo de carcter
de dao al sistema. administrativo
propias del
sistema.
Desconexin Se debe controlar el Garantizar el Establecer
automtica tiempo de inactividad del bloqueo de polticas de
11.5.
de sesin. Si equipo. equipos tras acceso a los P
5
cierto tiempo de sistemas
inactividad. operativos.
Limitacin Se debe controlar el Controlar el uso Establecer
del tiempo tiempo de conexin al del sistema polticas de
11.5.
de conexin. Si SO basado en el uso de operativo. acceso a los P
6
aplicaciones. sistemas
operativos.
Control de
11.6 acceso a las
Aplicaciones
Restriccin Se debe restringir el Generar Establecer
del acceso a acceso a los sistemas restricciones a la controles
la en especial al programa gestin de para el
informacin. que maneja la base de aplicaciones. acceso a los
datos, genera licencia, diferentes
11.6. reportes, notificaciones, niveles de
Si PI
1 citaciones y estado de aplicaciones,
cada proyecto. considerando
que se
manejan
diferentes
entornos
148
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Aislamiento Los sistemas sensibles Garantizar que Establecer
de sistemas como copias de los sistemas controles
sensibles. seguridad, archivo fsico sensibles de la para el
y servidores deben estar empresa tengan acceso a los
aislados un entorno diferentes
informtico niveles de
propio. aplicaciones,
11.6.
Si considerando PI
2
que se
manejan
diferentes
entornos
como
desarrollo y
pruebas.
Informtica
11.7 mvil y tele
trabajo
Ordenadore La conexin a travs de Brindar Establecer
s porttiles y red inalmbrica hace proteccin polticas para
comunicacio necesario la definicin contra riesgos el manejo de
11.7. N
nes mviles. Si de polticas de derivados del riesgos
1 A
proteccin en cuento a uso de recursos derivados de
recursos mviles. mviles. la informtica
mvil.
Teletrabajo. Ya que se considera el Garantizar el Disear e
teletrabajo al interior de desempeo implementar
la empresa es necesario seguro y polticas para
11.7. considerar polticas y eficiente de la gestin del N
NO
2 procedimientos tanto actividades de teletrabajo. A
para acceso como para teletrabajo.
cumplimiento de
funciones.
Adquisicin,
desarrollo y
mantenimien
12
to de
sistemas de
informacin
Requisitos
de seguridad
12.1
de los
sistemas
149
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Anlisis y Es importante que todo Garantizar que Establecer
especificaci nuevo sistema de todo nuevo polticas para
12.1. n de los seguridad especifique sistema incluya la integracin
Si P
1 requisitos de los controles necesarios controles de de sistemas
seguridad para su implementacin. seguridad. de
informacin.
Seguridad Las aplicaciones del Garantizar Establecer
de las sistema deben brindar seguridad en las polticas de
12.2 aplicaciones Si seguridad. aplicaciones del seguridad P
del sistema sistema. para las
aplicaciones.
Validacin Cualquier acceso debe Garantizar la Establecer
de los datos ser validado para seguridad del polticas de
12.2.
de entrada. Si garantizar que se est acceso a las seguridad P
1
haciendo desde una aplicaciones. para las
aplicacin confiable. aplicaciones.
Control del Se deben verificar las Garantizar que Establecer
procesamien aplicaciones para la informacin no polticas de
to interno. detectar alteraciones en haya sido seguridad
12.2. la informacin. modificada para las
Si P
2 durante el aplicaciones.
procesamiento o
de forma
deliberada.
Integridad Se debe asegurar la Garantizar que Establecer
de los autenticidad de la los mensajes en polticas de
12.2.
mensajes. Si informacin en los las aplicaciones seguridad P
3
mensajes en las no sean para las
aplicaciones. modificados. aplicaciones.
Validacin Se debe garantizar la Garantizar la Establecer
de los datos correcta funcionalidad integridad de la polticas de
12.2.
de salida. Si de la aplicacin al informacin de seguridad P
4
arrojar los datos salida de la para las
esperados. aplicacin. aplicaciones.
