Unad PDF

ANALISIS PARA LA IMPLEMENTACION DE UN SISTEMA DE GESTION
DE LA SEGURIDAD DE LA INFORMACION SEGN LA NORMA ISO 27001

EN LA EMPRESA SERVIDOC S.A.
ING. LUIS ENRIQUE GIRALDO CEPEDA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESPECIALIZACIN EN SEGURIDAD INFORMTICA
CALI, VALLE DEL CAUCA
2016
ANALISIS PARA LA IMPLEMENTACION DE UN SISTEMA DE GESTION
DE LA SEGURIDAD DE LA INFORMACION SEGN LA NORMA ISO 27001
EN LA EMPRESA SERVIDOC S.A.
ING. LUIS ENRIQUE GIRALDO CEPEDA
PROYECTO TRABAJO DE GRADO
Directora: YINA ALEXANDRA GONZLEZ SANABRIA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESPECIALIZACIN EN SEGURIDAD INFORMTICA
CALI, VALLE DEL CAUCA
2016
Nota de Aceptacin
________________________________
________________________________
________________________________
________________________________
________________________________
________________________________
Firma del Presidente del Jurado
________________________________
Firma del Jurado
________________________________
Firma del Jurado
Santiago de Cali, marzo de 2016
3
TABLA DE CONTENIDO
Pg.
LISTA DE TABLAS ......................................................................................... 6

LISTA DE FIGURAS ....................................................................................... 7
LISTA DE ANEXOS ........................................................................................ 9
RESUMEN .................................................................................................... 10
1. DEFINICION DEL PROBLEMA ................................................................ 12
1.1 ANTECEDENTES DEL PROBLEMA .................................................. 12
1.2 FORMULACION DEL PROBLEMA ..................................................... 12
1.3 DESCRIPCION DEL PROBLEMA ....................................................... 12
1.4 JUSTIFICACION ................................................................................. 12
2. OBJETIVOS .............................................................................................. 14
2.1 OBJETIVO GENERAL ........................................................................ 14
2.2 OBJETIVOS ESPECFICOS ............................................................... 14
3. MARCO REFERENCIAL........................................................................... 15
3.1 ESTADO DEL ARTE ........................................................................... 15
3.2 MARCO TERICO .............................................................................. 18
3.3 MARCO CONCEPTUAL...................................................................... 22
3.4 MARCO NORMATIVO ........................................................................ 23
4. DISEO METODOLGICO...................................................................... 25
4.1 ALTERNATIVA DE GRADO: ............................................................... 25
4.2 LNEA DE INVESTIGACIN: .............................................................. 25
4.3 RECURSOS DISPONIBLES ............................................................... 26
4.4 TCNICAS DE RECOLECCION DE INFORMACION, POBLACIN Y
MUESTRA ................................................................................................. 26
4.5 TECNICAS DE PROCESAMIENTO Y ANALISIS DE DATOS ............ 27
4.6 DESARROLLO DEL PROYECTO ....................................................... 28
5. FASES PARA IMPLEMENTAR UN SGSI ................................................. 41
5.1 FASE 1: SITUACION ACTUAL .......................................................... 41
5.1.1 Situacin actual. ........................................................................... 41
5.1.2 Organigrama ................................................................................. 41
4
5.1.3 Activos que posee servidoc s.a. ................................................... 42
5.1.4 Anlisis diferencial. ....................................................................... 44
5.1.5 Fortalezas y debilidades ............................................................... 45
5.2 FASE 2: SISTEMA DE GESTION DOCUMENTAL ............................. 49
5.2.1 Polticas de seguridad................................................................... 49
5.2.2 Procedimiento de auditoras internas............................................ 53
5.2.3 Gestin de indicadores ................................................................. 54
5.2.4 Revisin por parte de la direccin ................................................. 56
5.2.5 Gestin de roles y responsabilidades ........................................... 57
5.3 FASE 3: ANLISIS DE RIESGOS ....................................................... 59
5.3.1 Declaracin de aplicabilidad ......................................................... 62
5.3.2 Toma de datos y procesos de informacin ................................... 63
5.3.3 Establecimiento de parmetros .................................................... 63
5.3.4 Anlisis de Activos ........................................................................ 66
5.3.5 Anlisis de amenazas ................................................................... 68
5.3.6 Resultado de vulnerabilidades ...................................................... 70
5.3.7 Impacto potencial .......................................................................... 79
5.3.8 Riesgo residual ............................................................................. 79
5.4 FASE 4: PROPUESTA DE PROYECTOS........................................... 79
5.4.1 Mitigacin de riesgos asociados a desastres de origen natural o
industrial. ............................................................................................... 80
5.4.2 Mitigacin de riesgos asociados a ataques intencionados ........... 82
5.4.3 Mitigacin del riego asociado a errores no intencionados ............ 84
5.5 FASE 5. AUDITORIA DE CUMPLIMIENTO ........................................ 86
5.5.1 Metodologa .................................................................................. 86
5.5.2 Evaluacin de cumplimiento ......................................................... 87
5.6 FASE 6. RESULTADOS ...................................................................... 94
5.6.1 Anlisis y discusin de los resultados ........................................... 94
6. CONCLUSIONES ..................................................................................... 99
7. BIBLIOGRAFA ....................................................................................... 100
8. ANEXOS ................................................................................................. 104
5
LISTA DE TABLAS
Pg.
Tabla 1. Activos de Servidoc S.A. ................................................................. 43

Tabla 2. Nivel de cumplimiento ..................................................................... 45
Tabla 3. Cumplimiento de controles por dominio .......................................... 48
Tabla 4. Indicadores de Gestin .................................................................. 55
Tabla 5. Aspectos relevantes para seleccionar un control. ........................... 62
Tabla 6. Valor de Activos. ............................................................................. 63
Tabla 7.Frecuencia Vulnerabilidades. ........................................................... 64
Tabla 8. Impacto. .......................................................................................... 64
Tabla 9. Valoracin Impacto/Vulnerabilidad. ................................................. 65
Tabla 10. Dimensiones de Valoracin. ......................................................... 66
Tabla 11. Clasificacin de activos por tipo. ................................................... 66
Tabla 12. Valoracin de Activos.................................................................... 66
Tabla 13. Amenazas. .................................................................................... 68
Tabla 14. Vulnerabilidades ........................................................................... 75
Tabla 15. Convenciones nivel de cumplimiento. ........................................... 86
Tabla 16. Modelo de madurez y la capacidad (CMM). ................................. 88
Tabla 17. Controles por nivel de cumplimiento. ............................................ 94
Tabla 18. Nivel de cumplimiento por dominios ............................................. 95
6
LISTA DE FIGURAS
Pg.
Figura 1. Fases para implementar un SGSI .................................................. 25

Figura 2. El computador asignado para el desarrollo de sus funciones recibe
mantenimiento peridicamente? ................................................................... 28
Figura 3. Existe un Sistema de Gestin de Seguridad Informtica en la
Empresa? ..................................................................................................... 28
Figura 4. La compaa capacita al personal en temas de seguridad
informtica? .................................................................................................. 29
Figura 5. Existe alguna poltica para el cambio regular de las contraseas?
...................................................................................................................... 30
Figura 6. Existe un manual de funciones y responsabilidades de seguridad
de la informacin?......................................................................................... 30
Figura 7. Cundo ocurre un evento relacionado con seguridad de la
informacin sabe a quin reportarlo? ............................................................ 31
Figura 8. Realiza copias de los datos? ....................................................... 32
Figura 9. Considera necesario que la compaa invierta en el anlisis para
la implementacin de un Sistema de Gestin de Seguridad de la
Informacin? ................................................................................................. 32
Figura 10. Posee antivirus el computador? ................................................ 33
Figura 11. La compaa posee software legal en su totalidad? .................. 34
Figura 12. Existen zonas restringidas de acceso de personal? .................. 34
Figura 13. Se realiza mantenimiento preventivo y correctivo a la UPS? .... 35
Figura 14. Existen sistemas de seguridad que impidan el acceso a lugares
restringidos? ................................................................................................. 36
Figura 15. Se cuenta con sistemas de alarma como detectores de humo y
humedad? ..................................................................................................... 36
Figura 16. Existe vigilancia en la entrada del edificio? ............................... 37
Figura 17. Los sitios donde estn los equipos de cmputo cuentan con aire
acondicionado? ............................................................................................. 38
Figura 18. Se encuentra asegurados mediante plizas los equipos de
cmputo? ...................................................................................................... 38
Figura 19. Existe algn control para navegar en internet? ......................... 39
Figura 20. Existe control sobre el uso del correo electrnico? ................... 40
Figura 21. Organigrama Servidoc S.A. ......................................................... 41
Figura 22. Controles de seguridad existentes .............................................. 47
Figura 23. Cumplimiento de dominios ........................................................... 48
Figura 24. Anlisis de Riesgos...................................................................... 60
Figura 25. Puertos abiertos ........................................................................... 71
Figura 26. Escaneo de puertos con direcciones IP ....................................... 71
Figura 27. Escaneo a pgina web de la organizacin ................................... 72
Figura 28. Escaneo DNS a Servidocips.com ................................................ 73
7
Figura 29. Monitoreo de red .......................................................................... 74
Figura 30. Anlisis de software desactualizado ............................................ 74
Figura 31. Software instalado no autorizado ................................................. 75
8
LISTA DE ANEXOS
Pg.
Anexo A. Encuesta ..................................................................................... 104

Anexo B. Anlisis Diferencial ...................................................................... 105
Anexo C. Declaracin de aplicabilidad ........................................................ 110
Anexo D. Cuantificacin de Activos y dimensiones. ................................... 126
Anexo E. Impacto Potencial ........................................................................ 140
Anexo F. Riesgo Residual .......................................................................... 161
9
RESUMEN
Las Tecnologas de la Informacin y la Comunicacin TIC han llevado a las

organizaciones a estar a la vanguardia con los adelantos tecnolgicos, la
informacin se convierte entonces en un recurso primordial para lograr ser
competitivos, esta es la razn por la cual debe ser protegida de diferentes
formas, con el uso de las nuevas tecnologas, las compaas se han vuelto
ms vulnerables ante ataques informticos.
Para proteger la informacin es necesario confeccionar un estudio muy

detallado que permita identificar los riesgos a los que se encuentra expuesta
la empresa, de esta forma se puede establecer cul es la forma correcta de
implementar medidas para contrarrestar esta deficiencia y salvaguardar los
activos, una forma eficaz para realizar estos procesos es un anlisis para la
implementacin de un Sistema de Gestin de Seguridad Informtica y esto es
exactamente lo que aborda este trabajo de grado, un anlisis concienzudo de
todas las vulnerabilidades a las que est expuesta la empresa Servidoc S.A.
en temas relacionados con seguridad informtica.
El anlisis se realiz por medio de fases, donde se incluyeron entrevistas,

observacin directa y la aplicacin de la metodologa de anlisis de riesgos
Magerit entre otras, esta metodologa permiti realizar un anlisis para la
implementacin de un SGSI que permita identificar amenazas,
vulnerabilidades y riesgos que pueden afectar la organizacin especficamente
en las reas de contabilidad, facturacin e Historias clnicas, el resultado final
permiti la identificacin de los riesgos y la forma de mitigar esos riesgos, para
ello se hicieron recomendaciones y se sugirieron proyectos que la empresa
debe implementar para cubrir estas debilidades, adicionalmente se logr
identificar el nivel en el que se encuentra la organizacin en cuanto a seguridad
informtica y el resultado fue muy negativo, puesto que falta mucho por hacer
para proteger los activos de la empresa.
Abstract
Technologies of Information and Communication ICT have led organizations to

be at the forefront with technological advances, information then becomes a
key to be competitive resource, this is the reason why it must be protected from
different However, with the use of new technologies, companies have become
more vulnerable to attacks.
To protect information is necessary to make a detailed study to identify the risks

to the company, this way is exposed can be established what is the proper way
to implement measures to address this deficiency and to safeguard assets, a
form effective for these processes is an analysis for the implementation of a
10
Management System Computer Security and this is exactly what addresses
this degree work, a thorough analysis of all vulnerabilities to which the company
is exposed Servidoc SA, on issues related to computer security.
The analysis was performed through phases where interviews, direct

observation and application of the methodology of risk analysis Magerit among
others were included, this methodology allowed an analysis for the
implementation of an ISMS to identify threats, vulnerabilities and risks to which
is exposed the organization specifically in the areas of accounting, billing and
medical records, the end result allowed the identification of risks and how to
mitigate those risks, for that recommendations were made and projects
suggested that the company should implemented to cover these weaknesses,
additionally it was possible to identify the level at which the organization in
terms of security and the result was very negative, since much remains to be
done to protect the assets of the company is
11
1. DEFINICION DEL PROBLEMA
1.1 ANTECEDENTES DEL PROBLEMA
Actualmente la empresa Servidoc S.A. no posee ningn mtodo o control que

le permita identificar vulnerabilidades, riesgos y ataques a los que puede ser
sometida, no existe documentacin que evidencia procedimientos que puedan
ayudar a solventar estas deficiencias poniendo en riesgo los activos de la
organizacin.
1.2 FORMULACION DEL PROBLEMA
Cuenta la empresa Servidoc S.A. con un plan que ayude a realizar un anlisis
para implementar un Sistema de Gestin de Seguridad de la Informacin que
proporcione la identificacin y gestin del riesgo?
1.3 DESCRIPCION DEL PROBLEMA
La empresa Servidoc S.A. desea tener una propuesta que permita gestionar
el riesgo al que se encuentra expuesta, contando con un modelo de Gestin
de Seguridad de la Informacin que permita identificar y mitigar el riesgo.
Esta propuesta ser de gran importancia para la organizacin, teniendo en

cuenta que la organizacin no ha definido polticas que tengan que ver con
seguridad informtica, otro aspecto inexistente es la asignacin de
responsabilidades en materia de seguridad, no se cuenta con procedimientos
en materia de seguridad fsica y desastres de origen natural que afecten los
activos de la empresa, entre los problemas ms graves se encuentra el uso
inadecuado de los recursos tecnolgicos, falta de control en navegacin y uso
de correo electrnico.
1.4 JUSTIFICACION
Las constantes reformas a la salud que da a da realiza el Gobierno Nacional

obligan a las Instituciones Prestadoras de Salud (IPS) a que se preocupen ms
por invertir en tecnologas que apoyen la prestacin del servicio, esto
representa un incremento en la administracin del recurso tecnolgico, redes,
almacenamiento, acceso a la informacin, etc., todo esto se traduce en que
12
la seguridad de la informacin sea un poco ms compleja de administrar por
parte del personal encargado.
La Empresa Servidoc S.A ubicada en la ciudad de Cali, es una empresa

dedicada a la prestacin de servicios de salud. Cuenta con tres sedes y 70
computadores distribuidos en sus diferentes oficinas, la conexin a internet de
los puestos de trabajo es permanente, cada una de las sedes se conecta de
manera independiente.
Para la Compaa, la informacin que se maneja en los equipos de cmputo

es muy valiosa por cuanto ah reposa informacin de historias clnicas,
informacin contable entre otras que por ley Servidoc S.A, debe resguardar y
proteger. Esta es la razn por la cual se ha decidido que el proyecto determine
y garantice que se cumplan las premisas de la seguridad informtica que son
confidencialidad, integridad y disponibilidad.
13
2. OBJETIVOS
2.1 OBJETIVO GENERAL
Realizar un anlisis para la Implementacin de un Sistema de Gestin de

Seguridad de la informacin ISO-27001 en la compaa Servidoc S.A, con el
fin de identificar y proponer soluciones de seguridad informtica a las
estaciones de trabajo que son crticas para la prestacin de servicios
especficamente en las reas de contabilidad, facturacin e historias clnicas
de la empresa.
2.2 OBJETIVOS ESPECFICOS
Identificar fortalezas y debilidades que tiene la empresa Servidoc S.A. en

las reas de facturacin, contabilidad e historias clnicas en cuanto a
seguridad informtica se refiere.
Evaluar los riesgos de seguridad en la informacin de Servidoc S.A y
conocer las medidas que los pueden contrarrestar.
Identificar las vulnerabilidades que posee la empresa.
Crear y entregar un documento con polticas de seguridad de la
informacin y asignacin de responsabilidades al personal.
14
3. MARCO REFERENCIAL
3.1 ESTADO DEL ARTE
FERNNDEZ, Ral Jos Gil (2.011) en la ciudad de Barquisimeto

(Venezuela), desarroll un trabajo de grado con el nombre de
sistematizacin de la gestin de riesgos de La seguridad de la
informacin en la red de la universidad Centroccidental Lisandro
Alvarado.
El desarrollo de la investigacin se centr en disear un sistema de gestin de

riesgos de la seguridad de la informacin especficamente en la red de la
universidad Lisandro Alvarado, tomando como referencia el estndar
internacional ISO/IEC 27001:2005. Esta investigacin concluy que la
Universidad cuenta con controles de seguridad informtica que cubren de
forma parcial aspectos de seguridad, razn por la cual es necesario
implementar la norma ISO/IEC 27001:2005 con el fin de reducir las
vulnerabilidades y amenazas que afectan a la organizacin.
Lo expuesto anteriormente se relaciona directamente con la presente

investigacin, puesto que el autor utiliza la norma ISO/IEC 27001:2005 como
apoyo para el anlisis y gestin de riesgos de la informacin.
En el ao 2013 NIETO, Juan Pablo en la ciudad de Barcelona (Espaa), realizo

una investigacin llamada Plan de implementacin de la ISO/IEC
27001:2005 para optar al ttulo de Master Interuniversitario en la Seguridad
de las TIC, dentro de esta implementacin de la norma ISO/IEC27001:2005,
se contempla el estado de madurez, anlisis y definicin de riesgos.
Las conclusiones generadas arrojaron como resultado que las amenazas y

riesgos ms representativos se encuentran en el factor humano, mostrando un
resultado del 73%, adems se hallan amenazas relacionadas con la
infraestructura de la empresa y errores de programacin; para reducir estas
amenazas y riesgos, el autor sugiere unas salvaguardas para mitigar estos
riesgos, adicionalmente presenta una serie de proyectos que permitirn reducir
el riesgo a su nivel mnimo.
La exploracin realizada por el autor, aporta mucho al desarrollo del presente

trabajo, puesto que despliega la investigacin apoyada de la norma ISO/IEC
27001:2005 y se utiliza MAGERIT como metodologa de anlisis de riesgo.
MATALOBOS VEIGA, Juan Manuel en el ao 2009 en la ciudad de Madrid

(Espaa), realizo una investigacin llamada Anlisis de Riesgos de la
15
Seguridad de la Informacin, el desarrollo de esta se basa en un anlisis
de riesgos de la organizacin, definiendo los controles que se deben
implementar en la organizacin; se utilizaron diferentes metodologas de
anlisis de riesgo, en la cual el autor concluye que una vez identificados los
activos de la empresa que presentan falencias en cuanto a seguridad
informtica, es posible definir controles de forma apropiada para mitigar el
riesgo de una forma oportuna.
El aporte es de gran relevancia, ya que aborda diferentes metodologas de

anlisis de riesgo, adems se apoya en la norma ISO/IEC 27001:2005.
En la ciudad de Machala (Ecuador), VSQUES, Karina del Roco en el ao

2013 realizo una investigacin llamada Aplicacin de la Metodologa
Magerit para el anlisis y gestin de riesgos de la seguridad de la
informacin aplicada a la empresa pesquera e industrial Bravito S.A., el
trabajo consiste en la realizacin de un anlisis de riesgos para definir un
ambiente seguro de la informacin de la organizacin, estableciendo
mecanismos de proteccin para los riegos encontrados en los diferentes
activos.
El autor concluye que la situacin en cuanto a seguridad informtica de la

empresa Pesquera e Industrial Bravito S.A. es preocupante, pues nunca se
haban realizado estudios y la empresa se encuentra muy vulnerable, al
realizar el anlisis de la situacin actual, se encontraron muchas falencias,
para lo cual se definen unas serie de salvaguardas para reducir el riesgo.
Lo anterior aporta mucho al desarrollo del presente trabajo, puesto que

desarrolla la investigacin apoyada de la metodologa de anlisis de riesgos
MAGERIT.
PEREIRA, Hose Aurela, en el ao 2013 en la ciudad de Barcelona (Espaa),

realizo una investigacin llamada Plan de implementacin de la ISO/IEC
27001:2005 para optar al ttulo de Master Interuniversitario en la Seguridad
de las Tecnologas de la informacin y las comunicaciones, la investigacin
tiene como finalidad establecer un estado de madurez de la organizacin en
cuanto a seguridad informtica, adems realizar un anlisis de riesgo para
determinar los controles y salvaguardas que se deben aplicar.
Con la realizacin del trabajo presentado por el autor, se logr establecer un

plan de trabajo para la implementacin de la norma ISO/IEC 27001:2005, se
realiz un estudio del estado actual de la organizacin en el cumplimiento de
la norma, mostrando que aunque existen controles en la organizacin, faltan
muchos controles por implementar, adems se definen algunas salvaguardas
y se sugieren proyectos que se deben implementar para reducir el riesgo.
16
La investigacin realizada por el autor, aporta mucho al desarrollo del presente
trabajo, si se tiene en cuenta que desarrolla la investigacin apoyada de la
norma ISO/IEC 27001:2005 y se utiliza MAGERIT como metodologa de
anlisis de riesgo.
En el 2009 BUENAO QUINTA, Jos Luis; GRANADA LUCES, Marcelo
Alfonso, en la ciudad de Guayaquil (Ecuador), elaboraron una investigacin
titulada Planeacin y Diseo de un Sistema de Gestin de Seguridad de
la Informacin basado en la norma ISO/IEC 27001 27002, en este
proyecto se realiza un anlisis de riesgos de la Universidad Politcnica
Salesiana sede Guayaquil, el anlisis se enfoca en los riesgos que afectan la
prestacin del servicio y la continuidad de las operaciones.
Los autores concluyeron que a raz del crecimiento tecnolgico que ha tenido
la universidad, se ha vuelto muy vulnerable a ataques informticos, la intencin
con este anlisis es reducir el riesgo, para ello se ha definido la implementacin
de controles principalmente en la parte de infraestructura y documentacin.
Este trabajo representa un aporte terico significativo para la presente

investigacin, puesto que se utiliza la metodologa de anlisis de riesgo
MAGERIT y la aplicacin de la norma ISO/IEC 27001 27002.
CUCHIMBA, PERAFN RUIZ, John Jairo; CAICEDO, Mildred en la ciudad de

Popayn (Colombia), desarrollo una investigacin titulada Anlisis de
Riesgos de la Seguridad de la Informacin para la Institucin
Universitaria Colegio Mayor Del Cauca, la finalidad de esta investigacin
es realizar un anlisis de riesgos detallado con el propsito de realizar la
implementacin del sistema de Gestin Seguridad de la Informacin de la
IUCMC.
Los autores concluyen que la universidad presenta muchos problemas de

seguridad, estos problemas identificados pueden ser solucionados
implementado un SGSI, el cual permitir reducir el riesgo en que se encuentra
la universidad actualmente a un nivel ms bajo, adems optimizar los procesos
para que se cumplan los objetivos de la organizacin. Esta investigacin
representa un gran aporte terico al presente trabajo ya que utiliza MAGERIT
como metodologa de anlisis de riesgo.
En la ciudad de Montevideo (Uruguay), MEGA, Gustavo Pallas en el ao 2009

realiz una investigacin para optar al ttulo de Maestra en Ingeniera de
Computacin, con el nombre de Metodologa de Implantacin de un SGSI
en un grupo empresarial jerrquico, esta investigacin abarca la
implementacin de un SGSI con un enfoque mixto para un grupo empresarial,
lo que pretende el autor es que la direccin sea centralizada, pero las
operaciones se realizan de forma local, es decir en cada una de las empresas
que conforma el grupo empresarial. El autor concluye que el enfoque mixto
17
permitir unificar criterios y optimizar recursos cuando los riesgos deban
afrontarse en forma conjunta.
PEREZ PREZ ,Yesica Mara; OSORIO RIVERO, Yenis Pineda en la ciudad

de Ocaa, desarrollaron una investigacin para optar al ttulo de Especialistas
en Auditora Informtica con el ttulo Diseo de una Poltica de Gestin de
Riesgo de la Informacin para la dependencia de Admisiones Registro y
control de la Universidad Francisco de Paula Santander Ocaa, esta
investigacin se centra en la identificacin y valoracin de riesgos de la
Universidad, con el fin de implementar una poltica que permita reducir los
riesgos en la oficina de admisiones y registro de dicha universidad.
Los autores concluyen que con el anlisis realizado y la implementacin de la

poltica de riesgos se cree conciencia para que los encargados de los procesos
reconozcan los riesgos a que se enfrentan y tomen decisiones en busca de los
objetivos planteados por la organizacin. La metodologa utilizada para el
anlisis de riesgos fue MAGERIT, lo que sirve de apoyo terico al presente
trabajo.
SALCEDO, Robin J. en la ciudad de Barcelona, desarroll una investigacin

con el nombre de plan de implementacin del SGSI basado en la norma
ISO/IEC 27001:2013. La investigacin se centra en la implementacin de un
SGSI en la empresa ISAGXXX para solucionar problemas de seguridad en los
servicios de informacin con la finalidad de llevar el riesgo a un nivel tolerable.
El autor concluye que el apoyo de la gerencia es vital para el desarrollo de
proyecto y que se deben realizar auditoras peridicamente, por otro lado es
necesario aumentar el presupuesto para la implementacin de estrategias de
seguridad informtica en la organizacin.
El aporte terico de esta investigacin al desarrollo del presente trabajo, es el

apoyo que el autor hace de la norma ISO/IEC 27001:2013.
3.2 MARCO TERICO
Magerit: Metodologa de anlisis y gestin de riesgos, su iniciativa se centra

particularmente en que todas las organizaciones dependen directamente del
uso de las tecnologas de la informacin para su rpido y correcto crecimiento,
pero esto genera algunos riesgos que se deben llevar a un nivel bajo, para ello
Magerit proporciona procedimientos de medicin que permite saber el valor de
los activos, identificar de forma detallada el riesgo al que se encuentran
expuestos y la forma de mitigar este riesgo.
18
Esta metodologa cuenta con tres libros donde se documenta de forma
detallada la forma de analizar y gestionar el riesgo de los sistemas de
informacin de las organizaciones.
Sistema de Informacin: Dice ALARCN, Vicen Fernndez (2.006) que es

un conjunto de componentes que interaccionan entre s para lograr un objetivo
comn, satisfacer las necesidades de informacin de una organizacin, la
mayora estn conformados por cinco componentes bsicos: elementos de
entrada, elementos de salida, seccin de transformacin, mecanismos de
control y objetivos.
Segn OZ, Effy en una organizacin un sistema de informacin est

compuesto por hardware, software, personas y procedimientos, todos
interconectados entre s para producir excelentes resultados.
Sistema de gestin de la seguridad de la informacin SGSI: Un sistema de
gestin, en general abarca una estructura, unos recursos, unos procesos y
unos procedimientos que tienden a poner en prctica los objetivos y las
polticas de una organizacin.
AREITIO BERTOLN, Javier 1 dice que un buen SGSI puede verse como un
ciclo cerrado, que comienza con la prevencin de amenazas, la reduccin de
las mismas, la deteccin de incidentes y la contencin de los mismos. Los
daos ocasionados se corrigen y se pasa a la recuperacin, seguida de la
evaluacin de nuevo y se vuelve al comienzo con la prevencin de amenazas.
La implantacin de un SGSI, ayuda a establecer la forma ms adecuada de

tratar los aspectos de seguridad, mediante la conjugacin de los recursos
humanos y tcnicos, respaldados por medios administrativos, que garanticen
la instauracin de controles efectivos para lograr el nivel de seguridad
necesario, en correspondencia con los objetivos de la organizacin, de tal
forma que se mantenga el riesgo por debajo del nivel asumible por la
organizacin.
El SGSI, proporciona a los directivos una herramienta que ofrece una visin
global, sobre el estado de sus sistemas informticos.
Seguridad de la informacin
Son las medidas que toda organizacin debe adoptar con el fin de proteger la
informacin, cumpliendo con los objetivos de la seguridad informtica como
son la disponibilidad, confidencialidad e integridad.
1 AREITIO BERTOLN, Javier. Seguridad de la Informacin Redes, informtica y sistemas de informacin. Disponible
en:
https://books.google.com.co/books?id=_z2GcBD3deYC&pg=PA201&dq=sistema+gestion+seguridad+informatica&hl
=es&sa1 GOBIERNO DE ESPAA. Familia de Normas ISO 27000. Disponible en:
=X&ei=3gNcVd_wKYOpNvbigUg&ved=0CCQQ6wEwAA#v=onepage&q=sistema%20gestion%20seguridad%20infor
matica&f=false
19
Estndares de Gestin de Seguridad
Segn GOBIERNO DE ESPAA las normas ISO son normas o estndares de
seguridad establecidas por la Organizacin Internacional para la
Estandarizacin (ISO) y la Comisin Electrnica Internacional (IEC) que
proporcionan un marco para la gestin de la seguridad de la informacin.
Norma ISO/IEC 27001

Es un estndar para la seguridad de la informacin, y fomenta la importancia
de entender los requerimientos de seguridad de la informacin de una
organizacin y la necesidad de establecer una poltica y objetivos para la
seguridad de la informacin, implementar y operar controles para manejar los
riesgos de la seguridad de la informacin, monitorear y revisar el desempeo
y la efectividad de SGSI y mejoramiento continuo en base a la medicin de los
objetivos.2
Norma ISO/IEC 27002

