Está en la página 1de 97

NDICE

Contenido
NDICE ...............................................................................................................................................2
Tabla de contenido Imgenes.........................................................................................................4
Tabla de contenido Tablas..............................................................................................................4
Tabla de grficas ............................................................................................................................5
1. SITUACIN ACTUAL: CONTEXTUALIZACIN, OBJETIVOS Y ANLISIS DIFERENCIAL
ENFOQUE Y SELECCIN DE LA EMPRESA ...................................................................................6
1.1 Introduccin ..............................................................................................................................6
1.2 Objetivos ...................................................................................................................................6
1.3 Descripcin actual de la empresa .............................................................................................6
1.3.1 Ubicacin ...........................................................................................................................7
1.4 Organigrama .............................................................................................................................8
1.4.1 Diagrama de red ................................................................................................................9
1.5 Red de procesos .......................................................................................................................9
1.6 Valores de la organizacin........................................................................................................9
1.7 Activos de la organizacin ......................................................................................................10
1.7.1 Capital Humano ...............................................................................................................10
1.7.2 Tcnica.............................................................................................................................11
1.7.3 Hardware ..........................................................................................................................11
1.7.4 Licencias ..........................................................................................................................11
1.7.5 Informacin ......................................................................................................................11
1.8 Definicin de los objetivos: Anlisis diferencial ISO/IEC 27001 27002 y plan director de
seguridad. .....................................................................................................................................12
1.8.1 Objetivo ............................................................................................................................12
1.8.2 Plan director de seguridad ...............................................................................................12
1.8.2 Anlisis diferencial de la empresa ....................................................................................13
1.8.3 Resumen anlisis diferencial ............................................................................................18
2. SISTEMA DE GESTIN DOCUMENTAL .................................................................................20
2.1 Introduccin ............................................................................................................................20
2.2 Esquema Documental.............................................................................................................20
2.2.1 Poltica de Seguridad .......................................................................................................20

2 de 97
Juan Manuel Crdenas Restrepo - 2014
2.2.1.1Introduccin ....................................................................................................................20
2.2.1.2 Funciones y obligaciones del personal de la organizacin............................................20
2.2.1.8 Revisin de la poltica de seguridad ..............................................................................24
2.2.2.1 Requisitos profesionales acadmicos y tcnicos auditor interno: .................................25
2.2.2.2 Plan de auditora ...........................................................................................................25
2.2.2.3 Informe de auditora ......................................................................................................26
2.2.2.4 Programa de auditora...................................................................................................27
2.2.3 Gestin de indicadores.....................................................................................................30
2.2.4 Procedimiento de revisin por direccin...........................................................................33
2.2.5 Gestin de roles y responsabilidades...............................................................................34
2.2.5.1 Comit de seguridad .....................................................................................................34
2.2.5.2 Funciones y obligaciones del personal..........................................................................35
2.2.5.3 Funciones y obligaciones del responsable de la seguridad de la informacin ..............35
2.2.6 Metodologa de anlisis de riesgos ..................................................................................36
2.2.6.1 Recoleccin de datos ....................................................................................................36
2.2.6.2 Establecimiento de Parmetros ....................................................................................36
2.2.6.3 Anlisis de activos .........................................................................................................37
2.2.6.4 Anlisis de amenazas ...................................................................................................38
2.2.6.5 Establecimiento de las vulnerabilidades ........................................................................38
2.2.6.6 Valoracin de impactos .................................................................................................38
2.2.6.7 Anlisis de riesgos intrnseco ........................................................................................38
2.2.6.8 Influencia de salvaguardas............................................................................................39
2.2.6.9 Anlisis de riesgos efectivos .........................................................................................39
2.2.6.10 Gestin de riesgos ......................................................................................................39
2.2.7 Declaracin de aplicabilidad.............................................................................................39
3. ANLISIS DE RIESGOS ...........................................................................................................65
3.1 Introduccin ............................................................................................................................65
3.2 Inventario de activos ...............................................................................................................66
3.3 Valoracin de los activos ........................................................................................................67
3.4 Dimensiones de seguridad .....................................................................................................68
3.5 Resumen de valoracin ..........................................................................................................69
3.6 Anlisis de amenazas .............................................................................................................70
3.7 Nivel de riesgo aceptable........................................................................................................75
3.8 Conclusiones ..........................................................................................................................76
4. PROPUESTA DE PROYECTOS ...............................................................................................76

3 de 97
Juan Manuel Crdenas Restrepo - 2014
4.1 Introduccin ............................................................................................................................76
4.2 Propuestas..............................................................................................................................76
4.2.1 Proyecto 1 ........................................................................................................................77
4.2.2 Proyecto 2 ........................................................................................................................77
4.2.3 Proyecto 3 ........................................................................................................................78
4.2.5 Proyecto 5 ........................................................................................................................79
4.3 Resultados ..............................................................................................................................79
5. AUDITORA DE CUMPLIMIENTO ............................................................................................81
5.1 Introduccin ............................................................................................................................81
5.2 Metodologa ............................................................................................................................81
5.3 Evaluacin de la madurez.......................................................................................................81
5.4 Presentacin de resultados ....................................................................................................93
6. CONCLUSIONES .....................................................................................................................95
7. BIBLIOGRAFA .........................................................................................................................96

Tabla de contenido Imgenes


Imagen 1. Fotografa satelital empresa seleccionada. ......................................................................8
Imagen 2. Organigrama de la empresa. ............................................................................................8
Imagen 3. Red de procesos. .............................................................................................................9
Imagen 4. Impacto y Esfuerzo. ........................................................................................................80
Imagen 5. Escala Impacto y Esfuerzo. ............................................................................................81

Tabla de contenido Tablas


Tabla 1. Anlisis detallado ISO 27002 .............................................................................................13
Tabla 2. Resumen anlisis diferencial. .............................................................................................18
Tabla 3. Plan de auditora ................................................................................................................25
Tabla 4. Informe final auditoras .......................................................................................................26
Tabla 5. Detalle procedimiento auditoras internas. .........................................................................28
Tabla 6. Indicador nmero de revisiones de la poltica de seguridad por parte de la direccin .......30
Tabla 7. Indicador nmero de auditoras internas realizadas ...........................................................30
Tabla 8. Indicador nmero de auditoras externas realizadas ..........................................................30
Tabla 9. Indicador mantenimientos realizados a la infraestructura fsica contra amenazas externas
.........................................................................................................................................................31
Tabla 10. Indicador programas maliciosos detectados en los equipos y servidores ........................31
Tabla 11. Indicador acuerdos de intercambio de datos ....................................................................31
Tabla 12. Indicador usuarios dados de baja .....................................................................................31
Tabla 13. Indicador incidentes de seguridad ....................................................................................31
Tabla 14. Indicador dispositivos perdidos ........................................................................................32
Tabla 15. Indicador Documentacin de seguridad elaborada respecto a la esperada .....................32
Tabla 16. Indicador Equipos sin antivirus instalado..........................................................................32

4 de 97
Juan Manuel Crdenas Restrepo - 2014
Tabla 17. Indicador Copias de seguridad fallidas .............................................................................32
Tabla 18. Indicador Accesos no autorizados a la red de la organizacin .........................................32
Tabla 19. Valoracin anlisis de riesgos de los activos de la organizacin. ....................................36
Tabla 20. Impacto sobre activos en el anlisis de riesgos. ..............................................................37
Tabla 21. Efectividad de controles de seguridad segn anlisis de riesgos. ....................................37
Tabla 22. Nivel aceptable de riesgos intrnsecos segn anlisis de riesgos. ...................................38
Tabla 23. Dominios ISO 27002 declaracin de aplicabilidad. ..........................................................39
Tabla 24. Inventario de activos.........................................................................................................66
Tabla 25. Valoracin de los activos ..................................................................................................67
Tabla 26. Dimensiones de seguridad utilizadas. ..............................................................................68
Tabla 27. Valoracin dimensiones de seguridad. .............................................................................68
Tabla 28. Frecuencia de ocurrencia de eventos...............................................................................70
Tabla 29. Abreviaturas tipos de activos............................................................................................71
Tabla 30. Bloques de amenazas y activos. ......................................................................................71
Tabla 31. Activos, amenazas y frecuencias. ....................................................................................73
Tabla 32. Niveles de riesgo aceptables activos................................................................................75
Tabla 33. Proyectos. ........................................................................................................................80
Tabla 34. Modelo de Madurez de la Capacidad (CMM):...............................................................82
Tabla 35. Evaluacin de madurez de la capacidad Poltica de Seguridad. ......................................84
Tabla 36. Evaluacin de madurez de la capacidad Organizacin de la seguridad de la Informacin.
.........................................................................................................................................................84
Tabla 37. Evaluacin de madurez de la capacidad Seguridad de Recursos Humanos. ..................85
Tabla 38. Evaluacin de madurez de la capacidad Gestin de Activos. ..........................................85
Tabla 39. Evaluacin de madurez de la capacidad Control de Acceso. ...........................................86
Tabla 40. Evaluacin de madurez de la capacidad Criptografa. .....................................................87
Tabla 41. Evaluacin de madurez de la capacidad Seguridad fsica y ambiental. ...........................87
Tabla 42. Evaluacin de madurez de la capacidad Operaciones de seguridad. ..............................88
Tabla 43. Evaluacin de madurez de la capacidad Seguridad de las comunicaciones....................89
Tabla 44. Evaluacin de madurez de la capacidad Sistema de adquisicin, desarrollo y
mantenimiento. .................................................................................................................................90
Tabla 45. Evaluacin de madurez de la capacidad Relacin con los proveedores. .........................90
Tabla 46. Evaluacin de madurez de la capacidad Informacin de gestin de incidentes de la
seguridad..........................................................................................................................................91
Tabla 47. Evaluacin de madurez de la capacidad Los aspectos de seguridad de informacin de la
gestin de la continuidad del negocio. .............................................................................................92
Tabla 48. Evaluacin de madurez de la capacidad Conformidad ....................................................92
Tabla 49. Resultados 114 controles - evaluacin de madurez. .......................................................93

Tabla de grficas
Grfica 1. Grfica radar resumen anlisis diferencial. ......................................................................19
Grfica 2. Madurez CMM de los controles ISO. ...............................................................................93
Grfica 3. Madurez de los controles. ................................................................................................94

5 de 97
Juan Manuel Crdenas Restrepo - 2014
1. SITUACIN ACTUAL: CONTEXTUALIZACIN, OBJETIVOS Y
ANLISIS DIFERENCIAL ENFOQUE Y SELECCIN DE LA
EMPRESA

1.1 Introduccin

Es importante saber que la informacin es un activo que, como otros activos importantes de la
empresa, es esencial para las operaciones de la organizacin, y en consecuencia necesita ser
adecuadamente protegida. ISO 27002:2005.

La informacin es presentada en las organizaciones en distintos medios como el papel,


almacenada electrnicamente, trasmitid y otras, y tiene importantes propiedades que se deben
mantener: disponibilidad, integridad y confidencialidad.

Es evidente que todas las organizaciones se enfrentan a diferentes tipos de amenazas (internas y
externas) y vulnerabilidades como por ejemplo: espionaje, sabotaje, vandalismo, incendios, etc.;
por todo ello aparece la necesidad de la seguridad de la informacin, rea que nos permitir
protegerla adecuadamente para que nuestra organizacin pueda mantener su competitividad,
rentabilidad y en general su existencia en la sociedad. Si la seguridad de la informacin fallara o no
se aplicara correctamente podramos tener distintos impactos en nuestra organizacin, como por
ejemplo: prdidas financieras, denuncias de las autoridades, prdidas de clientes, prdida de cuota
de mercado, interrupcin de las operaciones, dao en la imagen, etc. Por todas estas razones es
importante el desarrollo de este proyecto que permitir sentar las bases de apoyo al SGSI de la
organizacin.

1.2 Objetivos

El objetivo es elaborar un plan de implementacin de la ISO/IEC 27001 en la organizacin


seleccionada. El proyecto establecer las bases para la implementacin de un SGSI (Sistema de
Gestin de la Seguridad de la Informacin) y por lo tanto deber abordar las siguientes fases:

Documentacin normativa sobre las mejores prcticas en la seguridad de la informacin.


Definicin clara de la situacin actual y de los objetivos del SGSI.
Anlisis de riesgos.
Evaluacin del nivel de cumplimiento de la ISO/IEC 27002 a una organizacin.
Propuestas de proyectos para conseguir una gestin de la seguridad ptima.
Esquema documental.

1.3 Descripcin actual de la empresa

6 de 97
Juan Manuel Crdenas Restrepo - 2014
Para el proyecto seleccion una de las empresas que ms tienen que ver con el futuro de la
seguridad de la informacin, en donde se encuentran empresas que se dedican o dedicarn a
ofrecer productos y servicios de seguridad para otras empresas en la regin, pas y el mundo.
Como empresa, cuenta con muchos aliados, pero debe fortalecerse en procesos de certificacin y
calidad en varias reas con el fin de aumentar su capacidad de negociacin y ofrecer confianza a
los clientes nuevos y con los que cuenta actualmente.

La empresa cuenta con 315 mts cuadrados en dos pisos de un edificio que est actualmente en
comodato con la alcalda de la ciudad de Pereira, se delegaron dos personas para el apoyo a la
realizacin de este proyecto, no cuentan con mucho tiempo dadas sus ocupaciones, ellas son la
Coordinadora Administrativa y la Coordinadora de Buenas Prcticas.

Es una fundacin sin nimo de lucro que inici operaciones en marzo de 2005 con el propsito de
crear y desarrollar empresas que provean al mercado productos y servicios innovadores en la
industria de las Tecnologas de la Informacin y la economa del conocimiento.

Actualmente cuenta con ms de 30 empresas dedicadas a la industria TI y servicios relacionados.


Estas empresas generan actualmente empleo calificado para 125 personas, de las cuales 59 son
emprendedores y los 66 restantes son colaboradores.

Hoy en da, al lado de otros en Colombia es el clster de ciencia y tecnologa informtica ms


grande del pas y uno de los ms importantes lderes en apoyo a proyectos de emprendimiento con
base tecnolgica e investigacin de paradigmas afines para aplicar al desarrollo de soluciones
informticas. Gracias al camino recorrido, la empresa recibi en el 2011 el reconocimiento
internacional de la Young American Business Trust, en el 2012 fue reconocido como centro de
excelencia de la organizacin de Estados Americanos y asimismo, obtuvo el premio nacional
Gonzalo Vallejo del diario La Tarde, como la empresa ms innovadora.

La empresa est trabajando en la elaboracin de documentos conducentes a la certificacin ISO


9001, esto es un punto de partida ya que ven el proyecto como un complemento y desde la
Direccin se tiene conciencia sobre la importancia de la seguridad de la informacin para la
empresa, directamente el Director ejecutivo de la empresa se encarg de abrir las puertas de la
misma y asignar el personal de apoyo.

1.3.1 Ubicacin

La empresa se encuentra ubicada en la ciudad de Pereira-Risaralda a la salida hacia la ciudad de


Armenia-Quindo, a continuacin se presenta la imagen satelital:

7 de 97
Juan Manuel Crdenas Restrepo - 2014
Imagen 1. Fotografa satelital empresa seleccionada.

Fuente: Google Maps.

1.4 Organigrama

Imagen 2. Organigrama de la empresa.

Fuente: Documento calidad empresa seleccionada.

8 de 97
Juan Manuel Crdenas Restrepo - 2014
Se cuenta con los documentos que nombran las funciones y lineamientos de cada uno de los
comit, perfiles de los empleados para las coordinaciones, estatutos de la empresa, reglamento
interno, perfil de la direccin ejecutiva, no se cuenta con poltica de seguridad de la informacin y
se evidencia que en los documentos falta ajustar con elementos de seguridad de la informacin.

1.4.1 Diagrama de red

La organizacin no cuenta con un diagrama de red, en su operacin tienen una organizacin muy
sencilla, todos los puntos estn conectados a un switch que est conectado al servidor proxy que
les brinda la salida a Internet, cuentan con un router inalmbrico que est conectado al switch en
donde se permite la conexin inalmbrica para empleados y visitantes.

1.5 Red de procesos

Imagen 3. Red de procesos.

Fuente: Documento calidad empresa seleccionada.

1.6 Valores de la organizacin

Pasin: La bsqueda del conocimiento, la construccin de tecnologa, el desarrollo de empresa y


la generacin de capital social es visceral. La ideologa de la empresa se basa en un fuerte
conjunto de emociones en torno al empuje y las ganas por lograr el objetivo tecnolgico y de
negocios del emprendedor.

Confianza: El combustible principal de los Negocios y las Redes Sociales es la Confianza. Esta
accin es la que permite el desarrollo de actividades y relaciones humanas a gran velocidad. Para
establecer relaciones de confianza se necesita una estructura fuerte de valores y principios,
adems de las competencias correctas para lograr los mejores desempeos, que generan cadenas
de valor.

9 de 97
Juan Manuel Crdenas Restrepo - 2014
Trabajo duro: El proceso de construir una empresa demanda una alta inversin del Capital ms
grande que tiene un emprendedor; su tiempo. La fase inicial del proceso de emprendimiento es
una etapa de alta cuota de sacrificio personal, cada hora que el emprendedor se distrae y no la
invierta en su proyecto, la est restando a su oportunidad de xito. En promedio un emprendedor
debe trabajar en los primeros aos de formacin de su empresa un promedio de 12 horas diarias
de lunes a domingo, del 1 de enero al 31 de diciembre, incluyendo das festivos. Esta es una de las
caractersticas ms diferenciadoras de los emprendedores contra el resto de la poblacin laboral.
El trabajo duro es una oportunidad de xito, esto se debe patrocinar en los emprendedores en todo
su sentido.

Sinergia: Este axioma es vital en la supervivencia y rpido desarrollo de su negocio para un


emprendedor. El actuar conectado a redes de conocimiento, servicios y productos, les permite
tomar ventajas competitivas sumando habilidades personales, tecnolgicas y de negocios tanto a
ellos como personas, como a sus proyectos. Un ambiente sinrgico acelera notoriamente la
transferencia de experiencias (know how) y permite de una manera rpida e informal
acompaamiento (coaching) por parte de la comunidad. Este modelo de pensamiento y accin
tambin genera en sus entornos economas de escala.

Informalidad: En los mercados actuales de tecnologa, altamente competidos, se requiere un


dosis alta de innovacin para poder salir y posicionarse en un nicho especifico. La innovacin no
es ms que un acto de pensar diferente. Por eso es importante enfatizarla en los primeros aos de
la formacin de los emprendedores, como una habilidad la informalidad de pensamiento y la
informalidad de relacionarse con el entorno, convirtindolas en ventajas competitivas para resolver
con mayor contenido de innovacin, audacia y en menores tiempos los retos que plantea la
formacin de empresas altamente competitivas y productivas.

1.7 Activos de la organizacin

La empresa est situada actualmente en un predio que est en comodato con la Alcalda de la
ciudad de Pereira-Risaralda-Colombia, esto es que tiene a su cargo la administracin del mismo,
cuenta con 315 mts cuadrados en donde se sitan las empresas de base tecnolgica
desarrolladoras de software, el espacio asignado para el rea administrativa de la empresa es de
40 mts cuadrados aproximadamente. Los equipos de cmputo se sitan todos en el primer piso al
igual que el servidor y el rack. No se cuenta con cmaras de seguridad, se cuenta con un sistema
de acceso por medio de clave en teclado que permite el acceso a la puerta principal en donde se
encuentra el rea administrativa. Se cuenta con llaves de los cajones en los puestos de trabajo que
son asignadas a la persona que la ocupa en ese momento, la oficina de la direccin ejecutiva es la
nica que tiene puerta, el resto de las dependencias no tiene puertas, esto es poltica de la
empresa para crear un ambiente de confianza en la comunidad.

1.7.1 Capital Humano

Director ejecutivo 1.

Coordinacin Administrativa 1.

Coordinacin Proyectos 1.

10 de 97
Juan Manuel Crdenas Restrepo - 2014
Coordinacin Comercial 1.

Coordinacin de Emprendimiento 1.

Coordinadora Calidad 1.

Revisor Fiscal 1.

Contador 1.

Auxiliares (buenas prcticas, emprendimiento, otros) 5.

1.7.2 Tcnica

Planta elctrica 1

Rack de Comunicaciones 1

Armarios de documentos 2

1.7.3 Hardware

Porttil direccin 1

Porttiles equipo de trabajo 9

Equipos de escritorio 3

Servidor proxy 1

Impresoras laser monocromtica 2

Switch de 24 puertos 2

Router inalmbrico 1

1.7.4 Licencias

Todos los equipos de cmputo vienen equipados con el mismo software, cuentan con sistema
operativo Windows de fbrica, Microsoft Office 2010, en algunos cuentan con licencias libres de
algunos programas.

