Está en la página 1de 267

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

MEDIANTE LA APLICACIN DE LA NORMA INTERNACIONAL ISO/IEC


27001:2013 EN LA OFICINA DE SISTEMAS DE INFORMACIN Y
TELECOMUNICACIONES DE LA UNIVERSIDAD DE CRDOBA

ANDRS FELIPE DORIA CORCHO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
MONTERA
2015
DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
MEDIANTE LA APLICACIN DE LA NORMA INTERNACIONAL ISO/IEC
27001:2013 EN LA OFICINA DE SISTEMAS DE INFORMACIN Y
TELECOMUNICACIONES DE LA UNIVERSIDAD DE CRDOBA

ANDRS FELIPE DORIA CORCHO

Trabajo de grado para optar por el ttulo de:


Especialista en Seguridad Informtica

Director de proyecto:
Ing. Erika Liliana Villamizar Torres

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA


ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA
ESPECIALIZACIN EN SEGURIDAD INFORMTICA
MONTERA
2015
Nota de Aceptacin

Presidente del Jurado

Jurado

Jurado

Montera, 8 de Junio de 2015


A mis padres, familiares, amigos,
docentes y compaeros que me
brindaron su apoyo incondicional
en la realizacin y logro de este
objetivo de vida.
AGRADECIMIENTOS

Agradezco a la Ing. Erika Vanesa Restrepo Urzola, Lder del Proceso de


Desarrollo Tecnolgico de la Universidad de Crdoba por su apoyo incondicional
en la realizacin de este trabajo y su permisividad en la recoleccin de datos e
informacin necesaria.

A la Ing. Especialista en Seguridad Informtica Erika Liliana Villamizar Torres de la


Universidad Nacional Abierta y a Distancia por brindar su asesora valiosa y
constante en la direccin, programacin, realizacin y consecucin de resultados a
lo largo del proyecto, adems de proveer un entendimiento claro y conciso de la
norma ISO/IEC 27001.

A mi amigo Ing. Ph.D. en Ingeniera y desarrollador de software en Google Inc.,


Juan Camilo Corena Bossa por sus valiosos aportes y conocimientos de seguridad
informtica, especialmente en el campo de la criptografa.
CONTENIDO

pg.

INTRODUCCIN ............................................................................................................. 16

1. PLANTEAMIENTO DEL PROBLEMA...................................................................... 18


1.1. DEFINICIN Y ALCANCE ................................................................................ 18
1.2. FORMULACIN ................................................................................................ 19
2. JUSTIFICACIN ...................................................................................................... 22
3. OBJETIVOS ............................................................................................................. 24
3.1. OBJETIVO GENERAL ...................................................................................... 24
3.2. OBJETIVOS ESPECFICOS ............................................................................. 24
4. MARCO REFERENCIAL .......................................................................................... 26
4.1. MARCO TERICO ............................................................................................ 26
4.1.1. Generalidades ........................................................................................... 26
4.1.2. Amenazas a la Seguridad de la Informacin .......................................... 29
4.1.3. Sistemas de Gestin de la Seguridad de la Informacin ....................... 31
4.2. MARCO CONCEPTUAL ................................................................................... 34
4.2.1. Riesgos Informticos ............................................................................... 34
4.2.2. Gestin del Riesgo ................................................................................... 35
4.2.3. Metodologas de Anlisis y Evaluacin de Riesgos .............................. 36
4.2.4. Polticas de la Seguridad de la Informacin ........................................... 44
4.2.5. Estndar ISO/IEC 27001:2013 .................................................................. 45
4.2.6. Planes de Continuidad del Negocio ........................................................ 52
4.2.7. Gobierno de Tecnologa Informtica ....................................................... 57
4.3. MARCO LEGAL ................................................................................................ 67
4.3.1. Ley 1273 de 2009 ...................................................................................... 67
4.3.2. Estrategia de Gobierno en Lnea ............................................................. 70
4.4. MARCO CONTEXTUAL .................................................................................... 75
4.4.1. Universidad de Crdoba .......................................................................... 75
4.4.2. Oficina de Sistemas y Telecomunicaciones ........................................... 78
5. MATERIALES Y MTODOS .................................................................................... 89
5.1. MATERIALES ................................................................................................... 89
5.2. METODOLOGA ............................................................................................... 91
5.2.1. Obtener el soporte de la Direccin.......................................................... 91
5.2.2. Definir el Alcance. .................................................................................... 91
5.2.3. Realizar el Anlisis Diferencial ................................................................ 91
5.2.4. Definir la Poltica de Seguridad ............................................................... 92
5.2.5. Identificar los Activos de Informacin. ................................................... 92
5.2.6. Definir la Metodologa de Anlisis y Evaluacin de Riesgos ................ 92
5.2.7. Tratamiento de Riesgos ........................................................................... 93
5.2.8. Definir el Plan de Continuidad del Negocio ............................................ 93
5.2.9. Definir el Gobierno de Tecnologa Informtica ....................................... 93
6. DESARROLLO DEL PROYECTO ............................................................................ 94
6.1. SOPORTE DE LA DIRECCIN......................................................................... 94
6.2. ALCANCE DEL SISTEMA DE GESTIN DE LA SEGURIDAD DE LA
INFORMACIN ............................................................................................................... 99
6.3. ANLISIS DIFERENCIAL ............................................................................... 102
6.3.1. Requisitos de la Norma ISO/IEC 27001:2013 ........................................ 102
6.3.2. Dominios, Objetivos de Control y Controles de Seguridad................. 110
6.4. POLTICAS DE SEGURIDAD DE LA INFORMACIN ................................... 151
6.5. METODOLOGA DE ANLISIS Y EVALUACIN DE RIESGOS Y REPORTE
DE EVALUACIN DE RIESGOS .................................................................................. 160
6.5.1. Metodologa MAGERIT ........................................................................... 162
6.5.2. Inventario y Clasificacin de Activos Informticos.............................. 170
6.5.3. Identificacin y Valoracin de Amenazas ............................................. 189
6.5.4. Riesgo Potencial..................................................................................... 204
6.6. DECLARACIN DE APLICABILIDAD ............................................................ 210
6.7. PLAN DE TRATAMIENTO DE RIESGOS ....................................................... 229
6.8. PLAN DE CONTINUIDAD DEL NEGOCIO ..................................................... 239
6.9. GOBIERNO DE TECNOLOGA INFORMTICA (COBIT) ............................... 248
7. CRONOGRAMA ..................................................................................................... 255
8. CONCLUSIONES ................................................................................................... 259
9. RECOMENDACIONES........................................................................................... 261
BIBLIOGRAFA ............................................................................................................. 262
LISTA DE TABLAS

pg.

Tabla 1. Dominios de una tpica infraestructura TI en una organizacin. ......................... 28

Tabla 2. Amenazas a la seguridad de la informacin. ...................................................... 30

Tabla 3. Familia de estndares ISO/IEC 27000. .............................................................. 46

Tabla 4. Requisitos de la norma ISO-IEC 27001:2013. .................................................... 49

Tabla 5. Documentos obligatorios para el estndar ISO/IEC 27001:2013. ....................... 51

Tabla 6. Elementos de un Gobierno de TI........................................................................ 59

Tabla 7. Modelos de madurez de un Gobierno de TI. ...................................................... 59

Tabla 8. Objetivos de un Gobierno de TI. ........................................................................ 60

Tabla 9. Dominios de Control de COBIT. ......................................................................... 62

Tabla 10. Etapas del Ciclo de Vida de la Gestin del Servicio en ITIL. ............................ 65

Tabla 11. Principios de ISO 27014:2013. ......................................................................... 66

Tabla 12. Procesos de ISO 27014:2013. ......................................................................... 67

Tabla 13. Artculos de la Ley de Delitos Informticos en Colombia. ................................. 68

Tabla 14. Ejes fundamentales de la Seguridad y Privacidad de la Informacin en la

Estrategia de Gobierno en Lnea. .................................................................................... 72

Tabla 15. Informacin de la Universidad de Crdoba. ..................................................... 75

Tabla 16. reas y funciones principales de la oficina de Sistemas y Telecomunicaciones.

........................................................................................................................................ 79

Tabla 17. reas y funciones de apoyo a la oficina de Sistemas y Telecomunicaciones. .. 80

Tabla 18. Materiales y Recursos utilizados en el proyecto. .............................................. 90


Tabla 19. Requisito de la Norma ISO/IEC 27001:2013. Contexto de la Organizacin. ... 103

Tabla 20. Requisito de la Norma ISO/IEC 27001:2013. Liderazgo. ................................ 104

Tabla 21. Requisito de la Norma ISO/IEC 27001:2013. Planificacin. ........................... 105

Tabla 22. Requisito de la Norma ISO/IEC 27001:2013. Soporte. ................................... 106

Tabla 23. Requisito de la Norma ISO/IEC 27001:2013. Operacin. ............................... 107

Tabla 24. Requisito de la Norma ISO/IEC 27001:2013. Evaluacin del Desempeo. .... 107

Tabla 25. Requisito de la Norma ISO/IEC 27001:2013. Mejora. .................................... 108

Tabla 26. Nivel de Cumplimiento de los Requisitos de la Norma ISO/IEC 27001:2013. . 109

Tabla 27. Anexo A de la Norma ISO/IEC 27001:2013. Polticas de la Seguridad de la

Informacin. ................................................................................................................... 110

Tabla 28. Anexo A de la Norma ISO/IEC 27001:2013. Organizacin de la Seguridad de la

Informacin. ................................................................................................................... 111

Tabla 29. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de los Recursos

Humanos. ...................................................................................................................... 113

Tabla 30. Anexo A de la Norma ISO/IEC 27001:2013. Gestin de Activos. ................... 115

Tabla 31. Anexo A de la Norma ISO/IEC 27001:2013. Control de Acceso. .................... 119

Tabla 32. Anexo A de la Norma ISO/IEC 27001:2013. Controles Criptogrficos. ........... 123

Tabla 33. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad Fsica y del Entorno. 124

Tabla 34. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Operaciones. . 129

Tabla 35. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Comunicaciones.

...................................................................................................................................... 134

Tabla 36. Anexo A de la Norma ISO/IEC 27001:2013. Adquisicin, Desarrollo y

Mantenimiento de Sistemas. .......................................................................................... 136

Tabla 37. Anexo A de la Norma ISO/IEC 27001:2013. Relaciones con los Proveedores.

...................................................................................................................................... 140
Tabla 38. Anexo A de la Norma ISO/IEC 27001:2013. Gestin de Incidentes de Seguridad

de la Informacin. .......................................................................................................... 142

Tabla 39. Anexo A de la Norma ISO/IEC 27001:2013. Aspectos de Seguridad de la

Informacin de la Gestin e la Continuidad del Negocio. ............................................... 144

Tabla 40. Anexo A de la Norma ISO/IEC 27001:2013. Cumplimiento. ........................... 146

Tabla 41. Nivel de Cumplimiento de los Dominios de Control de la Norma ISO/IEC

27002:2013.................................................................................................................... 149

Tabla 42. Dimensiones de Seguridad para la Identificacin y Valoracin de Amenazas en

MAGERIT. ..................................................................................................................... 163

Tabla 43. Clasificacin de los tipos de activos informticos en MAGERIT. .................... 164

Tabla 44. Catlogo de Amenazas sobre los activos informticos en MAGERIT. ............ 166

Tabla 45. Probabilidad o Frecuencia de ocurrencia de las amenazas en MAGERIT. ..... 167

Tabla 46. Estimacin cualitativa del riesgo. ................................................................... 169

Tabla 47. Salvaguardas sobre los activos informticos en MAGERIT. ........................... 170

Tabla 48. Activos informticos en la oficina de Sistemas y Telecomunicaciones de la

Universidad de Crdoba. ............................................................................................... 171

Tabla 49. Valoracin cualitativa de los activos informticos en MAGERIT. .................... 177

Tabla 50. Clasificacin de los riesgos segn la Zona de Riesgos. ................................. 207
LISTA DE FIGURAS

pg.

Figura 1. Dominios de una tpica infraestructura TI en una organizacin. ........................ 29

Figura 2. Modelo PHVA aplicado a los procesos de un SGSI. ......................................... 33

Figura 3. Modelo de de implementacin de un SGSI bajo el estndar ISO/IEC 27001. ... 48

Figura 4. Dominios de Seguridad (Estndar ISO/IEC 27002:2013). ................................. 50

Figura 5. Objetivos de un Gobierno de TI. ....................................................................... 60

Figura 6. Dominios y Objetivos de Control de COBIT. ..................................................... 62

Figura 7. Ciclo de Vida de la Gestin del Servicio en ITIL. ............................................... 64

Figura 8. Organigrama de la Universidad de Crdoba. .................................................... 77

Figura 9. reas Funcionales de Sistemas de Informacin y Telecomunicaciones............ 78

Figura 10. Flujograma del Proceso Interno, Instalacin y Configuracin Inicial de la Red. 84

Figura 11. Flujograma del Proceso Interno, Mantenimiento Correctivo de Equipos Activos

de Red. ............................................................................................................................ 85

Figura 12. Flujograma del Proceso Interno, Mantenimiento Correctivo del Software. ...... 86

Figura 13. Flujograma del Proceso Interno, Mantenimiento de Sitios Web. ..................... 87

Figura 14. Flujograma del Proceso Interno, Optimizacin o Creacin de un Equipo en la

Red. ................................................................................................................................. 88

Figura 15. Zonas de riesgos. ......................................................................................... 168

Figura 16. reas Claves de Gobierno y Gestin de COBIT 5. ....................................... 251

Figura 17. Modelo de Referencia de Procesos de COBIT 5. .......................................... 253


LISTA DE GRFICAS

pg.

Grfica 1. Nivel de Cumplimiento de los Requisitos Mnimos de la Norma ISO/IEC

27001:2013.................................................................................................................... 109

Grfica 2. Nivel de Cumplimiento de los Dominios de Control de la Norma ISO/IEC

27002:2013.................................................................................................................... 150

Grfica 3. Cantidad de Riesgos segn la Zona de Riesgos. .......................................... 209


GLOSARIO

ACTIVO INFORMTICO: Se define como todo aquello pueda generar valor para
la empresa u organizacin y que stas sientan la necesidad de proteger. Un activo
o recurso informtico est representado por los objetos fsicos (hardware, como
los routers, switches, hubs, firewalls, antenas, computadoras), objetos abstractos
(software, sistemas de informacin, bases de datos, sistemas operativos) e incluso
el personal de trabajo y las oficinas.

AMENAZA: Es el potencial que un intruso o evento explote una vulnerabilidad


especfica. Es cualquier probabilidad que pueda ocasionar un resultado indeseable
para la organizacin o para un activo en especfico. Son acciones que puedan
causar dao, destruccin, alteracin, prdida o relevancia de activos que podran
impedir su acceso o prevenir su mantenimiento1.

ATAQUE: Es cualquier intento no autorizado de acceso, uso, alteracin,


exposicin, robo, indisposicin o destruccin de un activo.

CONTROL DE SEGURIDAD: Es un conjunto de normas, tcnicas, acciones y


procedimientos que interrelacionados e interactuando entre s con los sistemas y
subsistemas organizacionales y administrativos, permite evaluar, comparar y
corregir aquellas actividades que se desarrollan en las organizaciones,
garantizando la ejecucin de los objetivos y el logro de las metas institucionales2.

EVENTO: Es una situacin que es posible pero no certera; es siempre un evento


futuro y tiene influencia directa o indirecta sobre el resultado. Un evento se trata
como un suceso negativo y representa algo indeseado.
1
DORIA, A. Riesgos y Control Informtico. En Lnea. Marzo 2014. Disponible en:
(http://itriesgosycontrol.blogspot.com.co/).
2
TAMAYO, A. Auditora en Sistemas: Una Visin Prctica. Manizales: UNAD. 2001. p. 14.
IMPACTO: Es la cantidad de dao que puede causar una amenaza que explote
una vulnerabilidad.

POLTICAS DE SEGURIDAD: Es un documento que define el alcance de la


necesidad de la seguridad para la organizacin y discute los activos que necesitan
proteccin y el grado para el cual deberan ser las soluciones de seguridad con el
fin de proveer la proteccin necesaria

RIESGO INFORMTICO: Es la probabilidad de que una amenaza en particular


expone a una vulnerabilidad que podra afectar a la organizacin. Es la posibilidad
de que algo pueda daar, destruir o revelar datos u otros recursos.

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN: Es un


marco de administracin general a travs del cual las organizaciones identifican,
analizan y direccionan sus riesgos en la seguridad de la informacin. Su correcta
implementacin garantiza que los acuerdos de seguridad estn afinados para
mantenerse al ritmo constante con las amenazas de seguridad, vulnerabilidades e
impactos en el negocio, el cual es un aspecto a considerar profundamente
teniendo en cuenta la competitividad y cambios a los que enfrentan las
organizaciones hoy en da.

VULNERABILIDAD: Es una falla o debilidad en los procedimientos, diseo,


implementacin o controles internos en un sistema de seguridad. Es cualquier
ocurrencia potencial que pueda causar un resultado indeseado para una
organizacin o para un activo en especfico.
RESUMEN

Los Sistemas de Gestin de Seguridad de la Informacin consisten en una serie


de procesos cuyo objetivo es proteger los activos y mantener los principios de
Confidencialidad, Integridad y Disponibilidad de ellos a travs de un ciclo de
mejoramiento continuo, donde la fase de diseo o planeacin comprende en
establecer polticas, objetivos, procesos y procedimientos relevantes a la gestin
de los riesgos informticos.

La oficina de Sistemas y Telecomunicaciones es la unidad encargada de prestar


los servicios de TI en la Universidad de Crdoba que ayudan al normal
funcionamiento de los procesos internos y es el ente encargado de velar por los
activos informticos y la seguridad de la informacin de la institucin. Por
consiguiente, a travs de la fase de planeacin se pretende establecer las bases
para la posterior implementacin de un Sistema de Gestin de la Seguridad de la
Informacin siguiendo las mejores prcticas de estndares de seguridad
internacionales como lo es la norma ISO/IEC 27001:2013, y mediante una
metodologa de anlisis de riesgos se identifican qu activos informticos son los
ms crticos y de mayor impacto que requieren mayores controles de seguridad y
as establecer un plan para la continuidad de los servicios.

Palabras Claves: Sistemas de Gestin de la Seguridad de la Informacin (SGSI,


ISMS), Estndar ISO/IEC 27001:2013, Metodologa de Riesgos Informticos,
Planes de Continuidad del Negocio (BCP), Gobierno de TI.
INTRODUCCIN

Debido a los riesgos que presenta la informacin hoy en da, las empresas u
organizaciones deberan emplear un marco de trabajo que les permita
implementar de una manera sistemtica y efectiva un mayor control sobre la
seguridad de la informacin y activos informticos que involucre a todo el
personal, desde la alta direccin hasta los operarios de los sistemas. Este marco
es conocido como un Sistema de Gestin de la Seguridad de la Informacin y est
basado en estndares, modelos y normas internacionales que a travs de una
serie de mejores prcticas aseguran una adecuada gestin de la seguridad de la
informacin. Una de las normas ms reconocidas es la ISO/IEC 27001 que
establece las guas, procedimientos y procesos para gestionarla apropiadamente
mediante un proceso de mejoramiento continuo.

La oficina de Sistemas de Informacin y Telecomunicaciones de la Universidad de


Crdoba soporta la infraestructura tecnolgica que ayuda al desarrollo normal de
los procesos y toma de decisiones de la institucin. Por consiguiente se hace
necesario evaluar los riesgos a los que estn expuestos los activos informticos y
emplear un enfoque metodolgico que permita mitigarlos o mantenerlos a un nivel
aceptable, adems de establecer un plan de mejoramiento continuo.

El presente proyecto tiene como finalidad disear un Sistema de Gestin de la


Seguridad de la Informacin para la oficina de Sistemas y Telecomunicaciones de
la Universidad de Crdoba que sirva como punto de partida para su
implementacin mediante un anlisis de la situacin actual de los dominios,
objetivos de control y controles que sugiere la norma ISO 27001, la seleccin de
una metodologa de evaluacin de riesgos informticos, el establecimiento de una
poltica de seguridad informtica institucional que sea liderada por la alta gerencia,
adems de generar la documentacin respectiva para los Planes de Continuidad
de Negocio con el fin de mantener y/o restaurar los servicios crticos y el anlisis y
seleccin de un modelo de Gobierno de Tecnologa Informtica que se ajuste a las
necesidades institucionales.
1. PLANTEAMIENTO DEL PROBLEMA

1.1. DEFINICIN Y ALCANCE

El presente proyecto comprende la fase de diseo de un Sistema de Gestin de la


Seguridad de la Informacin(SGSI) y no de su implementacin. Asimismo, debido
a la magnitud de la Universidad de Crdoba, se realiza el proyecto en referencia a
la oficina de Sistemas de Informacin y Telecomunicaciones de la institucin
porque es el ente principal que se encarga de velar por el mantenimiento y
funcionamiento de toda la infraestructura tecnolgica que da soporte a los
servicios crticos y cumplimiento misional.

El diseo del SGSI se enmarca en la norma de seguridad de sistemas de


informacin ISO/IEC 27001:2013 siguiendo con los lineamientos para la
acreditacin institucional, de la cual la Universidad de Crdoba est certificada con
la norma ICONTEC ISO 9001(Certificado SC 5278-1), con el objetivo de cumplir
los requerimientos establecidos en la poltica de calidad de la institucin para el
mejoramiento continuo de los procesos acadmicos-administrativos, la
satisfaccin de la poblacin interesada y el cumplimiento del marco legal vigente,
valores y principios institucionales.

El presente proyecto no incluye la implementacin de un marco de Gobierno de


Tecnologa Informtica, sino que se determinar cul de ellos es el que mejor se
adapta a las necesidades institucionales y su acoplamiento con la norma ISO/IEC
27001:2013. De igual forma, no se incluye el Plan de Recuperacin de Desastres
(DRP, Disaster Recovery Plan) y quedar para futuros proyectos de investigacin.

18
1.2. FORMULACIN

La mayora de las organizaciones hoy en da, sin importar su tipo o actividad


comercial, estn vinculadas de alguna manera con las Tecnologas de Informacin
y Comunicacin (TIC), y poseen una infraestructura que las soporta, en donde
sostienen que la informacin es el activo de mayor valor que las sustentan. Sin
embargo, los gerentes cuando elaboran planes estratgicos y plantean objetivos
organizacionales usualmente no estn conscientes que el ciberespacio est lleno
de riesgos y amenazas, as como tambin los factores naturales que se puedan
presentar; y esto conlleva a que no incluyan un presupuesto adecuado para
implementar seguridad de la informacin en la empresa.

La Universidad de Crdoba es una institucin de educacin superior que est


comprometida con el proceso de enseanza-aprendizaje, y como toda
organizacin actual, posee sistemas de informacin que soportan sus procesos
acadmicos y administrativos. Sin embargo no existe una poltica de seguridad de
la informacin claramente definida lo cual genera riesgos y amenazas que pueden
impactar negativamente en el desarrollo normal de sus procesos institucionales.

La universidad al no tener diseado e implementado un Sistema de Gestin de la


Seguridad de la Informacin, se expone a riesgos continuos que pueden incidir en
prdida, alteracin o lectura no permitida de informacin. La detencin abrupta de
los servicios debido al sobrecalentamiento de servidores y unidades de
suministracin de energa, han dejado a stos inactivos por largos lapsos,
ocasionando retrasos en el normal funcionamiento de los procesos, as como
tambin la baja calidad en el servicio de transmisin de datos tanto en la seal
cableada como en la inalmbrica.

Por otra parte la presencia observada de software malicioso en los servidores


ponen en riesgo la confidencialidad e integridad de la informacin almacenada en

19
ellos, as como el uso indebido que los funcionarios tienen sobre sus propias
credenciales de acceso en los diferentes servicios acadmicos-administrativos
ofrecidos.

Todos estos son sntomas que a un corto o mediano plazo pueden desencadenar
una serie de eventos adversos en cuanto al manejo de la informacin se refiere y
por ende la estabilidad institucional. Los problemas con la calidad de transmisin
de datos podra estar relacionada directa o indirectamente con la fluctuacin
elctrica, el deterioro del cableado de datos, incluyendo tomas de corriente,
canaletas, puertos de red, puntos de acceso obsoletos y la cantidad de
dispositivos conectados al tiempo. Las fallas de seguridad en los servidores podra
estar relacionada con la falta de control en la instalacin de software no autorizado
o probado en los servidores, actualizacin de los sistemas operativos, aperturas
innecesarias de los puertos de red y/o en el firewall.

En la seguridad de la informacin existen las amenazas de carcter tcnico, pero


tambin influyen las amenazas de tipo humano, ya que muchos equipos
informticos que son conectados a la red son de uso personal y no institucional,
los empleados no protegen o mantienen la confidencialidad de sus credenciales
de acceso al dominio universitario, utilizan sus correos electrnicos personales
para la comunicacin interinstitucional y se usan mltiples usuarios con mltiples
contraseas para acceder a diferentes servicios, ocasionando el frecuente olvido
de sus datos de acceso, adems de no tener un sistema de recuperacin de
contrasea automtico, sino de forma manual y personal.

De seguir con esta falta de seguridad en el manejo de la informacin, la


universidad continuar con detenciones en los servicios en cualquier momento, no
prestar un servicio ptimo a sus estudiantes, docentes, empleados y comunidad
en general, se ralentizarn sus procesos institucionales ocasionando una mala
imagen corporativa, desercin estudiantil y administrativa y robo o prdida de
informacin sensitiva, todo esto sumar un gasto financiero implementando

20
controles correctivos ms que preventivos, lo cual puede incidir en graves
prdidas econmicas y de informacin.

Por tales motivos, el propsito de este proyecto de investigacin es disear un


Sistema de Gestin de Seguridad de la Informacin en la oficina de Sistemas y
Telecomunicaciones de la Universidad de Crdoba mediante la norma
internacional ISO/IEC 27001:2013, con el fin de clasificar los riesgos y amenazas
a los que estn expuestos los equipos informticos, elaborar un documento que
contenga las Polticas de Seguridad a seguir por los empleados, determinar un
modelo el Gobierno de Tecnologa Informtica y disear un Plan de Continuidad
del Negocio que mantenga los servicios crticos en funcionamiento con el fin de
dar soporte a los procesos misionales y de calidad.

Por consiguiente, el objetivo del presente proyecto es dar respuesta a cmo se


disea un Sistema de Gestin de la Seguridad de la Informacin mediante la
aplicacin de la norma internacional ISO/IEC 27001:2013 en la oficina de
Sistemas de Informacin y Telecomunicaciones de la Universidad de Crdoba
mediante un enfoque metodolgico y de mejoramiento continuo?

21
2. JUSTIFICACIN

La mayora de las organizaciones modernas independientemente de su tipo o


tamao almacenan, procesan o transmiten informacin a travs de sus diferentes
activos informticos. La informacin en formato digital cada da juega un papel
ms fundamental en la toma de decisiones para alcanzar los objetivos
organizacionales, sin embargo, est sujeta a amenazas constantes de tipo natural
o humanos y para las organizaciones es esencial protegerla, as como los activos
informticos, mediante actividades y procesos coordinados que permitan mantener
su confidencialidad, integridad y disponibilidad. Estas actividades y procesos son
gestionados de forma holstica por medio de un Sistema de Gestin de la
Seguridad de la Informacin donde el estndar ISO 27001:2013 es uno de los ms
reconocidos a nivel internacional y propone un ciclo de mejoramiento continuo.

La Universidad de Crdoba fomenta la calidad de sus procesos acadmicos y de


gestin institucional, donde la oficina de Sistemas y Telecomunicaciones es un
ente crtico en pro de la operacin normal de los procesos acadmicos-
administrativos, velando por el funcionamiento correcto de los activos informticos
que la soportan y que la informacin sea clasificada, correcta y disponible. Por
esta razn, es necesario que se establezcan polticas y objetivos de seguridad a
travs de un sistema de gestin que las coordine e integre efectivamente.

Adems de proteger los activos informticos e informacin crtica y sensitiva, un


Sistema de Gestin de Seguridad de la Informacin, como lo recomienda la norma
ISO 27001:2013, permitir que la oficina de Sistemas y Telecomunicaciones
emplee prcticas adecuadas de seguridad de la informacin, concientizando a sus
empleados sobre los riesgos y amenazas actuales a travs de prcticas,

22
procedimientos, guas y lineamientos documentados y liderados por la alta
gerencia.

Como lo sistemas de gestin son procesos en mejoramiento continuo y compuesto


por fases o etapas, la fase de diseo o planeacin es la piedra angular, ya que
define los lineamientos sobre los cuales se regirn las dems fases determinando
el alcance, polticas y objetivos generales. Por consiguiente, la fase de diseo ser
el punto de partida para una posterior implementacin del Sistema de Gestin de
la Seguridad de la Informacin basado en el estndar ISO 27001:2013 lo cual
permitir que la oficina de Sistemas y Telecomunicaciones identifique y mitigue los
riesgos potenciales sobre los activos informticos mediante un enfoque
metodolgico, cumpla con los requerimientos de la norma y regulaciones legales
vigentes e incluso tenga un impacto positivo en la reduccin de costos.

23
3. OBJETIVOS

3.1. OBJETIVO GENERAL

Disear un Sistema de Gestin de la Seguridad de Informacin mediante la


aplicacin de la norma internacional ISO/IEC 27001:2013 para la oficina de
Sistemas y Telecomunicaciones de la Universidad de Crdoba.

3.2. OBJETIVOS ESPECFICOS

Realizar un anlisis de la situacin actual acorde a los dominios y objetivos


de control de la norma ISO/IEC 27001:2013.

Realizar un estudio de anlisis y evaluacin del riesgo identificando los


activos y recursos que se deben proteger y que inciden en las actividades
crticas de la institucin bajo una metodologa de evaluacin sistemtica.

Definir las polticas de seguridad de la informacin que estn acorde a los


procesos, lineamientos y requerimientos institucionales.

Identificar los sistemas y servicios informticos crticos que soporten el


funcionamiento de los procesos misionales y disear un Plan de
Continuidad del Negocio que permita sus operaciones normales y
restablecimiento en una eventualidad dada.

24
Determinar un esquema de Gobierno de Tecnologa Informtica que
permita establecer un proceso de control y comunicacin eficaz
institucional.

25
4. MARCO REFERENCIAL

4.1. MARCO TERICO

4.1.1. Generalidades. La Tecnologa Informtica (TI) ha penetrado todos los


sectores del mundo actual, desde el punto de vista personal hasta los negocios.
Hoy en da las empresas almacenan informacin de sus clientes, usuarios y
proveedores en bases de datos, se comunican con ellos a travs del correo
electrnico, videoconferencias en vivo, etc. La TI ha cumplido un rol determinante
en el xito de las organizaciones, ya que ha pasado de ser un rea ignorada por
los accionistas a ser un componente clave en los procesos de negocio, as como
en la creacin de nuevas oportunidades como un factor diferencial para obtener
una ventaja competitiva. Teniendo esto en mente, la TI no solamente soporta las
estrategias de negocio existentes de una compaa, sino que genera nuevas
estrategias, agregando valor a los productos y servicios que la organizacin
ofrece.

Debido a lo anterior, la mayora de las organizaciones hoy en da ejecutan sus


procesos crticos de negocios soportados por tecnologa informtica y stos se
realizan de forma automtica; de sta manera los directivos confan en los datos e
informacin suministrada por el personal del rea de sistemas y
telecomunicaciones para la toma de decisiones. Es por esto que se debe
reconocer que la TI juega un papel muy importante en las estrategias corporativas
de las organizaciones, fundamentalmente porque en la actualidad las empresas
mantienen una estrecha relacin con sus usuarios, clientes y proveedores y es
notoria la necesidad de poseer una infraestructura tecnolgica e informtica que
soporte esta rea crtica de negocio, con el fin de generar valor a la estrategia del
negocio y por ende beneficio econmico.

26
La dependencia actual de las organizaciones en TI se hace ms notoria debido a
que nuestra economa se basa en la generacin de conocimiento3, donde el uso
de la tecnologa en administrar, desarrollar y transmitir activos intangibles como la
informacin y el conocimiento son esenciales para las estrategias de negocio.
Pero a su vez, depender en gran medida de la TI en los procesos de negocio
conlleva a considerar ciertos factores y riesgos que son inherentes al uso de ellas,
como lo son las amenazas humanas (cibercrimen, fraude, malware, etc.),
tecnolgicas (cadas de las redes, hardware/software obsoleto, etc.) y naturales
(incendios, inundaciones, terremotos, etc.).

Es por esto que los datos e informacin de las organizaciones se deben mantener
en un entorno seguro donde se mantengan los niveles de riesgos informticos en
un nivel aceptable, y la seguridad informtica se manifiesta en tres (3) principios
bsicos: confidencialidad, integridad y disponibilidad4.

Confidencialidad: Conservar las restricciones autorizadas en el acceso y


divulgacin de la informacin, incluyendo los medios para proteger la
privacidad personal e informacin del propietario. Propiedad que establece
que la informacin no es disponible o divulgada a individuos no autorizados,
entidades o procesos5.

Integridad: Proteger el acceso contra la indebida modificacin o


destruccin de la informacin, e incluye el aseguramiento del no-repudio6 y
autenticidad7 de la informacin8.

3
PETERSON, R. Integration Strategies and Tactics for Information Technology Governance. En W.
VAN GREMBERGEN, Strategies for Information Technology Governance (p. 37-80). IDEA Group
Publishing. 2004. p. 3.
4
Se le conoce como laTrada CIA, por sus siglas en ingls Confidentiality, Integrity, Availability.
KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 10.
5
HODEGHATTA, U., & NAYAK, U. The InfoSec Handbook: An Introduction to Information Security.
New York: Apress Media. 2014. p. 52.
6
No-Repudio: Es una propiedad de la seguridad de la informacin en la cual el emisor no puede
negar el envo o recepcin.
7
Autenticidad: Es una propiedad de la seguridad de la informacin en la cual se puede confirmar
la identidad del emisor y del mensaje.

27
Disponibilidad: Garantizar el funcionamiento y usabilidad del servicio
cuando sea solicitado por las personas autorizadas9.

Independientemente del tamao o actividad de una organizacin, generalmente se


identifican siete (7) dominios de una infraestructura de TI10, donde se deben
garantizar los principios anteriormente mencionados en cada uno de ellos. Estos
dominios se muestran en la siguiente tabla:

Tabla 1. Dominios de una tpica infraestructura TI en una organizacin.

DOMINIO DESCRIPCIN

USUARIO Personas que acceden a los sistemas de informacin de la organizacin. Es


el ente ms dbil de la infraestructura TI.

ESTACIN DE TRABAJO Es cualquier dispositivo (PC, Laptop, Tabletas, Telfonos Inteligentes, etc.)
que se conecta a la red de la organizacin.

RED LOCAL (LAN) Coleccin de computadoras que se conectan a travs de un medio y


generalmente comparte informacin. Permite conectar computadoras y
obtener acceso a sistemas, aplicaciones, informacin e Internet.

RED LOCAL A RED Permite la conexin al mundo exterior de la organizacin e Internet.


AMPLIA Generalmente permite el acceso a informacin pblicamente accesible.

RED AMPLIA (WAN) Permite la conexin de oficinas remotas de una misma organizacin.

ACCESO REMOTO Permite conectar usuarios remotos a la infraestructura TI de la organizacin.

SISTEMAS/APLICACIONES Contiene todos los sistemas, aplicaciones y datos que son fundamentales
para el funcionamiento de la organizacin.

Fuente: KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 15-36.

8
HODEGHATTA, U., & NAYAK, U. op. cit, p. 52.
9
RHODES-OUSLEY, M. Information Security: The Complete Reference (Segunda ed.). McGraw-
Hill. 2013. p. 86.
10
KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 15-36.

28
Figura 1. Dominios de una tpica infraestructura TI en una organizacin.

Fuente: KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 32.

4.1.2. Amenazas a la Seguridad de la Informacin. La infraestructura de TI de


una organizacin est compuesta por activos. Un Activo o Recurso Informtico,
se define como todo aquello pueda generar valor para la empresa u organizacin y
que stas sientan la necesidad de proteger. Un activo est representado por los
objetos fsicos (hardware, routers, switches, hubs, firewalls, antenas,
computadoras), objetos abstractos (software, sistemas de informacin, bases de
datos, sistemas operativos) e incluso el personal de trabajo y las localidades
fsicas.

Estos activos estn propensos a amenazas, las cuales son aquellas que
representan un peligro para los activos o a la seguridad de la informacin en

29
general., las cuales pueden ser perpetuadas internamente11 o externamente.
Dentro de estas amenazas se encuentran las siguientes:

Tabla 2. Amenazas a la seguridad de la informacin.

AMENAZA VECTORES

Adivinacin de Contraseas Ataques de Fuerza Bruta, Ataques de Diccionario, Ingeniera Social

Aplicacin Desbordamientos de Bfer (Buffer Overflow), Privilegios de


Administrador (Rootkits), TOCTTU (Time to Check, Time to Use)

Cdigo Malicioso Virus, Gusanos, Troyanos, Spyware, Adware, Bombas Lgicas

Denegacin de Servicios (DoS, Inundamiento de SYN (SYN Flooding), Smurf, Teardrop, Ping de la
Denial of Service) Muerte, Envenenamiento DNS (DNS Poisoning)

Husmeo Sniffing

Reconocimiento Escaneo de Puertos, Escaneos de Vulnerabilidades

Seguridad de Aplicaciones Web / Secuencias de Comandos en Sitios Cruzados (XSS, Cross-Site


Bases de Datos Scripting), Inyeccin SQL (SQL Injection)

Suplantacin de Identidades Suplantacin IP (IP Spoofing), Secuestro de Sesin (Session Hijacking),


Hombre en el Medio (Man in the Middle)

Fuente: El Autor.

11
Algunos estudios demuestran que las amenazas internas representan un 80% de los incidentes
de seguridad de la informacin en las organizaciones (HODEGHATTA, U., & NAYAK, U. The
InfoSec Handbook: An Introduction to Information Security. New York: Apress Media. 2014. p. 31).
Generalmente son realizadas por descuidos, errores voluntarios e involuntarios e incluso por
empleados descontentos.

30
4.1.3. Sistemas de Gestin de la Seguridad de la Informacin. Un Sistema de
Gestin de la Informacin(SGSI12) provee un modelo para establecer,
implementar, monitorear, revisar, mantener y mejorar la proteccin de los activos
informticos para lograr los objetivos organizacionales basados en una gestin del
riesgo y en los niveles aceptables de riesgos diseados efectivamente para
tratarlos y gestionarlos, analizando los requerimientos para la proteccin de los
activos informticos y aplicando los controles apropiados para asegurar que la
proteccin de stos activos contribuyen a la implementacin exitosa del mismo13.
Como cualquier otro sistema de gestin, un SGSI incluye tanto la organizacin
como las polticas, la planificacin, las responsabilidades, las prcticas, los
procedimientos, los procesos y los recursos14.

El SGSI es un marco de administracin general a travs del cual las


organizaciones identifican, analizan y direccionan sus riesgos en la seguridad de
la informacin. La correcta implementacin de un SGSI garantiza que los acuerdos
de seguridad estn afinados para mantenerse al ritmo constante con las
amenazas de seguridad, vulnerabilidades e impactos en el negocio, el cual es un
aspecto a considerar profundamente teniendo en cuenta la competitividad y
cambios a los que enfrentan las organizaciones hoy en da.

Una organizacin que decide implantar un SGSI primero debe definir cul es el
estndar o modelo a aplicar, de los cuales existen varios y que se aplican o se
adaptan mejor dependiendo del modelo de negocio o actividad comercial. Dentro
de estos modelos se encuentran el estndar ISO 27001, y los modelos COBIT,
COSO, entre otros. Sin embargo, independientemente del estndar o modelo, las
organizaciones deben revisar continuamente la implementacin de su SGSI con el
12
Puede encontrarse tambin como ISMS por sus siglas en ingls de Information Security
Management System.
13
ISO/IEC. International Standard ISO/IEC 27000: Information Technology - Security Techniques -
Information Security Management Systems - Overview and Vocabulary. Geneva: ISO Copyright
Office. 2014. p. 13.
14
GMEZ, L., ANDRS, A. Gua de Aplicacin de la Norma UNE-ISO/IEC 27001 Sobre Seguridad
en Sistemas de Informacin para PYMES. Espaa: Asociacin Espaola de Normalizacin y
Certificacin. 2012.

31
fin de realizar acciones correctivas y preventivas que lo ayuden a gestionar de
manera eficaz y efectiva.

Mientras que muchas organizaciones aplican los mismos estndares, las


implementaciones de los SGSI nunca son los mismos, ya que los retos y las
oportunidades son diferentes incluso cuando son empresas u organizaciones son
del mismo sector y de actividades parecidas15, debido a que emplean diferentes
tecnologas, estn en lugares diferentes y especialmente utilizan activos
informticos muy diferentes.

Para establecer y gestionar un SGSI se utiliza el ciclo PDCA16 (PHVA, Planear,


Hacer, Verificar, Actuar), tradicional en los sistemas de gestin de calidad, donde
esta metodologa ha demostrado su aplicabilidad y ha permitido establecer la
mejora continua en organizaciones de todas clases17. Este modelo consta de
stas serie de fases que permiten medir el estado actual del sistema con el fin de
realizar un mejoramiento continuo:

Planear (Plan): En esta fase se disea o planea el SGSI, definiendo las


polticas de seguridad generales que aplicarn a la organizacin, los
objetivos que se pretenden y cmo ayudarn a lograr los objetivos
misionales. Se realiza el inventario de activos y la seleccin de la
metodologa de riesgos a implementar que estn acordes a los objetivos y
polticas propuestos.

Hacer (Do): Es la fase donde se implementa el SGSI mediante la aplicacin


de los controles de seguridad escogidos, se asignan los responsables y se
ejecutan los procedimientos.
15
ODESHINA, N. ISO/IEC 27001:2005 Implementation and CertificationDoing It Again and
Again. En lnea. 2013. Disponible en ISACA Journal: (http://www.isaca.org/Journal/Past-
Issues/2013/Volume-2/Pages/ISOIEC-27001-2005-Implementation-and-Certification-Doing-It-
Again-and-Again.aspx).
16
PDCA de sus siglas en ingls Plan-Do-Check-Act. Conocido tambin como el Ciclo de Deming.
17
GMEZ, L., ANDRS, A. Gua de Aplicacin de la Norma UNE-ISO/IEC 27001 Sobre Seguridad
en Sistemas de Informacin para PYMES. Espaa: Asociacin Espaola de Normalizacin y
Certificacin. 2012.

32
Verificar (Check): Es la fase de monitorizacin del SGSI donde se verifica
y aduita que los controles, polticas, procedimientos de seguridad se estn
aplicando de la manera esperada.

Actuar (Act): Esta fase implementa las acciones correctivas y mejoras del
SGSI.

Figura 2. Modelo PHVA aplicado a los procesos de un SGSI.

Fuente: ISO/IEC. International Standard ISO/IEC 27000: Information Technology - Security Techniques -
Information Security Management Systems - Overview and Vocabulary. Geneva: ISO Copyright Office. 2014.

33
4.2. MARCO CONCEPTUAL

4.2.1. Riesgos Informticos. El riesgo informtico se define como "la


probabilidad de que una amenaza en particular expone a una vulnerabilidad que
podra afectar a la organizacin"18, o como "la posibilidad de que algo pueda
daar, destruir o revelar datos u otros recursos"19. El riesgo va inherente a una
serie de trminos que se deben comprender para poder tener una mejor
concepcin de su significado en el contexto de la seguridad de la informacin;
entre ellos se encuentran20:

Evento: Es una situacin que es posible pero no certera. En el contexto de


la evaluacin de riesgos es siempre un evento futuro y tiene influencia
directa o indirecta sobre el resultado. Un evento (nuevamente en este
contexto) se trata como un suceso negativo y representa algo indeseado.

Activo: Representa el objetivo directo o indirecto de un evento. El resultado


siempre tiene una consecuencia directa el cual es aplicado al activo. Un
activo es algo valioso para una organizacin y en el contexto de seguridad
informtica estn constituidos por el software, el hardware, las aplicaciones,
las bases de datos, las redes, copias de seguridad e incluso las personas.

Resultado: Es el impacto del evento. En el contexto de la seguridad


informtica siempre ser una circunstancia no deseada como una prdida o
prdida potencial. Esta prdida siempre tiene un efecto directo en una
mayor parte del activo.

18
KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 250.
19
STEWART, J. M., TITTEL, E., CHAPPLE, M. CISSP: Certified Information Systems Security
Professional Guide (Quinta ed.). Indianapolis, Indiana, Estados Unidos de Amrica: Wiley
Publishing. 2011. p. 237.
20
RYAN, M., MARTIN, J. L. Information Security Risk Assessment Toolkit: Practical Assessment
Through Data Collection and Data Analysis. Syngress. 2013. p. 5.

34
Probabilidad: Posibilidad o frecuencia de que un evento ocurra sobre un
activo.

4.2.2. Gestin del Riesgo. La Gestin del Riesgo es un proceso cuya funcin
principal es mantener un ambiente seguro. Consiste en identificar los factores que
podran daar o revelar datos, y crear medidas que implementen una solucin
para mitigar o reducir el riesgo. Todo el proceso de gestin del riesgo es utilizado
para desarrollar e implementar estrategias de seguridad de la informacin, las
cuales buscan reducir el riesgo y soportar la misin de la organizacin21.

Como profesionales en el campo de la seguridad de la informacin, se deben


conocer ciertos conceptos que van ligados al riesgo como lo son las amenazas,
vulnerabilidades e impacto.

Vulnerabilidad: Es una falla o debilidad en los procedimientos, diseo,


implementacin o controles internos en un sistema de seguridad 22. Es
cualquier ocurrencia potencial que pueda causar un resultado indeseado
para una organizacin o para un activo en especfico23.

Amenaza: Es el potencial que un intruso o evento explote una


vulnerabilidad especfica24. Es cualquier probabilidad que pueda ocasionar
un resultado indeseable para la organizacin o para un activo en especfico.
Son acciones que puedan causar dao, destruccin, alteracin, prdida o

21
STEWART, J. M., TITTEL, E., CHAPPLE, M. CISSP: Certified Information Systems Security
Professional Guide (Quinta ed.). Indianapolis, Indiana, Estados Unidos de Amrica: Wiley
Publishing. 2011. p. 237.
22
KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 250.
23
STEWART, J. M., TITTEL, E., CHAPPLE, M. op. cit, p. 238.
24
KIM, D., SALOMON, M. G. op. cit, p. 251.

35
relevancia de activos que podran impedir su acceso o prevenir su
mantenimiento25.

Impacto: Se refiere a la cantidad de dao que puede causar una amenaza


que explote una vulnerabilidad26.

Para una adecuada gestin de la administracin de riesgos, se recomiendan los


siguientes aspectos:

La evaluacin de los riesgos inherentes a los procesos informticos.

La evaluacin de las amenazas o causas de los riesgos.

Los controles utilizados para minimizar las amenazas a riesgos.

La asignacin de responsables a los procesos informticos.

La evaluacin de los elementos del anlisis de riesgos.

4.2.3. Metodologas de Anlisis y Evaluacin de Riesgos. Existen mltiples


metodologas para llevar a cabo el proceso de anlisis, evaluacin y gestin de
riesgos informticos, cada uno con su particularidad y dirigidos a ciertas
situaciones. Sin embargo, todos tienen unos componentes y actividades comunes
como son las siguientes27:

Identificar las Amenazas: Se enfoca en identificar las posibles amenazas


a la seguridad de la informacin. Estas amenazas son los eventos, fuentes

25
STEWART, J. M., TITTEL, E., CHAPPLE, M. CISSP: Certified Information Systems Security
Professional Guide (Quinta ed.). Indianapolis, Indiana, Estados Unidos de Amrica: Wiley
Publishing. 2011. p. 238.
26
KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 251.
27
RYAN, M., MARTIN, J. L. Information Security Risk Assessment Toolkit: Practical Assessment
Through Data Collection and Data Analysis. Syngress. 2013. p. 13-18.

36
y acciones que podran liderar a perjudicar los activos relativos a la
informacin de la organizacin.

Identificar las Vulnerabilidades: Se enfoca en identificar las


vulnerabilidades que podran ser explotadas por las amenazas que se han
identificado. La existencia de una vulnerabilidad contribuye a calcular la
probabilidad del riesgo.

Identificar los Activos: Proceso en el cual se identifican cules son los


activos que son crticos y que tienen un impacto directo en la
confidencialidad, integridad y disponibilidad de las fuentes de informacin
para la organizacin.

Determinar el Impacto: Es el proceso para medir o determinar el impacto


de una amenaza sobre un activo. El impacto puede ser cuantitativo o
cualitativo.

Determinar la Probabilidad: El objetivo de esta actividad es medir la


posibilidad de ocurrencia de una amenaza asignndole un valor probable.