Cdigo de buenas prcticas para la gestin de la seguridad de la informacin,
esta norma recomienda las medidas que se deben implementar para asegurar
los sistemas de informacin de las organizaciones.
Esta norma contiene 39 objetivos de control y 133 controles, todos estos

agrupados en 11 dominios.
Norma ISO/IEC 27003

Proporciona mtricas para la gestin de la seguridad de la informacin, da las
directrices para la implementacin de un SGSI, esta norma sirve de soporte a
la ISO/IEC 27001.
En esta norma se describe de forma detalla todos los procesos hasta la puesta
en marcha, adems muestra el proceso de cmo se logra la aprobacin por
parte de la direccin para la implementacin de un Sistema de Gestin de
Seguridad de la Informacin.
Kali Linux
Es un programa Linux de libre distribucin, su funcin principal es realizar
tareas de auditoria en temas relacionados con seguridad informtica, esta
distribucin contiene gran cantidad de herramientas entre las que se incluyen:
escaneo de puertos, pruebas de seguridad de redes inalmbricas,
herramientas para averiguar contraseas entre muchas otras.
2 Aguilera Lpez., Purificacin., Seguridad Informtica. Disponible en: books.google.com. Obtenido de

https://books.google.com.co/books?id=Mgvm3AYIT64C&pg=PA9&dq=concepto+seguridad+informatica&hl=es&sa=
X&ei=jf9bVcWxMYW1sAS9z4CQDg&ved=0CC0Q6AEwAA#v=onepage&q=concepto%20seguridad%20informatica&f
=true
20
El programa es de fcil instalacin, adems viene en versiones para 32 bits y
64 bits.
Nmap
Es una potente herramienta de cdigo abierto que permite escanear puertos
de grandes redes, es ideal para el desarrollo de labores de auditora, permite
identificar que equipos se encuentran accediendo una red, adems es posible
identificar los servicios que estn utilizando, indicando el sistema operativo y
su respectiva versin, es una herramienta ideal en labores de monitorizacin
de redes.
Ethical hacking
El avance de las Tecnologas de la informacin y la comunicacin ha generado

muchos beneficios para la humanidad, de igual forma con este crecimiento, los
equipos cada vez se vuelven ms vulnerables ante ataques por parte de
piratas informticos que buscan atacar los sistemas y comprometer la
informacin de las organizaciones, para contrarrestar estos ataques, nace el
Ethical Hacking, su funcin principal es monitorear y explorar las
vulnerabilidades a los que son susceptibles los sistemas, evaluando tanto la
parte fsica como lgica de los sistemas, intentando encontrar esas
vulnerabilidades para que puedan ser corregidas a tiempo y as evitar ataques
que puedan comprometer la seguridad.
En algunas ocasiones se les conoce como hackers de sombrero blanco,

inspirados en las pelculas del oeste, donde el bueno portaba el sombrero
blanco y los malos el sombrero negro.
Las pruebas de penetracin que realizan los Ethical hacking permiten evaluar
vulnerabilidades, clasificar las debilidades y finalmente realizar
recomendaciones, priorizando las necesidades de las empresas.
Wireshark
Herramienta Linux de libre distribucin encargada de analizar protocolos en
una red, es posible analizar una red y las aplicaciones que viajan por ella,
wireshark tiene la capacidad de analizar ms de 480 protocolos entre los que
se encuentran TCP, DNS, ICMP, HTTP.
Esta aplicacin se encuentra disponible en versiones Windows y Linux,

permite realizar filtros del escaneo realizado, es fcil de usar y permite una
interfaz grfica.
21
Dnsenum
Esta herramienta permite recopilar informacin de dominios, es de libre
distribucin, dentro de los datos que obtiene Dnsenum se pueden encontrar el
nombre del servidor, la direccin del host, muestra subdominios y cuentas de
correo, muestra el registro MX, datos importantes que sern de gran ayuda en
el momento de realizar una penetracin al sistema.
TheHarvester
Esta herramienta Linux de libre distribucin consigue datos de puertos
abiertos, subdominios, hosts, correos entre otros, para conseguir los datos,
se vale de motores de bsqueda, LinkedIn y la potente base de datos Shodan,
estas datos que se obtienen con TheHarvester son de gran apoyo para realizar
un ataque.
Anlisis de Riesgos
Es el estudio que debe realizar toda organizacin con el fin de identificar las
vulnerabilidades a las que se encuentran expuestos sus activos, as como
identificar cules son esas amenazas que se podran desencadenar a raz de
estas vulnerabilidades, esta es la razn por la cual se debe tener identificado
los riesgos a los que se enfrenta la compaa y as establecer medidas que
permitan una correcta seguridad de la informacin.
3.3 MARCO CONCEPTUAL
Activos: Se puede decir que los activos son todos los elementos que hacen
parte de un sistema de informacin, estos pueden ser hardware, software,
instalaciones, los servicios prestados.
Amenaza: Son problemas que pueden afectar los activos de la organizacin,

esas pueden ser origen humano que a su vez pueden ser sin intencin como
las causadas por negligencia y las malintencionadas que pueden ser internas
o externas, el otro tipo de amenazas son las causadas por fenmenos de
origen natural.
Vulnerabilidad: Se considera como vulnerabilidad la debilidad que posee un

bien y que puede ser aprovechada por una amenaza para materializarse, esta
es la razn por la cual se debe trabajar bastante en aspectos de seguridad
informtica.
Impacto: Son las consecuencias que sufre un activo cuando una amenaza se
materializa.
22
Riesgo: Es la probabilidad de que ocurra un evento y sus consecuencias
negativas ocasionando daos o perdidas.
Disponibilidad: La informacin siempre est disponible, es caso de

presentarse alguna falla, debe estar en capacidad de recuperarse rpidamente
Confidencialidad: La informacin solo puede ser consultada y modificada por

personal autorizado.
Integridad: Que la informacin no haya sido modificada, es decir que sea igual
a los datos de origen.
Desastres de origen natural: Accidentes causados por fenmenos naturales

(terremotos, inundaciones,)
Desastres de origen industrial: Accidentes causados por desastres

industriales (contaminacin, fallos elctricos,)
Errores y fallos no intencionados: Estos accidentes normalmente son

causados por personal con permisos para acceder al sistema y causan fallas
en el sistema por error o por omitir algunos procesos.
Ataques intencionados: Este tipo de ataques es causado por personal con

acceso a la informacin y atacan el sistema con intenciones de conseguir un
beneficio propio.
3.4 MARCO NORMATIVO
La legislacin colombiana ha avanzado bastante en cuantos delitos

informticos se refiere, hoy en da existen varias leyes que abarcan aspectos
relacionados con el uso de las Tecnologas de la Informacin y la
Comunicacin (TIC). Estas leyes constituyen un aporte al desarrollo del
presente trabajo, algunas de estas son:
Ley 1273 del 2009 (Colombia)

En el ao 2009, se modific el cdigo penal, para dar paso a algunos artculos
relacionados al uso y proteccin de la informacin y de los datos, adems
artculos para preservar el uso de las TIC.3
Algunos artculos relacionados en esta ley son:
- Acceso abusivo a un sistema informtico.
3 MINTIC. El Congreso de Colombia Decreta. Disponible en: http://www.mintic.gov.co/portal/604/articles-

3705_documento.pdf
23
- Uso de software malicioso.
- Suplantacin de sitios web para capturar datos personales.
- Interceptacin de datos informticos.
- Dao informtico.
- Violacin de datos personales.
- Hurto por medios informticos y semejantes.
- Transferencia no consentida de activos.
Ley 1288 de 2009
En el ao 2.009 DIARIO OFICIAL, public la expedicin de normas para

fortalecer el marco legal que permite a los organismos, que llevan a cabo
actividades de inteligencia y contrainteligencia, cumplir con su misin
constitucional y legal, adems se dictan otras disposiciones.
Algunos artculos contemplados en esta ley son:
- Reserva de informacin en inteligencia y contrainteligencia.

- Coordinacin y cooperacin en las actividades de inteligencia y
contrainteligencia.
- Los miembros de la Comisin Legal Parlamentaria de Seguimiento a las
Actividades de Inteligencia y Contrainteligencia sern sometidos a
estudios peridicos de seguridad y confiabilidad.
- Controlar el ingreso y la salida de informacin a las bases de datos y
archivos de inteligencia y contrainteligencia, garantizando de manera
prioritaria su reserva constitucional y legal.
24
4. DISEO METODOLGICO
4.1 ALTERNATIVA DE GRADO:

Monografa
4.2 LNEA DE INVESTIGACIN:

Cadena de formacin de sistemas, lnea de gestin de sistemas
El anlisis para la implementacin del SGSI de la empresa Servidoc S.A. se

llevara a cabo siguiendo una serie de fases que permitirn cumplir con los
objetivos planteados. Segn SALCEDO, Robin J, un SGSI debe cumplir con 6
fases.
Figura 1. Fases para implementar un SGSI
Fuente:http://openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalc
edobTFC1214memoria.pdf
En cada una de las fases se detallan los procedimientos y actividades que se

deben realizar, estos son:
FASE 1: Situacin actual: En esta fase se analiza cmo se encuentra

la organizacin en el cumplimiento de los controles de la norma ISO/IEC
27001:2013, se realiza un anlisis diferencial y se definen cules son
las fortalezas y debilidades de la empresa en cuanto a seguridad
informtica.
25
FASE 2: Sistema de Gestin Documental: Elaboracin de la Poltica
de Seguridad, declaracin de aplicabilidad y documentacin del SGSI.
FASE 3: Anlisis de riesgos: Se define cual ser la metodologa de
anlisis de riesgos que se implantar, esta debe permitir identificar las
vulnerabilidades, amenazas y el riesgo al cual se enfrenta la
organizacin.
FASE 4: Propuesta de Proyectos: Se sugieren una serie de proyectos
para que la organizacin pueda alcanzar los objetivos planteados
FASE 5: Auditora de Cumplimiento de la ISO/IEC 27001:2013: Esta
fase permite definir el cumplimiento de los controles de la norma que
tiene la organizacin.
FASE 6: Presentacin de Resultados y entrega de Informes: Se
presentan los resultados del proyecto y las conclusiones.
4.3 RECURSOS DISPONIBLES
Se dispone del apoyo de los directivos de la empresa Servidoc S.A., el material

y documentacin necesaria para el desarrollo de este proyecto va a ser
proporcionado por la empresa.
Se cuentan con los recursos disponibles para realizar el anlisis de este

proyecto, se dispone con Conexin a internet por fibra ptica, adems de un
computador con procesador Core I5 y un Disco Duro de 1 Tera, configuracin
suficiente para el desarrollo de este proyecto, los insumos como papelera,
DVD, memorias, fotocopias y todos los que se deriven de este, sern asumidos
por la empresa.
Tambin se cuenta con el acceso a todos los equipos de cmputo de las reas
de contabilidad, facturacin e historias clnicas, por rdenes de la gerencia, se
cuenta con el total apoyo y disposicin de los empleados, incluso aprobacin
de tiempos extras cuando sea necesario, para ello slo es necesario enviar
un correo electrnico a la gerencia informando.
4.4 TCNICAS DE RECOLECCION DE INFORMACION, POBLACIN Y

MUESTRA
TCNICAS DE RECOLECCION DE INFORMACION
Para el desarrollo del proyecto se realizacin las siguientes tcnicas de

recoleccin de informacin:
26
Revisin de Documentos: Permite tener una visin clara de donde se
encuentra la organizacin actualmente y para donde se dirige. Los
documentos a revisar pueden ser cuantitativos como consultas, manuales
de procedimientos, poltica, el otro tipo de documentos son los cualitativos
como reportes, registros de captura de informacin.
Entrevistas: En esta tcnica se utilizan preguntas y respuestas, estn son

de tipo abiertas o cerradas, se deben realizar siguiendo una serie de pasos
como: realizar una lectura previa del cuestionario, es necesario que se
establezcan los objetivos a alcanzar, luego se debe realizar una seleccin
del personal, indicarle al entrevistado cual es el objeto de esta.
POBLACIN: La poblacin estuvo representada por los funcionarios de la

empresa Servidoc S.A.
MUESTRA: Despus de haber definido la poblacin, se tom una muestra de

25 empleados de la organizacin.
4.5 TECNICAS DE PROCESAMIENTO Y ANALISIS DE DATOS
Una vez se tiene toda la informacin necesaria suministrada por las entrevistas
realizadas al personal de la organizacin, se procede a realizar una serie de
procedimientos para lograr los resultados deseados.
Es necesario que las entrevistas cumplan con lo que se estableci

inicialmente, adems es importante verificar que las encuestas hayan sido
diligenciadas en su totalidad, si las preguntas realizadas fueron comprendidas
realmente por los entrevistados, y otros factores que permitan un resultado
real y eficiente, el siguiente paso es ingresar la informacin a una hoja
electrnica o programa de propsito especfico para tal fin, por ltimo se realiza
la respectiva tabulacin de los resultados obtenidos.
Para analizar la situacin actual de la empresa Servidoc S.A. se realiz tabla

de frecuencia en un solo sentido, la cual indica en cada tabla el porcentaje de
aquellos entrevistados que dieron una respuesta a cada pregunta. As mismo,
se exponen representaciones grficas con estadsticas las cuales a travs de
imgenes ilustran los resultados de la investigacin. (Vase el Anexo A).
27
4.6 DESARROLLO DEL PROYECTO
Los resultados arrojados por la encuesta realizada al personal de Servidoc

S.A. son los siguientes:
Pregunta 1
Figura 2. El computador asignado para el desarrollo de sus funciones recibe
mantenimiento peridicamente?
Pregunta 1
20%
SI
80% NO
No. ITEM FRECUENCIA %

1 SI 5 20,00%
2 NO 20 80,00%
TOTAL 25 100,00%
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 5 mencionaron que se realizaba
mantenimiento cada tres meses, 20 dicen que no se realiza mantenimiento
peridicamente.
Pregunta 2
Figura 3. Existe un Sistema de Gestin de Seguridad Informtica en la
Empresa?
28
PREGUNTA 2
0%
SI
NO
100%

1 SI 0 0,00%
2 NO 25 100,00%
TOTAL 25 100,00%
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 25 mencionaron que no existe un Sistema de
Gestin de Seguridad de la Informacin.
PREGUNTA 3
Figura 4. La compaa capacita al personal en temas de seguridad

informtica?
Fuente: El autor.
29
Interpretacin:
De 25 empleados encuestados, 25 mencionaron que nunca se realiza
capacitacin en aspectos relacionados con seguridad informtica.
PREGUNTA 4
Figura 5. Existe alguna poltica para el cambio regular de las contraseas?
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 23 mencionaron que han sido informados de
manera verbal, pero no se aplican con regularidad, 2 empleados afirman que
si hay polticas de cambio de contraseas.
PREGUNTA 5
Figura 6. Existe un manual de funciones y responsabilidades de seguridad

de la informacin?
30
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 25 mencionaron no conocer manuales de
funciones y responsabilidades de seguridad de la informacin.
PREGUNTA 6
Figura 7. Cundo ocurre un evento relacionado con seguridad de la

informacin sabe a quin reportarlo?
31
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 25 mencionaron que cuando ocurre un evento
relacionado con seguridad informtica, se debe reportar al ingeniero de
sistemas.
PREGUNTA 7
Figura 8. Realiza copias de los datos?
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 6 mencionaron que realizan copias de
seguridad en algunas ocasiones, los 19 restantes, correspondientes al 76%
mencionaron nunca realizar copias de seguridad.
PREGUNTA 8
Figura 9. Considera necesario que la compaa invierta en el anlisis para

la implementacin de un Sistema de Gestin de Seguridad de la
Informacin?
32
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 23 mencionaron que sera muy importante una
inversin de este tipo, dos empleados contestaron que ese dinero se podra
invertir en otras cosas.
PREGUNTA 9
Figura 10. Posee antivirus el computador?
Fuente: El autor.
Interpretacin:
33
De 25 empleados encuestados, 7 mencionaron que el computador si cuenta
con programa antivirus, los 18 restantes afirman que no se cuenta con
programa antivirus.
PREGUNTA 10
Figura 11. La compaa posee software legal en su totalidad?
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 4 afirman que se tiene software legal, los 21
restantes dicen que la empresa no tiene licencias legales
PREGUNTA 11
Figura 12. Existen zonas restringidas de acceso de personal?
34
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 4 afirman que la empresa si cuenta con zonas
restringidas, los 21 restantes dicen que no se cuenta con sitios restringidos.
PREGUNTA 12
Figura 13. Se realiza mantenimiento preventivo y correctivo a la UPS?
Fuente: El autor.
35
Interpretacin:
De 25 empleados encuestados, 8 afirman que se realiza de forma peridica
mantenimiento a la UPS, los 17 restantes dicen que no se realiza ningn
mantenimiento.
PREGUNTA 13
Figura 14. Existen sistemas de seguridad que impidan el acceso a lugares

restringidos?
PREGUNTA 13
0
25
SI NO

1 SI 0 0,00%
2 NO 25 100,00%
TOTAL 25 100,00%
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, los 25 afirman que no se poseen dispositivos
de control de acceso.
PREGUNTA 14
Figura 15. Se cuenta con sistemas de alarma como detectores de humo y

humedad?
36
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, los 25 afirman que no se poseen dispositivos
de este tipo.
PREGUNTA 15
Figura 16. Existe vigilancia en la entrada del edificio?
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, los 25 afirman que no se cuenta con vigilancia
al ingreso de la organizacin.
37
PREGUNTA 16
Figura 17. Los sitios donde estn los equipos de cmputo cuentan con aire
acondicionado?
PREGUNTA 16
10
15
SI NO

1 SI 20 80,00%
2 NO 5 20,00%
TOTAL 25 100,00%
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 20 afirman que se cuenta con airea
condicionado donde funcionan los equipos, los 5 restantes dicen que no tienen
aire acondicionado.
PREGUNTA 17
Figura 18. Se encuentra asegurados mediante plizas los equipos de

cmputo?
38
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 4 afirman que se cuenta con plizas de
proteccin, los 21 restantes dicen que no se cuenta con ninguna pliza de
proteccin para los equipos de cmputo.
PREGUNTA 18
Figura 19. Existe algn control para navegar en internet?
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, 3 mencionan que se cuenta con controles para
navegacin, los 22 restantes dicen que no se cuenta con ninguna restriccin.
39
PREGUNTA 19
Figura 20. Existe control sobre el uso del correo electrnico?
Fuente: El autor.
Interpretacin:
De 25 empleados encuestados, los 25 mencionan la inexistencia de controles
para el uso del correo electrnico.
40
5. FASES PARA IMPLEMENTAR UN SGSI
5.1 FASE 1: SITUACION ACTUAL
En esta fase se relaciona la situacin actual de la compaa, y el anlisis

diferencial
5.1.1 Situacin actual.
Para Servidoc S.A, como para las dems empresas del sector, la Seguridad
Informtica ya no es un problema de los profesionales o del proceso de
sistemas de una organizacin, sino que ha salido de los centros de cmputo
para instalarse en el escritorio del usuario, en donde verdaderamente nacen
los problemas de Seguridad.
El hecho de que Servidoc S.A. sea una empresa dedicada a la prestacin de

servicios, significa que la sobrecarga de informacin es representativa, esta
situacin se traduce en que personas no autorizadas puedan robar, alterar,
acceder o vulnerar la informacin.
La anterior situacin conlleva a realizar permanentemente tareas que permitan

reducir riesgos que pongan en peligro la informacin de las reas de
facturacin, contabilidad e historias clnicas de la empresa Servidoc S.A.
La informacin de la organizacin, los procesos que la apoyan, as como los

sistemas y las redes, son bienes muy importantes para Servidoc S.A, por lo
que requieren ser protegidos frente a amenazas que puedan poner en riesgo
la disponibilidad, integridad, confidencialidad de la informacin y la estabilidad
de los procesos la compaa.
De ah la importancia del anlisis para la implementacin de un Sistema de

Gestin de la Seguridad Informtica basados en los requisitos de la norma
ISO-27001.
5.1.2 Organigrama
Figura 21. Organigrama Servidoc S.A.
41
Fuente: Servidoc S.A.
5.1.3 Activos que posee servidoc s.a.
La empresa Servidoc S.A. cuenta con una sede ubicada en la ciudad de Cali,
especficamente en la Avenida 3AN No. 23DN 08, es un edifico que consta de
cuatro pisos. En el primer piso funciona la barra de servicios y consultorios de
mdico general y especialistas, en el segundo piso funcionan laboratorio,
administracin, adems se encuentra ubicado el cuarto tcnico, donde estn
todos los equipos de comunicaciones como rack, swichet, routers, entre otros,
en el tercer piso funcionan odontologa y rayos X, en el cuarto piso consultorios
mdicos. Es de aclarar que la sede no es de propiedad de la empresa, es un
edifico tomado en alquiler.
Inventario de Activos
Un activo4 Es todo lo que una empresa posee para llevar a cabo el tratamiento
de la informacin, entre estos estn (hardware, software, recurso humano
entre otros), esta clasificacin se realiza como se plantea en la siguiente tabla.
4SALCEDO, Robin J. Sistema de gestin de la seguridad de la informacin. Disponible en

http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
online/321_paso_1_inventario_de_activos.html
42
Tabla 1. Activos de Servidoc S.A.
Valor en
Tipo de Valor
Descripcin Millones Criticidad
Activo Activo
de $
Personal Directivo Muy alto 250 Crtico
Administradora Alto 150 Crtico
Jefes enfermera Alto 90 Alto
Personal barra de servicios Alto 50 Bajo
Auxiliares enfermera Medio 50 Bajo
Auxiliares laboratorio Medio 50 Bajo
Mdicos Generales Alto 50 Bajo
Mdicos especialistas Alto 50 Alto
Servicios generales Medio 50 Bajo
Contadora Alto 100 Alto
Personal Asistente contable Medio 50 Medio
Personal
Revisor fiscal Alto 100 Medio
Secretaria gerencia Medio 50 Bajo
Secretaria asignacin citas Bajo 10 Bajo
Ingeniero sistemas Alto 100 Critico
Bacterilogas Alto 100 Alto
Mensajero Alto 3 Muy bajo
Auditores mdicos Alto 100 Alto
Electro mdico Alto 100 Medio
Electricista Bajo 10 Bajo
Mantenimiento Bajo 10 Bajo
Porttiles Bajo 10 Medio
Equipos de cmputo Medio 50 Crtico
Hardware
Impresoras Medio 40 Alto
Servidor Aplicaciones Muy Alto 200 Critico
Acces Point Medio 50 Crtico
Swichet Medio 50 Crtico
Red
Routers Medio 50 Crtico
firewalls Medio 50 Crtico
Instalacin cableado estructurado Muy alto 250 Crtico
Instalaciones elctricas Muy alto 250 Crtico
Servicios Conectividad a internet Muy alto 250 Crtico
43
Tabla 1. (Continuacin)
Valor en
Valor
Tipo de Activo Descripcin Millones Criticidad
Activo
de $
Equipamiento
Planta elctrica Medio 60 Bajo
Auxiliar
Windows server 2010 Medio 50 Crtico
Software o CgUno Medio 50 Alto
aplicacin Windows Medio 50 Alto
Ofimtica Bajo 10 Muy bajo
Contratos de trabajo
personal Bajo 10 Bajo
Plizas mantenimiento Bajo 10 Bajo
Activo de BD usuarios EPS Medio 50 Crtico
informacin
BD proveedores Medio 50 Crtico
contabilidad Muy alto 200 Crtico
Mercadeo Alto 100 Medio
Fuente: El Autor
5.1.4 Anlisis diferencial.
En esta etapa se establece un paralelo entre los controles que tiene

implementados la Ca. frente a los controles que contempla la norma ISO
27001:2013, con el objeto de realizar un anlisis para la implementacin de
un sistema de Gestin de Seguridad de la Informacin (SGSI), adems
permitir establecer un anlisis de la documentacin.
El autor NIETO, Juan Pablo 5 en su trabajo de maestra en seguridad de las

TIC, realizo un anlisis diferencial, afirmando que el resultado que debe
generar este es la identificacin de las reas que poseen falencias y sus
respectivos planes para mejorar la seguridad en estas. El anlisis de los
controles se hace teniendo en cuenta el estado actual, para ello se le asigna
una calificacin de acuerdo a la siguiente tabla.
5 NIETO, Juan Pablo Plan de implementacin de la ISO/IEC 27001:2005. Disponible en

http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23054/1/Nieto_WP2013_PlanImple
mentacionISO2007.pdf
44
Tabla 2. Nivel de cumplimiento
NIVEL DE CUMPLIMIENTO
Valor Nombre Descripcin
No existe evidencia del estndar o
0 No existente
practica en la compaa.
La organizacin tiene practicas
1 Inicial hechas a la medida pero
inconsistentes.
La organizacin tiene un enfoque
2 Repetible
coherente pero no documentado.
Se tiene un enfoque coherente y
3 Definido
documentado pero no medido.
Los procesos son medidos frecuente
4 Administrado
mente y se realizan mejoras.
La organizacin ha refinado su
5 Optimizado cumplimiento con el nivel de las
mejores prcticas
Fuente: El Autor
En el Anexo B. se realiza un anlisis diferencial de la compaa, se observa la

situacin actual de la organizacin, para ello es necesario tomar cada uno de
los controles de la norma ISO/IEC 27001:2013, donde se analiza control por
control, identificando su responsable, el nivel de cumplimiento de acuerdo a
los valores definidos en la Tabla 2. Se asigna una calificacin de 0 a 5, adems
se cuenta una columna descripcin donde se menciona si el control existe
actualmente o no, por ltimo se encuentra la columna cumple/no cumple, en
la cual se han definido valores como si - no. (Vase el Anexo B).
5.1.5 Fortalezas y debilidades
Fortalezas
Algunos funcionarios son conscientes de los roles que tienen

Comprobacin de antecedentes de los empleados
Se cuenta con inventario de asignacin de activos por empleado para
el desarrollo de sus funciones
Existen algunos procedimientos sobre cambios de contraseas sin
documentar
Existen controles criptogrficos solamente para presentacin de
informes a la Supe salud
45
Existen algunos controles sobre sitios restringidos pero no estn bien
definidos
Existen algunos controles sobre el mantenimiento de los equipos de
cmputo
Existen algunos extintores contra incendios
Se cuenta con procedimientos de sincronizacin de relojes
Se tiene algn conocimiento sobre la legislacin y derechos de autor
Debilidades
No existe un documento de polticas de seguridad de la informacin.

No se tiene bien definido ni documentado los roles y responsabilidades
en materia de seguridad informtica
No existen polticas documentadas sobre el uso adecuado de
dispositivos mviles
No existen clusulas de reserva de la informacin durante y despus
del empleo
No existen polticas sobre el uso correcto y responsable de los activos
asignados
No existen procedimientos documentados sobre privilegios de acceso
a la informacin
No existen procedimientos sobre creacin y cambio de contraseas
Se carece de polticas que exijan la proteccin de la informacin
mediante controles criptogrficos
No existen zonas restringidas demarcadas
No existen controles de seguridad fsica al ingreso de las instalaciones
No se cuenta con controles para el retiro de equipos de las instalaciones
La organizacin carece de un seguro contra incendios y desastres
naturales
No existen polticas sobre la manipulacin de los dispositivos
tecnolgicos de la empresa
No se realizan copias de seguridad con frecuencia
No se actualiza el software con regularidad
No se cuenta con software antivirus en la totalidad de los equipos de
cmputo
No existe ningn procedimiento de monitoreo fsico ni lgico
Falta de capacitacin al personal en temas relacionados con el manejo

de correo electrnico
Falta de seguridad en la configuracin de las redes y el acceso a ellas
46
No se cuenta con dispositivos de proteccin de transporte de
informacin
Falta de acuerdos de confidencialidad.
No se documenta los incidentes ocurridos
No se tiene conocimiento sobre cmo actuar en caso de un incidente
Aunque se tiene conocimiento sobre la legislacin, su cumplimiento en
mnimo
Se carece de software legal en un 90%
Procedimientos ineficientes de proteccin de datos
Procedimientos ineficientes de proteccin de informacin de tipo
personal
En la siguiente imagen se muestra el cumplimiento de los dominios de acuerdo

a la norma ISO/IEC 27001:2013, es de notar que el mayor porcentaje, en este
caso el 53%, equivale a controles inexistentes, el 43% corresponde al estado
repetible lo que significa que se tiene conocimiento de algunos controles, pero
no se encuentra bien definidos ni documentados, el 4% corresponde a
controles administrados, lo que representa un porcentaje muy bajo.
Figura 22. Controles de seguridad existentes
Administrado
4%
Controles de seguridad No Aplica
Optimizado 0%
0%
Definido
0%
Repetible
43% No existente
53%
Inicial
0%
Fuente: El autor.
En la siguiente tabla se muestra el porcentaje de cumplimiento de los controles

por cada dominio, mostrando unos resultados preocupantes, pues la
47
organizacin tiene actualmente un cumplimiento del 15%, lo que representa
grandes debilidades en cuanto a seguridad informtica se refiere.
Tabla 3. Cumplimiento de controles por dominio
Control/Objetivo de Control Estado

Actual
5 Polticas de seguridad de la informacin 0%
6 Organizacin de la seguridad de la informacin 0%
7 Seguridad de los recursos humanos 17%
8 Gestin de activos 52%
9 Control de acceso 23%
10 Criptografa 0%
11 Seguridad fsica y del entorno 40%
12 Seguridad de las operaciones 26%
13 Seguridad de las comunicaciones 40%
14 Adquisicin, desarrollo y mantenimientos de sistemas 9%
15 Relacin con los proveedores 0%
16 Gestin de incidentes de seguridad de la informacin 0%
Aspectos de seguridad de la informacin de la gestin de continuidad de
17 negocio 10%
18 Cumplimiento 0%
TOTAL 15%
Fuente: El autor.
En la siguiente imagen se encuentra el cumplimiento de los dominios pero de

forma grfica.
Figura 23. Cumplimiento de dominios
48
Cumplimiento de Dominios
Estado Actual Estado esperado
5 Polticas de seguridad de
18 Cumplimiento 100% 6 Organizacin de la
80%
17 Aspectos de seguridad 60% 7 Seguridad de los
40%
16 Gestin de incidentes 20% 8 Gestin de activos
0%
15 Relacin con los 9 Control de acceso
14 Adquisicin, desarrollo 10 Criptografa
13 Seguridad de las 11 Seguridad fsica y del

12 Seguridad de las
Fuente: El autor.
5.2 FASE 2: SISTEMA DE GESTION DOCUMENTAL
Todo sistema de gestin de seguridad informtica SGSI debe contener una

gestin documental, en este apartado se desarrollar toda la documentacin
que debe existir en la implementacin de un SGSI como lo muestra la norma
ISO/EIC 27001.
La autora ROJAS VALDUCIEL, Halena6 en el ao 2.015 afirma que la

documentacin adems de avalar las estrategias y decisiones tomadas con
respecto a la seguridad de la informacin dentro de la empresa, servir de gua
para el anlisis de la implementacin del SGSI.
5.2.1 Polticas de seguridad
Cuando se habla de seguridad informtica existen ciertas reglas que se deben

cumplir para dar cumplimiento a las premisas de la seguridad informtica como
son la disponibilidad, integridad y disponibilidad, esa es la razn por la cual
todos los procedimientos para llevar la seguridad deben estar documentados,
la persona responsable de la seguridad informtica de la empresa Servidoc
6ROJAS VALDUCIEL, Halena. Elaboracin de un plan de implementacin de la ISO/IEC

27001:2013
49
S.A. se debe comprometer en primera instancia a la revisin y actualizacin
de estas normas en unos perodos como mximo de un ao, adems debe
velar por que estas polticas sean conocidas por todos los empleados de la
organizacin.
Estas polticas afectan tambin a terceras personas como son clientes,

proveedores, entre otros. Hay que recalcar que estas normas son de carcter
confidencial, lo que significa que slo el personal interno de la organizacin
tiene derecho a su uso, adems podr ser usado por terceras personas slo
con autorizacin del personal de seguridad.
Las personas que hagan uso de los sistemas de informacin deben cumplir
unas funciones y obligaciones asignadas por el encargado de la seguridad
informtica, dentro de estas estn:
Control de acceso:
Responder por las claves de ingreso a los sistemas, no debe compartir

las claves con otras personas, estas son privadas.
Cambiar regularmente la clave, siguiendo algunos estndares para
claves seguras.
Cada usuario se hace responsable de los procedimientos ejecutados
con su clave de acceso.
Confidencialidad de la informacin
La confidencialidad de la informacin de la organizacin se debe

respetar, no se debe compartir esta bajo ninguna circunstancia.
La informacin no debe ser retirada de la empresa.
Hay que guardar reserva en el uso de memoria con firmas digitales,
estas deben permanecer en caja fuerte y retiradas cuando se vayan a
utilizar.
Propiedad intelectual
Se debe respetar la poltica de propiedad intelectual, por lo cual no se

deben instalar en los equipos de cmputo de Servidoc S.A. aplicaciones
que carezcan de licencias adquiridas de manera formal.
Se prohbe la duplicacin de material que carezca de licencia original.
50
Control de acceso fsico
Todo el personal que vaya a ingresar a los espacios donde se

encuentran los equipos de cmputo, debe contar con previa
autorizacin.
El ingreso al cuarto tcnico, que es donde se encuentran todos los
equipos de comunicaciones, debe contar con autorizacin nicamente
del encargado de la seguridad informtica de la empresa.
Nunca deben existir en los puestos de trabajo medios extrables que
puedan ser fcilmente tomados sin autorizacin.
Uso apropiado de los recursos
Los recursos asignados a cada empleado por parte de la empresa para el

desarrollo de sus funciones se deben utilizar para tal fin y no para realizar
actividades personales. Algunas de las actividades que estn prohibidas son:
Instalar programa informticos en los equipos sin previa autorizacin
Instalar programas antivirus, anti spam entre otros.
Desinstalar o modificar programas sin previo aviso.
Conectarse a la red con dispositivos diferentes a los asignados por la
empresa para el desarrollo normal de sus funciones.
Software
Se debe utilizar nicamente software legal.