1.7.5 Informacin

La empresa cuenta con informacin que no ha valorado como activos, los contratos de toda ndole
estn en armarios donde se almacenan, no se tiene un lugar de almacenamiento de bases de
datos que son realizadas o adquiridas de terceros, los documentos como lineamientos, polticas y
manuales de funcin son almacenados en su gran mayora de forma digital, pero no se cuenta con
un repositorio que permita hacer control de versiones o garantizar su seguridad. De la informacin

11 de 97
Juan Manuel Crdenas Restrepo - 2014
no se realizan copias de seguridad, puede suceder que en algn momento si un equipo se daa y
es de alguna de las coordinaciones no puedan recuperar esta informacin.

1.8 Definicin de los objetivos: Anlisis diferencial ISO/IEC 27001


27002 y plan director de seguridad.

El alcance sern los sistemas de informacin que dan soporte a los procesos de desarrollo en
donde se encuentran la gestin gerencial, promocin, mercadeo y ventas, proyectos, los procesos
misionales que son emprendimiento y apoyo empresarial y los procesos de apoyo que son
compras y calidad segn la aplicabilidad vigente. La organizacin es pequea en su operacin, son
pocas las personas que trabajan directamente con la misma, son muchos los colaboradores que
son indirectos a la misma, es por este motivo que se pretende hacer un trabajo a nivel general.

1.8.1 Objetivo

El objetivo principal del trabajo de fin de mster consiste en el anlisis de madurez de la


organizacin, que es de tamao pequeo, para la implantacin de la ISO/IEC 27001 y la
elaboracin del Plan Director de Seguridad.

La organizacin desea que sean aplicadas todas las fases del SGSI para no solo conocer el estado
actual en Seguridad de la Informacin, si no que sirva como una carta de navegacin para que
puedan ajustar todos los elementos que se necesitan para poder acceder a mediano plazo a una
certificacin en la norma ISO / IEC 27001 versin 2013.

1.8.2 Plan director de seguridad

En el desarrollo de un plan director de seguridad es primordial que la alta direccin est de


acuerdo en que se realicen las actividades que conduzcan a una correcta implementacin de un
sistema de gestin de seguridad de la informacin, tambin es claro que los factores humanos,
organizativos, tcnicos y procedimentales asociados con los sistemas de informacin deben
considerarse, tendremos en cuenta la norma 27001:2013 y otras normativas que sean necesarias y
que se puedan aplicar en la empresa.

El objetivo principal del plan director de seguridad ser identificar los proyectos que la organizacin
debe realizar en corto, mediano, y largo plazo para que se garantice la gestin de la seguridad de
la informacin.

Despus de realizar un buen anlisis diferencial con la norma 27001:2013 y 27002 de buenas
prcticas contrastado con el anlisis de riesgos se realizarn los planes necesarios que sean
basados en la estrategia de la empresa, necesidades especficas y otros que indicarn las
prioridades de los mismos. La empresa debe fortalecerse al interior en seguridad de la informacin
para que pueda proyectar seguridad y de esa forma generar confianza en los clientes y de las
empresas que se encuentran incubadas al interior.

12 de 97
Juan Manuel Crdenas Restrepo - 2014
Como uno de los objetivos a corto plazo la empresa busca crear las polticas de seguridad de la
informacin y estas poder replicarlas a las empresas que as lo deseen con un plan que seguir las
mismas pautas del que se est llevando a cabo en el presente trabajo.

1.8.2 Anlisis diferencial de la empresa

Tabla 1. Anlisis detallado ISO 27002

5. Poltica de Seguridad
5.1 Direccin de la gestin de seguridad de la informacin
5.1.1 Polticas de la seguridad No cumple
de la informacin
5.1.2 Revisin de las polticas No cumple
de la seguridad de la
informacin
6. Organizacin de la seguridad de la informacin
6.1 Organizacin interna
6.1.1 Funciones y No cumple
responsabilidades de
seguridad de informacin
6.1.2 Segregacin de funciones No cumple
6.1.3 Contacto con las Cumple
autoridades.
6.1.4 Contacto con grupos de Cumple
inters especiales
6.1.5 Seguridad de la No cumple
informacin en la gestin
de proyectos
6.2 Dispositivos mviles y Teletrabajo
6.2.1 Poltica de dispositivos Cumple
mviles
6.2.2 Teletrabajo No cumple
7. Seguridad de Recursos Humanos
7.1 Antes del empleo
7.1.1 Screening Cumple
7.1.2 Trminos y condiciones Cumple
de empleo
7.2 Durante el empleo
7.2.1 Responsabilidades de Cumple
gestin
7.2.2 Conciencia de seguridad Cumple
de la informacin,
educacin y
entrenamiento
7.2.3 Proceso disciplinario No cumple
7.3 Terminacin y cambio de empleo
7.3.1 Terminacin o cambio de No cumple
las responsabilidades de
empleo
8. Gestin de Activos
8.1 Responsabilidad de los activos
8.1.1 Inventario de Activos No cumple

13 de 97
Juan Manuel Crdenas Restrepo - 2014
8.1.2 Propiedad de los activos No cumple
8.1.3 Uso aceptable de los No cumple
activos
8.1.4 Retorno de los activos No cumple
8.2 Clasificacin de la Informacin
8.2.1 Clasificacin de la No cumple
Informacin
8.2.2 Etiquetado de la No cumple
Informacin
8.2.3 Manejo de Activos No cumple
8.3 Manejo de Medios
8.3.1 Gestin de medios No cumple
extrables
8.3.2 Eliminacin de medios No cumple
8.3.3 Transferencia de medios No cumple
fsicos
9. Control de Acceso
9.1 Business requirements of access control
9.1.1 Poltica de control de No cumple
acceso.
9.1.2 Acceso a las redes y No cumple
servicios de red
9.2 Gestin de acceso de usuario
9.2.1 Registro de usuario y No cumple
cancelacin de registro
9.2.2 Acceso aprovisionamiento No cumple
del usuario
9.2.3 Gestin de derechos de No cumple
accesos privilegiados
9.2.4 Gestin de la informacin No cumple
de autenticacin de
secreto de los usuarios
9.2.5 Revisin de los derechos No cumple
de acceso de usuario
9.2.6 La eliminacin o el ajuste No cumple
de los derechos de
acceso
9.3 Responsabilidades del usuario
9.3.1 El uso de informacin No cumple
secreta de autenticacin
9.4 Control del sistemas y acceso a las aplicaciones
9.4.1 Restriccin de acceso No cumple
Informacin
9.4.2 Procedimientos de inicio No cumple
de sesin seguro
9.4.3 Sistema de gestin de No cumple
contrasea
9.4.4 El uso de los programas No cumple
de servicios pblicos
privilegiados
9.4.5 Control de acceso al No cumple
cdigo fuente del
programa

14 de 97
Juan Manuel Crdenas Restrepo - 2014
10. Criptografa
10.1 Controles criptogrficos
10.1.1 Poltica sobre el uso de No cumple
controles criptogrficos
10.1.2 Gestin de claves No cumple
11 Seguridad fsica y ambiental
11.1 reas seguras
11.1.1 Permetro de seguridad No cumple
fsica
11.1.2 Controles de entrada No cumple
fsicas
11.1.3 Asegurar oficinas, No cumple
habitaciones e
instalaciones
11.1.4 La proteccin contra No cumple
amenazas externas y
ambientales
11.1.5 Trabajar en zonas No cumple
seguras
11.1.6 Zonas de entrega y carga No cumple
11.2 Equipo
11.2.1 Ubicacin y proteccin del No cumple
equipo
11.2.2 Apoyo a los servicios No cumple
pblicos
11.2.3 seguridad cableado No cumple
11.2.4 Mantenimiento del equipo No cumple
11.2.5 Eliminacin de los activos No cumple
11.2.6 Seguridad de equipo y No cumple
activos fuera de las
instalaciones
11.2.7 Eliminacin segura o la No cumple
reutilizacin de los
equipos
11.2.8 Equipos de usuario No cumple
desatendidos
11.2.9 Escritorio limpio y poltica No cumple
pantalla limpia
12. Operaciones de seguridad
12.1 Procedimientos y responsabilidades operacionales
12.1.1 Procedimientos No cumple
operativos documentados
12.1.2 Gestin del cambio No cumple
12.1.3 gestin de la capacidad No cumple
12.1.4 Separacin de desarrollo, No cumple
pruebas y entornos
operativos
12.2 Proteccin contra el malware
12.2.1 Controles contra el No cumple
malware
12.3 Copias de seguridad
12.3.1 Copia de seguridad de la No cumple
informacin

15 de 97
Juan Manuel Crdenas Restrepo - 2014
12.4 Registro y seguimiento
12.4.1 registro de eventos No cumple
12.4.2 Proteccin de la No cumple
informacin de registro
12.4.3 Registros de No cumple
administrador y operador
12.4.4 sincronizacin de reloj No cumple
12.5 El control de software operativo
12.5.1 La instalacin del No cumple
software en los sistemas
operativos
12.6 Tcnico de gestin de vulnerabilidades
12.6.1 Gestin de No cumple
vulnerabilidades tcnicas
12.6.2 Las restricciones a la No cumple
instalacin de software
12.7 Sistemas de informacin consideraciones de auditora
12.7.1 Sistemas de informacin No cumple
controles de auditora
13. Seguridad de las comunicaciones
13.1 Gestin de la seguridad de red
13.1.1 Controles de red No cumple
13.1.2 Seguridad de los servicios No cumple
de red
13.1.3 Segregacin en redes No cumple
13.2 transferencia de informacin
13.2.1 Las polticas y los No cumple
procedimientos de
transferencia de
informacin
13.2.2 acuerdos sobre la No cumple
transferencia de
informacin
13.2.3 mensajera electrnica No cumple
13.2.4 acuerdos de No cumple
confidencialidad o de no
divulgacin
14. Sistema de adquisicin, desarrollo y mantenimiento
14.1 Security requirements of information systems
14.1.1 Informacin de anlisis de No cumple
requisitos de seguridad y
la especificacin
14.1.2 Asegurar los servicios de No cumple
aplicaciones en las redes
pblicas
14.1.3 proteccin de las No cumple
transacciones de
servicios de aplicaciones
14.2 Seguridad en los procesos de desarrollo y de apoyo
14.2.1 poltica de desarrollo No cumple
seguro
14.2.2 Procedimientos de control No cumple
de cambio de sistema

16 de 97
Juan Manuel Crdenas Restrepo - 2014
14.2.3 Revisin tcnica de No cumple
aplicaciones despus de
la plataforma operativa
14.2.4 restricciones a los No cumple
cambios en los paquetes
de software
14.2.5 Principios de ingeniera No cumple
de sistemas seguros
14.2.6 Entorno de desarrollo No cumple
seguro
14.2.7 desarrollo outsourced No cumple
14.2.8 Pruebas de seguridad No cumple
Sistema
14.2.9 Pruebas de aceptacin No cumple
del sistema
14.3 datos de prueba
14.3.1 Proteccin de los datos No cumple
de prueba
15. relaciones con los proveedores
15.1 Seguridad de la informacin en las relaciones con proveedores
15.1.1 poltica de seguridad de la No cumple
informacin para
relaciones con los
proveedores
15.1.2 Abordar la seguridad No cumple
dentro de los acuerdos
con proveedores
15.1.3 Cadena de informacin y No cumple
tecnologa de
comunicacin de
suministro
15.2 Gestin de la prestacin de servicios de proveedores
15.2.1 seguimiento y la revisin No cumple
de los servicios de
proveedores
15.2.2 Gestin de cambios en No cumple
los servicios de
proveedores
16. Informacin de gestin de incidentes de seguridad
16.1 Gestin de incidentes de seguridad de la informacin y mejoras
16.1.1 Responsabilidades y No cumple
procedimientos
16.1.2 Presentacin de informes No cumple
de eventos de seguridad
de informacin
16.1.3 Informes debilidades de No cumple
seguridad de informacin
16.1.4 Evaluacin y decisin No cumple
sobre los eventos de
seguridad de informacin
16.1.5 Respuesta a incidentes No cumple
de seguridad de la
informacin
16.1.6 Aprendiendo de los No cumple

17 de 97
Juan Manuel Crdenas Restrepo - 2014
incidentes de seguridad
de la informacin
16.1.7 acopio de pruebas No cumple
17. Los aspectos de seguridad de informacin de la gestin de la continuidad del negocio
17.1 Informacin continuidad seguridad
17.1.1 Planificacin informacin No cumple
continuidad seguridad
17.1.2 implementacin de la No cumple
informacin continuidad
seguridad
17.1.3 Verificar, revisar y evaluar No cumple
la informacin de
seguridad de continuidad
17.2 despidos
17.2.1 Disponibilidad de No cumple
instalaciones de
procesamiento de
informacin
18. conformidad
18.1 cumplimiento de los requisitos legales y contractuales
18.1.1 Identificacin de la No cumple
legislacin aplicable y los
requisitos contractuales
18.1.2 derechos de propiedad No cumple
Intectual
18.1.3 Proteccin de los No cumple
registros
18.1.4 Privacidad y proteccin No cumple
de datos personales
18.1.5 Reglamento de los No cumple
controles criptogrficos
18.2 Revisiones de seguridad de informacin
18.2.1 Revisin independiente No cumple
de seguridad de la
informacin
18.2.2 El cumplimiento de las No cumple
polticas y estndares de
seguridad
18.2.3 Revisin de cumplimiento No cumple
tcnico

1.8.3 Resumen anlisis diferencial

Tabla 2. Resumen anlisis diferencial.

Dominio Cumple % No cumple %


Poltica de Seguridad 0% 100%
Organizacin de la seguridad de la informacin 42.9% 57.1%
Seguridad de Recursos Humanos 66.7% 33.3%
Gestin de Activos 0% 100%
Control de Acceso 0% 100%
Criptografa 0% 100%

18 de 97
Juan Manuel Crdenas Restrepo - 2014
Seguridad fsica y ambiental 0% 100%
Operaciones de seguridad 0% 100%
Seguridad de las comunicaciones 0% 100%
Sistema de adquisicin, desarrollo y mantenimiento 0% 100%
Relaciones con los proveedores 0% 100%
Informacin de gestin de incidentes de seguridad 0% 100%
Los aspectos de seguridad de informacin de la 0% 100%
gestin de la continuidad del negocio
Conformidad 0% 100%

Grfica 1. Grfica radar resumen anlisis diferencial.

Poltica de Seguridad
70 Organizacin de la
Conformidad
60 seguridad de la
Los aspectos de 50 Seguridad de
seguridad de 40 Recursos Humanos
30
Informacin de 20 Gestin de Activos
gestin de 10
0 Series1
Relaciones con los
Control de Acceso
proveedores

Sistema de
Criptografa
adquisicin,
Seguridad de las Seguridad fsica y
comunicaciones ambiental
Operaciones de
seguridad

Fuente: elaboracin propia.

La organizacin con respecto a las normas de referencia (ISO 27001 e ISO 27002) est muy dbil,
no conocen sobre el tema y no se han preocupado por implementar polticas, controles y otros
elementos que le permitan estar ms protegida en temas de seguridad de la informacin, es
apenas en este acercamiento en donde la alta direccin se compromete con brindar el apoyo
necesario y algunas de las personas que trabajan en la misma para que den informacin y ayuden
a que se den los primeros pasos en temas de Sistemas de Gestin de Seguridad de la Informacin
en la organizacin.

19 de 97
Juan Manuel Crdenas Restrepo - 2014
Los resultados de la grfica anterior presenta resultados poco alentadores que motivan ms a la
misma organizacin a tomar la decisin de brindar ms apoyo, no se cumple con ms del 50% de
los controles de buenas prcticas que nos ofrece ISO 27002:2013.

2. SISTEMA DE GESTIN DOCUMENTAL

2.1 Introduccin

Todos los Sistemas de Gestin se apoyan en un cuerpo documental para el cumplimiento normativo.
Esto significa que en nuestro Sistema de Gestin de Seguridad de la Informacin tendremos que
tener una serie de documentos, los cuales vienen establecidos en la propia norma ISO/IEC 27001.

2.2 Esquema Documental

2.2.1 Poltica de Seguridad

2.2.1.1Introduccin

La informacin es uno de los bienes ms valiosos de la organizacin si no el ms valioso, la


prdida, deterioro, acceso no autorizado y uso no autorizado de la misma puede deteriorar
procesos o toda la organizacin, es por esto que se debe garantizar a travs de esta poltica de
seguridad la integridad, confidencialidad y disponibilidad de la misma para minimizar los riesgos a
los que se expone todos los das. La aplicacin de la poltica y directrices de seguridad tienen un
mbito global y abarcan todos los sistemas de informacin, redes de comunicaciones, equipos
informticos, infraestructura informtica y otros que estn a cargo de la organizacin.

Toda la organizacin es afectada por estas medidas de seguridad, el responsable de la seguridad


debe poner en marcha y actualizar estas medidas y el resto de personas de la organizacin deben
cumplirlas despus de entenderlas a travs de los procesos de capacitacin, tambin
comprendern las consecuencias que acarrea no hacerlo, es importante que los visitantes, clientes
y otros que no sean personal interno de la empresa cumplan con las mismas para evitar cualquier
incidente de seguridad de la informacin en la organizacin.

La informacin contenida en este documento y en todos los que implique estndares, normas y
otros sobre la seguridad de la informacin es de carcter confidencial con permiso de acceso a
solo el personal autorizado.

2.2.1.2 Funciones y obligaciones del personal de la organizacin

Se presentan a continuacin las funciones y obligaciones para el personal con acceso a los
sistemas de informacin de esta organizacin, estas funciones y obligaciones tienen como objeto:

20 de 97
Juan Manuel Crdenas Restrepo - 2014
Garantizar la confidencialidad de la informacin.

Proteger los sistemas de informacin y las redes de comunicacin propiedad de la organizacin o


bajo su responsabilidad, contra el acceso o uso no autorizado, alteracin indebida, destruccin,
mal uso o robo.

Proteger la informacin perteneciente o proporcionada a la organizacin, contra revelaciones no


autorizadas o accidentales, alteracin, destruccin o mal uso.

Para todo el personal sin importar el cargo se deben cumplir estas obligaciones, la organizacin
define algunos tems que deben efectuarse con el fin de garantizar que las obligaciones se
cumplan, estos son: Control de acceso fsico, uso de recursos, hardware, software, correo
electrnico, incidencias, propiedad intelectual.

A continuacin se presentan los tems definidos por la organizacin para el cumplimiento de las
obligaciones:

Control de acceso fsico: El acceso a las instalaciones donde se encuentran los Sistemas de
Informacin y los locales de tratamiento, se realizar previo paso por un sistema de control de
acceso fsico o con autorizacin del responsable de las instalaciones.

Uso de recursos: Los recursos informticos ofrecidos por la organizacin (datos, software,
comunicaciones, etc.) estn disponibles exclusivamente para cumplir con las obligaciones
laborales y con una finalidad corporativa. Por lo tanto, queda terminantemente prohibido cualquier
uso distinto al indicado, ejemplos: Introducir en los sistemas de informacin o red corporativa
contenidos ilegales, inmorales u ofensivos y en general, sin utilidad para los procesos de negocio
de la organizacin. Introducir voluntariamente programas, virus, spyware o cualquier otro software
malicioso que sean susceptibles de causar alteraciones en los recursos informticos de la
organizacin o de terceros. Desactivar o inutilizar los programas antivirus y de proteccin del
equipo. Intentar eliminar, modificar, inutilizar los datos, programas o cualquier otra informacin
propios de la organizacin o confiados a ella. Intentar descubrir o descifrar las claves de acceso o
cualquier otro elemento de seguridad que intervenga en los procesos telemticos de la
organizacin.

Hardware: El usuario en ningn caso acceder fsicamente al interior del equipo que tiene
asignado para su trabajo o que pertenezca a la propiedad de la organizacin. En caso necesario se
comunicar la incidencia, segn protocolo habilitado, para que el departamento indicado (o en su
defecto el encargado de su funcin) realice las tareas de reparacin, instalacin o mantenimiento.
Los usuarios no manipularn los mecanismos de seguridad que la organizacin implemente en los
dispositivos (equipos, porttiles, mviles, smartphones, etc.). No sacar equipos, dispositivos o
soportes de las instalaciones sin la autorizacin necesaria, y en todo caso, con los controles y
medidas que se hayan establecido para cada supuesto.

Software: Los usuarios deben utilizar nicamente las versiones de software facilitadas por la
organizacin y seguir sus normas de utilizacin. El director de sistemas o el encargado de su
funcin es el responsable de definir los programas de uso estandarizado en la organizacin y de
realizar las instalaciones en los PCs.

21 de 97
Juan Manuel Crdenas Restrepo - 2014
Correo electrnico: El servicio de correo electrnico (o cuentas de correo) que la organizacin pone
a disposicin de los usuarios tiene un uso estrictamente profesional y destinado a cubrir las
necesidades de su puesto. Queda terminantemente prohibido intentar leer, borrar, copiar o
modificar mensajes de correo electrnico de otros usuarios. Los usuarios no deben enviar
mensajes de correo electrnico de forma masiva con fines publicitarios o comerciales. En el caso
que sea necesario, dada la funcin del usuario, este tipo de mensajes se gestionarn con la
direccin de la organizacin y con el responsable de seguridad. La direccin de sistemas o el
encargado de su funcin velar por el uso correcto del correo electrnico con el fin de prevenir
actividades que puedan afectar a la seguridad de los sistemas de informacin y de los datos.