Identificar los Controles: Los controles son mecanismos que detectan o


previenen las fuentes de amenazas que tratan de explotar las
vulnerabilidades. Esta actividad consiste en identificar qu controles se
estn efectuando actualmente sobre un activo y qu efecto tendra sobre la
amenaza que se est evaluando.

Tratamiento de Riesgos: Con el objetivo de mantener un sistema u


organizacin lo ms seguro posible, es necesario definir el tratamiento que
se le dar a los riesgos analizados y valorados. La aplicacin de estas
medidas deben estar enfocadas principalmente en aquellos riesgos que
representen un impacto tan nefasto que afecte a un grupo considerable de
personas o que encauce una total detencin de los servicios; es decir,

37
aquellos que sean clasificados como moderados o catastrficos. De igual
forma, se encuentran los riesgos cuyas probabilidades de realizacin sean
medios o altos. Para mitigar estos riesgos es necesario desarrollar
estrategias de gestin de riesgos que permitan reducirlos a niveles
aceptables. Dentro de estas se encuentran las siguientes28:

Mitigar o Reducir el Riesgo: Este enfoque utiliza varios


mecanismos de control para mitigar los riesgos identificados.
Estos controles pueden ser tcnicos, administrativos o fsicos
y el objetivo es reducir la probabilidad o impacto del riesgo.

Asignar o Transferir del Riesgo: Permite transferir el riesgo


de una organizacin a otra entidad.

Aceptar el Riesgo: En este enfoque las organizaciones


conocen y estn conscientes de los riesgos pero el costo de
mitigarlos supera al valor del activo que se desea proteger.

Eliminar el Riesgo29: Las organizaciones definitivamente


deciden no tomar el riesgo; es decir, que la prdida potencial
excede el valor de la ganancia potencial en caso de continuar
con una actividad riesgosa. Se elimina la amenaza por medio
del cambio de los recursos o de la infraestructura informtica.

De igual forma, estas metodologas tienen objetivos comunes que se pueden


resumir en los siguientes:

Planificacin de la reduccin de riesgos.

28
KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 258-259.
29
Se conoce que un sistema nunca es 100% seguro, pues siempre van a existir las amenazas y
los riesgos. Sin embargo existen ciertas situaciones donde el riesgo se elimina; por ejemplo, si
definitivamente no se quiere tener el riesgo de tener una computadora infectada con virus, el
usuario puede optar por no conectarla a Internet, no instalarle software de entidades desconocidas
y no insertarle dispositivos de medios removibles como las USB y Disquetes.

38
Planificacin de la prevencin de accidentes.

Visualizacin y deteccin de las debilidades existentes en los sistemas.

Ayuda en la toma de las mejores decisiones en materia de seguridad de la


informacin.

Algunas de las metodologas para el anlisis, gestin y evaluacin de riesgos


informticos son las siguientes:

OCTAVE: Acrnimo de Operationally Critical Threat, Asset, and


Vulnerability Evaluation, Evaluacin Crtica Operacional de Amenazas,
Activos y Vulnerabilidades. Es una coleccin de herramientas, tcnicas y
mtodos para la evaluacin de riesgos de la seguridad de la informacin.
Fue desarrollado por el Instituto de Ingeniera de Software (Software
Engineering Institute, SEI) de Carnegie Mellon a travs de su programa
CERT. Actualmente presenta tres versiones: OCTAVE, OCTAVE-S y
OCTAVE-Allegro. OCTAVE es usado en grandes organizaciones (ms de
300 empleados) y provee los lineamientos para realizar evaluaciones de
seguridad internas. OCTAVE-S fue desarrollado para empresas pequeas
(S, Small, de menos de 100 empleados) y asume que las personas
encargadas de realizar la evaluacin de riesgos conocen los activos,
requerimientos de seguridad, amenazas y prcticas de seguridad de la
organizacin, y que no requieren de la realizacin de entrevistas, encuestas
y talleres. OCTAVE-Allegro es la versin ms reciente y fue direccionado
para la evaluacin de los riesgos de seguridad de la informacin, y describe
los pasos y provee varias hojas de clculos y cuestionarios como guas y
modelos para evaluar los riesgos de la organizacin o ms
30
especficamente, sus activos .

30
RYAN, M., MARTIN, J. L. Information Security Risk Assessment Toolkit: Practical Assessment
Through Data Collection and Data Analysis. Syngress. 2013. p. 29-30.

39
FAIR: Acrnimo de Factor Analysis of Information Risk, Factor de
Anlisis de Riesgos de la Informacin. Fue desarrollado por Risk
Management Insight y tiene un fuerte seguimiento de varios grupos dentro
de los que se destacan Open Group e ISACA. FAIR se enfoca en la
objetividad. Presenta mucha terminologa y frmulas, pero la
documentacin provee los criterios, diagramas y explicaciones para
familiarizarse con ellas.

Utiliza 4 etapas principales para descomponer sus actividades31:

Identificar los Componentes del Escenario

Evaluar la Frecuencia de los Eventos de Prdidas

Evaluar la Probable Magnitud de las Prdidas

Derivar y Articular el Riesgo

FAIR fue diseado para direccionar las debilidades en la prctica de la


seguridad. Le permite a las organizaciones hablar el mismo lenguaje acerca
del riesgo, aplicar la evaluacin de riesgos a cualquier activo de la
organizacin, ver los riesgos organizacionales en total y entender cunto
tiempo y dinero afectar el perfil de seguridad de la organizacin32.

NIST SP800-30: Es conocido como la Gua para la Gestin del Riesgo


para los Sistemas de Tecnologas de la Informacin (Risk Management
Guide for Information Technology Systems), el cual fue desarrollado por
el NIST (National Institute for Standards and Technology, Instituto Nacional
para los Estndares y Tecnologa). Fue diseado para ser flexible y

31
RYAN, M., MARTIN, J. L. Information Security Risk Assessment Toolkit: Practical Assessment
Through Data Collection and Data Analysis. Syngress. 2013. p. 35-41.
32
Comparison of IT Risk Assessment Framework: Octave, Fair, NIST-RMF and TARA. En lnea.
16 de Marzo de 2014. Disponible en Finance Sheets (http://www.financesheets.com/comparison-of-
it-risk-assessment-framework-octave-fair-nist-rmf-and-tara/).

40
adoptado por organizaciones de diferentes tipos. Se descompone en 9
etapas para desglosar sus actividades, las cuales son: Caracterizacin del
Sistema, Identificacin de las Amenazas, Identificacin de las
Vulnerabilidades, Anlisis de Control, Determinacin de Probabilidad,
Anlisis del Impacto, Determinacin del Riesgo, Recomendaciones de
Control y Documentacin de Resultados33.

ISO 27005: Es un estndar internacional desarrollado por la ISO


(International Standards Organization) el cual lleva como nombre
Tecnologa de la Informacin, Tcnicas de Seguridad y Gestin del
Riesgo en la Seguridad de la Informacin (Information Technology-
Security-Techniques-Information-Security Risk Management). Provee
una gua sobre los procesos de gestin del riesgo de la seguridad de la
informacin que son necesarios para la implementacin efectiva de un
Sistema de Gestin de la Seguridad de la Informacin (SGSI. ISMS,
Information Security Management Systems). Est vinculado con el NIST
SP800-30 y plantea 3 etapas para gestionar la evaluacin del riesgo:
Identificacin del Riesgo, Estimacin del Riesgo y Evaluacin del Riesgo34.

TARA: Acrnimo de Threat Agent Risk Assessment, Evaluacin del


Riesgo de los Agentes de Amenazas. Se enfoca en ayudar a las
compaas a focalizarse solamente en las amenazas que son ms
probables a ocurrir ya que sera muy costoso e imprctico para las
compaas defenderse de todas los ataques y vulnerabilidades posibles.
Prioriza reas de cuidado, as las organizaciones pueden proactivamente

33
RYAN, M., MARTIN, J. L. Information Security Risk Assessment Toolkit: Practical Assessment
Through Data Collection and Data Analysis. Syngress. 2013. p. 41-49.
34
Ibd., p.49.

41
concentrarse en las exposiciones ms crticas y aplicar los recursos ms
eficientemente con el fin de maximizar los resultados35.

CRAMM: Es la metodologa de anlisis de riesgos desarrollado por el


Centro de Informtica y la Agencia Nacional de Telecomunicaciones
(CCTA) del gobierno del Reino Unido. El significado del acrnimo proviene
de CCTARisk Analysis and Management Method. Su versin inicial data
de 1987 y la versin vigente es la 5.2.CRAMM incluye una amplia gama de
herramientas de evaluacin de riesgo que son totalmente compatibles con
ISO 27001 que se ocupan de tareas como los Activos, Evaluacin de
impacto empresarial, Identificacin y evaluacin de amenazas y
vulnerabilidades, Evaluar los niveles de riesgo, entre otras. CRAMM es
aplicable a todo tipo de sistemas y redes de informacin y se puede aplicar
en todas las etapas del ciclo de vida del sistema de informacin, desde la
planificacin y viabilidad, a travs del desarrollo e implementacin del
mismo. CRAMM se puede utilizar siempre que sea necesario para
identificar la seguridad y/o requisitos de contingencia para un sistema de
informacin o de la red.

MEHARI: El principal objetivo de MEHARI es proporcionar un mtodo para


la evaluacin y gestin de riesgos, concretamente en el dominio de la
seguridad de la informacin, conforme a los requerimientos de
ISO/IEC27005:2008, proporcionando el conjunto de herramientas y
elementos necesarios para su implementacin. La metodologa MEHARI
integra cuestionarios de controles de seguridad, lo que permite evaluar el
nivel de calidad de los mecanismos y soluciones encaminadas a la
reduccin del riesgo.

35
Comparison of IT Risk Assessment Framework: Octave, Fair, NIST-RMF and TARA. En lnea.
16 de Marzo de 2014. Disponible en Finance Sheets (http://www.financesheets.com/comparison-of-
it-risk-assessment-framework-octave-fair-nist-rmf-and-tara/).

42
MAGERIT: Es un instrumento para facilitar la implantacin y aplicacin del
Esquema Nacional de Seguridad proporcionando los principios bsicos y
requisitos mnimos para la proteccin adecuada de la informacin.
MAGERIT persigue los siguientes objetivos:

Concientizar a los responsables de los sistemas de informacin de la


existencia de riesgos y de la necesidad de atajarlos a tiempo.

Ofrecer un mtodo sistemtico para analizar tales riesgos.

Ayudar a descubrir y planificar las medidas oportunas para mantener


los riesgos bajo control.

Preparar a la organizacin para procesos de evaluacin, auditora,


certificacin o acreditacin, segn corresponda en cada caso.

ESTNDAR COSO: Es un estndar de control interno para la gestin del


riesgo, que hace recomendaciones sobre la evaluacin, reporte y
mejoramiento de los sistemas del Committe of Sponsoring Organizations
of the Treadway Commission y ampliado posteriormente en 2004.

ESTNDAR COBIT: Es un acrnimo de Objetivos De Control Para La


Informacin y La Tecnologa Relacionada; se concibe como un marco
creado por ISACA 5 para la tecnologa de la informacin (TI) y el Gobierno
de TI. Se trata de un conjunto de herramientas de apoyo que permite a los
administradores cerrar la brecha entre las necesidades de control, aspectos
tcnicos y los riesgos de negocio36. COBIT define 34 procesos genricos
para la gestin de TI. Cada proceso es definido con sus entradas y salidas,
adems de las actividades, sus objetivos, las medidas de rendimiento y un
modelo de madurez elemental.

36
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5 for Information
Security. Illinois, Michigan, Estados Unidos de Amrica: ISACA. 2012. p. 5.

43
4.2.4. Polticas de la Seguridad de la Informacin. La Poltica de Seguridad
se define como un "documento que define el alcance de la necesidad de la
seguridad para la organizacin y discute los activos que necesitan proteccin y el
grado para el cual deberan ser las soluciones de seguridad con el fin de proveer
la proteccin necesaria"37. Esta Poltica de Seguridad debera reflejar las
necesidades organizacionales e identificar las reas ms crticas y funcionales
donde se estipulen cules son los activos ms importantes y por qu deberan ser
protegidos.

Muchas organizaciones emplean diferentes tipos de Polticas de Seguridad; sin


embargo estn dividas en dos grandes grupos: las que definen las polticas
generales para toda la organizacin y se centran en una estrategia de aplicacin
general, y aquellas que estn enfocadas en servicios especficos y nicos, como
control de acceso, servicios de red, sistemas operativos, etc., y no son aplicables
a la organizacin en general.

De igual forma, las Polticas de Seguridad estn clasificadas en tres grandes


categoras38:

De Regulacin: Es requerida cuando los estndares legales o de la


industria sean aplicables a la organizacin. Deben ser mandatarias y
describen los procedimientos que deben realizarse para cumplirlas.

De Consejo: Discute los comportamientos y actividades que son


aceptables y definen las consecuencias de las violaciones. Explican el
deseo del personal administrativo encargado.

37
STEWART, J. M., TITTEL, E., CHAPPLE, M. CISSP: Certified Information Systems Security
Professional Guide (Quinta ed.). Indianapolis, Indiana, Estados Unidos de Amrica: Wiley
Publishing. 2011. p. 234.
38
Ibd., p. 235.

44
De Informacin: Proveen informacin o conocimiento acerca de algo
especfico como los objetivos de la organizacin, la misin, visin,
interaccin con clientes y proveedores, etc.

Una Poltica de Seguridad siempre debe estar acorde con los objetivos
organizacionales y no debera estar direccionada hacia personas individuales, sino
hacia roles, ya que no se debe definir quin debe hacer algo, sino qu se debe
hacer.

4.2.5. Estndar ISO/IEC 27001:2013. La ISO39 y la IEC40(ISO/IEC) constituyen


un sistema que se encarga de crear normalizaciones a nivel mundial, donde los
organismos miembros de diferentes nacionalidades participan en el proceso de
desarrollo de las normas. Para el campo de las TIC han establecido el comit
ISO/IEC JTC 141, y especficamente para la el sistema de gestin de la seguridad
de la informacin han establecido la familia de normas o estndares ISO/IEC
27000.

Dentro de esta familia ISO/IEC 27000de estndares de seguridad de la


informacin, se encuentran los siguientes42:

39
Acrnimo de International Organization for Standardization (www.iso.org) por sus siglas en
ingls. Organizacin Internacional de Normalizacin/Estandarizacin.
40
Acrnimo de International Electrotechnical Comission (http://www.iec.ch) por sus siglas en
ingls. Comisin Electrotcnica Internacional.
41
JTC es acrnimo de Joint Technical Comitee por sus siglas en ingls.
42
Existen muchos estndares ms. Se puede encontrar la lista completa en
http://www.iso27001security.com/index.html.

45
Tabla 3. Familia de estndares ISO/IEC 27000.

ESTNDARES DESCRIPCIN GENERAL


ISO/IEC 27000

27000 (Generalidades Provee una generalizacin de los SGSI y emplea un glosario con los trminos y
y Vocabulario) definiciones formales que se utilizan en la familia de estndares ISO/IEC 27000.

27001 (Especificacin Especifica formalmente el SGSI mediante una serie de actividades que conciernen
Formal del SGSI) a la gestin de los riesgos de seguridad de la informacin. ste estndar es
aplicable a las organizaciones de todo tipo y tamao, pero no dicta formalmente
cules controles de seguridad se deben utilizar, sino que otorga libertad a las
organizaciones de implementar los que mejor se adapten a su situacin particular.

27002 (Controles de Es un cdigo de buenas prcticas que recomienda los controles de seguridad a
Seguridad de la implementar que ayudan a cumplir los objetivos de la seguridad de la informacin
Informacin) relativos a gestionar los riesgos que incidan sobre la confidencialidad, integridad y
disponibilidad de la informacin.

27003 (Gua de Describe los procesos del diseo y especificacin del SGSI a travs de las distintas
Implementacin) actividades planeadas; desde obtener el soporte por parte de la direccin hasta la
planeacin de la implementacin del proyecto.

27005 (Gestin del Provee los lineamientos para la gestin de los riesgos de la seguridad de la
Riesgo) informacin pero no recomienda o especifica una metodologa de gestin del
riesgo.

27014 (Gobierno de Provee una gua para implementar un Gobierno de Seguridad de la Informacin, el
Seguridad de la cual garantiza la alineacin con las estrategias y objetivos de la organizacin
Informacin) generando valor y responsabilidad.

27031 (Continuidad Describe los conceptos y guas para garantizar la continuidad del negocio en caso
del Negocio) de incidentes de seguridad internos o externos.

Fuente: http://www.iso27001security.com/index.htmr.

El estndar ISO/IEC 27001:2013 especifica los requisitos para la creacin,


implementacin, funcionamiento, supervisin, revisin, mantenimiento y mejora de

46
un SGSI documentado, teniendo en cuenta los riesgos empresariales generales
de la organizacin. Es decir, explica cmo disear un SGSI y establecer los
controles de seguridad, de acuerdo con las necesidades de una organizacin o de
partes de la misma, pero no aclara mediante qu procedimientos se ponen en
prctica43. Como todo sistema de gestin, el estndar ISO/IEC 27001:2013
emplea el ciclo PDCA para el mejoramiento continuo.

El estndar reclama es que exista un sistema documentado (poltica, anlisis de


riesgos, procedimientos, etc.), donde la direccin colabore activamente y se
implique en el desarrollo y gestin del sistema. Se controlar el funcionamiento del
sistema para que marche correctamente y la mejora sea continua, practicndose
auditoras internas y revisiones del sistema para verificar que se estn obteniendo
los resultados esperados. Igualmente se activarn acciones encaminadas a
solucionar los problemas detectados en las actividades de comprobacin
(auditoras y revisiones), a prevenir problemas y a mejorar aquellos asuntos que
sean susceptibles de ello44. El sistema documentado comprende lo siguiente:

Polticas: Proporcionan las guas generales de actuacin en cada caso.

Procedimientos: Proporcionan las instrucciones a generar en base a una


tarea o actividad.

Registros: Son las evidencias que se generan de los actividades


realizadas.

43
GMEZ, L., ANDRS, A. Gua de Aplicacin de la Norma UNE-ISO/IEC 27001 Sobre Seguridad
en Sistemas de Informacin para PYMES. Espaa: Asociacin Espaola de Normalizacin y
Certificacin. 2012. p. 17.
44
Ibd., p. 24.

47
Figura 3. Modelo de de implementacin de un SGSI bajo el estndar ISO/IEC 27001.

Fuente:http://www.iso27001security.com/assets/images/ISO27k_process_diag_with_PDCA_780.gif.

En Colombia, el Instituto Colombiano de Normas Tcnicas (ICONTEC) adopta


la norma ISO/IEC 27001:2013 por traduccin bajo la referencia NTC-ISO-IEC
2700145, y contiene una serie de requisitos que son indispensables para ser
conformes a ella. Estos requisitos indispensables46 son los numerales 4, 5, 6, 7,
8, 9 y 10 que se detallan a continuacin:

45
Primera actualizacin: 11 de Noviembre de 2013.
46
INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Norma Tcnica
Colombiana: NTC-ISO-IEC 27001. Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas
de Gestin de la Seguridad de la Informacin. Requisitos. Bogot: ICONTEC. 2013. p. 9.

48
Tabla 4. Requisitos de la norma ISO-IEC 27001:2013.

NUMERAL NORMA DESCRIPCIN GENERAL


ISO-IEC 27001:2013

4. CONTEXTO DE LA La organizacin debe estar consciente de las cuestiones internas y externas que
ORGANIZACIN podran influir en los resultados deseados de la seguridad de la informacin, as
como determinar su alcance, lmites y capacidad, garantizando que el SGSI cumpla
los requerimientos de la norma.

5. LIDERAZGO La alta gerencia de la organizacin debe liderar el proceso del SGSI verificando que
se cumplan los requerimientos de la norma, garantizando los recursos,
documentando las polticas y objetivos de seguridad propuestos, asignando las
responsabilidades para cada una de las actividades y promoviendo el mejoramiento
continuo.

6. PLANIFICACIN La organizacin debe escoger una metodologa de clasificacin, anlisis y


evaluacin de riesgos, formando criterios para establecer los controles de seguridad
y as mantener los niveles de riesgo a un nivel aceptable de acuerdo a las polticas y
objetivos de seguridad.

7. SOPORTE La organizacin debe velar por comunicar las polticas de seguridad de la


informacin a sus empleados y que stos se comprometan al mejoramiento continuo
del SGSI. A su vez, tambin se deben garantizar los recursos y la cualificacin de
las personas para llevar a cabo cada actividad. Tambin se deben generar los
documentos que exige la norma y que stos tengan su nivel de clasificacin.

8. OPERACIN La organizacin debe documentar y planear los procesos para llevar a cabo las
actividades, incluyendo las valoraciones de riesgos de la seguridad de la informacin
y el plan de tratamiento de riesgos.

9. EVALUACIN DEL La organizacin debe velar el desempeo de la seguridad de la informacin y medir


DESEMPEO la eficacia del SGSI, mediante auditoras internas a intervalos planificados, con el fin
de verificar si se estn cumpliendo con los objetivos y polticas de seguridad as
como con la norma.

10. MEJORA La organizacin debe aplicar las acciones correctivas y promover un mejoramiento
continuo.

Fuente:.NTC-ISO-IEC 27001. Requisitos. Bogot: ICONTEC. 2013. p. 9.

49
El estndar ISO/IEC 27001:2013 presenta un Anexo A, el cual toma los controles
de seguridad de la ISO/IEC 27002:2013 donde se presentan los Dominios (14),
Objetivos de Control (35) y Controles de Referencia (114).

Figura 4. Dominios de Seguridad (Estndar ISO/IEC 27002:2013).

0-Introduccin
1-Alcance
2-Referencias Normativas
3-Trminos y Definiciones
4-Estructura del Estndar
Bibliografa

5-Polticas de la Seguridad de la Informacin 10-Criptografa

6-Organizacin de la
11-Seguridad Fsica y del
Informacin de la 8-Gestin de Activos
Entorno
Seguridad

7-Seguridad de los 12-Seguridad de las


9-Control de Acceso
Recursos Humanos Operaciones

14-Adquisicin, Desarrollo
13-Seguridad de las 15-Relacin con los
y Mantenimiento de
Comunicaciones Proveedores
Sistemas

17-Aspectos de Seguridad
16-Gestin de Incidentes
de la Informacin de la
de la Seguridad de la 18-Cumplimiento
Gestin de la Continuidad
Informacin
del Negocio
Fuente. El Autor.

50
Como el estndar ISO/IEC 27001 es certificable, las organizaciones auditoras
requieren una serie de documentos y registros obligatorios47, los cuales son los
siguientes:

Tabla 5. Documentos obligatorios para el estndar ISO/IEC 27001:2013.

DOCUMENTO DESCRIPCIN GENERAL (Captulo de ISO 27001:2013)

Alcance del SGSI Se redacta al inicio de la implementacin y contiene el alcance y


limitaciones del SGSI. (4.3)

Polticas y Objetivos de Seguridad Documento de alto nivel que detalla el principal objetivo del SGSI y las
de la Informacin directrices generales relativas a la seguridad de la informacin. (5.2,
6.2)

Metodologa de Evaluacin y Detalla la seleccin de la metodologa de evaluacin y tratamiento de


Tratamiento de Riesgos riesgos a aplicar. (6.1.2)

Declaracin de Aplicabilidad Se redacta en base a los resultados del tratamiento del riesgo y
describe qu controles del Anexo A son aplicables, cmo se
implementaran y su estado actual. (6.1.3 d)

Plan de Tratamiento del Riesgo, Redacta un plan de accin sobre cmo implementar los diversos
Informe sobre Evaluacin y controles definidos por la Declaracin de Aplicabilidad. (6.1.3e, 6.2),
Tratamiento de Riesgos (8.2, 8.3)

Definicin de Funciones y Detalla las funciones y responsabilidades relativas a la seguridad de la


Responsabilidades de Seguridad informacin. (A.7.1.2, A.13.2.4)

Inventario de Activos Detalla todos los activos informticos de la organizacin. (A.8.1.1)

Uso Aceptable de los Activos Define el tratamiento que reciben los activos que no han sido
involucrados en otro proceso. (A.8.1.3)

Poltica de Control de Acceso Detalla las polticas para el control del acceso lgico y fsico. (A.9.1.1)

47
KOSUTIC, D. Lista de documentacin obligatoria requerida por ISO/IEC 27001. En lnea. 2 de
Septiembre de 2014 Disponible en ISO 27001 Academy:
(http://www.iso27001standard.com/es/descargas-gratuitas/scrollTo-11725).

51
Procedimientos Operativos para Describe todas las operaciones de carcter tcnico (copias de
Gestin de TI seguridad, transmisin de la informacin, cdigos maliciosos, etc.).
(A.12.1.1)

Principios de Ingeniera para Contiene los principios de ingeniera de seguridad bajo la forma de un
Sistema Seguro procedimiento o norma y que se defina cmo incorporar tcnicas de
seguridad en todas las capas de arquitectura: negocio, datos,
aplicaciones y tecnologa. (A.14.2.5)

Poltica de Seguridad para Detalla el procedimiento para la seleccin de contratistas. (A.15.1.1)


Proveedores

Procedimiento para Gestin de Define cmo se informan, clasifican y manejan las debilidades,
Incidentes eventos e incidentes de seguridad. (A.16.1.5)

Procedimientos de la Continuidad Describe los planes de continuidad del negocio, planes de respuesta
del Negocio ante incidentes, planes de recuperacin para el sector comercial de la
organizacin y planes de recuperacin ante desastres. (A.17.1.2)

Requisitos Legales, Normativos y Documento que contiene toda la normatividad que la organizacin
Contractuales debe cumplir. (A.18.1.1)

Fuente: KOSUTIC, D. Lista de documentacin obligatoria requerida por ISO/IEC 27001. En lnea. 2 de
Septiembre de 2014 Disponible en ISO 27001 Academy: (http://www.iso27001standard.com/es/descargas-
gratuitas/scrollTo-11725).

4.2.6. Planes de Continuidad del Negocio. A pesar de que una organizacin


implemente un Anlisis de Gestin del Riesgo, as como una serie de Controles de
Seguridad, nunca estar 100% libre de cualquier eventualidad lgica, fsica o
natural. Dependiendo de cmo est organizada y la forma de gestionar incidentes
catastrficos, as tambin depende su supervivencia.

Un desastre es cualquier evento perjudicial no esperado que prive a una


organizacin de la realizacin normal de sus funciones y procesos crticos,
causndole grandes daos o prdidas. Generalmente est asociado a eventos de
carcter natural como los terremotos, huracanes, tornados, etc., pero dentro de

52
ellos tambin se encuentran las temperaturas extremas, actividades criminales,
actos terroristas, caos civiles, fallas operacionales y de aplicaciones, entre otros.
Aunque el propsito de un BCM es mitigar los incidentes, la prioridad siempre ser
proteger y garantizar la seguridad de las personas.

Si una organizacin tiene una pobre planeacin, no estar los suficientemente


preparada para volver a su operacin normal en un tiempo relativamente corto. La
planeacin para los desastres hace parte de la Gestin de Continuidad del
Negocio (BCM, Business Continuity Management), el cual incluye a los
siguientes48:

Plan de Continuidad del Negocio (BCP, Business Continuity Plan):


Ayuda a mantener ejecutndose los procesos crticos del negocio en caso
de un desastre.

Plan de Recuperacin de Desastres (DRP, Disaster Recovery Plan):


Ayuda a recuperar la infraestructura necesaria para las operaciones
normales.

Los BCP, involucran gestionar una variedad de riesgos a los procesos


organizacionales y crear polticas, planes y procedimientos para minimizar el
impacto en caso de que se materialicen esos riesgos. Los BCP se utilizan para
mantener la operacin continua del negocio en una situacin de emergencia 49. De
esta manera, el objetivo de las personas encargadas de gestionar el BCP es
implementar polticas, procedimientos y procesos en caso tal que eventos
catastrficos tengan un bajo nivel de impacto en el negocio.

Los BCP se enfocan en mantener las operaciones de negocio con una


infraestructura reducida y recursos limitados, y ayudan a la organizacin a
48
KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 263.
49
STEWART, J. M., TITTEL, E., CHAPPLE, M. CISSP: Certified Information Systems Security
Professional Guide (Quinta ed.). Indianapolis, Indiana, Estados Unidos de Amrica: Wiley
Publishing. 2011. p. 612.

53
restaurar sus procesos en el menor tiempo posible. En caso tal que los procesos
crticos dejen de funcionar totalmente, la organizacin se encontrara en un modo
de desastre, entonces entra en ejecucin el Plan de Recuperacin de
Desastres.

El objetivo general de un BCP es proveer una respuesta rpida y eficiente ante


una emergencia, as como mejorar la habilidad de la organizacin en su proceso
de recuperacin. De acuerdo a la (ISC)50, un BCP est compuesto de cuatro (4)
grandes pasos:

Alcance del Proyecto y de la Planeacin: En esta fase se debe definir


una metodologa para el BCP. En ella se incluye un Anlisis de la
Organizacin del Negocio donde se identifican los departamentos y
personas que realizarn el proceso y la determinacin de los procesos
crticos; la Seleccin del Equipo BCP, donde se selecciona el personal
encargado de realizar el BCP (no solamente del rea de Tecnologas de
Informacin, sino de todas las reas crticas); los Recursos Requeridos,
donde se analizar la viabilidad para implementar el BCP (desarrollo,
pruebas, entrenamiento, mantenimiento e implementacin); los
Requerimientos Legales y Regulatorios, donde se estudian todos los
requisitos exigidos por las leyes locales y entes reguladores.

Evaluacin del Impacto en el Negocio: En esta fase (BIA, Business


Impact Assessment) se identifican los recursos que son crticos para la
viabilidad de la organizacin, as como sus amenazas. De igual forma se
evala la probabilidad de ocurrencia de cada amenaza y el impacto que
tendra sobre el negocio. Estos resultados proveen medidas cuantitativas
que ayudan a priorizar los recursos destinados al BCP frente a los varios
riesgos que enfrenta la organizacin. Los responsables de gestionar el BCP

50
(ISC) es el Consorcio Internacional de Certificacin de Seguridad de Sistemas de
Informacin. https://www.isc2.org/.

54
deben realizar decisiones cuantitativas que involucran el desarrollo de
frmulas matemticas para generar una decisin, es decir aquellas donde
se les coloca un valor monetario a los activos, y las decisiones
cualitativas, las cuales se basan en factores como la confianza y fidelidad
de los clientes, inversionistas, estabilidad, entre otros factores a los cuales
no se les puede poner un valor monetario.

Planeacin Continua: En esta fase se desarrollan e implementan


estrategias de continuidad para minimizar el impacto que podran realizar
los riesgos activos protegidos. Aqu se incluyen; el Desarrollo de
Estrategias, donde se clasifican y determinan los riesgos que sern
gestionados en el BCP de acuerdo a las decisiones tomadas en la fase
anterior; las Provisiones y Procesos, donde se determinan las estrategias,
polticas y procedimientos que mitigarn los riesgos, as como los activos a
proteger.

Aprobacin e Implementacin: En esta fase se incluye la Aprobacin del


Plan, donde la alta gerencia aprueba los documentos de esta fase de
diseo; la Implementacin del Plan, donde se utilizan los recursos
dedicados para implementar el BCP; el Entrenamiento y Educacin,
donde se capacita a todo el personal que estar involucrado en el BCP, y
de igual forma se pone en conocimiento a toda la organizacin.

De esta manera, un BCP es un plan para una respuesta estructurada a cualquier


evento indeseado que resulte en la interrupcin de las actividades y funciones
crticas de una organizacin51. Hay que resaltar que en muchas ocasiones, las
organizaciones deben documentar e implementar un BCP debido a las leyes y
regulaciones, y donde siempre lo primordial ser proteger la vida y seguridad de
las personas, ms de all de cualquier infraestructura fsica o activo.

51
KIM, D., SALOMON, M. G. Fundamentals of Information System Security. Estados Unidos de
Amrica: Jones & Bartlett Learning International. 2012. p. 126.

55
Para que un BCP sea efectivamente desarrollado, implementado y conocido por
todos los miembros de la organizacin, ste de estar documentado, ya que otorga
varios beneficios como asegurar que todo el personal encargado del BCP tenga el
documento escrito incluso si el lder del proceso no se encuentra en el momento
de la emergencia, proveer un documento histrico del proceso que ser til para
un personal futuro para entender los procedimientos e implementar los cambios
necesarios al plan, y adems permite ser distribuido a todo el personal.

En esta documentacin se debe establecer lo siguiente52:

Objetivos del Plan de Continuidad: Se describen los objetivos del BCP


donde se asegure la continuidad del negocio en caso de una situacin de
emergencia.

Declaracin de la Importancia: Refleja el nivel de criticidad e importancia


que tiene el BCP a la viabilidad continua de la organizacin. Esta
informacin debe ser transmitida a todos los empleados.

Declaracin de Prioridades: Se listan las funciones que son consideradas


como crticas para la continuidad del negocio en un orden priorizado, donde
se refleje la importancia de estas funciones en un caso de emergencia.

Declaracin de Responsabilidad Organizacional: Se declara la


responsabilidad y el compromiso de la organizacin con el BCP, as como
se informa a todos los miembros, clientes, proveedores y afiliados.

Declaracin de Urgencia y Tiempos: Expresa el nivel de criticidad de


implementar el BCP y se resaltan los tiempos establecidos por el equipo del
BCP.

52
STEWART, J. M., TITTEL, E., CHAPPLE, M. CISSP: Certified Information Systems Security
Professional Guide (Quinta ed.). Indianapolis, Indiana, Estados Unidos de Amrica: Wiley
Publishing. 2011. p. 628-631.

56
Evaluacin del Riesgo: Se recapitulan las decisiones tomadas durante el
proceso de Evaluacin del Impacto en el Negocio (BIA), as como los
anlisis cuantitativos y cualitativos tomados sobre los riesgos.

Aceptacin/Mitigacin del Riesgo: Se declaran las razones por las cuales


se aceptan o se mitigan los riesgos encontrados durante el Anlisis de
Riesgo.

Programa de Registros Vitales: Se documentan donde se guardan los


registros crticos del negocio y los procedimientos para la realizacin y
almacenamiento de las copias de esos registros.

Lineamientos de Emergencia-Respuesta: De delinean las


responsabilidades individuales y organizacionales para la respuesta
inmediata en las situaciones de emergencia, incluyendo los pasos que
deberan realizarse para aquellas acciones que no son realizadas
automticamente por el BCP.

Mantenimiento: Se asegura que el BCP sea revisado de forma peridica


para garantizar que se cumplan las necesidades organizacionales.

Pruebas: Se formaliza un programa de pruebas para garantizar que el plan


funcione y que todo el personal est entrenado adecuadamente para
realizar sus deberes en la eventualidad de un desastre.

4.2.7. Gobierno de Tecnologa Informtica. El Gobierno de Tecnologa


Informtica es el sistema mediante el cual el portafolio de TI de una organizacin
es dirigido y controlado. El Gobierno de TI describe la distribucin de los derechos
de toma de decisiones y las responsabilidades entre los diferentes accionistas en
la organizacin, y las reglas y procedimientos para tomar y monitorear las

57
decisiones en asuntos estratgicos de TI53. Especifica la estructura y los procesos
a travs del cual los objetivos de TI de una organizacin se establecen y las vas
para alcanzar esos objetivos y la monitorizacin del rendimiento54. Adems, el
Gobierno de TI tiene la capacidad de lograr el alineamiento, seguridad, eficiencia y
eficacia en los procesos de tecnologa de la informacin TI mediante la integracin
de modelos, estndares, mtricas y controles dentro de la plataforma tecnolgica
para establecer la mejora continua y proporcionar valorar a la organizacin.

El Gobierno de TI hace parte de los objetivos y las estrategias de las


organizaciones, es por esto que es responsabilidad no solo de los gerentes o
administradores de tecnologa, los responsables de generar un ambiente correcto
y de la aplicacin de la misma; son los ejecutivos, directores, presidentes, es decir
la alta gerencia administrativa junto con la gerencia de tecnologa son los mayores
responsables de generar el liderazgo, las estructuras, procesos y estrategias para
que la organizacin lo implemente con xito55.

Implementar un buen Gobierno de TI debe tener en cuenta los siguientes


elementos56:

53
PETERSON, R. Integration Strategies and Tactics for Information Technology Governance. En W.
VAN GREMBERGEN, Strategies for Information Technology Governance (p. 37-80). IDEA Group
Publishing. 2004. p. 41.
54
Ibd., p. 41-42.
55
RAMREZ, G., CONSTAIN, G. Modelos y Estndares de Seguridad Informtica. Palmira: UNAD.
2012. p. 50.
56
SYMONS, C. IT Governance Framework: Structures, Processes, And Communication. En lnea.
29 de Marzo de 2005. Disponible en Forrester Research:
(http://i.bnet.com/whitepapers/051103656300.pdf).

58
Tabla 6. Elementos de un Gobierno de TI.

ELEMENTOS DESCRIPCIN
Quines son los encargados de realizar las decisiones?
ESTRUCTURA Qu estructuras organizacionales sern creadas?
Qu responsabilidades se asumen?
Cmo se toman las decisiones de las inversiones de TI?
PROCESOS
Cmo es el proceso de decisin de inversin, prueba y priorizacin de TI?
Cmo se pueden monitorear, medir y comunicar los resultados y procesos de stas
decisiones?
COMUNICACIN
Cules mecanismos se emplearn para comunicar las decisiones de inversin de
TI a la alta direccin y funcionarios?
Fuente: SYMONS, C. IT Governance Framework: Structures, Processes, And Communication. En lnea. 29
de Marzo de 2005. Disponible en Forrester Research: (http://i.bnet.com/whitepapers/051103656300.pdf).

A su vez, para desarrollar e implementar un buen Gobierno de TI es necesario


comprender y evaluar el modelo de madurez57 que se tiene actualmente en la
organizacin. Se pueden identificar estos modelos de la siguiente forma:

Tabla 7. Modelos de madurez de un Gobierno de TI.

MODELO DE
DESCRIPCIN
MADUREZ
No existen procesos o mecanismos formales donde la alta direccin desconoce por
ETAPA 1: AD-HOC completo la necesidad de un Gobierno de TI. Las inversiones de TI son realizadas
para cumplir ciertos propsitos de manera aislada.
ETAPA 2: Se reconoce algn esfuerzo por la implantacin de un Gobierno de TI en la
FRAGMENTADO organizacin, pero solamente aplicables a una o pocas unidades organizacionales.
ETAPA 3: Los procesos del Gobierno de TI son consistentes a toda la organizacin y las
CONSISTENTE decisiones de inversin en TI afectan de forma holstica.
ETAPA 4: MEJORES Los procesos de Gobierno de TI son ejecutados y optimizados a nivel general de la
PRCTICAS organizacin, donde todas las inversiones tambin son optimizadas.
Fuente: SYMONS, C. IT Governance Framework: Structures, Processes, And Communication. En lnea. 29
de Marzo de 2005. Disponible en Forrester Research: (http://i.bnet.com/whitepapers/051103656300.pdf)

57
SYMONS, C. IT Governance Framework: Structures, Processes, And Communication. En lnea.
29 de Marzo de 2005. Disponible en Forrester Research:
(http://i.bnet.com/whitepapers/051103656300.pdf).

59
Por otra parte, un Gobierno de TI comprende cuatro objetivos principales 58:
Alineacin y Entrega de Valor de TI, Responsabilidad, Medicin del Rendimiento y
Gestin de Riesgo.

Tabla 8. Objetivos de un Gobierno de TI.

OBJETIVO DESCRIPCIN
Garantizar la alineacin de las unidades de negocio con las de TI creando los
Alineacin y Entrega
procesos, estructuras necesarias que permitan alinear estratgicamente a la TI
de Valor de TI
con los objetivos organizacionales.
Responsabilidad Garantizar la credibilidad y exactitud de la informacin y controles manejados.
Medicin del
Permitir medir el rendimiento de las mtricas en cada uno de los procesos.
Rendimiento
Gestionar los riesgos asociados a la TI de forma que sean vistos como los riesgos
Gestin de Riesgo
del negocio.
Fuente: SYMONS, C. IT Governance Framework: Structures, Processes, And Communication. En lnea. 29
de Marzo de 2005. Disponible en Forrester Research: (http://i.bnet.com/whitepapers/051103656300.pdf)

Figura 5. Objetivos de un Gobierno de TI.

Alineacin y
Entrega de
Valor de TI

Responsabili Gobierno de Medicin del


dad TI Rendimiento

Gestin del
Riesgo

Fuente. El autor.

58
SYMONS, C. IT Governance Framework: Structures, Processes, And Communication. En lnea.
29 de Marzo de 2005. Disponible en Forrester Research:
(http://i.bnet.com/whitepapers/051103656300.pdf).

60
Algunos de los modelos o frameworks ms conocidos para la implementacin del
Gobierno de TI son los siguientes:

COBIT(Control Objectives for Information and related Technology,


Obetivos de Control para la Informacin y Tecnologa relacionada) es
una serie de mejores prcticas para la implementacin de un Gobierno de
Tecnologa de la Informacin creada por ISACA (Information Systems
Audit and Control Association) y el Instituto de Gobierno TI (ITGI).
Provee a los administradores, auditores y usuarios de Tecnologa
Informtica una serie de medidas, indicadores, procesos y mejores
prcticas para ayudarlos a maximizar los beneficios derivados del uso de la
tecnologa de la informacin y desarrollar un Gobierno y Control de TI en la
organizacin. La misin de COBIT es alcanzar, desarrollar, publicar y
promover unos objetivos de control de la tecnologa de la informacin
actualizados e internacionalmente aceptados para los auditores y
administradores en su uso diario59.

COBIT define 34 objetivos de control, agrupados en 4 dominios:


Planeacin y Organizacin, Adquisicin e Implementacin, Entrega y
Soporte, y Monitoreo y Evaluacin60, como se muestra en la siguiente
ilustracin:

59
SHEIKHPOUR, R., MODIRI, N. An Approach to Map COBIT Processes to ISO/IEC 27001
Information Security Management Controls. International Journal of Security and Its Applications,
6(2), 13-26. 2012. p. 14.
60
JAQUITH, A. Security Metrics: Replacing Fear, Uncertainty and Doubt. Addison-Wesley. 2007. p.
91.

61
Figura 6. Dominios y Objetivos de Control de COBIT.

Fuente:http://148.204.211.134/polilibros/portal/Polilibros/P_proceso/Auditoria_Informatica_Nacira_Mendoza_P
into/UNIDAD%201/IMAGENES/diagrama%20cobit.gif.

Tabla 9. Dominios de Control de COBIT.

DOMINIOS DE FUNCIN
CONTROL

Planeacin y Cubre las estrategias y tcticas e identifica la forma en cmo la TI puede contribuir
Organizacin mejor al logro de los objetivos organizacionales.

Adquisicin e Para desarrollar efectivamente la estrategia de TI, se necesita identificar, desarrollar


Implementacin o adquirir soluciones de TI que estn integradas a los procesos de negocio.

Entrega y Soporte Incluye el procesamiento actual de los datos por los sistemas de aplicacin,
frecuentemente clasificados bajo los controles de aplicacin. Se entregan los
servicios requeridos.

Monitoreo Todos los procesos de TI deben ser medidos regularmente con el fin de medir su
calidad y acordes a los requerimientos de control.

Fuente: SHEIKHPOUR, R., MODIRI, N. An Approach to Map COBIT Processes to ISO/IEC 27001 Information
Security Management Controls. International Journal of Security and Its Applications, 6(2), 13-26. 2012. p. 14.

62
COBIT es un marco de trabajo para el Gobierno de TI y Administracin de
alto nivel que se enfoca en proveer decisiones ms sustentadas y no se
involucra mucho con los detalles tcnicos. Es un marco de mejores
prcticas para la gestin de recursos, infraestructura, procesos,
responsabilidades, controles, etc.61. Tambin provee una gua para el
Gobierno de TI, el cual provee la estructura para enlazar los procesos de TI,
recursos de TI e informacin a los objetivos y estrategias corporativas. El
Gobierno de TI integra las formas ptimas para cumplir con cada uno de los
dominios de COBIT, tomando ventaja de la informacin, maximizando sus
beneficios, capitalizar las oportunidades y obtener ventaja competitiva. A su
vez, tambin provee unos lineamientos para realizar la Auditora y verificar
los procesos de TI con los objetivos de control para garantizar la
administracin y la asesora para la mejora.

ITIL (Information Technology Infrastructure Library, Biblioteca de


Infraestructura e Tecnologa de la Informacin)es una serie de libreras
estandarizadas que se enfocan en la gestin del servicio en la industria de
tecnologas informticas. Fue desarrollado por la CCTA (Central Computer
and Telecomunications Agency), la cual fue fusionada ms tarde con la
OGC (Office of Government Commerce)62 del gobierno del Reino Unido
(UK) ms tarde en los aos 198063. La gestin del servicio en TI64 es el
concepto central en ITIL donde se refiere como la "serie de procesos que
cooperan para garantizar la calidad de los servicios de TI, de acuerdo a los

61
ARORA, V. (s.f.). Comparing different information security standards: COBIT vs. ISO 27001. En
lnea. Disponible en Carnegie Mellon University, Qatar:
(http://qatar.cmu.edu/media/assets/CPUCIS2010-1.pdf). p. 8.
62
En su versin actual (v3.0), ITIL es gestionada por el ITSMF (Information Technology Service
Management Forum).
63
AHMAD, N., ZULKIFLI, S. Systematic Approach to Successful Implementation of ITIL. Procedia
Computer Science, 2013. p. 237-244.
64
La Gestin del Servicio en Tecnologa Informtica comnmente es abreviada a ITSM por sus
siglas en ingls (Information Technology Service Management).

63
niveles de servicio acordados con el cliente"65, donde a travs de una serie
de mejores prcticas le indica a la organizacin la hoja de ruta pero sin
clarificar la forma de implementarlo o llevarlo a cabo; es decir, el
departamento de TI es el encargado de detallar el flujo de procesos y crear
las instrucciones detalladas.

El Ciclo de Vida de la Gestin del Servicio de ITIL (Lifecycle Service


Management) es propuesto en cinco (5) etapas que no estn separadas y
que una afectar a la otra a travs de un ciclo de mejoramiento continuo,
como se muestra en la siguiente ilustracin:

Figura 7. Ciclo de Vida de la Gestin del Servicio en ITIL.

Fuente:https://innovacionesit.files.wordpress.com/2011/05/itil.jpg.

65
SNCHEZ, J., FERNNDEZ, E., MORATILLA, A. ITIL, COBIT and EFQM: Can They Work
Together? International Journal of Combinatorial Optimization Problems and Informatics, 4(1), 54-
64. 2013. p. 54.

64
Tabla 10. Etapas del Ciclo de Vida de la Gestin del Servicio en ITIL.

ETAPAS FUNCIN

Estrategia del Determina las necesidades, prioridades, demandas e importancia relativa para los
Servicio servicios deseados. Identifica el valor creado a travs de los servicios y los recursos
financieros previstos requeridos para disearlos, entregarlos y soportarlos.

Diseo del Servicio Disea la infraestructura, procesos y mecanismos de soporte necesarios para
alcanzar los requerimientos de disponibilidad del cliente.

Transicin del Valida que el servicio satisfaga los criterios funcionales y tcnicos para justificar su
Servicio liberacin al cliente.

Servicio de Monitorea que el servicio entregado est disponible y administra y resuelve los
Operacin incidentes que lo afecten.

Servicio de Coordina la recoleccin de datos, informacin y conocimiento respecto a la calidad y


Mejoramiento rendimiento de los servicios suministrados y de las actividades de la gestin de los
Continuo servicios realizados.

Fuente: SNCHEZ, J., FERNNDEZ, E., MORATILLA, A. ITIL, COBIT and EFQM: Can They Work
Together? International Journal of Combinatorial Optimization Problems and Informatics, 4(1), 54-64. 2013. p.
54

ISO 27014:2013 (Information TechnologySecurity Techniques


Governance of Information Security)es el estndar de la ISO que provee
"gua en los conceptos y principios para el gobierno de la seguridad de la
informacin, por medio de la cual las organizaciones pueden evaluar,
direccionar, monitorear y comunicar las actividades relativas a la
seguridad de la informacin dentro de la organizacin"66. Este estndar es
aplicable a todas las organizaciones de todos los tamaos.ISO 27014:2013

66
Definicin tomada de http://www.iso27001security.com/html/27014.html.

65
est compuesto por seis (6) principios de gobierno de seguridad
informtica67 que son los siguientes:

Tabla 11. Principios de ISO 27014:2013.

PRINCIPIOS FUNCIN

Principio 1 Establecer la seguridad de la informacin a nivel global en la organizacin.

Principio 2 Adoptar un enfoque basado en riesgo.

Principio 3 Establecer la direccin de las decisiones de inversin.

Principio 4 Garantizar la conformidad con los requerimientos internos y externos.