Controles
12.3 criptogrfico
s
Poltica de Es necesario contar con Garantizar la Establecer
uso de los polticas de proteccin confidencialidad polticas de
12.3. N
controles No de la informacin al ser de la informacin proteccin de
1 A
criptogrfico entregada al usuario. la
s. informacin.
Gestin de Se debe gestionar Garantizar la Establecer
claves. adecuadamente las gestin polticas de
12.3. N
No claves como por adecuada de proteccin de
2 A
ejemplo haciendo uso claves al interior la
de un PKI. de la empresa. informacin.
150
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Seguridad
de los
12.4
ficheros del
sistema
Control del Es necesario controlar la Controlar la Establecer
software en instalacin de software instalacin de polticas para
explotacin. de tal manera que software. la instalacin
12.4. N
No responda a las de software y
1 A
necesidades de la modificacin
empresa. de ficheros
del sistema.
Proteccin Se deberan Proteger la Establecer
de los datos seleccionar, proteger y informacin polticas para
de prueba controlar empleada en el la proteccin
12.4. N
del sistema. No cuidadosamente los entorno de de cdigos
2 A
datos utilizados para las pruebas. fuente y
pruebas. archivos del
sistema.
Control de Se debera restringir el Garantizar la Establecer
acceso al acceso al cdigo fuente proteccin del polticas para
cdigo de los programas cdigo fuente de la proteccin
12.4. N
fuente de los No aplicaciones de cdigos
3 A
programas. desarrolladas fuente y
por la empresa. archivos del
sistema.
Seguridad
en los
12.5 procesos de
desarrollo y
soporte
Procedimien Se debe tener control de Garantizar que Establecer
tos de versiones de los cambios polticas para
control de aplicaciones para que respondan a garantizar la
cambios. los cambios sean procedimientos seguridad de
12.5. realizados conforme a formales dentro las
Si P
1 necesidades reales de de la empresa. aplicaciones
la empresa. en desarrollo
y
funcionamien
to.
151
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Revisin Se debe revisar la Garantizar que Establecer
tcnica de funcionalidad de las un cambio en el polticas para
las aplicaciones tras realizar SO no afecte el garantizar la
aplicaciones cambios en el Sistema funcionamiento seguridad de
12.5. tras efectuar Operativo para no crear de las las
Si PI
2 cambios en conflictos aplicaciones. aplicaciones
el sistema en desarrollo
operativo. y
funcionamien
to
Restriccione Se debe tener control de Garantizar el Establecer
s a los cualquier modificacin adecuado polticas para
cambios en en el software de la funcionamiento garantizar la
los paquetes empresa. de las seguridad de
12.5. de software. aplicaciones. las
Si TI
3 aplicaciones
en desarrollo
y
funcionamien
to
Fugas de Se debe garantizar la Garantizar la Establecer
informacin. confidencialidad de la confidencialidad polticas para
informacin referente a de la garantizar la
aplicaciones como informacin. seguridad de
12.5. programa licenciador, las
Si PI
4 base de datos, licencias aplicaciones
etc. en desarrollo
y
funcionamien
to
Externalizaci Si se contrata desarrollo
n del de software a la medida NA NA
12.5. desarrollo de es importante realizar N
No
5 software. monitorizacin para A
evitar incidentes en el
manejo.
Gestin de
las
12.6
vulnerabilida
des tcnicas
152
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Se debe estar Garantizar la Definir
Control de verificando proteccin polticas para
Vulnerabilida constantemente las contra la gestin de
des tcnicas vulnerabilidades que vulnerabilidades vulnerabilidad
12.6.
Si puedan presentar los de los sistemas es de P
1
sistemas o tecnologas empleados en la aplicaciones
usadas dentro de la empresa. o sistemas
Curadura. usados por la
empresa.