Incidencias: El personal de la organizacin, clientes y otros tienen como obligacin comunicar


cualquier incidencia que se produzca y est relacionada con los sistemas de informacin o
cualquier otro recurso informtico de la entidad. La comunicacin, gestin y resolucin de las
incidencias de seguridad se realizarn mediante el sistema de gestin de incidencias habilitado por
la organizacin.

Propiedad Intelectual: Se prohbe a todo el personal de la organizacin, uso de aplicaciones


informticas sin la correspondiente licencia. Los programas informticos propiedad de la
organizacin estn protegidos por la propiedad intelectual y por lo tanto est prohibida su
reproduccin, modificacin, cesin o comunicacin sin autorizacin. uso, reproduccin,
modificacin, cesin o comunicacin de cualquier otro tipo de obra protegida por la propiedad
intelectual sin debida autorizacin.

2.2.1.3 Actualizacin de las pautas o directrices de seguridad

Siempre que ocurran cambios en la legislacin, tecnologa, riesgos de seguridad la organizacin


podr realizar los cambios que considere pertinentes en estas pautas o directrices de seguridad,
estos cambios siempre sern comunicados a todo el personal de la organizacin haciendo uso de
los medios que se consideren ms pertinentes para ello. Se realizarn procesos de sensibilizacin
especial a aquellas personas que tienen acceso a los sistemas de informacin de la organizacin.
Despus de realizarse los procesos de comunicacin, sensibilizacin y capacitacin de ser el caso
de las nuevas pautas, todo el personal ser responsable de cumplirlas.

2.2.1.4 Poltica de usuarios y contraseas

Todos los usuarios con acceso al sistema de informacin dispondrn de una autorizacin de
acceso compuesta de usuario y contrasea.

El nombre de usuario y contrasea asignados a una persona se comunicarn de forma escrita en


sobre cerrado previa firma de recibido, junto con una copia de las obligaciones del personal en
materia de seguridad de la informacin. La primera vez que la persona inicie sesin en el sistema
deber modificar la contrasea proporcionada para que esta slo sea conocida por l.

22 de 97
Juan Manuel Crdenas Restrepo - 2014
El almacenamiento de usuarios y contraseas se realizar utilizando los mecanismos propios de
los Sistemas Operativos y aplicaciones, podrn usarse tcnicas de perfiles como directorio activo y
LDAP utilizando cifrado.

La longitud mnima ser igual o superior a 8 caracteres alfabticos, numricos y especiales con
excepcin de caracteres como %,,&,*, ser obligatorio para todo el personal de la organizacin.

La vigencia mxima de las contraseas ser de 90 das.

2.2.1.5 Acceso fsico a las instalaciones

Se debe tener control de acceso fsico a las instalaciones para prevenir el acceso accidental, no
autorizado de terceros a los datos, as como prevenir accidentes y daos sobre los sistemas de
informacin de la organizacin. Los entornos a proteger sern los data center si existen,
dependencias con ordenadores personales y/o servidores, armarios y otras ubicaciones similares
destinadas al tratamiento y almacenamiento de datos personales.

Slo el personal autorizado tendr el acceso permitido a los locales, instalaciones o despachos
donde se encuentren los sistemas de informacin con datos de carcter personal.

La seguridad de los data center y almacenamiento de datos de carcter personal sern


responsabilidad del responsable del archivo y responsable de seguridad.

Los equipos, soportes y documentos que contengan datos personales no sern sacados de las
dependencias sin autorizacin expresa del responsable del archivo tal y como indica la poltica
general de la organizacin.

2.2.1.6 Monitorizacin

Con el fin de velar por el uso correcto de los distintos sistemas de informacin de la organizacin,
as como garantizar la integridad, confidencialidad y disponibilidad de los datos de la organizacin,
la organizacin a travs de los mecanismos formales y tcnicos que considere oportuno, podra
comprobar, ya sea de forma peridica o cuando la situacin tcnica lo requiera, la correcta
utilizacin de los recursos de la organizacin por todo el personal.

En el caso de apreciar un uso incorrecto de los recursos asignados al usuario (software, correo
electrnico, hardware, etc.) se le comunicar la circunstancia y se le facilitar la formacin
necesaria para el uso correcto de los recursos.

Si se detecta mala fe en la utilizacin de los recursos informticos, la organizacin podra ejercer


las acciones legales que le amparen para la proteccin de sus derechos.

23 de 97
Juan Manuel Crdenas Restrepo - 2014
2.2.1.7 Responsabilidades

En todo momento el Responsable de Seguridad velar por el cumplimiento de las normas escritas
en la Poltica de Seguridad y la legislacin vigente, y si detectan el incumplimiento de las mismas,
ya sea de forma deliberada o accidental, alertar a los causantes realizando un seguimiento hasta
asegurarse de que desaparece el problema. En el caso de un incumplimiento deliberado,
reincidente o de relevante gravedad se analizarn las circunstancias pudiendo incurrir en la
imputacin de una falta disciplinaria, leve, grave o muy grave dependiendo de los hechos
acontecidos. En tal caso, se adoptarn las medidas previstas y se informar a las autoridades
competentes.

2.2.1.8 Revisin de la poltica de seguridad

Control: Las polticas de seguridad de la informacin deben ser revisados a intervalos planificados
o si se producen cambios significativos para asegurar su conveniencia, adecuacin y eficacia.

Cada poltica debe tener un propietario que ha aprobado la responsabilidad de gestin para el
desarrollo, revisin y evaluacin de las polticas. La revisin debe incluir la evaluacin de
oportunidades de mejora de las polticas de la organizacin y el enfoque de la gestin de seguridad
de la informacin en respuesta a cambios en el entorno de la organizacin, las circunstancias del
negocio, las condiciones jurdicas o entorno tcnico.

La revisin de las polticas de seguridad de la informacin debe tener los resultados de las
revisiones por la direccin en cuenta.

La poltica ser revisada por el responsable de seguridad, el equipo de seguridad y la direccin,


esta revisin se realizar cada ao sin pasar el mes de Septiembre, la aprobacin debe darse por
la direccin de la organizacin y luego ser comunicada a todos el personal implicado en el alcance
del SGSI.

La sistemtica ser:

Revisin y ajustes a la poltica de seguridad


Aprobacin por parte de la direccin de la organizacin.
Reunin con todo el personal implicado exponiendo los ajustes realizados.
Recibo de sugerencias y otros por parte del personal.
Tenerlas en cuenta para la prxima revisin y si es del caso retroalimentar la que se est
presentando para ser aprobada de nuevo.

2.2.2 Procedimiento de auditoras internas

24 de 97
Juan Manuel Crdenas Restrepo - 2014
El objetivo es establecer los lineamientos y el procedimiento a seguir para la planificacin y
realizacin de auditoras internas al SGSI de la organizacin, as como para informar sus
resultados y mantener los registros de calidad que se deriven de su aplicacin. Tambin es
importante conocer los requisitos profesionales acadmicos y tcnicos el auditor interno, el plan de
auditora, el informe de auditora y el programa de auditora.

2.2.2.1 Requisitos profesionales acadmicos y tcnicos auditor interno:

Junto con esta direccin, el auditor jefe tendr la responsabilidad de determinar la composicin del
equipo en base a:

Los objetivos de auditora, el alcance, los criterios y la duracin estimada de la auditora.


La competencia general del equipo auditor necesaria para conseguir los objetivos de la
auditora.
Los requisitos necesarios de los organismos de acreditacin/certificacin, si es de aplicacin.
La necesidad de asegurar la independencia del equipo auditor de las actividades a ser
auditadas, y evitar conflictos de intereses.
La capacidad de los miembros del equipo auditor para interactuar eficazmente con el auditado y
trabajar conjuntamente.

Desde el punto de vista de sus caractersticas, es recomendable que los auditores jefe tengan
conocimientos y habilidades adicionales a las del resto de los auditores del equipo. Estas habilidades
adicionales son las de liderazgo de la auditora, para permitir al equipo auditor llevar a cabo la auditora
de manera eficiente y eficaz. Los conocimientos y habilidades en esta rea deben contemplar:

Planificacin y gestin de recursos.


Capacidad de comunicacin con el cliente de la auditora y el auditado, para representar y
defender al equipo auditor.
Capacidad de liderazgo de personas.
Capacidad de previsin y resolucin de conflictos.
participado, como mnimo, en tres auditoras como miembro de un equipo auditor realizando
labores de auditor jefe bajo la supervisin del auditor jefe.
Conocimientos sobre los principios de auditora, procedimientos y tcnicas que le permitan
asegurarse de que las auditoras se llevan a cabo de manera coherente y sistemtica. En
entornos de auditoras de certificacin de SGSI, este conocimiento es recomendable que se
acredite mediante formacin especfica en auditora, y tambin mediante experiencia.
Revisin de la documentacin del SGSI.
Revisin del anlisis de riesgos de una organizacin.
Haber auditado la implantacin de un SGSI.
Haber desarrollado los informes relativos a la auditora en la que particip.

2.2.2.2 Plan de auditora

Se ha definido unos tems que deber llevar el plan de auditora, para eso siempre se deber llenar
la siguiente tabla:

Tabla 3. Plan de auditora

ITEM DESCRIPCIN
Establecimiento del alcance Se establece por la creacin de un proyecto

25 de 97
Juan Manuel Crdenas Restrepo - 2014
interno de auditora, en este se podrn nombrar
los controles a auditar.
Documento de compromiso por parte de la Lo habitual ser que todo el personal de la
direccin organizacin haya firmado un acuerdo de
confidencialidad en los trminos que les sean
aplicables segn las funciones laborales que
fueran a desarrollar.
Plazos temporales Fechas de inicio y fin de los periodos de
prueba.
Periodos del da para realizar las pruebas.
Periodicidad del plan de auditora. Establecer
la periodicidad convierte el plan en un programa
de auditora (puede estar ligado al contenido de
algn elemento de SGSI).
Procedimientos de comunicacin Con los responsables de proyecto en el auditado,
especialmente para la comunicacin del
descubrimiento de vulnerabilidades crticas o
situaciones de fraude.
Inventariado de las polticas corporativas Que afecten a la auditora y que van a ser
comprobadas por el proceso de auditora.
Documentacin de las pruebas que se van a
realizar indicando
Objetivo de la prueba Se tratar de identificar qu requisito de las
polticas de seguridad del auditado, o en caso de
no existir, qu requisito de un catlogo de buenas
prcticas se va a auditar. Es por esta razn por lo
que en esta fase el equipo auditor deber estudiar
las polticas y catlogos de buenas prcticas que
sean de aplicacin en el alcance de la auditora.
Modo en que se realizar la prueba Descripcin, al menos somera, del procedimiento
y tcnicas de auditora que se aplicarn para
comprobar el/los requisito/s auditado/s.
Herramientas o requisitos especficos necesarios
para realizar la prueba

El plan de auditora deber estar aprobado tanto por el jefe del equipo auditor como por parte de la
entidad auditada.

2.2.2.3 Informe de auditora

Los auditores deben realizar un informe lo ms simple y directo posible y siempre facilitando la
informacin relevante, as como los distintos hallazgos realizados. Al mismo tiempo, debe facilitar de
manera sencilla la forma de resolver las deficiencias halladas.

El informe final de auditora puede seguir cualquier esquema, pero el elegido debe incluir o tratar de un
modo u otro los siguientes aspectos:

Tabla 4. Informe final auditoras

ITEM DESCRIPCIN
Resumen ejecutivo Cuando se desarrolla el informe, y una vez
analizada la informacin recogida durante la
auditora, es recomendable comenzar por este

26 de 97
Juan Manuel Crdenas Restrepo - 2014
punto, puesto que puede requerirse por parte de
la direccin una primera versin de las
conclusiones de auditora. En muchas ocasiones,
esta parte del informe es la nica que ser leda
por algunos de sus destinatarios, por lo que
deber reflejar de manera resumida su contenido.
Incluir, por tanto, una introduccin, una visin
general de la metodologa empleada, las
principales conclusiones que se hayan obtenido y
las recomendaciones ms relevantes que el
equipo auditor pueda dar. El lenguaje empleado
ser lo ms directo y comprensible para un
pblico amplio.
Metodologa empleada Se debe dar una breve explicacin de la
metodologa que se ha empleado. Se har
referencia a los estndares empleados o bien si
se emplean estndares propios debern ser
explicados, detallando los objetivos, las fases y
las tcnicas utilizadas para realizar la auditora. El
receptor del informe debe conocer con qu
criterios y de qu modo se ha realizado el trabajo.
En este apartado se detallarn las pruebas, las
entrevistas, las herramientas empleadas, los
plazos en los que se realiz cada prueba, etc.
Listado detallado de los hallazgos A continuacin se dar un completo detalle de las
pruebas y hallazgos realizados. El modo en que
se organice este apartado depender
exclusivamente del alcance de la auditora y del
detalle al que se haya llegado. Por claridad es
recomendable facilitar en hojas independientes
hallazgos independientes. De cada hallazgo se
podr realizar una evaluacin de su importancia o
impacto que podra causar en la organizacin y de
este modo clasificar su criticidad. La tcnica
empleada es la anteriormente mencionada en la
fase de anlisis de realizar una estimacin del
riesgo empleando alguna de las metodologas de
anlisis de riesgos existentes, aunque cuanto ms
sencilla y fcil de transmitir al auditado, mejor.
Esta informacin se podr incluir en el informe. Es
de gran utilidad dar una clasificacin de la
importancia de los hallazgos puesto que ser
empleada por el destinatario del informe para
realizar el seguimiento de la resolucin o mejora.
Anexos En los anexos se deber recopilar la informacin
que d respaldo a los hallazgos descritos en el
cuerpo del informe. Incorporan, por tanto, las
salidas de las herramientas que se empleen, los
resultados de los checklist realizados, las actas de
las reuniones celebradas, etc. Tambin incluirn
los detalles de la resolucin recomendada a los
hallazgos cuando por su complejidad requieran
una explicacin ms extensa.

2.2.2.4 Programa de auditora

27 de 97
Juan Manuel Crdenas Restrepo - 2014
Las auditoras se realizarn una vez por ao para el ciclo PDCA de la ISO 27001, todos los aos
se realizarn los planes de auditora y se emitirn informes para esto, sern en el mes de Octubre.

En el perodo de tiempo de 3 aos se realizarn las auditoras una por ao para diferentes
dominios de controles, para que al cabo de los tres aos estn cubiertos todos los controles.

En el ao 1, mes de Agosto se realizar la auditora a los dominios:

Poltica de seguridad
Organizacin de la seguridad de la informacin.
Seguridad en los recursos humanos
Gestin de activos
Control de acceso

En el ao 2, mes de Agosto se realizar la auditora a los dominios:

Cifrado
Seguridad fsica y ambiental
Operaciones de seguridad
Gestin de comunicaciones y operaciones.
Adquisicin, desarrollo y mantenimiento de Sistemas de Informacin

En el ao 3, mes de Agosto se realizar la auditora a los dominios:

Relaciones con proveedores


Gestin de incidentes
Gestin de continuidad de negocio
Cumplimiento /Conformidad

2.2.2.5 Descripcin del procedimiento

En la siguiente tabla se detalla el procedimiento definiendo el nmero de la actividad, la actividad y


el responsable.

Tabla 5. Detalle procedimiento auditoras internas.

No ACTIVIDAD RESPONSABLE
Elaboracin, Aprobacin y Difusin del Programa Anual de Auditoras
1 Elabora el Programa Anual de Auditoras del SGSI, Director de la organizacin o el
para un periodo determinado. representante de la Direccin y
Responsable de Seguridad de
la Informacin.
2 Aprueba el Programa Anual de Auditoras del SGSI. Junta directiva.
Elaboracin del Plan de Auditoras Internas
3 Coordina con los responsables de las reas Director de la organizacin o el
involucradas, la(s) fecha(s) y hora(s) de ejecucin de la representante de la Direccin y
auditora, a fin de asegurar su disponibilidad durante la Responsable de Seguridad de
auditora interna. la Informacin.
4 Selecciona a los auditores internos que conformarn el Director de la organizacin o el
Equipo Auditor, de acuerdo a los perfiles propuestos de representante de la Direccin y

28 de 97
Juan Manuel Crdenas Restrepo - 2014
Puesto del Auditor Interno As como, de ser necesario, Responsable de Seguridad de
selecciona a la(s) persona(s) que participar(n) como la Informacin.
experto(s) tcnico(s) y observador(es).
5 Nombra a un Auditor Interno como Auditor Lder para Director de la organizacin o el
que dirija el proceso de auditora interna; considerando representante de la Direccin y
la experiencia previa y procesos a ser auditados. Responsable de Seguridad de
la Informacin.
6 Prepara el Plan de Auditora Interna para el SGSI, se Auditor Lder
definen las fecha(s), hora(s), itinerarios de auditora,
auditados, criterios de la auditora y auditores.
7 Comunica el Plan de Auditora Interna al personal Auditor Lder
involucrado en los procesos a ser auditados.
Preparacin de la Auditora Interna
8 Revisa la documentacin pertinente de los procesos a Auditor Lder
auditar teniendo en consideracin los resultados de
auditoras previas y/o clusulas de la norma ISO/IEC
27001:2013.
Apertura de Auditora
9 Realiza la Reunin de Apertura con el personal Auditor Lder
involucrado de acuerdo al Plan de Auditora Interna
establecido, confirmando los horarios, responsables y
procesos a ser auditados; en caso de ser necesario,
modifica el Plan de Auditoria.
Ejecucin de la Auditoria
10 Audita los procesos y/o reas previstas haciendo uso Equipo auditor
de la norma ISO/IEC 27001:2013, y procede a recoger
evidencias objetivas de las mismas a travs de
entrevistas, observacin de actividades y revisin de
registros, con la finalidad de verificar la implementacin
y efectividad del SGSI.
11 Informa al rea auditada de los hallazgos encontrados Equipo auditor
durante el proceso de auditora.
Registros de No Conformidades
12 Redacta las no conformidades indicando en qu Equipo auditor
clusula de la norma ISO/IEC 27001:2013 se est
incumpliendo.
Elaboracin del Informe de Auditora Interna
13 Elabora Informe de Auditora Interna. Auditor Lder
14 Presenta el Informe de Auditora Interna a la junta Auditor Lder
directiva anexando las Solicitudes de Accin, de ser
necesario.
Cierre de Auditora
15 Realiza la Reunin de Cierre de acuerdo al Plan de Auditor Lder
Auditora Interna, acordando los plazos para levantar
las no conformidades detectadas.
16 Gestiona el tratamiento de las no conformidades segn Director de la organizacin o el
lo establecido en el Procedimiento de Acciones representante de la Direccin y
Preventivas y Correctivas. Responsable de Seguridad de
la Informacin.
17 Evala a cada auditor interno, despus de la auditora Director de la organizacin o el
interna. representante de la Direccin y
Responsable de Seguridad de
la Informacin.

29 de 97
Juan Manuel Crdenas Restrepo - 2014
2.2.3 Gestin de indicadores

Los indicadores son importantes porque sirven para medir la eficacia de los controles de seguridad
implantados, a continuacin se presenta la lista de indicadores.

Descripcin del indicador. Explicacin del objetivo de medida de dicho indicador.

Frmula de clculo. Descripcin de la frmula aplicada para obtener la medicin. Es importante


que los parmetros que intervienen sean concretos y no se presten a ambigedad.

Frecuencia de medicin. Cada cunto se debe recoger la medicin. Es posible establecer una
frecuencia inicial durante un perodo de tiempo, y una frecuencia posterior mayor (por ejemplo,
quincenal los tres primeros meses, y mensual a partir del cuarto mes). En cualquier caso, la
frecuencia depender de la variabilidad en el tiempo de la medicin.

Valor objetivo y valor umbral, es decir y respectivamente, cul es el valor que sera correcto para la
compaa y cul es el valor por debajo del cual se debiera levantar una alarma.

Responsable de la medida. Sobre quin o, preferiblemente, sobre qu cargo recae la


responsabilidad de proporcionar el resultado de la medida.