Principio 6 Revisar el rendimiento en relacin a los resultados del negocio.

Fuente: SNCHEZ, J., FERNNDEZ, E., MORATILLA, A. ITIL, COBIT and EFQM: Can They Work
Together? International Journal of Combinatorial Optimization Problems and Informatics, 4(1), 54-64. 2013. p.
54.

De igual forma, ISO 27014:2013 plantea cinco (5) procesos, los cuales son
tareas implementadas por el rgano de gobierno y la administracin
ejecutiva; se resumen en la siguiente tabla:

67
MAHNCKE, R. The Applicability of ISO/IEC27014:2013 For Use Within General Medical Practice
En lnea. Enero de 2013. Disponible en Australian eHealth Informatics and Security Conference:
(http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1011&context=aeis).

66
Tabla 12. Procesos de ISO 27014:2013.

PROCESOS FUNCIN

Evaluar Considera el logro actual y previsin de los objetivos de seguridad basado en los procesos
actuales y cambios planificados y determina dnde se requieren ajustes para optimizar el logro
de los objetivos estratgicos de futuro.

Direccionar El rgano de gobierno establece la direccin acerca de los objetivos de la seguridad de la


informacin y estrategias que necesitan ser implementadas. La direccin puede incluir
cambios en la asignacin de recursos, priorizacin de actividades, aprobacin de polticas y
planes de gestin y aceptacin del riesgo.

Monitorear Es el proceso que permite al rgano de gobierno evaluar el logro de los objetivos estratgicos.

Comunicar Es el proceso que permite al rgano de gobierno compartir informacin acerca de las polticas
de seguridad de la informacin con los accionistas para ajustarse a necesidades especficas.

Asegurar Permite certificar y evaluar de manera independiente la operacin del Gobierno de TI.

Fuente: MAHNCKE, R. The Applicability of ISO/IEC27014:2013 For Use Within General Medical Practice En
lnea. Enero de 2013. Disponible en Australian eHealth Informatics and Security Conference:
(http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1011&context=aeis).

4.3. MARCO LEGAL

4.3.1. Ley 1273 de 2009. Los delitos informticos se definen como "Ofensas
que son cometidas contra individuos o grupos de individuos con un motivo criminal
para daar intencionalmente la reputacin de la vctima o causarle dao mental o
fsico directa o indirectamente, utilizando redes de telecomunicacin modernas
como el Internet o telfonos mviles"68.

El trmino delito informtico generalmente es usado indistintamente a la palabra


crimen ciberntico, a la cual en ingls se le conoce como cybercrime, donde la

68
DEBARATI, H., JAISHANKAR, K. Cyber Crime and the Victimization of Women: Laws, Rights,
and Regulations. IGI Global. 2011.

67
Organizacin de las Naciones Unidas (ONU) lo divide en dos categoras con sus
respectivas definiciones69:

Cibercrimen en un sentido reducido (crimen computacional): Cualquier


comportamiento ilegal perpetuado por medio de operaciones electrnicas
que comprometa la seguridad de los sistemas computacionales y los datos
procesados por ellos.

Cibercrimen en un sentido amplio (crimen relacionado a las


computadoras): Cualquier comportamiento ilegal cometido por cualquier
medio o relacionado, a un sistema de computadoras o red, incluyendo
crmenes como posesin ilegal y/u oferta o distribucin de informacin por
medio de un sistema de computadoras o red.

La Ley 1273 del 5 de Enero de 2009 emitida por el Congreso de Colombia es


conocida como la "Ley de Delitos Informticos" donde se promulga "Por medio
de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico
tutelado denominado "de la proteccin de la informacin y de los datos" y se
preservan integralmente los sistemas que utilicen las tecnologas de la
informacin y las comunicaciones, entre otras disposiciones"70. Esta ley se
descompone en dos (2) captulos con sus respectivos artculos:

Tabla 13. Artculos de la Ley de Delitos Informticos en Colombia.

CAPTULO ARTCULO DESCRIPCIN

CAPTULO I: "De los atentados Artculo 269A: Acceso Se explota alguna vulnerabilidad en el
contra la confidencialidad, la abusivo a un sistema acceso a los sistemas de informacin

69
LITTLEJOHN SHINDER, D., TITTEL, E. Scene of the Cybercrime: Computer Forensics
Handbook. Syngress Publishing. 2002. p. 17.
70
Tomado textualmente de la Ley 1273 del 5 de Enero de 2009 emitida por el Congreso de la
Repblica COLOMBIA. CONGRESO DE LA REPBLICA. Ley 1273 de 2009. En lnea. 10 de
Mayo de 2015. Disponible en Ministerio de Tecnologas de la Informacin y las Comunicaciones:
(http://www.mintic.gov.co/portal/604/articles-3705_documento.pdf).

68
integridad y la disponibilidad de informtico. o debilidades en los procedimientos
los datos y de los sistemas de seguridad.
informticos"
Artculo 269B: Se bloquea de forma ilegal un sistema
Obstaculizacin ilegtima de o se impide su ingreso o acceso a
sistema informtico o red de cuentas de correo electrnico de otras
telecomunicacin. personas, sin el debido
consentimiento.

Artculo 269C: Interceptacin Se interceptan o captan datos


de datos informticos. transmitidos de forma ilegal o sin la
debida autorizacin.

Artculo 269D: Dao Se destruye, borra o altera los datos o


Informtico. un activo tangible sin estar facultado
para ello.

Artculo 269E: Uso de Se vende, instala o distribuye


software malicioso. software malicioso o programas
dainos para los activos informticos.

Artculo 269F: Violacin de Se intercepte, venda, cambie, trafique


datos personales. o sustraiga informacin personal de
los archivos o bases de datos sin la
debida autorizacin.

Artculo 269G: Suplantacin Se diseen, implementen o


de sitios web para capturar redireccionen sitios web fraudulentos
datos personales. con el objetivo de capturar datos
sensitivos de las personas.

Artculo 269H: Circunstancias Se revele informacin confidencial de


de agravacin punitiva. las empresas o pongan en riesgo la
seguridad nacional.

CAPTULO II: " De los atentados


Artculo 269I: Hurto por Se superen las barreras de seguridad
informticos y otras
medios informticos y informticas y se extraigan de manera
infracciones"
semejantes. ilegal los activos, as como suplantar
las identidades de las personas.

Artculo 269J: Transferencia Se extraiga y transmita informacin

69
no consentida de activos. con nimo de lucro en perjuicio de un
tercero.

Fuente: CONGRESO DE LA REPBLICA. Ley 1273 de 2009

4.3.2. Estrategia de Gobierno en Lnea. La Estrategia de Gobierno en Lnea


es el nombre que recibe la estrategia de gobierno electrnico (e-government) en
Colombia, que busca construir un Estado ms eficiente, ms transparente y ms
participativo gracias a las TIC.Esto significa que el Gobierno71:

Prestar los mejores servicios en lnea al ciudadano.

Lograr la excelencia en la gestin.

Empoderar y generar confianza en los ciudadanos

Esta estrategia est reglamentada en el decreto 2573 de 2014, "Por el cual se


establecen los lineamientos generales de la Estrategia de Gobierno en lnea,
se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras
disposiciones". En sta Ley 1341 de 2009 se estableci el marco general del
sector de las Tecnologas de la Informacin y las Comunicaciones, incorporando
principios, conceptos y competencias sobre su organizacin y desarrollo e
igualmente seal que las Tecnologas de la Informacin y las Comunicaciones
deben servir al inters general y, por tanto, es deber del Estado promover su
acceso eficiente y en igualdad de oportunidades a todos los habitantes del
territorio nacional. De igual forma, se determin que es funcin del Estado
intervenir en el sector de las TIC con el fin de promover condiciones de seguridad

71
Tomado de Conoce la Estrategia de Gobierno en Lnea en
http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-7650.html.

70
del servicio al usuario final, incentivar acciones preventivas y de seguridad
informtica y de redes para el desarrollo de dicho sector72.

En el marco de la Seguridad y Privacidad de la Informacin, la Estrategia de


Gobierno en Lnea establece tres (3) ejes fundamentales73:

72
Tomado textualmente del decreto 2573 de 2014 emitido por el Ministerio de Tecnologas de la
Informacin y las Comunicaciones. En
http://wp.presidencia.gov.co/sitios/normativa/decretos/2014/Decretos2014/DECRETO%202573%20
DEL%2012%20DE%20DICIEMBRE%20DE%202014.pdf.
73
Tomado de Seguridad y Privacidad de la Informacin de la Estrategia de Gobierno en
Lnea. En http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-8015.html.

71
Tabla 14. Ejes fundamentales de la Seguridad y Privacidad de la Informacin en la Estrategia de Gobierno en
Lnea.

EJE MBITO LINEAMIENTOS

Gestin de Riesgos de Incorporar aquellos componentes de


seguridad y privacidad de la seguridad para el tratamiento de la
IMPLEMENTACIN DEL informacin: Busca proteger los privacidad de la informacin, la
PLAN DE SEGURIDAD Y derechos de los usuarios de la implementacin de controles de
PRIVACIDAD DE LA entidad y mejorar los niveles de acceso, as como los mecanismos de
INFORMACIN Y DE LOS confianza en los mismos a integridad y cifrado de la informacin.
SISTEMAS DE travs de la identificacin,
INFORMACIN valoracin, tratamiento y
mitigacin de los riesgos de los
sistemas de informacin.

Definir y realizar actividades que


conduzcan a evaluar, monitorear y
direccionar los resultados de las
soluciones de TI para apoyar los
Evaluacin del desempeo:
procesos internos de la institucin.
Busca hacer las mediciones
necesarias para calificar la
MONITOREO Y Identificar reas con oportunidad de
operacin y efectividad de los
MEJORAMIENTO mejora, de acuerdo con los criterios de
controles, estableciendo niveles
CONTINUO calidad establecidos en el Modelo
de cumplimiento y de proteccin
Integrado de Planeacin y Gestin de
de los principios de seguridad y
la institucin, de modo que pueda
privacidad de la informacin.
focalizar esfuerzos en el mejoramiento
de los procesos de TI para contribuir
con el cumplimiento de las metas
institucionales y del sector.

Contar con una Arquitectura


DEFINICIN DEL MARCO Diagnstico de Seguridad y Empresarial que permita materializar
DE SEGURIDAD Y Privacidad: Busca determinar el su visin estratgica utilizando la
PRIVACIDAD DE LA estado actual del nivel de tecnologa como agente de
INFORMACIN Y DE LOS seguridad y privacidad de la transformacin.
SISTEMAS DE informacin y de los sistemas de
INFORMACIN informacin. Definir e implementar un esquema de
Gobierno TI que estructure y

72
direccione el flujo de las decisiones de
TI, que garantice la integracin y la
alineacin con la normatividad vigente,
las polticas, los procesos y los
servicios del Modelo Integrado de
Planeacin y Gestin de la institucin.

Implementar el macro-proceso de
gestin de TI, segn los lineamientos
del Modelo Integrado de Planeacin y
Gestin de la institucin, teniendo en
cuenta el Modelo de gestin
estratgica de TI.

Implementar el anlisis de
vulnerabilidades de la infraestructura
tecnolgica, a travs de un plan de
pruebas que permita identificar y tratar
los riesgos que puedan comprometer
la seguridad de la informacin o que
puedan afectar la prestacin de un
servicio de TI.

Identificar y definir las polticas y


estndares que faciliten la gestin y la
gobernabilidad de TI, contemplando
por lo menos los siguientes temas:
seguridad, continuidad del negocio,
gestin de informacin, adquisicin,
Plan de Seguridad y Privacidad desarrollo e implantacin de sistemas
de la Informacin: Busca de informacin, acceso a la tecnologa
generar un plan de seguridad y y uso de las facilidades por parte de
privacidad alineado con el los usuarios. As mismo, se debe
propsito misional. contar con un proceso integrado entre
las instituciones del sector que permita
asegurar el cumplimiento y
actualizacin de las polticas y
estndares de TI.

Participar de forma activa en la

73
concepcin, planeacin y desarrollo de
los proyectos de la institucin que
incorporen componentes de TI

Liderar la planeacin, ejecucin y


seguimiento a los proyectos de TI.

Incorporar aquellos componentes de


seguridad para el tratamiento de la
privacidad de la informacin, la
implementacin de controles de
acceso, as como los mecanismos de
integridad y cifrado de la informacin.

Fuente: Seguridad y Privacidad de la Informacin de la Estrategia de Gobierno en Lnea. En


http://estrategia.gobiernoenlinea.gov.co/623/w3-propertyvalue-8015.html

74
4.4. MARCO CONTEXTUAL

4.4.1. Universidad de Crdoba

Tabla 15. Informacin de la Universidad de Crdoba.

CDIG
ORGANIZACI DIRECCI O EMAIL
LUGAR NIT
N N POSTA CONTACTO
L
Montera-
Universidad de Crdoba Carrera 6 89108003
230002 contacto@unicordoba.edu.co
Crdoba (Colombi No. 76-103 1-3
a)
Fuente: El Autor.

La Universidad de Crdoba, creada mediante la Ley 37 de 1966, es un ente


estatal universitario del orden nacional, con rgimen especial, vinculado al
Ministerio de Educacin Nacional en lo referente a las polticas y la planeacin del
sector educativo. Su domicilio es la ciudad de Montera y podr establecer
seccionales en cualquier municipio del pas. Posee autonoma acadmica,
administrativa y financiera, patrimonio independiente y facultad para elaborar y
ejecutar su propio presupuesto74.

La Universidad de Crdoba orienta su accionar acadmico administrativo e


ideolgico en el marco de la Constitucin Poltica Nacional, lo cual implica el
respeto por el pluralismo ideolgico, la libertad de ctedra, de pensamiento, la
tolerancia, la libertad de expresin, sin interferencia del poder pblico en estos
asuntos ni en el manejo administrativo o financiero de la institucin, primando

74
Artculo 2. Captulo I: Definicin, Naturaleza Jurdica, Domicilio y Autonoma (UNIVERSIDAD DE
CRDOBA. Estatuto General. Montera: Grupo de Publicaciones. 2004. p. 9).

75
siempre el inters general, el bien comn y el orden pblico, bajo la inspeccin y
vigilancia del Estado75.

MISIN

La Universidad de Crdoba es una institucin pblica de educacin superior que


forma integralmente personas capaces de interactuar en un mundo globalizado,
desde el campo de las ciencias bsicas, asociadas a la produccin agroindustrial,
las ingenieras, las ciencias sociales, humanas, la educacin y la salud; genera
conocimiento en ciencia, tecnologa, arte y cultura y contribuye al desarrollo
humano y a la sostenibilidad ambiental de la regin y del pas76.

VISIN

Ser reconocida como una de las mejores instituciones pblicas de educacin


superior del pas por la calidad de sus procesos acadmicos y de gestin
institucional, orientada al mejoramiento de la calidad de vida de la regin,
mediante la ejecucin y aplicacin de proyectos de investigacin y extensin en
cooperacin con el sector productivo77.

75
Autonoma-Principios que Rigen la Universidad de Crdoba (Ibd., 2004, pg. 10).
76
Misin de la Universidad de Crdoba Artculo 2. Captulo I: Definicin, Naturaleza Jurdica,
Domicilio y Autonoma (UNIVERSIDAD DE CRDOBA. Estatuto General. Montera: Grupo de
Publicaciones. 2004. p. 11).
77
Visin de la Universidad de Crdoba(Ibd., p. 11).

76
ORGANIGRAMA

La Universidad de Crdoba, presenta el siguiente organigrama.

Figura 8. Organigrama de la Universidad de Crdoba.

Fuente. UNIVERSIDAD DE CRDOBA. Estatuto General. Montera: Grupo de Publicaciones. 2004.

77
4.4.2. Oficina de Sistemas y Telecomunicaciones. La oficina de Sistemas de
Informacin y Telemtica de la Universidad de Crdoba, est compuesta por reas
funcionales, las cuales velan por el correcto funcionamiento de los servicios
tecnolgicos y dan soporte a todos los requerimientos de los docentes,
estudiantes, administrativos y comunidad en general, siendo as un pilar
fundamental en el logro de los objetivos institucionales. Hace parte de la Unidad
de Planeacin y Desarrollo, y no presenta subdivisiones internas, sino que tiene
reas funcionales dentro de ella, como se muestra en la siguiente ilustracin:

Figura 9. reas Funcionales de Sistemas de Informacin y Telecomunicaciones.

SISTEMAS DE INFORMACIN
Y TELECOMUNICACIONES

Administracin de

Bases de Datos y Servidores Administracin y


Desarrollo de Sitios Web
Soporte y Desarrollo de Software

Gestin y Soporte de

Cableado Estructurado

Fuente: El autor.

DESCRIPCIN DE CARGOS Y FUNCIONES

La oficina de Sistemas de Informacin y Telemtica est actualmente liderada y


dirigida por un ingeniero de sistemas con el cargo de lder del proceso de
desarrollo tecnolgico. Las reas y funciones principalesde cada una estn
descritas a continuacin:

78
Tabla 16. reas y funciones principales de la oficina de Sistemas y Telecomunicaciones.

REA FUNCIONES PRINCIPALES

ADMINISTRACIN DE Administrar, instalar, configurar, monitorear y garantizar el correcto


BASES DE DATOS Y funcionamiento de las bases de datos y servidores que soportan el software
SERVIDORES acadmico y administrativo, as como velar por la seguridad y rendimiento de
cada uno de ellos, garantizando la confidencialidad, integridad y
disponibilidad de los servicios.

SOPORTE Y DESARROLLO Brindar soporte a las diferentes dependencias de la institucin en cuanto a la


DE SOFTWARE instalacin, configuracin y mantenimiento del software acadmico y
administrativo. Desarrollar software a la medida de las necesidades
institucionales, as como adaptar funcionalidades y requisitos del software
adquirido segn se requiera.

GESTIN Y SOPORTE DE Administrar, configurar, monitorear el cableado estructurado de la institucin,


CABLEADO as como la instalacin y configuracin de los dispositivos de redes (routers,
ESTRUCTURADO switches, hubs, access points, etc.) necesarios para brindar una ptima
calidad en el servicio de la transmisin de datos y mantener su seguridad y
disponibilidad.

ADMINISTRACIN Y Administrar la informacin subida en el portal web institucional, as como


DESARROLLO DE SITIOS desarrollar temas y estilos que permitan el acceso y correcta visualizacin de
WEB la misma en los diferentes dispositivos.

Fuente: El Autor.

Las siguientes reas o dependencias a pesar de no pertenecer exclusivamente a


la oficina de Sistemas de Informacin y Telemtica, estn estrechamente
relacionadas y trabajan en conjunto, dando soporte a otros servicios institucionales
que son fundamentales en el logro de los objetivos.

79
Tabla 17. reas y funciones de apoyo a la oficina de Sistemas y Telecomunicaciones.

REA FUNCIONES PRINCIPALES

ADMINISTRACIN DE Administrar el software acadmico relativo al proceso de inscripcin, horarios


SOFTWARE ACADMICO de clase, matrculas y registro de notas.
(OFICINA DE REGISTRO Y
ADMISIONES)

ADMINISTRACIN DE Administrar, instalar, configurar y dar soporte a estudiantes y docentes en el


CMS/LMS MOODLE software que apoya los procesos de enseanza-aprendizaje en plataformas
(OFICINA DE G-RED) virtuales de aprendizaje, as como administrar el sistema operativo donde se
ejecuta.

Fuente: El Autor.

TECNOLOGA

La Universidad de Crdoba posee una infraestructura tecnolgica desarrollada


para soportar toda su estructura acadmica y administrativa, tanto en la sede
principal en Montera como en las subsedes de los municipios de Berstegui,
Lorica, Sahagn, Planeta Rica, Montelbano y Moitos, entre otros convenios.

Posee un cableado estructurado que abarca a todas las dependencias y oficinas


universitarias, as como la cobertura de datos inalmbrica. Su modelo de conexin
bsicamente es un modelo Cliente-Servidor. Posee varios servidores donde se
ejecutan los servicios y almacenamiento de la informacin.

SISTEMAS DE INFORMACIN

La Universidad de Crdoba cuenta con varios sistemas de informacin de tipo


acadmico, administrativo, financiero, entre otros; desarrollados por terceros y
propios. Dentro de ellos se encuentran:

80
POWERCAMPUS: Software de tipo acadmico para el manejo de
inscripciones, matrculas y notas.

ACADEMUSOFT: Software de tipo acadmico para el manejo de


inscripciones, matrculas y notas.

SAPA: Sistemas de Auditora del Proceso de Acreditacin.

SIGEC: Software desarrollado para el Sistema de Gestin Documental.

SEVEN-ERP: Software para el planeamiento todos los recursos y procesos.

KACTUS-HR: Software para la administracin de la nmina y


gerenciamiento del talento humano.

MOODLE: CMS/LMS78que permite la administracin y gestin de cursos


virtuales para la educacin a distancia y/o presencial.

AVES: Software para el desarrollo de Ambientes Virtuales de Aprendizaje.

E-GROUPWARE: Software para el correo interno de los funcionarios


administrativos y cada una de las dependencias.

GOOGLE APPS FOR EDUCATION: Software para el correo de los


funcionarios administrativos, docentes y estudiantes.

OPEN JOURNAL SYSTEMS: Software para la gestin de revistas digitales.

SERVICIOS QUE PRESTA A LA ORGANIZACIN

Dentro de las funciones, procesos y servicios que presta la oficina de Sistemas de


Informacin y Telecomunicaciones a la Universidad de Crdoba se encuentran79:

78
CMS/LMS (Course Managment Systems/Learning Managment Systems). Sistemas Gestores de
Cursos/Sistemas Gestores de Aprendizaje.

81
Establecer el punto de equilibrio entre el uso de los Recursos TIC
(Tecnologas de la Informacin y Comunicacin) y el beneficio que
introducen hacia todos los sectores de la Institucin, mediante la propuesta
y operatividad de Polticas, Estrategias, Normativas y Lineamientos que
permitan la regulacin y optimizacin en el Uso y Adquisicin de Soluciones
TIC para la comunidad universitaria.

Apoyar y facilitar las labores fundamentales de la Universidad: Docencia,


Investigacin, Extensin y Gestin administrativa, favoreciendo el uso de
las herramientas TIC basadas en una Infraestructura Tecnolgica
actualizada que brinde soporte para la educacin presencial y a distancia.

Proveer la infraestructura tecnolgica para el funcionamiento de Internet,


redes cableadas e inalmbricas.

Apoyar las funciones administrativas al proveer soluciones integradas de


Sistemas de Informacin relativos al Control de Gestin, que agilicen los
procesos de toma de decisiones institucionales a favor de la equidad y la
optimizacin de los recursos, facilitando los procesos internos y de relacin
con el entorno con la utilizacin de soluciones Tecnolgicas Corporativas
que aseguren la confiabilidad de la informacin universitaria.

Mantener la vanguardia en nuevas tecnologas y la funcionalidad ptima de


las herramientas TIC, utilizadas en la institucin evaluando las tendencias
del mercado, su pertinencia en el contexto y facilitando las propuestas de
actualizacin y/o desarrollo de soluciones de TIC que se adecuen a los
requerimientos presentes y futuros de la Institucin.

79
Tomado de Funciones Sistemas de Informacin y Telemtica (URL:
http://web.www3.unicordoba.edu.co/es/25/05/2010/funciones-sistemas-de-informaci%C3%B3n-y-
telem%C3%A1tica.html).

82
Optimizar los recursos asignados para la implementacin de soluciones de
TIC que satisfagan las necesidades y requerimientos de la comunidad
universitaria y que brinden una mayor relacin coste/beneficio.

83
PROCESOS INTERNOS

Algunos de los procesos internos que realiza la oficina de Sistemas de Informacin


y Telecomunicaciones se describen a continuacin80:

INSTALACIN Y CONFIGURACIN INICIAL DE LA RED

Objetivo: Instalar los nuevos dispositivos de manera adecuada, asegurando su


garanta y buen comportamiento.

Figura 10. Flujograma del Proceso Interno, Instalacin y Configuracin Inicial de la Red.

Fuente: (UNIVERSIDAD DE CRDOBA, 2010).

80
Procesos Internos tomados delSistema de Gestin Documental, SIGEC(UNIVERSIDAD DE
CRDOBA. Sistema de Gestin Documental. En lnea. 2010. Disponible en Universidad de
Crdoba:
(http://docsigec.www3.unicordoba.edu.co/index.php?modulo=Consulta&accion=verDocumentos&si
stema=1&proceso=11&tipoDocumento=4)).

84
MANTENIMIENTO CORRECTIVO DE EQUIPOS ACTIVOS DE RED

Objetivo: Responder prudente y eficazmente a las fallas de los equipos activos o


ajustes a la configuracin de los mismos, teniendo como fin mantener disponible la
red el mayor tiempo posible, responder ante el crecimiento, realidad y necesidades
de los usuarios.

Figura 11. Flujograma del Proceso Interno, Mantenimiento Correctivo de Equipos Activos de Red.

Fuente: (UNIVERSIDAD DE CRDOBA, 2010).

85
MANTENIMIENTO CORRECTIVO DE SOFTWARE

Objetivo: Aplicar soluciones a los requerimientos originados en las diferentes


dependencias por fallas de software, con el fin de estabilizar su funcionamiento,
con un nivel de atencin eficiente.

Figura 12. Flujograma del Proceso Interno, Mantenimiento Correctivo del Software.

Fuente: (UNIVERSIDAD DE CRDOBA, 2010).

86
MANTENIMIENTO DE SITIOS WEB

Objetivo: Ofrecer el servicio de mantenimiento y/o actualizacin de los sitios Web


de informacin de carcter institucional.

Figura 13. Flujograma del Proceso Interno, Mantenimiento de Sitios Web.

Fuente: (UNIVERSIDAD DE CRDOBA, 2010).

87
OPTIMIZACIN O CREACIN DE NUEVOS EQUIPOS DE RED

Objetivo: Garantizar el mejoramiento continuo de los servicios de red, prestando


un servicio de calidad para soportar las diferentes plataformas informticas
necesarias para la comunidad Universitaria.

Figura 14. Flujograma del Proceso Interno, Optimizacin o Creacin de un Equipo en la Red.

Fuente:(UNIVERSIDAD DE CRDOBA, 2010).

88
5. MATERIALES Y MTODOS

5.1. MATERIALES

Para la realizacin de este proyecto es necesario realizar entrevistas con el lder


del proceso de desarrollo tecnolgico y funcionarios de la oficina de Sistemas y
Telecomunicaciones de la Universidad de Crdoba, horas de asesora con un
Especialista en Seguridad de la Informacin y Especialista en Auditora de
Sistemas, as como tener acceso los siguientes recursos y materiales:

Documentacin correspondiente a la Seguridad Informtica y Sistemas de


Gestin de Seguridad de la Informacin.

Documentacin correspondiente de los estndares de la familia ISO/IEC


27000 (Seguridad de la Informacin)

ISO/IEC 27000:2013 (Tecnologa de la Informacin-Tcnicas de


Seguridad-Sistemas de Gestin de la Seguridad de la Informacin-
Generalidades y Vocabulario).

ISO/IEC 27001:2013 (Tecnologa de la Informacin-Tcnicas de


Seguridad-Sistemas de Gestin de la Seguridad de la Informacin-
Requerimientos).

ISO/IEC 27002:2013 (Tecnologa de la Informacin-Cdigo de


Prctica para los Controles de Seguridad de la Informacin).

NTC-ISO/IEC 27001:2013 (Norma Tcnica Colombiana


(ICONTEC)-Tecnologa de la Informacin-Tcnicas de Seguridad-
Sistemas de Gestin de la Seguridad de la Informacin-
Requerimientos).

89
Documentacin correspondiente a las metodologas de anlisis y
evaluacin de riesgos.

Documentacin correspondiente a los Gobiernos de Tecnologa Informtica.

Tabla 18. Materiales y Recursos utilizados en el proyecto.

MATERIAL/RECURSO DESCRIPCIN COSTO UNITARIO


81
(COP)

ISO/IEC 27000:2013 Estndar ISO (Archivo en PDF) $329.749,62

ISO/IEC 27001:2013 Estndar ISO (Archivo en PDF) $281.959,82

ISO/IEC 27002:2013 Estndar ISO (Archivo en PDF) $425.329,22

NTC-ISO/IEC 27001:2013 Estndar ISO (Archivo en PDF) $39.200

Asesora Especialista en Seguridad 2 horas/semana $0


82
Informtica

Asesora Especialista en Auditora en 2 horas $300.000


Sistemas

1 Computadora Personal Almacenamiento y Procesamiento de $1.500.000


Informacin

TOTAL $ 2.876.238,66

Fuente: El Autor.

81
Precios convertidos de Dlares Americanos (USD) a Pesos Colombianos (COP) segn la Tasa
Representativa del Mercado (T.R.M) del Banco de la Repblica del da jueves, 14 de Mayo de
2015, cuyo valor es de $2.389,49. En http://www.banrep.gov.co/es/trm.
82
Asesor asignado por la Universidad Nacional Abierta y a Distancia.

90
5.2. METODOLOGA

Para lograr los objetivos propuestos y generar la documentacin respectiva, es


necesario realizar las actividades expuestas en el estndar ISO/IEC 27001:2013
relativas a la fase de diseo o planeacin del Sistema de Gestin de Seguridad
de la Informacin; las cuales se detallan a continuacin:

5.2.1. Obtener el soporte de la Direccin. Organizar una reunin con el jefe


lder del proceso de desarrollo tecnolgico de la Universidad de Crdoba para
plantear el proyecto de investigacin que se pretende, cules son los objetivos y
cules son los beneficios de un Sistema de Gestin de la Seguridad de la
Organizacin en base al estndar ISO/IEC 27001:2013 para la oficina de Sistemas
y Telecomunicaciones de la Universidad de Crdoba y as obtener su aprobacin y
soporte durante todo el proceso.

Este proceso debe generar el documento requerido por el estndar ISO/IEC


27001:2013 de Soporte y Aprobacin por la Direccin.

5.2.2. Definir el Alcance. Determinar el departamento, servicios y procesos sobre


los cules aplicar el Sistema de Gestin de la Seguridad de la Informacin.

Este proceso debe generar el documento requerido por el estndar ISO/IEC


27001:2013 de Alcance del Sistema de Gestin de la Seguridad de la
Informacin.

5.2.3. Realizar el Anlisis Diferencial. Realizar el Anlisis Diferencial de los


Dominios, Objetivos de Control y Controles de Seguridad (ISO/IEC 27002:2013)
de acuerdo al Anexo A del estndar ISO 27001:2013, con el fin de detectar qu
deficiencias presenta la oficina de Sistemas y Telecomunicaciones de la
Universidad de Crdoba y comparar las condiciones iniciales referentes a la
seguridad de la informacin con el fin de determinar el nivel de cumplimiento y
conformidad relativo al estndar ISO/IEC 27001:2013.

91
Se emplea un documento de hoja de clculo que contenga cada uno de los
Dominios, Objetivos de Control y Controles de Seguridad del estndar ISO/IEC
27002:2013 adems de los puntos mnimos requeridos por la norma ISO/IEC
27001:2013. Se genera grficos para cada uno de los dominios relevando el
porcentaje de conformidad.

Este proceso debe generar el nivel de cumplimiento actual de los numerales


requeridos del estndar ISO/IEC 27001:2013 as como el de los Dominios,
Objetivos de Control y Controles de Seguridad del estndar ISO/IEC
27002:2013.

5.2.4. Definir la Poltica de Seguridad. Determinar los objetivos primordiales


relativos a la seguridad de la informacin y en base a las necesidades de la
institucin, estableciendo los lineamientos generales conformes a garantizar la
confidencialidad, integridad y disponibilidad de la informacin.

Este proceso debe generar el documento requerido por el estndar ISO/IEC


27001:2013 de Polticas de Seguridad de la Informacin y ser informado
formalmente a los empleados para su conocimiento y aplicabilidad.

5.2.5. Identificar los Activos de Informacin. Realizar el levantamiento de los


activos de informacin que sern abarcados por el Sistema de Gestin de la
Seguridad de la Informacin identificando los responsables, la clasificacin
(hardware, software, infraestructura, servicios, aplicaciones, etc.) y su valoracin
de acuerdo a su impacto y relevancia, con el fin de efectuar el Anlisis de
Riesgos en base a ellos.

Este proceso debe generar el documento requerido por el estndar ISO/IEC


27001:2013 de Inventario de Activos de Informacin.

5.2.6. Definir la Metodologa de Anlisis y Evaluacin de Riesgos. Definir la


Metodologa de Evaluacin de Riesgos y realizar el Anlisis de Riesgos de los

92
activos de informacin inventariados e identificar las vulnerabilidades y amenazas
para as determinar el impacto de cada uno de ellos con el fin de establecer el
nivel de riesgo existente. A su vez, se deben definir los criterios para aceptar los
riesgos y establecer los controles de seguridad en base a los recursos disponibles.

Este proceso debe genera el documento requerido por el estndar ISO/IEC


27001:2013 de Metodologa de Anlisis y Evaluacin de Riesgos y el Reporte
de Evaluacin de Riesgos.

5.2.7. Tratamiento de Riesgos. Definir la forma en cmo se tratarn los riesgos


(mitigarlos, asumirlos, transferirlos a terceros o eliminarlos) de acuerdo a los
criterios seleccionados y justificar las razones de la implementacin o no de los
controles de seguridad en cada uno de los objetivos de control.

Este proceso debe generar los documentos requeridos por el estndar ISO/IEC
27001:2013 de Declaracin de Aplicabilidad y Plan de Tratamiento de
Riesgos.

5.2.8. Definir el Plan de Continuidad del Negocio. Realizar una encuesta a los
empleados relativa a la seguridad de la informacin, su puesto de trabajo y rea,
con el fin de determinar los servicios crticos que afectan la institucin.

Este proceso debe generar el documento de Plan de Continuidad del Negocio.

5.2.9. Definir el Gobierno de Tecnologa Informtica. Seleccionar y definir un


modelo de Gobierno de Tecnologa Informtica que ayude al cumplimiento de los
procesos y objetivos estratgicos institucionales.

Este proceso debe generar un documento que plasme el modelo de Gobierno de


Tecnologa Informtica justificando su seleccin.

93
6. DESARROLLO DEL PROYECTO

6.1. SOPORTE DE LA DIRECCIN

OFICINA DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDAD DE CRDOBA

PROPUESTA PARA EL DISEO DE UN SISTEMA DE GESTIN DE LA


SEGURIDAD DE LA INFORMACIN MEDIANTE LA APLICACIN DEL
ESTNDAR ISO/IEC 27001:2013

Cdigo del Documento [Definir cdigo del Sistema de Gestin Documental]

Versin 1.0

Fecha de Versin 2015-05-19

Creado por Andrs F. Doria Corcho

Aprobado por [Jefa de Oficina de Sistemas y Telecomunicaciones]

Nivel de Confidencialidad Alto

94
HISTORIAL DE CAMBIOS

FECHA VERSIN CREADO POR DESCRIPCIN DEL CAMBIO

2015-05-19 1.0 Andrs F. Doria Corcho Versin inicial

1. PROPSITO

El propsito de este documento es establecer una propuesta para el Diseo de un


Sistema de Gestin de la Seguridad de la Informacin mediante la aplicacin del
estndar ISO/IEC 27001:2013.

2. RAZONES

Las razones principales de esta propuesta mediante el estndar ISO/IEC


27001:2013 son:

Establecer un punto de partida para la implementacin de un Sistema de


Gestin de la Seguridad de la Informacin que garantice la confidencialidad,
integridad y disponibilidad de la informacin, asumiendo niveles de riesgos
aceptables.

Comprender la importancia y beneficios que ofrece un Sistema de Gestin


de la Seguridad de la Informacin en la optimizacin de los procesos
institucionales.

Cumplir con las leyes y regulaciones a las cuales est sujeta la institucin.

95
3. OBJETIVOS DEL PROYECTO

Los objetivos principales del proyecto son:

Disear o planear un Sistema de Gestin de la Seguridad de la Informacin


mediante el estndar ISO/IEC 27001:2013.

Realizar una clasificacin de los activos informticos y establecer sus


niveles de riesgos de acuerdo a una metodologa de anlisis y evaluacin
de riesgos sistemtica.

Elaborar un Plan de Tratamiento de Riesgos donde se definan los controles


de seguridad a implementar.

Identificar los procesos y servicios crticos en la institucin y elaborar un


Plan de Continuidad del Negocio para eventos de emergencia.

4. DURACIN Y ESTRUCTURA DEL PROYECTO

El diseo del proyecto solamente corresponde a la fase de planeacin del


Sistema de Gestin de la Seguridad de la Informacin. No se implementan
controles de seguridad, ni se elabora la documentacin respectiva de las fases
subsiguientes. Dentro de esta fase de planeacin se desarrollan las siguientes
actividades:

96
N ACTIVIDAD FECHA INICIO FECHA FINAL

1 Anlisis Diferencial 2015-04-16 2015-04-30

2 Polticas de Seguridad de la Informacin 2015-05-01 2015-05-04

3 Anlisis y Evaluacin de Riesgos 2015-05-05 2015-05-20

4 Seleccin de Controles de Seguridad 2015-05-21 2015-05-24

5 Declaracin de Aplicabilidad 2015-05-25 2015-05-25

6 Plan de Tratamiento de Riesgos 2015-05-26 2015-05-27

7 Plan de Continuidad del Negocio 2015-05-28 2015-05-30

5. RESPONSABILIDADES

Este proyecto ser liderado por el Jefe de la Oficina de Sistemas y


Telecomunicaciones y Lder del Desarrollo del Proceso Tecnolgico, el Lder para
la planeacin del Sistema de Gestin de la Seguridad de la Informacin y los
funcionarios miembros del rea.

6. RECURSOS

Los recursos incluidos para la planeacin del Sistema de Gestin de la Seguridad


de la Informacin estn catalogados en Humanos y Tcnicos.

Humanos: Funcionarios de la oficina de Sistemas y Telecomunicaciones.

Tcnicos: Herramientas de ofimtica (procesador de texto, hojas de


clculo).

97
Otros: Documentos del estndar ISO/IEC 27001:2013, ISO/IEC
27002:2013 y documentacin correspondiente a las metodologas de
anlisis y evaluacin de riesgos.

7. ENTREGABLES

Para esta fase de planeacin del Sistema de Gestin de la Seguridad de la


Informacin, los documentos entregables sern los siguientes:

Definicin del alcance del Sistema de Gestin de la Seguridad de la


Informacin.

Polticas de la Seguridad de la Informacin.

Metodologa de Anlisis, Evaluacin y Tratamiento de Riesgos.

Declaracin de Aplicabilidad.

Plan de Tratamiento de Riesgos.

Plan de Continuidad del Negocio.

98
6.2. ALCANCE DEL SISTEMA DE GESTIN DE LA SEGURIDAD DE LA
INFORMACIN

OFICINA DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDAD DE CRDOBA

ALCANCE DEL SISTEMA DE GESTIN DE LA SEGURIDAD DE LA


INFORMACIN

Cdigo del Documento [Definir cdigo del Sistema de Gestin Documental]

Versin 1.0

Fecha de Versin 2015-05-19

Creado por Andrs F. Doria Corcho

Aprobado por [Jefa de Oficina de Sistemas y Telecomunicaciones]

Nivel de Confidencialidad Alto

99
HISTORIAL DE CAMBIOS

FECHA VERSIN CREADO POR DESCRIPCIN DEL CAMBIO

2015-05-19 1.0 Andrs F. Doria Corcho Versin inicial

1. PROPSITO, ALCANCE Y USUARIOS

El propsito de este documento es definir claramente el alcance y lmite de la


planeacin del Sistema de Gestin de la Seguridad de la Informacin en la oficina
de Sistemas y Telecomunicaciones de la Universidad de Crdoba.

Este documento es aplicable a toda la documentacin y actividades relativas a la


planeacin del SGSI en cuestin e involucra a todos los funcionarios de la oficina
de Sistemas y Telecomunicaciones y sus reas de apoyo (G-RED y oficina de
Registro y Admisiones), incluyendo al Lder del Proceso de Desarrollo Tecnolgico
y Lder de la planeacin del SGSI.

2. DOCUMENTOS DE REFERENCIA

Estndar ISO/IEC 27001:2013, clusula 4.3.

Lista de la documentacin legal, regulatoria y contractual (Ley 1273 de


2009 [Ley de Delitos Informticos en Colombia] y Decreto 2573 de 2014
[Estrategia de Gobierno en Lnea]).

3. DEFINICIN DEL ALCANCE DEL SGSI

La oficina de Sistemas y Telecomunicaciones de la Universidad de Crdoba


necesita establecer los lmites de la planeacin del SGSI con el fin de proteger sus
activos informticos que prestan el servicio a la institucin.

100
Con el fin de alcanzar este objetivo, se ha propuesto desarrollar la fase de
planeacin de un SGSI mediante el estndar ISO/IEC 27001:2013 teniendo en
cuenta las leyes y regulaciones que cobijan a la Universidad de Crdoba, como lo
es la Ley 1273 de 2009 (Ley de Delitos Informticos en Colombia) y el Decreto
2573 de 2014 (Estrategia de Gobierno en Lnea).

Esta fase de planeacin del SGSI comprender las siguientes reas:

Oficina de Sistemas y Telecomunicaciones: Comprende el personal


administrativo, sus activos informticos y toda la infraestructura que le
presta servicios de TI a la institucin.

Oficina de G-RED: Comprende el personal administrativo y los activos


informticos que se utilizan para llevar a cabos sus actividades diarias y el
servicio que le prestan a la institucin.

Oficina de Registro y Admisiones: Comprende solamente al personal de


soporte del software acadmico POWERCAMPUS.

101
6.3. ANLISIS DIFERENCIAL

La norma o estndar ISO/IEC 27001:2013 requiere el cumplimiento de ciertos


criterios para establecer, implementar, mantener y mejorar continuamente el
Sistema de Gestin de la Seguridad de la Informacin (SGSI) en el contexto de
una organizacin.

Para verificar el estado actual del cumplimiento del estndar ISO/IEC 27001:2013
de la oficina de Sistemas y Telecomunicaciones de la Universidad de Crdoba, se
realiza un Anlisis Diferencial de los numerales obligatorios 4 al 10 (Requisitos
de la Norma ISO/IEC 27001:2013) y del Anexo A (Dominios, Objetivos de Control
y Controles de Seguridad). Este anlisis permite comparar las condiciones
actuales con el fin de encontrar las deficiencias existentes y el nivel de
cumplimiento en base al estndar y desarrollar un plan de mejoramiento de
acuerdo a los objetivos de seguridad deseados.

6.3.1. Requisitos de la Norma ISO/IEC 27001:2013. Para que una organizacin


est conforme al estndar ISO/IEC 27001:2013, no se deben excluir ninguno de
los requisitos especificados en los numerales 4 al 10.

A continuacin se muestran los resultados del nivel de conformidad y


cumplimiento de estos requisitos.

102
Tabla 19. Requisito de la Norma ISO/IEC 27001:2013. Contexto de la Organizacin.

4 CONTEXTO DE LA
REQUISITO CUMPLE QU SE TIENE? RECOMENDACIONES A IMPLEMENTAR
ORGANIZACIN
Implementar un Gobierno de Tecnologa
Informtica que se ajuste a las necesidades
CONOCIMIENTO DE LA Se tiene el conocimiento de la organizacin, su
de la organizacin y que est acorde a los
4.1 ORGANIZACIN Y DE SI contexto, as como la comprensin de su misin,
objetivos estratgicos, capacidades,
SU CONTEXTO visin y objetivos estratgicos.
recursos, sistemas de informacin y
estructura organizacional.
Se tiene el conocimiento de las partes interesadas
Vincular a las unidades administrativas de
en la implementacin de un Sistema de Gestin de
ms alto nivel (Rectora, Vicerrectoras,
COMPRENSIN DE LAS la Seguridad de la Informacin (SGSI). La oficina
Unidad de Planeacin y Desarrollo,
NECESIDADES Y de Sistemas y Telecomunicaciones y todas las
4.2 SI Procesos Sistema Integral de Gestin de La
EXPECTATIVAS DE LAS unidades administrativas que dependen de su
Calidad) en la implementacin de un SGSI y
PARTES INTERESADAS correcto funcionamiento para ejercer el desarrollo
los beneficios que genera para la institucin
normal de sus procesos, as como los estudiantes
en general.
para realizar sus labores acadmicas.
El SGSI se disear para la oficina de Sistemas y
Telecomunicaciones de la Universidad de Crdoba
Comunicar a los empleados (directores, jefes
y las unidades de apoyo como lo son el Grupo G-
DETERMINACIN DEL y operarios de sistemas) la importancia de
RED (Gestin de Recursos Educativos Digitales)
ALCANCE DEL SISTEMA un SGSI en la institucin y establecer un
que se encarga de la implementacin,
4.3 DE GESTIN DE LA SI nivel de compromiso, liderazgo y
administracin y funcionamiento de las
SEGURIDAD DE LA concientizacin con las polticas de
plataformas virtuales de aprendizaje y el
INFORMACIN seguridad de la informacin que all sean
administrador principal del software acadmico-
contenidas.
administrativo perteneciente a la unidad de
Registro y Admisiones.
Disear y/o planear un SGSI que mediante
un proceso sistemtico y mejoramiento
continuo ayude a establecer los niveles de
SISTEMA DE GESTIN
riesgos aceptables de la institucin. La
4.4 DE SEGURIDAD DE LA NO Actualmente no se tiene implementado un SGSI.
recomendacin es el estndar internacional
INFORMACIN
ISO 27001:2013 aplicable a las
organizaciones de cualquier tamao y
actividad.

103
Tabla 20. Requisito de la Norma ISO/IEC 27001:2013. Liderazgo.

RECOMENDACIONES A
REQUISITO 5 LIDERAZGO CUMPLE QU SE TIENE?
IMPLEMENTAR
La jefa de la oficina de Sistemas y
Telecomunicaciones tiene conocimiento de la fase de
diseo del SGSI, apoya la investigacin e incluso da Establecer una comunicacin y
su aval para una futura implementacin y certificacin liderazgo efectivo a los funcionarios
LIDERAZGO Y en la norma, comprendiendo as su importancia y que hagan parte del Proceso de
5.1 SI
COMPROMISO beneficios que genera para la institucin. Es Gestin del Desarrollo Tecnolgico
importante resaltar que la Universidad est certificada (de acuerdo al alcance) sobre la
en NTCGP1000:2009 y al sistema Integral de Gestin importancia del SGSI.
de La Calidad pertenece El Proceso de Gestin del
Desarrollo Tecnolgico.
Ajustar las polticas generales y
Se tiene una poltica de seguridad de la informacin detalladas del SGSI que sean de
documentada que ha sido discutida por el comit de alcance para la institucin y que sean
5.2 POLTICA NO
gobierno en lnea, ms an no est aprobada por La pblicamente accesibles a todos los
Rectora. funcionarios para su conocimiento y
aplicacin.
ROLES,
Documentar los roles y
RESPONSABILIDADES. Y
5.3 SI Los roles y responsabilidades estn asignadas. responsabilidades en base a la
AUTORIDADES EN LA
seguridad de la informacin.
ORGANIZACIN

104
Tabla 21. Requisito de la Norma ISO/IEC 27001:2013. Planificacin.

REQUISITO 6 PLANIFICACIN CUMPLE QU SE TIENE? RECOMENDACIONES A IMPLEMENTAR


ACCIONES PARA
6.1 TRATAR RIESGOS Y - - -
OPORTUNIDADES
Existen todas las condiciones para disear el
SGSI. No existen riesgos a gran escala o
6.1.1 GENERALIDADES SI implicaciones legales que impidan esta fase No Aplica
as como que eviten su mejoramiento
continuo.
No existe una metodologa claramente
Analizar las distintas metodologas de evaluacin
definida que clasifique, analice, evale y
VALORACIN DE de riesgos, escoger la que mejor se adapte a las
gestione los riesgos de la seguridad de la
RIESGOS DE LA necesidades de la institucin y documentarla.
6.1.2 NO informacin. Se tienen clasificado pero los
SEGURIDAD DE LA Revisar los riesgos del Proceso de Gestin del
riesgos del Proceso de Gestin del
INFORMACIN Desarrollo Tecnolgico e incluir los riesgos que
Desarrollo Tecnolgico y hay incluidos uno
apliquen al SGSI.
que puede aplicar al SGSI.
TRATAMIENTO DE LOS Se tiene la matriz de riesgos del Proceso de Determinar los controles necesarios para mitigar
RIESGOS DE Gestin del Desarrollo Tecnolgico, debe los riesgos encontrados en el anlisis y
6.1.3 NO
SEGURIDAD DE LA complementarse con los riesgos de documentar el plan de tratamiento para cada uno
INFORMACIN seguridad de La Informacin. de ellos justificando su eleccin.
OBJETIVOS DE
Definir los objetivos de la seguridad de la
SEGURIDAD DE LA
No estn documentados los objetivos de la informacin y establecer la forma de alcanzarlos
6.2 INFORMACIN Y NO
seguridad de la informacin. comprometiendo a los empleados en su alcance
PLANES PARA
y logro.
LOGRARLO

105
Tabla 22. Requisito de la Norma ISO/IEC 27001:2013. Soporte.

REQUISITO 7 SOPORTE CUMPLE QU SE TIENE? RECOMENDACIONES A IMPLEMENTAR


Para un SGSI total, la institucin debe garantizar
Los recursos para esta fase de diseo y los recursos para la implementacin,
7.1 RECURSOS SI
planeacin estn asignados. mantenimiento y mejoramiento durante todas sus
fases contratando el personal calificado.
Se tiene la persona con el conocimiento
Contratar a personas certificadas en implementar
7.2 COMPETENCIA SI necesario relativo para la fase de diseo y
un SGSI con la norma ISO 27001:2013.
planeacin del SGSI.
Aunque existen acuerdos de confidencialidad Informar a los empleados de las diferentes
y los empleados emplean algunas tcnicas de unidades administrativas la importancia de la
TOMA DE
7.3 NO seguridad informtica, no existen las polticas seguridad de la informacin y los beneficios que
CONCIENCIA
de seguridad de la informacin a cumplir as genera para la institucin e incluso de forma
como los objetivos. personal.
Aunque existen los medios para la
Aprovechar los medios de comunicacin
comunicacin organizacional efectiva, an no
7.4 COMUNICACIN NO organizacional para distribuir informacin relevante
se realiza para efectos de la seguridad de la
a la seguridad.
informacin.
INFORMACIN
7.5 - - -
DOCUMENTADA
No se tiene la informacin documentada
Redactar y documentar toda la informacin
7.5.1 GENERALIDADES NO relevante a un SGSI y al estndar ISO
requerida por el estndar ISO 27001:2013.
27001:2013.
Actualizar los documentos del SGSI y del estndar
CREACIN Y No se actualizan los documentos del SGSI ya
7.5.2 NO ISO 27001:2013 cuando sea necesario incluyendo
ACTUALIZACIN que no hay uno implementado.
razones y autores.
Mantener un control de los documentos del SGSI
CONTROL DE LA
No existe un control de los documentos del preservando su confidencialidad, integridad,
7.5.3 INFORMACIN NO
SGSI ya que no hay uno implementado. disponibilidad y autenticidad, as como mantener el
DOCUMENTADA
control de cambios en las actualizaciones.