Queda prohibido la reproduccin de programas como software
ofimtico, sistemas operativos entre otros.
Informar sobre las actualizaciones de los programas antivirus.
Chequeo de medios extrables autorizados para su uso por medio de
antivirus.
Queda prohibido descargar programas y msica.
Hardware
No se deben retirar los equipos de las instalaciones de la organizacin

sin previo aviso y autorizacin.
Los equipos no deben ser manipulados por cualquier usuario, de ser
necesario se debe reportar el dao para que las personas encargadas
realicen los correctivos necesarios.
El nico hardware autorizado para su funcionamiento, es el autorizado
y asignado por la empresa.
Queda prohibido conectar medios extrables en los equipo tales como
memorias, cmaras, celulares.
51
Conexin a internet
La conexin a internet es restringida de acuerdo a los parmetros

establecidos por la organizacin.
Se deben conectar slo los dispositivos autorizados.
Cada usuario debe responder por la navegacin realizada desde su
computador.
En caso de realizar transacciones personales, el usuario se har
responsable de ellas, aunque no se deberan realizar ya que los equipos
de cmputo son solamente para funciones laborales.
No utilizar el internet para descargar programas y canciones.
El uso de mensajera instantnea, correos, foros, entre otros debe ser
solamente para actividades relacionadas con la empresa.
Correo electrnico
El uso del correo electrnico debe ser solamente relacionado a

actividades laborales.
No utilizar el correo con fines personales.
En caso de sospechar de algn correo, informarlo al personal
encargado de la seguridad informtica.
Los correos corporativos deben llevar la firma del remitente.
Verificar que los archivos adjuntos no estn infectados.
Evitar participar en cadenas de oracin, y reenvi de correos, ya que
estos son factores decisivos para que un atacante pueda vulnerar la red
de la empresa.
No se debe ingresar al correo de otros usuarios y manipular la
informacin.
Las cuentas de correo deben estar previstas de claves.
Cada usuario se har responsable el uso que le d a su cuenta de
correo.
Custodia de recursos informticos
Los usuarios deben responder ante la empresa por los recursos

informticos que le sean asignados.
Mantener actualizado el inventario de los recursos de hardware que la
empresa le ha asignado.
Seguir con los lineamientos establecidos para el uso correcto de los
dispositivos.
Informar oportunamente en caso de prdida o dao de los recursos
informticos asignados.
52
Usuarios y contraseas
Para el ingreso a los sistemas de informacin cada usuario debe contar

con un nombre de usuario y contrasea.
Las claves se deben cambiar cada 30 das, sin permitir que se repitan.
El nmero mximo de intentos para el ingreso ser de cinco veces, en
caso de completar todos los intentos, el sistema bloqueara el ingreso,
siendo necesario adquirir una nueva clave.
Las contraseas sern asignadas por el personal encargado de la
seguridad informtica, permitiendo el cambio de contrasea de forma
inmediata, evitando as que otras personas, incluso el encargado de
seguridad pueda tenerlas, su almacenamiento debe ser cifrado.
Las contraseas deben contener mximo ocho caracteres
alfanumricos.
5.2.2 Procedimiento de auditoras internas
La correcta implementacin de un Sistema de gestin de seguridad informtica

SGSI, le permite a una organizacin obtener una certificacin internacional, lo
que significa ser ms competitiva en el mercado, demostrando que cumple
con todos los estndares de seguridad lo que dar confianza a clientes,
proveedores y empleados.
Para llegar a este punto es necesario realizar auditoras, estas son:
Auditoria documental:
En esta etapa, los auditores tienen la obligacin de revisar toda la

documentacin que posee la organizacin, es necesario revisar las polticas
de seguridad, el alcance que se le dio al SGSI, el nivel de madurez que tiene
la organizacin en cuanto a los controles implementados, realizar un detallado
anlisis de riesgos, para luego seleccionar los controles que se deben
implementar.
Una vez realizado este proceso, los auditores preparan un informe muy
detallado donde se establecern las fortalezas y debilidades con que cuenta
el SGSI, en este informe deben describirse las no conformidades
encontradas, indicando la gravedad que representan, dentro de las no
conformidades, se encuentran tres tipos como son:
No conformidades mayores: Estas representan un incumplimiento grande
de la norma, para ello el auditor basado en su experiencia, determina que
la seguridad de la informacin se ver afectada representativamente.
Cuando se encuentran conformidades mayores, lo ideal es que estas sean
corregidas para el inicio de la siguiente etapa.
53
No conformidades menores: Estas corresponden a incumplimientos
pequeos respecto a la norma, igual que las no conformidades mayores,
se deben corregir para el inicio de la siguiente etapa.
Observacin u oportunidad de mejora: El auditor con el criterio que posee,
determina que son situaciones que no ponen en peligro la seguridad de la
informacin, sugiere que sean analizadas en futuros procesos de
auditora.
Auditoria de certificacin:
En esta etapa, el SGSI debe cumplir a cabalidad con todo lo descrito en el

plan de implementacin del sistema de gestin de seguridad informtica, no
pueden existir no conformidades, las polticas deben estar desarrolladas en
su totalidad, esto significa que todos los procesos funcionan eficazmente.
Las auditoria se deben realizar cada ao, con el fin de identificar si el SGSI
est cumpliendo con lo establecido en la norma ISO/IEC 27001, lo que se
trata es de identificar si los procesos estn funcionando bien, si necesitan ser
reestructurados, si los controles ya son obsoletos o si ya no son necesarios.
Este es un proceso repetitivo que deben realizar todas las organizaciones con
el fin de llevar el riesgo de la seguridad de la informacin a su nivel ms bajo.
La persona encargada de la seguridad informtica en la organizacin, ser el

responsable de socializar el informe de auditora a la alta gerencia, estos
informes deben ser archivados con el fin de estar disponibles ante entidades
certificadoras.
5.2.3 Gestin de indicadores
La creacin de indicadores de gestin est orientada principalmente en la

medicin de efectividad, eficiencia y eficacia de los componentes de
implementacin y gestin definidos en el modelo de operacin del marco de
seguridad y privacidad de la informacin, indicadores que servirn como
insumo para el componente de mejoramiento continuo permitiendo adoptar
decisiones de mejora. Estos indicadores o mtricas permiten medir realmente
que tan segura se encuentra una organizacin
Estos deben cumplir una serie de requisitos como son:
Debe ser considerada de importancia para los objetivos que tiene la

organizacin.
Debe servir de apoyo para el anlisis y tratamiento oportuno de riesgos
54
Debe ser imparcial.
Debe ser capaz de evaluar si un control genera seguridad ante la
organizacin.
Existe una gran cantidad de indicadores que se podran implementar en una

empresa, pero dependiendo de su tamao y presupuesto, es necesario en
algunas ocasiones implementar slo los que sean ms relevantes para la
organizacin como es el caso de la empresa Servidoc S.A. Donde el anlisis
para la implementacin del SGSI mostrara slo indicadores que tienen que ver
con la seguridad en los equipos de cmputo de las reas de contabilidad,
facturacin y nmina, pues ese es el alcance del desarrollo de este proyecto.
Tabla 4. Indicadores de Gestin

Valor
Responsabl
Indicador Objetivo Acept Frecuencia Calculo
e
able
cuantificar los
documentos
Polticas de existentes sobre Doc.
Seguridad
seguridad seguridad 75% Semestral Existentes/Do
informtica
documentadas informtica c. esperados
respecto a los
esperados
Se busca definir la Equipos con
proteccin que antivirus y
Proteccin
tiene la Seguridad antimalware
contra cdigo 90% Mensual /
organizacin frente informtica instalado y
malicioso
a ataques de actualizado /
software maliciosa total equipos
Obtener un valor
Acuerdos de
real de niveles de
Acuerdos de confidencialida
confidencialidad
confidencialida 80% Trimestral RH d firmados/
firmados con
d total
proveedores,
proveedores
clientes, entre otros
No
Conformidade
Identificar la
No s solucionadas
respuesta que se le
conformidades 100% Semestral / No
ha dado a las no
solucionadas conformidades
conformidades
emitidas en el
periodo
55
Tabla 4. (continuacin)
Valor
Responsabl
Indicador Objetivo Acept Frecuencia Calculo
e
able
Identificar la
cantidad de
empleados que han
Empleados
recibido formacin
Capacitacin RH- con
en cuanto a
en seguridad 80% Trimestral Seguridad capacitacin /
seguridad
informtica Informtica total
informtica se
empleados
refiere, adems
saber los roles que
tiene asignados
Identificar equipos
de cmputo que no
cuentas con niveles Equipos sin
Equipos sin Seguridad
de seguridad como 100% Mensual contraseas/
contraseas Informtica
usuario y total equipos
contrasea para su
ingreso
Cuantificar equipos
Equipos con
Equipos sin que no poseen Seguridad
100% Mensual licencias/equip
licencias licencias de Informtica
os totales
software
Fuente: el autor
5.2.4 Revisin por parte de la direccin
El papel que juega la alta direccin es muy importante, puesto que si el anlisis
para la implementacin del SGSI no cuenta con su apoyo, no se lograran los
objetivos esperados, esta debe participar en las decisiones que se tomen
respecto a seguridad informtica, tambin es importante el seguimiento que le
haga a los procedimientos pues de esta manera se dar cuenta si estn
funcionando correctamente.
Es responsabilidad de la direccin verificar los controles implementados en el

SGSI en lazos de tiempo de al menos un ao. Dentro de las revisiones que
se deben realizar se encuentran:
Verificar que todo el personal de la organizacin tenga conocimiento

sobre las normas de seguridad implementadas a los sistemas de
informacin.
Revisar los resultados de las auditoras realizadas.
Cambios en la organizacin que puedan afectar el SGSI.
56
Debe realizar sugerencias para lograr el mejoramiento en la efectividad
de algn control.
Concientizarse con la necesidad de recursos.
5.2.5 Gestin de roles y responsabilidades
Todo sistema de gestin de seguridad informtica debe contar con un comit

de seguridad quien se encargar de realizar tareas como crear, mantener,
supervisar y mejorar el sistema. Este comit debe estar integrado por
diferentes responsables de la organizacin, adems de una persona que
pertenezca a la alta direccin con el fin de que cuando se tomen decisiones,
estas sean aprobadas por un integrante de la direccin.
Comit de seguridad: Las funciones de este comit corresponden a:
Incentivar el uso de las buenas prcticas en seguridad informtica.

Asignar funciones y responsabilidades en cuanto a seguridad
informtica.
Revisar en perodos establecidos el SGSI y su respectiva aprobacin.
Aprobar las polticas de seguridad informtica.
Validar los riesgos a que se enfrenta la organizacin y sus respectivos
controles.
El comit se seguridad de la empresa Servidoc S.A. est compuesto por:
o Administrador general
o Ingeniero de sistemas
o Revisor fiscal
o Enfermera de calidad
o Auditor mdico
Funciones y obligaciones del personal
El comit de seguridad asignara funciones a cada uno de los empleados en

materia de seguridad informtica, estas sern las nicas que estos deban
desarrollar, con el fin de brindar seguridad al sistemas de informacin.
Algunas de las exigencias que se deben realizar a quienes se les haya

asignado responsabilidades son no compartir informacin de la empresa con
terceras personas, uso adecuado de los recursos, cumplir con las clusulas de
confidencialidad de la informacin.
57
Personal con acceso privilegiado
El personal encargado de administrar el sistema es la persona encargada de:
Asignacin de perfiles a cada uno de los usuarios.

Es el responsable del buen funcionamiento de los equipos de cmputo.
Velar por la seguridad de la red y del software que opera en los equipos
de cmputo.
Actualizacin de los antivirus y dems software instalados.
Igual que cualquier otro usuario del sistema de informacin debe
respetar las polticas de seguridad de la empresa.
Personal con perfil de usuario
Slo podrn ingresar a los programas que estn autorizados para el desarrollo
normal de sus funciones. Dentro de sus funciones estn:
Cumplir las responsabilidades asignadas.

Dar un buen uso a los equipos de cmputo.
Abstener se instalar programas en los equipos.
Cumplir al pie de la letra las normas establecidas en las polticas de
seguridad.
Guardar confidencialidad con la informacin que es de propiedad de la
empresa.
Bloquear los equipos cuando se ausenten de los puestos de trabajo.
Hacer uso adecuado de las contraseas asignadas.
Informar al responsable de seguridad sobre anomalas detectadas
Responsable de seguridad
Es la persona encargada de coordinar todas las actividades relacionadas con

seguridad informtica de la organizacin, sus funciones son las siguientes:
Hacer cumplir las polticas de seguridad de la informacin.

Asignar privilegios a los usuarios del sistema.
Analizar constantemente problemas con sus respectivas soluciones.
Comprobar las polticas de buen uso de los equipos.
Verificar que las auditorias se realicen en los tiempos establecidos.
Comprobar que los controles establecidos cumplan los requerimientos.
Comprobar la realizacin de copias de seguridad segn lo establecido
en las polticas.
58
Realizar un asesoramiento de las polticas que se deben implementar
en la empresa.
5.3 FASE 3: ANLISIS DE RIESGOS
La metodologa utilizada para el desarrollo de este proyecto el cual consiste

en el anlisis para la implementacin de un Sistema de Gestin de Seguridad
Informtica segn la norma ISO 27001 en la empresa Servidoc S.A. se llevara
a cabo haciendo uso de la metodologa de anlisis de riesgos MAGERIT
El autor MATALOBOS VEIGA, Juan Manuel (2.009) afirma que el anlisis de

riesgos es una herramienta que permite identificar, clasificar y valorar los
eventos que pueden amenazar la consecucin de los objetivos de la
organizacin y establecer las medidas oportunas para reducir el impacto
esperable hasta un nivel tolerable.
El anlisis de riesgos es una de las tareas ms importantes en la

implementacin de un Sistema de Gestin de Seguridad Informtica, en este
caso, para realizar el estudio de anlisis de riesgos en la organizacin se ha
seleccionado la metodologa MAGERIT, esta es una metodologa que fue
elaborada por el Consejo Superior de Administracin Electrnica.
Esta metodologa est fundamentada principalmente en la minimizacin de los

riesgos en las organizaciones, ya que a medida que crece el uso de las
tecnologas de la informacin, los riegos a que se encuentran sometidas
crecen de igual manera.
MAGERIT permite cuantificar los activos que posee la organizacin y el valor

que representa para ella, indicando de esta forma los valores que estn en
riesgo y la forma de protegerlos, es una metodologa que se desarrolla
realizando una serie de pasos que se deben seguir al pie de la letra en aras
de lograr los resultados esperados.
59
Figura 24. Anlisis de Riesgos.
Fuente.
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_
Metodolog/pae_Magerit.html#.VfhKvvl_Oko
Objetivos
MAGERIT persigue los siguientes objetivos7:
Concienciar a las organizaciones y a los responsables del manejo de la

informacin de la existencia de riesgos y de la necesidad de
gestionarlos.
Ofrecer un mtodo sistemtico para analizar los riesgos derivados del
uso de tecnologas de la informacin y comunicaciones (TIC).
Ayudar a descubrir y planificar el tratamiento oportuno para mantener
los riesgos bajo control.
Preparar a la Organizacin para procesos de evaluacin, auditora,
certificacin o acreditacin, segn corresponda en cada caso.
Dentro de los informes que se pueden encontrar estn:
Modelo de valor: Se define el valor que representa cada activo para la

organizacin.
Mapa de riesgos: Se detallan cada una de las amenazas a las cules estn
expuestos los activos de la organizacin.
Declaracin de aplicabilidad: Se identifican salvaguardas y se define si son
relevantes en el SGSI.
Evaluacin de salvaguardas: Establecer un paralelo entre las salvaguardas
existentes en relacin al riesgo.
7 PORTAL DE ADMINISTRACIN ELECTRNICA. Magerit V.3: Metodologa de anlisis y gestin de

riesgos de los sistemas de informacin. Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.ht
ml#.VfhKvvl_Oko
60
Estado de riesgo: Agrupacin de los activos por riesgo
Informe de insuficiencias: Identificar salvaguardas y determinar si son
insuficientes o si existen, con el fin de reducir el riesgo
Cumplimiento de la normatividad: Definir si est bien estructurada de
acuerdo a la normatividad.
Plan de seguridad: Establecimiento de los proyectos de seguridad.
La metodologa MAGERIT contempla las siguientes fases:
Toma de datos y procesos de informacin

En esta fase se hace la definicin del alcance del anlisis.
Establecimiento de parmetros
Es esta etapa se definen los parmetros que sern utilizados durante todo el
anlisis, para este caso, los parmetros son:
o Valor de los activos
o Vulnerabilidad
o Impacto
o Efectividad del control
Anlisis de activos
En esta fase se identifican de forma detallada todos los activos que la

compaa y que son necesarios para el desarrollo normal de sus actividades.
Anlisis de amenazas
Esta fase permite clasificar las amenazas que afectan la compaa, se

clasifican en:
o Desastres naturales
o Desastres de origen industrial
o Errores y fallos no intencionados
o Ataques intencionados
Establecimiento de vulnerabilidades
Permite identificar las vulnerabilidades que posee la organizacin que en el

momento de materializarse afectan los activos de la empresa.
Valoracin de impactos
Se cuantifican el impacto que ejerce una amenaza sobre un activo.
61
Anlisis de riesgo intrnseco
Este anlisis muestra el estado en que se encuentra la organizacin en cuanto
a seguridad informtica se refiere.
Influencia de salvaguardas
Despus de haber identificado los riesgos, es necesario reducir los riesgos,

para ello se definen una serie de soluciones
Anlisis de riesgos efectivos

Esta etapa informa sobre la manera como se reducir el riesgo teniendo en
cuenta las salvaguardas que se han identificado.
Gestin de riesgos
Esta etapa es la que realmente define el rumbo de la organizacin, pues aqu
es donde se define cuales medidas de seguridad se implementarn segn el
listado de salvaguardas para reducir el riesgo.
5.3.1 Declaracin de aplicabilidad
La declaracin de aplicabilidad o SOA por sus siglas en ingls (Statement of

Applicability), segn (Valduciel, 2014). Es un documento que debe contener
todo SGSI segn la norma ISO/IEC 27001:2013, esta indica los controles que
se implementaran en la organizacin, adems se definen cuales controles se
excluirn y cul es la causa de la exclusin.
Al ser parte de la gestin documental, debe ser aprobado por la alta direccin
y sometido a revisiones previas con el fin de mantenerlo actualizado de
acuerdo al modelo y procesos de la empresa.
Segn MENDOZA, Miguel ngel (2.015) la declaracin de aplicabilidad no se

limita exclusivamente a los controles del estndar ISO seleccionado, se
pueden utilizar otros controles en la medida que se considere necesario.
Tabla 5. Aspectos relevantes para seleccionar un control.
LR Requerimiento Legal
CO Obligaciones Contractuales
Requerimientos del negocio /
BR/BP
Mejores Prcticas
RRA Resultado de Anlisis de Riesgos
62
Fuente: El autor.
Se ha diseado una tabla donde se puede apreciar de una mejor manera la

declaracin de aplicabilidad, esta incluye cada uno de los controles de la
norma ISO/IEC 27001:2013, se detallan los controles que son necesarios
implementar en la organizacin adems cada uno de los controles excluidos y
la causa de su exclusin. (Vase el Anexo C).
5.3.2 Toma de datos y procesos de informacin
Esta fase va de la mano con el alcance definido para el SGSI, se debe tener
en cuenta todos los procesos que desarrolla la organizacin, es necesario
precisar a qu nivel de detalle se pretende llegar, haciendo nfasis en los
procesos ms crticos y los riesgos que estos generan.
5.3.3 Establecimiento de parmetros
En esta etapa se identifican los parmetros que sern de ayuda para realizar
un correcto anlisis de riesgo, estos son:
Valor de los activos
La siguiente tabla muestra el valor que ha sido asignado a cada activo, es de

tener en cuenta que este valor est definido de acuerdo a unos criterios como
el que sea conocido por alguien que no debe conocerlo, los perjuicios que
causa el hecho que este daado o que no se pueda utilizar, otro factor
importante es su valor de reposicin.
Tabla 6. Valor de Activos.
Valor de Activos en Millones de Pesos ($)

DESCRIPCION CONVENCION VALOR
Muy alto MA > 200
Alto AL 100 - 200
Medio MD 50 - 100
Bajo BJ 10 - 50
Muy bajo MB 1 - 10
Fuente: El Autor
63
Vulnerabilidad
Cuando se habla de vulnerabilidad se refiere directamente a la posibilidad que

tiene una amenaza en materializarse sobre un determinado activo, este clculo
se realiza con perodos de un ao (365 das).
Los valores de la vulnerabilidad resultan de dividir el nmero de semanas entre

los das del ao, este clculo genera un valor que ser teniendo en cuenta ms
adelante.
En la tabla siguiente, se resume la explicacin anterior.
Tabla 7.Frecuencia Vulnerabilidades.
Frecuencia Vulnerabilidades
VULNERABILIDAD CONVENCION VALOR
Extremadamente Frecuente EF 1 - Una vez al da
Muy Frecuente MF 0,7123 - Quincenal
Frecuente FR 0,0164 - Bimestral
Poco Frecuente PF 0,0054 - Semestral
Muy Poco Frecuente MPF 0,0027 - Anual
Fuente: El Autor
Impacto
Se puede definir como la prdida del activo cuantificado en porcentajes cuando

ocurre un impacto sobre este.
Tabla 8. Impacto.
Impacto
Perdida en
DESCRIPCION CONVENCION %
Crtico C 80 - 100
Alto A 60 - 80
Medio M 30 - 60
Bajo B 5 -30
Fuente: El autor
64
Efectividad del control
Aqu se puede comprobar que tan efectivas son las medidas de proteccin de
los riesgos. Se relaciona a continuacin una tabla donde se asigna un valor
dado en porcentaje de acuerdo a la descripcin.
Tabla 9. Valoracin Impacto/Vulnerabilidad.
Valoracin
Impacto/Vulnerabilidad
DESCRIPCION VALOR
Muy alto 95%
alto 75%
Medio 50%
Bajo 30%
Muy bajo 10%
Fuente: El autor.
Dimensiones de Valoracin
En el libro de Magerit Versin 3.0, libro II, indica que la dimensin es la

caracterstica que posee un activo, es decir el aspecto o apariencia que tiene
este, los anlisis de riesgos de un activo se pueden realizar sobre una faceta
en particular, sin tener en cuenta otras.8
Algunas de estas caractersticas pueden ser la disponibilidad que tiene un

activo para ser usado, tambin se puede hablar de la capacidad de que la
informacin de un activo haya sido alterada sin su debida autorizacin, otra de
las facetas que se contempla es la confidencialidad, refirindose a que un
activo pueda ser utilizado slo por personal autorizado, adicionalmente se
encuentran la autenticidad, donde es necesarios demostrar que quien dice ser,
es realmente, por ltimo es necesario que quede constancia de las acciones
realizadas y de eso se ocupa la trazabilidad.
En la siguiente tabla, se describen algunas de estas facetas, asignndole una

letra a cada una de ellas.
8PORTAL DE ADMINISTRACIN ELECTRNICA. Magerit V.3: Metodologa de anlisis y

gestin de riesgos de los sistemas de informacin. Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_
Magerit.html#.VfhKvvl_Oko
65
Tabla 10. Dimensiones de Valoracin.
Identificacin del
Impacto
A Autenticidad
C Confidencialidad
I Integridad
D Disponibilidad
T Trazabilidad
Fuente: El autor.
En la siguiente tabla se clasifican los activos teniendo en cuenta la categora

a la cual pertenece.
Tabla 11. Clasificacin de activos por tipo.
Tipos de Activos
I Instalaciones
H Hardware
A Aplicaciones
D Datos
R Redes
S Servicios
P Personal
5.3.4 Anlisis de Activos
En esta etapa se identifican todos los activos que posee la organizacin, como
son activos fsicos, lgicos (Software), personal, instalaciones, entre otros,
estos se valoraran de acuerdo a la tabla de valoracin de activos
Tabla 12. Valoracin de Activos.
Valor en
Valor
Activo
de $
Personal Personal Directivo Muy alto 250 Crtico
66
Valor en
Valor
Activo
de $
Administradora Alto 150 Crtico

Jefes enfermera Alto 90 Alto
Personal barra de servicios Alto 50 Bajo
Auxiliares enfermera Medio 50 Bajo
Auxiliares laboratorio Medio 50 Bajo
Mdicos Generales Alto 50 Bajo
Mdicos especialistas Alto 50 Alto
Servicios generales Medio 50 Bajo
Contadora Alto 100 Alto
Asistente contable Medio 50 Medio
Revisor fiscal Alto 100 Medio
Secretaria gerencia Medio 50 Bajo
Secretaria asignacin citas Bajo 10 Bajo
Ingeniero sistemas Alto 100 Critico
Bacterilogas Alto 100 Alto
Mensajero Alto 3 Muy bajo
Auditores mdicos Alto 100 Alto
Electro mdico Alto 100 Medio
Electricista Bajo 10 Bajo
Mantenimiento Bajo 10 Bajo
Porttiles Bajo 10 Medio
Equipos de cmputo Medio 50 Crtico
Hardware
Impresoras Medio 40 Alto
Servidor Aplicaciones Muy Alto 200 Critico
Acces point Medio 50 Crtico
Swichet Medio 50 Crtico
Red
Routers Medio 50 Crtico
firewalls Medio 50 Crtico
cableado estructurado Muy alto 250 Crtico
Instalacin
Instalaciones elctricas Muy alto 250 Crtico
Servicios Conectividad a internet Muy alto 250 Crtico
Equipamiento
Planta elctrica Medio 60 Bajo
Auxiliar
Windows server 2010 Medio 50 Crtico
Software o CgUno Medio 50 Alto
aplicacin Windows Medio 50 Alto
Ofimtica Bajo 10 Muy bajo
67
Valor en
Valor
Activo
de $
Contratos de trabajo personal Bajo 10 Bajo

Plizas mantenimiento Bajo 10 Bajo
Activo de BD usuarios EPS Medio 50 Crtico
informacin BD proveedores Medio 50 Crtico
contabilidad Muy alto 200 Crtico
Mercadeo Alto 100 Medio
Fuente: El autor.
5.3.5 Anlisis de amenazas
Las amenazas son consideradas como todas las posibles situaciones que
pueden ocasionar problemas de seguridad, las amenazas se clasifican en
cuatro grupos como son: Desastres naturales, de origen industrial, errores y
fallos no intencionados y ataques intencionados. 9
A continuacin se relaciona una tabla donde se describen cada una de las

amenazas, relacionando la dimensin, segn (Tabla 10) y los activos
afectados, segn (Tabla 11)
Tabla 13. Amenazas.
Dimensin
Activos Afectados
GRUPO AMENAZA Afectada
A C I D T I H A D R S P
Fuego X X X
Daos por agua X X X
Desastres
Naturales Contaminacin X X X x
Siniestro mayor X X X x
fenmeno climtico X X X x
9 PORTAL DE ADMINISTRACIN ELECTRNICA. Magerit V.3: Metodologa de anlisis y

gestin de riesgos de los sistemas de informacin. Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_
Magerit.html#.VfhKvvl_Oko
68
Dimensin
Activos Afectados
Fenmeno de origen volcnico X X X x
Fenmeno meteorolgico X X X x
Inundacin X X X x
Otros desastres Naturales X X X
Fuego X X X
Daos por agua X X X
Contaminacin Mecnica X X
Desastres de
Origen Contaminacin electromagntica X X
Industrial Avera de origen fsico o lgico X X X
Corte del suministro elctrico X X
Condiciones inadecuadas de temperatura
o humedad X X
Fallo de servicios de comunicaciones X X
Interrupcin de otros servicios y
suministros esenciales X X
Degradacin de los soportes de
almacenamiento de la informacin X X
Emanaciones electromagnticas Errores y
fallos no intencionados x X X
Errores de los usuarios X X X X X x
Errores del administrador X X X X X X X X
Errores de monitorizacin (log) X X X
Errores de configuracin X X
Deficiencias en la organizacin X X
Difusin de software daino X X X X
Errores de [re-]encaminamiento X X X X
Errores de secuencia X X X X
Escapes de informacin X X
Errores y fallos Alteracin accidental de la informacin X x X X X X
no Destruccin de informacin X x X X X X
intencionados Fugas de informacin X x X X x X X
Vulnerabilidades de los programas
(software) X X X X
Errores de mantenimiento / actualizacin
de programas (software) X X X
Errores de mantenimiento / actualizacin
de equipos (hardware) X X
Cada del sistema por agotamiento de
recursos X X X X
Prdida de equipos X X X
Indisponibilidad del personal X X
ataques Manipulacin de los registros de actividad
intencionados (log) X X X
69
Dimensin
Activos Afectados
Manipulacin de la configuracin X X X X
Suplantacin de la identidad del usuario x X X X X X X X X
Abuso de privilegios de acceso X X X X X X X X
Uso no previsto X X X X X X X X
Difusin de software daino X X X X
[Re-]encaminamiento de mensajes X X X X
Alteracin de secuencia X X X X
Acceso no autorizado X X X X X X X X
Anlisis de trfico X X
Repudio X X X X
Interceptacin de informacin (escucha) X X
Modificacin deliberada de la informacin X X X X X X
Destruccin de informacin X X X X X
Divulgacin de informacin X X X X X
Manipulacin de programas X X X X
Manipulacin de los equipos X X X
Denegacin de servicio X X X X X X
Robo X X X X
Ataque destructivo X X X
Ocupacin enemiga X X X
Indisponibilidad del personal X X
Extorsin X X X X
Ingeniera social X X X X
Cuantificacin de amenazas
La cuantificacin de las amenazas se realiza teniendo en cuenta la frecuencia

con que se presenta esta en cada activo, el valor se toma de la tabla frecuencia
de vulnerabilidades, donde se da un valor dependiendo de la frecuencia con
que ocurre, estos pueden ser diarios, quincenales, bimestrales, semestrales o
anuales, luego se le asigna un porcentaje de acuerdo a los valores asignados
en la tabla impacto, es decir se asigna un porcentaje si el impacto sobre el
activo es muy alto, alto, medio, bajo o muy bajo, estos porcentajes se asignan
sobre las caractersticas del activo, como son autenticidad, confidencialidad,
integridad, disponibilidad y por ltimo trazabilidad. (Vase el anexo D).
5.3.6 Resultado de vulnerabilidades

El anlisis de las vulnerabilidades se realiz haciendo uso de diferentes
tcnicas como observacin, entrevistas, pruebas de penetracin, utilizando
70
herramientas de software especializadas para el este tipo de anlisis, se opt
por la utilizacin de herramientas de distribucin libre como Nmap,
TheHarvester, DNSenum; Wireshark, Mozilla Firefox.
La primera tarea fue realizar un escaneo de puertos, en este caso se utiliz la

herramienta Nmap.
Nmap: es una herramienta de cdigo abierto especializada es escaneo de

puertos de una red
Se realiza escaneo de puertos a la red de Servidoc S.A. el resultado obtenido

es que los puertos 23, 80 y 5431 se encuentran abiertos, indicando
vulnerabilidades de puertos en la red de la organizacin tal como se muestra
en la siguiente imagen.
Figura 25. Puertos abiertos
Fuente. El Autor
Ahora se realiza escaneo especficamente al puerto 80, encargado de correr

los servicios http, el rango de direcciones corresponde al rea de contabilidad.
Al ejecutar el programa Nmap se muestran vulnerabilidades, indicando que el
puerto 80 se encuentra abierto para la direcciones 192.168.0.1 y 192.168.0.40
como se muestra en la siguiente imagen, adicionalmente indica que hay un
dispositivo mvil (Huawei) conectado a la red, permitiendo vulnerabilidades de
uso inadecuado de los recursos de la red, esto se puede apreciar en la
siguiente imagen
Figura 26. Escaneo de puertos con direcciones IP
71
Fuente. El autor
Tambin se realiz un anlisis de vulnerabilidades a la URL del sitio web de la

compaa, en este caso se hizo con la herramienta TheHarvester
TheHarvester: es una herramienta Linux, que busca informacin de una URL

como cuentas de correo electrnico, subdominios que posee, puertos abiertos,
entre otros, los datos son obtenidos de fuentes como motores de bsqueda,
informacin de la red LinkedIn, de la base de datos Shodan, servidores PGP.
Se ejecutara TheHarvester a la URL servidocips.com
Figura 27. Escaneo a pgina web de la organizacin
Fuente. El Autor
72
El resultado obtenido despus de ejecutar la herramienta es la cuenta de
correo electrnico de Servidoc, y la direccin del host.
Otra herramienta utilizada fue DNSenum.
DNSenum: Permite buscar informacin DNS, en este caso se obtuvo el

nombre del host y los servidores que maneja, adicionalmente sus direcciones
IP y el puerto que utiliza.
Figura 28. Escaneo DNS a Servidocips.com
Fuente. El Autor
Con Wireshark, quien se encarga de analizar de forma exhaustiva el trfico

de la red y permitir filtrado de los diferentes protocoles, se realiz un escaneo
a la red, identificando que existe navegacin en pginas como Facebook,
linkedin, YouTube, reproducciones de pginas web de novelas como RCN y
CARACOL NOVELAS.
El uso de redes sociales es una de las grandes vulnerabilidades que poseen
las organizaciones, otro factor preocupante es el uso de pginas de streaming
video, que adems de consumir los recursos del ancho de banda, representan
vulnerabilidades.
73
Figura 29. Monitoreo de red
Fuente. El autor
Adems del uso de las herramientas Linux descritas anteriormente, se realiz

un anlisis muy sencillo a una de las estaciones de contabilidad, este consisti
en consultar la configuracin de los complementos del navegador Mozilla
Firefox, arrojando como resultado que hay software desactualizado,
convirtindose as en un equipo vulnerable ante ataques, tal como lo muestra
la siguiente imagen las lneas de color rojo
Figura 30. Anlisis de software desactualizado
Fuente. El autor
74
En otro anlisis, se identific que el navegador posee barras de herramientas
de publicidad que podran llegar a ser virus, en este caso se observa
MyFunCards.
Con este hallazgo, se puede concluir que los usuarios pueden realizar
descargas de software sin ningn control, esto representa grandes
vulnerabilidades para Servidoc S.A., dems se puede observar que entre los
lugares ms visitados se encuentra la pgina www.facebook.com.
Figura 31. Software instalado no autorizado
Fuente. El autor
Despus de aplicar las tcnicas descritas anteriormente, se detalla en la

siguiente tabla cada una de las vulnerabilidades que posee la organizacin, se
han organizado por grupo de amenazas como son desastres naturales,
desastres de origen industrial, errores y fallos no intencionados y ataques
intencionados.
Tabla 14. Vulnerabilidades
Origen Amenazas Vulnerabilidades