Tabla 6. Indicador nmero de revisiones de la poltica de seguridad por parte de la direccin

Descripcin del indicador Medida del nmero de revisiones de la poltica


de seguridad por parte de la direccin
Frmula de clculo Nmero de revisiones realizadas
Frecuencia de revisin 2 veces por ao
Responsable de las mediciones Responsable de seguridad
Valor umbral <1
Valor objetivo 2

Tabla 7. Indicador nmero de auditoras internas realizadas

Descripcin del indicador Medida del nmero de auditoras internas


realizadas
Frmula de clculo Nmero de auditoras internas realizadas
Frecuencia de revisin 2 veces por ao
Responsable de las mediciones Responsable de seguridad
Valor umbral <1
Valor objetivo 2

Tabla 8. Indicador nmero de auditoras externas realizadas

Descripcin del indicador Medida del nmero de auditoras externas


realizadas
Frmula de clculo Nmero de auditoras externas realizadas
Frecuencia de revisin 1 vez por ao
Responsable de las mediciones Responsable de seguridad
Valor umbral <1

30 de 97
Juan Manuel Crdenas Restrepo - 2014
Valor objetivo 1

Tabla 9. Indicador mantenimientos realizados a la infraestructura fsica contra amenazas


externas

Descripcin del indicador Medida de mantenimientos realizados a la


infraestructura fsica contra amenazas externas
Frmula de clculo Nmero de mantenimientos realizados
Frecuencia de revisin 1 vez por ao
Responsable de las mediciones Responsable de seguridad
Valor umbral <1
Valor objetivo 1

Tabla 10. Indicador programas maliciosos detectados en los equipos y servidores

Descripcin del indicador Medida de programas maliciosos detectados en


los equipos y servidores
Frmula de clculo (Nmero programas encontrados / Nmero total
de equipos) * 100
Frecuencia de revisin 2 veces al ao
Responsable de las mediciones Responsable de seguridad
Valor umbral >30%
Valor objetivo <20%

Tabla 11. Indicador acuerdos de intercambio de datos

Descripcin del indicador Medida de acuerdos de intercambio de datos


Frmula de clculo Nmero de acuerdos de intercambio de datos
Frecuencia de revisin 1 vez al ao
Responsable de las mediciones Responsable de seguridad
Valor umbral <1
Valor objetivo 1

Tabla 12. Indicador usuarios dados de baja

Descripcin del indicador Medida de usuarios dados de baja


Frmula de clculo (Nmero de usuarios dados de baja/Nmero de
usuarios despedidos)*100
Frecuencia de revisin 2 veces al ao
Responsable de las mediciones Responsable de seguridad
Valor umbral <90%
Valor objetivo 99%

Tabla 13. Indicador incidentes de seguridad

Descripcin del indicador Medida de incidentes de seguridad


Frmula de clculo Nmero de incidentes de seguridad ocurridos
Frecuencia de revisin 1 vez por mes
Responsable de las mediciones Responsable de seguridad

31 de 97
Juan Manuel Crdenas Restrepo - 2014
Valor umbral >2
Valor objetivo 0

Tabla 14. Indicador dispositivos perdidos

Descripcin del indicador Medida de dispositivos perdidos


Frmula de clculo (Nmero de dispositivos perdidos/Nmero de
dispositivos en inventario)*100
Frecuencia de revisin 1 vez al ao
Responsable de las mediciones Responsable de seguridad
Valor umbral 15%
Valor objetivo 5%

Tabla 15. Indicador Documentacin de seguridad elaborada respecto a la esperada

Descripcin del indicador Medida Documentacin de seguridad elaborada


respecto a la esperada
Frmula de clculo [(Nmero documentos seguridad / Nmero ideal
de documentos seguridad) * 100
Frecuencia de revisin 1 vez por ao
Responsable de las mediciones Responsable de seguridad
Valor umbral <70%
Valor objetivo 80%

Tabla 16. Indicador Equipos sin antivirus instalado

Descripcin del indicador Medida Equipos sin antivirus instalado


Frmula de clculo (Nmero equipos sin antivirus / Nmero total
equipos) *100
Frecuencia de revisin 2 veces al ao
Responsable de las mediciones Responsable de seguridad
Valor umbral >20%
Valor objetivo 10%

Tabla 17. Indicador Copias de seguridad fallidas

Descripcin del indicador Medida Copias de seguridad fallidas


Frmula de clculo (Nmero copias fallidas / Nmero total copias)
*100
Frecuencia de revisin 1 vez por mes
Responsable de las mediciones Responsable de seguridad
Valor umbral >15%
Valor objetivo 5%

Tabla 18. Indicador Accesos no autorizados a la red de la organizacin

Descripcin del indicador Medida Accesos no autorizados a la red de la


organizacin
Frmula de clculo (Nmero accesos no autorizados a la red /

32 de 97
Juan Manuel Crdenas Restrepo - 2014
Nmero total de accesos) *100
Frecuencia de revisin 1 vez por mes
Responsable de las mediciones Responsable de seguridad
Valor umbral <20%
Valor objetivo 10%

2.2.4 Procedimiento de revisin por direccin

En la toma de decisiones relacionada con la seguridad de la informacin, debe participar la


direccin de la organizacin de forma activa y efectiva, as se garantiza que el SGSI pueda
funcionar de forma correcta en la organizacin, tambin la direccin debe usar mecanismos que le
permita hacer un seguimiento de los controles, procedimientos y otros que brinden la informacin
para la correcta toma de estas decisiones.

La Direccin de la organizacin deber participar en la toma de decisiones relacionada con la


seguridad de la informacin y hacer un seguimiento de los procedimientos, controles, u otros
mecanismos implementados para garantizar el buen funcionamiento del SGSI.

Este apartado tiene como objetivo describir cual ser el procedimiento de revisin de la direccin
como accin indispensable en el SGSI.

La Direccin realizar, con un periodo inferior a un ao, controles para verificar el cumplimiento de
todos los estndares, normas y procedimientos establecidos en el SGSI. El Responsable de
Seguridad ser el encargado de realizar esta revisin.

El anlisis de la situacin se realizar al menos sobre las siguientes reas / controles:

Comprobacin del conocimiento de las normas de seguridad por parte de las personas que
acceden a los sistemas de informacin de la organizacin.
Control, revisin y evaluacin de registros de: usuarios, incidencias de seguridad,
inventario de activos, etc.
Control de autorizaciones de delegacin de funciones relacionadas con la seguridad.

El Responsable de Seguridad realizar un breve informe sobre la revisin realizada anualmente.


En este se incluirn las incidencias y deficiencias detectadas y una relacin de soluciones y
propuestas de mejora.

La organizacin, adems de mantener actualizado los documentos del SGSI, y realizar una
revisin, teniendo presente los ltimos informes de auditora, las incidencias y las revisiones
internas.

La Direccin se encargar de revisar el resultado de las auditoras internas anuales y hacer un


seguimiento de las acciones correctivas (al menos semestralmente). Se actuar de la misma
manera con las auditoras externas con una frecuencia de 3 aos, haciendo un seguimiento de las
acciones al menos de forma anual.

De forma puntual se solicitar (al menos una vez al ao) un resumen de los indicadores de
seguridad y se analizarn en el comit de seguridad.

33 de 97
Juan Manuel Crdenas Restrepo - 2014
2.2.5 Gestin de roles y responsabilidades

El Sistema de Gestin de Seguridad de la Informacin tiene que estar compuesto por un equipo
que se encargue de crear, mantener, supervisar y mejorar el Sistema. Este equipo de trabajo,
conocido habitualmente como Comit de Seguridad, debe estar compuesto al menos por una
persona de Direccin, para que de esta manera las decisiones que se tomen puedan estar
respaldadas por alguien de la Direccin de la organizacin.

2.2.5.1 Comit de seguridad

Este comit lo integran diferentes personas responsables de la organizacin, es un equipo que


puede tener diferentes disciplinas, este equipo lo sugiere la direccin de la organizacin junto con
el responsable de la seguridad y es presentado y aprobado por la junta directiva de la
organizacin, sus funciones son:

Asignar roles y funciones en materia de seguridad de informacin al personal de la organizacin.

Hacer cumplir las polticas emanadas por el comit de direccin.

Participar en la aprobacin de polticas, normas y responsabilidades en materia de seguridad de


informacin en la organizacin.

Validar el plan director de seguridad de informacin de la organizacin.

Vigilar que se est cumpliendo con la legislacin actual en materia de seguridad de la informacin.

Realizar campaas de capacitacin en materia de seguridad de la informacin en la organizacin.

Aprobar y revisar peridicamente el SGSI.

Validar el mapa de riesgos y sus acciones.

Participar en la resolucin de conflictos presentados por el personal en materia de seguridad de la


informacin.

Las personas que participarn de la organizacin son:

Representante de la junta directiva

Representante de la direccin ejecutiva

Coordinadora operativa o su representante

Coordinadora Administrativa o su representante

Director del departamento de sistemas o su representante

Responsable de la seguridad de la informacin

Representante de los empleados

34 de 97
Juan Manuel Crdenas Restrepo - 2014
2.2.5.2 Funciones y obligaciones del personal

Todo el personal que tenga acceso a los sistemas de informacin est en la obligacin de cumplir y
respetar las normas, polticas definidas de forma general y especfica, tambin debern cumplir
solo con las funciones que han sido brindadas en su contrato laboral con respecto a la seguridad
de la informacin. Sin importar el cargo y funciones todos debern cumplir con la confidencialidad
de la informacin, documentacin recibida o creada que pertenezca a la organizacin, no podrn
revelar informacin de ningn tipo a externos sin previa autorizacin, no podrn incorporar ninguna
informacin a los sistemas de informacin sin autorizacin, los datos no podrn ser usados con
otra finalidad que las que se les dio la autorizacin, debern comunicar cualquier incidencia que
tengan en materia de seguridad de la informacin al responsable de la seguridad de la informacin
de la organizacin.

2.2.5.3 Funciones y obligaciones del responsable de la seguridad de la informacin

El responsable seguridad de la informacin de la organizacin coordina y controla las medidas de


seguridad de informacin aplicables en la organizacin, esta persona es propuesta por la direccin
de la organizacin segn el perfil definido y es aprobada por la junta directiva de la misma.

El responsable de seguridad de la informacin debe cumplir las siguientes funciones y


obligaciones:

Asesorar la definicin y validar la implantacin de los requisitos sobre las medidas de seguridad de
la informacin necesaria en la organizacin.

Actualizar normas y procedimientos de seguridad de la informacin que le puedan servir a la


organizacin.

Confirmar la ejecucin de los controles establecidos en los documentos de seguridad de la


informacin.

Realizar informes sobre las revisiones de los sistemas de seguridad de la informacin realizados
peridicamente.

Establecer y comprobar que se estn aplicando los procedimientos de: copia de respaldo,
recuperacin de datos, notificacin de incidencias, gestin de incidencias y otros procedimientos
definidos en los documentos de seguridad de la informacin.

Verificar que se estn realizando las auditoras de seguridad de la informacin en los tiempos
definidos.

Aplicar las medidas correctivas que resulten del anlisis de los informes de auditoras de seguridad
de la informacin en la organizacin.

Analizar las incidencias de seguridad de la informacin y gestionar las medidas correctivas.

35 de 97
Juan Manuel Crdenas Restrepo - 2014
Preparar el plan de formacin para poner en marcha las medidas de seguridad de la informacin
en la organizacin.

2.2.6 Metodologa de anlisis de riesgos

Establece la sistemtica que se seguir para calcular el riesgo, incluye la identificacin y valoracin
de los activos, amenazas y vulnerabilidades.

Para realizar la metodologa de anlisis de riesgos se tomarn algunos elementos como base de
MAGERIT, se pretende conocer cunto est en juego y como se proteger.

Se pretende realizar unos pasos para determinar el riesgo que son:

Determinar los activos relevantes para la Organizacin, su interrelacin y su valor, que costo
supondra su degradacin.

Determinar las amenazas a la que estn expuestos estos activos.

Determinar salvaguardas dispuestas y efectividad ante el riesgo.

Estimar el impacto, cuando se hace efectiva una amenaza sobre el activo.

Estimar el riesgo, como el impacto ponderado con la tasa de ocurrencia de la amenaza.

El anlisis se realizar mediante tablas, que permiten la identificacin de la importancia relativa de

los diferentes activos sometidos a amenazas.

2.2.6.1 Recoleccin de datos

En esta fase se definir el alcance y se analizarn los procesos de la organizacin.

2.2.6.2 Establecimiento de Parmetros

Se identificarn los parmetros que se utilizarn durante el anlisis de riesgos, los parmetros son:

Valoracin de los activos: El valor econmico se asignar al objeto analizado, se tendr en cuenta
el valor de reposicin, configuracin y uso.

Se presenta en la siguiente tabla la valoracin, rango y valor:

Tabla 19. Valoracin anlisis de riesgos de los activos de la organizacin.

Valoracin Rango Valor

36 de 97
Juan Manuel Crdenas Restrepo - 2014
Muy alta Valor > $50.000.000 $60.000.000
Alta $30.000.000<Valor>$50.000.000 $35.000.000
Media $20.000.000<Valor>$30.000.000 $25.000.000
Baja $10.000.000<Valor>$20.000.000 $15.000.000
Muy baja Valor<$10.000.000 $7.000.000

Impacto: Se entiende como impacto el tanto por ciento del activo que se pierde en caso de que un
impacto suceda sobre l.

Tabla 20. Impacto sobre activos en el anlisis de riesgos.

Impacto Rango
Muy alto 100%
Alto 75%
Medio 50%
Bajo 25%
Muy bajo 5%

Efectividad de los controles de seguridad: indicar la efectividad de las medidas de proteccin de


los riesgos, pueden reducir la vulnerabilidad o el impacto dependiendo del control.

Tabla 21. Efectividad de controles de seguridad segn anlisis de riesgos.

Variacin Impacto / Vulnerabilidad Valor

Muy alto 95%


Alto 75%
Medio 50%
Bajo 30%
Muy bajo 10%

2.2.6.3 Anlisis de activos

Se identificarn los activos de la empresa que se requieren para llevar a cabo la actividad. La
organizacin puede poseer distintos tipos de activos fsicos, lgicos, infraestructura, intangibles y

37 de 97
Juan Manuel Crdenas Restrepo - 2014
se valorarn teniendo en cuenta los parmetros de valoracin de activos.

2.2.6.4 Anlisis de amenazas

Las amenazas son aquellas situaciones que pueden provocar un problema de seguridad, segn
MAGERIT se clasifican en estos grupos:

Accidentes: Situaciones no provocadas voluntariamente y que la mayor parte de las veces no


puede evitarse. Por ejemplo: incendio, inundacin, etc.

Errores: Situaciones provocadas involuntariamente provocadas por el desarrollo de las actividades


cotidianas ya sea por desconocimiento y/o descuido. Por ejemplo: Errores de desarrollo, errores de
actualizacin, etc.

Amenazas intencionales presenciales: Son provocadas por el propio personal de la organizacin


de forma voluntaria y conociendo el dao que puede ocasionar. Por ejemplo: Accesos no
autorizados, filtracin de datos, etc.

Amenazas intencionales remotas: Son provocadas por terceras personas ajenas a la organizacin
con el objetivo de daarla. Ejemplos: Suplantacin de origen, gusanos, DoS, etc.

2.2.6.5 Establecimiento de las vulnerabilidades

Las vulnerabilidades son aquellos huecos de seguridad que permiten explotar una amenaza
haciendo dao a un activo. No es necesario en la metodologa MAGERIT listar las vulnerabilidades
pero s tenerlas identificadas para poder estimar la frecuencia de la ocurrencia de una determinada
amenaza sobre un activo.

2.2.6.6 Valoracin de impactos

Las amenazas pueden daar los activos de la organizacin, es necesario cuantificar el impacto de
una amenaza sobre el activo. Por ejemplo: dao econmico, prdidas cualitativas, etc.

2.2.6.7 Anlisis de riesgos intrnseco


Son aquellos a los que la organizacin est expuesta sin tener en consideracin las medidas de
seguridad que podamos implantar.

Frmula para el clculo: Riesgo = Valor del activo x Vulnerabilidad x Impacto

Tabla 22. Nivel aceptable de riesgos intrnsecos segn anlisis de riesgos.

Nivel aceptable Valor


Alto 80%

38 de 97
Juan Manuel Crdenas Restrepo - 2014
Medio 50%
Bajo 20%

2.2.6.8 Influencia de salvaguardas

Se har uso de dos tipos de salvaguardas, preventivas y correctivas, con estas se pretende luego
de analizar los riesgos aplicar la mejor solucin para minimizarlos.

Preventivas: Nueva vulnerabilidad = Vulnerabilidad x % disminucin vulnerabilidad.


Correctivas: Nuevo impacto = Impacto x % disminucin impacto.

2.2.6.9 Anlisis de riesgos efectivos

Luego de aplicar salvaguardas se debe calcular el riesgo efectivo, este se calcula con la siguiente
frmula:

Valor efectivo Nueva vulnerabilidad Nuevo Impacto = Valor activo (Vulnerabilidad


Porcentaje de disminucin de vulnerabilidad) (Impacto Porcentaje de disminucin de impacto) =
Riesgo intrnseco Porcentaje de disminucin de vulnerabilidad Porcentaje de disminucin de
impacto

2.2.6.10 Gestin de riesgos

Se tomarn las decisiones que permitan aplicar las medidas de seguridad, para esto se debe tener
presente el riesgo aceptable y el costo de la aplicacin de estas medidas de seguridad en la
organizacin, se usaran para gestionarlos la estrategia de reducirlos, transferirlos o aceptarlos.

2.2.7 Declaracin de aplicabilidad

Tabla 23. Dominios ISO 27002 declaracin de aplicabilidad.

5. Poltica de Seguridad
5.1 Direccin de la gestin de seguridad de la Objetivo: Proporcionar la direccin de gestin y
informacin apoyo a la seguridad de la informacin de
acuerdo con los requerimientos del negocio y
las leyes y reglamentos pertinentes.
5.1.1 Polticas de la Aplica Descripcin: Un Justificacin: la
seguridad de la conjunto de polticas de organizacin
informacin seguridad de la necesita aplicar el
informacin debe ser control para poder
definido, aprobado por acceder
la administracin, posteriormente a la
publicar y comunicar a certificacin.

39 de 97
Juan Manuel Crdenas Restrepo - 2014
los empleados y
colaboradores externos.
5.1.2 Revisin de las Aplica Descripcin: Las Justificacin: la
polticas de la polticas de seguridad organizacin
seguridad de la de la informacin deben necesita aplicar el
informacin ser revisados a control para poder
intervalos planificados o acceder
si se producen cambios posteriormente a la
significativos para certificacin.
asegurar su
conveniencia,
adecuacin y eficacia.
6. Organizacin de la seguridad de la informacin
6.1 Organizacin interna Objetivo: Establecer un marco de gestin para
iniciar y controlar la implementacin y operacin
de seguridad de la informacin dentro de la
organizacin.
6.1.1 Funciones y Aplica Descripcin: Todas las Justificacin: la
responsabilidades responsabilidades de organizacin
de seguridad de seguridad de la necesita aplicar el
informacin informacin deben ser control para poder
definidos y asignados. acceder
posteriormente a la
certificacin.
6.1.2 Segregacin de Aplica Descripcin: Las Justificacin: la
funciones funciones en conflicto y organizacin
reas de necesita aplicar el
responsabilidad deben control para poder
estar separados para acceder
reducir las posteriormente a la
oportunidades para la certificacin.
modificacin o mal uso
de los activos de la
organizacin no
autorizado o
involuntario.
6.1.3 Contacto con las Aplica Descripcin: Los Justificacin: la
autoridades. contactos pertinentes organizacin
con las autoridades necesita aplicar el
pertinentes deben control para poder
mantenerse. acceder
posteriormente a la
certificacin.
6.1.4 Contacto con Aplica Descripcin: Los Justificacin: la
grupos de inters contactos pertinentes organizacin
especiales con los grupos de necesita aplicar el
inters u otros foros de control para poder
seguridad especializada acceder
y las asociaciones posteriormente a la
profesionales deben certificacin.
mantenerse.
6.1.5 Seguridad de la Aplica Descripcin: Seguridad Justificacin: la
informacin en la de la informacin organizacin
gestin de debera abordarse en la necesita aplicar el
proyectos gestin de proyectos, control para poder

40 de 97
Juan Manuel Crdenas Restrepo - 2014
independientemente del acceder
tipo de proyecto. posteriormente a la
certificacin.
6.2 Dispositivos mviles y Teletrabajo Objetivo: Garantizar la seguridad del teletrabajo
y el uso de dispositivos mviles.
6.2.1 Poltica de Aplica Descripcin: Una Justificacin: la
dispositivos poltica y el apoyo a organizacin necesita
mviles las medidas de aplicar el control para
seguridad deben poder acceder
adoptarse para posteriormente a la
gestionar los riesgos certificacin.
introducidos por el
uso de dispositivos
mviles.
6.2.2 Teletrabajo Aplica Descripcin: Una Justificacin: la
poltica y el apoyo a organizacin necesita
las medidas de aplicar el control para
seguridad se deben poder acceder
implementar para posteriormente a la
proteger la certificacin.
informacin visitada,
procesada o
almacenada en los
sitios de trabajo a
distancia.
7. Seguridad de Recursos Humanos
7.1 Antes del empleo Objetivo: Asegurarse de que los empleados y
contratistas entiendan sus responsabilidades y
son adecuados para las funciones para las que
se consideran.
7.1.1 Screening Aplica Descripcin: Justificacin: la
Controles de organizacin
verificacin de necesita aplicar el
antecedentes de control para poder
todos los acceder
candidatos a posteriormente a la
empleo deben certificacin.
llevarse a cabo de
acuerdo con las
leyes, regulaciones
y tica y debe ser
proporcional a los
requerimientos del
negocio, la
clasificacin de la
informacin para
acceder a ellos y
los riesgos
percibidos.
7.1.2 Trminos y Aplica Descripcin: Los Justificacin: la
condiciones de acuerdos organizacin
empleo contractuales con necesita aplicar el
los empleados y control para poder
contratistas deben acceder
indicar y posteriormente a la