106
Tabla 23. Requisito de la Norma ISO/IEC 27001:2013. Operacin.

REQUISITO 8 OPERACIN CUMPLE QU SE TIENE? RECOMENDACIONES A IMPLEMENTAR


No se tiene implementado un control
PLANIFICACIN Y de los procesos necesarios para Establecer los procesos necesarios para planear,
8.1 NO
CONTROL OPERACIONAL alcanzar los objetivos de la seguridad implementar, mantener y mejorar el SGSI.
de la informacin.
No existe una valoracin de riesgos Establecer un esquema de clasificacin de riesgos
VALORACIN DE RIESGOS
informticos que permita determinar informticos que permita analizarlos y valorarlos para
8.2 DE SEGURIDAD DE LA NO
la criticidad o el nivel de riesgo determinar los controles a implementar con el fin de
INFORMACIN
aceptable. mitigarlos.
TRATAMIENTO DE LOS
No existe un plan para el tratamiento Documentar el plan de tratamiento de riesgos
8.3 RIESGOS DE SEGURIDAD NO
de riesgos. informticos.
DE LA INFORMACIN

Tabla 24. Requisito de la Norma ISO/IEC 27001:2013. Evaluacin del Desempeo.

9 EVALUACIN DEL
REQUISITO CUMPLE QU SE TIENE? RECOMENDACIONES A IMPLEMENTAR
DESEMPEO
No se tienen los mtodos definidos as
SEGUIMIENTO, Establecer los mtodos para realizar el seguimiento,
como tampoco los procesos y controles
9.1 MEDICIN, ANLISIS NO medicin, anlisis y evaluacin de los procesos y
de seguridad que deben ser medidos,
Y EVALUACIN controles de seguridad del SGSI.
analizados y evaluados.
No est definido un plan de auditoras
internas, as como tampoco los Planear, implementar y mantener un plan de auditora
9.2 AUDITORIA INTERNA NO formatos para llevarla a cabo en interna que permita medir el estado de la seguridad de la
relacin a la seguridad de la informacin en base al estndar ISO 27001:2013.
informacin.
Documentar y planear a intervalos regulares una revisin
No est documentado un plan de la
REVISIN POR LA al SGSI de forma general y a las polticas de seguridad
9.3 NO revisin del SGSI por parte de la
DIRECCIN de la informacin con el fin de implementar las acciones
direccin.
correctivas pertinentes.

107
Tabla 25. Requisito de la Norma ISO/IEC 27001:2013. Mejora.

REQUISITO 10 MEJORA CUMPLE QU SE TIENE? RECOMENDACIONES A IMPLEMENTAR


No est documentado la forma de Determinar y documentar las causas de las no
NO CONFORMIDADES Y
10.1 NO cmo tratar a las no conformidades con el SGSI e implementar acciones
ACCIONES CORRECTIVAS
conformidades con el SGSI. correctivas identificando la vulnerabilidad.
No se tiene el SGSI Proponer un sistema que permita mejorar continuamente
10.2 MEJORA CONTINUA NO
implementado. el SGSI mediante un proceso sistemtico.

108
De esta manera, el nivel de cumplimiento para cada uno de los requisitos mnimos
de la norma ISO/IEC 27001:2013 se resume de la siguiente manera:

Tabla 26. Nivel de Cumplimiento de los Requisitos de la Norma ISO/IEC 27001:2013.

NUMERAL/REQUISITO CUMPLE (%) NO CUMPLE (%)


4. CONTEXTO DE LA ORGANIZACIN 75 25
5. LIDERAZGO 67 33
6. PLANIFICACIN 25 75
7. SOPORTE 29 71
8. OPERACIN 0 100
9. EVALUACIN DEL DESEMPEO 0 100
10. MEJORA 0 100
Fuente: El Autor.

Y el nivel de cumplimiento general que se tiene actualmente referente a estos


requisitos mnimos es el siguiente:

Grfica 1. Nivel de Cumplimiento de los Requisitos Mnimos de la Norma ISO/IEC 27001:2013.

Fuente: El Autor.

109
Mediante este Anlisis Diferencial es posible determinar que la oficina de Sistemas
y Telecomunicaciones de la Universidad de Crdoba comprende la importancia y
beneficios de un SGSIy posee el liderazgo necesario para realizarlo; sin embargo
an no se ha establecido formalmente una metodologa de anlisis y evaluacin
de riesgos informticos y su tratamiento, as como tampoco ningn documento
requerido por el estndar ISO/IEC 27001:2013. Por otra parte, se comprende la
necesidad de alinear el SGSI con el proceso de desarrollo tecnolgico llevado a
cabo en la institucin.

6.3.2. Dominios, Objetivos de Control y Controles de Seguridad. Se realiza a


su vez un Anlisis Diferencial referente al Anexo A del estndar ISO/IEC
27001:2013 con el fin de determinar el nivel de cumplimiento de los Dominios,
Objetivos de Control y Controles de Seguridad conformes al estndar ISO/IEC
27002:2013. Estos corresponden a los numerales 5 al 18.

Tabla 27. Anexo A de la Norma ISO/IEC 27001:2013. Polticas de la Seguridad de la Informacin.

A.5 POLTICAS DE LA SEGURIDAD DE LA INFORMACIN

A.5.1 Orientacin de la direccin para la gestin de la seguridad de la informacin

Objetivo: Brindar orientacin y soporte por parte de la direccin, para la seguridad de la informacin de
acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes.

APLICA
SI NO
Las polticas de la seguridad de la
informacin proveen un direccionamiento
Control: Se debe definir un estratgico acorde a los requerimientos
conjunto de polticas para la de la organizacin y cumplimiento con
Polticas para la seguridad de la informacin, leyes y regulaciones. Esta
A.5.1.1 seguridad de la aprobada por la direccin, documentacin es de carcter obligatorio
informacin publicada y comunicada a los en la norma ISO 27001:2013.
empleados y a las partes IMPLEMENTA
externas pertinentes. SI NO

No se tiene implementado un SGSI ni


existe un documento que contemple las
polticas de seguridad de la informacin.

A.5.1.2 Revisin de las polticas Control: Las polticas para la APLICA

110
para la seguridad de la seguridad de la informacin se SI NO
informacin deben revisar a intervalos
planificados, o si ocurren Las polticas de la seguridad de la
informacin deberan ser evaluadas con
cambios significativos, para
el fin de responder a los cambios de la
asegurar su conveniencia,
organizacin.
adecuacin y eficacia
continua. IMPLEMENTA
SI NO

No existe una revisin de las polticas de


seguridad de la informacin ya que
actualmente no se tiene el documento
relacionado (ver A.5.1.1).

Tabla 28. Anexo A de la Norma ISO/IEC 27001:2013. Organizacin de la Seguridad de la Informacin.

A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

A.6.1 Organizacin Interna

Objetivo: Establecer un marco de referencia de gestin para iniciar y controlar la implementacin y la


operacin de la seguridad de la informacin dentro de la organizacin.

APLICA
SI NO
Los roles y responsabilidades son
vitales para la proteccin de los activos
informticos individuales, as como los
procesos especficos para la seguridad
Roles y Control: Se deben definir y de la informacin. Esta documentacin
responsabilidades asignar todas las es de carcter obligatorio en la norma
A.6.1.1
para la seguridad de responsabilidades de la seguridad ISO 27001:2013.
la informacin de la informacin. IMPLEMENTA
SI NO
Los roles y responsabilidades relativas a
la seguridad de la informacin an no
estn definidas, debido a que no se
tiene implementado un SGSI.

APLICA
SI NO
Control: Los deberes y reas de
Ningn empleado debera tener acceso
responsabilidad en conflicto se
a modificar los activos informticos sin
deben separar para reducir las
Separacin de autorizacin previa.
A.6.1.2 posibilidades de modificacin no
deberes
autorizada o no intencional, o el IMPLEMENTA
uso indebido de los activos de la
organizacin. SI NO
El personal est separado por reas y
se les otorga acceso slo a los activos
y/o informacin estrictamente necesaria

111
para la realizacin de su trabajo.

APLICA
SI NO

Deberan existir procedimientos para


contactar a las autoridades pertinentes y
reportar las incidencias relativas a la
Control: Se deben mantener seguridad de la informacin.
Contacto con las
A.6.1.3 contactos apropiados con las
autoridades
autoridades pertinentes. IMPLEMENTA
SI NO

Las incidencias relativas a la seguridad


de la informacin son resueltas
internamente.

APLICA
SI NO
Los grupos de inters especial mejoran
el conocimiento y las prcticas relativas
a la seguridad de la informacin, as
Control: Se deben mantener como las actualizaciones de los equipos
contactos apropiados con grupos y/o dispositivos.
Contacto con grupos
A.6.1.4 de inters especial u otros foros y
de inters especial IMPLEMENTA
asociaciones profesionales
especializadas en seguridad. SI NO
Se mantienen contactos con
autoridades nacionales para los
incidentes de seguridad para informes
en tiempo real y soluciones a
implementar.

APLICA
SI NO
Una metodologa de anlisis de riesgos
debera ser parte del proceso de
Control: La seguridad de la implementacin de un proyecto de TI
Seguridad de la informacin se debe tratar en la con el fin de direccionarlos y
A.6.1.5 informacin en la gestin de proyectos, controlarlos.
gestin de proyectos independientemente del tipo de IMPLEMENTA
proyectos. SI NO

Los riesgos asociados a la seguridad de


la informacin no son contemplados
desde los inicios de los proyectos de TI.

A.6.2 Dispositivos mviles y teletrabajo


Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos mviles.

112
APLICA
SI NO

Los dispositivos mviles son un riesgo


Control: Se debe adoptar una potencial para la seguridad de la
poltica y unas medidas de informacin.
Polticas para
A.6.2.1 seguridad de soporte, para
dispositivos mviles IMPLEMENTA
gestionar los riesgos introducidos
por el uso de dispositivos mviles. SI NO

No existe una poltica de seguridad para


los dispositivos mviles.

APLICA
SI NO

Control: Se debe implementar una El teletrabajo debera tener una poltica


poltica y unas medidas de de seguridad sobre las condiciones y
seguridad de soporte, para restricciones.
A.6.2.2 Teletrabajo proteger la informacin a la que se
tiene acceso, que es procesada o IMPLEMENTA
almacenada en los lugares en los SI NO
que se realiza teletrabajo.
Aunque se permite el acceso a algunos
dispositivos de forma remota, no se
implementa el teletrabajo.

Tabla 29. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de los Recursos Humanos.

A.7 SEGURIDAD DE LOS RECURSOS HUMANOS

A.7.1 Antes de asumir el empleo

Objetivo: Asegurar que los empleados y contratistas comprenden las responsabilidades y son idneos en los
roles para que los consideran.

APLICA
Control: Las verificaciones de los
SI NO
antecedentes de todos los candidatos
a un empleo se deben llevar a cabo Aparte de las competencias
de acuerdo con las leyes, tcnicas, el personal contratado
reglamentaciones y tica pertinentes, debera ser ticamente correcto y
A.7.1.1 Seleccin
y deben ser proporcionales a los confiable especialmente si accede
requisitos de negocio, a la a informacin sensitiva de la
clasificacin de la informacin a que organizacin.
se va a tener acceso, y a los riesgos
IMPLEMENTA
percibidos.
SI NO

113
El personal es seleccionado
cuidadosamente en base a su perfil
y la idoneidad del trabajo a realizar.

APLICA
SI NO
Los acuerdos contractuales de los
empleados deberan tener
clusulas relativas a la
Control: Los acuerdos contractuales confidencialidad de la informacin y
Trminos y con empleados y contratistas deben respecto a las leyes y derechos de
A.7.1.2 condiciones del establecer sus responsabilidades y propiedad intelectual.
empleo las de la organizacin en cuanto a la
IMPLEMENTA
seguridad de la informacin.
SI NO
Los acuerdos contractuales
actualmente incluyen las
responsabilidades asignadas
relativas a la seguridad de la
informacin.

A.7.2 Durante la ejecucin del empleo

Objetivo: Asegurarse de los empleados y contratistas tomen conciencia de sus responsabilidades de


seguridad de la informacin y las cumplan.

APLICA
SI NO
La direccin asegura que los roles
y responsabilidades estn
claramente definidos antes de
brindar acceso confidencial, as
Control: La direccin debe exigir a como los empleados estn
todos los empleados y contratistas la comprometidos con las polticas de
Responsabilidades de aplicacin de la seguridad de la seguridad de la informacin. Esta
A.7.2.1 documentacin es de carcter
la direccin informacin de acuerdo a las polticas
y procedimientos establecidos por la obligatorio en la norma ISO
organizacin. 27001:2013.
IMPLEMENTA
SI NO

No se tiene implementado un SGSI


y no existen polticas de la
seguridad de la informacin.

Control: Todos los empleados de la APLICA


organizacin, y en donde sea SI NO
Toma de conciencia, pertinente, los contratistas, deben Mediante un programa de
educacin y formacin recibir la educacin y la formacin en entrenamiento relativo a la
A.7.2.2
en la seguridad de la toma de conciencia apropiada, seguridad de la informacin, los
informacin actualizaciones regulares sobre las empleados son conscientes de su
polticas y procedimientos de la importancia y cmo pueden cumplir
organizacin pertinentes a su cargo. con las polticas del SGSI.

114
IMPLEMENTA
SI NO
No se tiene implementado un SGSI
ni un plan de concientizacin formal
relativo a la seguridad de la
informacin.

APLICA
SI NO
Los procesos disciplinarios son
analizados en base al grado de
responsabilidad del empleado y el
Control: Se debe contar con un impacto que tiene en la
proceso formal, el cual debe ser organizacin.
comunicado, para emprender IMPLEMENTA
A.7.2.3 Proceso disciplinario
acciones contra empleados que SI NO
hayan cometido una violacin a la
Aunque no se tiene implementado
seguridad de la informacin.
un SGSI y no se tiene plan de
concientizacin relativo a la
seguridad de la informacin, el
empleado est sujeto a un proceso
disciplinario en caso de haber una
incidencia.

A.7.3 Terminacin y cambio de empleo

Objetivo: Proteger los intereses de la organizacin como parte del proceso de cambio o terminacin de
empleo.

APLICA
SI NO
Los acuerdos contractuales
deberan plasmar el compromiso
Control: Las responsabilidades y los relativo a la confidencialidad de la
deberes de seguridad de la informacin an despus de la
Terminacin o cambio informacin que permanecen vlidos terminacin o cambio de empleo.
A.7.3.1 de responsabilidades despus de la terminacin o cambio
IMPLEMENTA
de empleo de empleo se deben definir,
comunicar al empleado o contratista y SI NO
se deben hacer cumplir. Al terminar o cambiar de empleo no
se notifica a al empleado sobre la
validez de sus responsabilidades y
deberes relativos a la seguridad de
la informacin.

Tabla 30. Anexo A de la Norma ISO/IEC 27001:2013. Gestin de Activos.

A.8 GESTIN DE ACTIVOS

A.8.1 Responsabilidad por los activos

115
Objetivo: Identificar los activos organizacionales y definir las responsabilidades apropiadas.

APLICA
SI NO
El inventario y clasificacin de activos
permite identificar la importancia de
cada uno de ellos y su impacto en la
Control: Se deben identificar los activos organizacin. Esta documentacin es
asociados con informacin e de carcter obligatorio en la norma ISO
Inventario de
A.8.1.1 instalaciones de procesamiento de 27001:2013.
activos
informacin, y se deben elaborar y
mantener un inventario de estos activos. IMPLEMENTA
SI NO

Actualmente no existe un documento


que clasifique la criticidad de la
informacin y de los activos.

APLICA
SI NO
Los propietarios son responsables del
uso de los activos informticos durante
todo su ciclo de vida. Esta
documentacin es de carcter
Propiedad de Control: Los activos mantenidos en el obligatorio en la norma ISO
A.8.1.2 27001:2013.
los activos inventario deben tener un propietario.
IMPLEMENTA
SI NO

No se especifican los propietarios de


los activos informticos inventariados.

APLICA
SI NO

Los empleados o contratistas son


Control: Se deben identificar, responsables del uso que le dan a los
documentar e implementar reglas para activos informticos de la organizacin.
Uso aceptable el uso aceptable de informacin y de
A.8.1.3
de los activos activos asociados con informacin e IMPLEMENTA
instalaciones de procesamiento de SI NO
informacin.

No se especifican las reglas para el uso


aceptable de los activos.

Control: Todos los empleados y APLICA


Devolucin de usuarios de las partes externas deben SI NO
A.8.1.4
activos devolver todos los activos de la
organizacin que se encuentren a su La devolucin de activos debe ser

116
cargo, al terminar su empleo, contrato o formalizada y la informacin
acuerdo. almacenada en dispositivos personales
transferida a la organizacin.
IMPLEMENTA
SI NO
Se mantienen registros de la
devolucin de los activos entregados a
los empleados. Necesarios para firmar
paz y salvo con la organizacin.

A.8.2 Clasificacin de la informacin

Objetivo: Asegurar que la informacin recibe un nivel apropiado de proteccin, de acuerdo a su importancia
para la organizacin.

APLICA
SI NO

La clasificacin de la informacin es
vital para determinar el grado y control
de seguridad que debera tener. Esta
Control: La informacin se debe documentacin es de carcter
clasificar en funcin de los requisitos obligatorio en la norma ISO
Clasificacin de
A.8.2.1 legales, valor, criticidad y susceptibilidad 27001:2013.
la informacin
a divulgacin o a modificacin
autorizada. IMPLEMENTA
SI NO

Actualmente no existe un documento


que clasifique la criticidad de la
informacin y de los activos.

APLICA
SI NO
El etiquetado de la informacin debe
Control: Se debe desarrollar e reflejar el esquema de clasificacin
implementar un conjunto adecuado de adoptador por la organizacin (ver
Etiquetado de procedimientos para el etiquetado de la A.8.2.1).
A.8.2.2
la informacin informacin, de acuerdo con el esquema IMPLEMENTA
de clasificacin de informacin adoptado SI NO
por la organizacin.
Actualmente no existe procedimiento
alguno para el etiquetado y/o
clasificacin de la informacin.

Control: Se deben desarrollar e APLICA


implementar procedimientos para el SI NO
Manejo de
A.8.2.3 manejo de activos, de acuerdo con el El acceso a los activos deberan
activos
esquema de clasificacin de informacin restringirse de acuerdo a su esquema
adoptado por la organizacin. de clasificacin.

117
IMPLEMENTA
SI NO
Actualmente no existen procedimientos
para el manejo de la informacin, ya
que sta no est clasificada (ver
A.8.2.1).

A.8.3 Manejo de medios

Objetivo: Evitar la divulgacin, modificacin, el retiro o la destruccin no autorizados de informacin


almacenada en los medios.

APLICA
SI NO
Los medios removibles podran
almacenar informacin confidencial y
Control: Se deben implementar deberan tener el mismo tratamiento y
Gestin de procedimientos para la gestin de esquema de clasificacin que cualquier
A.8.3.1 medios medios removibles, de acuerdo con el otro activo informtico.
removibles esquema de clasificacin de la IMPLEMENTA
organizacin.
SI NO
Los medio removibles son protegidos,
pero no cuentan con un nivel de
clasificacin de informacin (ver
A.8.2.1).

APLICA
SI NO
Los medios removibles podran
almacenar informacin confidencial y
deberan ser removidos almacenando
Control: Se debe disponer en forma copias de seguridad en lugares seguros
Disposicin de segura de los medios cuando ya no se y garantizar que su informacin no sea
A.8.3.2 revocable o legible.
los medios requieran, utilizando procedimientos
formales. IMPLEMENTA
SI NO

Los medio removibles son dispuestos


en lugares seguros y su informacin es
almacenada en medios seguros.

APLICA
Control: Los medios que contienen
Transferencia SI NO
informacin se deben proteger contra
A.8.3.3 de medios
acceso no autorizados, uso indebido o Los medios transportados podran tener
fsicos
corrupcin durante el transporte. informacin sensitiva.

118
IMPLEMENTA
SI NO

No se transportan activos informticos.

Tabla 31. Anexo A de la Norma ISO/IEC 27001:2013. Control de Acceso.

A.9 CONTROL DE ACCESO

A.9.1 Requisitos del negocio para control de acceso

Objetivo: Limitar el acceso a informacin y a instalaciones de procesamiento de informacin.

APLICA
SI NO
El control de acceso fsico y lgico
con principios del menor privilegio
permiten tener un control sobre los
Control: Se debe establecer, riesgos de diseminacin de
documentar y revisar una poltica de informacin o acceso fsico a los
Poltica de control activos a personas no autorizadas.
A.9.1.1 control de acceso con base en los
de acceso
requisitos del negocio y de seguridad de IMPLEMENTA
la informacin.
SI NO
Aunque se mantienen controles
fsicos y lgicos que garantizan el
acceso con menor privilegio, no est
documentada en una poltica de
seguridad de la informacin.

APLICA
SI NO
Las redes y servicios de red proveen
acceso a diferentes servicios dentro
Control: Slo se debe permitir acceso a de la organizacin al personal
Acceso a redes y a los usuarios a la red y a los servicios de autorizado.
A.9.1.2
servicios en red red para los que hayan sido autorizados IMPLEMENTA
especficamente. SI NO
Las redes estn segmentadas en
VLANS y el acceso a ella est
protegido a personas no
autorizadas.

A.9.2 Gestin de acceso de usuarios


Objetivo: Asegurar el acceso a los usuarios autorizados y evitar el acceso no autorizado a sistemas y
servicios.

119
APLICA
SI NO

Los identificadores nicos de los


Control: Se debe implementar un empleados mantienen un registro de
Registro y las acciones realizadas.
proceso formal de registro y de
cancelacin de
A.9.2.1 cancelacin de registro de usuarios, para
registro de IMPLEMENTA
posibilitar la asignacin de los derechos
usuarios SI NO
de acceso.

A los empleados no se les asigna un


identificador nico dentro de la
organizacin.

APLICA
SI NO
Los permisos y privilegios de los
Control: Se debe implementar un usuarios son asignados o revocados
proceso de suministro de acceso formal de forma automtica mediante un
Suministro de proceso formal.
de usuarios para asignar o revocar los
A.9.2.2 acceso de
derechos de acceso para todo tipo de IMPLEMENTA
usuarios
usuarios para todos los sistemas y SI NO
servicios.
A los empleados no se les asigna un
identificador nico dentro de la
organizacin (ver A.9.2.1).

APLICA
SI NO
Los privilegios de acceso a cualquier
sistema o informacin deberan ser
otorgados de acuerdo a las polticas
Gestin de Control: Se debe restringir y controlar la de acceso.
A.9.2.3 derechos de asignacin y uso de derechos de acceso
acceso privilegiado privilegiado. IMPLEMENTA
SI NO
A los empleados se les otorgan los
privilegios a los sistemas de acuerdo
a las necesidades mnimas de
trabajo.

APLICA
SI NO
Gestin de La autenticacin de los empleados
Control: La asignacin de informacin
informacin de en los sistemas debera mantenerse
de autenticacin secreta se debe
A.9.2.4 autenticacin confidencial y secreta para evitar
controlar por medio de un proceso de
secreta de alteracin y/o modificacin de la
gestin formal.
usuarios informacin por parte de personas
no autorizadas.
IMPLEMENTA

120
SI NO
La entrega de claves de acceso se
realiza de forma personal y se
fuerza a que sea cambiada
inmediatamente en su primer
acceso.

APLICA
SI NO

Los derechos de acceso verifican


qu puede hacer un usuario sobre la
Revisin de los informacin o sistemas.
Control: Los propietarios de los activos
derechos de
A.9.2.5 deben revisar los derechos de acceso de
acceso de IMPLEMENTA
los usuarios, a intervalos regulares.
usuarios SI NO

No se realizan verificaciones
regulares de los derechos de acceso
a los sistemas.

APLICA
SI NO
La remocin de los derechos de
acceso permite que los empleados
no sigan teniendo acceso a
Control: Los derechos de acceso de
informacin o a los sistemas una vez
todos los empleados y de usuarios
terminado el contrato o cambio en el
Retiro o ajuste de externos a la informacin y a las
cargo.
A.9.2.6 los derechos de instalaciones de procesamiento de
acceso informacin se deben retirar al terminar IMPLEMENTA
su empleo, contrato o acuerdo, o se SI NO
deben ajustar cuando se hagan cambios.
No existe un proceso y/o
documentacin formal de remocin
de los privilegios de acceso de los
empleados que cambian el cargo o
terminan contrato.

A.9.3 Responsabilidades de los usuarios

Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su informacin de autenticacin.

APLICA
SI NO
Uso de Control: Se debe exigir a los usuarios La informacin confidencial debera
informacin de que cumplan con las prcticas de la ser accedida slo por las personas
A.9.3.1
autenticacin organizacin para el uso de informacin autorizadas y para fines de la
secreta de autenticacin secreta. organizacin.
IMPLEMENTA
SI NO

121
La informacin de autenticacin del
empleado en los sistemas y acceso
a informacin es confidencial.

A.9.4 Control de acceso a sistemas y aplicaciones

Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.

APLICA
SI NO

El acceso a la informacin debe ser


granular en pro de evitar revelacin
Control: El acceso a la informacin y a o acceso a personas no autorizadas.
Restriccin de las funciones de los sistemas de las
A.9.4.1 acceso a la aplicaciones se debe restringir de IMPLEMENTA
informacin acuerdo con la poltica de control de SI NO
acceso.
Los derechos de acceso a los
sistemas e informacin son
controlados de acuerdo a rol y
responsabilidad del empleado en la
organizacin.

APLICA
SI NO
El inicio de sesin seguro permite
que una persona no autorizada
Control: Cuando lo requiere la poltica tenga acceso a informacin
de control de acceso, el acceso a privilegiada.
Procedimiento de
A.9.4.2 sistemas y aplicaciones se debe
ingreso seguro IMPLEMENTA
controlar mediante un proceso de
ingreso seguro. SI NO

Los sistemas estn protegidos


mediante un mecanismo de inicio de
sesin seguro.

APLICA
SI NO
Los sistemas de gestin de
Control: Los sistemas de gestin de contraseas son un mecanismo
Sistema de gestin contraseas deben ser interactivos y fuerte de autenticacin de usuarios y
A.9.4.3
de contraseas deben asegurar la calidad de las evita que sean adivinadas por
contraseas. ataques de fuerza bruta y/o
diccionario.
IMPLEMENTA
SI NO

122
Los sistemas de gestin de
contraseas no son interactivos ya
que es otorgada de forma manual.

APLICA
SI NO
Los programas utilitarios deben ser
instalados cuidadosamente para que
Control: Se debe restringir y controlar no afecten a los sistemas o a la
Uso de programas estrictamente el uso de programas informacin existente.
A.9.4.4 utilitarios utilitarios que podran tener la capacidad
privilegiados de anular el sistema y los controles de IMPLEMENTA
las aplicaciones. SI NO
Los sistemas y activos crticos slo
se les instalan los programas
estrictamente necesarios y
licenciados.

APLICA
SI NO
El cdigo fuente contiene la
informacin de cmo se ha
implementado el programa y bajo
Control de acceso que lenguaje de programacin, as
Control: Se debe restringir el acceso a como las libreras empleadas.
A.9.4.5 a cdigos fuente
los cdigos fuentes de los programas.
de programas IMPLEMENTA
SI NO

El cdigo fuente slo es accedido


por las personas autorizadas.

Tabla 32. Anexo A de la Norma ISO/IEC 27001:2013. Controles Criptogrficos.

A.10.1 Controles criptogrficos

Objetivo: Asegurar el uso apropiado y eficaz de la criptografa para proteger la confidencialidad, la


autenticidad y/o integridad de la informacin.

APLICA
SI NO
Control: Se debe desarrollar e La criptografa cifra mediante algoritmos de
Poltica sobre el implementar una poltica sobre encriptacin los mensajes transmitidos
A.10.1.1 uso de controles el uso de controles garantizando la confidencialidad,
criptogrficos criptogrficos para la integridad y autenticidad de los mensajes,
proteccin de la informacin. impidiendo as que sea legible por
personas no autorizadas.
IMPLEMENTA

123
SI NO

No existe una poltica sobre el uso de


algoritmos de encriptacin para el cifrado
de la informacin transmitida.

APLICA
SI NO

La gestin de llaves criptogrficas vela por


Control: Se debe desarrollar e su seguridad, mantenimiento, renovacin,
implementar una poltica sobre distribucin y destruccin.
A.10.1.2 Gestin de llaves el uso, proteccin y tiempo de
vida de las llaves criptogrficas, IMPLEMENTA
durante todo su ciclo de vida. SI NO

No existe una poltica sobre el uso y


distribucin de llaves criptogrficas (ver
A.10.1.1).

Tabla 33. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad Fsica y del Entorno.

A.11 SEGURIDAD FSICA Y DEL ENTORNO

A.11.1 reas seguras

Objetivo: Prevenir el acceso fsico no autorizado, el dao y la interferencia a la informacin y a las


instalaciones de procesamiento de informacin de la organizacin.

APLICA
SI NO
El permetro de seguridad fsica
impide el acceso a personas no
Control: Se deben definir y usar autorizadas a los activos
permetros de seguridad, y usarlos para informticos u otros dispositivos
Permetro de
A.11.1.1 proteger reas que contengan informacin de la organizacin.
seguridad fsica
confidencial o crtica, e instalaciones de IMPLEMENTA
manejo de informacin.
SI NO
Existe un permetro fsico
controlado por tarjetas de
acceso, as como personal de
seguridad.

APLICA
Control: Las reas seguras se deben
SI NO
Controles de proteger mediante controles de acceso
A.11.1.2 Los controles de accesos fsicos
acceso fsicos apropiados para asegurar que slo se
permite el acceso a personal autorizado. impiden el acceso a personas no
autorizadas a los activos

124
informticos u otros dispositivos
de la organizacin.

IMPLEMENTA
SI NO
El acceso fsico est controlado
por medio de tarjetas inteligentes
que permiten el acceso a slo el
personal autorizado y registran la
fecha y hora de acceso.

APLICA
SI NO
Las oficinas y lugares de trabajo
claves deberan estar protegidas
impidiendo el acceso fsico a
personas no autorizadas as
Seguridad de Control: Se debe disear y aplicar como no ser pblicamente
A.11.1.3 oficinas, recintos seguridad fsica a oficinas, recintos e visibles.
e instalaciones instalaciones. IMPLEMENTA
SI NO

Las oficinas y lugares de trabajo


no estn protegidas por medios
fsicos para controlar el acceso.

APLICA
SI NO

Proteccin fsica contra los


Proteccin contra Control: Se debe disear y aplicar desastres naturales y/o
amenazas proteccin fsica contra desastres humanos.
A.11.1.4
externas y naturales, ataques maliciosos o
ambientales accidentes. IMPLEMENTA
SI NO
No existe una proteccin fsica
contra los desastres naturales
y/o humanos.

APLICA
SI NO

Las reas seguras deben estar


fsicamente aseguradas y
Control: Se debe disear y aplicar revisadas peridicamente.
Trabajo en reas
A.11.1.5 procedimientos para trabajo en reas
seguras IMPLEMENTA
seguras.
SI NO

No se tienen reas seguras para


ser aseguradas fsicamente.

125
APLICA
SI NO
Los lugares de entrega de
Control: Se deben controlar los puntos de equipos y otros dispositivos
acceso tales como reas de despacho y estn controlados y se restringe
de carga y otros puntos en donde pueden el acceso a reas externas de la
reas de organizacin.
A.11.1.6 entrar personas no autorizadas, y si es
despacho y carga IMPLEMENTA
posible, aislarlos de las instalaciones de
procesamiento de informacin para evitar SI NO
el acceso no autorizado.
El lugar de entrega de equipos y
otros dispositivos ocurre al
interior de la oficina.

A.11.2 Equipos

Objetivo: Prevenir la prdida, dao, robo o compromiso de activos, y la interrupcin de las operaciones de la
organizacin.

APLICA
SI NO
Los equipos deberan estar
protegidos fsicamente de
amenazas ambientales (fuego,
incendio, agua, humo) y
Control: Los equipos deben estar
humanas as como evitar el
Ubicacin y ubicados y protegidos para reducir los acceso no autorizado.
A.11.2.1 proteccin de los riesgos de amenazas y peligros del
IMPLEMENTA
equipos entorno, y las posibilidades de acceso no
autorizado. SI NO
Los equipos estn protegidos
fsicamente contra amenazas
ambientales tales como fuego,
incendio, agua, humo, etc. De
igual forma existen lineamientos
para su uso.

APLICA
SI NO
Los servicios de suministros
como energa, agua, ventilacin
Control: Los equipos se deben proteger y gas deberan estar acordes a la
Servicios de contra fallas de energa y otras manufacturacin de los equipos.
A.11.2.2
suministro interrupciones causadas por fallas en los IMPLEMENTA
servicios de suministro. SI NO
Los servicios de suministros
como energa, agua, ventilacin
y gas estn acordes a la
manufacturacin de los equipos.

Seguridad del Control: El cableado de energa elctrica APLICA


A.11.2.3
cableado y de telecomunicaciones que porta datos SI NO

126
o brinda soporte a los servicios de
informacin se deben proteger contra El cableado provee la
interceptacin, interferencias o dao. transmisin de datos o energa a
los dispositivos.

IMPLEMENTA
SI NO
El cableado elctrico est
separado del cableado de datos
previniendo as interferencias y
estn protegidos fsicamente.

APLICA
SI NO

El mantenimiento de los equipos


garantiza su ptimo
Control: Los equipos se deben mantener funcionamiento y rendimiento.
Mantenimiento de
A.11.2.4 correctamente para asegurar su
equipos IMPLEMENTA
disponibilidad e integridad continuas.
SI NO
Los equipos son mantenidos slo
por el personal autorizado bajo
las condiciones especificadas y a
intervalos programados.

APLICA
SI NO
El retiro de los equipos,
eliminacin de software e
informacin slo debera ser
Control: Los equipos, informacin o realizada por el personal
A.11.2.5 Retiro de activos software no se deben retirar de su sitio sin autorizado.
autorizacin previa. IMPLEMENTA
SI NO
El retiro de los equipos,
eliminacin de software e
informacin slo es realizada por
el personal autorizado.

APLICA
SI NO
Los equipos y/o dispositivos que
pertenecen a la organizacin
Control: Se deben aplicar medidas de
deberan ser gestionados slo
Seguridad de seguridad a los activos que se encuentran
por el personal autorizado, as
equipos y activos fuera de las instalaciones de la
A.11.2.6 como tampoco ser utilizado en
fuera de las organizacin, teniendo en cuenta los
lugares pblicos.
instalaciones diferentes riesgos de trabajar fuera de
dichas instalaciones. IMPLEMENTA
SI NO
Los equipos slo son utilizados
dentro de las instalaciones
fsicas de la organizacin.

127
APLICA
SI NO
Para la disposicin o reutilizacin
de equipos se debera tener un
Control: Se deben verificar todos los procedimiento que garantice la
elementos de equipos que contengan destruccin total de la
Disposicin
medios de almacenamiento para asegurar informacin contenida con el fin
segura o
A.11.2.7 que cualquier dato confidencial o software de evitar de ser leda por
reutilizacin de
licenciado haya sido retirado o sobrescrito personas no autorizadas.
equipos IMPLEMENTA
en forma segura antes de su disposicin o
reutilizacin. SI NO

Se realiza un procedimiento
seguro para la disposicin o
reutilizacin de equipos.

APLICA
SI NO
Los usuarios deberan cerrar
sesiones y proteger el equipo
con contraseas fuertes cuando
no lo estn utilizando ya que
podra estar expuesto a acceso
Equipos de Control: Los usuarios deben asegurarse
A.11.2.8 no autorizado.
usuario de que los equipos desatendidos se les de
desatendido la proteccin apropiada. IMPLEMENTA
SI NO
Aunque no exista una poltica
documentada, los usuarios son
conscientes y aplican la
seguridad apropiada cuando el
equipo est en desuso.

APLICA
SI NO

El almacenamiento de
Control: Se debe adoptar una poltica de informacin confidencial no
escritorio limpio para los papeles y medios debera ser visible al pblico.
Polticas de
de almacenamiento removibles, y una
A.11.2.9 escritorio limpio y IMPLEMENTA
poltica de pantalla limpia en las
pantalla limpia
instalaciones de procesamiento de SI NO
informacin. La informacin confidencial es
almacenada en gabinetes de
forma segura impidiendo su
acceso fsico a personas no
autorizadas.

128
Tabla 34. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Operaciones.

A.12 SEGURIDAD DE LAS OPERACIONES

A.12.1 Procedimientos operacionales y responsabilidades

Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de


informacin.

APLICA
SI NO

Los procedimientos operacionales deberan


estar documentados y disponibles para
todos los usuarios. Estos procedimientos
incluyen las copias de seguridad,
almacenamiento, manejo de errores,
Control: Los procedimientos de encendido/apagado de equipos,
Procedimientos de
operacin se deben documentar instalacin/configuracin de sistemas, etc.
A.12.1.1 operacin
y poner a disposicin de todos Esta documentacin es de carcter
documentados
los usuarios que los necesitan. obligatorio en la norma ISO 27001:2013.

IMPLEMENTA
SI NO

Los procedimientos operacionales no estn


documentados, ya que no existe an una
implementacin de un SGSI.

APLICA
SI NO

Los cambios en los equipos que afectan la


Control: Se deben controlar los seguridad de la informacin deberan ser
cambios en la organizacin, en controlados y debidamente planeados y
los procesos de negocio, en las probados.
A.12.1.2 Gestin de cambios instalaciones y en los sistemas
de procesamiento de IMPLEMENTA
informacin que afectan la SI NO
seguridad de la informacin.
Los cambios en los equipos que afectan la
seguridad de la informacin son
controlados y debidamente planeados y
probados.

APLICA
Control: Se debe hacer SI NO
seguimiento al uso de recursos,
hacer los ajustes, y hacer Los recursos deberan ser monitoreados
Gestin de con el fin de gestionar su capacidad y
A.12.1.3 proyecciones de los requisitos
capacidad rendimiento, as como proyectar que
de capacidad futura, para
asegurar el desempeo responda a las necesidades de la
requerido por el sistema. organizacin a largo plazo.
IMPLEMENTA

129
SI NO

Se les realiza un monitoreo continuo a los


recursos y la adquisicin de nuevos se
proyecta de acuerdo a las necesidades
crticas de la organizacin.

APLICA
SI NO

La separacin de ambientes de desarrollo y


Control: Se deben separar los pruebas reduce el riesgo de operaciones no
Separacin de los ambientes de desarrollo, prueba autorizadas.
ambientes de y operacin, para reducir los
A.12.1.4
desarrollo, pruebas riesgos de acceso o cambios no IMPLEMENTA
y operacin autorizados al ambiente de SI NO
operacin.

Los ambientes de desarrollo y prueban


estn separados.

A.12.2 Proteccin contra cdigos maliciosos

Objetivo: Asegurarse de que la informacin y las instalaciones de procesamiento de informacin estn


protegidas contra cdigos maliciosos.

APLICA
SI NO
El malware o software malicioso es un
riesgo potencial para los sistemas y
equipos, ya que pueden hacer que los
sistemas operen de forma ineficiente,
Control: Se deben implementar captura ilegal de informacin confidencial y
controles de deteccin, de borrado total.
prevencin y de recuperacin,
Controles contra IMPLEMENTA
A.12.2.1 combinados con la toma de
cdigos maliciosos SI NO
conciencia apropiada de los
usuarios, para proteger contra
Aunque no existe una poltica claramente
cdigos maliciosos.
definida contra el malware, los usuarios son
conscientes de los efectos nefastos que
stos podran tener sobre el sistema y/o
informacin. De igual forma, se mantienen
los equipos actualizados y con software
antimalware licenciado ejecutndose donde
son monitoreados continuamente.

A.12.3 Copias de respaldo

Objetivo: Proteger contra la prdida de datos.

A.12.3.1 Respaldo de la Control: Se deben hacer copias APLICA

130
informacin de respaldo de informacin, SI NO
software e imgenes de los
sistemas, y ponerlos a prueba Las copias de seguridad (backups) e
regularmente de acuerdo con imgenes de los sistemas garantizan que la
una poltica de copias de informacin esencial e instalacin de
respaldo acordadas. software podra ser recuperada despus de
fallas o desastres.
IMPLEMENTA
SI NO

Las copias de seguridad se realizan a


intervalos programados y de forma
automtica.

A.12.4 Registro y seguimiento

Objetivo: Registrar eventos y generar evidencia.

APLICA
SI NO

Control: Se deben elaborar, Los registros (logs) almacenan informacin


conservar y revisar relevante sobre los eventos ocurridos en la
regularmente los registros operacin de un sistema.
Registro de
A.12.4.1 acerca de actividades del
eventos IMPLEMENTA
usuario, excepciones, fallas y
eventos de seguridad de la SI NO
informacin.
Se mantienen los registros de los eventos
ocurridos en los sistemas.

APLICA
SI NO

Los registros de eventos deberan ser


Control: Las instalaciones y la custodiados para prevenir modificacin no
Proteccin de la informacin de registro se autorizada.
A.12.4.2 informacin de deben proteger contra
registro alteracin y acceso no IMPLEMENTA
autorizado. SI NO

Los registros de eventos estn protegidos


contra el acceso no autorizado.

APLICA
Control: Las actividades del SI NO
Registros del administrador y del operador del
A.12.4.3 administrador y del sistema se deben registrar, y Los administradores tienen accesos
operador los registros se deben proteger privilegiados y podran modificar
y revisar con regularidad. informacin de los registros de eventos.

131
IMPLEMENTA
SI NO

Las acciones y registros de los


administradores tambin son almacenados
y protegidos de cualquier modificacin.

APLICA
SI NO

La sincronizacin de los relojes de los


Control: Los relojes de todos sistemas permite mantener una referencia
los sistemas de procesamiento nica de tiempo y zona horaria.
de informacin pertinentes
Sincronizacin de
A.12.4.4 dentro de una organizacin o IMPLEMENTA
relojes
mbito de seguridad se deben SI NO
sincronizar con una nica
fuente de referencia de tiempo. Aunque no existe una poltica documentada
sobre la sincronizacin de los relojes, todos
los sistemas estn sincronizados bajo un
nico formato de tiempo y zona horaria.

A.12.5 Control de software operacional

Objetivo: Asegurarse de la integridad de los sistemas operacionales.

APLICA
SI NO

Se debera controlar las instalaciones de


Control: Se deben implementar software en los sistemas operativos.
Instalacin de
procedimientos para controlar la
A.12.5.1 software en los
instalacin de software en IMPLEMENTA
sistemas operativos
sistemas operativos. SI NO

No existe una poltica documentada o


procedimientos sobre la instalacin de
software en los sistemas operativos.

A.12.6 Gestin de la vulnerabilidad tcnica

Objetivo: Prevenir el aprovechamiento de las vulnerabilidades tcnicas.

Control: Se debe obtener APLICA


Gestin de las oportunamente informacin SI NO
A.12.6.1 vulnerabilidades acerca de las vulnerabilidades El inventario de los activos se debera
tcnicas tcnicas de los sistemas de mantener actualizado con el fin de
informacin que se usen; identificar a tiempo los riesgos asociados a

132
evaluar la exposicin de la las vulnerabilidades y amenazas tcnicas.
organizacin a estas
vulnerabilidades, y tomar las
medidas apropiadas para tratar IMPLEMENTA
el riesgo asociado. SI NO
Aunque existe un inventario de los activos
fsicos y del software operacional, no se
tiene una metodologa de riesgos que los
evale.

APLICA
SI NO

Cualquier persona con elevados privilegios


de acceso podra instalar cualquier software
en un equipo y/o dispositivo. El no control
Control: Se debe establecer e podra liderar a la instalacin de software
Restricciones sobre malicioso o no permitido.
implementar las reglas para la
A.12.6.2 la instalacin de
instalacin de software por
software IMPLEMENTA
parte de los usuarios.
SI NO

La instalacin de software es realizada slo


por el personal autorizado y con software
probado y licenciado, adems de otorgar el
principio del menor privilegio.

A.12.7 Consideraciones sobre auditoras de sistemas de informacin

Objetivo: Minimizar el impacto de las actividades de auditora sobre los sistemas operativos.

APLICA
SI NO

Las auditoras de los sistemas deberan ser


Control: Los requisitos y acordadas, planeadas y controladas sin
actividades que involucran la interferir en el desarrollo normal de los
Controles de
verificacin de los sistemas procesos.
auditoras de
A.12.7.1 operativos se deben planificar y
sistemas de
acordar cuidadosamente para IMPLEMENTA
informacin
minimizar las interrupciones en SI NO
los procesos de negocio.

No se tiene un plan de auditora para la


verificacin de los sistemas operativos.

133
Tabla 35. Anexo A de la Norma ISO/IEC 27001:2013. Seguridad de las Comunicaciones.

A.13 SEGURIDAD DE LAS COMUNICACIONES

A.13.1 Gestin de la seguridad de las redes

Objetivo: Asegurar la proteccin de la informacin en las redes, y sus instalaciones de procesamiento de


informacin de soporte.

APLICA
SI NO
Las redes deberan proteger la
transmisin de la informacin
garantizando su
confidencialidad e integridad y
Control: Las redes se deben gestionar y en algunos casos su
A.13.1.1 Controles de redes controlar para proteger la informacin en disponibilidad.
sistemas y aplicaciones. IMPLEMENTA
SI NO
No existe una Infraestructura
de Llave Pblica (PKI)
implementada que garantice
que la informacin transmitida
en las redes sea segura.

APLICA
SI NO
El acceso a la red de los
Control: Se deben identificar los proveedores de servicios de
mecanismos de seguridad, los niveles de red debera ser controlado y
servicio y los requisitos de gestin de todos monitoreado.
Seguridad de los
A.13.1.2 los servicios de red, e incluirlos en los
servicios de red IMPLEMENTA
acuerdos de servicio de red, ya sea que los
servicios se presten internamente o SI NO
contraten externamente.
El acceso a la red de los
proveedores de servicio de red
es monitoreado y controlado.

APLICA
SI NO
Los usuarios y servicios
deberan estar separados
lgicamente en unidades
Control: Los grupos de servicios de organizacionales o dominios, o
Separacin en las a travs de VLANS.
A.13.1.3 informacin, usuarios y sistemas de
redes IMPLEMENTA
informacin se deben separar en las redes.
SI NO

Los usuarios y servicios estn


separados a travs de
dominios y VLANS.

134
A.13.2 Transferencia de informacin

Objetivo: Mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier
entidad externa.