Falta de controles fsicos como
Daos por agua
Desastres
Naturales
detectores de humedad
Falta de controles fsicos contra
Fuego
incendio.
75

Avera de origen fsico Falta de controles fsicos y lgicos
o lgico como mantenimiento preventivo de
hardware y software.
Condiciones No existen dispositivos de control de
inadecuadas de humedad
temperatura o
humedad
Contaminacin Falta de controles fsicos
electromagntica
Desastres de Origen Industrial
Contaminacin Falta de mantenimiento preventivo

Mecnica peridico
Corte del suministro Falta de tablero de transferencia
elctrico automtica
Degradacin de los Falta de controles fsicos preventivos
soportes de a los medios de almacenamiento
almacenamiento de la
informacin
Fallo de servicios de Falta de equipos de comunicacin
comunicaciones que garanticen la continuidad del
servicio
8nterrupcin de otros No existen polticas sobre los
servicios y suministros suministros que deben permanecer
esenciales en stock para asegurar la continuidad
del servicio
Otros desastres Falta de plizas con cobertura de
Naturales desastres naturales
Alteracin accidental de No existen polticas adecuadas de
la informacin verificacin de informacin y
almacenamiento de ella.
Errores y fallos no
Cada del sistema por Falta de controles que permitan

intencionados
agotamiento de medir la capacidad de los recursos

recursos fsicos y lgicos
Deficiencias en la No hay una definicin clara de
organizacin responsabilidades en materia de
seguridad informtica, no existe un
procedimiento claro sobre a quien se
deben reportar los incidentes
relacionados con seguridad
informtica
76

Destruccin de Falta de controles de ingreso a las
informacin instalaciones y zonas restringidas, no
existen controles criptogrficos, falta
de polticas de copias de seguridad y
almacenamiento de la informacin.
Errores de Falta de procedimientos que
configuracin permitan monitorizar la adecuada
configuracin de los activos de la
organizacin.
Errores de los usuarios Falta de polticas claras sobre el
manejo adecuado de los recursos.
Errores de Falta de controles de mantenimiento
mantenimiento / preventivo y peridico a los
actualizacin de dispositivos
equipos (hardware)
Errores de secuencia Falta de controles fsicos
Errores del Falta de capacitacin al personal
administrador
Escapes de No existen procedimientos sobre el
informacin manejo adecuado de informacin
confidencial.
Indisponibilidad del Falta de capacitacin y
personal concientizacin de los empleados.
Prdida de equipos Falta de controles de acceso a las
instalaciones
[Re-]encaminamiento No existen controles sobre el uso de
de mensajes cuentas de correo electrnico ni de
acceso a la red, Falta de controles
Ataques intencionados
sobre el uso de redes sociales, chat,

foros.
Abuso de privilegios de Falta de asignacin de perfiles de
acceso acuerdo al rol que desempean para
el desarrollo de las actividades,
situacin que permite que los
usuarios tengan acceso total a la
informacin, generando
Acceso no autorizado Falta de polticas de acceso a la
informacin e instalaciones de la
empresa, configuracin inadecuada
de equipos de comunicacin.
77

Anlisis de trfico Falta de controles que permitan un
monitoreo constante del trfico que
viaja por la red
Ataque destructivo Falta de vigilancia de las
instalaciones, no se cuenta con
plizas que tengan cobertura por
daos a las instalaciones o equipos
informticos
Denegacin de servicio Falta de controles fsicos y lgicos
que permitan la continuidad del
servicio
Divulgacin de Falta de controles que permitan un
informacin procedimiento adecuado contra la
revelacin de informacin de la
empresa
Extorsin Falta de polticas que definan un
procedimiento a seguir ante
vulnerabilidades de este tipo
Ingeniera social Falta de capacitacin del personal en
aspectos relacionados a seguridad
informtica.
Manipulacin de la Falta de controles de privilegios de
configuracin usuarios y configuraciones
Manipulacin de los Falta de controles sobre el uso
equipos adecuado de los recursos y polticas
de confidencialidad de la informacin
Modificacin deliberada Falta de polticas sobre el uso
de la informacin adecuado e integridad de la
informacin
Repudio Falta de controles que permitan
monitorear el desarrollo de las
actividades
Falta de controles de acceso a las
instalaciones, no existen polticas del
Robo
uso seguro de medios de
almacenamiento y soportes en papel.
Suplantacin de la Falta de privilegios de acceso al
identidad del usuario sistema y a las redes
Uso no previsto Falta de polticas que prohban el uso
de los activos de la organizacin para
fines personales
Fuente: El autor.
78
5.3.7 Impacto potencial
El impacto potencial hace referencia a la cuantificacin que se asigna al dao

al que puede ser sometido un activo, esto se da cuando una amenaza se
materializa.
Para realizar el clculo, se tom el valor del activo, se multiplico por el valor
asignado a la frecuencia que se estableci anteriormente (valor asignado de
acuerdo a das, quincenal, bimestral, semestral, anual) y finalmente se
multiplica por el mayor valor de la dimensin afectada.
De acuerdo a los resultados arrojados, la organizacin considera que el nivel

aceptable del riesgo ser para valores inferiores a $ 200.000, lo que significa
que cualquier activo que se encuentre por encima de este valor, ser
necesario aplicarle salvaguardas. (vase el Anexo E).
5.3.8 Riesgo residual
Despus de haber identificado las amenazas que superaban el nivel de riesgo

que estableci la empresa, se establecen algunos controles que permitirn
mitigar el riesgo identificado, es de aclarar que estos riesgos pueden ser por
el impacto que producen sobre el activo o por la ocurrencia, el clculo se
detalla a continuacin, donde se incluye una columna llamada descripcin de
salvaguarda, en esta se encuentra plasmada la solucin que puede mitigar el
riesgo, la siguiente columna muestra el porcentaje al que se puede disminuir
el riesgo, para finalmente tener una nueva cuantificacin que resulta del 100%
menos l % de reduccin del riego por el valor calculado en la columna
Frecuencia * Impacto * Valor.
Una vez cuantificado nuevamente el riesgo, se observa que los controles

quedan por debajo del valor lmite establecido, esta cuantificacin indica que
los controles que han sido sugeridos son adecuados. (vase el Anexo F).
5.4 FASE 4: PROPUESTA DE PROYECTOS
Una vez culminada la etapa anterior donde se identificaron los riesgos, es

necesario el planteamiento de proyectos que ayuden a la organizacin a poder
alcanzar el nivel de seguridad deseado cumpliendo con disponibilidad,
integridad y confidencialidad de la informacin.
79
Objetivo de los proyectos
Los proyectos presentados a la compaa Servidoc S.A. tienen como
propsito:
o Llevar los riesgos que han sido identificados en la etapa anterior a un

nivel aceptable.
o Concientizar a la empresa en el uso de mejores prcticas de la
seguridad de la informacin.
o Permitirle a la organizacin estar preparada ante situaciones que
afecten la continuidad del negocio.
Alcance
Los proyectos tienen como propsito dar solucin a las vulnerabilidades

encontradas en el anlisis de riesgos, estos proyectos se relacionan
directamente con los activos de la empresa los cuales pueden ser tecnologa,
informacin, recursos humanos, procesos, entre otros.
Tipos de proyectos
Segn PEREIRA, Hose Aurela (2.013) los proyectos se agrupan en tres

categoras como son:
Mitigacin de riesgos asociados a desastres de origen natural o

industrial.
Mitigacin del riesgo asociado a ataques intencionados.
Mitigacin del riesgo asociado a errores no intencionados.
5.4.1 Mitigacin de riesgos asociados a desastres de origen natural o

industrial.
Con la implementacin de este proyecto se establecern bases firmes para

proteger la organizacin ante vulnerabilidades de seguridad fsica y ambiental.
Objetivos: Con la adopcin de este proyecto la organizacin estar en

capacidad de:
Concientizar al personal de la compaa sobre lo importante que es la

proteccin y prevencin de incidentes de este tipo.
Conocer la importancia de tener asegurada la compaa mediante plizas
con cobertura de desastres de origen natural o industrial.
80
Realizar mantenimientos peridicos de tipo preventivo y correctivo a
dispositivos de control fsico y ambiental.
Contar con un equipo humano que est capacitado para afrontar
eventualidades o desastres de tipo natural o industrial.
Beneficios: Con este proyecto se reforzar la organizacin en cuanto a

seguridad fsica y ambiental, adems se definirn procedimientos que se
deben llevar a cabo cuando se presenten amenazas de esta ndole, otro de
los factores importantes que trae este proyecto es poder establecer
mecanismos de medicin que aportaran directamente a la mejora continua.
Alcance: El alcance de este proyecto son las instalaciones de Servidoc S.A. y

los dispositivos de hardware.
Fases: Para el desarrollo de este proyecto se deben seguir las siguientes

fases:
Evaluacin del estado actual: Esta fase permite identificar cules son los
controles que tiene implementados la organizacin, dar un diagnstico de
su estado actual, adems identificar los equipos que hagan falta y deban
ser adquiridos ya sea por modalidad de compra, comodato, leasing,
adems se definirn los procedimientos que se deben desarrollar para su
puesta en funcionamiento.
Establecer acuerdos con terceros: Esta fase se realiza una vez se han
tomado medidas respecto a la adquisicin de los equipos, paso seguido se
deben realizar acuerdos con terceros en lo que se refiere a: acuerdos de
servicios como periodicidad del mantenimiento de los equipos,
consecucin de plizas con cobertura de desastres naturales e industriales,
obtencin de datos de las personas de contacto, contacto con las
autoridades, en este caso autoridades como bomberos y polica.
Estructuracin de procedimientos: Se establecern procedimientos que

permitirn llevar a cabo cada una de las tareas que contempla este
proyecto, dentro de los procedimientos que se contemplan estn:
procedimientos de entrenamientos, de configuracin de equipos, registro
detallado de cada uno de los eventos presentados, establecimiento de
mtricas, pruebas de equipos.
Ejecucin de trabajos: Es aqu donde el personal seleccionado en una de
las fases anteriores realiza la instalacin y configuracin de los equipos.
Pruebas: Para realizar las pruebas es necesario crear escenarios para

probar el correcto funcionamiento de los equipos.
Entrenamiento: Se entrenar al personal encargado de la realizacin del

monitoreo de equipos, adems se entregar informacin para concientizar
81
al personal de la compaa sobre los equipos instalados, es de vital
importancia capacitar al personal sobre la realizacin prcticas que activen
los equipos, generando falsas alarmas.
Puesta en marcha: Una vez culminadas todas las fases anteriores, se

procede con la formalizacin de la puesta en marcha de los equipos
instalados.
Reporte: Se presentan los resultados del anlisis para la implementacin

del proyecto a la alta gerencia.
El tiempo estimado para implementar este proyecto es de 2 meses.
Los costos estimados para este proyecto contemplando recurso humano y

equipos son de $ 26.000.000
5.4.2 Mitigacin de riesgos asociados a ataques intencionados

proteger la organizacin ante ataques intencionados de seguridad fsica y
lgica de los activos, estos ataques pueden ser realizados por personas ajenas
a la organizacin o por empleados internos.

capacidad de:
Concientizar al personal de la compaa sobre la importancia que

representa la proteccin y prevencin de incidentes de este tipo.
con cobertura de robos ataques destructivos.
Realizar mantenimientos preventivos y correctivos a dispositivos de control
fsico.
eventualidades y se puedan implementar planes de contingencia.
Realizar seguimiento y monitoreo a los equipos de cmputo, software e
instalaciones.

seguridad fsica y lgica, adems se definirn procedimientos que se deben
llevar a cabo cuando se presenten amenazas de esta ndole, otro de los
factores importantes que trae este proyecto poder establecer mecanismos de
medicin que aportaran directamente a la mejora continua, estos controles
transmitirn confianza tanto a los clientes internos y externos de la
organizacin.
82
los dispositivos de hardware, software y servicios que presta la compaa.

fases:
Evaluacin del estado actual: Esta fase permite identificar cules son los
controles que tiene implementados la organizacin, dar un diagnstico de
su estado actual, adems identificar los elementos fsicos o lgicos que
hagan falta y deban ser adquiridos, adems se definirn los procedimientos
que se deben desarrollar para su puesta en funcionamiento.
Establecer acuerdos con terceros: Esta fase se realiza una vez se han
tomado medidas respecto a la fase anterior, paso seguido se deben realizar
acuerdos con terceros en lo que se refiere a: acuerdos de servicios como
periodicidad del mantenimiento de los equipos, consecucin de plizas con
cobertura de robo, ocupacin enemiga, obtencin de datos de las personas
de contacto.
Estructuracin de procedimientos: Se establecern procedimientos que

permitirn llevar a cabo cada una de las tareas que contempla este
procedimientos de entrenamiento, de configuracin de equipos, registro
detallado de cada uno de los eventos presentados, establecimiento de
mtricas, pruebas de equipos.
Ejecucin de trabajos: Es aqu donde el personal seleccionado en una de

las fases anteriores realiza la instalacin y configuracin de los equipos y
programas.
Pruebas: Para realizar las pruebas es necesario crear escenarios para

probar el correcto funcionamiento de los equipos y programas.
Entrenamiento: Se entrenar al personal encargado de la realizacin del

monitoreo de equipos y software, adems se entregar informacin para
concientizar al personal de la compaa sobre los equipos y programas
instalados, es de vital importancia capacitar al personal sobre los
elementos instalados.

procede con la formalizacin de la puesta en marcha de los equipos y
programas instalados.
Reporte: Se presentan los resultados del anlisis para la implementacin

del proyecto a la alta gerencia.
83
El tiempo estimado para la realizacin de este proyecto es de 2 meses.

5.4.3 Mitigacin del riego asociado a errores no intencionados

proteger la organizacin ante errores no intencionados de seguridad fsica y
lgica de los activos, estos ataques pueden ser realizados por personas ajenas
a la organizacin o por empleados internos.

capacidad de:
Concientizar al personal de la compaa sobre la importancia que

representa la proteccin y prevencin de incidentes de este tipo.
con cobertura perdida y dao de equipos.
Realizar mantenimientos preventivos y correctivos a dispositivos de
hardware y software.
eventualidades y se puedan implementar planes de contingencia.
Realizar seguimiento y monitoreo a los equipos de cmputo, software e
instalaciones.
Contar con sistemas de proteccin de perdida de datos DLP.
Contar con un sistema de proteccin antivirus en todos los equipos de
cmputo y servidores.
Contar con polticas de configuracin de equipos y perfiles de usuario.

seguridad fsica y lgica, adems se establecern una serie de
procedimientos que se deben llevar a cabo cuando se presenten amenazas
de esta ndole, otro de los factores importantes que trae este proyecto poder
establecer mecanismos de medicin que aportaran directamente a la mejora
continua, estos controles transmitirn confianza tanto a los clientes internos y
externos de la organizacin.

los dispositivos de hardware, software y servicios que presta la compaa.

fases:
84
Evaluacin del estado actual: Esta fase permite identificar cules son
los controles que tiene implementados la organizacin, dar un
diagnstico de su estado actual, adems identificar los elementos
fsicos o lgicos que hagan falta y deban ser adquiridos, adems se
definirn los procedimientos que se deben desarrollar para su puesta
en funcionamiento.
Establecer acuerdos con terceros: Esta fase se realiza una vez se

han tomado medidas respecto a la fase anterior, paso seguido se
deben realizar acuerdos con terceros en lo que se refiere a: acuerdos
de servicios como periodicidad del mantenimiento de los equipos,
consecucin de plizas con cobertura de robo, ocupacin enemiga,
obtencin de datos de las personas de contacto.
Estructuracin de procedimientos: Se establecern procedimientos

que permitirn llevar a cabo cada una de las tareas que contempla este
procedimientos de entrenamiento, de configuracin de equipos,
registro detallado de cada uno de los eventos presentados,
establecimiento de mtricas, pruebas de equipos.
Ejecucin de trabajos: Es aqu donde el personal seleccionado en

una de las fases anteriores realiza la instalacin y configuracin de los
equipos y programas.
Pruebas: Para la realizacin de las pruebas es necesario crear

escenarios para probar el correcto funcionamiento de los equipos y
programas.
Entrenamiento: Se entrenar al personal encargado de la realizacin

del monitoreo de equipos y software, adems se entregar informacin
para concientizar al personal de la compaa sobre los equipos y
programas instalados, es de vital importancia capacitar al personal
sobre los elementos instalados.
procede con la formalizacin de la puesta en marcha de los equipos y
programas instalados.
Reporte: Se presentan los resultados del anlisis para la

implementacin del proyecto a la alta gerencia.
El tiempo estimado para la realizacin de este proyecto es de 1 mes.

85
5.5 FASE 5. AUDITORIA DE CUMPLIMIENTO
5.5.1 Metodologa
En esta etapa se evala cual es el cumplimiento que tiene la organizacin en

cuanto a seguridad informtica, para realizar este anlisis se tomara cada uno
de los controles que contempla la norma ISO/IEC 27001:2013 y se evaluar el
cumplimiento de cada uno de ellos por parte de la compaa.
Cabe resaltar que a lo largo del desarrollo de este trabajo, se han establecido
algunas acciones de mejora en algunos controles, lo que significa que el
estado de madurez que se realiz inicialmente ha cambiado, pero a su vez es
necesario realizar la auditoria de cumplimiento para identificar las falencias
que se tienen y cules son las oportunidades de mejora.
Al finalizar esta etapa, se debe presentar un informe del estado actual con sus
respectivas conclusiones
Para la evaluacin de cada uno de los controles que contempla la norma

ISO/IEC 27001:2013, se debe tener en cuenta la siguiente tabla, donde se
podrn encontrar cada una de las convenciones.
Tabla 15. Convenciones nivel de cumplimiento.
Valor Nombre Porcentaje Descripcin

No existe evidencia del estndar o
0 No existente
0% practica en la compaa.
La organizacin tiene practicas hechas a
1 Inicial
10% la medida pero inconsistentes.
La organizacin tiene un enfoque
2 Repetible
40% coherente pero no documentado.
Se tiene un enfoque coherente y
3 Definido
50% documentado pero no medido.
Los procesos son medidos frecuente
4 Administrado
80% mente y se realizan mejoras.
La organizacin ha refinado su
5 Optimizado cumplimiento con el nivel de las mejores
100% prcticas
6 No Aplica N/A El control no es aplicable a la compaa
Fuente: El autor.
Los clculos se efectuaran teniendo en cuenta el nivel de cumplimiento en

cada control cuantificando cada uno de ellos segn la tabla anterior, este
86
procedimiento se realizara para cada uno de los dominios que estable la
norma, estos son:
Polticas de seguridad de la informacin.

Organizacin de la seguridad de la informacin.
Seguridad de los recursos humanos.
Gestin de activos.
Control de acceso.
Criptografa.
Seguridad fsica y del entorno.
Seguridad de las operaciones.
Seguridad de las comunicaciones.
Adquisicin, desarrollo y mantenimientos de sistemas.
Relacin con los proveedores.
Gestin de incidentes de seguridad de la informacin.
negocio.
Cumplimiento.
La compaa considera que el porcentaje de cumplimiento que se debe

alcanzar es el 80%.
5.5.2 Evaluacin de cumplimiento
A continuacin se evala el estado de cumplimiento de cada uno de los

controles que contempla la norma ISO/IEC 27001:2013, se evala su estado
de madurez para ello es necesario regirse al modelo de madurez de la
capacidad (CMM), con la aplicacin de este modelo se evidenciara el
cumplimiento que tiene la compaa respecto a la norma.
En la siguiente tabla se encuentran cada uno de los dominios con sus

respectivos controles, adems se ha incluido una columna llamada efectividad,
donde se mostrara el nombre asignado de acuerdo a la tabla convenciones de
nivel de cumplimiento, adicionalmente se encuentra la columna efectividad
dada en porcentajes, resultado asignado de acuerdo al nombre de la columna
anterior.
Los controles que se encuentran en color amarillo indican que han logrado un
gran nivel de madurez, pues durante este anlisis se han implementado
controles, es el del documento de polticas de la seguridad y la informacin y
el documento de asignacin de roles y responsabilidades
87
Tabla 16. Modelo de madurez y la capacidad (CMM).
cu
m
pl
N e/ Por
Control/Objetivo de Control - Descripcin no cent
C cu aje
m
pl
e
Polticas de seguridad de la
5 80%
informacin
Directrices establecidas por la
5.1 direccin para la seguridad de la
informacin
Polticas para la seguridad de la
5.1.1 Seguridad 4 Administrado Si 80%
informacin
Revisin de las polticas para
5.1.2 Seguridad 4 Administrado si 80%
seguridad de la informacin
Organizacin de la seguridad de la
6 40%
informacin
6.1 Organizacin interna
Roles y responsabilidades para la
6.1.1 Seguridad 4 Administrado si 80%
seguridad de informacin
6.1.2 Separacin de deberes Seguridad 4 Administrado si 80%
6.1.3 Contacto con las autoridades Seguridad 0 No existente no 0%
Contacto con grupos de inters
6.1.4 Seguridad 0 No existente no 0%
especial
Seguridad de la informacin en la
6.1.5 Seguridad 0 No existente no 0%
gestin de proyectos
6.2 Dispositivos mviles y teletrabajo
6.2.1 Poltica para dispositivos mviles Seguridad 4 Administrado si 80%
6.2.2 Teletrabajo Seguridad 6 No Aplica no N/A
7.1 Antes de asumir el empleo
7.1.1 Seleccin Rh 3 Definido si 50%
7.1.2 Trminos y condiciones del empleo Rh 2 Repetible no 40%
7.2 Durante la ejecucin del empleo
7.2.1 Responsabilidades de la direccin Rh 4 Administrado si 80%
Toma de conciencia, educacin y
formacin en la seguridad de la 0 No existente no 0%
7.2.2 informacin Rh
7.2.3 Proceso disciplinario Rh 0 No existente no 0%
7.3 Terminacin o cambio de empleo
Terminacin o cambio de
0 No existente no 0%
7.3.1 responsabilidades de empleo Rh
88
cum
N ple/ Por
Descripci
Control/Objetivo de Control - no cent
n
C cum aje
ple
8.1 Responsabilidad por los activos

Administrad
4 si 80%
8.1.1 Inventario de activos Rh o
Administrad
4 si 80%
8.1.2 Propiedad de los activos Rh o
8.1.3 Uso aceptable de los activos Rh 2 Repetible no 40%
Administrad
4 si 80%
8.1.4 Devolucin de activos Rh o
8.2 Clasificacin de la informacin
8.2.1 Clasificacin de la informacin Rh 2 Repetible no 40%
8.2.2 Etiquetado de la informacin Sistemas 2 Repetible no 40%
8.2.3 Manejo de activos Rh 2 Repetible no 40%
8.3.1 Gestin de medios removibles Sistemas 2 Repetible no 40%
8.3.2 Disposicin de los medios Sistemas 2 Repetible no 40%
8.3.3 Transferencia de medios fsicos Sistemas 2 Repetible no 40%
Requisitos del negocio para control de
9.1 acceso
Administrad
Seguridad 4 Si 80%
9.1.1 Poltica de control de acceso o
Poltica sobre el uso de los servicios Administrad
Seguridad 4 Si 80%
9.1.2 de red o
9.2 Gestin de acceso de usuarios
Registro y cancelacin del registro de Seguridad 2 Repetible no 40%
9.2.1 usuarios
9.2.2 Suministro de acceso de usuarios Seguridad 2 Repetible no 40%
Gestin de derechos de acceso Seguridad 2 Repetible no 40%
9.2.3 privilegiado
Gestin de informacin de Seguridad 2 Repetible no 40%
9.2.4 autenticacin secreta de usuarios
Revisin de los derechos de acceso de Seguridad 2 Repetible no 40%
9.2.5 usuarios
Retiro o ajuste de los derechos de Seguridad 2 Repetible no 40%
9.2.6 acceso
9.3 Responsabilidades de los usuarios
Uso de la informacin de autenticacin Seguridad 0 No existente no 0%
9.3.1 secreta
Control de acceso a sistemas y
9.4 aplicaciones
9.4.1 Restriccin de acceso Informacin Seguridad 0 No existente no 0%
9.4.2 Procedimiento de ingreso seguro Seguridad 0 No existente no 0%
9.4.3 Sistema de gestin de contraseas Seguridad 0 No existente no 0%
89
cum
N ple/ Por
Descripci
n
C cum aje
ple
Uso de programas utilitarios Seguridad 0 No existente no 0%
9.4.4 privilegiados
Control de acceso a cdigos fuente de Seguridad 6 No Aplica no N/A
9.4.5 programas
#DI
10 Criptografa V/0!
10.1 Controles criptogrficos
Poltica sobre el uso de controles Seguridad 6 No Aplica no N/A
10.1.1 criptogrficos
10.1.2 Gestin de llaves Seguridad 6 No Aplica no N/A
11.1 reas seguras
Seguridad
2 Repetible no 40%
11.1.1 Permetro de seguridad fsica Fsica
Seguridad
2 Repetible no 40%
11.1.2 Controles fsicos de entrada Fsica
Seguridad de oficinas, recintos e Seguridad 2 Repetible no 40%
11.1.3 instalaciones Fsica
Proteccin contra amenazas externas Seguridad 2 Repetible no 40%
11.1.4 y ambientales Fsica
Seguridad
2 Repetible no 40%
11.1.5 Trabajo en reas seguras Fsica
Seguridad
6 No Aplica no N/A
11.1.6 reas de despacho y carga Fsica
11.2 Equipos
Seguridad
2 Repetible no 40%
11.2.1 Ubicacin y proteccin de los equipos Fsica
Seguridad
2 Repetible no 40%
11.2.2 Servicios de suministro Fsica
11.2.3 Seguridad del cableado Sistemas 2 Repetible no 40%
11.2.4 Mantenimiento de equipos Sistemas 2 Repetible no 40%
Seguridad
2 Repetible no 40%
11.2.5 Retiro de activos Fsica
Seguridad de equipos y activos fuera 2 Repetible no 40%
11.2.6 de las instalaciones Sistemas
Disposicin segura o reutilizacin de Seguridad 2 Repetible no 40%
11.2.7 equipos Fsica
11.2.8 Equipos de usuario desatendidos Sistemas 2 Repetible no 40%
Poltica de escritorio limpio y pantalla Administrad
4 si 80%
11.2.9 limpia Sistemas o
Procedimientos operacionales y
12.1 responsabilidades
90
cum
N ple/ Por
Descripci
n
C cum aje
ple
Procedimientos de operacin 0 No existente no 0%
12.1.1 documentados sistemas
12.1.2 Gestin de cambios sistemas 0 No existente no 0%
12.1.3 Gestin de capacidad sistemas 0 No existente no 0%
Separacin de los ambientes de 6 No Aplica no N/A
12.1.4 desarrollo, pruebas y operacin sistemas
12.2 Proteccin contra cdigos maliciosos
12.2.1 Controles contra cdigos maliciosos sistemas 2 Repetible no 40%
12.3 Copias de respaldo
12.3.1 Respaldo de informacin sistemas 2 Repetible no 40%
12.4 Registro y seguimiento
12.4.1 Registro de eventos Sistemas 0 No existente no 0%
Proteccin de la informacin de
2 Repetible no 40%
12.4.2 registro Sistemas
Registros del administrador y del 2 Repetible no 40%
12.4.3 operador Sistemas
Administrad
4 si 80%
12.4.4 sincronizacin de relojes Sistemas o
12.5 Control de software operacional
Instalacin de software en sistemas 2 Repetible no 40%
12.5.1 operativos Sistemas
12.6 Gestin de la vulnerabilidad tcnica
Gestin de las vulnerabilidades 2 Repetible no 40%
12.6.1 tcnicas Sistemas
Restricciones sobre la instalacin de 2 Repetible no 40%
12.6.2 software Sistemas
Consideraciones sobre auditorias de
12.7 sistemas de informacin
Informacin controles de auditora de 0 No existente no 0%
12.7.1 sistemas Sistemas
13.1 Gestin de la seguridad de las redes
13.1.1 Controles de redes Sistemas 2 Repetible no 40%
13.1.2 Seguridad de los servicios de red Sistemas 2 Repetible no 40%
13.1.3 Separacin en las redes Sistemas 2 Repetible no 40%
13.2 Transferencia de informacin
Polticas y procedimientos de 2 Repetible no 40%
13.2.1 transferencia de informacin Sistemas
Acuerdos sobre transferencia de 2 Repetible no 40%
13.2.2 informacin Sistemas
13.2.3 Mensajera electrnica Sistemas 2 Repetible no 40%
Acuerdos de confidencialidad o de no 2 Repetible no 40%
13.2.4 divulgacin Sistemas
91
cum
N ple/ Por
Descripci
n
C cum aje
ple
Adquisicin, desarrollo y 17%
14 mantenimientos de sistemas
Requisitos de seguridad de los
14.1 sistemas de informacin
Anlisis y especificacin de requisitos 2 Repetible no 40%
14.1.1 de seguridad de la informacin Sistemas
Seguridad de servicios de las 2 Repetible no 40%
14.1.2 aplicaciones en redes publicas Sistemas
Proteccin de transacciones de los 2 Repetible no 40%
14.1.3 servicios de las aplicaciones Sistemas
Seguridad en los procesos de
14.2 desarrollo y soporte
14.2.1 Poltica de desarrollo seguro Seguridad 6 No Aplica no N/A
Procedimientos de control de cambios Seguridad 6 No Aplica no N/A
14.2.2 en sistemas
Revisin tcnica de las aplicaciones
despus de cambios en la plataforma Seguridad 6 No Aplica no N/A
14.2.3 de operacin
Restricciones en los cambios a los Seguridad 6 No Aplica no N/A
14.2.4 paquetes de software
Principios de construccin de sistemas Seguridad 6 No Aplica no N/A
14.2.5 seguros
14.2.6 Ambiente de desarrollo seguro Seguridad 6 No Aplica no N/A
14.2.7 Desarrollo contratado externamente Seguridad 6 No Aplica no N/A
14.2.8 Pruebas de seguridad de sistemas Seguridad 0 No existente no 0%
14.2.9 Prueba de aceptacin de sistemas Seguridad 0 No existente no 0%
14.3 Datos de prueba Seguridad 0 No existente no 0%
14.3.1 Proteccin de datos de prueba Seguridad 0 No existente no 0%
Seguridad de la informacin en las Seguridad 0 No existente no 0%
15.1 relaciones con los proveedores
Poltica de seguridad de la informacin Administrad
Seguridad 4 si 80%
15.1.1 para las relaciones con proveedores o
Tratamiento de la seguridad dentro de
Seguridad 0 No existente no 0%
15.1.2 los acuerdos con proveedores
Cadena de suministro de tecnologa de
15.1.3 informacin y comunicacin
Gestin de la prestacin de servicios
15.2 con los proveedores
Seguimiento y revisin de los servicios
15.2.1 de los proveedores
92
cum
N ple/ Por
Descripci
n
C cum aje
ple
Gestin de cambios en los servicios de
15.2.2 proveedores
Gestin de incidentes de seguridad de
11%
16 la informacin
Gestin de incidentes y mejoras en la
16.1 seguridad de la informacin
Administrad
Responsabilidad y procedimientos Seguridad 4 si 80%
16.1.1 o
Reporte de eventos de seguridad de la
16.1.2 informacin
Reporte de debilidades de seguridad
16.1.3 de la informacin
Evaluacin de eventos de seguridad
de la informacin y decisiones sobre Seguridad 0 No existente no 0%
16.1.4 ellos
Respuesta a incidentes de seguridad
Aprendizaje obtenido de los incidentes
16.1.6 de seguridad de la informacin
16.1.7 Recoleccin de evidencia Seguridad 0 No existente no 0%
Aspectos de seguridad de la
informacin de la gestin de 10%
17 continuidad de negocio
Continuidad de seguridad de la
17.1
informacin
Planificacin de la continuidad de la
17.1.1 Seguridad 1 Inicial no 10%
Implementacin de la continuidad de la
Verificacin, revisin y evaluacin de
17.1.3 la continuidad de la seguridad de la Seguridad 1 Inicial no 10%
informacin
17.2 Redundancias Seguridad 1 Inicial no 10%
Disponibilidad de instalaciones de
procesamiento de informacin.
18 Cumplimiento 10%
Cumplimiento de requisitos legales y
18.1 Seguridad 1 Inicial no 10%
contractuales
Identificacin de la legislacin
18.1.1 aplicable y de los requisitos Seguridad 1 Inicial no 10%
contractuales
18.1.2 Derechos de propiedad intelectual Seguridad 1 Inicial no 10%
18.1.3 Proteccin de registros Seguridad 1 Inicial no 10%
93
cum
N ple/ Por
Descripci
n
C cum aje
ple
Privacidad y proteccin de datos
personales
Reglamentacin de controles
18.1.5 Seguridad 6 No Aplica no N/A
criptogrficos
Revisiones de seguridad de la
18.2 Seguridad 1 Inicial no 10%
informacin
Revisin independiente de la
Cumplimiento con las polticas y
normas de seguridad
18.2.3 Revisin del cumplimiento tcnico Seguridad 1 Inicial no 10%
Fuente: El autor.
5.6 FASE 6. RESULTADOS
5.6.1 Anlisis y discusin de los resultados
Despus de realizar detalladamente cada uno de los controles y teniendo en

cuenta que la compaa defini que el nivel de cumplimiento aceptable es del
80%, se llega a la conclusin que hace falta mucho por realizar, puesto que en
estos momentos la organizacin se encuentra en un 31% del cumplimiento de
la norma.
Los controles se encuentran distribuidos as:
Tabla 17. Controles por nivel de cumplimiento.
Nivel Controles
No existente 41
Inicial 5
Repetible 44
Definido 1
Administrado 14
Optimizado 0
No Aplica 14
Fuente: El autor.
94
Como se puede apreciar en tabla anterior, hay 41 controles que no existen, 5
controles donde se ha realizado alguna practica del control, pero con
inconsistencias, hay 44 controles sin documentar, hay 1 control que no posee
ninguna clase de medicin, hay 14 controles a los que se les realiza medicin,
finalmente hay 14 controles que no se aplican en la compaa.
Aqu se encuentra la distribucin de los controles dada en porcentajes.
Figura 4. Estado de madurez de los controles.
No Aplica
12% Controles de Seguridad
Administrado No existente
12% 34%
Definido
1%
Repetible
37%
Optimizado
0%
Inicial
4%
Fuente: El autor
Otro anlisis realizado fue el nivel de cumplimiento por dominios como se

muestra en la siguiente tabla.
Tabla 18. Nivel de cumplimiento por dominios
Control/Objetivo de Control Porcentaje