41 de 97
Juan Manuel Crdenas Restrepo - 2014
responsabilidades certificacin.
de sus de la
organizacin para
la seguridad de la
informacin.
7.2 Durante el empleo Objetivo: Asegurarse de que los empleados y
contratistas conozcan y cumplan con sus
responsabilidades de seguridad de la
informacin.
7.2.1 Responsabilidades Aplica Descripcin: La Justificacin: la
de gestin administracin debe organizacin
exigir a todos los necesita aplicar el
empleados y control para poder
contratistas para acceder
aplicar seguridad posteriormente a la
de la informacin certificacin.
de acuerdo con las
polticas y
procedimientos
establecidos por la
organizacin.
7.2.2 Conciencia de Aplica Descripcin: Todos Justificacin: la
seguridad de la los empleados de la organizacin
informacin, organizacin y, en necesita aplicar el
educacin y su caso, los control para poder
entrenamiento contratistas deben acceder
recibir una posteriormente a la
educacin certificacin.
adecuada
conciencia y la
formacin y
actualizaciones
peridicas en las
polticas y
procedimientos de
la organizacin,
como relevantes
para su funcin de
trabajo.
7.2.3 Proceso Aplica Descripcin: Debe Justificacin: la
disciplinario haber un proceso organizacin
disciplinario formal necesita aplicar el
y comunicado en control para poder
lugar de tomar acceder
medidas contra los posteriormente a la
empleados que certificacin.
hayan cometido
una violacin de la
seguridad de la
informacin.
7.3 Terminacin y cambio de empleo Objetivo: Proteger los intereses de la
organizacin, como parte del proceso de
cambiar o terminar el empleo.
7.3.1 Terminacin o Aplica Descripcin: Las Justificacin: la
cambio de las responsabilidades organizacin

42 de 97
Juan Manuel Crdenas Restrepo - 2014
responsabilidades de seguridad de la necesita aplicar el
de empleo Informacin y control para poder
deberes que siguen acceder
vigentes despus posteriormente a la
de la terminacin o certificacin.
cambio de trabajo
deberan ser
definidos,
comunicado al
trabajador o
contratista y
forzada.
8. Gestin de Activos
8.1 Responsabilidad de los activos Objetivo: Identificar activos de la organizacin y
definir las responsabilidades de proteccin
adecuados.
8.1.1 Inventario de Aplica Descripcin: Los Justificacin: la
Activos activos asociados a organizacin
las instalaciones de necesita aplicar el
procesamiento de control para poder
informacin y la acceder
informacin deben posteriormente a la
ser identificados y certificacin.
un inventario de
estos activos deben
elaborarse y
mantenerse.
8.1.2 Propiedad de los Aplica Descripcin: Los Justificacin: la
activos activos mantenidos organizacin
en el inventario necesita aplicar el
deben ser de control para poder
propiedad. acceder
posteriormente a la
certificacin.
8.1.3 Uso aceptable de Aplica Descripcin: Justificacin: la
los activos Normas para el uso organizacin
aceptable de la necesita aplicar el
informacin y de los control para poder
activos asociados a acceder
las instalaciones de posteriormente a la
procesamiento de certificacin.
informacin y la
informacin deben
ser identificados,
documentados e
implementados.
8.1.4 Retorno de los Aplica Descripcin: Todos Justificacin: la
activos los empleados y los organizacin
usuarios externos necesita aplicar el
del partido deben control para poder
devolver todos los acceder
activos de la posteriormente a la
organizacin en su certificacin.
poder a la
terminacin de su

43 de 97
Juan Manuel Crdenas Restrepo - 2014
empleo, contrato o
acuerdo.
8.2 Clasificacin de la Informacin Objetivo: Asegurar que la informacin recibe un
nivel adecuado de proteccin de acuerdo con su
importancia para la organizacin.
8.2.1 Clasificacin de la Aplica Descripcin: La Justificacin: la
Informacin informacin debe organizacin
ser clasificada en necesita aplicar el
trminos de control para poder
requisitos legales, acceder
el valor, la criticidad posteriormente a la
y sensibilidad a la certificacin.
divulgacin o
modificacin no
autorizada.
8.2.2 Etiquetado de la Aplica Descripcin: Un Justificacin: la
Informacin conjunto apropiado organizacin
de los necesita aplicar el
procedimientos control para poder
para el etiquetado acceder
informacin debe posteriormente a la
ser desarrollado e certificacin.
implementado de
acuerdo con el
esquema de
clasificacin de la
informacin
adoptado por la
organizacin.
8.2.3 Manejo de Activos Aplica Descripcin: Justificacin: la
Procedimientos organizacin
para la necesita aplicar el
manipulacin de los control para poder
activos deben ser acceder
desarrollados e posteriormente a la
implementados de certificacin.
acuerdo con el
esquema de
clasificacin de la
informacin
adoptado por la
organizacin.
8.3 Manejo de Medios Objetivo: Evitar la divulgacin no autorizada,
modificacin, eliminacin o destruccin de la
informacin almacenada en los medios de
comunicacin.
8.3.1 Gestin de medios Aplica Descripcin: Justificacin: la
extrables Deberan aplicarse organizacin
procedimientos necesita aplicar el
para la gestin de control para poder
medios extrables acceder
de acuerdo con el posteriormente a la
esquema de certificacin.
clasificacin
adoptado por la

44 de 97
Juan Manuel Crdenas Restrepo - 2014
organizacin.
8.3.2 Eliminacin de Aplica Descripcin: Los Justificacin: la
medios medios deben ser organizacin
eliminados de necesita aplicar el
forma segura control para poder
cuando ya no es acceder
necesario, posteriormente a la
utilizando los certificacin.
procedimientos
formales.
8.3.3 Transferencia de Aplica Descripcin: Los Justificacin: la
medios fsicos medios que organizacin
contienen necesita aplicar el
informacin deben control para poder
estar protegidos acceder
contra el acceso no posteriormente a la
autorizado, mal uso certificacin.
o la corrupcin
durante el
transporte.
9. Control de Acceso
9.1 Business requirements of access control Objetivo: Limitar el acceso a las instalaciones
de procesamiento de la informacin y de la
informacin.
9.1.1 Poltica de control Aplica Descripcin: Una Justificacin: la
de acceso. poltica de control organizacin
de acceso debe ser necesita aplicar el
establecido, control para poder
documentado y acceder
revisado en base a posteriormente a la
los requisitos de certificacin.
seguridad de
negocios y de
informacin.
9.1.2 Acceso a las redes Aplica Descripcin: Los Justificacin: la
y servicios de red usuarios slo deben organizacin
contar con acceso a necesita aplicar el
los servicios de red control para poder
y de la red que han acceder
sido autorizados posteriormente a la
especficamente certificacin.
para su uso.
9.2 Gestin de acceso de usuario Objetivo: Garantizar el acceso del usuario
autorizado y evitar el acceso no autorizado a
sistemas y servicios.
9.2.1 Registro de Aplica Descripcin: Un Justificacin: la
usuario y proceso formal de organizacin
cancelacin de registro de usuario necesita aplicar el
registro y la cancelacin del control para poder
registro debe ser acceder
implementado para posteriormente a la
permitir la certificacin.
asignacin de
derechos de
acceso.

45 de 97
Juan Manuel Crdenas Restrepo - 2014
9.2.2 Acceso Aplica Descripcin: Un Justificacin: la
aprovisionamiento proceso de organizacin
del usuario provisin de acceso necesita aplicar el
de usuarios formal control para poder
debe ser acceder
implementado para posteriormente a la
asignar o revocar certificacin.
los derechos de
acceso para todos
los tipos de usuario
a todos los
sistemas y
servicios.
9.2.3 Gestin de Aplica Descripcin: La Justificacin: la
derechos de asignacin y organizacin
accesos utilizacin de los necesita aplicar el
privilegiados derechos de acceso control para poder
privilegiados deben acceder
ser restringidas y posteriormente a la
controladas. certificacin.
9.2.4 Gestin de la Aplica Descripcin: La Justificacin: la
informacin de asignacin de la organizacin
autenticacin de informacin secreta necesita aplicar el
secreto de los de autenticacin control para poder
usuarios debe ser controlada acceder
a travs de un posteriormente a la
proceso de gestin certificacin.
formal.
9.2.5 Revisin de los Aplica Descripcin: Los Justificacin: la
derechos de propietarios de organizacin
acceso de usuario activos deben necesita aplicar el
revisar los derechos control para poder
de acceso de los acceder
usuarios a posteriormente a la
intervalos certificacin.
regulares.
9.2.6 La eliminacin o el Aplica Descripcin: Los Justificacin: la
ajuste de los derechos de acceso organizacin
derechos de de todos los necesita aplicar el
acceso empleados y control para poder
usuarios de acceder
partidos externos a posteriormente a la
las instalaciones de certificacin.
procesamiento de
informacin y la
informacin deben
ser retirados a la
terminacin de su
empleo, contrato o
convenio, o
ajustarse a cambio.
9.3 Responsabilidades del usuario Objetivo: Hacer que los usuarios sean
responsables de salvaguardar su informacin
de autenticacin.
9.3.1 El uso de Aplica Descripcin: Los Justificacin: la

46 de 97
Juan Manuel Crdenas Restrepo - 2014
informacin usuarios deben ser organizacin
secreta de obligados a seguir necesita aplicar el
autenticacin las prcticas de la control para poder
organizacin en el acceder
uso de informacin posteriormente a la
secreta de certificacin.
autenticacin.
9.4 Control del sistemas y acceso a las Objetivo: Prevenir el acceso no autorizado a los
aplicaciones sistemas y aplicaciones.
9.4.1 Restriccin de Aplica Descripcin: El Justificacin: la
acceso acceso a las organizacin
Informacin funciones de necesita aplicar el
informacin y control para poder
sistema de acceder
aplicacin debe posteriormente a la
limitarse de certificacin.
acuerdo con la
poltica de control
de acceso.
9.4.2 Procedimientos de Aplica Descripcin: Justificacin: la
inicio de sesin Cuando lo exija la organizacin
seguro poltica de control necesita aplicar el
de acceso, el control para poder
acceso a los acceder
sistemas y posteriormente a la
aplicaciones debe certificacin.
ser controlado por
un procedimiento
de conexin
segura.
9.4.3 Sistema de Aplica Descripcin: Justificacin: la
gestin de Sistemas de organizacin
contrasea gestin de necesita aplicar el
contrasea deben control para poder
ser interactivos y acceder
deben asegurarse posteriormente a la
de contraseas de certificacin.
calidad.
9.4.4 El uso de los Aplica Descripcin: El uso Justificacin: la
programas de de programas de organizacin
servicios pblicos utilidades que necesita aplicar el
privilegiados podran ser control para poder
capaces de anular acceder
sistemas y posteriormente a la
aplicaciones certificacin.
controles debe ser
restringido y
estrechamente
controlado.
9.4.5 Control de acceso Aplica Descripcin: El Justificacin: la
al cdigo fuente acceso al cdigo organizacin
del programa fuente del programa necesita aplicar el
debe ser control para poder
restringido. acceder
posteriormente a la

47 de 97
Juan Manuel Crdenas Restrepo - 2014
certificacin.
10. Criptografa
10.1 Controles criptogrficos Objetivo: Garantizar un uso adecuado y eficaz
de la criptografa para proteger la
confidencialidad, autenticidad y / o integridad de
la informacin.
10.1.1 Poltica sobre el Aplica Descripcin: Una Justificacin: la
uso de controles poltica sobre el uso organizacin
criptogrficos de controles necesita aplicar el
criptogrficos para control para poder
la proteccin de la acceder
informacin debe posteriormente a la
ser desarrollado e certificacin.
implementado.
10.1.2 Gestin de claves Aplica Descripcin: Una Justificacin: la
poltica sobre el organizacin
uso, la proteccin y necesita aplicar el
la duracin de las control para poder
claves de cifrado acceder
debe ser posteriormente a la
desarrollado e certificacin.
implementado a
travs de todo su
ciclo de vida.
11 Seguridad fsica y ambiental
11.1 reas seguras Objetivo: Evitar autorizado fsica de acceso,
daos e interferencia a la informacin y
procesamiento de informacin sobre las
instalaciones de la organizacin.
11.1.1 Permetro de Aplica Descripcin: Justificacin: la
seguridad fsica Permetros de organizacin
seguridad deben necesita aplicar el
ser definidas y control para poder
utilizan para acceder
proteger reas que posteriormente a la
contienen certificacin.
informacin y
procesamiento de
la informacin, ya
sea instalaciones
sensibles o crticos.
11.1.2 Controles de Aplica Descripcin: reas Justificacin: la
entrada fsicas seguras deben ser organizacin
protegidos por los necesita aplicar el
controles de control para poder
entrada adecuados acceder
para garantizar que posteriormente a la
se permite el certificacin.
acceso slo el
personal
autorizado.
11.1.3 Asegurar oficinas, Aplica Descripcin: La Justificacin: la
habitaciones e seguridad fsica organizacin
instalaciones para oficinas, salas necesita aplicar el

48 de 97
Juan Manuel Crdenas Restrepo - 2014
e instalaciones control para poder
deben ser acceder
diseadas y posteriormente a la
aplicadas. certificacin.
11.1.4 La proteccin Aplica Descripcin: La Justificacin: la
contra amenazas proteccin fsica organizacin
externas y contra los desastres necesita aplicar el
ambientales naturales, ataques control para poder
maliciosos o acceder
accidentes debe ser posteriormente a la
diseada y certificacin.
aplicada.
11.1.5 Trabajar en zonas Aplica Descripcin: Justificacin: la
seguras Procedimientos organizacin
para trabajar en necesita aplicar el
zonas seguras control para poder
deberan disearse acceder
y aplicarse. posteriormente a la
certificacin.
11.1.6 Zonas de entrega Aplica Descripcin: Los Justificacin: la
y carga puntos de acceso organizacin
como las zonas de necesita aplicar el
entrega y de carga control para poder
y otros puntos en acceder
los que personas posteriormente a la
no autorizadas certificacin.
puedan entrar en
los locales debern
ser controlados y, si
es posible, aislada
de las instalaciones
de procesamiento
de informacin para
evitar el acceso no
autorizado.
11.2 Equipo Objetivo: Evitar la prdida, dao, robo o el
compromiso de los activos y la interrupcin de
las operaciones de la organizacin.
11.2.1 Ubicacin y Aplica Descripcin: El Justificacin: la
proteccin del equipo debe estar organizacin
equipo ubicado y protegido necesita aplicar el
para reducir los control para poder
riesgos de las acceder
amenazas posteriormente a la
ambientales y los certificacin.
riesgos y las
oportunidades de
acceso no
autorizado.
11.2.2 Apoyo a los Aplica Descripcin: El Justificacin: la
servicios pblicos equipo debe ser organizacin
protegido de fallas necesita aplicar el
de energa y otros control para poder
trastornos acceder
causados por fallas posteriormente a la

49 de 97
Juan Manuel Crdenas Restrepo - 2014
en el apoyo a los certificacin.
servicios pblicos.
11.2.3 seguridad Aplica Descripcin: Justificacin: la
cableado Energa y organizacin
telecomunicaciones necesita aplicar el
cableado que control para poder
transporta datos o acceder
apoyar los servicios posteriormente a la
de informacin certificacin.
debe ser protegida
de intercepcin,
interferencia o
dao.
11.2.4 Mantenimiento del Aplica Descripcin: El Justificacin: la
equipo equipo debe organizacin
mantenerse necesita aplicar el
correctamente para control para poder
asegurar su acceder
disponibilidad e posteriormente a la
integridad continua. certificacin.
11.2.5 Eliminacin de los Aplica Descripcin: Justificacin: la
activos Equipos, organizacin
informacin o necesita aplicar el
software no deben control para poder
tomarse fuera de acceder
las instalaciones sin posteriormente a la
autorizacin previa. certificacin.
11.2.6 Seguridad de Aplica Descripcin: Justificacin: la
equipo y activos Seguridad debe ser organizacin
fuera de las aplicado a los necesita aplicar el
instalaciones activos fuera de las control para poder
instalaciones, acceder
teniendo en cuenta posteriormente a la
los diferentes certificacin.
riesgos de trabajar
fuera de las
instalaciones de la
organizacin.
11.2.7 Eliminacin segura Aplica Descripcin: Todos Justificacin: la
o la reutilizacin los artculos de organizacin
de los equipos equipos que necesita aplicar el
contengan soportes control para poder
de almacenamiento acceder
deben ser posteriormente a la
verificados para certificacin.
asegurar que los
datos sensibles y
software con
licencia ha sido
eliminado o
sobrescrito de
forma segura antes
de su eliminacin o
reutilizacin.
11.2.8 Equipos de Aplica Descripcin: Los Justificacin: la

50 de 97
Juan Manuel Crdenas Restrepo - 2014
usuario usuarios deben organizacin
desatendidos asegurarse de que necesita aplicar el
el equipo control para poder
desatendido tiene la acceder
proteccin posteriormente a la
adecuada. certificacin.
11.2.9 Escritorio limpio y Aplica Descripcin: Una Justificacin: la
poltica pantalla poltica de escritorio organizacin
limpia limpio de papeles y necesita aplicar el
soportes de control para poder
almacenamiento acceder
extrables y una posteriormente a la
poltica clara certificacin.
pantalla para las
instalaciones de
procesamiento de
la informacin debe
ser adoptada.
12. Operaciones de seguridad
12.1 Procedimientos y responsabilidades Objetivo: Asegurar operaciones correctas y
operacionales seguras de instalaciones de procesamiento de
informacin.
12.1.1 Procedimientos Aplica Descripcin: Los Justificacin: la
operativos procedimientos organizacin
documentados operativos deben necesita aplicar el
ser documentados control para poder
y puestos a acceder
disposicin de posteriormente a la
todos los usuarios certificacin.
que los necesitan.
12.1.2 Gestin del Aplica Descripcin: Justificacin: la
cambio Cambios en la organizacin
organizacin, necesita aplicar el
procesos de control para poder
negocio, acceder
instalaciones de posteriormente a la
procesamiento de certificacin.
informacin y
sistemas que
afectan a la
seguridad de
informacin deben
ser controlados.
12.1.3 gestin de la Aplica Descripcin: El uso Justificacin: la
capacidad de los recursos organizacin
debe ser necesita aplicar el
monitoreado, se control para poder
ajusta y acceder
proyecciones de las posteriormente a la
futuras necesidades certificacin.
de capacidad para
garantizar el
rendimiento del
sistema requerido.
12.1.4 Separacin de Aplica Descripcin: Justificacin: la

51 de 97
Juan Manuel Crdenas Restrepo - 2014
desarrollo, Desarrollo, pruebas organizacin
pruebas y y entornos necesita aplicar el
entornos operativos deben control para poder
operativos ser separados para acceder
reducir los riesgos posteriormente a la
de acceso o certificacin.
cambios no
autorizados al
entorno operativo.
12.2 Proteccin contra el malware Objetivo: Asegurar que las instalaciones de
procesamiento de informacin y la informacin
estn protegidos contra el malware.
12.2.1 Controles contra el Aplica Descripcin: Justificacin: la
malware Deteccin, organizacin
prevencin y necesita aplicar el
recuperacin de control para poder
controles para acceder
proteger contra el posteriormente a la
malware debe ser certificacin.
implementado, en
combinacin con el
conocimiento del
usuario apropiado.
12.3 Copias de seguridad Objetivo: Evitar la prdida de datos.
12.3.1 Copia de Aplica Descripcin: Las Justificacin: la
seguridad de la copias de seguridad organizacin
informacin de la informacin, necesita aplicar el
software y sistemas control para poder
de imgenes deben acceder
ser tomadas y posteriormente a la
analizadas certificacin.
regularmente de
acuerdo con una
poltica de copia de
seguridad
convenido.
12.4 Registro y seguimiento Objetivo: Registrar eventos y generar evidencia.
12.4.1 registro de Aplica Descripcin: Los Justificacin: la
eventos registros de organizacin
eventos registran necesita aplicar el
las actividades del control para poder
usuario, acceder
excepciones, posteriormente a la
errores y eventos certificacin.
de seguridad de la
informacin se
deben producir,
mantenidos y
revisados con
regularidad.
12.4.2 Proteccin de la Aplica Descripcin: Justificacin: la
informacin de Registro de organizacin
registro instalaciones y necesita aplicar el
registrar la control para poder
informacin debe acceder

52 de 97
Juan Manuel Crdenas Restrepo - 2014
ser protegida contra posteriormente a la
la manipulacin y certificacin.
acceso no
autorizado.
12.4.3 Registros de Aplica Descripcin: Justificacin: la
administrador y Administrador del organizacin
operador sistema y las necesita aplicar el
actividades del control para poder
operador del acceder
sistema deben ser posteriormente a la
registrados y sus certificacin.
troncos protegidos
y regularmente
revisados.
12.4.4 sincronizacin de Aplica Descripcin: Los Justificacin: la
reloj relojes de todos los organizacin
sistemas de necesita aplicar el
procesamiento de control para poder
informacin acceder
pertinentes dentro posteriormente a la
de una certificacin.
organizacin o
dominio de
seguridad deben
estar sincronizados
a una sola fuente
de tiempo de
referencia.
12.5 El control de software operativo Objetivo: Garantizar la integridad de los
sistemas operativos.
12.5.1 La instalacin del Aplica Descripcin: Justificacin: la
software en los Deberan aplicarse organizacin
sistemas procedimientos necesita aplicar el
operativos para controlar la control para poder
instalacin del acceder
software en los posteriormente a la
sistemas certificacin.
operativos.
12.6 Tcnico de gestin de vulnerabilidades Objetivo: Prevenir la explotacin de
vulnerabilidades tcnicas.
12.6.1 Gestin de Aplica Descripcin: Justificacin: la
vulnerabilidades Informacin acerca organizacin
tcnicas de las necesita aplicar el
vulnerabilidades control para poder
tcnicas de los acceder
sistemas de posteriormente a la
informacin que se certificacin.
utilicen deben ser
obtenidos de
manera oportuna, la
exposicin de la
organizacin a tales
vulnerabilidades
evaluado y tomado
las medidas

53 de 97
Juan Manuel Crdenas Restrepo - 2014
adecuadas para
hacer frente a los
riesgos asociados.
12.6.2 Las restricciones a Aplica Descripcin: Las Justificacin: la
la instalacin de normas que rigen la organizacin
software instalacin de necesita aplicar el
software los control para poder
usuarios deben acceder
establecerse e posteriormente a la
implementarse. certificacin.
12.7 Sistemas de informacin consideraciones Objetivo: Minimizar el impacto de las
de auditora actividades de auditora en los sistemas
operativos.
12.7.1 Sistemas de Aplica Descripcin: Justificacin: la
informacin Requisitos y organizacin
controles de actividades de necesita aplicar el
auditora verificacin de los control para poder
sistemas operativos acceder
de auditora deben posteriormente a la
ser certificacin.
cuidadosamente
planificadas y
acordadas para
reducir al mnimo
las interrupciones
de los procesos de
negocio.
13. Seguridad de las comunicaciones
13.1 Gestin de la seguridad de red Objetivo: Garantizar la proteccin de la
informacin en las redes y sus instalaciones de
apoyo de procesamiento de informacin.
13.1.1 Controles de red Aplica Descripcin: Las Justificacin: la
redes deben ser organizacin
gestionados y necesita aplicar el
controlados para control para poder
proteger la acceder
informacin en los posteriormente a la
sistemas y certificacin.
aplicaciones.
13.1.2 Seguridad de los Aplica Descripcin: Los Justificacin: la
servicios de red mecanismos de organizacin
seguridad, niveles necesita aplicar el
de servicio y los control para poder
requisitos de acceder
gestin de todos los posteriormente a la
servicios de la red certificacin.
deben ser
identificados e
incluidos en los
acuerdos de
servicios de red, si
estos servicios son
prestados en la
empresa o
subcontratados.