Gestin de
incidentes
13 de seguridad
de la
informacin
Comunicaci
n de eventos
y
debilidades
13.1
en la
seguridad de
la
informacin
Notificacin Se deben disponer Garantizar la Definir
de los canales de pronta solucin a polticas para
eventos de comunicacin que eventos de la gestin de
13.1.
seguridad de Si permitan dar a conocer seguridad incidentes de PI
1
la eventos de seguridad presentes en la seguridad de
informacin. que afecten la seguridad empresa. la
de la empresa. informacin.
Notificacin Se deben definir Garantizar la Definir
de puntos mecanismos para que rpida solucin polticas para
dbiles de todas las personas que de incidentes la gestin de
13.1.
seguridad. Si tengan que ver con el informticos. incidentes de PI
2
sistema de informacin seguridad de
puedan reportar la
incidentes de seguridad. informacin.
Gestin de
incidentes y
mejoras en
13.2
la seguridad
de la
informacin
153
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Responsabili Se debe establecer Definir Definir
dades y quin es el responsable responsables polticas para
procedimient de manejar determinado para la gestin la gestin de
13.2.
os. Si tipo de incidente para de eventos de incidentes de PI
1
que sea mucha ms seguridad. seguridad de
rpida la respuesta. la
informacin.
Aprendizaje Se debe poder Determinar el Definir
de los establecer el costo de costo de un polticas para
incidentes un evento de seguridad evento de la gestin de
13.2.
de seguridad Si de la informacin. seguridad incidentes de PI
2
de la informtica. seguridad de
informacin. la
informacin.
Recopilacin Se deben tener Definir medidas Definir
de mecanismos para en contra de polticas para
evidencias. determinar la forma quienes generen la gestin de
como se debe actuar eventos de incidentes de
13.2.
Si contra personas que se seguridad seguridad de P
3
les compruebe la informtica. la
generacin de eventos informacin.
de seguridad
informtica.
Gestin de
14 continuidad
del negocio
Aspectos de
la gestin de
14.1
continuidad
del negocio
Inclusin de Es necesario contar con Contar con Definir
la seguridad procesos de seguridad procedimientos polticas de
de la de la informacin que de seguridad de seguridad de
informacin aseguren la continuidad la informacin la
14.1.
en el Si del negocio al interior de que garanticen informacin PI
1
proceso de la empresa. la continuidad que
gestin de la del negocio. garanticen la
continuidad continuidad
del negocio. del negocio.
154
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Continuidad Es necesario tener Tener claridad Definir
del negocio claridad de los eventos del grado de polticas de
y evaluacin que pueden afectar el afectacin sobre seguridad de
de riesgos. negocio y el impacto de el negocio de un la
14.1.
Si los mismos. evento informacin P
2
determinado. que
garanticen la
continuidad
del negocio.
Desarrollo e Es muy importante Tener planes de Definir
implantacin contar con planes de contingencia polticas de
de planes de contingencia que ante eventos seguridad de
continuidad permitan la recuperacin informticos. la
14.1.
que incluyan Si del negocio ante informacin P
3
la seguridad cualquier evento que que
de la ponga en riesgo la garanticen la
informacin. informacin. continuidad
del negocio.
Marco de Es ideal tener Contar con un Definir
referencia estandarizado el plan de polticas de
para la esquema del plan de continuidad seguridad de
planificacin continuidad para estandarizado. la
14.1.
de la Si garantizar su fcil informacin P
4
continuidad aplicabilidad en la que
del negocio. empresa. garanticen la
continuidad
del negocio.
Pruebas, Se deben evaluar los Garantizar que Definir
mantenimien planes de continuidad los planes de polticas de
to y garantizando que continuidad seguridad de
reevaluacin evoluciones con los evolucionen en la
14.1.
de planes de Si requerimientos del concordancia informacin P
5
continuidad. negocio. con los que
requerimientos garanticen la
del negocio. continuidad
del negocio.