5 Polticas de seguridad de la informacin 80%
6 Organizacin de la seguridad de la informacin 40%
10 Criptografa NA
14 Adquisicin, desarrollo y mantenimientos de sistemas 17%
16 Gestin de incidentes de seguridad de la informacin 11%
95
Control/Objetivo de Control Porcentaje
Aspectos de seguridad de la informacin de la gestin de
17 continuidad de negocio 10%
18 Cumplimiento 10%
TOTAL 31%
Fuente: El Autor
Interpretacin del nivel de cumplimiento por dominios
Polticas de seguridad de la informacin: es el dominio que se encuentra

en un mejor nivel, en este caso el 80%, puesto que durante el desarrollo de
este anlisis para la implementacin de un SGSI se definieron las polticas y
quedaron documentadas, en el anlisis inicial, se encontraba en un 0%.
Organizacin de la seguridad de la informacin: se logr subir de un 0% a

un 40%, se implementaron algunas salvaguardas, dentro de la gestin
documental se incluyeron los roles y responsabilidades y polticas sobre
dispositivos mviles, se sugirieron algunos proyectos que permitirn elevar el
porcentaje del dominio al valor esperado.
Seguridad de los recursos humanos: Se mejor el porcentaje a un 28%, es

indispensable que se capacite al personal en temas de seguridad y la
implementacin de los proyectos sugeridos en ese dominio.
Gestin de activos: Es necesario que se implementen los proyectos

sugeridos lo ms pronto posible.
Control de acceso: Este dominio se encuentra en un 23%, siendo un valor

bajo, aunque se definieron algunas polticas de control de acceso, es
necesario la implementacin de los proyectos sugeridos.
Criptografa: Este dominio no aplica.
Seguridad fsica y del entorno: el aumento fue muy bajo, este dominio
depende en su totalidad de la implementacin de los proyectos sugeridos.
Seguridad de las operaciones: Igual que es dominio anterior, depende de la

implementacin de los proyectos sugeridos.
Seguridad de las comunicaciones: Es necesario la implementacin de los

proyectos sugeridos, puesto que es indispensable la adquisicin de equipos y
software.
96
Adquisicin, desarrollo y mantenimientos de sistemas: La optimizacin
fue poca, pues es necesario implementar los proyectos sugeridos.
Relacin con los proveedores: Se definieron polticas, lo que aumento un

poco nivel esperado, los procedimientos deben ser aplicados en adelante.
Gestin de incidentes de seguridad de la informacin: Se definieron

polticas y procedimientos que aumentaron un poco el nivel, estas se deben
aplicar a futuro para alcanzar un nivel ptimo.

negocio: Se definieron procedimientos, pero es necesario implementar los
proyectos sugeridos para alcanzar el nivel ptimo.
Cumplimiento: Se aument un poco el porcentaje, pues se definieron

polticas, es necesario la implementacin de los proyectos para estar en el
nivel deseado.
En trminos generales, el promedio de cumplimiento de los dominios es del

31%, esto demuestra que la organizacin representa un gran nivel de
vulnerabilidad ante ataques informticos.
El ltimo informe es un cuadro comparativo del estado de madurez actual

contra el estado esperado, para este caso se ha utilizado un grfico tipo radar
el cual permite mostrar el comparativo.
97
Figura 5. Cumplimiento de dominios en su estado actual y deseado.
Nivel de madurez
Estado Actual Estado esperado
Polticas de seguridad de
la informacin
80% Organizacin de la
Cumplimiento
70% seguridad de la
Aspectos de seguridad de 60% Seguridad de los recursos
la informacin de la 50% humanos
40%
30%
Gestin de incidentes de 20% Gestin de activos
seguridad de la
10%
0%
Relacin con los
Control de acceso
proveedores
Adquisicin, desarrollo y
Criptografa
mantenimientos de
Seguridad de las Seguridad fsica y del
comunicaciones entorno
Seguridad de las
operaciones
Fuente: El Autor
En esta grfica se puede visualizar el estado actual de la compaa en materia

de seguridad informtica, como se mencion anteriormente el promedio es del
31%, en este caso, los controles se identifican en color azul, en color naranja
se muestra el nivel esperado, que para el caso de la empresa Servidoc S.A.
se defini en un 80%, es de anotar que el dominio que alcanza ese nivel es el
de Polticas de Seguridad de la Informacin, si se tiene en cuenta que estn
quedaron definidas en el actual anlisis para la implementacin del SGSI.
98
6. CONCLUSIONES
Se logr realizar el anlisis que permitir la implementacin del sistema

de Gestin de Seguridad de la Informacin bajo la norma ISO/IEC
27001:2013, planteando soluciones de seguridad.
La organizacin posee pocas fortalezas en temas relacionados con
seguridad de la informacin, por otro lado, la cantidad de debilidades es
ms representativa, lo que significa que la organizacin se encuentra
muy vulnerable ante ataques de seguridad de la informacin.
Haciendo uso de la metodologa Magerit, se identificaron los riesgos,
adems se defini el nivel de seguridad que posee cada activo de la
organizacin, permitiendo definir cules son los que requieren mayor
atencin, Se definieron salvaguardas que permitirn en el momento de
la implementacin del SGSI proteger la seguridad general de la
organizacin.
El resultado de las vulnerabilidades demuestra que la compaa
Servidoc S.A. cuenta con mnimas medidas de seguridad de la
informacin, el anlisis para la implementacin del SGSI contribuir a
llevar el riesgo a un nivel bajo.
Se establecieron y documentaron las polticas de la seguridad de la
informacin y la gestin de roles y responsabilidades del personal,
adems se sugirieron algunos proyectos que deben ser implementados
para lograr blindar la organizacin ante ataques.
99
7. BIBLIOGRAFA
FERNNDEZ, Ral Jos Gil. Sistematizacion de la gestion de riesgos de la

seguridad de la informacin en la red de la universidad centroccidental
Lisandro Alvarado [en lnea]. Barquisimeto.2011. Disponible en:
http://bibcyt.ucla.edu.ve/Edocs_Bciucla/Repositorio/TGEQA76.9.A25C35201
1.pdf
NIETO, Juan Pablo. Plan de implementacin de la ISO/IEC 27001:2005. [en

lnea]. Barcelona. 2013. Disponible en:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23054/1/Nieto_WP2
013_PlanImplementacionISO2007.pdf
MATALOBOS VEIGA, Juan Manuel. Anlisis de riesgos de la seguridad de la

informacin. [en lnea]. Madrid. 2009. Disponible en:
http://oa.upm.es/1646/1/PFC_JUAN_MANUEL_MATALOBOS_VEIGAa.pdf
VSQUES, Karina del Roco. Aplicacin de la Metodologa Magerit para el

anlisis y gestin de riesgos de la seguridad de la informacin aplicada a la
empresa pesquera e industrial Bravito S.A. . [en lnea]. Machala. 2013.
Disponible en http://dspace.ups.edu.ec/handle/123456789/5272/statistics.
PEREIRA, Hose Aurela. Plan de implementacin de la norma ISO/IEC

27001:2005. [en lnea]. Barcelona. 2013. Disponible en:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23704/7/jaurelaTFM
0613memoria.pdf
BUENAO QUINTA, Jos Luis; GRANADA LUCES ,Marcelo Alfonso.

Planeacin y Diseo de un Sistema de Gestin de Seguridad de la Informacin
basado en la norma ISO/IEC 27001 27002. [en lnea]. Guayaquil. 2009.
Disponible en:
CUCHIMBA, John Jairo; PERAFN RUIZ, Mildred Caicedo. Anlisis de

Riesgos de la Seguridad de la Informacin para la Institucin Universitaria
Colegio Mayor Del Cauca. [en lnea]. Cuchimba. 2014. Disponible en:
http://repository.unad.edu.co/bitstream/10596/2655/3/76327474.pdf
MEGA, Gustavo Pallas. Metodologa de Implantacin de un SGSI en un grupo

empresarial jerrquico. Gustavo Pallas. [en lnea]. Montevideo. 2009.
100
Disponible en: http://www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-
pallas.pdf
PEREZ PREZ ,Yesica Mara; OSORIO RIVERO, Yenis Pinedad. Gestin de
Riesgos Tecnolgicos en la caja de compensacin familiar de Fenalco del
Tolima "COMFENALCO". . [en lnea]. Ocaa. 2014. Disponible
en:http://www.uan.edu.co/images/programas-
posgrados/Esp_Auditoria_sistemas/documentos/2012_II/GESTION_DE_RIE
SGOS_TECNOLOGICOS_EN_LA_CAJA_DE_COMPENSACION_FAMILIAR
_DE_FENALCO_DEL_TOLIMA_COMFENALCO.pdf
TARAZONA T, Cesar H. Amenazas Informticas y Seguridad de la

Informacin. (2007). Universidad Externado de Colombia. [en lnea]. 2.007.
Disponible en:
http://revistas.uexternado.edu.co/index.php/derpen/article/view/965/915
AGUILERA LPEZ, Purificacin. Seguridad Informtica Purificacin. [en

lnea]. Navalcarnero. 2.010. Disponible en:
https://books.google.com.co/books?id=Mgvm3AYIT64C&pg=PA9&dq=conce
pto+seguridad+informatica&hl=es&sa=X&ei=jf9bVcWxMYW1sAS9z4CQDg&
ved=0CC0Q6AEwAA#v=onepage&q=concepto%20seguridad%20informatica
&f=true
ALARCN, Vicen Fernndez. Desarrollo de sistemas de informacin. [en

lnea]. Barcelona. 2006. Disponible en:
https://books.google.com.co/books?id=Sqm7jNZS_L0C&printsec=frontcover&
dq=sistema+de+informaci%C3%B3n&hl=es&sa=X&ved=0ahUKEwjzucWSr6f
JAhWHJB4KHROrCLUQ6AEIGjAA#v=onepage&q=sistema%20de%20inform
aci%C3%B3n&f=false
AREITIO BERTOLN, Javier. Seguridad de la Informacin Redes, informtica

y sistemas de informacin. . [en lnea]. Madrid. 2008. Disponible en:
https://books.google.com.co/books?id=_z2GcBD3deYC&pg=PA201&dq=siste
ma+gestion+seguridad+informatica&hl=es&sa=X&ei=3gNcVd_wKYOpNvbig
Ug&ved=0CCQQ6wEwAA#v=onepage&q=sistema%20gestion%20seguridad
%20informatica&f=false
GOBIERNO DE ESPAA. Familia de Normas ISO 27000. Disponible en:

http://descargas.pntic.mec.es/mentor/visitas/demoSeguridadInformatica/norm
as_iso_sobre_gestin_de_seguridad_de_la_informacin.html
101
MINTIC. El Congreso de Colombia Decreta. [en lnea]. Bogot. 2009.
Disponible en: http://www.mintic.gov.co/portal/604/articles-
3705_documento.pdf
DIARIO OFICIAL. Ley 1288 DE 2.009. [en lnea]. Bogot. 2009. Disponible en:
http://200.26.152.57/SIDN15%5CArchivos%5CNormatividad%5CLegislaci%C
3%B3n%20Nacional%5CLeyes%20de%20Colombia%5CLeyes%202009%20
(1270%20-
%201371)%5CLey%201288%20de%202009%20%20(Fortalece%20actividad
es%20de%20inteligencia%20y%20contrainteligencia).pdf
SALCEDO, Robin J. Resumen Ejecutivo memoria TFM plan deimplementacion

del SGSI. [en lnea]. Barcelona. 2014 Disponible en:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobT
FC1214memoria.pdf
ROJAS VALDUCIEL, Halena. Elaboracin de un plan de implementacin de la

ISO/IEC 27001:2013. [en lnea]. Barcelona. 2014. Disponible en:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/40297/1/hrojasvTFM
1214.pdf
PORTAL DE ADMINISTRACIN ELECTRNICA. Magerit V.3: Metodologa

de anlisis y gestin de riesgos de los sistemas de informacin. [en lnea].
Madrid. 2012. Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_
Metodolog/pae_Magerit.html#.VfhKvvl_Oko
MENDOZA, Miguel Angel. Qu es una Declaracin de Aplicabilidad (SoA) y

para qu sirve?. [en lnea]. Buenos Aires. 2015. Disponible en:
http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-
aplicabilidad-soa/
UNIVERSIDAD NACIONAL DE COLOMBIA. Tcnicas para recolectar

informacin. [en lnea]. Bogot. 2015. Disponible en:
datoshttp://www.virtual.unal.edu.co/cursos/sedes/manizales/4060030/leccion
es/Capitulo%202/tecnicas.html
Procesamiento y anlisis de datos. [en lnea]. 2015. Disponible en:

http://buendato.ning.com/profiles/blogs/procesamiento-y-analisis-de
102
Documentacin Kali. [en lnea]. 2015. Disponible en: https://www.kali.org/
LYON, Gordon. Gua de referencia de Nmap. [en lnea]. California. 2015.

Disponible en: https://nmap.org/man/es/
REYES PLATA, Alejandro. Ethical Hacking. [en lnea]. Mxico. 2010.

Disponible en: http://www.seguridad.unam.mx/descarga.dsc?arch=2776
PEREZ, Mario. Tutorial Wireshark. [en lnea]. 2013. Disponible en:

https://geekytheory.com/tutorial-wirshark-1-instalacion/
Kali Linux Tutoriales. [en lnea]. 2016. Disponible en:

http://kalilinuxtutorials.com/dnsenum/
OLMEDO, Javier. Obtener Informacin con The Harvester. [en lnea]. 2015.
Disponible en: http://hackpuntes.com/obtener-informacion-con-the-harvester/
AMAYA, Camilo. Qu es y por qu hacer un anlisis de Riesgos? [en lnea].

2012. Disponible en: http://www.welivesecurity.com/la-es/2012/08/16/en-que-
consiste-analisis-riesgos/
103
8. ANEXOS
Anexo A. Encuesta
Nme RESPUESTA
PREGUNTAS
ro SI NO
El computador asignado para el desarrollo de sus funciones
1 recibe mantenimiento perodicamente?
Existe un Sistema de Gestin de Seguridad Informtica en la
2 Empresa?
La compaa capacita al personal en temas de seguridad
3 informtica?
Existe alguna poltica para el cambio regular de las
4 contraseas?
Antes y despues de la contratacin del personal se hace entrega
de un manual de funciones y responsabilidades de seguridad de
5 la informacin?
Cundo ocurre un evento relacionado con seguridad de la
6 informacin sabe a quien reportarlo?
7 Realiza copias de los datos?
Considera necesario que la compaa invierta en la
implementacin de un Sistema de Gestin de Seguridad de la
8 Informacin?
9 Posee antivirus el computador asignado?
10 La compaa posee posee software legal en sus totalidad?
11 Existen zonas restringidas de acceso de personal?
12 Se realiza mantenimiento preventivo y correctivo a la UPS?
Existen sistemas de seguridad que impidan el acceso a lugares
13 restringidos?
Se cuenta con sistemas de alarma como detectores de humo,
14 humedad?
15 Existe vigilancia en la entrada del edificio?
Los sitios donde estn los equipos de cmputo cuenta con aire
16 acondicionado?
Se encuentra asegurados mediante plizas los equipos de
17 cmputo?
18 Existe algun control para navegar en internet?
19 Existe control sobre el uso del correo electrnico?
Fuente: El autor.
104
Anexo B. Anlisis Diferencial
N- cumple/no
Control/Objetivo de Control Responsable Descripcin
C cumple
5 Polticas de seguridad de la informacin
5.1 Directrices establecidas por la direccin para la seguridad de la informacin
Polticas para la seguridad de la
5.1.1 Seguridad 0 No existe no
informacin
Revisin de las polticas para
6 Organizacin de la seguridad de la informacin
Roles y responsabilidades para la
seguridad de informacin
6.1.2 Separacin de deberes Seguridad 0 No existe no
6.1.3 Contacto con las autoridades Seguridad 0 No existe no
Contacto con grupos de inters
especial
Seguridad de la informacin en la
gestin de proyectos
6.2 Dispositivos mviles y teletrabajo
6.2.1 Poltica para dispositivos mviles Seguridad 0 No existe no
6.2.2 Teletrabajo Seguridad 0 No existe no
7 Seguridad de los recursos humanos
7.1.1 Seleccin Rh 3 Definido si
7.1.2 Trminos y condiciones del empleo Rh 2 Repetible no
7.2.1 Responsabilidades de la direccin Rh 1 Inicial no
Toma de conciencia, educacin y
formacin en la seguridad de la 0 No Existe no
7.2.2 informacin Rh
7.2.3 Proceso disciplinario Rh 0 No Existe no
Terminacin o cambio de
0 No Existe no
7.3.1 responsabilidades de empleo Rh
8 Gestin de activos
8.1.1 Inventario de activos Rh 4 Administrado si
8.1.2 Propiedad de los activos Rh 4 Administrado si
8.1.3 Uso aceptable de los activos Rh 2 Repetible no
8.1.4 Devolucin de activos Rh 4 Administrado si
8.2.1 Clasificacin de la informacin Rh 2 Repetible no
8.2.2 Etiquetado de la informacin Sistemas 2 Repetible no
8.2.3 Manejo de activos Rh 2 Repetible no
8.3.1 Gestin de medios removibles Sistemas 2 Repetible no
8.3.2 Disposicin de los medios Sistemas 2 Repetible no
8.3.3 Transferencia de medios fsicos Sistemas 2 Repetible no
9 Control de acceso
105
Anexo B. (continuacin)
N- cumple/no
C cumple
9.1 Requisitos del negocio para control de acceso
9.1.1 Poltica de control de acceso Seguridad 2 Repetible no
Poltica sobre el uso de los
Seguridad 2 Repetible no
9.1.2 servicios de red
Registro y cancelacin del registro
9.2.1 de usuarios
9.2.2 Suministro de acceso de usuarios Seguridad 2 Repetible no
Gestin de derechos de acceso
9.2.3 privilegiado
Gestin de informacin de
9.2.4 autenticacin secreta de usuarios
Revisin de los derechos de
9.2.5 acceso de usuarios
Retiro o ajuste de los derechos de
9.2.6 acceso
Uso de la informacin de
Seguridad 0 No existe no
9.3.1 autenticacin secreta
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restriccin de acceso Informacin Seguridad 0 No existe no
9.4.2 Procedimiento de ingreso seguro Seguridad 0 No existe no
9.4.3 Sistema de gestin de contraseas Seguridad 0 No existe no
Uso de programas utilitarios
9.4.4 privilegiados
Control de acceso a cdigos fuente
9.4.5 de programas
10 Criptografa
Poltica sobre el uso de controles
10.1.1 criptogrficos
10.1.2 Gestin de llaves Seguridad 0 No existe no
11 Seguridad fsica y del entorno
11.1 reas seguras
11.1.1 Permetro de seguridad fsica Seguridad Fsica 2 Repetible no
11.1.2 Controles fsicos de entrada Seguridad Fsica 2 Repetible no
Seguridad de oficinas, recintos e
2 Repetible no
11.1.3 instalaciones Seguridad Fsica
Proteccin contra amenazas
2 Repetible no
11.1.4 externas y ambientales Seguridad Fsica
11.1.5 Trabajo en reas seguras Seguridad Fsica 2 Repetible no
11.1.6 reas de despacho y carga Seguridad Fsica 2 Repetible no
11.2 Equipos
Ubicacin y proteccin de los
2 Repetible no
11.2.1 equipos Seguridad Fsica
11.2.2 Servicios de suministro Seguridad Fsica 2 Repetible no
11.2.3 Seguridad del cableado Sistemas 2 Repetible no
11.2.4 Mantenimiento de equipos Sistemas 2 Repetible no
11.2.5 Retiro de activos Seguridad Fsica 2 Repetible no
106
N- cumple/no
C cumple
Seguridad de equipos y activos
2 Repetible no
11.2.6 fuera de las instalaciones Sistemas
Disposicin segura o reutilizacin
2 Repetible no
11.2.7 de equipos Seguridad Fsica
11.2.8 Equipos de usuario desatendidos Sistemas 2 Repetible no
Poltica de escritorio limpio y
2 Repetible no
11.2.9 pantalla limpia Sistemas
12 Seguridad de las operaciones
12.1 Procedimientos operacionales y responsabilidades
Procedimientos de operacin
0 No existe no
12.1.1 documentados sistemas
12.1.2 Gestin de cambios sistemas 0 No existe no
12.1.3 Gestin de capacidad sistemas 0 No existe no
Separacin de los ambientes de
0 No existe no
12.1.4 desarrollo, pruebas y operacin sistemas
Controles contra cdigos
2 Repetible no
12.2.1 maliciosos sistemas
12.3.1 Respaldo de informacin sistemas 2 Repetible no
12.4.1 Registro de eventos Sistemas 0 No existe no
Proteccin de la informacin de
2 Repetible no
12.4.2 registro Sistemas
Registros del administrador y del
2 Repetible no
12.4.3 operador Sistemas
12.4.4 sincronizacin de relojes Sistemas 4 Administrado si
Instalacin de software en
2 Repetible no
12.5.1 sistemas operativos Sistemas
Gestin de las vulnerabilidades
2 Repetible no
12.6.1 tcnicas Sistemas
Restricciones sobre la instalacin
2 Repetible no
12.6.2 de software Sistemas
12.7 Consideraciones sobre auditorias de sistemas de informacin
Informacin controles de auditora
0 No existe no
12.7.1 de sistemas Sistemas
13 Seguridad de las comunicaciones
13.1.1 Controles de redes Sistemas 2 Repetible no
13.1.2 Seguridad de los servicios de red Sistemas 2 Repetible no
13.1.3 Separacin en las redes Sistemas 2 Repetible no
Polticas y procedimientos de
2 Repetible no
13.2.1 transferencia de informacin Sistemas
Acuerdos sobre transferencia de
2 Repetible no
13.2.3 Mensajera electrnica Sistemas 2 Repetible no
107
N- cumple/no
C cumple
Acuerdos de confidencialidad o de
2 Repetible no
13.2.4 no divulgacin Sistemas
14 Adquisicin, desarrollo y mantenimientos de sistemas
14.1 Requisitos de seguridad de los sistemas de informacin
Anlisis y especificacin de
requisitos de seguridad de la 2 Repetible no
Seguridad de servicios de las
2 Repetible no
14.1.2 aplicaciones en redes publicas Sistemas
Proteccin de transacciones de los
2 Repetible no
14.1.3 servicios de las aplicaciones Sistemas
14.2 Seguridad en los procesos de desarrollo y soporte
14.2.1 Poltica de desarrollo seguro Seguridad 0 No existe no
Procedimientos de control de
14.2.2 cambios en sistemas
Revisin tcnica de las
aplicaciones despus de cambios Seguridad 0 No existe no
14.2.3 en la plataforma de operacin
Restricciones en los cambios a los
14.2.4 paquetes de software
Principios de construccin de
14.2.5 sistemas seguros
14.2.6 Ambiente de desarrollo seguro Seguridad 0 No existe no
Desarrollo contratado
14.2.7 externamente
14.2.8 Pruebas de seguridad de sistemas Seguridad 0 No existe no
14.2.9 Prueba de aceptacin de sistemas Seguridad 0 No existe no
14.3 Datos de prueba Seguridad 0 No existe no
14.3.1 Proteccin de datos de prueba Seguridad 0 No existe no
15 Relacin con los proveedores
Seguridad de la informacin en las
15.1 relaciones con los proveedores
Poltica de seguridad de la
informacin para las relaciones Seguridad 0 No existe no
15.1.1 con proveedores
Tratamiento de la seguridad dentro
15.1.2 de los acuerdos con proveedores
Cadena de suministro de
tecnologa de informacin y Seguridad 0 No existe no
15.1.3 comunicacin
Gestin de la prestacin de
15.2 servicios con los proveedores
Seguimiento y revisin de los
15.2.1 servicios de los proveedores
Gestin de cambios en los
15.2.2 servicios de proveedores
16 Gestin de incidentes de seguridad de la informacin
16.1 Gestin de incidentes y mejoras en la seguridad de la informacin
16.1.1 Responsabilidad y procedimientos Seguridad 0 No existe no
108
N- cumple/no
C cumple
Reporte de eventos de seguridad
Reporte de debilidades de
16.1.3 seguridad de la informacin
Evaluacin de eventos de
seguridad de la informacin y Seguridad 0 No existe no
16.1.4 decisiones sobre ellos
Respuesta a incidentes de
16.1.5 seguridad de la informacin
Aprendizaje obtenido de los
incidentes de seguridad de la Seguridad 0 No existe no
16.1.6 informacin
16.1.7 Recoleccin de evidencia Seguridad 0 No existe no
17 Aspectos de seguridad de la informacin de la gestin de continuidad de negocio
17.1 Continuidad de seguridad de la informacin
Planificacin de la continuidad de
17.1.1 Seguridad 1 Inicial no
la seguridad de la informacin
Implementacin de la continuidad
de la seguridad de la informacin
Verificacin, revisin y evaluacin
17.1.3 de la continuidad de la seguridad Seguridad 1 Inicial no
de la informacin
17.2 Redundancias Seguridad 1 Inicial no
Disponibilidad de instalaciones de
procesamiento de informacin.
18 Cumplimiento
Cumplimiento de requisitos legales
18.1 Seguridad 0 No existe no
y contractuales
Identificacin de la legislacin
18.1.1 aplicable y de los requisitos Seguridad 0 No existe no
contractuales
18.1.2 Derechos de propiedad intelectual Seguridad 0 No existe no
18.1.3 Proteccin de registros Seguridad 0 No existe no
Privacidad y proteccin de datos
personales
Reglamentacin de controles
criptogrficos
Revisiones de seguridad de la
18.2 Seguridad 0 No existe no
informacin
Revisin independiente de la
Cumplimiento con las polticas y
normas de seguridad
18.2.3 Revisin del cumplimiento tcnico Seguridad 0 No existe no
Fuente: El autor.
109
Anexo C. Declaracin de aplicabilidad
Leyenda (Razn de controles seleccionados)