APLICA
SI NO
Los procedimientos y
controles ayudan a mantener
la seguridad de la informacin
Control: Se debe contar con polticas,
Polticas y cuando es transferida a otra
procedimientos y controles de transferencia
procedimientos de entidad.
A.13.2.1 formales para proteger la transferencia de
transferencia de IMPLEMENTA
informacin mediante el uso de todo tipo
informacin SI NO
de instalaciones de comunicaciones.
No existe una documentacin
sobre los procedimientos y
controles a implementar para
la transferencia segura de la
informacin.

APLICA
SI NO
Se deberan tener acuerdos
sobre los procedimientos para
Control: Los acuerdos deben tratar la la transferencia segura de la
Acuerdos sobre informacin.
transferencia segura de informacin del
A.13.2.2 transferencia de
negocio entre la organizacin y las partes IMPLEMENTA
informacin
externas. SI NO
No se han implementado
controles criptogrficos que
garanticen la seguridad en la
transmisin de la informacin.

APLICA
SI NO
Se deberan proteger los
mensajes enviados
internamente de los
Control: Se debe proteger adecuadamente empleados de la organizacin.
Mensajera
A.13.2.3 la informacin incluida en la mensajera
electrnica IMPLEMENTA
electrnica.
SI NO
No se han implementado
controles criptogrficos que
garanticen la seguridad en la
transmisin de la informacin.

Control: Se deben identificar, revisar APLICA


Acuerdos de
regularmente y documentar los requisitos SI NO
A.13.2.4 confidencialidad o
para los acuerdos de confidencialidad o no
de no divulgacin
divulgacin que reflejen las necesidades de Los acuerdos con los

135
la organizacin para la proteccin de la empleados o con entes
informacin. externos deberan tener
acuerdos de confidencialidad
de la informacin.
IMPLEMENTA
SI NO
En los documentos y acuerdos
contractuales de los
empleados se estipula el
compromiso con la
confidencialidad de la
informacin

Tabla 36. Anexo A de la Norma ISO/IEC 27001:2013. Adquisicin, Desarrollo y Mantenimiento de Sistemas.

A.14 ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

A.14.1 Requisitos de seguridad de los sistemas de informacin

Objetivo: Asegurar que la seguridad de la informacin sea una parte integral de los sistemas de informacin
durante todo el ciclo de vida. Esto incluye los requisitos para sistemas de informacin que presten servicios
sobre redes pblicas.

APLICA
SI NO
Los requerimientos de la
seguridad de la informacin
deberan ser identificados
Control: Los requisitos relacionados utilizando varios mtodos en
Anlisis y con seguridad de la informacin se concordancia con las polticas y
especificacin de deben incluir en los requisitos para regulaciones.
A.14.1.1
requisitos de seguridad nuevos sistemas de informacin o IMPLEMENTA
de la informacin para mejoras a los sistemas de
informacin existentes. SI NO
No existe una poltica de
seguridad de informacin que
ayude a determinar la adquisicin
de los nuevos sistemas de
informacin.

APLICA
SI NO
La comunicacin de los servicios y
Control: La informacin involucrada aplicaciones debera estar
en los servicios de las aplicaciones garantizada bajo esquemas de
Seguridad de servicios que pasan sobre redes pblicas se encriptacin de datos
A.14.1.2 de las aplicaciones en debe proteger de actividades garantizando su confidencialidad e
redes pblicas fraudulentas, disputas contractuales integridad.
y divulgacin y modificacin no IMPLEMENTA
autorizadas. SI NO
No existe una Infraestructura de
Llave Pblica (PKI) implementada
que garantice que la informacin

136
transmitida en las redes sea
segura.

APLICA
SI NO
La comunicacin de los servicios y
Control: La informacin involucrada aplicaciones debera estar
en las transacciones de los servicios garantizada bajo esquemas de
de las aplicaciones se debe proteger encriptacin de datos
Proteccin de las para evitar la transmisin garantizando su confidencialidad e
transacciones de los incompleta, el enrutamiento errado, integridad.
A.14.1.3
servicios de las la alteracin no autorizada de IMPLEMENTA
aplicaciones mensajes, la divulgacin no
SI NO
autorizada y la duplicacin o
reproduccin de mensajes no No existe una Infraestructura de
autorizada. Llave Pblica (PKI) implementada
que garantice que la informacin
transmitida en las redes sea
segura.

A.14.2 Seguridad en los procesos de desarrollo y soporte

Objetivo: Asegurar que la seguridad de la informacin est diseada e implementada dentro del ciclo de vida
de desarrollo de los sistemas de informacin.

APLICA
SI NO

Las polticas y controles de


Control: Se deben establecer y
seguridad deberan ser aplicados
aplicar las reglas para el desarrollo
Poltica de desarrollo en el desarrollo de software.
A.14.2.1 de software y de sistemas, a los
seguro
desarrollos dentro de la IMPLEMENTA
organizacin.
SI NO

No se desarrolla software.

APLICA
SI NO
El procedimiento formal de los
cambios en el desarrollo de
Control: Los cambios de sistemas software debera ser documentado
Procedimientos de dentro del ciclo de vida de desarrollo para garantizar la integridad del
A.14.2.2 control de cambios en se deben controlar mediante el uso sistema o aplicacin.
sistemas de procedimientos formales de IMPLEMENTA
control de cambios. SI NO

No se desarrolla software.

137
APLICA
SI NO
Los cambios en las aplicaciones
Control: Cuando se cambian las deberan ser revisados y probados
Revisin tcnica de las plataformas de operacin, se deben antes de implementarlas de
aplicaciones despus revisar las aplicaciones crticas del manera que se garantice que no
A.14.2.3 de cambios en la negocio, y someter a prueba para comprometa la seguridad.
plataforma de asegurar que no haya impacto IMPLEMENTA
operacin adverso en las operaciones de SI NO
seguridad de la organizacin.
Las aplicaciones y plataformas de
operacin son revisadas y
probadas antes de implementarse.

APLICA
SI NO

Limitar las modificaciones de


Control: Se deben desalentar las software slo a lo estrictamente
modificaciones de los paquetes de necesario.
Restricciones en los
software, los cuales se deben limitar
A.14.2.4 cambios a los paquetes
a los cambios necesarios, y todos IMPLEMENTA
de software
los cambios se deben controlar SI NO
estrictamente.
Las actualizaciones y
modificaciones de software son
desarrolladas por la empresa
encargada.

APLICA
SI NO

Se deberan establecer y
Control: Se deben establecer, documentar los principios de
documentar y mantener principios desarrollo de software seguro.
Principios de
para la construccin de sistemas
A.14.2.5 construccin de los
seguros, y aplicarlos a cualquier IMPLEMENTA
sistemas seguros
actividad de implementacin de SI NO
sistemas de informacin.

No se desarrolla software.

APLICA
SI NO
Control: Las organizaciones deben
establecer y proteger Los ambientes de desarrollo de
adecuadamente los ambientes de software tambin deberan estar
Ambiente de desarrollo desarrollo seguros para las protegidos de acceso no
A.14.2.6 autorizado o de ejecucin de
seguro actividades de desarrollo e
integracin de sistemas que software malicioso.
comprendan todo el ciclo de vida de IMPLEMENTA
desarrollo de sistemas. SI NO
No se desarrolla software.

138
APLICA
SI NO
El software desarrollado
externamente debera tener
Control: La organizacin debe licencia, acuerdos y prcticas de
Desarrollo contratado supervisar y hacer seguimiento de la desarrollo y pruebas seguros.
A.14.2.7
externamente actividad de desarrollo de sistemas IMPLEMENTA
contratados externamente. SI NO
Se asegura que el software
desarrollado externamente
contiene las prcticas de
desarrollo y pruebas seguros.

APLICA
SI NO

Se deberan realizar visitas y


pruebas de seguridad al software
Control: Durante el desarrollo se que se est desarrollando.
Pruebas de seguridad
A.14.2.8 deben llevar a cabo pruebas de
de sistemas IMPLEMENTA
funcionalidad de seguridad.
SI NO

No se realizan pruebas de
seguridad al software durante su
perodo de desarrollo.

APLICA
SI NO
Se deberan realizar pruebas de
Control: Para los sistemas de seguridad en base a los
informacin nuevos, actualizaciones requerimientos de seguridad de la
Pruebas de aceptacin y nuevas versiones, se deben organizacin.
A.14.2.9
de sistemas establecer programas de prueba IMPLEMENTA
para aceptacin y criterios de SI NO
aceptacin relacionados,
No se realizan las pruebas de
seguridad debido a que an no
existen los lineamientos o polticas
de la seguridad de la informacin.

A.14.3 Datos de prueba

Objetivo: Asegurar la proteccin de los datos usados para pruebas.

Proteccin de datos de Control: Los datos de prueba se APLICA


A.14.3.1
prueba deben seleccionar, proteger y SI NO

139
controlar cuidadosamente. Los datos de prueba deberan ser
seleccionados cuidadosamente y
que no contengan ninguna
informacin confidencial.
IMPLEMENTA
SI NO
Los datos de prueba son
seleccionados cuidadosamente y
no presentan riesgo para la
violacin de confidencialidad de la
informacin.

Tabla 37. Anexo A de la Norma ISO/IEC 27001:2013. Relaciones con los Proveedores.

A.15 RELACIONES CON LOS PROVEEDORES

A.15.1 Seguridad de la informacin en las relaciones con los proveedores

Objetivo: Asegurar la proteccin de los activos de la organizacin que sean accesibles a los proveedores.

APLICA
SI NO
La organizacin debera emplear
Control: Los requisitos de seguridad los controles y procedimientos de
Poltica de seguridad de la informacin para mitigar los seguridad para el acceso a los
de la informacin para riesgos asociados con el acceso de activos por parte de los
A.15.1.1
las relaciones con proveedores a los activos de la proveedores.
proveedores organizacin se deben acordar y se IMPLEMENTA
deben documentar. SI NO
No se tiene una poltica de
seguridad definida.

APLICA
SI NO

Control: Se deben establecer y Se deberan establecer acuerdos


acordar todos los requisitos de de seguridad documentados entre
seguridad de la informacin la organizacin y los proveedores
Tratamiento de la para el acceso a los activos.
pertinentes con cada proveedor que
seguridad dentro de
A.15.1.2 pueda tener acceso, procesar, IMPLEMENTA
los acuerdos con
almacenar, comunicar o suministrar SI NO
proveedores
componentes de infraestructura de TI
para la informacin de la No se establecen los acuerdos
organizacin. documentados ya que no existe
una clasificacin de seguridad de
la informacin, as como tampoco
las polticas y procedimientos.

140
APLICA
SI NO
Los suministros de los
proveedores deberan estar
Control: Los acuerdos con los acordes a las polticas de
proveedores deben incluir requisitos seguridad de la informacin de la
Cadena de suministro
para tratar los riesgos de seguridad organizacin.
de tecnologa de
A.15.1.3 de informacin asociados con la IMPLEMENTA
informacin y
cadena de suministro de productos y
comunicacin SI NO
servicios de tecnologa de informacin
y comunicacin. No se establecen los acuerdos
documentados ya que no existe
una clasificacin de seguridad de
la informacin, as como tampoco
las polticas y procedimientos.

A.15.2 Gestin de la prestacin de servicios de proveedores

Objetivo: Mantener el nivel acordado de seguridad de la informacin y de prestacin del servicio en lnea con
los acuerdos con los proveedores.

APLICA
SI NO
El monitoreo y acceso de los
proveedores debera ser acorde
Control: Las organizaciones deben las polticas de seguridad de la
Seguimiento y revisin organizacin.
hacer seguimiento, revisar y auditar
A.15.2.1 de los servicios de los
con la regularidad la prestacin de IMPLEMENTA
proveedores
servicios de los proveedores. SI NO

No existe una poltica de


seguridad de la informacin y
procedimientos.

APLICA
SI NO
Control: Se deben gestionar los Los cambios de los proveedores
cambios en el suministro de servicios deberan estar acordes a los
por parte de los proveedores, incluido requerimientos de seguridad de la
el mantenimiento y la mejora de las informacin de la organizacin.
Gestin de cambios en
polticas, procedimientos y controles
A.15.2.2 los servicios de los IMPLEMENTA
de seguridad de la informacin
proveedores
existentes, teniendo en cuenta la SI NO
criticidad de la informacin, sistemas
y procesos del negocio involucrados y No existe una poltica de
la reevaluacin de riesgos. seguridad de la informacin y
procedimientos.

141
Tabla 38. Anexo A de la Norma ISO/IEC 27001:2013. Gestin de Incidentes de Seguridad de la Informacin.

A.16 GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN

A.16.1 Gestin de incidentes y mejoras de la seguridad de la informacin

Objetivo: Asegurar un enfoque coherente y eficaz para la gestin de incidentes de seguridad de la


informacin, incluida la comunicacin sobre eventos de seguridad y debilidades.

APLICA
SI NO
Los planes y procedimientos para
Control: Se deben establecer las gestionar los incidentes relacionados
responsabilidades y a la seguridad de la informacin
Responsabilidades y procedimientos de gestin para deberan estar documentados.
A.16.1.1
procedimientos asegurar una respuesta rpida, IMPLEMENTA
eficaz y ordenada a los incidentes SI NO
de seguridad de la informacin.
No existen los procedimientos
documentados para gestionar los
incidentes relativos a la seguridad de
la informacin.

APLICA
SI NO

Todos los empleados deben estar


Control: Los eventos de pendientes de los eventos y reportes
Reporte de eventos de seguridad de la informacin se de seguridad de la informacin.
A.16.1.2 seguridad de la deben informar a travs de los
informacin canales de gestin apropiados, IMPLEMENTA
tan pronto como sea posible. SI NO
Los empleados estn alertados de los
eventos e incidentes
correspondientes relativos a la
seguridad de la informacin.

APLICA
SI NO
Se deberan implementar
Control: Se debe exigir a todos
mecanismos de reportes de
los empleados y contratistas que
incidentes de seguridad de la
usan los servicios y sistemas de
informacin en donde todos los
Reporte de debilidades informacin de la organizacin,
empleados deberan reportar las
A.16.1.3 de seguridad de la que observen y reporten cualquier
brechas de seguridad con el fin de
informacin debilidad de seguridad de la
prevenir incidentes.
informacin observada o
sospechada en los sistemas o IMPLEMENTA
servicios. SI NO
Los empleados estn comprometidos
en reportar las brechas lo antes
posible.

142
APLICA
SI NO
La clasificacin y priorizacin de los
Control: Los eventos de incidentes de seguridad ayudan a
Evaluacin de eventos seguridad de la informacin se identificar el impacto en la
de seguridad de la deben evaluar y se debe decidir si organizacin.
A.16.1.4
informacin y se van a clasificar como IMPLEMENTA
decisiones sobre ellos incidentes de seguridad de la SI NO
informacin.
Los activos no estn clasificados y no
existe una metodologa de anlisis y
evaluacin de riesgos informticos.

APLICA
SI NO

Deberan existir procedimientos


documentados para dar respuesta a
los incidentes restableciendo la
Control: Se debe dar respuesta a operacin al nivel de seguridad
Respuesta a incidentes aceptable lo ms pronto posible.
los incidentes de seguridad de la
A.16.1.5 de seguridad de la
informacin de acuerdo con
informacin IMPLEMENTA
procedimientos documentados.
SI NO
Aunque las respuestas son
inmediatas, los procedimientos de
respuesta no estn documentados,
as como tampoco existe un Plan de
Continuidad del Negocio.

APLICA
SI NO

Se debera recolectar informacin de


Control: El conocimiento los incidentes ocurridos con el fin de
Aprendizaje obtenido adquirido al analizar y resolver prevenirlos en el futuro.
de los incidentes de incidentes de seguridad de la
A.16.1.6
seguridad de la informacin se debe usar para IMPLEMENTA
informacin reducir la posibilidad o el impacto SI NO
sobre incidentes futuros.
Se recolecta la informacin de los
incidentes y se aplican los controles
necesarios para prevenirlos.

APLICA
SI NO
Control: La organizacin debe
definir y aplicar procedimientos
Se deberan recolectar las evidencias
Recoleccin de para la identificacin, recoleccin,
A.16.1.7 y registros para tomar acciones
evidencia adquisicin y preservacin de
legales.
informacin que pueda servir
como evidencia. IMPLEMENTA
SI NO

143
Las evidencias son recolectadas
formalmente para emprender las
acciones legales.

Tabla 39. Anexo A de la Norma ISO/IEC 27001:2013. Aspectos de Seguridad de la Informacin de la Gestin
e la Continuidad del Negocio.

ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTIN DE LA CONTINUIDAD


A.17
DEL NEGOCIO
A.17.1 Continuidad de seguridad de la informacin

Objetivo: La continuidad de seguridad de la informacin se debe incluir en los sistemas de gestin de la


continuidad de negocio de la organizacin.

APLICA
SI NO
Los Planes de Continuidad del Negocio
Control: La organizacin (BCP) y los Planes de Recuperacin
debe determinar sus de Desastres (DRP) deberan estar
requisitos para la seguridad planificados y documentados para
de la informacin y la restablecer la operacin normal dado
Planificacin de la un evento. Esta documentacin es de
A.17.1. continuidad de la gestin de
continuidad de la seguridad carcter obligatorio en la norma ISO
1 la seguridad de la
de la informacin 27001:2013.
informacin en situaciones
adversas, por ejemplo, IMPLEMENTA
durante una crisis o SI NO
desastre.

No existe la documentacin o los


procedimientos para los BCP y DRP.

APLICA
SI NO
Los Planes de Continuidad del Negocio
Control: La organizacin (BCP) y los Planes de Recuperacin
debe establecer, de Desastres (DRP) deberan estar
documentar, implementar y planificados y documentados para
mantener procesos, restablecer la operacin normal dado
Implementacin de la un evento. Esta documentacin es de
A.17.1. procedimientos y controles
continuidad de la seguridad carcter obligatorio en la norma ISO
2 para asegurar el nivel de
de la informacin
continuidad requerido para la 27001:2013.
seguridad de la informacin IMPLEMENTA
durante una situacin SI NO
adversa.
No existe la documentacin o los
procedimientos para los BCP y DRP.

144
APLICA
SI NO
Control: La organizacin Los procedimientos y controles para la
debe verificar a intervalos restablecer los servicios se deberan
regulares los controles de revisar en intervalos regulares con
Verificacin, revisin y continuidad de la seguridad cada uno de los responsables para
A.17.1. evaluacin de la continuidad de la informacin verificar su efectividad.
3 de la seguridad de la establecidos e
informacin implementados, con el fin de IMPLEMENTA
asegurar que son vlidos y SI NO
eficaces durante situaciones
adversas.
No existe la documentacin o los
procedimientos para los BCP y DRP.

A.17.2 Redundancias

Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de informacin.

APLICA
SI NO
La informacin debera ser redundante
Control: Las instalaciones con el fin de mantener la disponibilidad
de procesamiento de de los servicios y ser probadas en
Disponibilidad de
informacin se deben intervalos regulares.
A.17.2. instalaciones de
implementar con
1 procesamiento de IMPLEMENTA
redundancia suficiente para
informacin SI NO
cumplir los requisitos de
disponibilidad.
La organizacin no dispone de
redundancia de la informacin.

145
Tabla 40. Anexo A de la Norma ISO/IEC 27001:2013. Cumplimiento.

A.18 CUMPLIMIENTO

A.18.1 Cumplimiento de los requisitos legales y contractuales

Objetivo: Evitar el incumplimiento de las obligaciones legales, estatuarias, de reglamentacin o contractuales


relacionadas con la seguridad de la informacin y de cualquier requisito de seguridad.

APLICA
SI NO
Los administradores deberan
Control: Todos los requisitos identificar toda la informacin
estatuarios, reglamentarios y legislativa aplicable a la
Identificacin de la organizacin con el fin de cumplir
contractuales pertinentes y el enfoque
legislacin con los requerimientos del
de la organizacin para cumplirlos, se
A.18.1.1 aplicable a los negocio.
deben identificar y documentar
requisitos IMPLEMENTA
explcitamente y mantenerlos
contractuales
actualizados para cada sistema de SI NO
informacin y para la organizacin.
Los requisitos contractuales estn
identificados y se cumplen con los
requerimientos exigidos por la ley.

APLICA
SI NO
Control: Se deben implementar
procedimientos apropiados para Se deberan definir las polticas y
asegurar el cumplimiento de los procedimientos para controlar la
Derechos de
requisitos legislativos, de propiedad intelectual.
A.18.1.2 propiedad
reglamentacin y contractuales
intelectual IMPLEMENTA
relacionados con los derechos de
propiedad intelectual y el uso de SI NO
productos de software patentados.
No se desarrolla y/o patenta
software.

APLICA
SI NO
Los registros deberan estar
Control: Los registros se deben clasificados de acuerdo al
proteger contra prdida, destruccin, esquema adoptado por la
falsificacin, acceso no autorizado y organizacin de acuerdo al nivel
Proteccin de de confidencialidad.
A.18.1.3 liberacin no autorizada, de acuerdo
registros
con los requisitos legislativos, de IMPLEMENTA
reglamentacin, contractuales y de
SI NO
negocio.
No existe un nivel de clasificacin
formal de confidencialidad de los
registros.

146
APLICA
SI NO
Se debera documentar y definir
polticas relativas a la proteccin
Control: Se deben asegurar la de datos personales de acuerdo a
Privacidad y privacidad y la proteccin de la las reglamentaciones que la ley
proteccin de informacin de datos personales, como exige.
A.18.1.4
informacin de se exige en la legislacin y la IMPLEMENTA
datos personales reglamentacin pertinentes, cuando sea
aplicable. SI NO
Existe una poltica relativa a la
proteccin de datos personales
conforme a los requerimientos de
la ley.

APLICA
SI NO
Los controles criptogrficos
permiten garantizar la
confidencialidad, integridad y
Control: Se deben usar controles autenticidad de la informacin.
Reglamentacin de
criptogrficos, en cumplimiento de todos IMPLEMENTA
A.18.1.5 controles
los acuerdos, legislacin y
criptogrficos SI NO
reglamentacin pertinentes.
No existe una Infraestructura de
Llave Pblica (PKI) implementada
que garantice que la informacin
transmitida y/o almacenada sea
segura.

A.18.2 Revisiones de seguridad de la informacin

Objetivo: Asegurar que la seguridad de la informacin se implemente y opere de acuerdo con las polticas y
procedimientos organizacionales.

APLICA
SI NO
Control: El enfoque de la organizacin Se deberan realizar auditoras de
para la gestin de la seguridad de la los procesos, procedimientos y
informacin y su implementacin (es sistemas por medio de entidades
Revisin decir, los objetivos de control, los externas.
independiente de la controles, las polticas, los procesos y
A.18.2.1 IMPLEMENTA
seguridad de la los procedimientos para seguridad de
informacin informacin) se deben revisar SI NO
independientemente a intervalos
planificados o cuando ocurran cambios
significativos. No se realizan auditoras con
entidades externas.

147
APLICA
SI NO

Control: Los directores deben revisar Se deberan realizar revisiones de


con regularidad el cumplimiento del las polticas de seguridad con el fin
Cumplimiento con de verificar su cumplimiento.
procesamiento y procedimientos de
las polticas y
A.18.2.2 informacin dentro de su rea de
normas de IMPLEMENTA
responsabilidad, con las polticas y
seguridad SI NO
normas de seguridad apropiadas, y
cualquier otro requisito de seguridad. No existen polticas de la
seguridad de la informacin con la
cual se permitan comparar los
resultados.

APLICA
SI NO
Los test de penetracin deben ser
realizados por con herramientas
automticas, con personal
calificado y en intervalos
Control: Los sistemas de informacin programados y acordados con el
Revisin del se deben revisar peridicamente para fin de verificar las polticas de
A.18.2.3 cumplimiento determinar el cumplimiento con las seguridad as como los
tcnico polticas y normas de seguridad de requerimientos.
informacin. IMPLEMENTA
SI NO
Aunque se realizan algunos test de
penetracin no hay polticas de
seguridad o metodologa de riesgo
que permita comparar los
resultados.

De esta manera, el nivel de cumplimiento para cada uno de los Dominios,


Objetivos de Control y Controles de Seguridad del Anexo A de la norma ISO/IEC
27001:2013 (ISO/IEC 27002:2013) se resume de la siguiente manera:

148
Tabla 41. Nivel de Cumplimiento de los Dominios de Control de la Norma ISO/IEC 27002:2013.

CUMPLE NO CUMPLE
DOMINIO DE CONTROL
(%) (%)
A5. POLTICAS DE LA SEGURIDAD DE LA INFORMACIN 0 0
A6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN 29 71
A7. SEGURIDAD DE LOS RECURSOS HUMANOS 50 50
A8. GESTIN DE ACTIVOS 30 70
A9. CONTROL DE ACCESO 43 57
A10. CRIPTOGRAFA 0 100
A11. SEGURIDAD FSICA Y DEL ENTORNO 67 33
A12. SEGURIDAD DE LAS OPERACIONES 64 36
A13. SEGURIDAD DE LAS COMUNICACIONES 43 57
A14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS 31 69
A15. RELACIONES CON LOS PROVEEDORES 0 0
A16. GESTIN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIN 57 43
A17. ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTIN
0 0
DE LA CONTINUIDAD DEL NEGOCIO
A18. CUMPLIMIENTO 25 75
Fuente: El Autor.

Y el nivel de cumplimiento general que se tiene actualmente referente a estos


Dominios de Control es el siguiente:

149
Grfica 2. Nivel de Cumplimiento de los Dominios de Control de la Norma ISO/IEC 27002:2013.

Fuente: El Autor.

Mediante este Anlisis Diferencial es posible determinar que la oficina de Sistemas


y Telecomunicaciones de la Universidad de Crdoba no cumple con la mayora de
los Dominios, Objetivos de Control y Controles de Seguridad propuestos en la
norma ISO/IEC 27002:2013. Esto se refleja en que no se tiene la documentacin
correspondiente al estndar ISO/IEC 27001:2013 as como tampoco el empleo de
mecanismos de seguridad en la transmisin de la informacin.

Por otro lado, aunque las instalaciones fsicas estn protegidas con algunos
controles de acceso y vigilancia, el personal y algunos activos informticos no
estn lo suficientemente protegidos ante una eventualidad de orden mayor, y no
existen procedimientos de contingencia para garantizar la continuidad de las
operaciones.

150
6.4. POLTICAS DE SEGURIDAD DE LA INFORMACIN

OFICINA DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDAD DE CRDOBA

POLTICAS DE LA SEGURIDAD DE LA INFORMACIN

Cdigo del Documento [Definir cdigo del Sistema de Gestin Documental]

Versin 1.0

Fecha de Versin 2015-05-19

Creado por Andrs F. Doria Corcho

Aprobado por [Jefa de Oficina de Sistemas y Telecomunicaciones]

Nivel de Confidencialidad Baja

151
HISTORIAL DE CAMBIOS

FECHA VERSIN CREADO POR DESCRIPCIN DEL CAMBIO

2015-05-19 1.0 Andrs F. Doria Corcho Versin inicial

1. PROPSITO, ALCANCE Y USUARIOS

La oficina de Sistemas y Telecomunicaciones de la Universidad de Crdoba se


comprometer a proteger los pilares fundamentales de la seguridad informtica
como lo son la Confidencialidad, Integridad y Disponibilidad de la informacin, as
como todos sus recursos y activos informticos que garantice el cumplimiento de
sus funciones y los requerimientos reguladores, operacionales y contractuales.

Este documento ser aplicado a todo el Sistema de Gestin de la Seguridad de la


Informacin de acuerdo a lo definido en su alcance y ser de conocimiento pblico
para todos los funcionarios.

2. DOCUMENTOS DE REFERENCIA

Los documentos de referencia son los siguientes:

Estndar ISO/IEC 27001:2013, clusulas 5.2 y 5.3.


Documento del Alcance del Sistema de Gestin de la Seguridad de la
Informacin.
Documento de Metodologa del Anlisis, Evaluacin y Tratamiento de
Riesgos.
Documento de Declaracin de Aplicabilidad.
Lista de documentacin legal, requerida y contractual.
Documento de la Poltica de la Continuidad del Negocio.

152
3. ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN

Se implementar una estrategia y un marco de trabajo que gestione los riesgos a


los que est expuesta la informacin, as como sus activos informticos a travs
de guas, procedimientos, evaluaciones y controles que permitan mantener y
cumplir esta poltica de seguridad.

Se garantizarn los planes de continuidad, copias de seguridad de la informacin


sensitiva, proteccin y defensa contra el software malicioso, control de acceso
fsico y lgico, transmisin segura de datos, acceso remoto seguro y reporte de
incidentes.

4. OBJETIVOS GENERALES

En su compromiso de proteger la Confidencialidad, Integridad y Disponibilidad de


la informacin, la oficina de Sistemas y Telecomunicaciones tendr como objetivos
generales los siguientes:

Garantizar el cumplimiento de las regulaciones, leyes y lineamientos


actuales.
Garantizar la Confidencialidad, Integridad y Disponibilidad de la informacin
de los estudiantes, docentes, administrativos, entre otros usuarios, as
como los datos catalogados como confidenciales, privados y sensitivos.
Establecer controles fsicos y lgicos en los activos informticos para
prevenir el ingreso, modificacin, robo y/o divulgacin de la informacin de
personas no autorizadas.
Garantizar la disponibilidad y confiabilidad de la estructura y servicios de
transmisin de datos.
Garantizar la continuidad, operacin y prestacin de servicios de la
institucin en caso de incidentes mayores de seguridad.
Motivar al personal en la seguridad de informacin con el fin de minimizar
riesgos.

153
5. ALCANCE E IMPORTANCIA

El presente documento establece la Poltica de Seguridad de la informacin


nicamente de la oficina de Sistemas y Telecomunicaciones de la Universidad de
Crdoba en pro de ayudar a conseguir los objetivos institucionales.

Esta oficina que administrativamente depende de la Unidad de Planeacin y


Desarrollo, juega un papel clave en el normal desarrollo de los procesos
acadmicos y administrativos, brindando soporte tecnolgico a toda la institucin;
por esto es imprescindible cumplir a cabalidad las Polticas de Seguridad de la
Informacin establecidas en el presente documento.

6. DEFINICIONES

Con el fin de entender esta poltica, a continuacin se definen algunos conceptos


bsicos:

Confidencialidad: Protege a la informacin de que est disponible a


usuarios, entidades o procesos no autorizados.
Integridad: Permite que la informacin sea correcta y que no haya sido
alterada por usuarios, entidades o procesos no autorizados.
Disponibilidad: Permite que la informacin est disponible solamente a los
usuarios autorizados en el tiempo que lo requieran.
Autenticidad: Permite que la informacin transmitida o intercambiada
provenga de fuentes autnticas y de quines dicen ser que son.
No Repudio: Garantizar que la transferencia de un mensaje ha sido
enviado y recibido por entidades que son quienes dicen ser.
Activo: Es cualquier recurso que genere valor para la institucin. Dentro de
los activos informticos se encuentran las bases de datos, sistemas
operativos, software, aplicaciones, cdigos fuentes, dispositivos de redes y
comunicaciones, etc.

154
Vulnerabilidad: Es una falla presente en un activo y que pueda ser
explotada por intrusos.
Amenaza: Es la probabilidad de que ocurra un hecho indeseado y que
tenga un efecto negativo sobre un activo.
Riesgo: Es la probabilidad de que se materialice una amenaza y determine
el nivel de impacto en una organizacin.
Control: Son medidas que se implementan con el fin de mitigar los riesgos.

7. POLTICAS DE SEGURIDAD DE LOS ACTIVOS DE LA


INFORMACIN
7.1. POLTICA DE SEGURIDAD GENERAL

Todos los directivos y funcionarios se comprometern a mantener la informacin lo


ms segura posible. Se prohbe la reproduccin total o parcial de los documentos
clasificados como confidenciales, sin la debida autorizacin o consentimiento del
ente competente, as como el deterioro adrede de los dispositivos informticos,
software, cableado de datos, suministro elctrico, o cualquier activo institucional.

7.2. POLTICA DE LA SEGURIDAD DE LA INFORMACIN EN


GENERAL

Se emplearn polticas y lineamientos de seguridad que fuercen a mantener la


informacin de estudiantes, docentes y administrativos en un entorno seguro.
Estas polticas estarn dirigidas a mantener los principios de la Seguridad
Informtica como lo son la Confidencialidad, Integridad y Disponibilidad, as como
los Planes de Continuidad del Negocio y Recuperacin de Desastres.

7.3. POLTICA DE A LOS SERVICIOS UNIVERSITARIOS

Para el acceso a los servicios de los sistemas de informacin universitarios, se


solicitarn siempre las credenciales de acceso obtenidas por la oficina de

155
Sistemas y Telecomunicaciones de la Universidad de Crdoba. Este ser una
nica cuenta personal e intransferible. Si los datos de acceso son extraviados, se
podrn recuperar a travs del usuario del correo institucional.

7.4. POLTICA DEL DESARROLLO DE APLICACIONES

Para la contratacin de software de aplicacin de terceros, ste ser evaluado por


el personal de sistemas capacitado de la universidad para verificar si cumple con
los requerimientos institucionales y de seguridad, y de acuerdo a su evaluacin, se
emplear un perodo de pruebas no menor a 3 meses y no mayor a 6 meses.

Para el desarrollo de software de aplicacin por grupos o proyectos de


investigacin institucionales, se verificarn que sean bajo las herramientas de
desarrollo de software, multimedia o educativo con los cuales la universidad
mantiene contratos de licencia. El perodo de evaluacin y prueba cumple con las
mismas condiciones del software desarrollado por terceros.

Para el software de aplicacin que requiera de credenciales de acceso, ste


implementar para los usuarios, conexiones seguras.

7.5. POLTICA DE LA GESTIN DE RIESGO

Se emplearn los mecanismos de gestin de riesgos y controles necesarios para


mantener el normal funcionamiento de los procesos.

7.6. POLTICA DE LA PROTECCIN DE DATOS

Se implementar un sistema de proteccin multiniveles a los datos e informacin


que se almacenan en las bases de datos de la institucin. Se emplearn
restricciones a nivel de usuario en base al rol y perfil.

156
7.7. POLTICA DE AUDITORA

Para mantener la calidad de los procesos organizativos, se harn auditoras


programadas en cada una de las reas y procesos crticos de la institucin.

7.8. POLTICA DE CALIDAD

La oficina de Sistemas y Telecomunicaciones se comprometer a realizar


controles y cambios en pro de mejorar continuamente sus procesos. Se realizarn
evaluaciones peridicas para medir el nivel de calidad en reas crticas y en otras
donde sea necesario.

La calidad ser un componente fundamental. Se cumplirn con los requerimientos


de gestin para el logro de certificaciones de estndares internacionales, as como
la alineacin con los sistemas de calidad existentes en la institucin.

7.9. POLTICA DE LOS DISPOSITIVOS TRADOS POR EL USUARIO

Los funcionarios que prefieran trabajar con sus equipos de uso personal, deben
estar previamente autorizados para hacerlo, el equipo se configurar de acuerdo a
los lineamientos institucionales y bajo las mismas condiciones que los equipos de
la institucin, ya que no se aceptarn riesgos inaceptables como la propagacin
de software de cdigo malicioso debido a una falla de seguridad en el equipo. Los
dispositivos de uso personal deben proveer mecanismos de autenticacin
aprobados por la oficina de Sistemas y Telecomunicaciones.

7.10. POLTICA DE DISPOSITIVOS PORTABLES

La instalacin de los dispositivos portables en los equipos de la institucin, sern


escaneados automticamente por la solucin antivirus contratada. No se permitir
su ejecucin si se detecta el cdigo malicioso y no es removido de la unidad. Si no
puede ser removido, se emitir una alerta al ente correspondiente para su anlisis.

157
7.11. POLTICA DE LA CREACIN DE USUARIOS

Los usuarios podrn acceder a los diferentes servicios utilizando un esquema de


identificacin nico, personal e intransferible. Este ser el usuario institucional y se
entregar de forma automtica y online en un perodo no mximo a las 24 horas
desde el momento en el que el usuario tiene vnculo con la universidad.

7.12. POLTICA DE LA INSTALACIN DE SOFTWARE Y


HARDWARE

Para la instalacin del software y hardware, stos componentes sern nicamente


instalados por el personal tcnico capacitado de la institucin. A cada equipo se le
realizar un inventario de hardware y la informacin ser mantenida en una base
de datos. Se realizar un chequeo de este componente cada vez que se inicie el
equipo y se conecte a la red; si se detectan cambios no autorizados, quedar
deshabilitado automticamente.

7.13. POLTICA DE LA COMUNICACIN INSTITUCIONAL

La informacin y comunicacin institucional ser nica y exclusivamente informada


por medio de los correos electrnicos institucionales y no de los web comerciales.
Se realizar un escaneo con software antivirus a los documentos adjuntos tanto
subidos como recibidos.

8. RESPONSABILIDAD

Cada persona administrativa de la oficina de de Sistemas y Telecomunicaciones


velar por la seguridad de los activos informticos que estn a su disposicin, as
como se comprometer a seguir los lineamientos estipulados en este documento
de una manera satisfactoria y de acuerdo a las reglamentaciones contractuales.

El no actuar con responsabilidad frente a la Poltica de la Seguridad de la


Informacin, ser sancionado de acuerdo al cdigo tico de la Universidad.

158
9. PROCEDIMIENTOS EN INCIDENTES DE SEGURIDAD

Si la persona administrativa detecta que ha sido violado un procedimiento


referente a las Polticas de Seguridad establecidas en este documento, deber
informarlo inmediatamente al lder de la oficina de Sistemas y Telecomunicaciones
mediante un documento formal reportando el incidente, posibles causas y fallas
que podran haberlo generado, as como las recomendaciones y/o controles para
mitigarlo.

159
6.5. METODOLOGA DE ANLISIS Y EVALUACIN DE RIESGOS Y REPORTE DE
EVALUACIN DE RIESGOS

OFICINA DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDAD DE CRDOBA

METODOLOGA DE ANLISIS Y EVALUACIN DE RIESGOS Y REPORTE DE


EVALUACIN DE RIESGOS

Cdigo del Documento [Definir cdigo del Sistema de Gestin Documental]

Versin 1.0

Fecha de Versin 2015-05-19

Creado por Andrs F. Doria Corcho

Aprobado por [Jefa de Oficina de Sistemas y Telecomunicaciones]

Nivel de Confidencialidad Alto

160
HISTORIAL DE CAMBIOS

FECHA VERSIN CREADO POR DESCRIPCIN DEL CAMBIO

2015-05-19 1.0 Andrs F. Doria Corcho Versin inicial

1. PROPSITO, ALCANCE Y USUARIOS

El propsito de este documento es definir la metodologa de anlisis y evaluacin


de riesgos y evaluar el reporte de evaluacin de riesgos en la oficina de Sistemas
y Telecomunicaciones de la Universidad de Crdoba, y definir cules son los
riesgos que tienen mayor impacto en la institucin de acuerdo al estndar ISO/IEC
2001:2013.

El anlisis de riesgos es aplicado a todo el alcance del Sistema de Gestin de la


Seguridad de la Informacin incluyendo todos los activos inventariados que
podran tener un impacto en la seguridad de la informacin.

Los usuarios de este documento son todos aquellos funcionarios que intervienen
en el proceso de anlisis y evaluacin de riesgos.

2. DOCUMENTOS DE REFERENCIA

Estndar ISO/IEC 27001:2013, clusulas 6.1.2, 6.1.3, 8.2, y 8.3.

Polticas de la Seguridad de la Informacin.

Lista de documentos regulatorios, legales y contractuales.

Declaracin de Aplicabilidad.

161
3. METODOLOGA DE ANLISIS Y EVALUACIN DE RIESGOS Y REPORTE DE
EVALUACIN DE RIESGOS

6.5.1. Metodologa MAGERIT. MAGERIT es una Metodologa de Anlisis y


Gestin de Riesgos de los Sistemas de Informacin elaborado por el CSAE
(Consejo Superior de Administracin Electrnica) que supone los beneficios
evidentes de emplear las tecnologas de informacin, pero gestionando los riesgos
inherentes a ella83, donde actualmente est en su versin 3.

El objetivo principal de MAGERIT es proteger los activos informticos en pro de


ayudar al alcance de la misin de una organizacin de acuerdo a las
Dimensiones de Seguridad84 propuestas:

83
AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro I - Mtodo. Madrid: Ministerio de
Hacienda y Administraciones Pblicas. 2012. p. 6.
84
Ibd., p. 15-16.

162
Tabla 42. Dimensiones de Seguridad para la Identificacin y Valoracin de Amenazas en MAGERIT.

DIMENSIN DE
NOMENCLATURA DEFINICIN
SEGURIDAD
Propiedad o caracterstica de los activos consistente en que las
Disponibilidad D entidades o procesos autorizados tienen acceso a los mismos
cuando lo requieren. [UNE 71504:2008].
Propiedad o caracterstica consistente en que el activo de
Integridad I informacin no ha sido alterado de manera no autorizada. [ISO/IEC
13335-1:2004].
Propiedad o caracterstica consistente en que la informacin ni se
Confidencialidad C pone a disposicin, ni se revela a individuos, entidades o procesos
no autorizados. [UNE-ISO/IEC 27001:2007].
Propiedad o caracterstica consistente en que una entidad es quien
dice ser o bien que
Autenticidad A
garantiza la fuente de la que proceden los datos. [UNE
71504:2008].
Propiedad o caracterstica consistente en que las actuaciones de
Trazabilidad T una entidad pueden ser imputadas exclusivamente a dicha entidad.
[UNE 71504:2008].
Fuente: AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro I - Mtodo. Madrid: Ministerio de Hacienda y
Administraciones Pblicas. 2012. p. 15-16.

Para el proceso deGestin del Riesgo, MAGERIT contempla dos (2) grandes
tareas a realizar: el Anlisis de Riesgos y el Tratamiento de Riesgos. El
Anlisis de Riesgospretende calificar los riesgos encontrados cuantificando sus
consecuencias (anlisis cuantitativo) o determinando su importancia relativa
(anlisis cualitativo). Este proceso de anlisis conlleva la identificacin de los
activos, sus amenazas y los controles de seguridad propuestos, estimando as el
impacto y el riesgo al que estn expuestos cada uno de los activos y su
repercusin en el nivel de seguridad de la informacin en una organizacin. Por su
parte, el Tratamiento de Riesgos consta de las actividades que se ejecutan para
modificar la situacin o nivel de riesgo.

163
Como MAGERIT es una metodologa sistemtica, sigue una serie de pasos para
realizar la Gestin del Riesgo, los cuales son los siguientes:

1. Inventario de Activos: Los activos son aquellos componentes o


funcionalidades de un sistema de informacin que son susceptibles a ser
atacados deliberada o intencionalmente con consecuencias para una
organizacin85. Son tambin los elementos que una organizacin posee
para el tratamiento de la informacin86. MAGERIT clasifica los activos en los
siguientes tipos87:

Tabla 43. Clasificacin de los tipos de activos informticos en MAGERIT.

TIPO DE ACTIVO NOMENCLATURA DEFINICIN


Son aquellos que son esenciales para la supervivencia de la
Activos Esenciales [Essential] organizacin y que su carencia o dao afectara directamente
su existencia. Generalmente desarrollan misiones crticas.
Son aquellos que permiten estructurar el sistema, su
Arquitectura del Sistema [Arch]
arquitectura interna y sus relaciones con el exterior.
Es aquella informacin que le permite a una organizacin
Datos/Informacin [D]
prestar sus servicios.
Son aquellos que permiten cifrar la informacin. Incluye los
Claves Criptogrficas [K]
algoritmos de encriptacin.
Servicios [S] Son aquellos que satisfacen las necesidades de los usuarios.
Software/Aplicaciones Son aquellos que procesan los datos y permiten brindar
[SW]
Informticas informacin para la prestacin de servicios.
Hardware/Equipamiento Son los medios fsicos donde se depositan los datos y prestan
[HW]
Informtico directa o indirectamente un servicio.
Redes de Comunicaciones [COM] Son los medios de transporte por donde viajan los datos.
Son los dispositivos fsicos que permiten el almacenamiento
Soportes de Informacin [Media]
temporal o permanente de la informacin.

85
AMUTIO, M. A., CANDAU, J., & MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro I - Mtodo. Madrid: Ministerio de
Hacienda y Administraciones Pblicas. 2012. p. 22.
86
SUREZ, L., AMAYA, C. A. Sistema de Gestin de la Seguridad de la Informacin. Bogot:
UNAD. 2013. p. 45.
87
AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid:
Ministerio de Hacienda y Administraciones Pblicas. 2012. p. 7-13.

164
Son aquellos equipos que brindan soporte a los sistemas de
Equipamiento Auxiliar [AUX]
informacin sin estar relacionado con los datos.
Son los lugares donde se hospedan los sistemas de
Instalaciones [L]
informacin y comunicaciones.
Personal [P] Son las personas relacionadas con los sistemas de informacin.
Fuente: AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de
Riesgos de los Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid: Ministerio de Hacienda y
Administraciones Pblicas. 2012. p. 7-13.

2. Valoracin de los Activos: Los activos que generan valor son aquellos
que se necesitan proteger, y cada activo tiene una importancia mayor o
menor en la organizacin. MAGERIT establece dos (2) tipos de
valoraciones: Cualitativa que es aquella que permite calcular el valor de un
activo en base al impacto que pueda tener en la organizacin y la
Cuantitativa que estima el costo del activo (incluyendo costo de compra,
de reparacin, configuracin, mantenimiento, etc.). Mientras que la
Cualitativa permite establecer rdenes de magnitud (MA [Muy Alto], A
[Alto], M [Medio], B [Bajo] y MB [Muy Bajo]) y no genera valores numricos,
la Cuantitativas permite calcular el costo y/o valor monetario.

3. Identificacin y Valoracin de Amenazas: MAGERIT establece cinco (5)


Dimensiones de Seguridad (D [Disponibilidad], I [Integridad], C
[Confidencialidad], A [Autenticidad] y T [Trazabilidad]) donde es necesario
determinar los criterios de valoracin en cada dimensin. Estos valores y/o
criterios son similares a los establecidos en la tabla de Valoracin
cualitativa de los activos informticos en MAGERIT.

3.1. Identificacin de Amenazas: Las amenazas son los eventos que


ocurren sobre un activo que podra causarle dao a una organizacin.
MAGERIT emplea un catlogo de amenazas posibles sobre los activos

165
de un sistema de informacin88, los cuales estn clasificados de la
siguiente manera:

Tabla 44. Catlogo de Amenazas sobre los activos informticos en MAGERIT.

TIPO DE AMENAZA NOMENCLATURA DEFINICIN


Sucesos que pueden ocurrir sin intervencin de los seres
Desastres Naturales [N]
humanos como causa directa o indirecta.
Sucesos que pueden ocurrir de forma accidental, derivados de
De Origen Industrial [I] la actividad humana de tipo industrial. Estas amenazas puede
darse de forma accidental o deliberada.
Errores y Fallos No
[E] Fallos no intencionales causados por las personas.
Intencionados
Ataques
[A] Fallos deliberados causados por las personas.
Intencionados
Fuente: AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid: Ministerio de
Hacienda y Administraciones Pblicas. 2012. p. 25-47.

3.2. Valoracin de Amenazas: Para establecer la valoracin de las


amenazas es necesario determinarla frecuencia o probabilidad de
ocurrencia. En MAGERIT, las frecuencias o probabilidades se muestran
a continuacin89:

88
AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid:
Ministerio de Hacienda y Administraciones Pblicas. 2012. p. 25-47.
89
SUREZ, L., AMAYA, C. A. Sistema de Gestin de la Seguridad de la Informacin. Bogot:
UNAD. 2013. p. 52.

166
Tabla 45. Probabilidad o Frecuencia de ocurrencia de las amenazas en MAGERIT.

PROBABILIDAD O FRECUENCIA RANGO VALOR


Frecuencia muy alta 1 vez al da 100
Frecuencia alta 1 vez cada 1 semanas 70
Frecuencia media 1 vez cada 2 meses 50
Frecuencia baja 1 vez cada 6 meses 10
Frecuencia muy baja 1 vez al ao 5
Fuente: SUREZ, L., AMAYA, C. A. Sistema de Gestin de la Seguridad de la Informacin. Bogot: UNAD.
2013. p. 52.

3.3. Impacto Potencial: Se determina el nivel de dao o impacto que


tendra un activo si se llegara a materializar una amenaza determinada
en cada una de sus dimensiones de seguridad.

3.4. Riesgo Potencial: El riesgo es la medida probable de dao sobre un


sistema el cual es posible determinar directamente conociendo la
probabilidad de ocurrencia de una amenaza sobre un activo y el
impacto. Por ende, el riesgo es calculado como:

Riesgo = Probabilidad x Impacto.

El riesgo crece con el impacto y con la probabilidad como se muestra en la


siguiente ilustracin:

167
Figura 15. Zonas de riesgos.

Fuente: AMUTIO, M. A., CANDAU, J., & MAAS, J. A. MAGERIT versin 3.0. Metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Libro I - Mtodo. Madrid: Ministerio
de Hacienda y Administraciones Pblicas. 2012. p. 30.