15 Conformidad
Conformidad
con los
15.1
requisitos
legales
155
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Identificaci Es muy importante que Alinear los Definir
n de la la empresa sea sistemas de polticas que
legislacin consciente de sus informacin con permitan el
aplicable. obligaciones legales los cumplimiento
15.1. para garantizar el requerimientos de los
Si P
1 cumplimiento de las legales. requerimiento
mismas. s de carcter
legal por
parte de la
empresa.
Derechos de Se debe garantizar el Garantizar el uso Definir
propiedad uso de cualquier de software polticas que
intelectual material u software de debidamente permitan el
(DPI). acuerdo a las licencias licenciado y cumplimiento
15.1. definidas para los contenidos de los
Si PI
2 mismos. respetando los requerimiento
derechos de s de carcter
autor. legal por
parte de la
empresa.
Proteccin Se debe garantizar la Definir Definir
de los integridad de los mecanismos polticas que
documentos registros importantes para garantizar permitan el
de la para evitar cualquier la integridad de cumplimiento
15.1. organizacin prdida de informacin. los registros de los
Si PI
3 importantes de requerimiento
carcter legal. s de carcter
legal por
parte de la
empresa.
Proteccin Debe garantizar la Brindar Definir
de datos y proteccin de los datos proteccin de los polticas de
privacidad en concordancia con datos de proteccin de
15.1. de la requerimientos de acuerdo a informacin
Si PI
4 informacin carcter legal y que requerimientos alineadas con
de carcter mucha de la informacin de carcter requerimiento
personal. que maneja tiene esta legal. s de carcter
caracterstica. legal.
Prevencin Se debe garantizar que Garantizar el uso Definir
del uso los recursos empleados exclusivo de los polticas para
indebido de para el tratamiento de la sistemas de el manejo de
15.1.
recursos de Si informacin sean tratamiento de la los sistemas TI
5
tratamiento dedicados slo a este informacin para de
de la fin. este propsito. informacin.
informacin.
156
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Regulacin Los controles Garantizar la Definir
de los empleados deben estar confidencialidad polticas para
controles cifrados para asegurar de los controles el manejo de
15.1. criptogrfico su concordancia con la de seguridad y los sistemas N
No
6 s. legislacin vigente su concordancia de A
teniendo en cuenta el con la informacin.
tipo de informacin que legislacin.
se maneja.
Revisiones
de la poltica
de seguridad
15.2
y de la
conformidad
tcnica
Cumplimient Cada director de rea Garantizar la Revisar el
o de las debe asegurarse de que adecuada uso de
polticas y los procedimientos de realizacin de procedimient
normas de seguridad se realicen los os de
seguridad. adecuadamente. procedimientos seguridad de
15.2.
Si de seguridad en conformidad P
1
cada rea de la con los
empresa. lineamientos
de la
empresa y
estndares.
Comprobaci Es importante que los Garantizar la Revisar el
n del procedimientos de alineacin entre uso de
cumplimient seguridad estn en procedimientos procedimient
o tcnico. concordancia con los de seguridad y os de
estndares definidos estndares. seguridad de
15.2.
Si para los mismos. conformidad P
2
con los
lineamientos
de la
empresa y
estndares.
Consideraci
ones sobre
15.3
la auditora
de sistemas
157
Controles Apl
Actividades
segn la ica
para la Es
Domi norma bili Justificacin de Objetivo del
implementac ta
nios ISO/IEC dad eleccin/ no eleccin control
in de los do
27001 (S/
controles
No)
Controles de Es muy importante tener Evitar que Establecer
auditoria de control sobre los procedimientos polticas para
los sistemas procedimientos de de auditora el desarrollo
de auditora desarrollados terminen de procesos
15.3. informacin al interior de la empresa sacando de de auditoria.
Si P
1 sobre sistemas en funcionamiento
funcionamiento. algn sistema
importante
dentro de la
empresa.