54 de 97
Juan Manuel Crdenas Restrepo - 2014
13.1.3 Segregacin en Aplica Descripcin: Justificacin: la
redes Grupos de servicios organizacin
de informacin, los necesita aplicar el
usuarios y los control para poder
sistemas de acceder
informacin deben posteriormente a la
ser segregados en certificacin.
las redes.
13.2 transferencia de informacin Objetivo: Mantener la seguridad de la
informacin transferida dentro de una
organizacin y con cualquier entidad externa.
13.2.1 Las polticas y los Aplica Descripcin: Justificacin: la
procedimientos de Formales de organizacin
transferencia de transferencia de necesita aplicar el
informacin polticas, control para poder
procedimientos y acceder
controles deben posteriormente a la
estar en su lugar certificacin.
para proteger la
transferencia de
informacin a
travs del uso de
todo tipo de
instalaciones de
comunicacin.
13.2.2 acuerdos sobre la Aplica Descripcin: Los Justificacin: la
transferencia de acuerdos deben organizacin
informacin abordar la necesita aplicar el
transferencia control para poder
segura de acceder
informacin posteriormente a la
comercial entre la certificacin.
organizacin y las
partes externas.
13.2.3 mensajera Aplica Descripcin: Justificacin: la
electrnica Informacin organizacin
involucrado en la necesita aplicar el
mensajera control para poder
electrnica debe acceder
ser protegido de posteriormente a la
manera apropiada. certificacin.
13.2.4 acuerdos de Aplica Descripcin: Justificacin: la
confidencialidad o Requisitos para los organizacin
de no divulgacin acuerdos de necesita aplicar el
confidencialidad o control para poder
de no divulgacin acceder
que reflejen las posteriormente a la
necesidades de la certificacin.
organizacin para
la proteccin de la
informacin deben
ser identificados,
revisados y
documentados con
regularidad.

55 de 97
Juan Manuel Crdenas Restrepo - 2014
14. Sistema de adquisicin, desarrollo y mantenimiento
14.1 Security requirements of information systems Objetivo: Asegurarse de que la seguridad
informtica es una parte integral de los sistemas
de informacin a travs de todo el ciclo de vida.
Esto tambin incluye los requisitos para los
sistemas de informacin que proporcionan los
servicios a travs de redes pblicas.

14.1.1 Informacin de Aplica Descripcin: Los Justificacin: la


anlisis de requisitos organizacin
requisitos de relacionados con la necesita aplicar el
seguridad y la seguridad de la control para poder
especificacin informacin deben acceder
ser incluidos en los posteriormente a la
requisitos para los certificacin.
nuevos sistemas de
informacin o
mejoras a los
sistemas de
informacin
existentes.
14.1.2 Asegurar los Aplica Descripcin: Justificacin: la
servicios de Informacin organizacin
aplicaciones en las involucrados en los necesita aplicar el
redes pblicas servicios de control para poder
aplicaciones que acceder
pasan a travs de posteriormente a la
redes pblicas debe certificacin.
protegerse de la
actividad
fraudulenta, disputa
contractual y la
divulgacin no
autorizada y
modificacin.
14.1.3 proteccin de las Aplica Descripcin: Justificacin: la
transacciones de Informacin organizacin
servicios de involucrado en las necesita aplicar el
aplicaciones transacciones de control para poder
servicios de acceder
aplicacin debe ser posteriormente a la
protegido para certificacin.:
prevenir la
transmisin
incompleta, errnea
enrutamiento,
alteracin mensaje
no autorizado,
revelacin no
autorizada, la
duplicacin de
mensajes no
autorizado o la
repeticin.
14.2 Seguridad en los procesos de desarrollo y Objetivo: Garantizar la seguridad de la

56 de 97
Juan Manuel Crdenas Restrepo - 2014
de apoyo informacin que se disea e implementa dentro
del ciclo de vida de desarrollo de sistemas de
informacin.
14.2.1 poltica de Aplica Descripcin: Reglas Justificacin: la
desarrollo seguro para el desarrollo organizacin
de software y necesita aplicar el
sistemas deben control para poder
establecerse y acceder
aplicarse a la posteriormente a la
evolucin de la certificacin.
organizacin.
14.2.2 Procedimientos de Aplica Descripcin: Los Justificacin: la
control de cambio cambios en los organizacin
de sistema sistemas dentro del necesita aplicar el
ciclo de vida de control para poder
desarrollo deben acceder
ser controlados por posteriormente a la
el uso de certificacin.
procedimientos
formales de control
de cambio.
14.2.3 Revisin tcnica Aplica Descripcin: Justificacin: la
de aplicaciones Cuando se cambian organizacin
despus de la las plataformas que necesita aplicar el
plataforma operan, control para poder
operativa aplicaciones crticas acceder
de negocio deben posteriormente a la
ser revisados y certificacin.
probados para
asegurar que no
hay impacto
adverso en las
operaciones de la
organizacin o de
seguridad.
14.2.4 restricciones a los Aplica Descripcin: Las Justificacin: la
cambios en los modificaciones a organizacin
paquetes de los paquetes de necesita aplicar el
software software deben ser control para poder
desalentados, acceder
otros, las posteriormente a la
modificaciones certificacin.
necesarias y todos
los cambios deben
ser estrictamente
controlados.
14.2.5 Principios de Aplica Descripcin: Justificacin: la
ingeniera de Principios para organizacin
sistemas seguros sistemas seguros necesita aplicar el
de ingeniera deben control para poder
establecerse, acceder
documentarse, posteriormente a la
mantenerse y certificacin.
aplicarse a
cualquier esfuerzos

57 de 97
Juan Manuel Crdenas Restrepo - 2014
de implementacin
de sistemas de
informacin.
14.2.6 Entorno de Aplica Descripcin: Las Justificacin: la
desarrollo seguro organizaciones organizacin
deben establecer y necesita aplicar el
proteger control para poder
adecuadamente los acceder
entornos de posteriormente a la
desarrollo seguras certificacin.
para los esfuerzos
de desarrollo e
integracin de
sistemas que
cubren todo el ciclo
de vida de
desarrollo del
sistema.
14.2.7 desarrollo Aplica Descripcin: La Justificacin: la
outsourced organizacin debe organizacin
supervisar y necesita aplicar el
controlar la control para poder
actividad de acceder
desarrollo del posteriormente a la
sistema tercerizado. certificacin.
14.2.8 Pruebas de Aplica Descripcin: Justificacin: la
seguridad Sistema Pruebas de la organizacin
funcionalidad de necesita aplicar el
seguridad debe control para poder
llevarse a cabo acceder
durante el posteriormente a la
desarrollo. certificacin.
14.2.9 Pruebas de Aplica Descripcin: Justificacin: la
aceptacin del Programas de organizacin
sistema pruebas de necesita aplicar el
aceptacin y control para poder
criterios acceder
relacionados deben posteriormente a la
establecerse para certificacin.
los nuevos
sistemas de
informacin,
actualizaciones y
nuevas versiones.
14.3 datos de prueba Objetivo: Garantizar la proteccin de los datos
utilizados para las pruebas.
14.3.1 Proteccin de los Aplica Descripcin: Los Justificacin: la
datos de prueba datos de prueba organizacin
deben necesita aplicar el
seleccionarse control para poder
cuidadosamente, acceder
protegidos y posteriormente a la
controlados. certificacin.:
15. relaciones con los proveedores
15.1 Seguridad de la informacin en las Objetivo: Garantizar la proteccin de los activos

58 de 97
Juan Manuel Crdenas Restrepo - 2014
relaciones con proveedores de la organizacin que sea accesible por los
proveedores.
15.1.1 poltica de Aplica Descripcin: Los Justificacin: la
seguridad de la requisitos de organizacin
informacin para seguridad de la necesita aplicar el
relaciones con los informacin para la control para poder
proveedores mitigacin de los acceder
riesgos asociados posteriormente a la
con el acceso del certificacin.
proveedor a los
activos de la
organizacin deben
arreglarse con el
proveedor y
documentados.
15.1.2 Abordar la Aplica Descripcin: Todos Justificacin: la
seguridad dentro los requisitos de organizacin
de los acuerdos seguridad de la necesita aplicar el
con proveedores informacin control para poder
pertinentes deben acceder
ser establecidos y posteriormente a la
acordados con certificacin.
cada proveedor que
pueden acceder,
procesar,
almacenar,
comunicar, o
proporcionar TI
componentes de la
infraestructura de
informacin de la
organizacin.
15.1.3 Cadena de Aplica Descripcin: Los Justificacin: la
informacin y acuerdos con los organizacin
tecnologa de proveedores necesita aplicar el
comunicacin de deberan incluir control para poder
suministro requisitos para acceder
hacer frente a los posteriormente a la
riesgos de certificacin.
seguridad de
informacin
asociados a los
servicios de
informacin y
tecnologa de las
comunicaciones y
de la cadena de
suministro de
productos.
15.2 Gestin de la prestacin de servicios de Objetivo: Mantener un nivel acordado de
proveedores seguridad de la informacin y la prestacin de
servicios en lnea con los acuerdos con
proveedores.
15.2.1 seguimiento y la Aplica Descripcin: Las Justificacin: la
revisin de los organizaciones organizacin

59 de 97
Juan Manuel Crdenas Restrepo - 2014
servicios de deben controlar necesita aplicar el
proveedores regularmente, control para poder
revisin y auditora acceder
de proveedores la posteriormente a la
prestacin de certificacin.
servicios.
15.2.2 Gestin de Aplica Descripcin: Los Justificacin: la
cambios en los cambios en la organizacin
servicios de prestacin de necesita aplicar el
proveedores servicios por parte control para poder
de los proveedores, acceder
incluyendo el posteriormente a la
mantenimiento y la certificacin.
mejora de las
polticas,
procedimientos y
controles de
seguridad de la
informacin
existentes, se
deben manejar,
teniendo en cuenta
la criticidad de la
informacin
empresarial, los
sistemas y los
procesos
involucrados y re-
evaluacin de los
riesgos.
16. Informacin de gestin de incidentes de seguridad
16.1 Gestin de incidentes de seguridad de la Objetivo: Garantizar un enfoque coherente y
informacin y mejoras eficaz para la gestin de incidentes de
seguridad de la informacin, incluidos los de
comunicacin en los eventos de seguridad y
debilidades.
16.1.1 Responsabilidades Aplica Descripcin: Justificacin: la
y procedimientos Responsabilidades organizacin
y procedimientos de necesita aplicar el
gestin deben ser control para poder
establecidos para acceder
garantizar una posteriormente a la
respuesta rpida, certificacin.
eficaz y ordenada a
los incidentes de
seguridad de la
informacin.
16.1.2 Presentacin de Aplica Descripcin: Los Justificacin: la
informes de eventos de organizacin
eventos de seguridad de la necesita aplicar el
seguridad de informacin deben control para poder
informacin ser reportados a acceder
travs de canales posteriormente a la
de gestin certificacin.
adecuadas tan

60 de 97
Juan Manuel Crdenas Restrepo - 2014
pronto como sea
posible.
16.1.3 Informes Aplica Descripcin: Los Justificacin: la
debilidades de empleados y organizacin
seguridad de contratistas que necesita aplicar el
informacin utilizan los sistemas control para poder
y servicios de acceder
informacin de la posteriormente a la
organizacin certificacin.
deberan estar
obligados a
observar y reportar
cualquier debilidad
de seguridad de
informacin
observados o
sospechados en los
sistemas o
servicios.
16.1.4 Evaluacin y Aplica Descripcin: Los Justificacin: la
decisin sobre los eventos de organizacin
eventos de seguridad de la necesita aplicar el
seguridad de informacin deben control para poder
informacin ser evaluados y que acceder
se deben decidir si posteriormente a la
han de ser certificacin.
clasificados como
incidentes de
seguridad de la
informacin.
16.1.5 Respuesta a Aplica Descripcin: Los Justificacin: la
incidentes de incidentes de organizacin
seguridad de la seguridad de la necesita aplicar el
informacin informacin deben control para poder
ser respondidos de acceder
acuerdo con los posteriormente a la
procedimientos certificacin.
documentados.
16.1.6 Aprendiendo de Aplica Descripcin: Los Justificacin: la
los incidentes de conocimientos organizacin
seguridad de la adquiridos desde el necesita aplicar el
informacin anlisis y la control para poder
resolucin de los acceder
incidentes de posteriormente a la
seguridad de la certificacin.
informacin debe
utilizarse para
reducir la
probabilidad o el
impacto de futuros
incidentes.
16.1.7 acopio de pruebas Descripcin: La Justificacin: la
organizacin debe organizacin
definir y aplicar necesita aplicar el
procedimientos control para poder

61 de 97
Juan Manuel Crdenas Restrepo - 2014
para la acceder
identificacin, posteriormente a la
recoleccin, certificacin.
adquisicin y
conservacin de la
informacin, que
puede servir como
prueba.

17. Los aspectos de seguridad de informacin de la gestin de la continuidad del negocio


17.1 Informacin continuidad seguridad Objetivo: Informacin continuidad de seguridad
debe estar integrada en los sistemas de gestin
de continuidad de negocio de la organizacin.
17.1.1 Planificacin Aplica Descripcin: La Justificacin: la
informacin organizacin debe organizacin
continuidad determinar sus necesita aplicar el
seguridad necesidades de control para poder
seguridad de la acceder
informacin y la posteriormente a la
continuidad de la certificacin.
gestin de
seguridad de la
informacin en
situaciones
adversas, por
ejemplo, durante
una crisis o
desastre.
17.1.2 implementacin de Aplica Descripcin: La Justificacin: la
la informacin organizacin debe organizacin
continuidad establecer, necesita aplicar el
seguridad documentar, control para poder
implementar y acceder
mantener procesos, posteriormente a la
procedimientos y certificacin.
controles que
garanticen el nivel
necesario de
continuidad para la
seguridad de la
informacin durante
una situacin
adversa.
17.1.3 Verificar, revisar y Aplica Descripcin: La Justificacin: la
evaluar la organizacin debe organizacin
informacin de verificar la necesita aplicar el
seguridad de informacin control para poder
continuidad controles de acceder
continuidad de posteriormente a la
seguridad certificacin.
establecido y
aplicado a
intervalos regulares
con el fin de
asegurarse de que

62 de 97
Juan Manuel Crdenas Restrepo - 2014
son vlidos y
eficaces en
situaciones
adversas.
17.2 despidos Objetivo: Asegurar la disponibilidad de
instalaciones de procesamiento de informacin.
17.2.1 Disponibilidad de Aplica Descripcin: Justificacin: la
instalaciones de Instalaciones de organizacin
procesamiento de procesamiento de necesita aplicar el
informacin la informacin control para poder
deben ser acceder
implementados con posteriormente a la
redundancia certificacin.
suficiente para
satisfacer los
requisitos de
disponibilidad.
18. conformidad
18.1 cumplimiento de los requisitos legales y Objetivo: Evitar incumplimientos de las
contractuales obligaciones legales, estatutarias,
reglamentarias o contractuales en materia de
seguridad de la informacin y de las exigencias
de seguridad.

18.1.1 Identificacin de la Aplica Descripcin: Todo Justificacin: la


legislacin legal legislativo organizacin
aplicable y los pertinente, los necesita aplicar el
requisitos requisitos control para poder
contractuales reglamentarios, acceder
contractuales y el posteriormente a la
enfoque de la certificacin.
organizacin para
cumplir con estos
requisitos deben
ser identificados de
manera explcita,
documentados y
actualizados a la
fecha de cada
sistema de
informacin y la
organizacin.
18.1.2 derechos de Aplica Descripcin: Justificacin: la
propiedad Procedimientos organizacin
Intectual apropiados deben necesita aplicar el
ser implementadas control para poder
para garantizar el acceder
cumplimiento de posteriormente a la
requisitos legales, certificacin.
reglamentarios y
contractuales
relacionados con
los derechos de
propiedad
intelectual y el uso

63 de 97
Juan Manuel Crdenas Restrepo - 2014
de productos de
software privativo.
18.1.3 Proteccin de los Aplica Descripcin: Los Justificacin: la
registros registros deben organizacin
estar protegidos necesita aplicar el
contra prdida, control para poder
destruccin, acceder
falsificacin, acceso posteriormente a la
no autorizado y la certificacin.
liberacin no
autorizada, de
conformidad con los
requisitos
legislatory,
reglamentarios,
contractuales y
comerciales.
18.1.4 Privacidad y Aplica Descripcin: Justificacin: la
proteccin de Privacidad y organizacin
datos personales proteccin de la necesita aplicar el
informacin de control para poder
identificacin acceder
personal que se posteriormente a la
debe garantizar a lo certificacin.
dispuesto en la
legislacin y la
regulacin en su
caso pertinente.
18.1.5 Reglamento de los Aplica Descripcin: Justificacin: la
controles Controles organizacin
criptogrficos criptogrficos necesita aplicar el
deben ser utilizados control para poder
en el cumplimiento acceder
de todos los posteriormente a la
acuerdos certificacin.
pertinentes, la
legislacin y los
reglamentos.
18.2 Revisiones de seguridad de informacin Objetivo: Garantizar la seguridad de la
informacin que se implementa y opera de
acuerdo con las polticas y procedimientos de la
organizacin.
18.2.1 Revisin Aplica Descripcin: El Justificacin: la
independiente de enfoque de la organizacin
seguridad de la organizacin para necesita aplicar el
informacin la gestin de control para poder
seguridad de la acceder
informacin y su posteriormente a la
aplicacin (es decir, certificacin.
los objetivos de
control, controles,
polticas, procesos
y procedimientos de
seguridad de la
informacin) debe

64 de 97
Juan Manuel Crdenas Restrepo - 2014
ser revisado de
forma
independiente a
intervalos
planificados o
cuando se
producen cambios
significativos.
18.2.2 El cumplimiento de Aplica Descripcin: Los Justificacin: la
las polticas y gerentes deben organizacin
estndares de comprobar necesita aplicar el
seguridad peridicamente el control para poder
cumplimiento de los acceder
procedimientos de posteriormente a la
procesamiento y la certificacin.
informacin dentro
de su rea de
responsabilidad con
las polticas de
seguridad, las
normas y otros
requisitos de
seguridad.
18.2.3 Revisin de Aplica Descripcin: Los Justificacin: la
cumplimiento sistemas de organizacin
tcnico informacin deben necesita aplicar el
ser revisados control para poder
regularmente por el acceder
cumplimiento de las posteriormente a la
polticas y normas certificacin.
de seguridad de la
informacin de la
organizacin.