LR: Requemamientos Legales, CO: Obligaciones Contractuales
BR/BP: Requerimientos del negocio/Mejores Prcticas,
RRA: Resultado de Anlisis de Riesgos
Controles
seleccion
ados y Apli
Control/Obje Justificaci razones ca?
tivo de Descripcin n de de
Control exclusin seleccin
B
R
L C R/
R
R O B
A
P
5 Polticas de seguridad de la informacin
5.1 Directrices establecidas por la direccin para la seguridad de la informacin
Existen polticas de seguridad de la
informacin pero no han sido
Polticas para
documentadas, se debe redactar un
la seguridad
5.1.1 documento que polticas para que sea x x SI
de la
distribuido y conocido por todo el
informacin
personal incluido en el proceso del
SGSI.
Revisin de
Se debe establecer un procedimiento
las polticas
que permita la revisin peridica de
5.1.2 para x x SI
las polticas de la seguridad de la
seguridad de
informacin por lo menos cada ao
la informacin
6 Organizacin de la seguridad de la informacin
Roles y Se deben definir roles y
responsabilid responsabilidades de acuerdo a las
6.1.1 ades para la polticas de seguridad de la x x SI
seguridad de informacin a todos los que
informacin interacten con el SGSI.
Se deben separar las ares
consideradas de gran importancia
para que as los deberes y
Separacin
6.1.2 responsabilidades asignadas sean x x SI
de deberes
separadas, de esta forma se evita el
uso indebido de los activos de la
organizacin
En el documento de polticas de la
seguridad de la informacin se debe
Contacto con contemplar un procedimiento que
6.1.3 las permita gestionar el contacto x x SI
autoridades permanente con autoridades
reguladoras de seguridad de la
informacin.
110
Anexo C. (Continuacin)
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Es importante que la persona
encargada de la seguridad informtica
gestione el contacto permanente con
Contacto con
grupos de inters, estos pueden ser
grupos de
6.1.4 foros, chats, wiki, comunidades x x SI
inters
relacionadas con la seguridad
especial
informtica, con la intencin de estar
actualizados en aspectos
relacionados a la seguridad.
Seguridad de
la informacin La seguridad de la informacin se
6.1.5 x SI
en la gestin debe tratar en cualquier proyecto-
de proyectos
Dispositivos mviles y teletrabajo
6.2
Se deben aplicar polticas para el uso
Poltica para
adecuado de dispositivos mviles, su
6.2.1 dispositivos x x SI
uso inadecuado representa grandes
mviles
riesgos.
La Ca. no posee empleos bajo la
6.2.2 Teletrabajo No
modalidad de teletrabajo
7 Seguridad de los recursos humanos
Se deben realizar una exhaustiva
comprobacin de los antecedentes
del personal como empleados,
7.1.1 Seleccin x x NO
contratistas, terceros, con el fin de
saber su procedencia, referencias
personales, judiciales entre otras.
Se debe disear un documento que
permita a los empleados, contratistas
Trminos y
y terceros firmar clusulas de
7.1.2 condiciones x x SI
confidencialidad con la organizacin,
del empleo
manejo adecuado de recursos
tecnolgicos.
Se debe exigir a los empleados,
Responsabilid contratistas y terceros el cumplimiento
7.2.1 ades de la a cabalidad de las polticas de x x SI
direccin seguridad de la informacin
implementadas por la Ca.
111
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Toma de
conciencia,
educacin y Se debe capacitar a todo el personal
7.2.2 formacin en en aspectos relacionados con la x SI
la seguridad seguridad de la informacin.
de la
informacin
Se deben establecer polticas sobre
Proceso sanciones que se aplicarn a quienes
7.2.3 x SI
disciplinario incumplan con lo descrito en las
polticas de seguridad.
Se debe informar a los empleados en
Terminacin o
los casos donde las
cambio de
responsabilidades y deberes que les
7.3.1 responsabilid x SI
fueron asignados durante el empleo,
ades de
los cobijan an cuando se realice una
empleo
terminacin o cambio de contrato.
8 Gestin de activos
Se debe contar con un inventario
Inventario de
8.1.1 detallado de los activos que posee la x x NO
activos
Ca.
Adems de la implementacin del
Propiedad de control anterior, se debe identificar en
8.1.2 x x NO
los activos custodia de quien se encuentra
actualmente el activo
Debe existir una clausula donde los
Uso
empleados se comprometan a realizar
8.1.3 aceptable de x x SI
un uso aceptable de los activos de la
los activos
organizacin
Se debe establecer un proceso para
la devolucin de los activos para
Devolucin
8.1.4 cuando los empleados cambien de x x NO
de activos
puesto o cuando se termine su
contrato.
Clasificacin Se debe establecer un procedimiento
8.2.1 de la que permita clasificar la informacin x SI
informacin de acuerdo a su valor
112
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
La informacin debe estar
debidamente rotulada, adems esta
Etiquetado de
8.2.2 rotulacin se debe clasificar de x SI
la informacin
acuerdo al valor que representa la
informacin para la empresa
Se debe contar con procedimientos
Manejo de
8.2.3 que ayuden en el adecuado manejo x SI
activos
que se le debe dar a un activo
Se deben establecer polticas sobre el
Gestin de correcto manejo que se le deben dar
8.3.1 medios a los medios removibles, puesto que x SI
removibles estos son necesarios en el desarrollo
de las labores diarias.
Proteccin de la informacin cuando
los medios sean destinados a labores
Disposicin diferentes a las actuales, se podra
8.3.2 x SI
de los medios hablar de un procedimiento de
eliminacin de informacin ene estos
casos.
Definir procedimientos que permitan
Transferencia
que la informacin almacenada en
8.3.3 de medios x SI
estos no sea divulgada, modificada o
fsicos
eliminada.
9 Control de acceso
9.1 Requisitos del negocio para control de acceso
Establecer polticas que permitan el
Poltica de
acceso a la informacin de acuerdo a
9.1.1 control de x SI
privilegios establecidos segn sus
acceso
funciones
Poltica sobre
Definir el acceso a la red para el
el uso de los
9.1.2 desarrollo de funciones que les fueron x SI
servicios de
asignadas.
red
Todos los usuarios con acceso a
sistema de informacin deben estar
Registro y
debidamente registrados,
cancelacin
9.2.1 adicionalmente se debe dar de baja a x x x SI
del registro de
los que ya no hagan parte de la
usuarios
organizacin o no hagan uso del
sistema.
113
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Implementar un procedimiento que
Suministro de permita a los usuarios del sistema
9.2.2 acceso de acceder al sistema o negar el acceso x x SI
usuarios a este cuando se considere
necesario.
Gestin de
Se deben establecer privilegios de
derechos de
9.2.3 acceso a la informacin de acuerdo al x x SI
acceso
desempeo de sus funciones.
privilegiado
Gestin de
informacin
Esta informacin slo debe ser
de
9.2.4 accesada por personal con privilegios x x SI
autenticacin
especiales
secreta de
usuarios
Revisin de Monitoreo de privilegios asignados a
los derechos usuarios con el fin de identificar si los
9.2.5 x x SI
de acceso de privilegios asignados son adecuados
usuarios para el desarrollo de sus funciones.
Retiro o Se debe dar de baja o modificar los
ajuste de los privilegios de acceso a la informacin
9.2.6 x x x SI
derechos de en caso de traslado del usuario o
acceso retiro de la organizacin.
Uso de la
informacin Se deben crear perfiles para el
9.3.1 de acceso a informacin considerada de x x x SI
autenticacin suma importancia para la empresa
secreta
9.4 Control de acceso a sistemas y aplicaciones
Restriccin de
Restringir el acceso a la informacin
9.4.1 acceso x x SI
por parte de personal no autorizado.
Informacin
Procedimient Se deben establecer procedimientos
9.4.2 o de ingreso que restrinjan el acceso a la x x SI
seguro informacin a personal no autorizado
Se deben establece polticas de
gestin de contraseas como
Sistema de
caducidad, bloqueo despus de
9.4.3 gestin de x x SI
determinado nmero de intentos,
contraseas
parmetros para creacin de
contraseas seguras.
114
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Restringir el uso de programas
Uso de
utilitarios ya que pueden violentar la
programas
9.4.4 seguridad de las contraseas, pues x x SI
utilitarios
algunos revelan las contraseas,
privilegiados
vulnerando la seguridad.
Control de
acceso a Polticas de acceso al cdigo fuente,
9.4.5 cdigos este slo debe ser accesado por el x x SI
fuente de personal autorizado
programas
10 Criptografa
Se deben establecer controles
Poltica sobre
criptogrficos que permitan la
el uso de
10.1.1 confidencialidad, disponibilidad, x x SI
controles
integridad y no repudio de la
criptogrficos
informacin
Se deben establecer controles
criptogrficos que permitan la
Gestin de
10.1.2 confidencialidad, disponibilidad, x x SI
llaves
integridad y no repudio de la
informacin
11 Seguridad fsica y del entorno
11.1 reas seguras
Se debe establecer un permetro de
Permetro de
tal forma que los sitios donde se
11.1.1 seguridad x x NO
encuentren los activos tengan
fsica
accesos restringido
Se debe restringir el acceso a sitios
seguros como centro de cableado,
Controles
ubicacin del servidor, espacios
11.1.2 fsicos de x SI
donde se encuentre informacin
entrada
confidencial, estos sitios deben
permanecer con llave.
Seguridad de Restringir el acceso a personal no
oficinas, autorizado, las reas deben estar
11.1.3 x NO
recintos e demarcadas dando aviso que son
instalaciones sitios restringidos
115
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Se debe contar con detectores de
Proteccin
humo y humedad, ubicacin de
contra
extinguidores en sitios estratgicos,
11.1.4 amenazas x x SI
cuartos tcnicos con aire
externas y
acondicionado, adquisicin de plizas
ambientales
contra robo y desastres naturales
Se deben preservar los sitios donde
Trabajo en se encuentren activos valiosos con el
11.1.5 x NO
reas seguras fin de protegerlos contra daos
intencionados
No se
Se deben designar sitios especiales cuenta con
reas de para carga y despacho, lo despacho
11.1.6 despacho y recomendable es que estn aislados o recibo de x NO
carga de los denominados sitios seguros o carga que
restringidos amerite un
espacio
11.2 Equipos
Los equipos deben estar ubicados en
Ubicacin y
sitios seguros, de esta forma se
11.2.1 proteccin de x SI
protegen contra robo, accesos no
los equipos
autorizados.
Servicios de Se debe contar con un adecuado

11.2.2 x SI
suministro suministro y respaldo de energa
Se debe proteger el cableado

Seguridad elctrico y de datos de posibles daos
11.2.3 x SI
del cableado como interceptaciones con el fin de
causar dao.
Se debe contar con mantenimiento
preventivo y correctivo en perodos de
Mantenimient
11.2.4 tiempo establecidos, con el fin de x NO
o de equipos
evitar daos en hardware,
actualizacin de software.
Se debe definir un procedimiento que
Retiro de autorice el retiro de activos de la
11.2.5 x SI
activos empresa tales como equipos de
cmputo, software.
116
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
No se
Seguridad de cuenta con
equipos y Aplicar la misma seguridad que se equipos ni
11.2.6 activos fuera realiza a los equipos dentro de la activos No
de las empresa fuera de la
instalaciones organizaci
n
Disposicin
Se debe proteger la informacin
segura o
11.2.7 confidencial de equipos en desuso o x SI
reutilizacin
cuando son dados de baja.
de equipos
Establecer polticas para equipos
Equipos de
cuando los usuarios no estn
11.2.8 usuario x SI
presentes, evitando as el acceso no
desatendidos
autorizado o robo de informacin.
Definir procedimientos para que los
Poltica de
escritorios estn libres de papeles,
escritorio
medios de almacenamiento que
11.2.9 limpio y x SI
puedan permitir filtracin de
pantalla
informacin, adems polticas de
limpia
pantallas limpias.
12 Seguridad de las operaciones
12.1 Procedimientos operacionales y responsabilidades
Procedimient
Los procedimientos deben estar
os de
documentados y puestos al alcance
12.1.1 operacin x SI
de todos, tambin manuales de
documentado
operaciones especficas
s
Establecer polticas donde los
cambios sean realizados por personal
Gestin de
12.1.2 autorizado, adems deben quedar x SI
cambios
soportados para llevar un control para
evitar contratiempos.
Se debe realizar un monitoreo de los
recursos de tal forma que no afecten
Gestin de la operacin, algunos pueden ser
x SI
12.1.3 capacidad capacidad de banda ancha, circuitos
descalibrados que afecten el fluido
elctrico, equipos de cmputo lentos.
117
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Separacin
de los Los ambientes de desarrollo prueba y
ambientes de operacin deben estar aislados, con
12.1.4 x SI
desarrollo, restricciones de acceso con el fin de
pruebas y evitar cambios o modificaciones no
operacin autorizadas.
Los equipos de cmputo deben
Controles contar con software contra cdigo
contra malicioso, el cual se debe actualizar
12.2.1 x SI
cdigos constantemente con el fin actualizar
maliciosos parches que mitiguen las nuevas
vulnerabilidades.
Se debe realizar respaldo de la
informacin, adems se deben
12.3.1 realizar pruebas para comprobar que x SI
Respaldo de estos cumplen con las polticas de
informacin respaldo-
Se debe llevar un control de los
eventos con el fin de establecer
Registro de procedimientos que ayuden a
12.4.1 x SI
eventos repararlos o eliminarlos
definitivamente, con el fin de que no
se vuelvan a presentar
Se debe proteger la informacin de
registro de personal no autorizado,
Proteccin de
slo el administrador o encargado
12.4.2 la informacin x SI
ser quien pueda tener acceso a
de registro
estos, se deben realizar copias de
logs.
Todas las tareas que desarrollen el
Registros del
administrador y el operador del
administrador
12.4.3 sistema de informacin deben estar x SI
y del
registradas, adems se debe realizar
operador
un respaldo de estos registros.
Los relojes de los dispositivos que
sincronizacin intervienen en el procesamiento de
12.4.4 NO
de relojes informacin deben estar
sincronizados.
118
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
La instalacin de software debe estar
Instalacin de
controlada, de tal forma que slo las
software en
12.5.1 personas autorizadas puedan realizar x SI
sistemas
estas tareas, adems deben quedar
operativos
registradas.
Gestin de Se deben establecer procedimientos
las que minimicen las vulnerabilidades a
12.6.1 x SI
vulnerabilidad que estn expuestos los activos
es tcnicas tecnolgicos.
La instalacin de software debe estar
Restricciones
controlada, de tal forma que slo las
sobre la
12.6.2 personas autorizadas puedan realizar x SI
instalacin de
estas tareas, adems deben quedar
software
registradas.
12.7 Consideraciones sobre auditorias de sistemas de informacin
Se deben establecer procedimientos
Informacin que permitan el buen uso de las
controles de herramientas de auditora a los
12.7.1 SI
auditora de sistemas, pero siempre procurando
sistemas minimizar la interrupcin del servicio a
causa de estas.
13 Seguridad de las comunicaciones
Se deben instalar dispositivos o
Controles de software que permita controlar el
13.1.1 x x x SI
redes acceso a la red como Firewall, Ids,
autenticacin para su ingreso
Establecer controles de acceso,
Seguridad de
acuerdos de servicio en su utilizacin,
13.1.2 los servicios x SI
monitoreo constante para detectar
de red
intrusos
Es necesario loa separacin de las
Separacin redes como la intranet de la red con
13.1.3 x x SI
en las redes acceso a internet, para lo cual se
debe implementar un DMZ
Polticas y
Se deben establecer todas las
procedimiento
polticas que sean necesarias para
s de
13.2.1 proteger la informacin en el x x x SI
transferencia
momento de ser transferida
de
(intercambio de informacin),
informacin
119
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
permitiendo integridad y
confidencialidad.
Acuerdos
Se deben establecer controles que
sobre
permitan respetar acuerdos de
13.2.2 transferencia x x x SI
intercambio o transferencia de
de
informacin
informacin
Deben existir controles sobre el uso
adecuado de la mensajera
electrnica, para ello se deben
instalar programas que detecten
antivirus y spam, adems se debe
Mensajera
13.2.3 existir capacitacin sobre situaciones x x SI
electrnica
donde existan correos sospechosos,
tambin polticas del uso adecuado
de los recursos, en este caso uso del
correo electrnico slo para el
desarrollo de las funciones asignadas.
Acuerdos de Se deben cumplir las polticas de
confidencialid confidencialidad de la informacin, las
13.2.4 x x x SI
ad o de no cules fueron aceptadas en el
divulgacin momento de la firma del contrato.
14 Adquisicin, desarrollo y mantenimientos de sistemas
14.1 Requisitos de seguridad de los sistemas de informacin
Anlisis y
Las especificaciones de requisitos se
especificacin
deben tener en cuenta cuando se
de requisitos
14.1.1 vaya a realizar un cambio o x SI
de seguridad
implementar un nuevo sistema de
de la
informacin
informacin
Seguridad de Se debe implementar seguridad en
servicios de los servicios que viajan por redes
las pblicas tales como autenticacin,
14.1.2 x x x SI
aplicaciones manejo de cookies, sesiones, pki, con
en redes el fin de garantizar la confiabilidad de
publicas la informacin
Proteccin de Se debe implementar seguridad en
transacciones los servicios que viajan por redes
de los pblicas tales como autenticacin,
14.1.3 x x x SI
servicios de manejo de cookies, sesiones, pki, con
las el fin de garantizar la confiabilidad de
aplicaciones la informacin
14.2 Seguridad en los procesos de desarrollo y soporte
120
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Es importante establecer polticas de Se excluye
cdigo seguro en el desarrollo de este
software, es aqu donde se deben control, ya
Poltica de implementar procedimientos de que la Ca.
14.2.1 desarrollo seguridad como paso de variables por No cuenta x x NO
seguro cabecera, sesiones, entre otros, los con
cules deben blindar el sistema de desarrollo
informacin para evitar de
vulnerabilidades software
Se excluye
este
control, ya
Procedimient Todos los cambios que se realicen a
que la Ca.
os de control los programas se deben documentar
14.2.2 No cuenta x x NO
de cambios y quedar registrados, para lo cual se
con
en sistemas deben establecer procedimientos
desarrollo
de
software
Se excluye
Revisin este
Se deben realizar pruebas a las
tcnica de las control, ya
aplicaciones que han sido
aplicaciones que la Ca.
modificadas, con el fin de evitar
14.2.3 despus de No cuenta x x NO
alteraciones en la prestacin del
cambios en la con
servicio o mal funcionamiento a causa
plataforma de desarrollo
del desarrollo.
operacin de
software
Se excluye
este
Restricciones control, ya
Los cambios o modificaciones que se
en los que la Ca.
le realizan a las aplicaciones deben
14.2.4 cambios a los No cuenta x x NO
estar restringidos con el fin de evitar
paquetes de con
fallas no deseadas.
software desarrollo
de
software
Se excluye
este
control, ya
Principios de
Establecer procedimientos y polticas que la Ca.
construccin
14.2.5 que permitan la construccin de No cuenta x x NO
de sistemas
aplicaciones seguras con
seguros
desarrollo
de
software
121
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Se excluye
este
Los ambientes de desarrollo deben control, ya
Ambiente de estar aislados y contar con todas las que la Ca.
14.2.6 desarrollo medidas de seguridad en cuanto a No cuenta x x NO
seguro control de acceso a la informacin y a con
las instalaciones desarrollo
de
software
Cuando se adquieran sistemas
Desarrollo
externos, realizar seguimiento, es
14.2.7 contratado x x SI
necesario validarlos antes de
externamente
ponerlos en funcionamiento
Someter los sistemas a pruebas con
Pruebas de
el fin de identificar vulnerabilidades,
14.2.8 seguridad de x x SI
se podra contemplar pruebas de
sistemas
hacking tico.
Someter los sistemas a pruebas con
Prueba de
el fin de identificar vulnerabilidades,
14.2.9 aceptacin de x x SI
se podra contemplar pruebas de
sistemas
hacking tico.
14.3 Datos de prueba
Hay que tener cuidado con los datos
Proteccin de que se van a ingresar para realizarle
14.3.1 datos de pruebas a la aplicacin, esto con el fin x x SI
prueba de evitar alguna fuga de informacin
importante.
15 Relacin con los proveedores
15.1 Seguridad de la informacin en las relaciones con los proveedores
Igual que con los usuarios de la
Poltica de
organizacin, con los proveedores se
seguridad de
deben establecer acuerdos de
la informacin
confidencialidad, control de acceso a l
15.1.1 para las x SI
informacin, seguridad fsica,
relaciones
intercambio de informacin entre
con
otros para no ver afectada la
proveedores
seguridad de la informacin.
Tratamiento
de la
seguridad
15.1.2 Definir acuerdos de confidencialidad x SI
dentro de los
acuerdos con
proveedores
122
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Cadena de
Se deben establecer acuerdos que
suministro de
permitan mitigar los riesgos de la
15.1.3 tecnologa de x SI
seguridad de la informacin derivados
informacin y
de la cadena se suministro.
comunicacin
15.2 Gestin de la prestacin de servicios con los proveedores
15.2.1 Seguimiento y revisin de los servicios de los proveedores
Gestin de
Se debe contar con otras alternativas
cambios en
de proveedores que permitan la
15.2.2 los servicios x SI
continuidad del servicio en caso de
de
cambio de proveedor
proveedores
16 Gestin de incidentes de seguridad de la informacin
16.1 Gestin de incidentes y mejoras en la seguridad de la informacin
Responsabilid Definir procedimientos que permitan
ad y una reaccin rpida ante problemas
16.1.1 x SI
procedimiento generados por causa d ella seguridad
s de la informacin.
Se debe informar sobre eventos
Reporte de
generados a causa de seguridad de la
eventos de
16.1.2 informacin con el fin de documentar x SI
seguridad de
la solucin, es necesario llevar un
la informacin
registro de estos.
Reporte de
Informar oportunamente sobre
debilidades
eventos generados, con el fin de
16.1.3 de seguridad x SI
identificar recurrencias y debilidades
de la
en seguridad de la informacin.
informacin
Evaluacin de
eventos de Cada vez que se presente un evento
seguridad de se seguridad de la informacin es
16.1.4 x SI
la informacin importante evaluar si ser
y decisiones considerado como un incidente o no.
sobre ellos
Respuesta a
Se debe establecer un proceso que
incidentes de
16.1.5 permita establecer los pasos a seguir x SI
seguridad de
para atender el incidente.
la informacin
123
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Aprendizaje
La experiencia que se ha adquirido en
obtenido de
resolver los incidentes, es pieza
los incidentes
16.1.6 fundamental para reducir el impacto x SI
de seguridad
que pueda causar este incidente a la
de la
informacin
Definir un procedimiento para
Recoleccin
16.1.7 documentar los incidentes de tal x SI
de evidencia
forma que exista una evidencia.
17 Aspectos de seguridad de la informacin de la gestin de continuidad de negocio
17.1 Continuidad de seguridad de la informacin
Planificacin
de la
Definir polticas que permita la gestin
continuidad
17.1.1 de la continuidad del negocio, aunque x SI
de la
la organizacin presente una crisis
seguridad de
la informacin
Implementaci
Implementar procedimientos que
n de la
permitan la continuidad del negocio
continuidad
17.1.2 ante situaciones imprevistas que x SI
de la
podran causar retrasos en la
seguridad de
operacin.
la informacin
Verificacin,
revisin y Realizar revisiones a los
evaluacin de procedimientos implementados para
17.1.3 la continuidad la gestin de la continuidad del x SI
de la servicio para determinar si son
seguridad de efectivos o no.
la informacin
17.2 Redundancias
Disponibilidad
de Es necesario establecer redundancias
instalaciones en las instalaciones donde se procesa
17.2.1 de la informacin con el fin de que no se x SI
procesamient vea afectada la disponibilidad de la
o de informacin.
informacin.
18 Cumplimiento
18.1 Cumplimiento de requisitos legales y contractuales
124
Controles
seleccion
ados y Apli
B
R
L C R/
R
R O B
A
P
Identificacin
de la
Definir el marco legal con el cual se
legislacin
18.1.1 debe regir la seguridad de la x x SI
aplicable y de
informacin.
los requisitos
contractuales
Derechos de Cumplir a cabalidad las polticas de
18.1.2 propiedad derechos de propiedad intelectual, x x SI
intelectual software patentado.
Procedimiento que permita la custodia
18.1.3 Proteccin de de los registros ante situaciones de x x SI
registros robo, modificacin, divulgacin.
Privacidad y
proteccin de Cumplir con las polticas de la
18.1.4 x x SI
datos proteccin de datos personales
personales
Reglamentaci
n de Cumplir con las normas relacionadas
18.1.5 x x SI
controles con controles criptogrficos
criptogrficos
18.2 Revisiones de seguridad de la informacin
Revisin Se debe revisar peridicamente el
independiente SGSI, estas revisiones deben ser
18.2.1 de la adicionales a las establecidas en las x SI
seguridad de polticas de seguridad de la
la informacin informacin.
Cumplimiento La direccin debe revisar los
con las cumplimientos de las polticas de
18.2.2 polticas y seguridad de la informacin x SI
normas de establecidas de acuerdo a su rea de
seguridad responsabilidad.
Revisin del Se deben revisar que todo el personal
18.2.3 cumplimiento conoce y cumple con las polticas de x SI
tcnico seguridad de la informacin
Fuente: El autor.
125
Anexo D. Cuantificacin de Activos y dimensiones.
Frecuen Impacto- Dimensin Afectada
Activo Amenaza
cia A C I D T
Deficiencias en la organizacin 0,0054 50%
Fugas de informacin 0,0054 80%
Personal
Indisponibilidad del personal 0,0054 80%
Directivo
Extorsin 0,0027 70% 70% 70%
Ingeniera social 0,0054 80% 60% 60%
Administradora Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Jefes
enfermera
Extorsin 0,0027 70% 70% 70%
Personal barra
de servicios
Extorsin 0,0027 70% 70% 70%
Auxiliares
enfermera
Extorsin 0,0027 70% 70% 70%
Auxiliares
laboratorio
Extorsin 0,0027 70% 70% 70%
Mdicos
Generales
Extorsin 0,0027 70% 70% 70%
Mdicos
especialistas
Extorsin 0,0027 70% 70% 70%
Servicios Fugas de informacin 0,0054 80%
generales Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
126
Anexo D. (Continuacin)
Activo Frecuen Impacto- Dimensin Afectada
Amenaza
cia A C I D T
Contadora Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Asistente
contable
Extorsin 0,0027 70% 70% 70%
Revisor fiscal Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Secretaria
gerencia
Extorsin 0,0027 70% 70% 70%
Secretaria Fugas de informacin 0,0054 80%
asignacin Indisponibilidad del personal 0,0054 80%
citas Extorsin 0,0027 70% 70% 70%
Ingeniero
sistemas
Extorsin 0,0027 70% 70% 70%
Bacterilogas Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Mensajero Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Auditores
mdicos
Extorsin 0,0027 70% 70% 70%
Electro mdico Deficiencias en la organizacin 0,0054 50%
127
Amenaza
cia A C I D T
Extorsin 0,0027 70% 70% 70%
Electricista Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Mantenimiento Indisponibilidad del personal 0,0054 80%
Extorsin 0,0027 70% 70% 70%
Fuego 0,0027 90%
Daos por agua 0,0027 80%
Otros desastres Naturales 0,0027 80%
Fuego 0,0027 90%
Contaminacion Mecanica 0,0027 80%
Contaminacin electromagntica 0,0027 50%
Avera de origen fsico o lgico 0,0027 60%
Corte del suministro elctrico 0,0027 60%
Condiciones inadecuadas de
temperatura o humedad 0,0027 60%
Errores del administrador 0,0027 60% 60% 60%
Porttiles
Errores de mantenimiento /
actualizacin de equipos (hardware) 0,0164 60%
Modificacin deliberada de la
informacin 0,0027 70%
Abuso de privilegios de acceso 0,0054 80% 60% 70%
Robo 0,0027 90% 90%
Ataque destructivo 0,0027 80%
Uso no previsto 0,0164 70% 70% 70%
Emanaciones electromagnticas 0,0027 50%
recursos 0,0164 80%
Prdida de equipos 0,0027 80% 80%
Acceso no autorizado 0,0027 70% 60%
Manipulacin de los equipos 0,0054 60% 60%
Denegacin de servicio 0,0027 70%
Fuego 0,0027 90%
Equipos de

cmputo

Fuego 0,0027 90%
128
Amenaza
cia A C I D T
Robo 0,0027 90% 90%
Uso no previsto 0,0164 70% 70% 70%
recursos 0,0164 80%
Fuego 0,0027 90%
Fuego 0,0027 90%
Impresoras
Robo 0,0027 90% 90%
Uso no previsto 0,0164 70% 70% 70%
recursos 0,0164 80%
129
Amenaza
cia A C I D T
Fuego 0,0027 90%
Fuego 0,0027 90%
Servidor Aplicaciones

Robo 0,0027 90% 90%
Uso no previsto 0,0027 60% 60% 60%
recursos 0,0164 80%
Fallo de servicios de comunicaciones 0,0027 70%
Errores de [re-]encaminamiento 0,0027 60%
Errores de secuencia 0,0055 60%
Alteracin accidental de la informacin 0,0055 70%
Destruccin de informacin 0,0027 80%
recursos 0,0055 80%
Suplantacin de la identidad del
Acces point
usuario 0,0027 80% 80% 60%

Uso no previsto 0,0027 60% 60% 60%
[Re-]encaminamiento de mensajes 0,0027 70%
Alteracin de secuencia 0,0027 60%
Anlisis de trfico 0,0055 60%
Interceptacin de informacin
(escucha) 0,0027 60%
130
Amenaza
cia A C I D T
Divulgacin de informacin 0,0027 70%
recursos 0,0055 80%
usuario 0,0027 80% 80% 60%
Swichet

Uso no previsto 0,0027 60% 60% 60%
(escucha) 0,0027 60%
recursos 0,0055 80%
usuario 0,0027 80% 80% 60%
Routers

Uso no previsto 0,0027 60% 60% 60%
(escucha) 0,0027 60%
131
Amenaza
cia A C I D T
recursos 0,0055 80%
usuario 0,0027 80% 80% 60%
firewalls

Uso no previsto 0,0027 60% 60% 60%
(escucha) 0,0027 60%
Errores de los usuarios 0,0164 70% 60% 70%
cableado estructurado

usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0027 60% 70%
Instalacion

elctricas

es

132
Amenaza
cia A C I D T
usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0027 60% 70%
Conectividad a internet

usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0027 60% 70%
Fuego 0,0027 90%
Planta elctrica

Fuego 0,0027 90%
Ocupacin enemiga 0,0027 80% 80%
Wind
2010

serv
ows
er
133
Amenaza
cia A C I D T
recursos 0,0164 80%
usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 70% 70% 70%
(escucha) 0,0027 60%
recursos 0,0164 80%
usuario 0,0027 80% 80% 60%
CgUno
Uso no previsto 0,0027 70% 70% 70%

(escucha) 0,0027 60%
Windows

134
Amenaza
cia A C I D T
recursos 0,0164 80%
usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 70% 70% 70%
(escucha) 0,0027 60%
recursos 0,0164 80%
usuario 0,0027 80% 80% 60%
Ofimtica

Uso no previsto 0,0027 70% 70% 70%
(escucha) 0,0027 60%
trabajo personal

Contratos de
suministros esenciales 0,0027 60%

almacenamiento de la informacin 0,0027 60%
135
Amenaza
cia A C I D T
Errores de monitorizacin (log) 0,0027 50% 60%
Errores de configuracin 0,0164 70%
Escapes de informacin 0,0054 80%
Manipulacin de los registros de
actividad (log) 0,0028 70% 70%
Manipulacin de la configuracin 0,0054 60% 60% 60%
usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0164 60% 70%
Robo 0,0054 80% 80%

Plizas mantenimiento

usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0164 60% 70%
Robo 0,0054 80% 80%
136
Amenaza
cia A C I D T
BD usuarios EPS

usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0164 60% 70%
Robo 0,0054 80% 80%
BD proveedores

usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0164 60% 70%
137
Amenaza
cia A C I D T
Robo 0,0054 80% 80%
contabilidad

usuario 0,0027 80% 80% 60%
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0164 60% 70%
Robo 0,0054 80% 80%
Mercadeo

usuario 0,0027 80% 80% 60%
138
Amenaza
cia A C I D T
Uso no previsto 0,0027 60% 60% 60%
Repudio 0,0164 60% 70%
Robo 0,0054 80% 80%
Fuente: El autor.
139
Anexo E. Impacto Potencial
Valor Impacto- Dimensin Sal
en Afectada Frecuencia * va
Activ Frecue
Millon Amenaza Impacto * gu
o ncia
es de A C I D T Valor ard
$ ar
Personal Directivo Administradora
Deficiencias en la
0,0054 50% $ 675.000 SI
organizacin
Fugas de informacin 0,0054 80% $ 1.080.000 SI
$ 250 Indisponibilidad del
0,0054 80% $ 1.080.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 472.500 SI
Ingeniera social 0,0054 80% 60% 60% $ 1.080.000 SI
Deficiencias en la
0,0054 50% $ 405.000 SI
organizacin
Fugas de informacin 0,0054 80% $ 648.000 SI
0,0054 80% $ 648.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 283.500 SI
Ingeniera social 0,0054 80% 60% 60% $ 648.000 SI
Deficiencias en la
Jefes enfermera
0,0054 50% $ 243.000 SI

organizacin
0,0054 80% $ 388.800 SI
personal
Extorsin 0,0027 70% 70% 70% $ 170.100 NO
Personal barra de
Deficiencias en la
0,0054 50% $ 135.000 NO
organizacin
servicios

0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Deficiencias en la
0,0054 50% $ 135.000 NO
organizacin
enfermera
Auxiliares

0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Deficiencias en la
0,0054 50% $ 135.000 NO
laboratorio
organizacin
Auxiliares