Proteccin Se deben tener control Evitar el uso Establecer
de las sobre el acceso a inadecuado de polticas para
herramienta herramientas de herramientas de el desarrollo
15.3. s de auditora ya que muchas auditora. de procesos
Si P
2 auditoria de pueden comprometer la de auditoria.
los sistemas seguridad al interior de
de la empresa.
informacin
158
Tabla 13: Identificacin del estado de la Actividad
159
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Acuerdos de 1 mes Es necesario que los
confidencialidad para los acuerdos de
empleados de la confidencialidad para el
empresa. manejo de la
Curador informacin queden PI
establecidos en el
contrato laboral o en
los contratos de
prestacin de servicios.
Definir canales seguros 3 meses Definir polticas de
para el manejo de la Curador, Jefe de seguridad para evitar
PI
informacin. Sistemas fallas en los canales de
comunicacin.
Polticas para el manejo 2 meses Es necesario definir,
de la informacin al documentar e informar
interior de la sobre la
organizacin. implementacin y
Curador, Jefe de
cumplimiento de las PI
Sistemas,
polticas de seguridad
para el manejo de la
informacin al interior
de la empresa.
Polticas pensadas en 3 meses Es necesaria la
futuros activos que definicin de polticas
Curador, Jefe de
formaran parte de la de seguridad para
Sistemas, Comit P
empresa. nuevos y futuros
de seguridad
activos dentro de la
empresa.
Clasificacin de los 3 meses Es necesario que se
Curador, Jefe de
activos y establecimiento clasifiquen los activos
Sistemas, Comit P
del nivel de importancia de acuerdo al nivel de
de seguridad
de los mismos. seguridad.
Polticas de manejo de 3 meses Es necesario definir,
activos. documentar e informar
Curador, Jefe de sobre el manejo de los
Sistemas, Comit activos y las polticas PI
de seguridad de seguridad a
aplicarse a dichos
activos.
Establecimiento de Curador, Jefe de 3 meses Es necesario definir
prioridades en el manejo Sistemas, Comit PI
de la informacin. de seguridad
160
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Polticas de acceso a la 2 meses Es necesario definir,
informacin. documentar e informar
sobre la
Curador, Jefe de
implementacin y
Sistemas, Comit PI
cumplimiento de las
de seguridad
polticas de seguridad
para el acceso a la
informacin.
Claridad en las polticas Curador, Jefe de 1 mes Es necesario definir e
de contratacin. recursos informar las polticas de
P
humanos, rea confidencialidad dentro
Jurdica de la organizacin,
Definicin de polticas de 3 meses Aunque existen
manejo de la polticas de seguridad
informacin, para la informacin, se
acompaadas de planes debe definir la
de capacitacin. competencia de
Curador, Jefe de
manejo de la misma y
Sistemas, Comit PI
garantizar el
de seguridad
conocimiento de las
mismas por parte de
todas las personas que
tienen acceso a la
misma.
Implementacin de 3 meses Es necesario que se
polticas de manejo de definan polticas para la
privilegios sobre la Curador, Jefe de verificacin de acceso
informacin. Sistemas, Comit a los sistemas de P
de seguridad informacin y verificar
los privilegios con los
que tiene acceso.
Polticas de control de 3 meses Ya se encuentran
acceso fsico a reas que implementados
contienen informacin controles para acceso
sensible. Curador, Jefe de a la empresa mediante
Sistemas, Comit clave y al archivo solo PI
de seguridad a personal autorizado,
es ideal que es
extiendan a todas las
reas.
161
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Polticas de control de 1 mes Ya se encuentran
acceso fsico. implementados
controles para acceso
a la empresa mediante
Curador clave y al archivo solo PI
a personal autorizado,
es ideal que es
extiendan a todas las
reas.
Proteccin contra 3 meses Es necesario
factores atmosfricos establecer controles
Curador, Jefe de
como temperatura, ambientales para evitar
Sistemas, Comit PI
humedad, etc. el deterioro de activos
de seguridad
derivado de estos
factores.