Donde las zonas identifican lo siguiente90:

Zona 1: Riesgos muy probables y de muy alto impacto (MA:


Crticos).

Zona 2: Riesgos que varan desde situaciones improbables y con


impacto medio hasta situaciones muy probables pero de impacto
bajo o muy bajo (M: Apreciables).

Zona 3: Riesgos improbables y de bajo impacto (MB, B:


Despreciables o Bajos).

Zona 4: Riesgos improbables pero de muy alto impacto (A:


Importantes).

90
AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid:
Ministerio de Hacienda y Administraciones Pblicas. 2012. p. 30.

168
A su vez, la relacin de la probabilidad e impacto para determinar el riesgo
de forma cualitativa se muestra en la siguiente tabla:

Tabla 46. Estimacin cualitativa del riesgo.

PROBABILIDAD
RIESGO
MB B M A MA
MA A MA MA MA MA
A M A A MA MA
IMPACTO M B M M A A
B MB B B M M
MB MB MB MB B B
Fuente: AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid: Ministerio de
Hacienda y Administraciones Pblicas. 2012. p. 30.

4. Controles de Seguridad (Salvaguardas):

Los Controles de Seguridad o Salvaguardas son aquellos procedimientos o


mecanismos tecnolgicos que reducen el riesgo, donde se deben establecer los
controles para cada amenaza de cada activo. Los salvaguardas propuestos en
MAGERIT se clasifican en los siguientes91:

91
AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid:
Ministerio de Hacienda y Administraciones Pblicas. 2012. p. 53-57.

169
Tabla 47. Salvaguardas sobre los activos informticos en MAGERIT.

SALVAGUARDA NOMENCLATURA
Protecciones generales u horizontales H
Proteccin de los datos / informacin D
Proteccin de las claves criptogrficas K
Proteccin de los servicios S
Proteccin de las aplicaciones (software) SW
Proteccin de los equipos (hardware) HW
Proteccin de las comunicaciones COM
Proteccin en los puntos de interconexin con otros sistemas IP
Proteccin de los soportes de informacin MP
Proteccin de los elementos auxiliares AUX
Seguridad fsica Proteccin de las instalaciones L
Salvaguardas relativas al personal PS
Salvaguardas de tipo organizativo G
Continuidad de operaciones BC
Externalizacin E
Adquisicin y desarrollo NEW
Fuente: AMUTIO, M. A., CANDAU, J., MAAS, J. A. MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid: Ministerio de
Hacienda y Administraciones Pblicas. 2012. p. 53-57.

6.5.2. Inventario y Clasificacin de Activos Informticos. Un activo o recurso


informtico est representado por los objetos fsicos (hardware [routers,
switches, hubs, firewalls, antenas, computadoras]), objetos abstractos (software,
sistemas de informacin, bases de datos, sistemas operativos) e incluso el
personal de trabajo y las instalaciones fsicas. Dentro de los activos o recursos
informticos encontrados en la oficina de Sistemas y Telecomunicaciones de la
Universidad de Crdoba se encuentran los siguientes:

170
Tabla 48. Activos informticos en la oficina de Sistemas y Telecomunicaciones de la Universidad de Crdoba.

RECURSO DESCRIPCIN
Copias de Seguridad de
Archivos de copias de seguridad de los diferentes Sistemas de Informacin,
los Sistemas de
Aplicaciones y Ambientes Virtuales de Aprendizaje.
Informacin
Artculos de Revistas
Artculos, investigaciones y publicaciones.
Digitales
Archivos de registros de actividad de los diferentes Sistemas de Informacin,
Registros de Actividad
Aplicaciones y Ambientes Virtuales de Aprendizaje.
Archivos de cdigos fuentes de los diferentes Sistemas de Informacin propios
Cdigos Fuentes
desarrollados.
Gestin de las identidades, usuarios, contraseas y privilegios de las cuentas
Gestin de Identidades
administrativas para el uso de las computadoras institucionales.
Servicios de uso interno para docentes, estudiantes y administrativos que
Servicios Internos cuentan con datos de acceso institucionales. Software acadmico, Bases de
Datos de Biblioteca, Gestin Documental y Atencin al Usuario.
Pginas web de acceso Pginas, portales, ambientes virtuales de aprendizaje, sitios y aplicativos que
pblico son disponibles para el acceso pblico.
Software para Correo
Software utilizado para el correo electrnico institucional.
Electrnico
Administran y gestionan las bases de datos que se utilizan para soportar todo
Gestores de Bases de
el software acadmico, administrativo, educativo y dems que apoyan a los
Datos
dems procesos institucionales.
Software de Antivirus Software para prevenir y eliminar el malware.
Sistemas Operativos Software que administra los recursos de las computadoras de uso institucional.
Dispositivos que almacenan la informacin y son tiles para la recuperacin de
Dispositivos de Respaldo
desastres.
Controla el trfico entrante/saliente de la red de datos aplicando reglas de
Firewall
seguridad.
Computadoras especializadas en proveer los recursos, almacenar datos y
Servidores
ejecutar el software y diferentes aplicaciones a travs de la red.
Computadoras Porttiles Permiten la realizacin de tareas del personal administrativo conectadas a
de Uso Institucional travs de la red interna.
Computadoras de
Permiten la realizacin de tareas del personal administrativo conectadas a
Escritorio de Uso
travs de la red interna.
Institucional
Escner Dispositivos para transformar la informacin en formato digital.
Impresoras Dispositivos para la impresin en papel.

171
Redirige el trfico de datos de la red interna con el exterior. Permite la
Router
conexin a internet a travs del ISP (Proveedor de Servicios de Internet).
Administra las VLANS el permite realizar la segmentacin de la red de datos y
Switches gestionar y optimizar el ancho de banda, as como expandir la conexin de las
computadoras de uso institucional.
Puntos de Acceso
Amplan la cobertura de la red por medio de conexiones inalmbricas.
Inalmbricos
Permite la interconexin de las computadoras institucionales as como el
Red de rea Local
acceso a los diferentes servicios. Soporta el desarrollo normal de los procesos.
Aloja los servidores, router, switches y firewall protegindolos de la humedad,
Rack
golpes o uso malintencionado.
Fuente de Alimentacin Provee y regula la energa a los Servidores.
Sistema de Alimentacin Provee energa temporal a los Servidores y dems dispositivos vitales en caso
Ininterrumpida de fallas elctricas inesperadas.
Cableado Elctrico Provee energa elctrica a las instalaciones y dispositivos.
Fuente: El Autor.

Estos activos se clasifican segn el Tipo de Activo en la metodologa MAGERIT


de la siguiente manera:

172
[D] DATOS/INFORMACIN
CDIGO SUBTIPO DESCRIPCIN CONTENIDO RESPONSABLE
Copias de Seguridad
Archivos de copias de seguridad de los diferentes Sistemas de Jefe Sistemas de Informacin y
D_BCK [backup] de los Sistemas de
Informacin, Aplicaciones y Ambientes Virtuales de Aprendizaje. Telemtica
Informacin
D_CNT [files] Contratos Contratos del personal administrativo y acadmico. Jefe Contratacin y Adquisicin
Jefe Admisiones, Registro y
D_HAC [files] Historial Acadmico Historial acadmico de los estudiantes
Control Acadmico
Informacin clnica de servidores pblicos, docentes y no docentes, Jefe Unidad Administrativa
D_HCL [files] Historias Clnicas
trabajadores oficiales y pensionados, con sus beneficiarios. Fondo de Salud
Historial del tiempo laborado por el personal administrativo y de
D_HLB [files] Historial Laboral Jefe Talento Humano
contratacin.
Objetos Virtuales de
D_OVA [files] Banco de Objetos Virtuales de Aprendizaje Jefe Educacin a Distancia
Aprendizaje
D_PUB [files] Publicaciones Publicaciones y comunicaciones oficiales institucionales. Jefe Comunicaciones
Artculos de Revistas
D_RDG [files] Artculos, investigaciones y publicaciones. Jefes de Facultades
Digitales
Archivos de registros de actividad de los diferentes Sistemas de Jefe Sistemas de Informacin y
D_LOG [log] Registros de Actividad
Informacin, Aplicaciones y Ambientes Virtuales de Aprendizaje. Telemtica
Archivos de cdigos fuentes de los diferentes Sistemas de Jefe Sistemas de Informacin y
D_SRC [source] Cdigos Fuentes
Informacin propios desarrollados. Telemtica

[S] SERVICIOS
CDIGO SUBTIPO DESCRIPCIN CONTENIDO RESPONSABLE
Correo electrnico de uso institucional para docentes, estudiantes Jefe Sistemas de Informacin y
S_MAI [email] Correo Electrnico
y administrativos. Telemtica
Gestin de las identidades, usuarios, contraseas y privilegios de
Gestin de Jefe Sistemas de Informacin y
S_GID [int] las cuentas administrativas para el uso de las computadoras
Identidades Telemtica
institucionales.
Servicios de uso interno para docentes, estudiantes y Jefe Sistemas de Informacin y
administrativos que cuentan con datos de acceso institucionales. Telemtica, Jefe Biblioteca, Jefe
S_INT [int] Servicios Internos
Software acadmico, Bases de Datos de Biblioteca, Gestin Sistema Integral de Gestin de la
Documental y Atencin al Usuario. Calidad
Jefe Sistemas de Informacin y
Pginas web de Pginas, portales, ambientes virtuales de aprendizaje, sitios y
S_WWW [www] Telemtica, Jefe Educacin a
acceso pblico aplicativos que son disponibles para el acceso pblico.
Distancia

173
[SW] SOFTWARE
CDIGO SUBTIPO DESCRIPCIN CONTENIDO RESPONSABLE
Software de Software desarrollado internamente por la institucin
SW_SWP [prp] Jefe Sistemas de Informacin y Telemtica
Desarrollo Propio para cumplir sus necesidades a la medida.
Software desarrollado por terceros y adaptado a la Jefe Sistemas de Informacin y Telemtica,
institucin. Software que soporta la academia, los Jefe Admisiones, Registro y Control
SW_STD [std] Software Estndar
procesos administrativos y educacin virtual y a Acadmico, Jefe Educacin a Distancia
distancia. ODESAD
Software para Software utilizado para el correo electrnico
SW_MAI [email_client] Jefe Sistemas de Informacin y Telemtica
Correo Electrnico institucional.
Administran y gestionan las bases de datos que se
Gestores de Bases utilizan para soportar todo el software acadmico,
SW_DBS [dbms] Jefe Sistemas de Informacin y Telemtica
de Datos administrativo, educativo y dems que apoyan a los
dems procesos institucionales.
Software necesario para la realizacin de las
SW_OFM [office] Ofimtica Jefe Sistemas de Informacin y Telemtica
actividades, as como la produccin de recursos.
Software de
SW_AVS [antivirus] Software para prevenir y eliminar el malware. Jefe Sistemas de Informacin y Telemtica
Antivirus
Sistemas Software que administra los recursos de las
SW_OPS [os] Jefe Sistemas de Informacin y Telemtica
Operativos computadoras de uso institucional.

[HW] HARDWARE
CDIGO SUBTIPO DESCRIPCIN CONTENIDO RESPONSABLE
Dispositivos que almacenan la informacin y son tiles para la Jefe Sistemas de
HW_BCK [backup] Dispositivos de Respaldo
recuperacin de desastres. Informacin y Telemtica
Controla el trfico entrante/saliente de la red de datos aplicando reglas Jefe Sistemas de
HW_FRW [firewall] Firewall
de seguridad. Informacin y Telemtica
Envo/Recepcin de seales para la comunicacin con los dems Jefe Sistemas de
HW_ANT [host] Antenas
campus universitarios. Informacin y Telemtica
Computadoras especializadas en proveer los recursos, almacenar datos Jefe Sistemas de
HW_HOS [host] Servidores
y ejecutar el software y diferentes aplicaciones a travs de la red. Informacin y Telemtica
Computadoras Porttiles Permiten la realizacin de tareas del personal administrativo conectadas Jefe Sistemas de
HW_PCM [mobile]
de Uso Institucional a travs de la red interna. Informacin y Telemtica
Computadoras de
Permiten la realizacin de tareas del personal administrativo conectadas Jefe Sistemas de
HW_PCP [pc] Escritorio de Uso
a travs de la red interna. Informacin y Telemtica
Institucional
Jefe Sistemas de
HW_PRT [print] Impresoras Dispositivos para la impresin en papel.
Informacin y Telemtica
174
Redirige el trfico de datos de la red interna con el exterior. Permite la Jefe Sistemas de
HW_ROU [router] Router
conexin a internet a travs del ISP (Proveedor de Servicios de Internet). Informacin y Telemtica
Jefe Sistemas de
HW_SCN [scaner] Escner Dispositivos para transformar la informacin en formato digital.
Informacin y Telemtica
Administra las VLAN el permite realizar la segmentacin de la red de
Jefe Sistemas de
HW_SWH [switch] Switch datos y gestionar y optimizar el ancho de banda, as como expandir la
Informacin y Telemtica
conexin de las computadoras de uso institucional.
Puntos de Acceso Jefe Sistemas de
HW_WAP [wap] Amplan la cobertura de la red por medio de conexiones inalmbricas.
Inalmbricos Informacin y Telemtica

[COM] COMUNICACIONES
CDIGO SUBTIPO DESCRIPCIN CONTENIDO RESPONSABLE
Jefe Sistemas de
COM_INT [internet] Internet Permite el acceso a recursos de la web.
Informacin y Telemtica
Permite la interconexin de las computadoras institucionales as como el
Jefe Sistemas de
COM_LAN [LAN] Red de rea Local acceso a los diferentes servicios. Soporta el desarrollo normal de los
Informacin y Telemtica
procesos.
Conectividad Permite la conectividad inalmbrica de las computadoras institucionales, Jefe Sistemas de
COM_WIF [wifi]
Inalmbrica as como ampla la cobertura. Informacin y Telemtica

[AUX] EQUIPO AUXILIAR


CDIGO SUBTIPO DESCRIPCIN CONTENIDO RESPONSABLE
Jefe Sistemas de
AUX_FBO [fiber] Fibra ptica Provee transmisin de datos a alta velocidad.
Informacin y Telemtica
Aloja los servidores, router,switches y firewall protegindoles de Jefe Sistemas de
AUX_RCK [furniture] Rack
la humedad, golpes o uso malintencionado. Informacin y Telemtica
Jefe Sistemas de
AUX_PWR [power] Fuente de Alimentacin Provee y regula la energa a los Servidores.
Informacin y Telemtica
Sistema de Alimentacin Provee energa temporal a los Servidores y dems dispositivos Jefe Sistemas de
AUX_UPS [ups]
Ininterrumpida vitales en caso de fallas elctricas inesperadas. Informacin y Telemtica
Jefe Sistemas de
AUX_WIR [wire] Cableado Elctrico Provee energa elctrica a las instalaciones y dispositivos.
Informacin y Telemtica

175
[L] INSTALACIONES
CDIGO SUBTIPO DESCRIPCIN CONTENIDO RESPONSABLE
Oficina de Sistemas de Informacin y Estructura fsica que alberga la Oficina de Sistemas de Jefe de Planeacin y
L_SIT [site]
Telemtica Informacin y Telemtica. Desarrollo

[P] PERSONAL
CDIGO SUBTIPO DESCRIPCIN CONTENIDO RESPONSABLE
Administrador de Persona encargada de administrar, gestionar, solucionar y ayudar en el correcto Jefe de Contratacin
P_ADM [adm]
Sistema funcionamiento de los diferentes Sistemas de Informacin. y Adquisicin
Persona encargada de administrar y gestionar el trfico de datos en la red interna,
Administrador de Jefe de Contratacin
P_COM [com] as como configurar los diferentes dispositivos de comunicaciones que garanticen
Comunicaciones y Adquisicin
un ptimo rendimiento para el acceso a servicios y Sistemas de Informacin.
Persona que administra, configura y optimiza el rendimiento de las diferentes
Administrador de Jefe de Contratacin
P_DBA [dba] bases de datos que utilizan los Sistemas de Informacin para el soporte de los
Bases de Datos y Adquisicin
procesos institucionales.
Persona que se encarga de programar el cdigo fuente para los Sistemas de
Desarrolladores de Jefe de Contratacin
P_DES [des] Informacin en su defecto en el desarrollado por terceros para satisfacer las
Software y Adquisicin
necesidades institucionales.

176
6.5.2.1. Valoracin de Los Activos de Acuerdo al Impacto

Se determina la valoracin de los activos de la oficina de Sistemas y


Telecomunicaciones de la Universidad de Crdoba de acuerdo al tipo Cualitativo
que establece MAGERIT y el impacto que tiene en la institucin, de acuerdo a la
siguiente escala:

Tabla 49. Valoracin cualitativa de los activos informticos en MAGERIT.

IMPACTO NOMENCLATURA VALOR DESCRIPCIN

MUY El dao tiene consecuencias muy graves para la organizacin y


MA 10
ALTO podran ser irreversibles.

ALTO A 7-9 El dao tiene consecuencias muy graves para la organizacin.

El dao contiene consecuencias relevantes para la


MEDIO M 4-6
organizacin y su operacin.

El dao contiene consecuencias relevantes, pero no afecta a


BAJO B 1-3
una gran parte de la organizacin.

MUY El dao no contiene consecuencias relevantes para la


MB 0
BAJO organizacin.

Fuente: SUREZ, L., AMAYA, C. A. Sistema de Gestin de la Seguridad de la Informacin. Bogot: UNAD.
2013. p. 52.

177
[D] DATOS/INFORMACIN
CDIGO DESCRIPCIN IMPACTO RAZN
Copias de Seguridad de los
D_BCK MA Los archivos de copias de seguridad son determinantes para la recuperacin de desastres.
Sistemas de Informacin
D_CNT Contratos MA Los contratos son esenciales para los procesos jurdicos-administrativos.
Datos esenciales para la evaluacin del desempeo acadmico e histrico de los estudiantes
D_HAC Historial Acadmico MA
en la institucin.
Archivos de historial clnico de enfermedades, tratamientos y suministros de medicamentos a
D_HCL Historias Clnicas MA
los estudiantes, docentes, administrativos con sus beneficiarios.
D_HLB Historial Laboral MA Archivos esenciales para el historial laboral de los administrativos y docentes.
Objetos Virtuales de
D_OVA MB Archivos de uso pblico para profundizar en diferentes reas del conocimiento.
Aprendizaje
D_PUB Publicaciones B Archivos de publicaciones institucionales.
D_RDG Artculos de Revistas Digitales M Archivos de las diferentes publicaciones en revistas digitales.
Los archivos de registros son esenciales para realizar seguimiento a fallos en los Sistemas de
D_LOG Registros de Actividad MA
Informacin para determinar posibles causas de malfuncionamiento o acceso no autorizado.
Los archivos de cdigo fuente contienen informacin de cmo se ejecutan los procesos
D_SRC Cdigos Fuentes MA
internos en los Sistemas de Informacin desarrollados para la institucin.

[S] SERVICIOS
CDIGO DESCRIPCIN IMPACTO RAZN
El correo electrnico se utiliza para la comunicacin interna de los funcionarios, docentes y
S_MAI Correo Electrnico A
estudiantes.
S_GID Gestin de Identidades MA Acceso del personal administrativo a sus cuentas de usuario en el dominio institucional.
S_INT Servicios Internos MA Acceso a los servicios internos institucionales para el desarrollo normal de los procesos.
Pginas web de acceso Acceso a la pgina web institucional y otros sitos que ofrecen servicios al personal administrativo,
S_WWW A
pblico docentes, estudiantes y pblico en general.

178
[SW] SOFTWARE
CDIGO DESCRIPCIN IMPACTO RAZN
Software de Utilizados para el normal desarrollo de los procesos institucionales. Dentro de ellos se encuentran
SW_SWP MA
Desarrollo Propio SAPA, SIGEC y AVES.
Utilizados para el normal desarrollo de los procesos institucionales. Dentro de ellos se encuentran
SW_STD Software Estndar MA
Powercampus, Academusoft, Moodle, OJS, Kactus y Seven-HR.
Software para Correo Utilizado para la comunicacin de administrativos, docentes y estudiantes. Dentro de ellos se
SW_MAI A
Electrnico encuentran Google Apps for Education y E-Groupware.
Almacena toda la informacin de los diferentes Sistemas de Informacin, as como el soporte para el
Gestores de Bases
SW_DBS MA desarrollo normal de los procesos y tomas de decisiones. Dentro de ellos se encuentran Oracle 11g,
de Datos
SQL Server 2008 R2, MySQL 5.5 y PostgreSQL.
SW_OFM Ofimtica B Utilizado para la ejecucin de tareas.
Utilizado para la prevencin y eliminacin de software malintencionado, as como evitar la propagacin
SW_AVS Software de Antivirus M
de malware por la red.
SW_OPS Sistemas Operativos M Administra los recursos de software y hardware de las diferentes computadoras de uso institucional.

[HW] HARDWARE
CDIGO DESCRIPCIN IMPACTO RAZN
Dispositivos que almacenan los archivos de las copias de seguridad necesarios para la
HW_BCK Dispositivos de Respaldo MA
recuperacin en caso de desastres.
HW_FRW Firewall MA Dispositivo que filtra los paquetes. Esencial para la configuracin de seguridad de la red de datos.
Esencial para establecer los enlaces de comunicacin con cada uno de los campus universitarios
HW_ANT Antenas A
en otras sedes.
Dispositivos esenciales para el correcto funcionamiento de los diferentes Sistemas de Informacin
HW_HOS Servidores MA que soportan los procesos institucionales. Dentro de ellos se encuentran los Servidores de
Aplicaciones, DNS, Bases de Datos, Mail y Web.
Computadoras Porttiles
HW_PCM B Dispositivos para la ejecucin de tareas.
de Uso Institucional
Computadoras de
HW_PCP Escritorio de Uso B Dispositivos para la ejecucin de tareas.
Institucional
HW_PRT Impresoras MB Dispositivo para realizar impresiones en papel.
Esencial para direccionar el trfico de datos interno y externo. A su vez, hace el papel de Gateway
HW_ROU Router A
para dar salida a Internet.
HW_SCN Escner MB Dispositivo para digitalizar documentos.
Esencial para direccionar el trfico de datos interno, administracin de VLAN y segmentar el ancho
HW_SWH Switch A de banda con el fin de optimizarla. Dentro de ellas se encuentran las VLAN administrativa,
docentes y estudiantes.
179
Puntos de Acceso
HW_WAP B Dispositivos que amplan la cobertura de la red para dar acceso inalmbrico.
Inalmbricos

[COM] COMUNICACIONES
CDIGO DESCRIPCIN IMPACTO RAZN
COM_INT Internet A Esencial para tener acceso a redes externas.
Esencial para la transmisin de datos y dar soporte al normal funcionamiento de los servicios internos
COM_LAN Red de rea Local MA
institucionales. Incluye todo el cableado estructurado.
Conectividad
COM_WIF B Ampla la cobertura y otorga acceso inalmbrico a estos tipos de dispositivos.
Inalmbrica

[AUX] EQUIPO AUXILIAR


CDIGO DESCRIPCIN IMPACTO RAZN
Otorga alta velocidad de transmisin en el trfico de datos interno. Da soporte de conectividad a
AUX_FBO Fibra ptica MA
toda la institucin.
AUX_RCK Rack A Mantiene los dispositivos de red como el router, switches y servidores organizados y asegurados.
Esencial para el funcionamiento normal de todos los dispositivos que soportan los Sistemas de
AUX_PWR Fuente de Alimentacin MA
Informacin y procesos institucionales.
Sistema de Alimentacin Esencial para mantener funcionando a los dispositivos en caso de una eventual falla en el
AUX_UPS A
Ininterrumpida suministro elctrico, as como tambin evita el dao parcial o total del hardware.
Cableado esencial para mantener en funcionamiento los dispositivos y el normal desarrollo de los
AUX_WIR Cableado Elctrico MA
procesos institucionales.

[L] INSTALACIONES
CDIGO DESCRIPCIN IMPACTO RAZN
Oficina de Sistemas de Informacin y Esencial para el normal funcionamiento de todos los Sistemas de Informacin que
L_SIT MA
Telemtica soportan los procesos institucionales.

180
[P] PERSONAL
CDIGO DESCRIPCIN IMPACTO RAZN
Administrador de Personas encargadas de administrar los diferentes Sistemas de Informacin que dan soporte a los
P_ADM A
Sistema procesos institucionales y sus servicios.
Administrador de Personas encargadas de administrar, configurar y operar las redes de comunicacin de datos que dan
P_COM MA
Comunicaciones soporte al normal funcionamiento de los servicios internos.
Persona encargada de administrar, configurar y optimizar el rendimiento de las bases de datos que
Administrador de
P_DBA MA contienen los datos de los diferentes Sistemas de Informacin, as como velar por la seguridad de que
Bases de Datos
stos se mantengan confidenciales, disponibles e ntegros.
Desarrolladores de Personas encargadas de desarrollar y/o programar el software que se ajuste a las necesidades de la
P_DES M
Software institucin.

181
6.5.2.2. Valoracin de los Activos de Acuerdo a las Dimensiones de Seguridad

[D] DATOS/INFORMACIN
CDIGO DESCRIPCIN DIMENSIN DE SEGURIDAD
[D] [I] [C] [A] [T]
D_BCK Copias de Seguridad de los Sistemas de Informacin 3 2
D_CNT Contratos 2
D_HAC Historial Acadmico 4 7 4 4
D_HCL Historias Clnicas 6 7 6 6
D_HLB Historial Laboral 3 2
D_OVA Objetos Virtuales de Aprendizaje 1
D_PUB Publicaciones 1
D_RDG Artculos de Revistas Digitales 1
D_LOG Registros de Actividad 2 3
D_SRC Cdigos Fuentes 3 5

CDIGO DIMENSIN DE SEGURIDAD DESCRIPCIN


3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin
[D]
D_BCK
2.lg: Probablemente cause una prdida menor de la confianza dentro de la Organizacin
[C]
D_CNT [I] 2.pi1: Pudiera causar molestias a un individuo
[I][A][T] 4.pi2: Probablemente quebrante leyes o regulaciones
D_HAC
[C] 7.lro: Probablemente cause un incumplimiento grave de una ley o regulacin
[I][A][T] 6.pi2: Probablemente quebrante seriamente la ley o algn reglamento de proteccin de informacin personal
D_HCL
[C] 7.lro: Probablemente cause un incumplimiento grave de una ley o regulacin
[I] 3.lro: Probablemente sea causa de incumplimiento leve o tcnico de una ley o regulacin
D_HLB 2.lg: Probablemente cause una prdida menor de la confianza dentro de la Organizacin
[C]
D_OVA [D] 1.pi1: Pudiera causar molestias a un individuo
D_PUB [D] 1.pi1: Pudiera causar molestias a un individuo
D_RDG [D] 1.pi1: Pudiera causar molestias a un individuo
2.lg: Probablemente cause una prdida menor de la confianza dentro de la Organizacin
[C]
D_LOG
[T] 3.si: Probablemente sea causa de una merma en la seguridad o dificulte la investigacin de un incidente
[I] 3.olm: Probablemente merme la eficacia o seguridad de la misin operativa o logstica (alcance local)
D_SRC
[C] 5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin

182
[S] SERVICIOS
CDIGO DESCRIPCIN DIMENSIN DE SEGURIDAD
[D] [I] [C] [A] [T]
S_MAI Correo Electrnico 3 2
S_GID Gestin de Identidades 5 2 2 4
S_INT Servicios Internos 3
S_WWW Pginas web de acceso pblico 3

CDIGO DIMENSIN DE SEGURIDAD DESCRIPCIN


3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin
[D]
S_MAI
2.lg: Probablemente cause una prdida menor de la confianza dentro de la Organizacin
[C]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
[D]
2.pi1: Pudiera causar molestias a un individuo
[I]
S_GID
2.lg: Probablemente cause una prdida menor de la confianza dentro de la Organizacin
[C]
4.crm: Dificulte la investigacin o facilite la comisin de delitos
[T]
3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin
S_INT [D]
3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin
S_WWW [D]

183
[SW] SOFTWARE
CDIGO DESCRIPCIN DIMENSIN DE SEGURIDAD
[D] [I] [C] [A] [T]
SW_SWP Software de Desarrollo Propio 3 4 7 4
SW_STD Software Estndar 3 4 7 4
SW_MAI Software para Correo Electrnico 5 1
SW_DBS Gestores de Bases de Datos 7 7 7 7
SW_OFM Ofimtica 1
SW_AVS Software de Antivirus 7
SW_OPS Sistemas Operativos 5 7

CDIGO DIMENSIN DE SEGURIDAD DESCRIPCIN


3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin
[D]
4.pi1: Probablemente afecte a un grupo de individuos
[C]
SW_SWP
7.si: Probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves
[A]
4.crm: Dificulte la investigacin o facilite la comisin de delitos
[T]
3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin
[D]
4.pi1: Probablemente afecte a un grupo de individuos
[C]
SW_STD
7.si: Probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves
[A]
4.crm: Dificulte la investigacin o facilite la comisin de delitos
[T]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
[D]
SW_MAI
1.si: Pudiera causar una merma en la seguridad o dificultar la investigacin de un incidente
[T]
7.adm: Probablemente impedira la operacin efectiva de la Organizacin
[D][I][A]
SW_DBS
7.lro: Probablemente cause un incumplimiento grave de una ley o regulacin
[C]
1.adm: Pudiera impedir la operacin efectiva de una parte de la Organizacin
SW_OFM [D]
7.si: Probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves
SW_AVS [C]

184
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
[D]
SW_OPS
7.si: Probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves
[I]

[HW] HARDWARE
CDIGO DESCRIPCIN DIMENSIN DE SEGURIDAD
[D] [I] [C] [A] [T]
HW_BCK Dispositivos de Respaldo 2 3
HW_FRW Firewall 7
HW_ANT Antenas 3
HW_HOS Servidores 5 7 7
HW_PCM Computadoras Porttiles de Uso Institucional 1
HW_PCP Computadoras de Escritorio de Uso Institucional 1
HW_PRT Impresoras 1
HW_ROU Router 5 7
HW_SCN Escner 1
HW_SWH Switch 5 7
HW_WAP Puntos de Acceso Inalmbricos 1

CDIGO DIMENSIN DE SEGURIDAD DESCRIPCIN


2.lg: Probablemente cause una prdida menor de la confianza dentro de la Organizacin
[C]
HW_BCK
3.si: Probablemente sea causa de una merma en la seguridad o dificulte la investigacin de un incidente
[T]
7.si: Probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves
HW_FRW [D]
3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin
HW_ANT [D]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
[D]
HW_HOS
7.si: Probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves
[C][A]
1.adm: Pudiera impedir la operacin efectiva de una parte de la Organizacin
HW_PCM/ HW_PCP [D]
1.pi1: Pudiera causar molestias a un individuo
HW_PRT/ HW_SCN [D]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
HW_ROU [D]

185
7.si: Probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves
[T]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
[D]
HW_SWH
7.si: Probablemente sea causa de un grave incidente de seguridad o dificulte la investigacin de incidentes graves
[T]
1.adm: Pudiera impedir la operacin efectiva de una parte de la Organizacin
HW_WAP [D]

[COM] COMUNICACIONES
CDIGO DESCRIPCIN DIMENSIN DE SEGURIDAD
[D] [I] [C] [A] [T]
COM_INT Internet 3
COM_LAN Red de rea Local 5
COM_WIF Conectividad Inalmbrica 1

CDIGO DIMENSIN DE SEGURIDAD DESCRIPCIN


COM_INT [D] 3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin

COM_LAN [D] 5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin

COM_WIF [D] 1.adm: Pudiera impedir la operacin efectiva de una parte de la Organizacin

186
[AUX] EQUIPO AUXILIAR
CDIGO DESCRIPCIN DIMENSIN DE SEGURIDAD
[D] [I] [C] [A] [T]
AUX_FBO Fibra ptica 5
AUX_RCK Rack 5
AUX_PWR Fuente de Alimentacin 5
AUX_UPS Sistema de Alimentacin Ininterrumpida 5
AUX_WIR Cableado Elctrico 5

CDIGO DIMENSIN DE SEGURIDAD DESCRIPCIN


5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
AUX_FBO [D]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
AUX_RCK [D]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
AUX_PWR [D]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
AUX_UPS [D]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
AUX_WIR [D]

[L] INSTALACIONES
CDIGO DESCRIPCIN DIMENSIN DE SEGURIDAD
[D] [I] [C] [A] [T]
L_SIT Oficina de Sistemas de Informacin y Telemtica 7

CDIGO DIMENSIN DE SEGURIDAD DESCRIPCIN


L_SIT [D] 7.adm: Probablemente impedira la operacin efectiva de la Organizacin

187
[P] PERSONAL
CDIGO DESCRIPCIN DIMENSIN DE SEGURIDAD
[D] [I] [C] [A] [T]
P_ADM Administrador de Sistema 5
P_COM Administrador de Comunicaciones 5
P_DBA Administrador de Bases de Datos 5
P_DES Desarrolladores de Software 3

CDIGO DIMENSIN DE SEGURIDAD DESCRIPCIN


5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
P_ADM [D]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
P_COM [D]
5.adm: Probablemente impedira la operacin efectiva de ms de una parte de la Organizacin
P_DBA [D]
3.adm: Probablemente impedira la operacin efectiva de una parte de la Organizacin
P_DES [D]

188
6.5.3. Identificacin y Valoracin de Amenazas. De acuerdo a las amenazas
que se identifican en MAGERIT, stas se establecen para cada activo
determinando su probabilidad o frecuencia de ocurrencia y el impacto que tiene en
cada una de las dimensiones de seguridad.

[D] DATOS/INFORMACIN
ACTIVOS FRECUENCIA [D] [I] [C] [A] [T]
D-DATOS/INFORMACIN
Artculos de Revistas Digitales
5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 5% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 5% 0% 0% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 50% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 0% 5% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 0% 5% 5% 0% 0%

Cdigos Fuentes
5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 50% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 0% 100% 0% 0%
5.3.4. [E.4] Errores de configuracin 10 20% 0% 0% 0% 0%
5.3.9. [E.14] Escapes de informacin 5 0% 0% 100% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 0% 100% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 0% 100% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 100% 100% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 100% 100% 100% 0% 0%

Contratos
5.3.1. [E.1] Errores de los usuarios 50 0% 50% 0% 0% 0%
5.3.10. [E.15] Alteracin accidental de la informacin 10 0% 50% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 100% 0% 0% 0%
5.3.9. [E.14] Escapes de informacin 10 0% 0% 100% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 75% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 10 0% 0% 100% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 100% 100% 0% 0%

189
Copias de Seguridad de los Sistemas de Informacin
5.3.1. [E.1] Errores de los usuarios 5 5% 50% 75% 0% 0%
5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 100% 20% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 0% 100% 0% 0%
5.3.2. [E.2] Errores del administrador 5 50% 50% 75% 0% 0%
5.3.9. [E.14] Escapes de informacin 5 0% 0% 100% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 0% 100% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 100% 100% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 75% 75% 0% 0%

Historial Acadmico
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 10 0% 0% 75% 0% 0%
5.3.9. [E.14] Escapes de informacin 10 0% 50% 50% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 10 0% 0% 100% 0% 0%
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 75% 75% 75% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 100% 100% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 100% 100% 100% 0% 0%

Historial Laboral
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 10 0% 0% 75% 0% 0%
5.3.9. [E.14] Escapes de informacin 10 0% 50% 50% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 10 0% 0% 100% 0% 0%
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 75% 75% 75% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 100% 100% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 100% 100% 100% 0% 0%

Historias Clnicas
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 10 0% 0% 75% 0% 0%
5.3.9. [E.14] Escapes de informacin 10 0% 50% 50% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 10 0% 0% 100% 0% 0%

190
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 75% 75% 75% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 100% 100% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 100% 100% 100% 0% 0%

Objetos Virtuales de Aprendizaje


5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 5% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 5% 0% 0% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 50% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 0% 5% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 0% 5% 5% 0% 0%

Publicaciones
5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 5% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 5% 0% 0% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 50% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 0% 5% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 0% 5% 5% 0% 0%

Registros de Actividad
5.3.11. [E.18] Destruccin de informacin 5 10% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 0% 100% 0% 0%
5.3.3. [E.3] Errores de monitorizacin (log) 5 100% 0% 0% 0% 100%
5.4.1. [A.3] Manipulacin de los registros de actividad (log) 5 0% 100% 0% 0% 100%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 100% 100% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 100% 0% 0% 0%

[S] SERVICIOS
ACTIVOS FRECUENCIA [D] [I] [C] [A] [T]
S-SERVICIOS
Correo Electrnico
5.3.1. [E.1] Errores de los usuarios 50 0% 0% 0% 0% 0%
5.3.10. [E.15] Alteracin accidental de la informacin 10 0% 75% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 50 100% 0% 0% 0% 0%
5.3.9. [E.14] Escapes de informacin 50 0% 0% 100% 0% 0%
5.4.11. [A.13] Repudio 5 0% 0% 0% 100% 20%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 10 0% 0% 100% 0% 0%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%

191
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 0% 0% 75% 75% 20%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 100% 75% 0% 0%
5.4.8. [A.10] Alteracin de secuencia 5 0% 100% 0% 100% 0%
5.4.9. [A.11] Acceso no autorizado 10 0% 0% 100% 0% 0%

Gestin de Identidades
5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 100% 0% 100% 20%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 50 100% 0% 0% 0% 0%
5.3.9. [E.14] Escapes de informacin 50 0% 0% 50% 0% 0%
5.4.11. [A.13] Repudio 5 0% 0% 0% 50% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 100% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 0% 100% 0% 0%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 0% 0% 100% 75% 20%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 100% 75% 100% 20%
5.4.9. [A.11] Acceso no autorizado 5 0% 0% 100% 0% 0%

Pginas web de acceso pblico


5.3.10. [E.15] Alteracin accidental de la informacin 10 0% 0% 50% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 50 100% 0% 0% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%

Servicios Internos
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 50 100% 0% 0% 0% 0%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%

192
[SW] SOFTWARE
ACTIVOS FRECUENCIA [D] [I] [C] [A] [T]
SW-SOFTWARE
Gestores de Bases de Datos
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 75% 75% 0% 75%
5.3.1. [E.1] Errores de los usuarios 10 5% 5% 5% 0% 0%
5.3.10. [E.15] Alteracin accidental de la informacin 5 75% 75% 0% 75% 0%
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 100% 100% 0% 0%
5.3.13. [E.20] Vulnerabilidades de los programas (software) 10 50% 75% 75% 0% 0%
5.3.2. [E.2] Errores del administrador 10 50% 50% 50% 0% 0%
5.3.6. [E.8] Difusin de software daino 5 5% 5% 5% 0% 0%
5.3.9. [E.14] Escapes de informacin 5 0% 0% 75% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 100% 100% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 75% 100% 0% 0%
5.4.16. [A.22] Manipulacin de programas 5 0% 50% 50% 0% 0%
5.4.3. [A.5] Suplantacin de la identidad del usuario 10 0% 0% 50% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 100% 100% 100% 0%
5.4.5. [A.7] Uso no previsto 5 75% 75% 75% 75% 0%
5.4.6. [A.8] Difusin de software daino 5 5% 5% 5% 0% 0%
5.4.7. [A.9] [Re-]encaminamiento de mensajes 5 0% 10% 0% 0% 0%
5.4.8. [A.10] Alteracin de secuencia 5 50% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 100% 100% 100% 100% 0%

Ofimtica
5.2.6. [I.5] Avera de origen fsico o lgico 10 10% 0% 0% 0% 0%
5.3.1. [E.1] Errores de los usuarios 50 5% 0% 0% 0% 0%
5.3.13. [E.20] Vulnerabilidades de los programas (software) 50 50% 0% 0% 0% 0%
5.3.6. [E.8] Difusin de software daino 10 50% 0% 0% 75% 0%
5.4.5. [A.7] Uso no previsto 50 0% 0% 0% 0% 0%
5.4.6. [A.8] Difusin de software daino 5 50% 0% 50% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 50% 0% 0% 0% 0%

Sistemas Operativos
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.3.1. [E.1] Errores de los usuarios 10 75% 0% 0% 0% 20%
5.3.10. [E.15] Alteracin accidental de la informacin 10 50% 20% 20% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 0% 75% 0% 0%
5.3.13. [E.20] Vulnerabilidades de los programas (software) 5 50% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 10 75% 0% 0% 0% 20%

193
5.3.6. [E.8] Difusin de software daino 10 75% 50% 0% 0% 0%
5.3.9. [E.14] Escapes de informacin 5 0% 0% 5% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 75% 100% 100% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 0% 100% 0% 0%
5.4.16. [A.22] Manipulacin de programas 5 0% 0% 50% 0% 50%
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 100% 100% 100% 0% 20%
5.4.4. [A.6] Abuso de privilegios de acceso 5 100% 100% 100% 0% 20%
5.4.5. [A.7] Uso no previsto 5 50% 0% 0% 0% 0%
5.4.6. [A.8] Difusin de software daino 5 75% 0% 0% 0% 0%
5.4.7. [A.9] [Re-]encaminamiento de mensajes 5 50% 0% 0% 0% 0%
5.4.8. [A.10] Alteracin de secuencia 5 50% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 75% 75% 0% 20%

Software de Antivirus
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.3.1. [E.1] Errores de los usuarios 50 50% 0% 0% 0% 0%
5.3.13. [E.20] Vulnerabilidades de los programas (software) 10 50% 0% 0% 0% 0%
5.3.6. [E.8] Difusin de software daino 10 75% 0% 0% 75% 0%
5.4.5. [A.7] Uso no previsto 5 20% 0% 0% 0% 0%
5.4.6. [A.8] Difusin de software daino 5 50% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 100% 0% 0% 0% 0%

Software de Desarrollo Propio


5.2.6. [I.5] Avera de origen fsico o lgico 5 20% 0% 0% 0% 0%
5.3.1. [E.1] Errores de los usuarios 50 0% 0% 5% 0% 0%
5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 50% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 0% 50% 0% 0%
5.3.13. [E.20] Vulnerabilidades de los programas (software) 50 20% 0% 0% 0% 20%
5.3.2. [E.2] Errores del administrador 10 20% 20% 20% 0% 0%
5.3.6. [E.8] Difusin de software daino 10 10% 0% 0% 0% 0%
5.3.9. [E.14] Escapes de informacin 10 0% 20% 20% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 50% 100% 100% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 5% 5% 0% 0%
5.4.16. [A.22] Manipulacin de programas 5 0% 75% 75% 75% 20%
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 0% 50% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 100% 100% 100% 0%
5.4.5. [A.7] Uso no previsto 5 5% 0% 0% 0% 0%
5.4.6. [A.8] Difusin de software daino 10 50% 0% 0% 0% 0%
5.4.7. [A.9] [Re-]encaminamiento de mensajes 5 50% 0% 0% 0% 0%

194
5.4.8. [A.10] Alteracin de secuencia 5 100% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 100% 100% 100% 0% 0%

Software Estndar
5.2.6. [I.5] Avera de origen fsico o lgico 5 20% 0% 0% 0% 0%
5.3.1. [E.1] Errores de los usuarios 50 0% 0% 5% 0% 0%
5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 50% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 0% 50% 0% 0%
5.3.13. [E.20] Vulnerabilidades de los programas (software) 50 20% 0% 0% 0% 20%
5.3.2. [E.2] Errores del administrador 10 20% 20% 20% 0% 0%
5.3.6. [E.8] Difusin de software daino 10 10% 0% 0% 0% 0%
5.3.9. [E.14] Escapes de informacin 5 0% 20% 20% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 50% 100% 100% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 5% 5% 0% 0%
5.4.16. [A.22] Manipulacin de programas 5 0% 75% 75% 75% 20%
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 0% 50% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 100% 100% 100% 0%
5.4.5. [A.7] Uso no previsto 5 5% 0% 0% 0% 0%
5.4.6. [A.8] Difusin de software daino 10 50% 0% 0% 0% 0%
5.4.7. [A.9] [Re-]encaminamiento de mensajes 5 50% 0% 0% 0% 0%
5.4.8. [A.10] Alteracin de secuencia 5 100% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 100% 100% 100% 0% 0%

Software para Correo Electrnico


5.2.6. [I.5] Avera de origen fsico o lgico 10 50% 0% 0% 0% 0%
5.3.1. [E.1] Errores de los usuarios 70 5% 0% 0% 0% 0%
5.3.10. [E.15] Alteracin accidental de la informacin 5 20% 0% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 1 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 50 0% 0% 100% 0% 0%
5.3.13. [E.20] Vulnerabilidades de los programas (software) 10 20% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 10 50% 0% 0% 0% 0%
5.3.6. [E.8] Difusin de software daino 5 20% 0% 20% 0% 0%
5.3.9. [E.14] Escapes de informacin 5 0% 75% 75% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 50% 50% 0% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 0% 0% 100% 0%
5.4.16. [A.22] Manipulacin de programas 5 20% 0% 0% 0% 0%
5.4.3. [A.5] Suplantacin de la identidad del usuario 5 0% 100% 100% 100% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 75% 100% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 5% 0% 0% 0% 0%
5.4.6. [A.8] Difusin de software daino 5 20% 0% 0% 0% 0%

195
5.4.7. [A.9] [Re-]encaminamiento de mensajes 5 0% 0% 75% 75% 0%
5.4.8. [A.10] Alteracin de secuencia 5 0% 75% 75% 75% 0%
5.4.9. [A.11] Acceso no autorizado 5 50% 75% 75% 0% 20%

[HW] HARDWARE
ACTIVOS FRECUENCIA [D] [I] [C] [A] [T]
HW-HARDWARE
Antenas
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 5% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 50% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 5 5% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 5 5% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 75% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%

Computadoras de Escritorio de Uso Institucional


5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 10 75% 0% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 5 100% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 20 50% 0% 0% 0% 0%
5.4.17. [A.23] Manipulacin de los equipos 5 0% 75% 0% 0% 20%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 0% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 75% 75% 0%

Computadoras Porttiles de Uso Institucional


5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 10% 0% 0% 0% 0%

196
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 10 75% 0% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 5 100% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 20 50% 0% 0% 0% 0%
5.4.17. [A.23] Manipulacin de los equipos 5 0% 75% 0% 0% 20%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 0% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 75% 75% 0%

Dispositivos de Respaldo
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 50% 0% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 5 75% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 5 50% 0% 0% 0% 0%
5.4.17. [A.23] Manipulacin de los equipos 5 0% 50% 0% 0% 20%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 0% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 75% 75% 0%

Escner
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 10 75% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%

197
Firewall
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 75% 0% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 5 100% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 20 75% 0% 0% 0% 0%
5.4.17. [A.23] Manipulacin de los equipos 5 0% 75% 0% 0% 20%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 0% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 75% 75% 0%

Impresoras
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 10 75% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%

Puntos de Acceso Inalmbricos


5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 75% 0% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 5 100% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 20 75% 0% 0% 0% 0%
5.4.17. [A.23] Manipulacin de los equipos 5 0% 75% 0% 0% 20%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%

198
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 0% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 75% 75% 0%

Router
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 75% 0% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 5 100% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 20 75% 0% 0% 0% 0%
5.4.17. [A.23] Manipulacin de los equipos 5 0% 75% 0% 0% 20%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 0% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 75% 75% 0%

Servidores
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 75% 0% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 5 100% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 20 75% 0% 0% 0% 0%
5.4.17. [A.23] Manipulacin de los equipos 5 0% 75% 0% 0% 20%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 0% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 75% 75% 0%

Switch
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%

199
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 10 75% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 75% 0% 0% 0% 0%
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 5 100% 0% 0% 0% 0%
5.3.17. [E.25] Prdida de equipos 5 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 20 75% 0% 0% 0% 0%
5.4.17. [A.23] Manipulacin de los equipos 5 0% 75% 0% 0% 20%
5.4.18. [A.24] Denegacin de servicio 5 100% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.4. [A.6] Abuso de privilegios de acceso 5 0% 0% 75% 0% 0%
5.4.5. [A.7] Uso no previsto 5 75% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 75% 75% 0%

[COM] COMUNICACIONES
ACTIVOS FRECUENCIA [D] [I] [C] [A] [T]
COM-COMUNICACIONES
Conectividad Inalmbrica
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 70 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 10 20% 0% 0% 0% 0%
5.3.7. [E.9] Errores de [re-]encaminamiento 5 0% 20% 0% 0% 0%
5.4.10. [A.12] Anlisis de trfico 5 0% 50% 50% 0% 0%
5.4.12. [A.14] Interceptacin de informacin (escucha) 5 0% 0% 100% 0% 0%
5.4.18. [A.24] Denegacin de servicio 70 100% 0% 0% 0% 0%
5.4.7. [A.9] [Re-]encaminamiento de mensajes 5 0% 0% 75% 75% 20%
5.4.8. [A.10] Alteracin de secuencia 5 0% 0% 75% 75% 20%
5.4.9. [A.11] Acceso no autorizado 50 50% 0% 0% 0% 0%

Internet
5.3.16. [E.24] Cada del sistema por agotamiento de recursos 10 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 5 20% 0% 0% 0% 0%
5.3.7. [E.9] Errores de [re-]encaminamiento 5 0% 20% 0% 0% 0%
5.4.10. [A.12] Anlisis de trfico 5 0% 50% 50% 0% 0%
5.4.12. [A.14] Interceptacin de informacin (escucha) 5 0% 0% 100% 0% 0%
5.4.18. [A.24] Denegacin de servicio 10 100% 0% 0% 0% 0%
5.4.7. [A.9] [Re-]encaminamiento de mensajes 5 0% 0% 75% 75% 20%
5.4.8. [A.10] Alteracin de secuencia 5 0% 0% 75% 75% 20%
5.4.9. [A.11] Acceso no autorizado 10 50% 0% 0% 0% 0%

Red de rea Local


5.3.16. [E.24] Cada del sistema por agotamiento de recursos 70 100% 0% 0% 0% 0%
5.3.2. [E.2] Errores del administrador 10 20% 0% 0% 0% 0%

200
5.3.7. [E.9] Errores de [re-]encaminamiento 5 0% 20% 0% 0% 0%
5.4.10. [A.12] Anlisis de trfico 5 0% 50% 50% 0% 0%
5.4.12. [A.14] Interceptacin de informacin (escucha) 5 0% 0% 100% 0% 0%
5.4.18. [A.24] Denegacin de servicio 70 100% 0% 0% 0% 0%
5.4.7. [A.9] [Re-]encaminamiento de mensajes 5 0% 0% 75% 75% 20%
5.4.8. [A.10] Alteracin de secuencia 5 0% 0% 75% 75% 20%
5.4.9. [A.11] Acceso no autorizado 50 50% 0% 0% 0% 0%

[AUX] EQUIPO AUXILIAR


ACTIVOS FRECUENCIA [D] [I] [C] [A] [T]
AUX-AUXILIAR
Cableado Elctrico
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 5 5% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 20% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.20. [A.26] Ataque destructivo 5 100% 0% 0% 0% 0%

Fibra ptica
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 100% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 20 5% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 20% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.20. [A.26] Ataque destructivo 5 100% 0% 0% 0% 0%

Fuente de Alimentacin
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 5% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 20 5% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 20% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.20. [A.26] Ataque destructivo 5 100% 0% 0% 0% 0%

201
Rack
5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 5% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 20 5% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 20% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.20. [A.26] Ataque destructivo 5 100% 0% 0% 0% 0%

Sistema de Alimentacin Ininterrumpida


5.2.1. [I.1] Fuego 5 100% 0% 0% 0% 0%
5.2.2. [I.2] Daos por agua 5 100% 0% 0% 0% 0%
5.2.6. [I.5] Avera de origen fsico o lgico 5 75% 0% 0% 0% 0%
5.2.7. [I.6] Corte del suministro elctrico 50 5% 0% 0% 0% 0%
5.2.8. [I.7] Condiciones inadecuadas de temperatura o humedad 20 5% 0% 0% 0% 0%
5.3.15. [E.23] Errores de mantenimiento / actualizacin de equipos
(hardware) 5 20% 0% 0% 0% 0%
5.4.19. [A.25] Robo 5 100% 0% 0% 0% 0%
5.4.20. [A.26] Ataque destructivo 5 100% 0% 0% 0% 0%

[L] INSTALACIONES
ACTIVOS FRECUENCIA [D] [I] [C] [A] [T]
L-INSTALACIONES
Oficina de Sistemas de Informacin y Telemtica
5.1.3. [N.*] Desastres Naturales 5 100% 0% 0% 0% 0%
5.2.12. [I.11] Emanaciones electromagnticas 5 20% 0% 0% 0% 0%
5.3.10. [E.15] Alteracin accidental de la informacin 5 0% 100% 0% 0% 0%
5.3.11. [E.18] Destruccin de informacin 5 100% 0% 0% 0% 0%
5.3.12. [E.19] Fugas de informacin 5 0% 0% 100% 0% 0%
5.4.13. [A.15] Modificacin deliberada de la informacin 5 0% 100% 100% 100% 0%
5.4.14. [A.18] Destruccin de informacin 5 100% 0% 100% 0% 0%
5.4.15. [A.19] Divulgacin de informacin 5 0% 100% 100% 0% 0%
5.4.20. [A.26] Ataque destructivo 5 100% 0% 0% 0% 0%
5.4.5. [A.7] Uso no previsto 5 50% 0% 0% 0% 0%
5.4.9. [A.11] Acceso no autorizado 5 75% 0% 0% 0% 0%

202
[P] PERSONAL
ACTIVOS FRECUENCIA [D] [I] [C] [A] [T]
P-PERSONAL
Administrador de Bases de Datos
5.3.12. [E.19] Fugas de informacin 5 0% 0% 0% 75% 0%
5.3.18. [E.28] Indisponibilidad del personal 10 50% 0% 0% 0% 0%
5.3.5. [E.7] Deficiencias en la organizacin 5 75% 0% 0% 0% 0%
5.4.22. [A.28] Indisponibilidad del personal 5 50% 0% 0% 0% 0%

Administrador de Comunicaciones
5.3.12. [E.19] Fugas de informacin 5 0% 0% 0% 75% 0%
5.3.18. [E.28] Indisponibilidad del personal 10 50% 0% 0% 0% 0%
5.3.5. [E.7] Deficiencias en la organizacin 5 75% 0% 0% 0% 0%
5.4.22. [A.28] Indisponibilidad del personal 5 50% 0% 0% 0% 0%

Administrador de Sistema
5.3.12. [E.19] Fugas de informacin 5 0% 0% 0% 75% 0%
5.3.18. [E.28] Indisponibilidad del personal 10 50% 0% 0% 0% 0%
5.3.5. [E.7] Deficiencias en la organizacin 5 75% 0% 0% 0% 0%
5.4.22. [A.28] Indisponibilidad del personal 5 50% 0% 0% 0% 0%

Desarrolladores de Software
5.3.12. [E.19] Fugas de informacin 5 0% 0% 0% 75% 0%
5.3.18. [E.28] Indisponibilidad del personal 10 50% 0% 0% 0% 0%
5.3.5. [E.7] Deficiencias en la organizacin 5 50% 0% 0% 0% 0%
5.4.22. [A.28] Indisponibilidad del personal 5 50% 0% 0% 0% 0%

203
6.5.4. Riesgo Potencial. Se determina el nivel de riesgo potencial de cada uno de
los activos en una valoracin cualitativa de acuerdo a las zonas de riesgo que
propone MAGERIT. El riesgo es calculado en base al impacto que tiene cada
activo y segn el tipo de amenaza general (Naturales, Industriales, Errores No
Intencionados, Ataques Intencionados); es decir, no se calcula en cada
dimensin de seguridad (Disponibilidad, Integridad, Confidencialidad,
Autenticidad y Trazabilidad). Slo se toma en cuenta que ocurra cualquier
amenaza dentro de su respectiva categora y se escoge el peor de los casos.