3. ANLISIS DE RIESGOS

3.1 Introduccin
Es muy importante para las organizaciones tener un conocimiento claro de sus activos, las
dependencias existentes entre ellos con su respectiva valoracin todo con el fin de protegerlos de
una forma ms efectiva. Con el fin de cumplir lo anterior en este punto de anlisis de riesgo de
realizar:

Inventario de activos
Valoracin de los activos
Dimensiones de seguridad
Resumen de valoracin

65 de 97
Juan Manuel Crdenas Restrepo - 2014
Anlisis de amenazas
Impacto Potencial
Nivel de riesgo aceptable y riesgo residual
Resultados

3.2 Inventario de activos


Se agruparn los activos por grupos en una tabla que como estructura tiene el grupo al que
pertenece el activo y el activo en s.

Tabla 24. Inventario de activos.

mbito Activo Cantidad


Capital Humano Director ejecutivo 1
Coordinacin Administrativa 1
Coordinacin Proyectos 1
Coordinacin Comercial 1
Coordinacin de Emprendimiento 1
Coordinadora Calidad 1
Revisor Fiscal 1
Contador 1
Auxiliares (buenas prcticas, 5
emprendimiento, otros)
Tcnico Planta elctrica 1
Rack de Comunicaciones 1
Armarios de documentos 2
Hardware Porttil direccin 1
Porttiles equipo de trabajo 9
Equipos de escritorio 3
Servidor proxy 1
Impresoras laser monocromtica 2
Switch de 24 puertos 2
Router inalmbrico 1
Licencias Todos los equipos de cmputo
vienen equipados con el mismo
software, cuentan con sistema
operativo Windows de fbrica,
Microsoft Office 2010, en algunos
cuentan con licencias libres de
algunos programas.

Informacin La empresa cuenta con


informacin que no ha valorado
como activos, los contratos de
toda ndole estn en armarios
donde se almacenan, no se tiene
un lugar de almacenamiento de
bases de datos que son realizadas
o adquiridas de terceros, los
documentos como lineamientos,
polticas y manuales de funcin
son almacenados en su gran
mayora de forma digital, pero no
se cuenta con un repositorio que

66 de 97
Juan Manuel Crdenas Restrepo - 2014
permita hacer control de versiones
o garantizar su seguridad. De la
informacin no se realizan copias
de seguridad, puede suceder que
en algn momento si un equipo se
daa y es de alguna de las
coordinaciones no puedan
recuperar esta informacin.

3.3 Valoracin de los activos

Se realizar una valoracin cuantitativa de los activos, la clasificacin se har segn las siguientes
categoras:

Muy alto
Alto
Medio
Bajo
Muy bajo

Tabla 25. Valoracin de los activos

Activo Cantidad Valor


Director ejecutivo 1 Muy alto
Coordinacin Administrativa 1 Muy alto
Coordinacin Proyectos 1 Muy alto
Coordinacin Comercial 1 Muy alto
Coordinacin de Emprendimiento Coordinadora 1 Muy alto
Calidad 1 Muy alto
Revisor Fiscal 1 Muy alto
Contador 1 Muy alto
Auxiliares (buenas prcticas, emprendimiento, 5 Alto
otros)
Planta elctrica 1 Alto
Rack de Comunicaciones 1 Alto
Armarios de documentos 2 Medio
Porttil direccin 1 Medio
Porttiles equipo de trabajo 9 Alto
Equipos de escritorio 3 Medio
Servidor proxy 1 Alto
Impresoras laser monocromtica 2 Bajo
Switch de 24 puertos 2 Medio
Router inalmbrico 1 Medio
Todos los equipos de cmputo vienen equipados Medio
con el mismo software, cuentan con sistema
operativo Windows de fbrica, Microsoft Office
2010, en algunos cuentan con licencias libres de

67 de 97
Juan Manuel Crdenas Restrepo - 2014
algunos programas.

La empresa cuenta con informacin que no ha Muy alto


valorado como activos, los contratos de toda
ndole estn en armarios donde se almacenan,
no se tiene un lugar de almacenamiento de bases
de datos que son realizadas o adquiridas de
terceros, los documentos como lineamientos,
polticas y manuales de funcin son almacenados
en su gran mayora de forma digital, pero no se
cuenta con un repositorio que permita hacer
control de versiones o garantizar su seguridad.
De la informacin no se realizan copias de
seguridad, puede suceder que en algn momento
si un equipo se daa y es de alguna de las
coordinaciones no puedan recuperar esta
informacin.

3.4 Dimensiones de seguridad

Desde el punto de vista de la seguridad, junto a la valoracin en s de los activos debe indicarse
cul es el aspecto de la seguridad ms crtico. Esto ser de ayuda en el momento de pensar
en posibles salvaguardas, ya que estas se enfocarn en los aspectos que ms nos interesen.

Las dimensiones de seguridad utilizadas para identificacin del impacto son:

Tabla 26. Dimensiones de seguridad utilizadas.

A Autenticidad
C Confidencialidad
I Integridad
D Disponibilidad
T Trazabilidad

Una vez explicadas las cinco dimensiones se ha de tener presente la escala en la que se realizarn
las valoraciones. En este caso utilizaremos una escala de valoracin de diez valores siguiendo los
siguientes criterios:

Tabla 27. Valoracin dimensiones de seguridad.

VALOR CRITERIO
10 Dao muy grave a la organizacin
7-9 Dao grave a la organizacin
4-6 Dao importante a la organizacin
1-3 Dao menor a la organizacin
0 Irrelevante para la organizacin

68 de 97
Juan Manuel Crdenas Restrepo - 2014
3.5 Resumen de valoracin

Las columnas A,C,I,D y T representan la importancia del activo en relacin a las dimensin de
Seguridad.

mbito Activo Valor Aspectos Crticos


A C I D T
Capital Director ejecutivo Muy alto 4 7 4 4 4
Humano
Coordinacin Muy alto 4 7 4 5 4
Administrativa
Coordinacin Proyectos Muy alto 4 7 6 5 4

Coordinacin Comercial Muy alto 4 7 4 4 4

Coordinacin de Muy alto 4 7 4 4 4


Emprendimiento
Coordinadora Calidad Muy alto 4 7 4 4 4

Revisor Fiscal Muy alto 4 7 4 5 4

Contador Muy alto 4 7 4 5 4

Auxiliares (buenas Alto 4 7 4 4 4


prcticas, emprendimiento,
otros)
Tcnico Planta elctrica Alto 3 3 6 7 5
Rack de Comunicaciones Alto 3 3 6 7 5
Armarios de documentos Medio 3 7 5 7 5
Hardware Porttil direccin Medio 4 4 4 4 4
Porttiles equipo de trabajo Alto 4 5 4 4 4
Equipos de escritorio Medio 4 4 4 4 4
Servidor proxy Alto 4 4 5 6 4
Impresoras laser Bajo 3 3 3 3 3
Switch de 24 puertos Medio 3 3 3 5 3
Router inalmbrico Medio 3 3 3 5 3
Licencias Todos los equipos de Medio 6 6 6 6 6
cmputo vienen equipados
con el mismo software,
cuentan con sistema
operativo Windows de
fbrica, Microsoft Office
2010, en algunos cuentan
con licencias libres de
algunos programas.

Informacin La empresa cuenta con Muy Alto 8 8 8 8 8


informacin que no ha
valorado como activos, los

69 de 97
Juan Manuel Crdenas Restrepo - 2014
contratos de toda ndole
estn en armarios donde
se almacenan, no se tiene
un lugar de
almacenamiento de bases
de datos que son
realizadas o adquiridas de
terceros, los documentos
como lineamientos,
polticas y manuales de
funcin son almacenados
en su gran mayora de
forma digital, pero no se
cuenta con un repositorio
que permita hacer control
de versiones o garantizar
su seguridad. De la
informacin no se realizan
copias de seguridad, puede
suceder que en algn
momento si un equipo se
daa y es de alguna de las
coordinaciones no puedan
recuperar esta informacin.

3.6 Anlisis de amenazas

Los activos estn expuestos a amenazas y estas pueden afectar a los distintos aspectos de la
seguridad. Se analizan qu amenazas pueden afectar a qu activos. Una vez estudiado, estimar
cun vulnerable es el activo a la materializacin de la amenaza as como la frecuencia estimada de
la misma.

Usamos la metodologa MAGERIT (en concreto Libro 2 Catlogo de Elementos (Punto 5)). Las
amenazas estn clasificadas en los siguientes grandes bloques:

Desastres naturales
De origen industrial
Errores y fallos no intencionados
Ataques intencionados

La informacin recopilada da lugar a una tabla resumen para un activo determinado. En definitiva,
para cada tipo de activo se analizar la frecuencia con que puede producirse la amenaza, as
como su impacto en las distintas dimensiones de la seguridad del activo.

La frecuencia o probabilidad de ocurrencia de los eventos se encuentra definida as:

Tabla 28. Frecuencia de ocurrencia de eventos.

70 de 97
Juan Manuel Crdenas Restrepo - 2014
Descripcin Abreviatura Valor
Extremadamente frecuente EF 1 (Una vez al da)
Muy frecuente MF 0.071233 (Quincenal)
Frecuente F 0,016438 (Bimestral)
Poco frecuente PF 0,005479 (Semestral)
Muy poco frecuente MPF 0,002739 (Anual)
Despreciable D 0

Los tipos de activos se presentarn con abreviatura para realizar un anlisis ms completo, las
abreviaturas son las siguientes:

Tabla 29. Abreviaturas tipos de activos

Capital Humano CH
Tcnico T
Hardware H
Licencias L
Informacin I

A continuacin se presentan los cuatro grandes bloques con sus amenazas, indicando en qu tipo
de activo afecta para el posterior anlisis de la frecuencia.

Tabla 30. Bloques de amenazas y activos.

Grupo Ref Amenaza Activos afectados


CH T H L I
Desastres DN1 Fuego x x
naturales DN2 Daos por agua x x
DN3 Otros desastres naturales x x
De origen OI1 Fuego x x
industrial OI2 Daos por agua x x
OI3 Contaminacin mecnica x x
OI4 Contaminacin electromagntica x x x x
OI5 Avera de origen fsico o lgico x x
OI6 Corte del suministro elctrico x x
OI7 Condiciones inadecuadas de temperatura o x x
humedad
OI8 Fallo de servicio de comunicaciones x x
OI9 Interrupcin de otros servicios y suministros x x x
esenciales
OI10 Degradacin de los soportes de x
almacenamiento de la informacin
OI11 Emanaciones electromagnticas x x x
Errores y fallos EF1 Errores de los usuarios x x

71 de 97
Juan Manuel Crdenas Restrepo - 2014
no EF2 Errores del administrador x x
intencionados EF3 Errores de monitorizacin (log)
EF4 Errores de configuracin
EF5 Deficiencias en la organizacin x
EF6 Difusin de software daino x x
EF7 Errores de [re-]encaminamiento x
EF8 Errores de secuencia x
EF9 Escapes de informacin x x
EF10 Alteracin accidental de la informacin x
EF11 Destruccin de informacin x
EF12 Fugas de informacin x x
EF13 Vulnerabilidades de los programas (software x x x
EF14 Errores de mantenimiento / actualizacin de x x x
programas (software)
EF15 Errores de mantenimiento / actualizacin de x x x
equipos (hardware)
EF16 Cada del sistema por agotamiento de x x
recursos
EF17 Prdida de equipos x x
EF18 Indisponibilidad del personal x x
Ataques AI1 Manipulacin de los registros de actividad x
intencionados (log)
AI2 Manipulacin de la configuracin
AI3 Suplantacin de la identidad del usuario x
AI4 Abuso de privilegios de acceso x
AI5 Uso no previsto x x
AI6 Difusin de software daino x
AI7 [Re-]encaminamiento de mensajes x
AI8 Alteracin de secuencia X
AI9 Acceso no autorizado x
AI10 Anlisis de trfico x
AI11 Repudio x
AI12 Interceptacin de informacin (escucha) x
AI13 Modificacin deliberada de la informacin x
AI14 Destruccin de informacin x
AI15 Divulgacin de informacin x
AI16 Manipulacin de programas x x
AI17 Manipulacin de los equipos x
AI18 Denegacin de servicio x x
AI19 Robo x x x x
AI20 Ataque destructivo x x
AI21 Ocupacin enemiga x x
AI22 Indisponibilidad del personal x
AI23 Extorsin x
AI24 Ingeniera social x

72 de 97
Juan Manuel Crdenas Restrepo - 2014
Tabla 31. Activos, amenazas y frecuencias.

Tipo Activo Amenaza Frecuencia A C I D T


EF5 PF 50%
EF9 PF 90%
EF12 PF 90%
Capital humano
EF18 PF 50% 50%
AI22 PF 50% 50%
AI23 MPF 80%
AI24 MPF 90%
DN1 MPF 80% 80%
DN2 MPF 80% 80%
DN3 MPF 80% 80%
OI1 PF 80%
OI2 PF 80%
OI3 PF 80%
OI4 PF 80%
OI5 PF 80%
Tcnico OI7 PF 80%
OI8 PF 80%
OI9 PF 80%
OI11 PF 80%
EF15 PF 60% 60%
EF16 PF 60% 60%
EF17 PF 60% 60%
AI19 PF 90%
AI20 MPF 80% 80%
AI21 MPF 80% 80%
DN1 MPF 80% 80%
DN2 MPF 80% 80%
DN3 MPF 80% 80%
OI1 PF 80%
OI2 PF 80%
OI3 PF 80%
OI4 PF 80%
OI5 PF 80%
OI6 PF 80%
OI7 PF 80%
OI8 PF 80%
Hardware
OI9 PF 80%
OI11 PF 60% 60%
EF1 PF 60% 60%
EF2 PF 60% 60%
EF6 PF
EF13 MPF 80%
EF14 PF 80%
EF15 PF 80%
EF16 PF 80%

73 de 97
Juan Manuel Crdenas Restrepo - 2014
EF17 PF 80%
AI5 PF 80%
AI6 PF 80%
AI7 PF 80%
AI17 PF 80%
AI18 PF 80%
AI19 PF 90%
AI20 PF 80% 80%
AI21 MPF 80% 80%
OI4 PF 70%
OI9 PF 70%
OI11 PF 70%
Licencias
EF13 PF 70%
EF14 PF 70%
AI16 PF 70%
AI19 PF 70%
Informacin OI4 PF 90%
OI6 PF 90%
OI10 PF 90%
EF1 PF 90%
EF2 PF 90%
EF6 PF 90%
EF7 PF 90%
EF8 PF 90%
EF9 PF 90%
EF10 PF 90%
EF11 PF 90%
EF12 PF 90%
EF13 PF 90%
EF14 PF 90%
EF15 PF 90%
EF18 PF 90%
AI1 PF 90%
AI3 PF 90%
AI4 PF 90%
AI5 PF 90%
AI3 PF 90%
AI8 PF 90%
AI9 PF 90%
AI10 PF 90%
AI11 PF 90%
AI12 PF 90%
AI13 PF 90%
AI14 PF 90%
AI15 PF 90%
AI16 PF 90%
AI18 PF 90%
AI19 PF 90%

74 de 97
Juan Manuel Crdenas Restrepo - 2014
3.7 Nivel de riesgo aceptable

El nivel aceptable del riesgo se ha establecido manualmente y analizando concienzudamente cada


activo. Se establecen tres niveles de riesgo (Bajo=75%, Medio=50%, Alto=25%) que se aplicarn
sobre el riesgo intrnseco anual del activo, a partir de este resultado se establecern las medidas
necesarias para gestionar el riesgo.

Tabla 32. Niveles de riesgo aceptables activos.

mbito Activo Nivel de riesgo


aceptable
Capital Humano Director ejecutivo Medio
Coordinacin Administrativa Medio
Coordinacin Proyectos Medio
Coordinacin Comercial Medio
Coordinacin de Medio
Emprendimiento
Coordinadora Calidad Medio
Revisor Fiscal Medio
Contador Medio
Auxiliares (buenas prcticas, Medio
emprendimiento, otros)
Tcnico Planta elctrica Medio
Rack de Comunicaciones Medio
Armarios de documentos Alto
Hardware Porttil direccin Medio
Porttiles equipo de trabajo Medio
Equipos de escritorio Alto
Servidor proxy Medio
Impresoras laser monocromtica Alto
Switch de 24 puertos Medio
Router inalmbrico Medio
Licencias Todos los equipos de cmputo Medio
vienen equipados con el mismo
software, cuentan con sistema
operativo Windows de fbrica,
Microsoft Office 2010, en
algunos cuentan con licencias
libres de algunos programas.

Informacin La empresa cuenta con Bajo


informacin que no ha valorado
como activos, los contratos de
toda ndole estn en armarios
donde se almacenan, no se tiene
un lugar de almacenamiento de
bases de datos que son
realizadas o adquiridas de
terceros, los documentos como
lineamientos, polticas y
manuales de funcin son

75 de 97
Juan Manuel Crdenas Restrepo - 2014
almacenados en su gran
mayora de forma digital, pero no
se cuenta con un repositorio que
permita hacer control de
versiones o garantizar su
seguridad. De la informacin no
se realizan copias de seguridad,
puede suceder que en algn
momento si un equipo se daa y
es de alguna de las
coordinaciones no puedan
recuperar esta informacin.

3.8 Conclusiones

La aplicacin de la metodologa del anlisis de riesgos en nuestra organizacin nos proporciona


importantes conclusiones que sern el punto de partida para el establecimiento de los proyectos de
seguridad de la empresa.

El trabajo para reducir las amenazas y riesgos de seguridad debern orientarse a proyectos que
fortalezcan todas las reas afectadas en la organizacin.

4. PROPUESTA DE PROYECTOS

4.1 Introduccin

En esta fase se pretende proponer soluciones para mejorar el estado de la organizacin. Para ello,
en este captulo se realizar la propuesta de un programa de proyectos y se definirn cuales son
las expectativas de mejora previstas si se llevan a cabo.

4.2 Propuestas

En todos los proyectos presentados se tendrn en cuenta los siguientes tems:

Nombre del proyecto


Objetivos
Requisitos

76 de 97
Juan Manuel Crdenas Restrepo - 2014
Esfuerzo (duracin, coste, dificultad)
Implicaciones en la organizacin
Impacto econmico y estratgico en la empresa

4.2.1 Proyecto 1

Nombre del proyecto: Organizacin de la seguridad y su poltica de aplicacin.

Objetivos: Desarrollar la organizacin de la seguridad y su poltica de aplicacin. Establecer la


base del SGSI basado en ISO/IEC 27001. Implicar a la Direccin y obtener su soporte.

Requisitos:

Elaboracin, aceptacin y comunicacin de la poltica seguridad.


Definicin de organigrama y responsabilidades de seguridad.
Definicin de procesos y elaboracin de metodologas bsicas de seguridad.
Establecimiento de medidas para el aseguramiento de la seguridad de terceras partes.

Esfuerzo:

Duracin: 1 mes y 15 das.


Coste: USD 4.000 consultora externa especializada.
Dificultad: Es baja, se debe comprometer la direccin para que as sea.

Implicaciones en la organizacin: Necesidad del establecimiento de la organizacin y poltica de


seguridad.

Impacto Econmico: Indirecto. Reducir los riesgos de seguridad e impactos de las amenazas.
Reduccin de 5% en el impacto de amenazas que significa ahorro en dinero.

Impacto Estratgico: Concienciacin de la empresa en la seguridad. Mejora y optimizacin de los


procesos de seguridad.

4.2.2 Proyecto 2

Nombre del proyecto: Formacin y concienciacin de seguridad.

Objetivos: Establecer e implantar un plan de formacin, capacitacin y concienciacin destinado a


todos los empleados de la organizacin y a terceros (colaboradores, proveedores, etc.)

Requisitos:

Plan trianual
Incluir las reas de formacin, capacitacin y concienciacin.
Destinado a empleados y terceros (clientes, proveedores, etc)

Esfuerzo:

77 de 97
Juan Manuel Crdenas Restrepo - 2014
Duracin: 1 mes.
Coste: USD15.000 destinado a formacin /ao.
Dificultad: Baja. La mxima dificultad se concentra en la implicacin de los trabajadores.

Implicaciones en la organizacin: Necesidad de desarrollo e implementacin de planes de


formacin (actualmente no existen).

Impacto econmico: Incremento de la productividad de los empleados.

Impacto estratgico: Incremento en la calidad y seguridad de los servicios ofrecidos.

4.2.3 Proyecto 3

Nombre del proyecto: Mejora de la gestin de incidencias y problemas.