Verificacin del nivel de 3 meses Es necesario
seguridad de las reas establecer controles
de trabajo. que permitan verificar
Curador, Jefe de de seguridad a aplicar
Sistemas, Comit en cada rea de trabajo PI
de seguridad de acuerdo a la
informacin que se
maneje en cada
dependencia.
Control de acceso fsico 1 mes Es necesario
a determinadas reas de establecer controles de
la empresa. seguridad para reas
crticas donde se debe
Curador, Jefe de
seleccionar el personal
Sistemas, Comit PI
que tiene acceso a esta
de seguridad
y las responsabilidades
que esto implica
ejemplo: rea de
archivo
Implementar controles 1 mes Es necesario
para el control de establecer controles
Curador, Jefe de
factores ambientales ambientales para evitar
Sistemas, Comit PI
como humedad, polvo, el deterioro de activos
de seguridad
etc. derivado de estos
factores.
Implementar UPS. 3 meses Debe existir sistemas
de respaldo ante
Curador cadas del suministro PI
elctrico. Para cada
uno de los equipos.
162
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Implementar planes de 3 meses Es necesario que se
mantenimiento de Curador, Jefe de establezca un plan
equipos al interior de la Sistemas, Comit para el mantenimiento PI
empresa de seguridad de equipos al interior
de la empresa.
Polticas para la 3 meses Es necesario iniciar el
documentacin de proceso de
procedimientos. implementacin de un
plan director
Curador, Jefe de debidamente
Sistemas, Comit documentado de P
de seguridad seguridad de la
informacin que
permita cubrir cada uno
de los aspectos que
han sido enumerados.
Implementacin de 3 meses Es necesario
polticas de manejo de implementar controles
privilegios sobre la y polticas de seguridad
informacin. aplicados a los grupos
Curador, Jefe de
de trabajos y
Sistemas, Comit P
adicionalmente realizar
de seguridad
controles que permitan
gestionar la gestin de
privilegios dentros del
sistema.
Definicin de polticas 3 meses Es necesario definir
para la integracin de controles que se deben
Curador, Jefe de
nuevos elementos al tener en cuenta en el
Sistemas, Comit P
sistema de informacin. caso de que ingresen
de seguridad
nuevos elementos al
sistema de informacin,
Definicin de polticas de 3 meses Es necesario definir
administracin y uso de Curador, Jefe de polticas de seguridad
redes. Sistemas, Comit para el manejo y PI
de seguridad administracin de la
red.
163
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Definicin de polticas 3 meses Aunque existen
para que la informacin restricciones que se
no sea extrada deben tener en cuenta
en cuanto al manejo de
la informacin es
necesario definir
Curador, Jefe de
polticas de seguridad
Sistemas, Comit PI
para evitar que la
de seguridad
informacin sea
extrada, adems
concientizar de las
implicaciones legales a
las que se expone
quien lo haga.
Definir polticas para la 3 meses Se debe definir
gestin y eliminacin de polticas a tener en
medios de cuenta para la
almacenamientos. eliminacin de medios
de almacenamiento
tales como discos
Curador, Jefe de duros, CD, DVD,
Sistemas, Comit memorias usb y papel PI
de seguridad firmado o sellado ya
que si es desechado de
forma incorrecta puede
ser utilizado de forma
indebida por terceros y
ocasionar problemas a
la organizacin.
Implementar 6 meses Es necesario definir
mecanismos de polticas de seguridad
proteccin de para el manejo de
Curador, Jefe de
informacin como por herramientas
Sistemas, Comit P
ejemplo encriptacin (se criptogrficas, en caso
de seguridad
garantiza con los de ser implementadas.
controles con que cuenta
la empresa).
Polticas de 3 meses Es necesario que sean
implementacin y control definidos sistemas de
de registros de actividad. Curador, Jefe de registros de actividad
Sistemas, Comit para tener control de P
de seguridad cualquier cambio en los
sistemas de
informacin.
164
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Polticas de control y 3 meses Es necasrio definir
gestin de fallas en el polticas de seguridad
Curador, Jefe de
sistema. para implentar la
Sistemas, Comit P
gestin de fallos
de seguridad
(notificin, visualizacin
y reparacin de fallos).