[D] DATOS/INFORMACIN

CDIGO ACTIVO IMPACTO PROBABILIDAD AMENAZA RIESGO_ID RIESGO


Copias de Seguridad de los
D_BCK MA MB E*, A* R_D_BCK A
Sistemas de Informacin
D_CNT Contratos MA M E*, A* R_D_CNT MA
D_HAC Historial Acadmico MA B E*, A* R_D_HAC MA
D_HCL Historias Clnicas MA B E*, A* R_D_HCL MA
D_HLB Historial Laboral MA B E*, A* R_D_HLB MA
D_OVA Objetos Virtuales de Aprendizaje MB MB E*, A* R_D_OVA MB
D_PUB Publicaciones B MB E*, A* R_D_PUB MB
D_RDG Artculos de Revistas Digitales M MB E*, A* R_D_RDG B
D_LOG Registros de Actividad MA MB E*, A* R_D_LOG A
D_SRC Cdigos Fuentes MA B E*, A* R_D_SRC MA

[S] SERVICIOS

CDIGO ACTIVO IMPACTO PROBABILIDAD AMENAZA RIESGO_ID RIESGO


S_MAI Correo Electrnico A M E*, A* R_S_MAI A
S_GID Gestin de Identidades MA M E*, A* R_S_GID MA
S_INT Servicios Internos MA M E*, A* R_S_INT MA
S_WWW Pginas web de acceso pblico A M E*, A* R_S_WWW A

204
[SW] SOFTWARE

CDIGO ACTIVO IMPACTO PROBABILIDAD AMENAZA RIESGO_ID RIESGO


SW_SWP Software de Desarrollo Propio MA M I*, E*, A* R_SW_SWP MA
SW_STD Software Estndar MA M I*, E*, A* R_SW_STD MA
SW_MAI Software para Correo Electrnico A A I*, E*, A* R_SW_MAI MA
SW_DBS Gestores de Bases de Datos MA B I*, E*, A* R_SW_DBS MA
SW_OFM Ofimtica B M I*, E*, A* R_SW_OFM B
SW_AVS Software de Antivirus M M I*, E*, A* R_SW_AVS M
SW_OPS Sistemas Operativos M B I*, E*, A* R_SW_OPS M

[HW] HARDWARE

CDIGO ACTIVO IMPACTO PROBABILIDAD AMENAZA RIESGO_ID RIESGO


HW_BCK Dispositivos de Respaldo MA M I*, E*, A* R_HW_BCK MA
HW_FRW Firewall MA M I*, E*, A* R_HW_FRW MA
HW_ANT Antenas A MB I*, E*, A* R_HW_ANT M
HW_HOS Servidores MA M I*, E*, A* R_HW_HOS MA
Computadoras Porttiles de Uso
HW_PCM B M I*, E*, A* R_HW_PCM B
Institucional
Computadoras de Escritorio de
HW_PCP B M I*, E*, A* R_HW_PCP B
Uso Institucional
HW_PRT Impresoras MB M I*, E*, A* R_HW_PRT MB
HW_ROU Router A M I*, E*, A* R_HW_ROU A
HW_SCN Escner MB M I*, E*, A* R_HW_SCN MB
HW_SWH Switch A M I*, E*, A* R_HW_SWH A
HW_WAP Puntos de Acceso Inalmbricos B M I*, E*, A* R_HW_WAP B

[COM] COMUNICACIONES

CDIGO ACTIVO IMPACTO PROBABILIDAD AMENAZA RIESGO_ID RIESGO


COM_INT Internet A A E*, A* R_COM_INT MA
COM_LAN Red de rea Local MA A E*, A* R_COM_LAN MA
COM_WIF Conectividad Inalmbrica B A E*, A* R_COM_WIF M

205
[AUX] EQUIPO AUXILIAR

CDIGO ACTIVO IMPACTO PROBABILIDAD AMENAZA RIESGO_ID RIESGO


AUX_FBO Fibra ptica MA M I*, E*, A* R_AUX_FBO MA
AUX_RCK Rack A M I*, E*, A* R_AUX_RCK A
AUX_PWR Fuente de Alimentacin MA M I*, E*, A* R_AUX_PWR MA
Sistema de Alimentacin
AUX_UPS A M I*, E*, A* R_AUX_UPS A
Ininterrumpida
AUX_WIR Cableado Elctrico MA M I*, E*, A* R_AUX_WIR MA

[L] INSTALACIONES

CDIGO ACTIVO IMPACTO PROBABILIDAD AMENAZA RIESGO_ID RIESGO


Oficina de Sistemas de N*, I*, E*,
L_SIT MA MB R_L_SIT A
Informacin y Telemtica A*

[P] PERSONAL

CDIGO ACTIVO IMPACTO PROBABILIDAD AMENAZA RIESGO_ID RIESGO


P_ADM Administrador de Sistema A B E*, A* R_P_ADM A
P_COM Administrador de Comunicaciones MA B E*, A* R_P_COM MA
P_DBA Administrador de Bases de Datos MA B E*, A* R_P_DBA MA
P_DES Desarrolladores de Software M B E*, A* R_P_DES M

206
Se clasifican los riesgos de acuerdo a las zonas establecidas en MAGERIT de la
siguiente manera:

Tabla 50. Clasificacin de los riesgos segn la Zona de Riesgos.

PROBABILIDAD
RIESGO
MB B M A MA
R_D_CNT, R_S_GID,
R_D_HAC,
R_S_INT, R_SW_SWP,
R_D_HCL,
R_SW_STD, R_HW_BCK,
R_D_BCK, R_D_HLB,
R_HW_FRW,
MA R_D_LOG, R_D_SRC, R_COM_LAN
R_HW_HOS,
R_L_SIT R_SW_DBS,
R_AUX_FBO,
R_P_COM,
R_AUX_PWR,
R_P_DBA
R_AUX_WIR
R_S_MAI, R_S_WWW,
IMPACTO R_HW_ROU,
R_SW_MAI,
A R_HW_ANT R_P_ADM R_HW_SWH,
R_COM_INT
R_AUX_RCK,
R_AUX_UPS
R_SW_OPS,
M R_D_RDG R_SW_AVS,
R_P_DES
R_SW_OFM,
B R_D_PUB, R_HW_PCM, R_HW_PCP, R_COM_WIF
R_HW_WAP
MB R_D_OVA, R_HW_PRT, R_HW_SCN
Fuente: El Autor.

En la oficina de Sistemas y Telecomunicaciones de la Universidad de Crdoba la


mayora de los riesgos estn clasificados en zonas de alto riesgo (A) y muy alto
(MA) los cuales deberan ser tratados con la debida rigurosidad y control, y estn
asociados con el funcionamiento normal del hardware y de las redes de
comunicaciones de datos, identificndose as que la disponibilidad del servicio de
los dispositivos fsicos es esencial para la operacin efectiva de los procesos,
porque de ellos tambin depende que el software pueda procesar la informacin y

207
que los datos estn accesibles. En su mayora, la amenaza de mayor probabilidad
de ocurrencia sera la fluctuacin en el servicio elctrico.

Otro riesgo importante a tener en consideracin sera la posible filtracin de


informacin debido a una eventual interceptacin no autorizada porviolacin de
confidencialidad en los datos transmitidos, donde probablemente se deba a la falta
de mecanismos de encriptacin/cifrado en la comunicacin en el acceso web a los
diferentes servicios y software de uso institucional.

Por otra parte, el software de uso ofimtico y el hardware que no es de


procesamiento de informacin se catalogan en una zona de riesgo baja debido a
que tienen muy bajo impacto en la operacin de los procesos de la institucin.

Por ltimo, aunque las posibilidades de catstrofes ambientales o desastres


naturales que afecten la instalacin son mnimas debido a que la oficina no se
encuentra en un lugar cercano a fuentes de agua o de temperaturas extremas, as
como en esta zona del municipio de Montera no se registran constantes
movimientos telricos o fuerzas naturales destructivas como huracanes, tornados
o tsunamis, la falta de un personal constante de vigilancia, cmaras de control,
falta de tarjetas de control de acceso o de seguridad biomtrica y sobretodo el
constante acceso de personal no autorizado (personal acadmico y administrativo)
podran ocasionar serios daos voluntarios o involuntarios en el hardware o
equipos auxiliares que podran denegar el servicio por tiempo ilimitado.

Se puede verificar entonces que la mayora de los riesgos estn clasificados como
crticos e importantes como lo muestra la siguiente grfica:

208
Grfica 3. Cantidad de Riesgos segn la Zona de Riesgos.

Fuente: El Autor.

209
6.6. DECLARACIN DE APLICABILIDAD

OFICINA DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDAD DE CRDOBA

DECLARACIN DE APLICABILIDAD

Cdigo del Documento [Definir cdigo del Sistema de Gestin Documental]

Versin 1.0

Fecha de Versin 2015-05-19

Creado por Andrs F. Doria Corcho

Aprobado por [Jefa de Oficina de Sistemas y Telecomunicaciones]

Nivel de Confidencialidad Media

210
HISTORIAL DE CAMBIOS

FECHA VERSIN CREADO POR DESCRIPCIN DEL CAMBIO

2015-05-19 1.0 Andrs F. Doria Corcho Versin inicial

1. PROPSITO, ALCANCE Y USUARIOS

El propsito de este documento es definir cules controles son los apropiados


para ser implementados en la oficina de Sistemas y Telecomunicaciones de la
Universidad de Crdoba, los objetivos de estos controles y cmo son
implementados.

Este documento incluye todos los controles listados en el Anexo del estndar
ISO/IEC 27001:2013. Los controles son aplicables a todo el alcance del Sistema
de Gestin de la Seguridad de la Informacin.

2. DOCUMENTOS DE REFERENCIA

Estndar ISO/IEC 27001:2013, clusula 6.1.3 d).

Documento de las Polticas de la Seguridad de la Informacin.

Metodologa de Anlisis y Evaluacin de Riesgos.

3. APLICABILIDAD DE CONTROLES

Los siguientes controles del Anexo A del estndar ISO/IEC 27001:2013 son
aplicables:

211
CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

POLTICAS DE LA
A.5 SEGURIDAD DE LA
INFORMACIN

Orientacin de la
direccin para la
A.5.1
gestin de la seguridad
de la informacin

Se redactan y documentan las polticas de seguridad de la


Polticas para la
informacin acordes a los objetivos de seguridad acordados y
A.5.1.1 seguridad de la SI
niveles de riesgo tolerables. Este documento se pone a
informacin
disposicin de los empleados y pblico en general.

Las polticas de seguridad de la informacin se revisan y


evalan peridicamente y/o cuando sea necesario. La revisin
Revisin de las polticas
es llevada a cabo por el Lder del Proceso de Desarrollo
A.5.1.2 para la seguridad de la SI
Tecnolgico, el Jefe de Seguridad de la Informacin y la
informacin
Direccin Estratgica. Se documentan los cambios y las
justificaciones de los mismos.

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

ORGANIZACIN DE LA
A.6 SEGURIDAD DE LA
INFORMACIN

A.6.1 Organizacin Interna

Roles y responsabilidades
Los roles y responsabilidades de la seguridad de la
A.6.1.1 para la seguridad de la SI
informacin estn definidas.
informacin

El personal est separado por reas y se les otorga acceso


A.6.1.2 Separacin de deberes SI slo a los activos y/o informacin estrictamente necesaria
para la realizacin de su trabajo.

El Lder del Proceso de Desarrollo Tecnolgico y el Jefe de


Contacto con las
A.6.1.3 SI Seguridad mantiene los contactos actualizados para
autoridades
incidentes de seguridad.

212
El Lder del Proceso de Desarrollo Tecnolgico y el Jefe de
Contacto con grupos de Seguridad mantienen contactos con autoridades nacionales
A.6.1.4 SI
inters especial para los incidentes de seguridad para informes en tiempo
real y soluciones a implementar.

Seguridad de la El Jefe de Seguridad es el encargado de velar por la


A.6.1.5 informacin en la gestin SI aplicacin de una metodologa de anlisis y evaluacin de
de proyectos riesgos en los proyectos de TI.

Dispositivos mviles y
A.6.2
teletrabajo

Se documenta una poltica de seguridad apropiada para los


Polticas para dispositivos mviles. Los dispositivos mviles son configurados bajo las
A.6.2.1 SI
mviles condiciones de seguridad aplicables antes de realizar
cualquier conexin a la red institucional.

A.6.2.2 Teletrabajo NO

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

SEGURIDAD DE LOS
A.7
RECURSOS HUMANOS

A.7.1 Antes de asumir el empleo

El personal es seleccionado cuidadosamente en base a


A.7.1.1 Seleccin SI
su perfil y la idoneidad del trabajo a realizar.

Los acuerdos contractuales actualmente incluyen las


Trminos y condiciones del
A.7.1.2 SI responsabilidades asignadas relativas a la seguridad de
empleo
la informacin.

Durante la ejecucin del


A.7.2
empleo

Responsabilidades de la La direccin comprende la importancia de la seguridad


A.7.2.1 SI
direccin de la informacin y soporta el diseo del SGSI.

Toma de conciencia, El Lder del Proceso de Desarrollo Tecnolgico y el Jefe


A.7.2.2 educacin y formacin en la SI de Seguridad realizan campaas y talleres de formacin
seguridad de la informacin y educacin en la seguridad de la informacin de forma

213
peridica al personal administrativo.

Los funcionarios son sometidos a procesos disciplinarios


A.7.2.3 Proceso disciplinario SI en caso de incumplimiento con las polticas de seguridad
de la informacin de forma deliberada.

Terminacin y cambio de
A.7.3
empleo

El Jefe de Seguridad vela que el funcionario que termine


Terminacin o cambio de contrato o cambie de responsabilidades, se le sean
A.7.3.1 SI
responsabilidades de empleo reasignados los permisos y condiciones de seguridad de
la informacin.

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

GESTIN DE
A.8
ACTIVOS

Responsabilidad
A.8.1
por los activos

El Lder del Proceso de Desarrollo Tecnolgico y el Jefe de


A.8.1.1 Inventario de activos SI Seguridad junto a los funcionarios, realizan el inventario de
activos y se documentan con su clasificacin y responsable.

Propiedad de los Los activos inventariados tienen asignados los funcionarios


A.8.1.2 SI
activos responsables.

Los funcionarios se comprometen a utilizar los activos de forma


Uso aceptable de los
A.8.1.3 SI aceptable teniendo en cuenta las polticas de seguridad de
activos
informacin generales.

Se mantienen registros de la devolucin de los activos


A.8.1.4 Devolucin de activos SI entregados a los empleados. Necesarios para firmar paz y salvo
con la organizacin.

Clasificacin de la
A.8.2
informacin

Cada uno de los activos inventariados contiene la clasificacin de


Clasificacin de la
A.8.2.1 SI la informacin asociada de acuerdo a los niveles de seguridad
informacin
establecidos

214
Etiquetado de la Cada uno de los activos inventariados estn etiquetados con la
A.8.2.2 SI
informacin clasificacin de la informacin asociada.

El Lder del Proceso de Desarrollo Tecnolgico y el Jefe de


Seguridad junto a los funcionarios realizan y documentan los
A.8.2.3 Manejo de activos SI
procedimientos para el manejo de los activos de acuerdo a la
clasificacin de cada uno.

A.8.3 Manejo de medios

Gestin de medios Existe una poltica para la gestin de los medios removibles y se
A.8.3.1 SI
removibles clasifican y protegen de acuerdo a su tipo.

Disposicin de los Los medio removibles son dispuestos en lugares seguros y su


A.8.3.2 SI
medios informacin es almacenada en medios seguros.

Transferencia de
A.8.3.3 NO
medios fsicos

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

A.9 CONTROL DE ACCESO

Requisitos del negocio


A.9.1
para control de acceso

Poltica de control de La poltica de control de acceso est documentada en las


A.9.1.1 SI
acceso Polticas de la Seguridad de Informacin.

Las redes estn segmentadas en VLAN y el acceso a ella


est protegido a personas no autorizadas. Los estudiantes,
Acceso a redes y a
A.9.1.2 SI docentes y administrativos contienen una VLAN separada y
servicios en red
que permite el acceso a ella slo a aquellos que son
debidamente autenticados.

Gestin de acceso de
A.9.2
usuarios

Registro y cancelacin de
A.9.2.1 NO
registro de usuarios

A.9.2.2 Suministro de acceso de NO

215
usuarios

A los funcionarios se les otorgan los privilegios a los


Gestin de derechos de sistemas de acuerdo a las necesidades mnimas de trabajo.
A.9.2.3 SI
acceso privilegiado Estos privilegios son documentados y los funcionarios son
agrupados bajo Perfiles de Usuario.

Gestin de informacin de La entrega de claves de acceso de los sistemas se realiza


A.9.2.4 autenticacin secreta de SI de forma personal y se fuerza a que sea cambiada
usuarios inmediatamente en su primer acceso.

El Jefe de Seguridad junto a los funcionarios encargados


verifican que los permisos y derechos de acceso de los
Revisin de los derechos
A.9.2.5 SI usuarios son los que en realidad tienen asignados. Esta
de acceso de usuarios
verificacin se realiza de forma peridica y cualquier
anormalidad es debidamente documentada.

El Lder del Proceso de Desarrollo Tecnolgico y el Jefe de


Retiro o ajuste de los
A.9.2.6 SI Seguridad verifican y eliminan los permisos asignados al
derechos de acceso
personal que sea retirado.

Responsabilidades de
A.9.3
los usuarios

Uso de informacin de La informacin de autenticacin del empleado en los


A.9.3.1 SI
autenticacin secreta sistemas y acceso a informacin es confidencial.

Control de acceso a
A.9.4
sistemas y aplicaciones

Los derechos de acceso a los sistemas e informacin son


Restriccin de acceso a la
A.9.4.1 SI controlados de acuerdo a rol y responsabilidad del
informacin
empleado en la organizacin.

Los sistemas estn protegidos mediante un mecanismo de


Procedimiento de ingreso
A.9.4.2 SI inicio de sesin seguro. Se emplean mecanismos seguros
seguro
de cifrado de informacin.

Se implementan mecanismos de recuperacin de


contraseas de forma automtica y se garantiza que la
Sistema de gestin de
A.9.4.3 SI nueva contrasea del funcionario cumpla con los requisitos
contraseas
de seguridad expuestos en la Poltica de Seguridad de
contraseas.

A.9.4.4 Uso de programas SI El Lder del Proceso de Desarrollo Tecnolgico verifica que

216
utilitarios privilegiados los sistemas y activos crticos slo se les instalan los
programas estrictamente necesarios y licenciados. Se
realiza una verificacin de forma aleatoria.

Control de acceso a
El Jefe de Seguridad verifica que los cdigos fuentes de los
A.9.4.5 cdigos fuente de SI
programas permanecen de forma confidencial.
programas

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

A.10 CRIPTOGRAFA

Controles
A.10.1
criptogrficos

Existe una poltica de seguridad que documente el uso de los


Poltica sobre el uso de controles criptogrficos, la escogencia y justificacin de los
A.10.1.1 SI
controles criptogrficos algoritmos de cifrado y su aplicacin en los servicios que la
requieran.

Existe una poltica de seguridad que documente el proceso y


A.10.1.2 Gestin de llaves SI
ciclo de vida de las llaves criptogrficas.

217
CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

SEGURIDAD FSICA Y
A.11
DEL ENTORNO

A.11.1 reas Seguras

El permetro fsico controlado por tarjetas de acceso, as como


Permetro de seguridad
A.11.1.1 SI personal de seguridad en la infraestructura que contiene el
fsica
hardware de las operaciones crticas.

El acceso fsico a la infraestructura que contiene el hardware de


Controles de acceso las operaciones crticas est controlado por medio de tarjetas
A.11.1.2 SI
fsicos inteligentes que permiten el acceso a slo el personal
autorizado y registran la fecha y hora de acceso.

Seguridad de oficinas,
A.11.1.3 NO
recintos e instalaciones

Proteccin contra
Existe un Plan de Continuidad del Negocio y de Recuperacin
A.11.1.4 amenazas externas y SI
de Desastres que es puesto a prueba a intervalos regulares.
ambientales

Trabajo en reas
A.11.1.5 NO
seguras

Existe un rea diseada y estructurada para recibir el


reas de despacho y descargue de los equipos que impiden el acceso al interior de
A.11.1.6 SI
carga la oficina e infraestructura que contiene el hardware de las
operaciones crticas.

A.11.2 Equipos

Los equipos estn protegidos fsicamente contra amenazas


Ubicacin y proteccin ambientales tales como fuego, incendio, agua, humo, etc. y
A.11.2.1 SI
de los equipos existen polticas de seguridad de la informacin documentadas
para su uso.

Los servicios de suministros como energa, agua, ventilacin y


A.11.2.2 Servicios de suministro SI
gas estn acordes a la manufacturacin de los equipos.

El cableado elctrico est separado del cableado de datos


A.11.2.3 Seguridad del cableado SI
previniendo as interferencias y estn protegidos fsicamente.

218
Mantenimiento de Los equipos son mantenidos slo por el personal autorizado
A.11.2.4 SI
equipos bajo las condiciones especificadas y a intervalos programados.

El Jefe de Mantenimiento en concordancia con el Lder del


A.11.2.5 Retiro de activos SI Proceso de Desarrollo Tecnolgico documenta el retiro de los
activos.

Seguridad de equipos y
A.11.2.6 activos fuera de las NO
instalaciones

El Jefe de Mantenimiento y el Lder del Proceso de Desarrollo


Disposicin segura o
A.11.2.7 SI Tecnolgicorealizan un procedimiento seguro y documentado
reutilizacin de equipos
para la disposicin o reutilizacin de equipos.

Existe un plan de capacitacin y campaa de concientizacin a


Equipos de usuario
A.11.2.8 SI los funcionarios sobre la seguridad de la informacin y los
desatendido
riesgos a los que estn expuestos los activos.

El Jefe de Seguridad garantiza que la informacin confidencial


Polticas de escritorio
A.11.2.9 SI fsica es almacenada en gabinetes de forma segura impidiendo
limpio y pantalla limpia
su acceso fsico a personas no autorizadas.

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

SEGURIDAD DE LAS
A.12
OPERACIONES

Procedimientos
A.12.1 operacionales y
responsabilidades

El Lder del Proceso de Desarrollo Tecnolgico, el Jefe de


Procedimientos de
Seguridad y los funcionarios documentan los procedimientos
A.12.1.1 operacin SI
de las operaciones relativas a la seguridad de la informacin
documentados
de cada uno de los activos.

El Jefe de Seguridad verifica que los cambios en los equipos


A.12.1.2 Gestin de cambios SI que afectan la seguridad de la informacin son controlados y
debidamente planeados y probados.

A.12.1.3 Gestin de capacidad SI El Lder del Proceso de Desarrollo Tecnolgico y los

219
funcionarios realizan un monitoreo continuo a los recursos y la
adquisicin de los nuevos y se proyecta de acuerdo a las
necesidades crticas de la organizacin.

Separacin de los El Jefe de Seguridad asegura que los ambientes de desarrollo,


A.12.1.4 ambientes de desarrollo, SI pruebas y operacin estn debidamente separados y no
pruebas y operacin ponen en riesgo la informacin.

Proteccin contra
A.12.2
cdigos maliciosos

Existe un plan de capacitacin y campaa de concientizacin


a los funcionarios sobre la seguridad de la informacin y los
riesgos a los que estn expuestos los activos, especialmente
Controles contra
A.12.2.1 SI sobre el software de cdigo malicioso. El Jefe de Seguridad y
cdigos maliciosos
los funcionarios verifican que el software est protegido con
antivirus y existe una poltica documentada de actualizacin de
todo el software utilizado, antivirus y sistema operativo.

A.12.3 Copias de respaldo

El Jefe de Seguridad y funcionarios pertinentes realizan las


copias de seguridad de toda la informacin a intervalos
Respaldo de la
A.12.3.1 SI programados y de acuerdo a las polticas de seguridad. El
informacin
procedimiento es documentado y se realizan pruebas de
recuperacin a intervalos programados.

Registro y
A.12.4
seguimiento

El Jefe de Seguridad y funcionarios pertinentes revisan


peridicamente los registros de los usuarios y las actividades
A.12.4.1 Registro de eventos SI
relativas a la seguridad de la informacin. El proceso es
auditado y documentado.

Proteccin de la Se implementan controles de seguridad que garanticen la


A.12.4.2 SI
informacin de registro proteccin de la informacin de los registros.

Registros del
Las acciones y registros de los administradores tambin son
A.12.4.3 administrador y del SI
almacenados y protegidos de cualquier modificacin.
operador

El Lder del Proceso de Desarrollo Tecnolgico asegura que


Sincronizacin de
A.12.4.4 SI todos los sistemas estn acordes y ajustados en una
relojes
referencia de tiempo nica y sincronizada.

220
Control de software
A.12.5
operacional

Instalacin de software Existe una documentacin sobre el procedimiento de


A.12.5.1 en los sistemas SI instalacin de los sistemas operativos y software, que cumpla
operativos con las polticas de seguridad de la informacin.

Gestin de la
A.12.6
vulnerabilidad tcnica

Gestin de las
Existe una metodologa de anlisis y evaluacin de riesgos
A.12.6.1 vulnerabilidades SI
sistemtica y documentada.
tcnicas

La instalacin de software es realizada slo por el personal


Restricciones sobre la autorizado y con software probado y licenciado, adems de
A.12.6.2 SI
instalacin de software otorgar el principio del menor privilegio. El procedimiento de
instalacin es documentado.

Consideraciones
sobre auditoras de
A.12.7
sistemas de
informacin

El Lder del Proceso de Desarrollo Tecnolgico, el Jefe de


Controles de auditoras
Seguridad y los funcionarios pertinentes acuerdan sobre las
A.12.7.1 de sistemas de SI
fechas de auditoras internas para los sistemas de
informacin
informacin. El procedimiento es documentado.

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

SEGURIDAD DE LAS
A.13
COMUNICACIONES

Gestin de la seguridad
A.13.1
de las redes

El Jefe de Seguridad y el Administrador de Redes


implementan una Infraestructura de Llave Pblica (PKI)
A.13.1.1 Controles de redes SI mediante algoritmos fuertes de cifrado que garanticen la
confidencialidad e integridad de la informacin que se
transmite a travs de las redes.

221
Seguridad de los servicios El acceso a la red de los proveedores de servicio de red es
A.13.1.2 SI
de red monitoreado y controlado.

Las redes estn segmentadas en VLAN y el acceso a ella


est protegido a personas no autorizadas. Los estudiantes,
A.13.1.3 Separacin en las redes SI docentes y administrativos contienen una VLAN separada y
que permite el acceso a ella slo a aquellos que son
debidamente autenticados.

Transferencia de
A.13.2
informacin

Las polticas y procedimientos para la transferencia de la


Polticas y procedimientos
informacin estn debidamente documentados y se aplican
A.13.2.1 de transferencia de SI
los mecanismos de seguridad necesarios para garantizar la
informacin
confidencialidad e integridad de la informacin.

Acuerdos sobre Existen documentos y acuerdos sobre los algoritmos de


A.13.2.2 transferencia de SI cifrado a utilizar para la transferencia de informacin que
informacin garanticen su confidencialidad e integridad.

El Jefe de Seguridad y el Administrador de Redes


implementan una Infraestructura de Llave Pblica (PKI)
A.13.2.3 Mensajera electrnica SI mediante algoritmos fuertes de cifrado que garanticen la
confidencialidad e integridad de la informacin que se
transmite a travs de las redes.

Acuerdos de En los documentos y acuerdos contractuales de los


A.13.2.4 confidencialidad o de no SI empleados se estipula el compromiso con la
divulgacin confidencialidad de la informacin.

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

ADQUISICIN,
DESARROLLO Y
A.14
MANTENIMIENTO DE
SISTEMAS

Requisitos de seguridad
A.14.1 de los sistemas de
informacin

222
Anlisis y especificacin de Existe una poltica documentada que establece los
A.14.1.1 requisitos de seguridad de SI requisitos relativos a la seguridad de la informacin para la
la informacin adquisicin de los nuevos equipos.

El Jefe de Seguridad y el Administrador de Redes


Seguridad de servicios de implementan una Infraestructura de Llave Pblica (PKI)
A.14.1.2 las aplicaciones en redes SI mediante algoritmos fuertes de cifrado que garanticen la
pblicas confidencialidad e integridad de la informacin que se
transmite a travs de las redes.

El Jefe de Seguridad y el Administrador de Redes


Proteccin de las
implementan una Infraestructura de Llave Pblica (PKI)
transacciones de los
A.14.1.3 SI mediante algoritmos fuertes de cifrado que garanticen la
servicios de las
confidencialidad e integridad de la informacin que se
aplicaciones
transmite a travs de las redes.

Seguridad en los
A.14.2 procesos de desarrollo y
soporte

Poltica de desarrollo
A.14.2.1 NO
seguro

Procedimientos de control
A.14.2.2 NO
de cambios en sistemas

Existe una documentacin sobre la implementacin de las


Revisin tcnica de las nuevas aplicaciones y son sometidas a pruebas para
aplicaciones despus de garantizar que no haya impactos adversos en la seguridad
A.14.2.3 SI
cambios en la plataforma de la informacin. El Lder del Proceso del Desarrollo
de operacin Tecnolgico, el Jefe de Seguridad y los funcionarios
pertinentes realizan las pruebas bajo simulaciones crticas.

Restricciones en los
A.14.2.4 cambios a los paquetes de NO
software

Principios de construccin
A.14.2.5 NO
de los sistemas seguros

Ambiente de desarrollo
A.14.2.6 NO
seguro

A.14.2.7 Desarrollo contratado SI El Jefe de Seguridad y los funcionarios pertinentes evalan

223
externamente el software desarrollado externamente y prueban que
cumpla con los requisitos de seguridad establecidos en las
polticas de seguridad de la informacin.

El Jefe de Seguridad y los funcionarios pertinentes realizan


Pruebas de seguridad de
A.14.2.8 SI pruebas de seguridad a los sistemas y documentan los
sistemas
procedimientos.

El Jefe de Seguridad y los funcionarios pertinentes realizan


Pruebas de aceptacin de
A.14.2.9 SI pruebas de seguridad a los sistemas y documentan los
sistemas
procedimientos.

Los funcionarios pertinentes verifican que los datos de


prueba son seleccionados cuidadosamente y no presentan
A.14.3 Datos de prueba SI
riesgo para la violacin de confidencialidad de la
informacin.

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

RELACIONES CON LOS


A.15
PROVEEDORES

Seguridad de la informacin
A.15.1 en las relaciones con los
proveedores

Poltica de seguridad de la
Existe una poltica de seguridad de la informacin
A.15.1.1 informacin para las relaciones SI
relacionada con los proveedores.
con proveedores

Tratamiento de la seguridad Existen los acuerdos documentados con cada uno de


A.15.1.2 dentro de los acuerdos con SI los proveedores para el tratamiento de la seguridad de
proveedores la informacin y los riesgos asociados.

Cadena de suministro de Existen los acuerdos documentados con cada uno de


A.15.1.3 tecnologa de informacin y SI los proveedores para el tratamiento de la seguridad de
comunicacin la informacin y los riesgos asociados.

Gestin de la prestacin de
A.15.2
servicios de proveedores

Seguimiento y revisin de los Existen los acuerdos documentados con cada uno de
A.15.2.1 SI
servicios de los proveedores los proveedores para el tratamiento de la seguridad de

224
la informacin y los riesgos asociados.

Existen los acuerdos documentados con cada uno de


Gestin de cambios en los
A.15.2.2 SI los proveedores para el tratamiento de la seguridad de
servicios de los proveedores
la informacin y los riesgos asociados.

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

GESTIN DE
INCIDENTES DE
A.16
SEGURIDAD DE LA
INFORMACIN

Gestin de incidentes y
A.16.1 mejoras de la seguridad
de la informacin

El Lder del Proceso de Desarrollo Tecnolgico, el Jefe de


Seguridad y los funcionarios pertinentes tienen
documentado los procesos y procedimientos para los
Responsabilidades y
A.16.1.1 SI incidentes de la seguridad de la informacin. Se tiene
procedimientos
documentado el Plan de Continuidad del Negocio donde
estn identificados claramente los responsables de su
ejecucin.

Los funcionarios estn alertados de los eventos e incidentes


Reporte de eventos de
correspondientes relativos a la seguridad de la informacin.
A.16.1.2 seguridad de la SI
Los incidentes son reportados, evaluados y documentados.
informacin
Se establecen los procedimientos a seguir.

Existen los formatos documentados disponibles para que los


Reporte de debilidades de
funcionarios reporten las debilidades de la seguridad de la
A.16.1.3 seguridad de la SI
informacin. Estas notificaciones son evaluadas de forma
informacin
inmediata por el Jefe de Seguridad.

Evaluacin de eventos de Existen los formatos documentados disponibles para que los
seguridad de la funcionarios reporten las debilidades de la seguridad de la
A.16.1.4 SI
informacin y decisiones informacin. Estas notificaciones son evaluadas de forma
sobre ellos inmediata por el Jefe de Seguridad.

Respuesta a incidentes de El Lder del Proceso de Desarrollo Tecnolgico, el Jefe de


A.16.1.5 seguridad de la SI Seguridad y los funcionarios pertinentes tienen
informacin documentado los procesos y procedimientos para los

225
incidentes de la seguridad de la informacin. Se tiene
documentado el Plan de Continuidad del Negocio donde
estn identificados claramente los responsables de su
ejecucin.

Aprendizaje obtenido de Los incidentes de la seguridad de la informacin son


los incidentes de documentados especificando las vulnerabilidades,
A.16.1.6 SI
seguridad de la amenazas, riesgos y los posibles controles de seguridad a
informacin implementar constituyendo as una base de conocimiento.

Existen formatos y documentos para recolectar la evidencia


A.16.1.7 Recoleccin de evidencia SI
y emitirlos a las autoridades competentes.

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

ASPECTOS DE
SEGURIDAD DE LA
INFORMACIN DE LA
A.17
GESTIN DE LA
CONTINUIDAD DEL
NEGOCIO

Continuidad de seguridad
A.17.1
de la informacin

El Lder del Proceso de Desarrollo Tecnolgico, el Jefe de


Seguridad y los funcionarios pertinentes tienen
Planificacin de la documentado los procesos y procedimientos para los
A.17.1.1 continuidad de la seguridad SI incidentes de la seguridad de la informacin. Se tiene
de la informacin documentado el Plan de Continuidad del Negocio donde
estn identificados claramente los responsables de su
ejecucin.

El Lder del Proceso de Desarrollo Tecnolgico, el Jefe de


Seguridad y los funcionarios pertinentes tienen
Implementacin de la documentado los procesos y procedimientos para los
A.17.1.2 continuidad de la seguridad SI incidentes de la seguridad de la informacin. Se tiene
de la informacin documentado el Plan de Continuidad del Negocio donde
estn identificados claramente los responsables de su
ejecucin.

A.17.1.3 Verificacin, revisin y SI El Lder del Proceso de Desarrollo Tecnolgico, el Jefe de

226
evaluacin de la Seguridad y los funcionarios pertinentes tienen
continuidad de la seguridad documentado los procesos y procedimientos para los
de la informacin incidentes de la seguridad de la informacin. Se tiene
documentado el Plan de Continuidad del Negocio donde
estn identificados claramente los responsables de su
ejecucin.

A.17.2 Redundancias

Disponibilidad de
En el Plan de Continuidad del Negocio se establece la
instalaciones de
A.17.2.1 SI instalacin e infraestructura disponible para el
procesamiento de
procesamiento de informacin.
informacin

CONTROL_ID CONTROL APLICABLE IMPLEMENTACIN

A.18 CUMPLIMIENTO

Cumplimiento de los
A.18.1 requisitos legales y
contractuales

Identificacin de la
Los requisitos contractuales estn identificados y se cumplen
A.18.1.1 legislacin aplicable a los SI
con los requerimientos exigidos por la ley.
requisitos contractuales

Derechos de propiedad
A.18.1.2 NO
intelectual

Los registros estn protegidos fsicamente contra alteracin,


A.18.1.3 Proteccin de registros SI
modificacin, prdida y acceso de usuarios no autorizados.

Privacidad y proteccin de
Los datos personales son almacenados y protegidos de
A.18.1.4 informacin de datos SI
acuerdo a las conformidades de la ley y regulaciones.
personales

El Jefe de Seguridad y el Administrador de Redes


implementan una Infraestructura de Llave Pblica (PKI)
Reglamentacin de
A.18.1.5 SI mediante algoritmos fuertes de cifrado que garanticen la
controles criptogrficos
confidencialidad e integridad de la informacin que se
transmite a travs de las redes.

A.18.2 Revisiones de seguridad

227
de la informacin

Revisin independiente de Existe la documentacin para la realizacin de la auditora


A.18.2.1 la seguridad de la SI interna del Sistema de Gestin de la Seguridad de la
informacin Informacin.

Existe la documentacin para la realizacin de la auditora


Cumplimiento con las
interna del Sistema de Gestin de la Seguridad de la
A.18.2.2 polticas y normas de SI
Informacin con el fin de verificar el nivel de cumplimiento,
seguridad
controles y polticas de seguridad de la informacin.

Revisin del cumplimiento Exista la documentacin para la realizacin peridica de los


A.18.2.3 SI
tcnico test de penetracin y verificacin de resultados e informes.

228
6.7. PLAN DE TRATAMIENTO DE RIESGOS

OFICINA DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDAD DE CRDOBA

PLAN DE TRATAMIENTO DE RIESGOS

Cdigo del Documento [Definir cdigo del Sistema de Gestin Documental]

Versin 1.0

Fecha de Versin 2015-05-19

Creado por Andrs F. Doria Corcho

Aprobado por [Jefa de Oficina de Sistemas y Telecomunicaciones]

Nivel de Confidencialidad Bajo

229
HISTORIAL DE CAMBIOS

FECHA VERSIN CREADO POR DESCRIPCIN DEL CAMBIO

2015-05-19 1.0 Andrs F. Doria Corcho Versin inicial

1. PROPSITO, ALCANCE Y USUARIOS

El propsito de este documento es definir cules controles de seguridad o


salvaguardas de MAGERIT son los apropiados para enfrentar las amenazas de
cada uno de los activos y mitigar los riesgos en la oficina de Sistemas y
Telecomunicaciones de la Universidad de Crdoba, as como definir el tratamiento
de cada uno de ellos.

Este documento tambin determina cules controles de seguridad del Anexo A del
estndar ISO/IEC 27001:2013 son aplicables a todo el alcance del Sistema de
Gestin de la Seguridad de la Informacin.

2. DOCUMENTOS DE REFERENCIA

Estndar ISO/IEC 27001:2013, clusulas 8.2. y 8.3.

Anexo A del estndar ISO/IEC 27001:2013.

Estndar ISO/IEC 27002:2013.

Documento de las Polticas de la Seguridad de la Informacin.

Metodologa de Anlisis y Evaluacin de Riesgos.

230
3. TRATAMIENTO DE RIESGOS

El tipo de tratamiento que se le dar a cada riesgo: Asumirlos (AS), Definir


Controles (DC) o Transferirlos a Terceros (TT).

4. APLICABILIDAD DE CONTROLES DE SEGURIDAD

Con el objetivo de alcanzar los objetivos de seguridad del Sistema de Gestin de


la Seguridad de la Informacin, se establecen los siguientes controles de
seguridad basados en la metodologa de anlisis y evaluacin de riesgos
MAGERIT y los controles del Anexo A del estndar ISO/IEC 27001:2013.