$ 50
Indisponibilidad del
0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
140
Anexo E. (Continuacin)
Valor Impacto- Dimensin

Sal
en Afectada Frecuencia *
Frecue vag
Activ Millon Amenaza Impacto *
ncia uar
o es de A C I D T Valor
dar
$
Deficiencias en la
0,0054 50% $ 135.000 NO
M. Generales
organizacin
0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Deficiencias en la
0,0054 50% $ 135.000 NO
especialistas
organizacin
Mdicos

0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Deficiencias en la
0,0054 50% $ 135.000 NO
organizacin
generales
Servicios

0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Deficiencias en la
0,0054 50% $ 270.000 SI
organizacin
Contadora

0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Asistente contable
Deficiencias en la
0,0054 50% $ 135.000 NO
organizacin
0,0054 80% $ 216.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Deficiencias en la
0,0054 50% $ 270.000 SI
Revisor fiscal
organizacin
0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Deficiencias en la
Secretaria
0,0054 50% $ 135.000 NO

gerencia
organizacin
$ 50 Fugas de informacin 0,0054 80% $ 216.000 SI
0,0054 80% $ 216.000 SI
personal
141

Sal
Frecue vag
ncia uar
dar
$
Extorsin 0,0027 70% 70% 70% $ 94.500 NO
Deficiencias en la
0,0054 50% $ 27.000 NO
asignacin citas
organizacin
Secretaria
Fugas de informacin 0,0054 80% $ 43.200 NO

0,0054 80% $ 43.200 NO
personal
Extorsin 0,0027 70% 70% 70% $ 18.900 NO
Ingeniera social 0,0054 80% 60% 60% $ 43.200 NO
Deficiencias en la
0,0054 50% $ 270.000 SI
organizacin
Ingeniero
sistemas

0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Deficiencias en la
0,0054 50% $ 270.000 SI
Bacterilogas
organizacin
0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Deficiencias en la
0,0054 50% $ 8.100 NO
organizacin
Mensajero

0,0054 80% $ 12.960 NO
personal
Extorsin 0,0027 70% 70% 70% $ 5.670 NO
Auditores mdicos Electro mdico
Deficiencias en la
0,0054 50% $ 270.000 SI
organizacin
0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
Deficiencias en la
0,0054 50% $ 270.000 SI
organizacin
0,0054 80% $ 432.000 SI
personal
Extorsin 0,0027 70% 70% 70% $ 189.000 NO
142

Sal
Frecue vag
ncia uar
dar
$
Deficiencias en la
0,0054 50% $ 27.000 NO
organizacin
Electricista

$ 10 personal 0,0054 80% $ 43.200 NO
Extorsin 0,0027 70% 70% 70% $ 18.900 NO
Deficiencias en la
0,0054 50% $ 27.000 NO
Mantenimiento
organizacin
0,0054 80% $ 43.200 NO
personal
Extorsin 0,0027 70% 70% 70% $ 18.900 NO
Fuego 0,0027 90% $ 121.500 NO
Daos por agua 0,0027 80% $ 108.000 NO
Otros desastres
0,0027 80% $ 108.000 NO
Naturales
Fuego 0,0027 90% $ 121.500 NO
Daos por agua 0,0027 80% $ 108.000 NO
Contaminacin
0,0027 80% $ 108.000 NO
Mecnica
Contaminacin
0,0027 50% $ 67.500 NO
electromagntica
Avera de origen fsico
0,0027 60% $ 81.000 NO
o lgico
Corte del suministro
0,0027 60% $ 81.000 NO
elctrico
Porttiles
Condiciones
inadecuadas de
$ 50 0,0027 60% $ 81.000 NO
temperatura o
humedad
Errores del
0,0027 60% 60% 60% $ 81.000 NO
administrador
Errores de
mantenimiento /
0,0164 60% $ 492.000 SI
actualizacin de
equipos (hardware)
Modificacin
deliberada de la 0,0027 70% $ 94.500 NO
informacin
Abuso de privilegios
0,0054 80% 60% 70% $ 216.000 SI
de acceso
Robo 0,0027 90% 90% $ 121.500 NO
Ataque destructivo 0,0027 80% $ 108.000 NO
Uso no previsto 0,0164 70% 70% 70% $ 574.000 SI
143

Sal
Frecue vag
ncia uar
dar
$
Emanaciones
electromagnticas
0,0027 50% $ 67.500 NO
Errores y fallos no
intencionados
Cada del sistema por
agotamiento de 0,0164 80% $ 656.000 SI
recursos
Prdida de equipos 0,0027 80% 80% $ 108.000 NO
Acceso no autorizado 0,0027 70% 60% $ 94.500 NO
Manipulacin de los
0,0054 60% 60% $ 162.000 NO
equipos
Denegacin de
0,0027 70% $ 94.500 NO
servicio
Fuego 0,0027 90% $ 218.700 SI
Daos por agua 0,0027 80% $ 194.400 NO
Otros desastres
0,0027 80% $ 194.400 NO
Naturales
Fuego 0,0027 90% $ 218.700 SI
Daos por agua 0,0027 80% $ 194.400 NO
Contaminacin
0,0027 80% $ 194.400 NO
Mecnica
Contaminacin
0,0027 50% $ 121.500 NO
electromagntica
0,0027 60% $ 145.800 NO
o lgico
0,0027 60% $ 145.800 NO
Equipos de cmputo
elctrico
Condiciones
inadecuadas de
0,0027 60% $ 145.800 NO
temperatura o
$ 90
humedad
Errores del
0,0027 60% 60% 60% $ 145.800 NO
administrador
Errores de
mantenimiento /
0,0164 60% $ 885.600 SI
actualizacin de
equipos (hardware)
Modificacin
informacin
0,0054 80% 60% 70% $ 388.800 SI
de acceso
Robo 0,0027 90% 90% $ 218.700 SI
Uso no previsto 0,0164 70% 70% 70% $ 1.033.200 SI
Emanaciones
0,0027 50% $ 121.500 NO
electromagnticas
144

Sal
Frecue vag
ncia uar
dar
$
Errores y fallos no
intencionados
agotamiento de 0,0164 80% $ 1.180.800 SI
recursos
Manipulacin de los
0,0054 60% 60% $ 291.600 SI
equipos
Denegacin de
0,0027 70% $ 170.100 NO
servicio
Fuego 0,0027 90% $ 97.200 NO
Daos por agua 0,0027 80% $ 86.400 NO
Otros desastres
0,0027 80% $ 86.400 NO
Naturales
Fuego 0,0027 90% $ 97.200 NO
Daos por agua 0,0027 80% $ 86.400 NO
Contaminacin
0,0027 80% $ 86.400 NO
Mecnica
Contaminacin
0,0027 50% $ 54.000 NO
electromagntica
0,0027 60% $ 64.800 NO
o lgico
0,0027 60% $ 64.800 NO
elctrico
Condiciones
inadecuadas de
0,0027 60% $ 64.800 NO
Impresoras
temperatura o
humedad
$ 40
Errores del
0,0027 60% 60% 60% $ 64.800 NO
administrador
Errores de
mantenimiento /
0,0164 60% $ 393.600 SI
actualizacin de
equipos (hardware)
Modificacin
informacin
0,0054 80% 60% 70% $ 172.800 NO
de acceso
Robo 0,0027 90% 90% $ 97.200 NO
Emanaciones
electromagnticas
0,0027 50% $ 54.000 NO
Errores y fallos no
intencionados
145

Sal
Frecue vag
ncia uar
dar
$
recursos
Manipulacin de los
0,0054 60% 60% $ 129.600 NO
equipos
Denegacin de
0,0027 70% $ 75.600 NO
servicio
Fuego 0,0027 90% $ 486.000 SI
Daos por agua 0,0027 80% $ 432.000 SI
Otros desastres
0,0027 80% $ 432.000 SI
Naturales
Fuego 0,0027 90% $ 486.000 SI
Daos por agua 0,0027 80% $ 432.000 SI
Contaminacin
0,0027 80% $ 432.000 SI
Mecnica
Contaminacin
0,0027 50% $ 270.000 SI
electromagntica
0,0027 60% $ 324.000 SI
o lgico
0,0027 60% $ 324.000 SI
elctrico
Condiciones
inadecuadas de
0,0027 60% $ 324.000 SI
temperatura o
humedad
$ 200
Errores del
0,0027 60% 60% 60% $ 324.000 SI
administrador
Errores de
mantenimiento /
0,0164 60% $ 1.968.000 SI
actualizacin de
equipos (hardware)
Modificacin
deliberada de la 0,0027 70% $ 378.000 SI
informacin
0,0054 80% 60% 70% $ 864.000 SI
de acceso
Robo 0,0027 90% 90% $ 486.000 SI
Ataque destructivo 0,0027 80% $ 432.000 SI
Emanaciones
electromagnticas
0,0027 50% $ 270.000 No
Errores y fallos no
intencionados
146

Sal
Frecue vag
ncia uar
dar
$
agotamiento de 0,0164 80% $ 2.624.000 SI
recursos
Prdida de equipos 0,0027 80% 80% $ 432.000 SI
Acceso no autorizado 0,0027 70% 60% $ 378.000 SI
Manipulacin de los
0,0054 60% 60% $ 648.000 SI
equipos
Denegacin de
0,0027 70% $ 378.000 SI
servicio
Fallo de servicios de
0,0027 70% $ 153.384 NO
comunicaciones
Errores del
0,0027 60% 60% 60% $ 131.472 NO
administrador
Errores de [re-
0,0027 60% $ 131.472 NO
]encaminamiento
Errores de secuencia 0,0055 60% $ 262.992 SI
Alteracin accidental
0,0055 70% $ 306.824 SI
de la informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
recursos
Suplantacin de la
0,0027 80% 80% 60% $ 175.296 NO
identidad del usuario
Acceso point
0,0055 80% 60% 70% $ 350.656 SI
de acceso
$ 80 Uso no previsto 0,0027 60% 60% 60% $ 129.600 NO
[Re-]encaminamiento
0,0027 70% $ 153.384 NO
de mensajes
Alteracin de
0,0027 60% $ 131.472 NO
secuencia
Anlisis de trfico 0,0055 60% $ 262.992 SI
Interceptacin de
0,0027 60% $ 131.472 NO
informacin (escucha)
Modificacin
informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
Divulgacin de
0,0027 70% $ 153.384 NO
informacin
Denegacin de
0,0027 70% $ 153.384 NO
servicio
147

Sal
Frecue vag
ncia uar
dar
$
0,0027 70% $ 153.384 NO
comunicaciones
Errores del
0,0027 60% 60% 60% $ 131.472 NO
administrador
Errores de [re-
0,0027 60% $ 131.472 NO
]encaminamiento
0,0055 70% $ 306.824 SI
de la informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
recursos
Suplantacin de la
0,0027 80% 80% 60% $ 175.296 NO
Swichet
0,0055 80% 60% 70% $ 350.656 SI

de acceso
$ 80
Uso no previsto 0,0027 60% 60% 60% $ 129.600 NO
[Re-]encaminamiento
0,0027 70% $ 153.384 NO
de mensajes
Alteracin de
0,0027 60% $ 131.472 NO
secuencia
Interceptacin de
0,0027 60% $ 131.472 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
Divulgacin de
0,0027 70% $ 153.384 NO
informacin
Denegacin de
0,0027 70% $ 153.384 NO
servicio
0,0027 70% $ 153.384 NO
comunicaciones
Errores del
0,0027 60% 60% 60% $ 131.472 NO
administrador
Routers
Errores de [re-
0,0027 60% $ 131.472 NO
$ 80 ]encaminamiento
0,0055 70% $ 306.824 SI
de la informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
148

Sal
Frecue vag
ncia uar
dar
$
recursos
Suplantacin de la
0,0027 80% 80% 60% $ 175.296 NO
0,0055 80% 60% 70% $ 350.656 SI
de acceso
[Re-]encaminamiento
0,0027 70% $ 153.384 NO
de mensajes
Alteracin de
0,0027 60% $ 131.472 NO
secuencia
Interceptacin de
0,0027 60% $ 131.472 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
Divulgacin de
0,0027 70% $ 153.384 NO
informacin
Denegacin de
0,0027 70% $ 153.384 NO
servicio
0,0027 70% $ 153.384 NO
comunicaciones
Errores del
0,0027 60% 60% 60% $ 131.472 NO
administrador
Errores de [re-
0,0027 60% $ 131.472 NO
]encaminamiento
0,0055 70% $ 306.824 SI
de la informacin
firewalls
Destruccin de
0,0027 80% $ 175.296 NO
$ 80 informacin
recursos
Suplantacin de la
0,0027 80% 80% 60% $ 175.296 NO
0,0055 80% 60% 70% $ 350.656 SI
de acceso
[Re-]encaminamiento
0,0027 70% $ 153.384 NO
de mensajes
149

Sal
Frecue vag
ncia uar
dar
$
Alteracin de
0,0027 60% $ 131.472 NO
secuencia
Interceptacin de
0,0027 60% $ 131.472 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 175.296 NO
informacin
Divulgacin de
0,0027 70% $ 153.384 NO
informacin
Denegacin de
0,0027 70% $ 153.384 NO
servicio
Errores de los usuarios 0,0164 70% 60% 70% $ 2.876.650 SI
Errores del
0,0027 60% 60% 60% $ 410.850 SI
administrador
Errores de [re-
0,0027 60% $ 410.850 NO
]encaminamiento
0,0055 70% $ 958.825 SI
de la informacin
Destruccin de
0,0027 80% $ 547.800 SI
informacin
Fugas de informacin 0,0055 80% $ 1.095.800 SI
Suplantacin de la
0,0027 80% 80% 60% $ 547.800 SI

0,0055 80% 60% 70% $ 1.095.800 SI
de acceso
$ 250 Uso no previsto 0,0027 60% 60% 60% $ 405.000 SI
[Re-]encaminamiento
0,0027 70% $ 479.325 SI
de mensajes
Alteracin de
0,0027 60% $ 410.850 NO
secuencia
Repudio 0,0027 60% 70% $ 479.325 SI
Modificacin
informacin
Destruccin de
0,0027 80% $ 547.800 SI
informacin
Divulgacin de
0,0027 70% $ 479.325 SI
informacin
Denegacin de
0,0027 70% $ 479.325 SI
servicio
150

Sal
Frecue vag
ncia uar
dar
$
Errores del
0,0027 60% 60% 60% $ 328.680 SI
administrador
Errores de [re-
0,0027 60% $ 328.680 NO
]encaminamiento
0,0055 70% $ 767.060 SI
de la informacin
Destruccin de
0,0027 80% $ 438.240 SI
informacin
Instalaciones elctricas
Suplantacin de la
0,0027 80% 80% 60% $ 438.240 SI
0,0055 80% 60% 70% $ 876.640 SI
de acceso
$ 200 Uso no previsto 0,0027 60% 60% 60% $ 324.000 SI
[Re-]encaminamiento
0,0027 70% $ 383.460 SI
de mensajes
Alteracin de
0,0027 60% $ 328.680 NO
secuencia
Repudio 0,0027 60% 70% $ 383.460 SI
Modificacin
informacin
Destruccin de
0,0027 80% $ 438.240 SI
informacin
Divulgacin de
0,0027 70% $ 383.460 SI
informacin
Denegacin de
0,0027 70% $ 383.460 SI
servicio
Errores del
0,0027 60% 60% 60% $ 147.906 NO
administrador
Errores de [re-
0,0027 60% $ 147.906 NO

]encaminamiento
0,0055 70% $ 345.177 SI
de la informacin
$ 90
Destruccin de
0,0027 80% $ 197.208 NO
informacin
Suplantacin de la
0,0027 80% 80% 60% $ 197.208 NO
0,0055 80% 60% 70% $ 394.488 SI
de acceso
151

Sal
Frecue vag
ncia uar
dar
$
[Re-]encaminamiento
0,0027 70% $ 172.557 NO
de mensajes
Alteracin de
0,0027 60% $ 147.906 NO
secuencia
Repudio 0,0027 60% 70% $ 172.557 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 197.208 NO
informacin
Divulgacin de
0,0027 70% $ 172.557 NO
informacin
Denegacin de
0,0027 70% $ 172.557 NO
servicio
Fuego 0,0027 90% $ 218.700 SI
Daos por agua 0,0027 90% $ 218.700 SI
Otros desastres
0,0027 80% $ 194.400 NO
Naturales
Planta elctrica
Fuego 0,0027 90% $ 218.700 SI

Daos por agua 0,0027 80% $ 194.400 NO
$ 90 Emanaciones
electromagnticas
0,0027 50% $ 121.500 NO
Errores y fallos no
intencionados
Ocupacin enemiga 0,0027 80% 80% $ 194.400 NO
0,0164 70% $ 574.000 SI
comunicaciones
Errores del
0,0027 60% 60% 60% $ 81.000 NO
administrador
Errores de [re-
0,0027 60% $ 81.000 NO
]encaminamiento
Windows server 2010
Errores de secuencia 0,0054 60% $ 162.000 NO

0,0054 80% $ 216.000 SI
de la informacin
$ 50 Destruccin de
0,0027 80% $ 108.000 NO
informacin
recursos
Suplantacin de la
0,0027 80% 80% 60% $ 108.000 NO
0,0054 80% 60% 70% $ 216.000 SI
de acceso
152

Sal
Frecue vag
ncia uar
dar
$
[Re-]encaminamiento
0,0027 70% $ 94.500 NO
de mensajes
Alteracin de
0,0027 60% $ 81.000 NO
secuencia
Anlisis de trfico 0,0054 60% $ 162.000 NO
Interceptacin de
0,0027 60% $ 81.000 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 108.000 NO
informacin
Divulgacin de
0,0027 70% $ 94.500 NO
informacin
Denegacin de
0,0027 80% $ 108.000 NO
servicio
0,0164 70% $ 574.000 SI
comunicaciones
Errores del
0,0027 60% 60% 60% $ 81.000 NO
administrador
Errores de [re-
0,0027 60% $ 81.000 NO
]encaminamiento
0,0054 80% $ 216.000 SI
de la informacin
Destruccin de
0,0027 80% $ 108.000 NO
informacin
recursos
CgUno
Suplantacin de la
$ 50 0,0027 80% 80% 60% $ 108.000 NO
0,0054 80% 60% 70% $ 216.000 SI
de acceso
[Re-]encaminamiento
0,0027 70% $ 94.500 NO
de mensajes
Alteracin de
0,0027 60% $ 81.000 NO
secuencia
Interceptacin de
0,0027 60% $ 81.000 NO
Modificacin
informacin
153

Sal
Frecue vag
ncia uar
dar
$
Destruccin de
0,0027 80% $ 108.000 NO
informacin
Divulgacin de
0,0027 70% $ 94.500 NO
informacin
Denegacin de
0,0027 80% $ 108.000 NO
servicio
0,0164 70% $ 574.000 SI
comunicaciones
Errores del
0,0027 60% 60% 60% $ 81.000 NO
administrador
Errores de [re-
0,0027 60% $ 81.000 NO
]encaminamiento
0,0054 80% $ 216.000 SI
de la informacin
Destruccin de
0,0027 80% $ 108.000 NO
informacin
recursos
Suplantacin de la
0,0027 80% 80% 60% $ 108.000 NO
Windows
0,0054 80% 60% 70% $ 216.000 SI

de acceso
$ 50
[Re-]encaminamiento
0,0027 70% $ 94.500 NO
de mensajes
Alteracin de
0,0027 60% $ 81.000 NO
secuencia
Interceptacin de
0,0027 60% $ 81.000 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 108.000 NO
informacin
Divulgacin de
0,0027 70% $ 94.500 NO
informacin
Denegacin de
0,0027 80% $ 108.000 NO
servicio
Ofimtica
0,0164 70% $ 114.800 NO
comunicaciones
$ 10
Errores del
0,0027 60% 60% 60% $ 16.200 NO
administrador
154

Sal
Frecue vag
ncia uar
dar
$
Errores de [re-
0,0027 60% $ 16.200 NO
]encaminamiento
0,0054 80% $ 43.200 NO
de la informacin
Destruccin de
0,0027 80% $ 21.600 NO
informacin
agotamiento de 0,0164 80% $ 131.200 NO
recursos
Suplantacin de la
0,0027 80% 80% 60% $ 21.600 NO
0,0054 80% 60% 70% $ 43.200 NO
de acceso
[Re-]encaminamiento
0,0027 70% $ 18.900 NO
de mensajes
Alteracin de
0,0027 60% $ 16.200 NO
secuencia
Interceptacin de
0,0027 60% $ 16.200 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 21.600 NO
informacin
Divulgacin de
0,0027 70% $ 18.900 NO
informacin
Denegacin de
0,0027 80% $ 21.600 NO
servicio
Interrupcin de otros
servicios y suministros 0,0027 60% $ 16.200 NO
Contratos de trabajo personal
esenciales
Degradacin de los
soportes de
0,0027 60% $ 16.200 NO
informacin
$ 10
Errores de los usuarios 0,0164 70% 70% 70% $ 114.800 NO
Errores del
0,0027 60% 60% 60% $ 16.200 NO
administrador
Errores de
0,0027 50% 60% $ 16.200 NO
monitorizacin (log)
Errores de
0,0164 70% $ 114.800 NO
configuracin
155

Sal
Frecue vag
ncia uar
dar
$
Escapes de
0,0054 80% $ 43.200 NO
informacin
0,0054 70% $ 37.800 NO
de la informacin
Destruccin de
0,0027 80% $ 21.600 NO
informacin
Manipulacin de los
registros de actividad 0,0028 70% 70% $ 19.530 NO
(log)
Manipulacin de la
0,0054 60% 60% 60% $ 32.400 NO
configuracin
Suplantacin de la
0,0027 80% 80% 60% $ 21.600 NO
0,0054 80% 60% 70% $ 43.200 NO
de acceso
Repudio 0,0164 60% 70% $ 114.800 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 21.600 NO
informacin
Divulgacin de
0,0027 70% $ 18.900 NO
informacin
Robo 0,0054 80% 80% $ 43.200 NO
esenciales
Degradacin de los
soportes de
0,0027 60% $ 16.200 NO
informacin
Errores de los usuarios 0,0164 70% 70% 70% $ 114.800 NO
Errores del
0,0027 60% 60% 60% $ 16.200 NO
administrador
$ 10
Errores de
0,0027 50% 60% $ 16.200 NO
monitorizacin (log)
Errores de
0,0164 70% $ 114.800 NO
configuracin
Escapes de
0,0054 80% $ 43.200 NO
informacin
0,0054 70% $ 37.800 NO
de la informacin
Destruccin de
0,0027 80% $ 21.600 NO
informacin
156

Sal
Frecue vag
ncia uar
dar
$
Manipulacin de los
(log)
Manipulacin de la
0,0054 60% 60% 60% $ 32.400 NO
configuracin
Suplantacin de la
0,0027 80% 80% 60% $ 21.600 NO
0,0054 80% 60% 70% $ 43.200 NO
de acceso
Repudio 0,0164 60% 70% $ 114.800 NO
Modificacin
informacin
Destruccin de
0,0027 80% $ 21.600 NO
informacin
Divulgacin de
0,0027 70% $ 18.900 NO
informacin
Robo 0,0054 80% 80% $ 43.200 NO
esenciales
Degradacin de los
soportes de
0,0027 60% $ 145.800 NO
informacin
Errores del
0,0027 60% 60% 60% $ 145.800 NO
BD usuarios EPS
administrador
Errores de
0,0027 50% 60% $ 145.800 NO
monitorizacin (log)
$ 90
Errores de
0,0164 70% $ 1.033.200 SI
configuracin
Escapes de
0,0054 80% $ 388.800 SI
informacin
0,0054 70% $ 340.200 SI
de la informacin
Destruccin de
0,0027 80% $ 194.400 NO
informacin
Manipulacin de los
(log)
157

Sal
Frecue vag
ncia uar
dar
$
Manipulacin de la
0,0054 60% 60% 60% $ 291.600 SI
configuracin
Suplantacin de la
0,0027 80% 80% 60% $ 194.400 NO
0,0054 80% 60% 70% $ 388.800 SI
de acceso
Repudio 0,0164 60% 70% $ 1.033.200 SI
Modificacin
informacin
Destruccin de
0,0027 80% $ 194.400 NO
informacin
Divulgacin de
0,0027 70% $ 170.100 NO
informacin
Robo 0,0054 80% 80% $ 388.800 SI
esenciales
Degradacin de los
soportes de
0,0027 60% $ 145.800 NO
informacin
Errores del
0,0027 60% 60% 60% $ 145.800 NO
administrador
Errores de
0,0027 50% 60% $ 145.800 NO
monitorizacin (log)
BD proveedores
Errores de
0,0164 70% $ 1.033.200 SI
configuracin
Escapes de
$ 90 0,0054 80% $ 388.800 SI
informacin
0,0054 70% $ 340.200 SI
de la informacin
Destruccin de
0,0027 80% $ 194.400 NO
informacin
Manipulacin de los
(log)
Manipulacin de la
0,0054 60% 60% 60% $ 291.600 SI
configuracin
Suplantacin de la
0,0027 80% 80% 60% $ 194.400 NO
0,0054 80% 60% 70% $ 388.800 SI
de acceso
158

Sal
Frecue vag
ncia uar
dar
$
Repudio 0,0164 60% 70% $ 1.033.200 SI
Modificacin
informacin
Destruccin de
0,0027 80% $ 194.400 NO
informacin
Divulgacin de
0,0027 70% $ 170.100 NO
informacin
Robo 0,0054 80% 80% $ 388.800 SI
servicios y suministros 0,0027 60% $ 324.000 SI
esenciales
Degradacin de los
soportes de
0,0027 60% $ 324.000 SI
informacin
Errores del
0,0027 60% 60% 60% $ 324.000 SI
administrador
Errores de
0,0027 50% 60% $ 324.000 No
monitorizacin (log)
Errores de
0,0164 70% $ 2.296.000 SI
configuracin
Escapes de
0,0054 80% $ 864.000 SI
informacin
contabilidad
0,0054 70% $ 756.000 SI
de la informacin
$ 200
Destruccin de
0,0027 80% $ 432.000 SI
informacin
Manipulacin de los
registros de actividad 0,0028 70% 70% $ 390.600 No
(log)
Manipulacin de la
0,0054 60% 60% 60% $ 648.000 SI
configuracin
Suplantacin de la
0,0027 80% 80% 60% $ 432.000 SI
0,0054 80% 60% 70% $ 864.000 SI
de acceso
Repudio 0,0164 60% 70% $ 2.296.000 SI
Modificacin
informacin
159

Sal
Frecue vag
ncia uar
dar
$
Destruccin de
0,0027 80% $ 432.000 SI
informacin
Divulgacin de
0,0027 70% $ 378.000 SI
informacin
Robo 0,0054 80% 80% $ 864.000 SI
esenciales
Degradacin de los
soportes de
0,0027 60% $ 162.000 NO
informacin
Errores del
0,0027 60% 60% 60% $ 162.000 NO
administrador
Errores de
0,0027 50% 60% $ 162.000 NO
monitorizacin (log)
Errores de
0,0164 70% $ 1.148.000 SI
configuracin
Escapes de
0,0054 80% $ 432.000 SI
informacin
0,0054 70% $ 378.000 SI
de la informacin
Destruccin de
Mercadeo
0,0027 80% $ 216.000 SI

informacin
$ 100 Fugas de informacin 0,0054 80% $ 432.000 SI
Manipulacin de los
(log)
Manipulacin de la
0,0054 60% 60% 60% $ 324.000 SI
configuracin
Suplantacin de la
0,0027 80% 80% 60% $ 216.000 SI
0,0054 80% 60% 70% $ 432.000 SI
de acceso
Repudio 0,0164 60% 70% $ 1.148.000 SI
Modificacin
informacin
Destruccin de
0,0027 80% $ 216.000 SI
informacin
Divulgacin de
0,0027 70% $ 189.000 NO
informacin
Robo 0,0054 80% 80% $ 432.000 SI
Fuente: El autor.
160
Anexo F. Riesgo Residual
Valor
en Reduccin Nueva
Activo Amenaza Descripcin Salvaguarda
Millones del Riesgo cuantificacin
de $
Definir responsabilidades sobre

ciertas acciones o eventos,
Deficiencias en
establecer jerarquas para reportar 60% $ 270.000
la organizacin
Personal Directivo
incidentes o acciones a tomar a

quien corresponda
Prohibicin de uso de redes sociales,
$ 250 polticas de escritorio limpio, medios
extrables almacenados
Fugas de correctamente, destruccin de papel
60% $ 432.000
informacin reciclado con informacin
confidencial, seguridad en oficinas,
cuarto tcnico, requisa de paquetes
en la entrada del edificio.
Definir responsabilidades sobre

ciertas acciones o eventos,
Deficiencias en
establecer jerarquas para reportar 60% $ 270.000
la organizacin
incidentes o acciones a tomar a
quien corresponda

polticas de escritorio limpio, medios
extrables almacenados
Fugas de correctamente, destruccin de papel
60% $ 432.000
informacin reciclado con informacin
confidencial, seguridad en oficinas,
cuarto tcnico, requisa de paquetes
en la entrada del edificio.
Capacitacin de personal para

asumir otras responsabilidades
Indisponibilidad
cuando alguien no se encuentre en 50% $ 540.000
del personal
su puesto de trabajo por diferentes
razones
Aplicar polticas de seguridad en

Extorsin cuanto a acercamiento a las 50% $ 236.250
autoridades
161
Anexo F. (Continuacin)
Valor en
Reduccin Nueva
Activ Millones Amenaza Descripcin Salvaguarda
del Riesgo cuantificacin
o de $
Capacitacin sobre buenas prcticas de
seguridad informtica, lectura de correos
Ingeniera
sospechosos, no dejar secciones de 60% $ 432.000
social
trabajo abiertas, digitacin de claves en
presencia de otras personas
Deficiencia Definir responsabilidades sobre ciertas
s en la acciones o eventos, establecer jerarquas
60% $ 162.000
organizaci para reportar incidentes o acciones a
n tomar a quien corresponda
Administradora
Fugas de extrables almacenados correctamente,

informaci destruccin de papel reciclado con 60% $ 259.200
$ 150 n informacin confidencial, seguridad en
oficinas, cuarto tcnico, requisa de
paquetes en la entrada del edificio.
Capacitacin de personal para asumir
Indisponibi
otras responsabilidades cuando alguien
lidad del 50% $ 324.000
no se encuentre en su puesto de trabajo
personal
por diferentes razones
Aplicar polticas de seguridad en cuanto a
Extorsin 50% $ 141.750
acercamiento a las autoridades
Ingeniera
social
60% $ 97.200
Jefes enfermera

Indisponibi
lidad del 50% $ 194.400
personal
Extorsin NO APLICA 0% $ 170.100
162
Valor en
Reduccin Nueva
o de $
Ingeniera
social
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Personal barra de servicios

n informacin confidencial, seguridad en
$ 50
Indisponibi
lidad del 50% $ 108.000
personal
Ingeniera
social
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Auxiliares enfermera

$ 50
Indisponibi
lidad del 50% $ 108.000
personal
Ingeniera
social
163
Valor en
Reduccin Nueva
o de $
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Auxiliares laboratorio

$ 50
Indisponibi
lidad del 50% $ 108.000
personal
Ingeniera
social
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Mdicos Generales

$ 50
Indisponibi
lidad del 50% $ 108.000
personal
Ingeniera
social
especialis
Deficiencia
Mdicos
s en la
tas
$ 50 NO APLICA 0% $ 135.000
organizaci
n
164
Valor en
Reduccin Nueva
o de $
Indisponibi
lidad del 50% $ 108.000
personal
Ingeniera
social
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Servicios generales

$ 50
Indisponibi
lidad del 50% $ 108.000
personal
Ingeniera
social
Contadora

$ 100 60% $ 108.000
165
Valor en
Reduccin Nueva
o de $
Indisponibi
lidad del 50% $ 216.000
personal
Ingeniera
social
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Asistente contable

$ 50
Indisponibi
lidad del 50% $ 108.000
personal
Ingeniera
social
Revisor
fiscal