Polticas de 3 meses Es necasrio definir
implementacin y control Curador, Jefe de polticas de seguridad
de registros de actividad. Sistemas, Comit para la administracin P
de seguridad del registro de
actividades.
Definir polticas para el 1 mes Es necesario definir
control de acceso polticas a seguir para
teniendo en cuenta reas Curador, Jefe de controlar el acceso a
crticas. Sistemas, Comit reas restringidas PI
de seguridad (llevar un registro
detallado de ingreso a
estas reas)
Definir polticas para el 3 meses Es necesario definir
ingreso o eliminacin de Curador, Jefe de polticas de seguridad a
usuarios del sistema. Sistemas, Comit aseguir en el procesos P
de seguridad de eliminacin de
usuarios.
Definir polticas para la 3 meses Es necesario definir
gestin de privilegios. polticas de seguridad
para la gestin de
privilegios, esta labor la
Curador, Jefe de
debe realizar el
Sistemas, Comit P
administrador del
de seguridad
sistema que se
encargara de definir los
roles y permisos a los
usuarios del sistema.
Establecer polticas para 3 meses Es necesario
la asignacin de establecer polticas de
contraseas. seguridad que permitan
implementar el uso de
Curador, Jefe de contraseas. Es decir
Sistemas, Comit para cada usuario y P
de seguridad equipo una contrasea
la cual debe cumplir
con todas las
condiciones de una
contrasea segura.
165
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Establecer polticas para 3 meses Implmentar polticas de
la verificacin regular del Curador, Jefe de seguridad que permitan
acceso a sistemas de Sistemas, Comit verificar los accesos a P
informacin. de seguridad los sistemas de
informacin.
Establecer polticas para 3 meses Es necesario definir
que los usuarios realicen polticas que los
un adecuado manejo de trabajadores de la
los sistemas de empresa deben poner
Curador, Jefe de
informacin ofrecidos por en prctica para la
Sistemas, Comit PI
la empresa. utilizacin de los
de seguridad
sistemas de
informacin de la
empresa adicionales a
los ya existentes.
Establecer polticas de Curador, Jefe de 3 meses Es necesario definir
enrutamiento de la Sistemas, Comit polticas de P
informacin. de seguridad enrutamiento de red.
Establecer polticas de 3 meses Es necesario
acceso a los sistemas Curador, Jefe de establecer polticas
operativos. Sistemas, Comit para el acceso y P
de seguridad manejo del sistema
operativo.
Establecer polticas de 3 meses Es necesario definir
manejo de credenciales polticas de seguridad
de usuarios. para el manejo de
Curador, Jefe de
credenciales de
Sistemas, Comit P
usuarios (manejo del
de seguridad
administrador de
credenciales en el
S.O.)
Establecer polticas de 3 meses Es necesario definir
uso de aplicaciones de polticas de seguridad
Curador, Jefe de
carcter administrativo para el uso de
Sistemas, Comit P
propias del sistema. aplicaciones de
de seguridad
carcter administrativo
propias del sistema.
Establecer controles para 3 meses Es necesario definir
el acceso a los diferentes polticas de seguridad
niveles de aplicaciones, para el uso y
Curador, Jefe de
considerando que se configuracin de los
Sistemas, Comit PI
manejan diferentes diferentes niveles de
de seguridad
entornos. aplicaciones que se
manejan en los
diferentes entornos.
166
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Establecer polticas para 3 meses Es necesario definir
la integracin de polticas de seguridad
sistemas de informacin. para la integracin de
Curador, Jefe de
sistemas de
Sistemas, Comit P
informacin para que la
de seguridad
informacin sea
compartidad de forma
segura.
Establecer polticas para 3 meses Es necesario definir
garantizar la seguridad Curador, Jefe de polticas de seguridad
de las aplicaciones en Sistemas, Comit para acada apliacin P
funcionamiento. de seguridad manejada en la
Curaduria.