231
[D] DATOS/INFORMACIN

ANEXO A ISO/IEC
CDIGO ACTIVO AMENAZA RIESGO_ID RIESGO TRATAMIENTO SALVAGUARDAS
27001:2013
D Proteccin de la Informacin A.8.2.*
Copias de Seguridad de los D.A Copias de seguridad de los A.12.3.1
D_BCK E*, A* R_D_BCK A DC
Sistemas de Informacin datos (backup) A.10.1.*
D.C Cifrado de la informacin
D.C Cifrado de la informacin
D.DS Uso de firmas
A.10.1.*
D_CNT Contratos E*, A* R_D_CNT MA DC electrnicas
D.I Aseguramiento de la
integridad
D.C Cifrado de la informacin
D.DS Uso de firmas
A.10.1.*
D_HAC Historial Acadmico E*, A* R_D_HAC MA DC electrnicas
D.I Aseguramiento de la
integridad
D.C Cifrado de la informacin
D.DS Uso de firmas
A.10.1.*
D_HCL Historias Clnicas E*, A* R_D_HCL MA DC electrnicas
D.I Aseguramiento de la
integridad
D.C Cifrado de la informacin
D.DS Uso de firmas
A.10.1.*
D_HLB Historial Laboral E*, A* R_D_HLB MA DC electrnicas
D.I Aseguramiento de la
integridad
D.A Copias de seguridad de los A.12.3.1
D_OVA Objetos Virtuales de Aprendizaje E*, A* R_D_OVA MB DC
datos (backup)
D.A Copias de seguridad de los A.12.3.1
D_PUB Publicaciones E*, A* R_D_PUB MB DC
datos (backup)
D Proteccin de la Informacin A.8.2.*
D_RDG Artculos de Revistas Digitales E*, A* R_D_RDG B DC D.A Copias de seguridad de los A.12.3.1
datos (backup)
A.8.2.*
D Proteccin de la Informacin
D_LOG Registros de Actividad E*, A* R_D_LOG A DC A.10.1.*
D.C Cifrado de la informacin
A.8.2.*
D Proteccin de la Informacin
D_SRC Cdigos Fuentes E*, A* R_D_SRC MA DC A.10.1.*
D.C Cifrado de la informacin

232
[S] SERVICIOS

ANEXO A ISO/IEC
CDIGO ACTIVO AMENAZA RIESGO_ID RIESGO TRATAMIENTO SALVAGUARDAS
27001:2013
S.email Proteccin del correo electrnico A.13.2.3
S_MAI Correo Electrnico E*, A* R_S_MAI A DC S.www Proteccin de servicios y A.12.5.1
aplicaciones web
A.17.1.*
S.A Aseguramiento de la disponibilidad
A.8.2.*
S_GID Gestin de Identidades E*, A* R_S_GID MA DC S.dir Proteccin del directorio
A.9.4.3
S.SC Se aplican perfiles de seguridad
S.A Aseguramiento de la disponibilidad A.17.1.*
S_INT Servicios Internos E*, A* R_S_INT MA DC S.dns Proteccin del servidor de nombres A.9.4.*
de dominio (DNS)
S.A Aseguramiento de la disponibilidad A.17.1.*
Pginas web de acceso
S_WWW E*, A* R_S_WWW A DC S.www Proteccin de servicios y A.12.5.1
pblico
aplicaciones web

[SW] SOFTWARE

ANEXO A ISO/IEC
CDIGO ACTIVO AMENAZA RIESGO_ID RIESGO TRATAMIENTO SALVAGUARDAS
27001:2013
SW Proteccin de las Aplicaciones
Informticas
A.14.2.*
Software de Desarrollo SW.A Copias de seguridad (backup)
SW_SWP I*, E*, A* R_SW_SWP MA DC A.12.3.1
Propio SW.SC Se aplican perfiles de
seguridad
SW.start Puesta en produccin
SW Proteccin de las Aplicaciones
Informticas A.14.2.*
SW_STD Software Estndar I*, E*, A* R_SW_STD MA DC SW.A Copias de seguridad (backup) A.12.3.1
SW.SC Se aplican perfiles de
seguridad
SW Proteccin de las Aplicaciones
Software para Correo Informticas A.14.2.*
SW_MAI I*, E*, A* R_SW_MAI MA DC
Electrnico SW.SC Se aplican perfiles de
seguridad

233
SW Proteccin de las Aplicaciones
Informticas
SW.A Copias de seguridad (backup) A.14.2.*
Gestores de Bases de
SW_DBS I*, E*, A* R_SW_DBS MA DC SW.CM Cambios (actualizaciones y A.12.3.1
Datos
mantenimiento)
SW.SC Se aplican perfiles de
seguridad
SW Proteccin de las Aplicaciones
Informticas A.14.2.*
SW_OFM Ofimtica I*, E*, A* R_SW_OFM B DC SW.A Copias de seguridad (backup) A.12.3.1
SW.SC Se aplican perfiles de
seguridad
SW Proteccin de las Aplicaciones
Informticas A.12.2.1
SW_AVS Software de Antivirus I*, E*, A* R_SW_AVS M DC
SW.SC Se aplican perfiles de
seguridad
A.14.2.*
SW Proteccin de las Aplicaciones
A.12.3.1
Informticas
A.12.2.1
SW_OPS Sistemas Operativos I*, E*, A* R_SW_OPS M DC SW.A Copias de seguridad (backup)
A.12.5.1
SW.SC Se aplican perfiles de
A.12.6.*
seguridad

[HW] HARDWARE

ANEXO A ISO/IEC
CDIGO ACTIVO AMENAZA RIESGO_ID RIESGO TRATAMIENTO SALVAGUARDAS
27001:2013
A.11.1.1
A.11.1.2
HW Proteccin de los Equipos
HW_BCK Dispositivos de Respaldo I*, E*, A* R_HW_BCK MA DC A.11.2.1
Informticos
A.12.3.1

HW Proteccin de los Equipos


Informticos A.11.1.1
HW.A Aseguramiento de la A.11.1.2
HW_FRW Firewall I*, E*, A* R_HW_FRW MA DC
disponibilidad A.11.2.1
HW.SC Se aplican perfiles de
seguridad
A.11.1.1
HW Proteccin de los Equipos A.11.1.2
HW_ANT Antenas I*, E*, A* R_HW_ANT M DC
Informticos A.11.2.1

HW Proteccin de los Equipos A.11.1.1


HW_HOS Servidores I*, E*, A* R_HW_HOS MA DC
Informticos A.11.1.2
234
HW.A Aseguramiento de la A.11.2.1
disponibilidad
HW.SC Se aplican perfiles de
seguridad
A.11.1.1
Computadoras Porttiles de Uso HW Proteccin de los Equipos A.11.1.2
HW_PCM I*, E*, A* R_HW_PCM B DC
Institucional Informticos A.11.2.1

A.11.1.1
Computadoras de Escritorio de HW Proteccin de los Equipos A.11.1.2
HW_PCP I*, E*, A* R_HW_PCP B DC
Uso Institucional Informticos A.11.2.1

HW Proteccin de los Equipos A.11.1.1


Informticos A.11.1.2
HW_PRT Impresoras I*, E*, A* R_HW_PRT MB AS
HW.print Reproduccin de A.11.2.1
documentos
HW Proteccin de los Equipos
Informticos A.11.1.1
HW.A Aseguramiento de la A.11.1.2
HW_ROU Router I*, E*, A* R_HW_ROU A DC
disponibilidad A.11.2.1
HW.SC Se aplican perfiles de
seguridad
A.11.1.1
HW Proteccin de los Equipos A.11.1.2
HW_SCN Escner I*, E*, A* R_HW_SCN MB AS
Informticos A.11.2.1

HW Proteccin de los Equipos


Informticos A.11.1.1
HW.A Aseguramiento de la A.11.1.2
HW_SWH Switch I*, E*, A* R_HW_SWH A DC
disponibilidad A.11.2.1
HW.SC Se aplican perfiles de
seguridad
HW Proteccin de los Equipos A.11.1.1
Informticos A.11.1.2
HW_WAP Puntos de Acceso Inalmbricos I*, E*, A* R_HW_WAP B DC
HW.A Aseguramiento de la A.11.2.1
disponibilidad

235
[COM] COMUNICACIONES

ANEXO A ISO/IEC
CDIGO ACTIVO AMENAZA RIESGO_ID RIESGO TRATAMIENTO SALVAGUARDAS
27001:2013
A.9.1.2
A.10.1.1
COM Proteccin de las Comunicaciones
A.11.2.3
COM.A Aseguramiento de la disponibilidad
COM_INT Internet E*, A* R_COM_INT MA DC A.13.1.*
COM.C Proteccin criptogrfica de la
A.13.2.1
confidencialidad de los datos intercambiados
A.13.2.2

A.9.1.2
A.10.1.1
COM Proteccin de las Comunicaciones
A.11.2.3
COM.A Aseguramiento de la disponibilidad
COM_LAN Red de rea Local E*, A* R_COM_LAN MA DC A.13.1.*
COM.C Proteccin criptogrfica de la
A.13.2.1
confidencialidad de los datos intercambiados
A.13.2.2

A.9.1.2
COM Proteccin de las Comunicaciones
A.10.1.1
COM.A Aseguramiento de la disponibilidad
Conectividad A.13.1.*
COM_WIF E*, A* R_COM_WIF M DC COM.C Proteccin criptogrfica de la
Inalmbrica A.13.2.1
confidencialidad de los datos intercambiados
A.13.2.2
COM.wifi Seguridad Wireless(WiFi)

[AUX] EQUIPO AUXILIAR

ANEXO A ISO/IEC
CDIGO ACTIVO AMENAZA RIESGO_ID RIESGO TRATAMIENTO SALVAGUARDAS
27001:2013
A.11.2.2
AUX.A Aseguramiento de la
A.11.2.3
disponibilidad
AUX_FBO Fibra ptica I*, E*, A* R_AUX_FBO MA DC A.11.2.6
AUX.AC Climatizacin
A.13.2.1
AUX.power Suministro elctrico
AUX.A Aseguramiento de la A.11.2.2
disponibilidad A.11.2.3
AUX_RCK Rack I*, E*, A* R_AUX_RCK A DC
AUX.AC Climatizacin A.13.2.1
AUX.power Suministro elctrico
AUX.A Aseguramiento de la A.11.2.2
disponibilidad A.11.2.3
AUX_PWR Fuente de Alimentacin I*, E*, A* R_AUX_PWR MA DC
AUX.AC Climatizacin A.13.2.1
AUX.power Suministro elctrico

236
AUX.A Aseguramiento de la A.11.2.2
Sistema de Alimentacin disponibilidad A.11.2.3
AUX_UPS I*, E*, A* R_AUX_UPS A DC
Ininterrumpida AUX.AC Climatizacin A.13.2.1
AUX.power Suministro elctrico
AUX.A Aseguramiento de la A.11.2.2
disponibilidad A.11.2.3
AUX_WIR Cableado Elctrico I*, E*, A* R_AUX_WIR MA DC AUX.power Suministro elctrico A.11.2.6
AUX.wires Proteccin del A.13.2.1
cableado

[L] INSTALACIONES

ANEXO A ISO/IEC
CDIGO ACTIVO AMENAZA RIESGO_ID RIESGO TRATAMIENTO SALVAGUARDAS
27001:2013
L. Proteccin de las
Instalaciones
A.11.1.*
Oficina de Sistemas de N*, I*, E*, L.A Aseguramiento de la
L_SIT R_L_SIT A AS A.17.*
Informacin y Telemtica A* disponibilidad
L.AC Control de los accesos
fsicos

237
[P] PERSONAL

ANEXO A ISO/IEC
CDIGO ACTIVO AMENAZA RIESGO_ID RIESGO TRATAMIENTO SALVAGUARDAS
27001:2013

PS Gestin del Personal


PS.A Aseguramiento de la A.7.*
P_ADM Administrador de Sistema E*, A* R_P_ADM A TT disponibilidad
PS.AT Formacin y
concienciacin

PS Gestin del Personal


PS.A Aseguramiento de la A.7.*
Administrador de
P_COM E*, A* R_P_COM MA TT disponibilidad
Comunicaciones
PS.AT Formacin y
concienciacin

PS Gestin del Personal


PS.A Aseguramiento de la A.7.*
Administrador de Bases de
P_DBA E*, A* R_P_DBA MA TT disponibilidad
Datos
PS.AT Formacin y
concienciacin

PS Gestin del Personal


PS.A Aseguramiento de la A.7.*
P_DES Desarrolladores de Software E*, A* R_P_DES M TT disponibilidad
PS.AT Formacin y
concienciacin

238
6.8. PLAN DE CONTINUIDAD DEL NEGOCIO

OFICINA DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDAD DE CRDOBA

PLAN DE CONTINUIDAD DEL NEGOCIO

Cdigo del Documento [Definir cdigo del Sistema de Gestin Documental]

Versin 1.0

Fecha de Versin 2015-05-19

Creado por Andrs F. Doria Corcho

Aprobado por [Jefa de Oficina de Sistemas y Telecomunicaciones]

Nivel de Confidencialidad Media

239
HISTORIAL DE CAMBIOS

FECHA VERSIN CREADO POR DESCRIPCIN DEL CAMBIO

2015-05-19 1.0 Andrs F. Doria Corcho Versin inicial

1. PROPSITO, ALCANCE Y USUARIOS

1.1. PROPSITO

El propsito de este Plan de Continuidad del Negocio (BCP) es preparar a la


oficina de Sistemas y Telecomunicaciones de la Universidad de Crdoba en la
eventualidad de la interrupcin de los servicios causados por factores ms all de
nuestro control (ej. desastres naturales, acciones realizadas por personas,
ataques informticos a gran escala, etc.) y restablecer los servicios en el menor
tiempo posible. Se espera que todas las reas que componen a esta oficina
implementen medidas preventivas donde sea posible para minimizar las
interrupciones y recuperarse tan rpido como sea posible cuando ocurra un
incidente.

1.2. ALCANCE

El alcance de este plan est limitado solamente a la oficina de Sistemas y


Telecomunicaciones de la Universidad de Crdoba. Esto es un Plan de
Continuidad de Negocio, no un documento de procedimientos de resolucin de
problemas.

240
1.3. OBJETIVOS

Servir como gua para el equipo de recuperacin de desastres de la oficina


de Sistemas y Telecomunicaciones.

Referenciar y localizar los datos crticos.

Proveer los procedimientos y recursos necesarios para ayudar en la


recuperacin.

Identificar los entes que deben ser notificados en la eventualidad de un


desastre.

Ayudar para evitar las confusiones durante una crisis por medio de la
documentacin, pruebas y repaso de procedimientos de recuperacin.

Identificar fuentes alternas para los recursos e infraestructura.

Establecer procedimientos para el almacenamiento, resguardo y


recuperacin de documentos vitales.

1.4. SUPUESTOS

Disponibilidad del personal encargado (equipo) e la eventualidad del


desastre.

Desastres naturales como ataques de tipo militar estn fuera de este


alcance de este plan.

Este documento y todos los registros confidenciales estn almacenados en


otra ubicacin segura donde no se presenta el desastre actual y estn
accesibles inmediatamente siguiendo el desastre.

Estos procedimientos de recuperacin son vlidos nicamente para la


oficina de Sistemas y Telecomunicaciones.

241
1.5. DEFINICIONES

Desastre: Se cataloga como desastre cualquier interrupcin de los


servicios que provee la oficina de Sistemas y Telecomunicaciones a la
Universidad de Crdoba, causados por eventos de orden catastrficos para
la organizacin.

Planeacin de Continuidad TI (ITCP, IT Continuity Planning): Involucra


las medidas que aseguran en lo posible toda la infraestructura de
Tecnologas de Informacin como los sistemas, redes, informacin, bases
de datos, dispositivos, etc., con el fin de que continen su operacin normal
durante un incidente o desastre.

Planeacin de Recuperacin de Desastres De TI (IT DRP, Disaster


Recovery Planning): Involucra los planes para la recuperacin de los
sistemas crticos de Tecnologa Informtica para su restablecer los servicios
crticos en la eventualidad de un incidente o desastre.

Gestin de Crisis: Actividades asociadas a la administracin de


emergencias, primariamente enfocadas en los aspectos sanitarios y de
seguridad.

1.6. USUARIOS

Los usuarios de este documento son todas aquellas personas internas o externas
a la organizacin que tienen un rol en la continuidad del negocio.

2. DOCUMENTOS DE REFERENCIA

Para ms informacin, se pueden consultar los siguientes documentos:

Estndar ISO/IEC 27001:2013.

Estndar ISO IEC/22301.

242
Poltica de la Continuidad del Negocio.

Estatutos legales, reguladores y contractuales.

3. PLAN DE CONTINUIDAD DEL NEGOCIO

3.1. CONTENIDO DEL PLAN

Este plan se hace efectivo cuando un ocurra un evento catalogado como desastre.
Los procedimientos normales de administracin iniciarn el plan y quedarn
activos hasta que las operaciones y los servicios se reinicien en el lugar original o
en reemplazo de sta siempre y cuando sean aptos para el funcionamiento
normal.

En este documento se establecen la composicin del equipo encargado de la


continuidad de la operacin del negocio en la eventualidad de un incidente mayor
o desastre, cundo se activa/desactiva el plan y el orden de los procedimientos y
actividades prioritarias.

3.2. ROLES Y RESPONSABILIDADES

El equipo encargado del BCP est compuesto por los siguientes roles:

ROL RESPONSABILIDADES
Administrador Plan de Establecer la coordinacin interna/externa con la alta gerencia,
Continuidad del Negocio (BCP empleados incluidos en el BCP, entre otros, con el fin de establecer
Manager) los requerimientos y procesos para el normal funcionamiento de las
actividades crticas y estratgicas.
Establecer las polticas para el BCP desarrollando estrategias que
complementen y soporten los riesgos y objetivos de seguridad.
Asegurarse de que los procesos crticos de negocio son lo
suficientemente resistentes para continuar con la operacin efectiva
ms all de los incidentes o desastres.
Administrador del Plan de Encargarse de restaurar los procesos y servicios crticos en el
Recuperacin de Desastres tiempo estipulado despus del incidente o desastre.

243
(BRP Manager) Evaluar y priorizar los procesos de negocio para la restauracin.
Determinar los requerimientos de recuperacin teniendo en cuenta la
interdependencia de los procesos.
Justificar las inversiones adicionales al BRP.
Administracin de Evaluacin Trabajar conjuntamente con los otros responsables del BCP para
Tcnica proveer evaluacin y requerimientos tcnicos para una efectiva
(Lderes de Recuperacin del recuperacin.
estado de las redes, bases de Disear las herramientas de evaluacin para determinar el nivel
datos y de servidores) apropiado de los servicios de recuperacin.
Evaluar la resistencia y las capacidades de recuperacin y riesgos
inherentes a la infraestructura de TI.
Proveer el uso de nuevas tecnologas y procesos para soportar la
recuperacin de desastres de TI.

3.3. CONTACTOS CLAVES

Datos de contacto de las personas que participarn en el Plan de Continuidad del


Negocio.

N ROL NOMBRES Y APELLIDOS REA TELFONOS


1
2
3
4
5

3.4. ACTIVACIN Y DESACTIVACIN DEL PLAN

La activacin define las acciones tomadas una vez exista una interrupcin en los
servicios crticos de la oficina de Sistemas y Telecomunicaciones de la
Universidad de Crdoba, o en su defecto cuando se detecten o aparezca ser

244
inminente. Se incluyes las actividades para notificar al personal de recuperacin
de desastres, conducir una evaluacin de la interrupcin y activar el BCP.

El BCP ser activado cuando se presenten algunos de los siguientes eventos:

1. El tipo de desastre suponga una interrupcin de los servicios en ms de 4


horas. Dentro de ellas se encuentran:

Falla del Hardware.

Interrupcin del fluido elctrico o telecomunicaciones.

Fallas en Aplicaciones o corrupcin de las bases de datos.

Errores humanos, sabotaje o golpes.

Ataque y propagacin de software malicioso.

Hacking no autorizado de los sistemas.

Desastres naturales (Inundaciones, Terremotos, Huracanes, etc.).

2. La infraestructura fsica de la oficina est daada o no disponible en un


perodo de 4 horas.

3. Cualquier otro criterio que suponga una interrupcin de los servicios crticos
de tiempo indefinido.

Las personas con los roles establecidos y que hagan parte de la


implementacin del BCP sern notificados inmediatamente.

Independientemente del tipo de desastre o incidente, la vida, salud, bienestar y


seguridad de las personas ser la prioridad.

245
3.5. COMUNICACIN

Los canales de comunicacin se utilizarn en caso del incidente o desastre. El


equipo encargado del BCP utilizar los telfonos celulares personales y/o
corporativos (dependiendo de la magnitud y el estado afectado) y dispositivos
de radio-comunicacin. De igual forma, se informar a las autoridades
competentes por medio de la radio y medios impresos.

3.6. SITIOS FSICOS Y DE TRANSPORTE

Con el fin de darle continuidad al negocio y a los procesos crticos que se


ejecutan en la oficina de Sistemas y Telecomunicaciones de la Universidad de
Crdoba se utilizar lo siguiente:

1. OFICINA EN EL CENTRO DE LA CIUDAD DE MONTERA: Se utilizar


el espacio dedicado en el complejo ubicado en el centro de la ciudad de
Montera, donde las oficinas estn parcialmente adecuadas con
sistemas de hardware, software, telecomunicaciones y fuentes de
energa. Aunque no est completamente apta para el funcionamiento
simultneo de todos los dispositivos y mucho menos para un Centro de
Datos, cuenta con las condiciones necesarias para poner en
funcionamiento los procesos y actividades crticas de la oficina.

3.7. ORDEN DE RECUPERACIN DE ACTIVIDADES

Se realizan los procedimientos formales para las operaciones de recuperacin


despus que haya sido activado el BCP, evaluados las interrupciones y el
personal notificado. En esta fase se implementan las estrategias para recuperar el
sistema, reparar los daos y reanudar las capacidades originales a la ubicacin
alternativa.

Despus de implementada esta fase, las actividades y procesos crticos de la


oficina de Sistemas y Telecomunicaciones sern funcionales.

246
Para dar continuidad efectivamente en el menor tiempo posible, se deben ejecutar
las siguientes actividades generales en el orden aqu establecido:

1. Identificar el lugar para dar continuidad.

2. Identificar los recursos requeridos para realizar los procedimientos de


continuidad y recuperacin.

3. Recuperar las copias de seguridad y los medios de instalacin.

4. Recuperar el hardware y los sistemas operativos.

5. Recuperar el sistema desde las copias de seguridad y los medios de


instalacin.

247
6.9. GOBIERNO DE TECNOLOGA INFORMTICA (COBIT)

Un Gobierno de Tecnologa en Informtica (Gobierno de TI) es responsabilidad de


la alta direccin y no slo del departamento de TI de cualquier organizacin, ya
que es una parte integral de la misma y consiste en el liderazgo, estructuras
organizacionales y procesos que garanticen el sostenimiento TI en pro de
colaborar con los objetivos estratgicos92.

Hoy en da, la infraestructura o departamento de tecnologa informtica de


cualquier organizacin no debera ser visto como un proceso aislado, sino como
una contribucin para la prestacin de servicios. En este contexto, se identifican
los servicios como un factor de medicin de calidad y de apoyo estratgico, donde
la alta direccin necesita de un marco o modelo que le permita comprender de
forma holstica cmo los servicios y procesos de TI ayudan al logro de los
objetivos organizacionales. La calidad es entendida como la habilidad de
conseguir un resultado operacional deseado, medible y que pueda ser mejorado
sin recurrir en altos costos adicionales.

El Gobierno de TI es el proceso que se encarga de realizar la toma de decisiones


relativas a la infraestructura de tecnologas de la informacin en una organizacin,
donde los resultados son monitoreados y medibles, adems de tener en cuenta el
cumplimiento a las leyes y regulaciones vigentes.

El modelo de Gobierno de TI COBIT93 (acrnimo de Control Objectives for


Information and Related Technologies) es el propuesto para la Universidad de
Crdoba, ya que es un marco que provee mecanismos de control para la
tecnologa de informacin, a travs de modelos de madurez, mtricas de procesos
e indicadores de rendimiento para la gestin de TI.

92
Definicin otorgada por ITGI (IT Governance Institute).
93
Desarrollado en 1996 por ISACA (Information Systems Audit and Control Association).

248
COBIT en sus Dominios de Control, Objetivos, Procesos y Actividades permiten
alinear la infraestructura de TI con la estrategia de una organizacin, maximizando
beneficios, reduciendo costos, justificando las inversiones, garantizando que los
recursos y riesgos sean gestionados adecuadamente. Todas estas actividades
son medibles y permiten evaluar el desempeo de cada uno de los procesos y
determinar el nivel de madurez del Gobierno de TI de una organizacin.

Esta alineacin con la estrategia organizacional est fundamentada en COBIT en


los cinco (5) principios94 que plantea que pueden beneficiar a cualquier empresa,
sin importar su tamao, ubicacin o industria:

PRINCIPIO DE
DESCRIPCIN UNIVERSIDAD DE CRDOBA
COBIT 5
El propsito principal es obtener la
alineacin estratgica de la informacin y
tecnologa relacionada, activos y recursos
Se proyecta la calidad de los procesos
con los objetivos organizacionales
acadmico-administrativos, donde la
mediante un enfoque holstico de arriba
1. Satisfacer las oficina de Sistemas y Telecomunicaciones
hacia abajo, permitiendo la agrupacin de
necesidades de vela por el correcto funcionamiento de los
stos dos tipos de objetivos
las partes servicios tecnolgicos que apoyan estos
(organizacionales y de TI) en forma de
interesadas procesos. Los activos y recursos de TI son
cascada en cada una de las perspectivas
planeados y adquiridos por la Unidad de
principales de un Cuadro de Mando
95
Planeacin y Desarrollo.
Integral (Balanced Scorecard) como son
la Financiera, Clientes, Procesos Internos
y Aprendizaje y Crecimiento.
Se reconoce la criticidad de los activos y Los altos directivos representados por el
servicios de TI en los procesos Consejo Superior y la Unidad de
2. Cubrir la
organizacionales, como recursos para la Planeacin y Desarrollo deberan
organizacin de
creacin de valor y no como un costo. Los reconocer las importancia de la oficina de
forma integral
directivos deben tomar la responsabilidad Sistemas y Telecomunicaciones en la
de gobernar y gestionar los activos prestacin ptima de los procesos y

94
Principios que plantea COBIT 5 (ltima versin del marco).
95
El Balanced Scorecard (BSC) es una herramienta de gestin estratgica inventada por Robert
Kaplan y David Norton en los aos 90.

249
relacionados con TI dentro de sus propias servicios.
funciones
La Universidad de Crdoba est
organizada por procesos y sigue un
Las organizaciones deberan utilizar un
lineamiento de calidad institucional.
solo marco integrado para una entrega
3. Aplicar un solo Actualmente tiene la certificacin ISO 9001
ptima de los recursos y activos de TI.
marco integrado y se estn realizando los inicios para una
COBIT est alineado con otros estndares
futura certificacin en ISO 27001:2013.
y marcos de alto nivel.
Ambos estndares son compatibles con
COBIT.
Para que la implementacin sea efectiva,
se requiere de un enfoque holstico donde
se tienen en cuenta varios componentes o
mecanismos llamados Habilitadoreso
Catalizadores(Enablers), los cuales son
Para la implementacin efectiva y
factores que individualmente o
articulacin del Gobierno y Gestin de TI,
colectivamente podran influenciar si algo
4. Habilitar un los Catalizadores o Habilitadores
sirve o no. Estos habilitadores son: 1.
enfoque holstico existentes en la Universidad de Crdoba
Principios, Polticas y Marcos de Trabajo;
deberan estar alineados con las metas
2. Procesos; 3. Estructuras
estratgicas y de alto nivel.
Organizacionales; 4. Cultura, tica y
Comportamientos; 5. Informacin; 6.
Servicios, Infraestructuras y Aplicaciones;
7. Talento Humano, Capacidades y
Competencias.
COBIT diferencia entre dos disciplinas que
engloban diferentes tipos de actividades,
requieren estructuras organizativas En la Universidad de Crdoba, las
diferentes y sirven para diferentes actividades y procesos para la toma de
propsitos como lo son el Gobierno que decisiones generalizadas que afecten
asegura que los objetivos se alcancen globalmente a la institucin son tomadas
5. Separar el
mediante la evaluacin de las necesidades por el Consejo Superior (Gobierno), y la
gobierno de la
de los interesados, el establecimiento de oficina de Sistemas y Telecomunicaciones
administracin
la direccin a travs de la priorizacin y la es una de las unidades que se encargan
toma de decisiones; y el monitoreo del de gestionar las actividades que estn
desempeo, el cumplimiento y el progreso; acorde a las directrices y lineamientos
y la Gestin que de acuerdo a los generales (Gestin).
resultados de las actividades del
Gobierno, planee, cree, realice y

250
monitoree las actividades para asegurar el
alineamiento con la direccin que se
estableci.
Fuente: INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5: Un Marco de Negocio
para el Gobierno y la Gestin de las TI de la Empresa. Illinois, Estados Unidos: ISACA. 2012.

COBIT plantea las reas Claves de Gobierno y Gestin cada una conteniendo
sus dominios, procesos y actividades diferentes, pero relacionadas entre s.

Figura 16. reas Claves de Gobierno y Gestin de COBIT 5.

Fuente: INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5: Un Marco


de Negocio para el Gobierno y la Gestin de las TI de la Empresa. Illinois, Estados Unidos: ISACA.
2012. p. 32.

En estas reas, COBIT incluye un modelo de referencia de procesos que define y


describe en detalle varios procesos de gobierno y de gestin que mediante un
lenguaje operacional y comn proporciona un marco para medir el rendimiento de
las actividades relacionadas con la TI.

251
El modelo de referencia de procesos de COBIT 5 divide los procesos de gobierno
y de gestin de la TI empresarial (GEIT) en dosdominios principales de
procesos96:

Gobierno: Se definen prcticas de Evaluacin, Orientacin y


Supervisin (EDM).

Gestin Empresarial: Contiene cuatro dominios principales, en


conformidad con las reas de responsabilidad de Planificar, Construir,
Ejecutar y Supervisar(Plan, Build, Run, Monitor [PBRM]), y proporciona
cobertura extremo a extremo de las TI. A su vez, stos dominios estn
descritos de la siguiente manera: Alinear, Planificar y Organizar (Align,
Plan, Organise, APO), Construir, Adquirir e Implementar (Build, Acquire,
Implement, BAI), Entregar, Dar Servicio y Soporte (Deliver, Service,
Support, DSS) y Supervisar, Evaluar y Valorar (Monitor, Evaluate,
Assess,MEA).

Cada dominio tambin contiene un nmero de procesos como se muestra a


continuacin:

96
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5 for Information
Security. Illinois, Michigan, Estados Unidos de Amrica: ISACA. 2012. p. 32.

252
Figura 17. Modelo de Referencia de Procesos de COBIT 5.

Fuente: INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. COBIT 5 for Information
Security. Illinois, Michigan, Estados Unidos de Amrica: ISACA. 2012. p. 32.

Los procesos seleccionados corresponden a los enfocados en el campo de la


Seguridad Informtica: APO13 Gestionar la Seguridad, DSS04 Gestionar la
Continuidad y DSS05 Gestionar los Servicios de Seguridad. stos proveen una
gua bsica sobre cmo definir, operar y monitorear un sistema para la seguridad
de la informacin a nivel general, y se caracterizan por lo siguiente:

Se establecen las responsabilidades de TI de forma integral en relacin a la


seguridad de la informacin.

Se establecen los vnculos de la seguridad de la informacin a los objetivos


y metas de TI y a su vez con los estratgicos de la institucin.

Todas las unidades organizacionales comparten una poltica y cultura de la


seguridad de la informacin.

Se mantienen los niveles de riesgo en niveles aceptables protegiendo la


informacin de acceso, divulgacin y/o modificacin no autorizada.

253
Se garantizan la continuidad de los servicios.

Se garantizan los cumplimientos de las regulaciones y leyes aplicables.

Estos procesos de un Gobierno de TI basado en el marco COBIT en forma


conjunta con un Sistema de Gestin de la Seguridad de la Informacin basado en
ISO 27001:2013, le proporcionaran a la oficina de Sistemas y
Telecomunicaciones y a la Universidad de Crdoba una serie de beneficios
reduciendo costos operativos relativos a la seguridad de la informacin, adems
de no incurrir en riesgos legales y contractuales, perder ventaja competitiva debido
a la filtracin de informacin y mala imagen institucional.

254
7. CRONOGRAMA

FECHA DE
FECHA DE INICIO
N ACTIVIDAD DESCRIPCIN FINALIZACIN
(DD/MM/AAAA)
(DD/MM/AAAA)
Contextualizar con el Director del Proyecto sobre el estado
1 Inicio 16/4/15 16/4/15
y aspectos a desarrollar.
Obtener el aval de la gerencia (jefe de la oficina de
2 Soporte Administrativo Sistemas y Telecomunicaciones) para la realizacin del 22/4/15 22/4/15
proyecto.
Redactar la introduccin del proyecto englobando las
3 Introduccin 21/4/15 21/4/15
generalidades, objetivos, problema y necesidad a resolver.
Redactar los objetivos del proyecto indicando claramente
4 Objetivos 22/4/15 22/4/15
lo que se quiere realizar.
Identificar y redactar los trminos ms comunes que se
5 Glosario 22/4/15 22/4/15
emplearn en el proyecto.
6 Norma ISO 27001:2013 Describir brevemente la norma ISO 27001:2013. 23/4/15 24/4/15
Sistema de Gestin de Describir qu es y para qu sirve la implementacin de un
7 la Seguridad de Ia Sistema de Gestin de la Seguridad de la Informacin en 25/4/15 25/4/15
Informacin una organizacin.
8 Anlisis Situacin Descripcin de la Organizacin: Describir el rea o lugar 27/4/15 27/4/15

255
Actual dnde se desarrollar el proyecto, organigrama, valores u
otra informacin adicional.
Procesos Internos de: Obtener y documentar algunos de
28/4/15 30/4/15
los procesos internos que se tienen actualmente.
Requerimientos de Seguridad de la Informacin:
Conocer las necesidades especficas relativas a la
30/4/15 2/5/15
seguridad de la informacin que se quieran obtener en el
proyecto.
Recoleccin de Activos de TI: Recolectar y documentar
4/5/15 8/5/15
Activos de Informacin los diferentes tipos de activos de TI existentes.
9
Tecnolgica Clasificacin de Activos de TI: Clasificar y documentar
9/5/15 10/5/15
los activos segn su nivel de criticidad.
Anlisis Diferencial: Conocer el estado actual que tiene
la organizacin en base a los objetivos y dominios de
1/5/15 2/5/15
control que se presentan en el Anexo A del estndar
Anlisis Diferencial ISO/IEC 27001:2013.
10 (Anexo A ISO Resumen: Documentar el nivel de cumplimiento que tiene
27001:2013) la organizacin actual relativo al Anexo A del estndar 3/5/15 3/5/15
ISO/IEC 27001:2013.
Definicin del Alcance: Redactar el alcance (lugar,
3/5/15 3/5/15
activos, tecnologa) que estar controlada por el SGSI.
Polticas de Seguridad de Alto Nivel: Redactar las
Polticas de Seguridad
11 polticas de seguridad de la informacin que definan la 11/5/15 11/5/15
del SGSI
intencin, objetivos estratgicos y generalidades del SGSI.

256
Polticas de Seguridad Detalladas: Redactar las polticas
de seguridad de la informacin detalladas del SGSI con 11/5/15 11/5/15
responsabilidades especficas.
Inventario de Activos: Recolectar y documentar la
informacin relevante a los activos informticos a proteger 12/5/15 14/5/15
de acuerdo al alcance del SGSI y los responsables.
Conceptualizacin: Definir cul es la finalidad de un
14/5/15 14/5/15
anlisis de riesgos y para qu sirve.
Metodologa: Seleccionar la metodologa de evaluacin
de riesgos indicando los pasos que se realizan y su 15/5/15 15/5/15
Anlisis y Evaluacin
12 justificacin.
de Riesgos
Valoracin: Definir la escala de valoracin de los riesgos. 15/5/15 15/5/15
Evaluacin: Realizar la evaluacin de los riesgos de los
16/5/15 17/5/15
activos informticos.
Gestin: Identificar los controles aplicables a los riesgos.
17/5/15 18/5/15
Documentar la Declaracin de Aplicabilidad (SOA).
Nivel de Riesgo: Definir y documentar el plan de
19/5/15 20/5/15
tratamiento de riesgo y el nivel de riesgo potencial.
Plan de Continuidad Redactar y documentar las polticas y procedimientos para
13 24/5/15 24/5/15
del Negocio la Plan de Continuidad del Negocio.
Seleccionar un modelo de Gobierno de TI que se ajuste a
14 Gobierno de TI 25/5/15 27/5/15
las necesidades y objetivos de la organizacin.
Conclusiones: Redactar las conclusiones del proyecto en
15 Finalizacin 28/5/15 28/5/15
base a lo realizado.

257
Bibliografa: Revisar el contenido del material
28/5/15 28/5/15
bibliogrfico y ajustarlo a la norma NTC 1486.
Anexos: Revisar y adjuntar los anexos que sean
28/5/15 28/5/15
necesarios para el proyecto.

258
8. CONCLUSIONES

Los sistemas de informacin y las TIC en general juegan un papel fundamental en


la prestacin de servicios de las organizaciones, satisfaccin del cliente, logro de
objetivos e incluso sacar ventaja competitiva. Sin embargo, el uso de la tecnologa
conlleva riesgos que la mayora de las veces son desconocidos por la alta
gerencia y no invierten en mecanismos de proteccin as como en la
implementacin de modelos de seguridad de la informacin.

Este proyecto permiti conocer los beneficios que genera un Sistema de Gestin
de Seguridad de la Informacin en cualquier organizacin moderna y
especialmente en la oficina de Sistemas y Telecomunicaciones de la Universidad
de Crdoba mediante la aplicacin de un estndar internacional de seguridad de la
informacin como la ISO/IEC 27001:2013, que a travs de un ciclo de
mejoramiento continuo, y mediante su fase de diseo permiti establecer la
documentacin base que requiere sta norma. Adems, se pudo conocer el
estado actual de los dominios, objetivos y controles de seguridad mediante un
anlisis diferencial y el nivel de cumplimiento que se tiene en referencia al Anexo
A del estndar. Esto a su vez, permiti elaborar las Polticas de Seguridad de la
Informacin generales que deberan ser comunicadas a todos los funcionarios con
el fin de establecer un compromiso en mantener de los niveles de riesgos
aceptables.

Por otra parte, se pudo clasificar los activos de informacin y determinar el nivel de
riesgo potencial de cada uno de ellos aplicando una metodologa de riesgos de TI
sistemtica como MAGERIT, donde se pudo identificar los activos ms crticos y
que requieren de mayor atencin y controles de seguridad dado el alto impacto
que tienen en la prestacin de servicios y funcionamiento ptimo de los procesos
de la institucin. Para ello, se propuso un documento que contiene el Plan de

259
Continuidad del Negocio con el fin de mantener o restablecer en el menor tiempo
posible el funcionamiento de los mismos.

Por ltimo, se propuso el modelo COBIT como Gobierno de TI ya que presenta un


enfoque integral de la institucin y permite la alineacin de los objetivos de TI con
los objetivos y metas estratgicas de la universidad. Adems, su integracin con
otros estndares de seguridad de la informacin como ISO/IEC 27001 y su
ejecucin en cascada o de arriba hacia abajo permite que la alta direccin tenga
un mejor entendimiento de la importancia de la infraestructura de a TI en el
desarrollo normal de los procesos institucionales y por ende en los objetivos
misionales.

260
9. RECOMENDACIONES

Con el fin de mejorar y beneficiar el presente proyecto, se recomienda que exista


un compromiso de la alta direccin de la Universidad de Crdoba; es decir, que el
diseo o implementacin de un Sistema de Gestin de Seguridad de la
Informacin no sea un proyecto solamente de la oficina de Sistemas y
Telecomunicaciones y del Lder del Proceso de Desarrollo Tecnolgico, sino que
sea entendido por la Unidad de Planeacin y Desarrollo y generalizado por el
Consejo Superior como un soporte para la optimizacin de los procesos y apoyo
para el cumplimiento de los objetivos estratgicos, permitiendo la alineacin de los
objetivos de TI a stos.

A su vez, para obtener una mayor exactitud en determinar las amenazas de los
activos, permitir detallar las especificaciones tcnicas de los mismos y
documentarse sobre las vulnerabilidades que presentan mediante la suscripcin a
boletines especializados de seguridad de la informacin. Adems, capacitar a los
funcionarios en temas relativos a la seguridad de la informacin y disponer
pblicamente de las Polticas de Seguridad.

Por otra parte, para obtener resultados ms precisos y de actualizacin


automtica, se recomienda adquirir un software de gestin de riesgos para la
metodologa MAGERIT que permita disponer en tiempo real el clculo de los
niveles de riesgo potencial y residual, para realizar comparaciones con los niveles
de riesgos aceptables.

ltimamente, se recomienda adelantar un proceso de capacitacin y/o seleccin


de personal que lidere los procesos y actividades relativas a la seguridad de la
informacin, as como determinar la viabilidad y factibilidad para la continuidad del
proyecto.

261
BIBLIOGRAFA

AHMAD, N., & ZULKIFLI, S. Systematic Approach to Successful Implementation of ITIL.

Procedia Computer Science, 2013. p. 237-244.

AMUTIO, M. A., CANDAU, J., & MAAS, J. A. MAGERIT versin 3.0. Metodologa de

Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Libro I - Mtodo.

Madrid: Ministerio de Hacienda y Administraciones Pblicas, 2012. p. 127.

AMUTIO, M. A., CANDAU, J., & MAAS, J. A. MAGERIT versin 3.0. Metodologa de

Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Libro II - Catlogo

de Elementos. Madrid: Ministerio de Hacienda y Administraciones Pblicas, 2012.

p. 75.

ARORA, V. (s.f.). "Comparing different information security standards: COBIT vs. ISO

27001". En Lnea. Disponible en Carnegie Mellon University, Qatar:

(http://qatar.cmu.edu/media/assets/CPUCIS2010-1.pdf)

BENAVIDES, M., & SOLARTE, F. J. Mdulo Riesgos y Control Informtico. Pasto: UNAD,

2012. p. 188.

COLOMBIA. CONGRESO DE LA REPBLICA. "Ley 1273 de 2009". En Lnea. 10 de

Mayo de 2015. Disponible en Ministerio de Tecnologas de la Informacin y las

Comunicaciones: (http://www.mintic.gov.co/portal/604/articles-

3705_documento.pdf)

Comparison of IT Risk Assessment Framework: Octave, Fair, NIST-RMF and TARA. En

Lnea. Disponible el 16 de Marzo de 2014, en FinanceSheets.com

(http://www.financesheets.com/comparison-of-it-risk-assessment-framework-

octave-fair-nist-rmf-and-tara/)

262
DEBARATI, H., & JAISHANKAR, K. Cyber Crime and the Victimization of Women: Laws,

Rights, and Regulations.IGI Global, 2011.

DURANGO, J. M. Plan de Gestin Rectoral - Universidad de Crdoba, 2012. Montera.

EASTTOM, C. Computer Security Fundamentals (Segunda ed.). Indianapolis: Pearson,

2012. p. 350.

GMEZ, L., & ANDRS, A. Gua de Aplicacin de la Norma UNE-ISO/IEC 27001 Sobre

Seguridad en Sistemas de Informacin para PYMES. Espaa: Asociacin

Espaola de Normalizacin y Certificacin, 2012. p. 214.

HAMDI, M., BOUDRIGA, N., & OBAIDAT, M. S. Security Policy Guidelines. En H.

BIDGOLI, Handbook of Information Security: Threats, Vulnerabilities, Prevention,

Detection, and Management (pgs. 945-958). New Jersey: Wiley, 2006.

HODEGHATTA, U., & NAYAK, U. The InfoSec Handbook: An Introduction to Information

Security.New York: Apress Media, 2014. p. 376.

ICONTEC. Norma Tcnica Colombiana: NTC-ISO-IEC 27001. Tecnologa de la

Informacin. Tcnicas de Seguridad. Sistemas de Gestin de la Seguridad de la

Informacin. Requisitos. Bogot: Instituto Colombiano de Normas Tcnicas y

Certificacin, 2013.

ISACA. COBIT 5 for Information Security. Illinois, Michigan, Estados Unidos de Amrica:

ISACA, 2012. p. 220.

ISACA. COBIT 5: Un Marco de Negocio para el Gobierno y la Gestin de las TI de la

Empresa. Illinois, Estados Unidos: ISACA, 2012.

ISACA. COBIT 5 Principles: Where Did They Come From? En Lnea. Junio de 2015.

Disponible en ISACA: (http://www.isaca.org/knowledge-

center/research/researchdeliverables/pages/cobit-5-principles.aspx)

263
ISO/IEC. International Standard ISO/IEC 27000: Information Technology - Security

Techniques - Information Security Management Systems - Overview and

Vocabulary. Geneva: ISO Copyright Office, 2014. p. 38.

JAQUITH, A. Security Metrics: Replacing Fear, Uncertainty and Doubt. Addison-Wesley,

2007. p. 336.

KIM, D., & SALOMON, M. G. Fundamentals of Information System Security. United States

of America: Jones & Bartlett Learning International, 2012. p 544.

KOSUTIC, D. Cmo obtener la certificacin ISO 27001? En Lnea. 2 de Abril de 2010.

Disponible en ISO 27001 & ISO 22301:

(http://blog.iso27001standard.com/es/tag/sgsi/)

KOSUTIC, D. 9 Steps to Cibersecurity: The Manager's Information Security Manual

(Primera ed.). Zagreb: EPPS Services Ltd, 2012. p. 80.

KOSUTIC, D. Business continuity plan: How to structure it according to ISO 22301. En

Lnea. Septiembre de 2014. Disponible en ISO 27001 & ISO 22301:

(http://blog.iso27001standard.com/2012/09/24/business-continuity-plan-how-to-

structure-it-according-to-iso-22301/)

KOSUTIC, D. Lista de documentacin obligatoria requerida por ISO/IEC 27001. En Lnea.

Septiembre de 2014. Disponible en ISO 27001 Academy:

(http://www.iso27001standard.com/es/descargas-gratuitas/scrollTo-11725)

LITTLEJOHN SHINDER, D., & TITTEL, E. Scene of the Cybercrime: Computer Forensics

Handbook. Syngress Publishing, 2002. p. 754.

MAHNCKE, R. The Applicability of ISO/IEC27014:2013 For Use Within General Medical

Practice. En Lnea. Enero de 2013. Disponible en Australian eHealth Informatics

and Security Conference:

(http://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1011&context=aeis)

264
MATTFORD, H. J., & WHITMAN, M. E. Roadmap to Information Security for IT and

InfoSec Managers. Boston: Cengage Learning, 2011.

NCC. IT Governance: Developing a successful governance strategy. A Best Practice

Guide for decision makers in IT. Londres: National Computing Centre, 2005.

NIST. Computer Systems Laboratory Bulletin. En Lnea. Marzo de 1994. Disponible en

National Institute of Standards and Technology:

(http://csrc.nist.gov/publications/nistbul/csl94-03.txt)

ODESHINA, N. ISO/IEC 27001:2005 Implementation and CertificationDoing It Again and

Again. En Lnea. Diciembre de 2013. Disponible en ISACA Journal:

(http://www.isaca.org/Journal/Past-Issues/2013/Volume-2/Pages/ISOIEC-27001-

2005-Implementation-and-Certification-Doing-It-Again-and-Again.aspx)

OFFICE GOVERNMENT OF COMMERCE. ITIL V3 Foundation Complete Certification Kit.

Londres: The Art of Service, 2009.

OJEDA, J., RINCN, F., ARIAS, M., & DAZA, L. Delitos Informticos y Entorno Jurdico

Vigente en Colombia. Cuadernos de Contabilidad, 2010. 11(28), p. 41-66.

PETERSON, R. Integration Strategies and Tactics for Information Technology

Governance. En W. VAN GREMBERGEN, Strategies for Information Technology

Governance (pgs. 37-80). IDEA Group Publishing, 2004.

RAMREZ, G., & CONSTAIN, G. Modelos y Estndares de Seguridad Informtica.

Palmira: UNAD, 2012. p. 95.

RHODES-OUSLEY, M. Information Security: The Complete Reference (Segunda ed.).

McGraw-Hill, 2013. p. 897.

RYAN, M., & MARTIN, J. L. Information Security Risk Assessment Toolkit: Practical

Assessment Through Data Collection and Data Analysis. Syngress, 2013. p. 281.

265
SNCHEZ, J., FERNNDEZ, E., & MORATILLA, A. ITIL, COBIT and EFQM: Can They

Work Together? International Journal of Combinatorial Optimization Problems and

Informatics, 2013. 4(1), p. 54-64.

SANS. An Introduction to Information System Risk. SANS Institute, 2007.

SHEIKHPOUR, R., & MODIRI, N. An Approach to Map COBIT Processes to ISO/IEC

27001 Information Security Management Controls. International Journal of Security

and Its Applications, 2012. 6(2), p. 13-26.

STEWART, J. M., TITTEL, E., & CHAPPLE, M. CISSP: Certified Information Systems

Security Professional Guide (Quinta ed.). Indianapolis, Indiana, United States of

America: Wiley Publishing, 2011. p. 936.

STONEBURNER, G., GOGUEN, A., & FERINGA, A. Risk Management Guide for

Information Technology Systems. En Lnea. Julio de 2012. Disponible en National

Institute of Standards and Technology:

(http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf)

SUREZ, L., & AMAYA, C. A. Sistema de Gestin de la Seguridad de la Informacin.

Bogot: Universidad Nacional Abierta y a Distancia, 2013. p. 97.

SYMONS, C. IT Governance Framework: Structures, Processes, And Communication. En

Lnea. Marzo de 2015. Disponible en Forrester Research:

(http://i.bnet.com/whitepapers/051103656300.pdf)

UNIVERSIDAD DE CRDOBA. Estatuto General. Montera: Grupo de Publicaciones,

2004. p 65.

UNIVERSIDAD DE CRDOBA. Proyecto Educativo Institucional. Montera: Fondo

Editorial, 2004. p. 28.

UNIVERSIDAD DE CRDOBA. Sistema de Gestin Documental. En Lnea. Febrero de

2014. Disponible en Universidad de Crdoba:

266
(http://docsigec.www3.unicordoba.edu.co/index.php?modulo=Consulta&accion=ver

Documentos&sistema=1&proceso=11&tipoDocumento=4)

VAN GREMBERGEN, W. Strategies for Information Technology Governance. IDEA Group

Publishing, 2004.

VITA. Information Technology Risk Management Guideline. En Lnea. Noviembre de

2014. Disponible en Virginia Information Technology Agency:

(https://www.vita.virginia.gov/uploadedFiles/Library/PSGs/Word_versions/Risk_Ass

essment_Instructions.doc)

ZAWADA, B., & MARBAIS, G. Implementing ISO 2230: The Business Continuity

Management System Standard. En Lnea.Marzo de 2015. Disponible en Avalution

Consulting:

(http://www.avalution.com/system/cms/files/files/000/000/072/original/Implementing

_ISO_22301.pdf)

267