$ 100 60% $ 108.000
166
Valor en
Reduccin Nueva
o de $
Indisponibi
lidad del 50% $ 216.000
personal
Ingeniera
social
Deficiencia
s en la
NO APLICA 0% $ 135.000
organizaci
n
Secretaria gerencia

$ 50
Indisponibi
lidad del 50% $ 108.000
personal
Ingeniera
social
Deficiencia
asignacin citas
s en la
Secretaria
NO APLICA 0% $ 27.000
organizaci
$ 10 n
Fugas de
informaci NO APLICA 0% $ 43.200
n
167
Valor en
Reduccin Nueva
o de $
Indisponibi
lidad del NO APLICA 0% $ 43.200
personal
Ingeniera
NO APLICA 0% $ 43.200
social
60% $ 108.000
Ingeniero sistemas

$ 100
Indisponibi
lidad del 50% $ 216.000
personal
Ingeniera
social
60% $ 108.000
Bacterilogas

Indisponibi
lidad del 50% $ 216.000
personal
168
Valor en
Reduccin Nueva
o de $
Ingeniera
social
Deficiencia
s en la
NO APLICA 0% $ 8.100
organizaci
n
Fugas de
Mensajero

$ 3 n
Indisponibi
personal
Ingeniera
NO APLICA 0% $ 12.960
social
60% $ 108.000
Auditores mdicos

$ 100
Indisponibi
lidad del 50% $ 216.000
personal
Ingeniera
social
mdico
Electro

$ 100 60% $ 108.000
169
Valor en
Reduccin Nueva
o de $
Indisponibi
lidad del 50% $ 216.000
personal
Ingeniera
social
Deficiencia
s en la
NO APLICA 0% $ 27.000
organizaci
n
Fugas de
Electricista

$ 10 n
Indisponibi
personal
Ingeniera
NO APLICA 0% $ 43.200
social
Deficiencia
s en la
NO APLICA 0% $ 27.000
organizaci
n
Mantenimiento
Fugas de
$ 10 n
Indisponibi
personal
Ingeniera
NO APLICA 0% $ 43.200
social
Porttile
Fuego NO APLICA 0% $ 121.500

$ 50
s
Daos por
NO APLICA 0% $ 108.000
agua
170
Valor en
Reduccin Nueva
o de $
Otros
desastres NO APLICA 0% $ 108.000
Naturales
Daos por
NO APLICA 0% $ 108.000
agua
Contamina
cin NO APLICA 0% $ 108.000
Mecnica
Contamina
cin
NO APLICA 0% $ 67.500
electromag
ntica
Avera de
origen
NO APLICA 0% $ 81.000
fsico o
lgico
Corte del
suministro NO APLICA 0% $ 81.000
elctrico
Condicion
es
inadecuad
as de NO APLICA 0% $ 81.000
temperatur
ao
humedad
Errores del
administra NO APLICA 0% $ 81.000
dor
Errores de
mantenimi
ento /
Mantenimiento preventivo y correctivo de
actualizaci 40% $ 295.200
equipos de cmputo
n de
equipos
(hardware)
Modificaci
n
deliberada
NO APLICA 0% $ 94.500
de la
informaci
n
Abuso de Monitorear el acceso al sistema de
privilegios acuerdo a privilegios establecidos a los 60% $ 86.400
de acceso usuarios
Robo NO APLICA 0% $ 121.500
171
Valor en
Reduccin Nueva
o de $
Ataque
NO APLICA 0% $ 108.000
destructivo
Polticas de uso adecuado de los
Uso no
recursos asignados para actividades 60% $ 229.600
previsto
laborales
Emanacio
nes
electromag
nticas
NO APLICA 0% $ 67.500
Errores y
fallos no
intenciona
dos
Cada del
sistema
Revisar configuracin de equipos de
por
cmputo, servidor, capacidad de la banda 70% $ 196.800
agotamient
ancha.
o de
recursos
Prdida de
NO APLICA 0% $ 108.000
equipos
Acceso no
NO APLICA 0% $ 94.500
autorizado
Manipulaci
n de los NO APLICA 0% $ 162.000
equipos
Denegaci
n de NO APLICA 0% $ 94.500
servicio
Instalacin de detectores de humo,

Fuego 50% $ 109.350
extinguidores, adquisicin de plizas
Daos por
NO APLICA 0% $ 194.400
agua
Otros
Equipos de cmputo

Naturales
$ 90 Fuego 50% $ 109.350
Daos por
NO APLICA 0% $ 194.400
agua
Contamina
Mecnica
Contamina
cin
NO APLICA 0% $ 121.500
electromag
ntica
172
Valor en
Reduccin Nueva
o de $
Avera de
origen
NO APLICA 0% $ 145.800
fsico o
lgico
Corte del
elctrico
Condicion
es
inadecuad
temperatur
ao
humedad
Errores del
dor
Errores de
mantenimi
ento /
equipos de cmputo
n de
equipos
(hardware)
Modificaci
n
deliberada
NO APLICA 0% $ 170.100
de la
informaci
n
de acceso usuarios
Polticas de escritorio limpio, implantacin
de seguridad en las instalaciones,
Robo 60% $ 87.480
monitorizacin de la red, asignacin de
perfiles de acuerdo a sus funciones
Ataque
NO APLICA 0% $ 194.400
destructivo
Uso no
previsto
laborales
Emanacio
nes
electromag
NO APLICA 0% $ 121.500
nticas
Errores y
fallos no
173
Valor en
Reduccin Nueva
o de $
intenciona
dos
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Prdida de
NO APLICA 0% $ 194.400
equipos
Acceso no
NO APLICA 0% $ 170.100
autorizado
Manipulaci
Sistema de monitoreo de integridad de
n de los 50% $ 145.800
deteccin de intrusos (HIDS)
equipos
Denegaci
servicio
Daos por
NO APLICA 0% $ 86.400
agua
Otros
Naturales
Daos por
NO APLICA 0% $ 86.400
agua
Contamina
Mecnica
Contamina
Impresoras
cin
NO APLICA 0% $ 54.000
electromag
$ 40
ntica
Avera de
origen
NO APLICA 0% $ 64.800
fsico o
lgico
Corte del
elctrico
Condicion
es
inadecuad
temperatur
ao
humedad
174
Valor en
Reduccin Nueva
o de $
Errores del
dor
Errores de
mantenimi
ento /
equipos de cmputo
n de
equipos
(hardware)
Modificaci
n
deliberada
NO APLICA 0% $ 75.600
de la
informaci
n
Abuso de
privilegios NO APLICA 0% $ 172.800
de acceso
Ataque
NO APLICA 0% $ 86.400
destructivo
Uso no
previsto
laborales
Emanacio
nes
electromag
nticas
NO APLICA 0% $ 54.000
Errores y
fallos no
intenciona
dos
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Prdida de
NO APLICA 0% $ 86.400
equipos
Acceso no
NO APLICA 0% $ 75.600
autorizado
Manipulaci
n de los NO APLICA 0% $ 129.600
equipos
Denegaci
servicio
175
Valor en
Reduccin Nueva
o de $
Fuego 50% $ 243.000
Daos por
Instalacin de detectores de humedad 50% $ 216.000
agua
Otros
desastres Adquisicin Plizas 60% $ 172.800
Naturales
Fuego 50% $ 243.000
Daos por
agua
Mantenimiento general al cuarto tcnico
Contamina
donde se encuentra el servidor, adems
cin 50% $ 216.000
mantenimiento preventivo por parte del
Mecnica
personal tcnico.
Contamina Ubicacin de servidor lejos de sala de
cin RX, esa sala debe tener paredes
40% $ 162.000
electromag cubiertas de plomo para evitar fuga de
ntica radiacin
Avera de
origen Realizar mantenimiento preventivo

40% $ 194.400
fsico o peridicamente
lgico
$ 200 Instalacin de planta elctrica inteligente,
Corte del
que tome el control apenas hayan fallos
suministro 50% $ 162.000
de energa, esta debe ser online, para el
elctrico
sea transparente para los equipos.
Condicion
es
inadecuad
Mantenimiento aire acondicionado,
as de 40% $ 194.400
detectores de humedad.
temperatur
ao
humedad
Errores del
Revisin de configuraciones y
administra 50% $ 162.000
actualizaciones
dor
Errores de
mantenimi
ento /
actualizaci 40% $1.180.800
equipos de cmputo
n de
equipos
(hardware)
Modificaci
n Aplicar polticas de integridad de la
60% $ 151.200
deliberada informacin
de la
176
Valor en
Reduccin Nueva
o de $
informaci
n

de acceso usuarios
Robo 60% $ 194.400
Ataque
Adquisicin de plizas 50% $ 216.000
destructivo
Uso no
previsto
laborales
Emanacio
nes
electromag
nticas
NO APLICA 0% $ 270.000
Errores y
fallos no
intenciona
dos
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Prdida de Control de acceso fsico y plizas de
50% $ 216.000
equipos seguro
Tomar medias sobre el ingreso a las

instalaciones de la empresa,
Acceso no configuracin adecuada de firewall, IDS,
60% $ 151.200
autorizado implementacin de polticas de escritorio
limpio, uso de contraseas para acceso
al sistema
Manipulaci
Sistema de monitoreo de integridad de
n de los 50% $ 324.000
deteccin de intrusos (HIDS)
equipos
Denegaci instalacin de IDS, ups en buenas
n de condiciones, asignacin de buen espacio 60% $ 151.200
servicio de banda ancha, proteccin antivirus.
177
Valor en
Reduccin Nueva
o de $
Fallo de
servicios
de NO APLICA 0% $ 153.384
comunicac
iones
Errores del
dor
Errores de
[re-
NO APLICA 0% $ 131.472
]encamina
miento
Errores de Instalacin y configuracin correcta de
40% $ 157.795
secuencia IDS
Prohibicin de medios de
Alteracin almacenamiento externo, deshabilitar
accidental puertos USB de los equipos de cmputo,
de la en caso de ser autorizados medios 60% $ 122.730
informaci extrables, tomar las medidas
n preventivas de no dejarlos expuestos,
guardarlos en sitios seguros
Acceso point
Destrucci
$ 80 n de
NO APLICA 0% $ 175.296
informaci
n
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 175.296
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 129.600
previsto
[Re-
]encamina
NO APLICA 0% $ 153.384
miento de
mensajes
Alteracin
secuencia
178
Valor en
Reduccin Nueva
o de $
Acceso no
NO APLICA 0% $ 153.384
autorizado
Anlisis de
Monitorear el trfico de la red 50% $ 131.496
trfico
Interceptac
in de
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 153.384
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 175.296
informaci
n
Divulgaci
n de
NO APLICA 0% $ 153.384
informaci
n
Denegaci
servicio
Fallo de
servicios
comunicac
iones
Errores del
dor
Errores de
[re-
NO APLICA 0% $ 131.472
]encamina
Swichet
$ 80 miento
40% $ 157.795
secuencia IDS
Destrucci
NO APLICA 0% $ 175.296
n de
179
Valor en
Reduccin Nueva
o de $
informaci
n
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 175.296
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 129.600
previsto
[Re-
]encamina
NO APLICA 0% $ 153.384
miento de
mensajes
Alteracin
secuencia
Acceso no
NO APLICA 0% $ 153.384
autorizado
Anlisis de
trfico
Interceptac
in de
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 153.384
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 175.296
informaci
n
Divulgaci
n de
NO APLICA 0% $ 153.384
informaci
n
180
Valor en
Reduccin Nueva
o de $
Denegaci
servicio
Fallo de
servicios
comunicac
iones
Errores del
dor
Errores de
[re-
NO APLICA 0% $ 131.472
]encamina
miento
40% $ 157.795
secuencia IDS
Routers
Destrucci
$ 80
n de
NO APLICA 0% $ 175.296
informaci
n
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 175.296
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 129.600
previsto
[Re-
]encamina
NO APLICA 0% $ 153.384
miento de
mensajes
181
Valor en
Reduccin Nueva
o de $
Alteracin
secuencia
Acceso no
NO APLICA 0% $ 153.384
autorizado
Anlisis de
trfico
Interceptac
in de
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 153.384
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 175.296
informaci
n
Divulgaci
n de
NO APLICA 0% $ 153.384
informaci
n
Denegaci
servicio
Fallo de
servicios
comunicac
iones
Errores del
dor
Errores de
firewalls
$ 80 [re-
NO APLICA 0% $ 131.472
]encamina
miento
40% $ 157.795
secuencia IDS
Alteracin Prohibicin de medios de
accidental almacenamiento externo, deshabilitar
de la puertos USB de los equipos de cmputo, 60% $ 122.730
informaci en caso de ser autorizados medios
n extrables, tomar las medidas
182
Valor en
Reduccin Nueva
o de $
preventivas de no dejarlos expuestos,
Destrucci
n de
NO APLICA 0% $ 175.296
informaci
n
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 175.296
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 129.600
previsto
[Re-
]encamina
NO APLICA 0% $ 153.384
miento de
mensajes
Alteracin
secuencia
Acceso no
NO APLICA 0% $ 153.384
autorizado
Anlisis de
trfico
Interceptac
in de
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 153.384
de la
informaci
n
Destrucci
NO APLICA 0% $ 175.296
n de
183
Valor en
Reduccin Nueva
o de $
informaci
n
Divulgaci
n de
NO APLICA 0% $ 153.384
informaci
n
Denegaci
servicio
Errores de
Instalacin de programas slo por
los 50% $1.438.325
personal capacitado y autorizado.
usuarios
Errores del
actualizaciones
dor
Errores de
[re-
NO APLICA 0% $ 410.850
]encamina
miento
40% $ 493.110
secuencia IDS

$ 250
Guardas en sitios seguros unidades
Destrucci externas de almacenamiento donde se
n de grabe informacin confidencial,
40% $ 328.680
informaci procedimiento adecuado de las copias de
n seguridad, prohibir acceso de personal no
autorizado a sitios restringidos.

Suplantaci
n de la Monitoreo del trfico, autenticacin de
60% $ 219.120
identidad usuarios
del usuario
184
Valor en
Reduccin Nueva
o de $
de acceso usuarios
Uso no
previsto
laborales
[Re- Control sobre el uso de cuentas de
]encamina correos electrnicos, acceso a la red,
50% $ 239.663
miento de negacin de redes sociales, chat, foros,
mensajes entre otros
Alteracin
secuencia

60% $ 191.730
al sistema
Aplicacin de polticas de seguridad en

Repudio 40% $ 287.595
cuanto a integridad de la informacin
Modificaci
n
deliberada Aplicar polticas de integridad de la
60% $ 191.730
de la informacin
informaci
n
40% $ 328.680
Divulgaci
n de aplicar polticas de confidencialidad de la
40% $ 287.595
informaci informacin
n
servicio de banda ancha, proteccin antivirus,
Errores de
Instalaciones

elctricas
los 50% $1.150.660

usuarios
$ 200
Errores del
actualizaciones
dor
185
Valor en
Reduccin Nueva
o de $
Errores de
[re-
NO APLICA 0% $ 328.680
]encamina
miento
40% $ 394.488
secuencia IDS
40% $ 262.944
Suplantaci
60% $ 175.296
identidad usuarios
del usuario
de acceso usuarios
Uso no
previsto
laborales
[Re- Control sobre el uso de cuentas de
]encamina correos electrnicos, acceso a la red,
50% $ 191.730
miento de negacin de redes sociales, chat, foros,
mensajes entre otros
Alteracin
secuencia
186
Valor en
Reduccin Nueva
o de $

60% $ 153.384
al sistema

Repudio 40% $ 230.076
Modificaci
n
60% $ 153.384
de la informacin
informaci
n
40% $ 262.944
Divulgaci
40% $ 230.076
n
servicio de banda ancha, proteccin antivirus,
Errores de
los 50% $ 517.797
usuarios
Errores del
dor
Errores de
[re-
NO APLICA 0% $ 147.906
]encamina
$ 90 miento
40% $ 177.520
secuencia IDS
187
Valor en
Reduccin Nueva
o de $
Destrucci
n de
NO APLICA 0% $ 197.208
informaci
n
Suplantaci
n de la
NO APLICA 0% $ 197.208
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 145.800
previsto
[Re-
]encamina
NO APLICA 0% $ 172.557
miento de
mensajes
Alteracin
secuencia
Acceso no
NO APLICA 0% $ 172.557
autorizado
Repudio NO APLICA 0% $ 172.557
Modificaci
n
deliberada
NO APLICA 0% $ 172.557
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 197.208
informaci
n
Divulgaci
n de
NO APLICA 0% $ 172.557
informaci
n
Denegaci
servicio
elctr
Plant

ica
$ 90 Fuego 50% $ 109.350

a
188
Valor en
Reduccin Nueva
o de $
Daos por
agua
Otros
Naturales
Fuego 50% $ 109.350
Daos por
NO APLICA 0% $ 194.400
agua
Emanacio
nes
electromag
nticas
NO APLICA 0% $ 121.500
Errores y
fallos no
intenciona
dos
Acceso no
NO APLICA 0% $ 170.100
autorizado
Ataque
NO APLICA 0% $ 194.400
destructivo
Ocupacin
NO APLICA 0% $ 194.400
enemiga
Fallo de
Instalacin de equipos de
servicios
comunicaciones de apoyo, en caso de
de 60% $ 229.600
que los equipos primarios se vean
comunicac
afectados
iones
Errores del
dor
Errores de
Windows server 2010
[re-
NO APLICA 0% $ 81.000
]encamina
miento
$ 50 Errores de
NO APLICA 0% $ 162.000
secuencia
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
189
Valor en
Reduccin Nueva
o de $
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 108.000
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 94.500
previsto
[Re-
]encamina
NO APLICA 0% $ 94.500
miento de
mensajes
Alteracin
secuencia
Acceso no
NO APLICA 0% $ 94.500
autorizado
Anlisis de
NO APLICA 0% $ 162.000
trfico
Interceptac
in de
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 94.500
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
Divulgaci
n de
NO APLICA 0% $ 94.500
informaci
n
Denegaci
servicio
190
Valor en
Reduccin Nueva
o de $
Fallo de
servicios
de 60% $ 229.600
comunicac
afectados
iones
Errores del
dor
Errores de
[re-
NO APLICA 0% $ 81.000
]encamina
miento
Errores de
NO APLICA 0% $ 162.000
secuencia
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
CgUno
$ 50 n
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 108.000
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 94.500
previsto
[Re-
]encamina
NO APLICA 0% $ 94.500
miento de
mensajes
Alteracin
secuencia
Acceso no
NO APLICA 0% $ 94.500
autorizado
191
Valor en
Reduccin Nueva
o de $
Anlisis de
NO APLICA 0% $ 162.000
trfico
Interceptac
in de
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 94.500
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
Divulgaci
n de
NO APLICA 0% $ 94.500
informaci
n
Denegaci
servicio
Fallo de
servicios
de 60% $ 229.600
comunicac
afectados
iones
Errores del
dor
Errores de
[re-
NO APLICA 0% $ 81.000
]encamina
Windows
miento
$ 50 Errores de
NO APLICA 0% $ 162.000
secuencia
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
192
Valor en
Reduccin Nueva
o de $
Cada del
sistema
por
agotamient
ancha.
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 108.000
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 94.500
previsto
[Re-
]encamina
NO APLICA 0% $ 94.500
miento de
mensajes
Alteracin
secuencia
Acceso no
NO APLICA 0% $ 94.500
autorizado
Anlisis de
NO APLICA 0% $ 162.000
trfico
Interceptac
in de
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 94.500
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 108.000
informaci
n
Divulgaci
n de
NO APLICA 0% $ 94.500
informaci
n
Denegaci
servicio
193
Valor en
Reduccin Nueva
o de $
Fallo de
servicios
comunicac
iones
Errores del
dor
Errores de
[re-
NO APLICA 0% $ 16.200
]encamina
miento
Errores de
NO APLICA 0% $ 32.400
secuencia
Alteracin
accidental
de la NO APLICA 0% $ 43.200
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Ofimtica
Cada del
$ 10 sistema
por
NO APLICA 0% $ 131.200
agotamient
o de
recursos
Suplantaci
n de la
NO APLICA 0% $ 21.600
identidad
del usuario
Abuso de
de acceso
Uso no
NO APLICA 0% $ 18.900
previsto
[Re-
]encamina
NO APLICA 0% $ 18.900
miento de
mensajes
Alteracin
secuencia
Acceso no
NO APLICA 0% $ 18.900
autorizado
Anlisis de
NO APLICA 0% $ 32.400
trfico
194
Valor en
Reduccin Nueva
o de $
Interceptac
in de
n
(escucha)
Modificaci
n
deliberada
NO APLICA 0% $ 18.900
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Divulgaci
n de
NO APLICA 0% $ 18.900
informaci
n
Denegaci
servicio
Interrupci
n de otros
servicios y
NO APLICA 0% $ 16.200
suministro
s
esenciales
Degradaci
n de los
Contratos de trabajo personal
soportes
de
almacena NO APLICA 0% $ 16.200
miento de
la
$ 10 informaci
n
Errores de
los NO APLICA 0% $ 114.800
usuarios
Errores del
dor
Errores de
monitoriza NO APLICA 0% $ 16.200
cin (log)
Errores de
configuraci NO APLICA 0% $ 114.800
n
195
Valor en
Reduccin Nueva
o de $
Escapes
de
NO APLICA 0% $ 43.200
informaci
n
Alteracin
accidental
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Fugas de
n
Manipulaci
n de los
registros
NO APLICA 0% $ 19.530
de
actividad
(log)
Manipulaci
n de la
NO APLICA 0% $ 32.400
configuraci
n
Suplantaci
n de la
NO APLICA 0% $ 21.600
identidad
del usuario
Abuso de
de acceso
Uso no
NO APLICA 0% $ 16.200
previsto
Acceso no
NO APLICA 0% $ 18.900
autorizado
Modificaci
n
deliberada
NO APLICA 0% $ 18.900
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
196
Valor en
Reduccin Nueva
o de $
Divulgaci
n de
NO APLICA 0% $ 18.900
informaci
n
Interrupci
n de otros
servicios y
NO APLICA 0% $ 16.200
suministro
s
esenciales
Degradaci
n de los
soportes
de
miento de
la
informaci
n
Errores de
los NO APLICA 0% $ 114.800
usuarios
Errores del
dor
$ 10 Errores de
cin (log)
Errores de
configuraci NO APLICA 0% $ 114.800
n
Escapes
de
NO APLICA 0% $ 43.200
informaci
n
Alteracin
accidental
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Fugas de
n
197
Valor en
Reduccin Nueva
o de $
Manipulaci
n de los
registros
NO APLICA 0% $ 19.530
de
actividad
(log)
Manipulaci
n de la
NO APLICA 0% $ 32.400
configuraci
n
Suplantaci
n de la
NO APLICA 0% $ 21.600
identidad
del usuario
Abuso de
de acceso
Uso no
NO APLICA 0% $ 16.200
previsto
Acceso no
NO APLICA 0% $ 18.900
autorizado
Modificaci
n
deliberada
NO APLICA 0% $ 18.900
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 21.600
informaci
n
Divulgaci
n de
NO APLICA 0% $ 18.900
informaci
n
Interrupci
n de otros
servicios y
BD usuarios EPS
NO APLICA 0% $ 145.800
suministro
s
esenciales
$ 90
Degradaci
n de los
soportes
NO APLICA 0% $ 145.800
de
almacena
miento de
198
Valor en
Reduccin Nueva
o de $
la
informaci
n
Errores de
los 50% $ 516.600
usuarios
Errores del
dor
Errores de
cin (log)
Errores de
Configuracin correcta de privilegios,
configuraci 60% $ 413.280
perfiles de usuarios.
n
Escapes
de Aplicacin de Polticas de
50% $ 194.400
informaci confidencialidad de la informacin
n
Destrucci
n de
NO APLICA 0% $ 194.400
informaci
n
Manipulaci
n de los
registros
NO APLICA 0% $ 175.770
de
actividad
(log)
Manipulaci
n de la
Sistemas de monitoreo de integridad 50% $ 145.800
configuraci
n
199
Valor en
Reduccin Nueva
o de $
Suplantaci
n de la
NO APLICA 0% $ 194.400
identidad
del usuario
de acceso usuarios
Uso no
NO APLICA 0% $ 145.800
previsto
Acceso no
NO APLICA 0% $ 170.100
autorizado
Repudio 40% $ 619.920
Modificaci
n
deliberada
NO APLICA 0% $ 170.100
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 194.400
informaci
n
Divulgaci
n de
NO APLICA 0% $ 170.100
informaci
n
Robo 60% $ 155.520
Interrupci
n de otros
servicios y
NO APLICA 0% $ 145.800
suministro
s
esenciales
BD proveedores
Degradaci
n de los
soportes
$ 90
de
miento de
la
informaci
n
Errores de
los 50% $ 516.600
usuarios
200
Valor en
Reduccin Nueva
o de $
Errores del
dor
Errores de
cin (log)
Errores de
n
Escapes
50% $ 194.400
n
Destrucci
n de
NO APLICA 0% $ 194.400
informaci
n
Manipulaci
n de los
registros
NO APLICA 0% $ 175.770
de
actividad
(log)
Manipulaci
n de la
configuraci
n
Suplantaci
n de la
NO APLICA 0% $ 194.400
identidad
del usuario
de acceso usuarios
201
Valor en
Reduccin Nueva
o de $
Uso no
NO APLICA 0% $ 145.800
previsto
Acceso no
NO APLICA 0% $ 170.100
autorizado
Repudio 40% $ 619.920
Modificaci
n
deliberada
NO APLICA 0% $ 170.100
de la
informaci
n
Destrucci
n de
NO APLICA 0% $ 194.400
informaci
n
Divulgaci
n de
NO APLICA 0% $ 170.100
informaci
n
Robo 60% $ 155.520
Interrupci
n de otros
Stock de papel para impresin, tner de
servicios y
impresoras, unidades para realizacin de 60% $ 129.600
suministro
backups.
s
esenciales
Degradaci
n de los
soportes
de Mantenimiento preventivo o reemplazo de
contabilidad
almacena medios de almacenamiento como discos 50% $ 162.000

miento de duros, memorias, cintas.
$ 200 la
informaci
n
Errores de
los 50% $1.148.000
usuarios
Errores del
actualizaciones
dor
Errores de
cin (log)
202
Valor en
Reduccin Nueva
o de $
Errores de
n
Escapes
50% $ 432.000
n
40% $ 259.200
Manipulaci
n de los
registros
NO APLICA 0% $ 390.600
de
actividad
(log)
Manipulaci
n de la
configuraci
n
Suplantaci
60% $ 172.800
identidad usuarios
del usuario
de acceso usuarios
Uso no
previsto
laborales
203
Valor en
Reduccin Nueva
o de $

60% $ 151.200
al sistema

Repudio 40% $1.377.600
Modificaci
n
60% $ 151.200
de la informacin
informaci
n
40% $ 259.200
Divulgaci
40% $ 226.800
n
Robo 60% $ 345.600
Interrupci
n de otros
servicios y
NO APLICA 0% $ 162.000
suministro
s
esenciales
Degradaci
Mercadeo
n de los
soportes
$ 100
de
miento de
la
informaci
n
Errores de
los 50% $ 574.000
usuarios
204
Valor en
Reduccin Nueva
o de $
Errores del
dor
Errores de
cin (log)
Errores de
n
Escapes
50% $ 216.000
n
40% $ 129.600
Manipulaci
n de los
registros
NO APLICA 0% $ 195.300
de
actividad
(log)
Manipulaci
n de la
configuraci
n
Suplantaci
60% $ 86.400
identidad usuarios
del usuario
205
Valor en
Reduccin Nueva
o de $
de acceso usuarios
Uso no
NO APLICA 0% $ 162.000
previsto
Acceso no
NO APLICA 0% $ 189.000
autorizado
Repudio 40% $ 688.800
Modificaci
n
deliberada
NO APLICA 0% $ 189.000
de la
informaci
n
40% $ 129.600
Divulgaci
n de
NO APLICA 0% $ 189.000
informaci
n
Robo 60% $ 172.800
Fuente: El autor.
206

Unad PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unad PDF

Cargado por

Copyright:

Formatos disponibles

ANALISIS PARA LA IMPLEMENTACION DE UN SISTEMA DE GESTION

DE LA SEGURIDAD DE LA INFORMACION SEGN LA NORMA ISO 27001

ING. LUIS ENRIQUE GIRALDO CEPEDA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ING. LUIS ENRIQUE GIRALDO CEPEDA

PROYECTO TRABAJO DE GRADO

Directora: YINA ALEXANDRA GONZLEZ SANABRIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Firma del Presidente del Jurado

Firma del Jurado

Firma del Jurado

Santiago de Cali, marzo de 2016

LISTA DE TABLAS ......................................................................................... 6

Tabla 1. Activos de Servidoc S.A. ................................................................. 43

Figura 1. Fases para implementar un SGSI .................................................. 25

Anexo A. Encuesta ..................................................................................... 104

Las Tecnologas de la Informacin y la Comunicacin TIC han llevado a las

Para proteger la informacin es necesario confeccionar un estudio muy

El anlisis se realiz por medio de fases, donde se incluyeron entrevistas,

Technologies of Information and Communication ICT have led organizations to

To protect information is necessary to make a detailed study to identify the risks

The analysis was performed through phases where interviews, direct

1.1 ANTECEDENTES DEL PROBLEMA

Actualmente la empresa Servidoc S.A. no posee ningn mtodo o control que

1.2 FORMULACION DEL PROBLEMA

1.3 DESCRIPCION DEL PROBLEMA

Esta propuesta ser de gran importancia para la organizacin, teniendo en

Las constantes reformas a la salud que da a da realiza el Gobierno Nacional

La Empresa Servidoc S.A ubicada en la ciudad de Cali, es una empresa

Para la Compaa, la informacin que se maneja en los equipos de cmputo

2.1 OBJETIVO GENERAL

Realizar un anlisis para la Implementacin de un Sistema de Gestin de

2.2 OBJETIVOS ESPECFICOS

Identificar fortalezas y debilidades que tiene la empresa Servidoc S.A. en

3.1 ESTADO DEL ARTE

FERNNDEZ, Ral Jos Gil (2.011) en la ciudad de Barquisimeto

El desarrollo de la investigacin se centr en disear un sistema de gestin de

Lo expuesto anteriormente se relaciona directamente con la presente

En el ao 2013 NIETO, Juan Pablo en la ciudad de Barcelona (Espaa), realizo

Las conclusiones generadas arrojaron como resultado que las amenazas y

La exploracin realizada por el autor, aporta mucho al desarrollo del presente

MATALOBOS VEIGA, Juan Manuel en el ao 2009 en la ciudad de Madrid

El aporte es de gran relevancia, ya que aborda diferentes metodologas de

En la ciudad de Machala (Ecuador), VSQUES, Karina del Roco en el ao

El autor concluye que la situacin en cuanto a seguridad informtica de la

Lo anterior aporta mucho al desarrollo del presente trabajo, puesto que

PEREIRA, Hose Aurela, en el ao 2013 en la ciudad de Barcelona (Espaa),

Con la realizacin del trabajo presentado por el autor, se logr establecer un

Este trabajo representa un aporte terico significativo para la presente

CUCHIMBA, PERAFN RUIZ, John Jairo; CAICEDO, Mildred en la ciudad de

Los autores concluyen que la universidad presenta muchos problemas de

En la ciudad de Montevideo (Uruguay), MEGA, Gustavo Pallas en el ao 2009

PEREZ PREZ ,Yesica Mara; OSORIO RIVERO, Yenis Pineda en la ciudad

Los autores concluyen que con el anlisis realizado y la implementacin de la

SALCEDO, Robin J. en la ciudad de Barcelona, desarroll una investigacin

El aporte terico de esta investigacin al desarrollo del presente trabajo, es el

3.2 MARCO TERICO

Magerit: Metodologa de anlisis y gestin de riesgos, su iniciativa se centra

Sistema de Informacin: Dice ALARCN, Vicen Fernndez (2.006) que es

Segn OZ, Effy en una organizacin un sistema de informacin est

La implantacin de un SGSI, ayuda a establecer la forma ms adecuada de

Norma ISO/IEC 27001

Norma ISO/IEC 27002