Definir polticas para la 3 meses Es necesario definir
gestin de polticas de seguridad
Curador, Jefe de
vulnerabilidades de para la gestin de
Sistemas, Comit P
aplicaciones o sistemas vulnerabilidades de
de seguridad
usados por la empresa. aplicaciones usadas
por la empresa.
Definir polticas para la 3 meses Es necesario definir
gestin de incidentes de Curador, Jefe de polticas de seguridad
seguridad de la Sistemas, Comit para la gestin de PI
informacin. de seguridad incidentes de seguridad
de la informacin.
Definir polticas de 6 meses Es necesario y de
seguridad de la suma importancia
informacin que definir polticas de
garanticen la continuidad seguridad de la
del negocio. informacin a
Curador, Jefe de
implementarse
Sistemas, Comit P
encaminadas a
de seguridad
garantizar la
continuidad del negocio
(tramite y expedicin
de licencias
urbanisticas)
Definir polticas de 6 meses Es necesario definir
proteccin de polticas de seguridad a
informacin alineadas Curador, Jefe de implementarse con el
con requerimientos de Sistemas, Comit fin de proteger la PI
carcter legal. de seguridad informacin teniendo
en cuenta las normas
legales.
167
Descripcin de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
anlisis de riesgos actividad
Revisar el uso de 6 meses Es necesario
procedimientos de establecer polticas de
seguridad de seguridad que permitan
conformidad con los Curador, Jefe de verificar que los
lineamientos de la Sistemas, Comit procedimientos se P
empresa y estndares. de seguridad estn realizando de
acuerdo a las polticas
y estndares definidos
por la empresa.
Establecer polticas para 6 meses Es necesario definir
el desarrollo de procesos Curador, Jefe de polticas de seguridad
de auditoria. Sistemas, Comit que permitan P
de seguridad desarrollar futuras
auditorias.
168
4.1.4.2.4 Carta de Respuesta de la Curadura Urbana Segunda de Pasto
169
CONCLUSIONES
Una vez realizado el proceso de anlisis de riesgo que permite conocer a fondo
los riesgos a los que est expuesta la empresa se procede a definir polticas de
seguridad, la declaracin de aplicabilidad y aplicabilidad de los controles teniendo
como soporte la Norma ISO/IEC-27002 que sugiere 11 dominios, 39 objetivos de
control y 133 controles en materia de seguridad que abarcan todos los aspectos a
proteger en una empresa.
170
beneficios a mediano y largo plazo, garantizando el cumplimiento de estndares
que trabajan por la proteccin de la informacin y los activos relacionados.
Adems contribuyen a fortalecer la continuidad del negocio ya que su objetivo es
disminuir al mximo los riesgos a los que est expuesta la informacin.
171
BIBLIOGRAFA
172
http://pegasus.javeriana.edu.co/~CIS0830IS12/documents/Anexo%20K%20MG-
05%20Manual%20del%20Sistema%20de%20Gestion%20de%20Seguridad%20de%20la
%20Informacion.pdf.
173
ANEXOS
174
ANEXO A
____ d) ms de 1 ao
Con que frecuencia utiliza internet?
____ a) Una vez al da
____ b) Dos a 10 veces en el da
____ c) Muchas veces en el da
____ a) Todo el tiempo
a) El pc se bloquea
c) El pc no se conecta a la red
d) El pc es lento
175
Valore las siguientes afirmaciones: Siendo 1= malo, 2= Aceptable, 3= Bueno, 4=
Excelente
Afirmaciones: 1 2 3 4
SI:____ NO:____
Recomendara usted adoptar polticas de seguridad encaminadas a proteger la
informacin y evitar posibles daos de la informacin?
SI:____ NO:____
176
ANEXO B
177
Se puede observar que el servidor se conect a travs de la peticin DNS.
178
Mediante este anlisis se puede seleccionar un paquete y en panel de detalles de
paquete se encuentra informacin adicional para casa paquete.
179
180