Objetivos: Optimizar la gestin de incidencias y problemas. Definir y formalizar los procesos.
Identificar indicadores de productividad. Incorporar mejoras o nuevas herramientas.
Requisitos:
Optimizacin del proceso de gestin de incidencias y problemas.
Definicin del proceso y flujo de actividades.
Adaptacin de la herramienta de ticketing.
Formacin y training.
Establecimiento del proceso de mejora continua.

Esfuerzo:
Duracin: 3 meses y 15 das.
Coste: USD 5.000 consultora externa.
Dificultad: Media. Requiere la implicacin y formacin de los usuarios finales.
Implicaciones en la organizacin: Mejorar la eficacia y eficiencia de la gestin de incidencias /
problemas.
Impacto econmico: Reduccin de incidencias. Mejora de productividad. Incremento productividad.
Impacto estratgico: Aumento de la satisfaccin de los clientes.

4.2.4 Proyecto 4

Nombre del proyecto: Continuidad y recuperacin del negocio.


Objetivos: Establecer un plan de continuidad y recuperacin del negocio ante desastres.
Requisitos:
Anlisis de riesgos (amenazas)
Plan de continuidad y recuperacin

78 de 97
Juan Manuel Crdenas Restrepo - 2014
Pruebas y simulacin.
Proceso de mejora continua.

Esfuerzo:
Duracin: 5 Meses
Coste: USD 20.000 consultora externa
Dificultad: Alta. Requiere una importante implicacin de la direccin y mandos intermedios.

Implicaciones en la organizacin: Proteger la continuidad de la empresa en el mercado en caso de


desastre.
Impacto econmico: Refuerzo del valor de la marca ante desastres. Reduccin de las prdidas
econmicas en caso de problemas. Reduccin 35% prdidas econmicas en caso de desastre.
Impacto estratgico: Resistencia del negocio ante desastres. No desaparicin de la empresa.

4.2.5 Proyecto 5

Nombre del proyecto: Aseguramiento de infraestructuras crticas.


Objetivos: Asegurar la continuidad de las infraestructuras crticas ante desastres naturales o
incidentes.
Requisitos:
Segmentacin y redundancia de sistemas crticos.
Actualizacin y modernizacin de sistemas.
Simulacin de amenazas y traning al equipo.

Esfuerzo:
Duracin: 8 meses.
Coste: USD 80.000 Infraestructura.
Dificultad: Media. Requiere modificaciones en la infraestructura y migracin de sistemas.

Implicaciones en la organizacin: Resistencia ante incidentes de seguridad.


Impacto econmico: Reduccin de daos econmicos en caso de incidente. Reduccin de -20%
daos ante desastre.
Impacto estratgico: Continuidad del negocio frente a desastres e incidentes.

4.3 Resultados

79 de 97
Juan Manuel Crdenas Restrepo - 2014
En este apartado se incluye una representacin grfica de los proyectos basndonos en dos de
sus atributos: Impacto y Dificultad.

El grfico nos muestra de una forma clara y sencilla como estn posicionados los proyectos
respecto a estos dos atributos. Su objetivo permite identificar fcilmente cuales son los prioritarios,
es decir, requieren menos esfuerzo y tendrn mayor impacto positivo en la organizacin.

Tabla 33. Proyectos.

# Proyecto
1 Organizacin de la seguridad y su poltica de
aplicacin.
2 Formacin y concienciacin de seguridad.
3 Mejora de la gestin de incidencias y
problemas.
4 Continuidad y recuperacin del negocio.
5 Aseguramiento de infraestructuras crticas

Imagen 4. Impacto y Esfuerzo.

2
4
1

5
IMPACTO

80 de 97
Juan Manuel Crdenas Restrepo - 2014
ESFUERZO

Imagen 5. Escala Impacto y Esfuerzo.

Muy alto
Alto
Medio
Bajo

5. AUDITORA DE CUMPLIMIENTO

5.1 Introduccin

Llegados a esta fase, conocemos los activos de la empresa y hemos evaluado las
amenazas. Es el momento de hacer un alto en el camino y evaluar hasta que punto la empresa
cumple con las buenas prcticas en materia de seguridad. La ISO/IEC 27002:2013 nos servir
como marco de control del estado de la seguridad.

5.2 Metodologa

5.3 Evaluacin de la madurez

El objetivo es evaluar la madurez de la seguridad en lo que respecta a los diferentes dominios


de control y los 114 controles planteados por la ISO/IEC 27002:2013. De forma resumida, los
dominios que deben analizarse son:

81 de 97
Juan Manuel Crdenas Restrepo - 2014
Poltica de seguridad
Organizacin de la seguridad de la informacin.
Seguridad en los recursos humanos
Gestin de activos
Control de acceso
Cifrado
Seguridad fsica y ambiental
Operaciones de seguridad
Gestin de comunicaciones y operaciones.
Adquisicin, desarrollo y mantenimiento de Sistemas de Informacin
Relaciones con proveedores
Gestin de incidentes
Gestin de continuidad de negocio
Cumplimiento /Conformidad

El estudio debe realizar una revisin de los 114 controles planteados por la norma para cumplir
con los diferentes objetivos de control el nmero de los cuales se indica entre parntesis para
cada uno de los dominios-. Esta estimacin la realizaremos segn la siguiente tabla, que se
basa en el Modelo de Madurez de la Capacidad (CMM):

Tabla 34. Modelo de Madurez de la Capacidad (CMM):

EFECTIVIDAD CMM SIGNIFICADO DESCRIPCIN

Carencia completa de cualquier


proceso reconocible.

No se ha reconocido siquiera que


0% L0 Inexistente existe un problema a resolver.

Estado inicial donde el xito de las


actividades de los procesos se basa la
mayora de las veces en el esfuerzo
personal.

Los procedimientos son


inexistentes o localizados en
reas concretas.
10% L1 Inicial / Ad-hoc
No existen plantillas definidas a
nivel corporativo.

82 de 97
Juan Manuel Crdenas Restrepo - 2014
Los procesos similares se llevan en
forma similar por diferentes personas
con la misma tarea.

Se normalizan las buenas prcticas en


base a la experiencia y al mtodo.

No hay comunicacin o entrenamiento


formal, las responsabilidades quedan a
cargo de cada individuo.
Reproducible,
50% L2 pero intuitivo Se depende del grado de
conocimiento de cada individuo.

La organizacin entera participa


en el proceso.

Los procesos estn implantados,


documentados y comunicados
90% L3 Proceso definido mediante entrenamiento.

Se puede seguir con indicadores


95% L4 Gestionado y medible numricos y estadsticos la evolucin
de los procesos.

Se dispone de tecnologa para


automatizar el flujo de trabajo, se
tienen herramientas para mejorar la
calidad y la eficiencia.

Los procesos estn bajo constante


mejora.

100% L5 Optimizado
En base a criterios cuantitativos se
determinan las desviaciones ms
comunes y se optimizan los procesos.

83 de 97
Juan Manuel Crdenas Restrepo - 2014
(5) Poltica de seguridad

Objetivo: Proporcionar la direccin de gestin y apoyo a la seguridad de la


informacin de acuerdo con los requerimientos del negocio y las leyes y
reglamentos pertinentes.

Tabla 35. Evaluacin de madurez de la capacidad Poltica de Seguridad.

Control Evaluacin
5. Poltica de Seguridad 10%
5.1 Direccin de la gestin de seguridad de la informacin 10%
5.1.1 Polticas de la seguridad de la 10%
informacin
5.1.2 Revisin de las polticas de la 10%
seguridad de la informacin

(6) Organizacin de la seguridad de la informacin.

Objetivo 6.1: Establecer un marco de gestin para iniciar y controlar la implementacin y operacin
de seguridad de la informacin dentro de la organizacin.

Objetivo 6.2: Garantizar la seguridad del teletrabajo y el uso de dispositivos mviles.

Tabla 36. Evaluacin de madurez de la capacidad Organizacin de la seguridad de la


Informacin.

Control Evaluacin
6. Organizacin de la seguridad de la informacin 1%
6.1 Organizacin interna 2%
6.1.1 Funciones y responsabilidades 10%
de seguridad de informacin
6.1.2 Segregacin de funciones 0%
6.1.3 Contacto con las autoridades. 0%
6.1.4 Contacto con grupos de inters 0%
especiales
6.1.5 Seguridad de la informacin en la 0%
gestin de proyectos
6.2 Dispositivos mviles y Teletrabajo 0%
6.2.1 Poltica de dispositivos mviles 0%
6.2.2 Teletrabajo 0%

(7) Seguridad de Recursos Humanos

Objetivo 7.1: Asegurarse de que los empleados y contratistas entiendan sus responsabilidades y
son adecuados para las funciones para las que se consideran.

Objetivo 7.2: Asegurarse de que los empleados y contratistas conozcan y cumplan con sus
responsabilidades de seguridad de la informacin.

Objetivo 7.3: Proteger los intereses de la organizacin, como parte del proceso de cambiar o
terminar el empleo.

84 de 97
Juan Manuel Crdenas Restrepo - 2014
Tabla 37. Evaluacin de madurez de la capacidad Seguridad de Recursos Humanos.

Control Evaluacin
7. Seguridad de Recursos Humanos 37%
7.1 Antes del empleo 30%
7.1.1 Screening 10%
7.1.2 Trminos y condiciones de 50%
empleo
7.2 Durante el empleo 30%
7.2.1 Responsabilidades de 50%
gestin
7.2.2 Conciencia de seguridad 10%
de la informacin,
educacin y entrenamiento
7.2.3 Proceso disciplinario 10%
7.3 Terminacin y cambio de empleo 50%
7.3.1 Terminacin o cambio de 50%
las responsabilidades de
empleo

(8) Gestin de Activos

Objetivo 8.1: Identificar activos de la organizacin y definir las responsabilidades de proteccin


adecuados.

Objetivo 8.2: Asegurar que la informacin recibe un nivel adecuado de proteccin de acuerdo con
su importancia para la organizacin.

Objetivo 8.3: Evitar la divulgacin no autorizada, modificacin, eliminacin o destruccin de la


informacin almacenada en los medios de comunicacin.

Tabla 38. Evaluacin de madurez de la capacidad Gestin de Activos.

Control Evaluacin
8. Gestin de Activos 5%
8.1 Responsabilidad de los activos 10%
8.1.1 Inventario de Activos 10%
8.1.2 Propiedad de los activos 10%
8.1.3 Uso aceptable de los 10%
activos
8.1.4 Retorno de los activos 10%
8.2 Clasificacin de la Informacin 3%
8.2.1 Clasificacin de la 0%
Informacin
8.2.2 Etiquetado de la 0%
Informacin
8.2.3 Manejo de Activos 10%
8.3 Manejo de Medios 3%
8.3.1 Gestin de medios 10%
extrables
8.3.2 Eliminacin de medios 0%
8.3.3 Transferencia de medios 0%

85 de 97
Juan Manuel Crdenas Restrepo - 2014
fsicos

(9) Control de Acceso

Objetivo 9.1: Limitar el acceso a las instalaciones de procesamiento de la informacin y de la


informacin.

Objetivo 9.2: Garantizar el acceso del usuario autorizado y evitar el acceso no autorizado a
sistemas y servicios.

Objetivo 9.3: Hacer que los usuarios sean responsables de salvaguardar su informacin de
autenticacin.

Objetivo 9.4: Prevenir el acceso no autorizado a los sistemas y aplicaciones.

Tabla 39. Evaluacin de madurez de la capacidad Control de Acceso.

Control Evaluacin
9. Control de Acceso 18%
9.1 Business requirements of access control 50%
9.1.1 Poltica de control de 50%
acceso.
9.1.2 Acceso a las redes y 50%
servicios de red
9.2 Gestin de acceso de usuario 10%
9.2.1 Registro de usuario y 10%
cancelacin de registro
9.2.2 Acceso aprovisionamiento 10%
del usuario
9.2.3 Gestin de derechos de 10%
accesos privilegiados
9.2.4 Gestin de la informacin 10%
de autenticacin de secreto
de los usuarios
9.2.5 Revisin de los derechos 10%
de acceso de usuario
9.2.6 La eliminacin o el ajuste 10%
de los derechos de acceso
9.3 Responsabilidades del usuario 10%
9.3.1 El uso de informacin 10%
secreta de autenticacin
9.4 Control del sistemas y acceso a las 2%
aplicaciones
9.4.1 Restriccin de acceso 10%
Informacin
9.4.2 Procedimientos de inicio de 10%
sesin seguro
9.4.3 Sistema de gestin de 50%
contrasea
9.4.4 El uso de los programas de 10%
servicios pblicos
privilegiados

86 de 97
Juan Manuel Crdenas Restrepo - 2014
9.4.5 Control de acceso al 10%
cdigo fuente del programa

(10) Criptografa

Objetivo 10.1: Garantizar un uso adecuado y eficaz de la criptografa para proteger la


confidencialidad, autenticidad y / o integridad de la informacin.

Tabla 40. Evaluacin de madurez de la capacidad Criptografa.

Control Evaluacin
10. Criptografa 25%
10.1 Controles criptogrficos 25%
10.1.1 Poltica sobre el uso de 0%
controles criptogrficos
10.1.2 Gestin de claves 50%

(11) Seguridad fsica y ambiental

Objetivo 11.1: Evitar autorizado fsica de acceso, daos e interferencia a la informacin y


procesamiento de informacin sobre las instalaciones de la organizacin.

Objetivo 11.2: Evitar la prdida, dao, robo o el compromiso de los activos y la interrupcin de las
operaciones de la organizacin.

Tabla 41. Evaluacin de madurez de la capacidad Seguridad fsica y ambiental.

Control Evaluacin
11 Seguridad fsica y ambiental 21.5%
11.1 reas seguras 10%
11.1.1 Permetro de seguridad 10%
fsica
11.1.2 Controles de entrada 10%
fsicas
11.1.3 Asegurar oficinas, 10%
habitaciones e
instalaciones
11.1.4 La proteccin contra 10%
amenazas externas y
ambientales
11.1.5 Trabajar en zonas seguras 10%
11.1.6 Zonas de entrega y carga 10%
11.2 Equipo 33%
11.2.1 Ubicacin y proteccin del 50%
equipo
11.2.2 Apoyo a los servicios 50%
pblicos
11.2.3 seguridad cableado 50%
11.2.4 Mantenimiento del equipo 50%
11.2.5 Eliminacin de los activos 50%
11.2.6 Seguridad de equipo y 10%
activos fuera de las

87 de 97
Juan Manuel Crdenas Restrepo - 2014
instalaciones
11.2.7 Eliminacin segura o la 10%
reutilizacin de los equipos
11.2.8 Equipos de usuario 10%
desatendidos
11.2.9 Escritorio limpio y poltica 10%
pantalla limpia

(12) Operaciones de seguridad

Objetivo 12.1: Asegurar operaciones correctas y seguras de instalaciones de procesamiento de


informacin.

Objetivo 12.2: Asegurar que las instalaciones de procesamiento de informacin y la informacin


estn protegidos contra el malware.

Objetivo 12.3: Evitar la prdida de datos.

Objetivo 12.4: Registrar eventos y generar evidencia.

Objetivo 12.5: Garantizar la integridad de los sistemas operativos.

Objetivo 12.6: prevenir la explotacin de vulnerabilidades tcnicas.

Objetivo 12.7: Minimizar el impacto de las actividades de auditora en los sistemas operativos.

Tabla 42. Evaluacin de madurez de la capacidad Operaciones de seguridad.

Control Evaluacin
12. Operaciones de seguridad 40%
12.1 Procedimientos y responsabilidades 17.5%
operacionales
12.1.1 Procedimientos operativos 50%
documentados
12.1.2 Gestin del cambio 10%
12.1.3 Gestin de la capacidad 10%
12.1.4 Separacin de desarrollo, 0%
pruebas y entornos
operativos
12.2 Proteccin contra el malware 50%
12.2.1 Controles contra el 50%
malware
12.3 Copias de seguridad 50%
12.3.1 Copia de seguridad de la 50%
informacin
12.4 Registro y seguimiento 10%
12.4.1 registro de eventos 10%
12.4.2 Proteccin de la 10%
informacin de registro
12.4.3 Registros de administrador 10%
y operador
12.4.4 sincronizacin de reloj 10%
12.5 El control de software operativo 90%

88 de 97
Juan Manuel Crdenas Restrepo - 2014
12.5.1 La instalacin del software 90%
en los sistemas operativos
12.6 Tcnico de gestin de vulnerabilidades 50%
12.6.1 Gestin de 10%
vulnerabilidades tcnicas
12.6.2 Las restricciones a la 90%
instalacin de software
12.7 Sistemas de informacin consideraciones 10%
de auditora
12.7.1 Sistemas de informacin 10%
controles de auditora

(13) Seguridad de las comunicaciones

Objetivo 13.1: Garantizar la proteccin de la informacin en las redes y sus instalaciones de apoyo
de procesamiento de informacin.

Objetivo 13.2: Mantener la seguridad de la informacin transferida dentro de una organizacin y


con cualquier entidad externa.

Tabla 43. Evaluacin de madurez de la capacidad Seguridad de las comunicaciones.

Control Evaluacin
13. Seguridad de las comunicaciones 30%
13.1 Gestin de la seguridad de red 50%
13.1.1 Controles de red 50%
13.1.2 Seguridad de los servicios 50%
de red
13.1.3 Segregacin en redes 50%
13.2 transferencia de informacin 10%
13.2.1 Las polticas y los 10%
procedimientos de
transferencia de
informacin
13.2.2 acuerdos sobre la 10%
transferencia de
informacin
13.2.3 mensajera electrnica 10%
13.2.4 acuerdos de 10%
confidencialidad o de no
divulgacin

(14) Sistema de adquisicin, desarrollo y mantenimiento

Objetivo 14.1: Asegurarse de que la seguridad informtica es una parte integral de los sistemas de
informacin a travs de todo el ciclo de vida. Esto tambin incluye los requisitos para los sistemas
de informacin que proporcionan los servicios a travs de redes pblicas.

Objetivo 14.2: Garantizar la seguridad de la informacin que se disea e implementa dentro del
ciclo de vida de desarrollo de sistemas de informacin.

89 de 97
Juan Manuel Crdenas Restrepo - 2014
Objetivo 14.3: Garantizar la proteccin de los datos utilizados para las pruebas.

Tabla 44. Evaluacin de madurez de la capacidad Sistema de adquisicin, desarrollo y


mantenimiento.

Control Evaluacin
14. Sistema de adquisicin, desarrollo y 4.6%
mantenimiento
14.1 Security requirements of information systems 0%
14.1.1 Informacin de anlisis de 0%
requisitos de seguridad y
la especificacin
14.1.2 Asegurar los servicios de 0%
aplicaciones en las redes
pblicas
14.1.3 proteccin de las 0%
transacciones de servicios
de aplicaciones
14.2 Seguridad en los procesos de desarrollo y 3.4%
de apoyo
14.2.1 poltica de desarrollo 10%
seguro
14.2.2 Procedimientos de control 0%
de cambio de sistema
14.2.3 Revisin tcnica de 0%
aplicaciones despus de la
plataforma operativa
14.2.4 restricciones a los cambios 0%
en los paquetes de
software
14.2.5 Principios de ingeniera de 0%
sistemas seguros
14.2.6 Entorno de desarrollo 10%
seguro
14.2.7 desarrollo outsourced 0%
14.2.8 Pruebas de seguridad 10%
Sistema
14.2.9 Pruebas de aceptacin del 10%
sistema
14.3 datos de prueba 10%
14.3.1 Proteccin de los datos de 10%
prueba

(15) Relaciones con los proveedores

Objetivo 15.1: Garantizar la proteccin de los activos de la organizacin que sea accesible por los
proveedores.

Objetivo 15.2: Mantener un nivel acordado de seguridad de la informacin y la prestacin de


servicios en lnea con los acuerdos con proveedores.

Tabla 45. Evaluacin de madurez de la capacidad Relacin con los proveedores.

90 de 97
Juan Manuel Crdenas Restrepo - 2014
Control Evaluacin
15. Relaciones con los proveedores 0%
15.1 Seguridad de la informacin en las 0%
relaciones con proveedores
15.1.1 Poltica de seguridad de la 0%
informacin para relaciones
con los proveedores
15.1.2 Abordar la seguridad dentro 0%
de los acuerdos con
proveedores
15.1.3 Cadena de informacin y 0%
tecnologa de comunicacin
de suministro
15.2 Gestin de la prestacin de servicios de 0%
proveedores
15.2.1 Seguimiento y la revisin 0%
de los servicios de
proveedores
15.2.2 Gestin de cambios en los 0%
servicios de proveedores

(16) Informacin de gestin de incidentes de seguridad

Objetivo 16.1: Garantizar un enfoque coherente y eficaz para la gestin de incidentes de seguridad
de la informacin, incluidos los de comunicacin en los eventos de seguridad y debilidades.

Tabla 46. Evaluacin de madurez de la capacidad Informacin de gestin de incidentes de la


seguridad.

Control Evaluacin
16. Informacin de gestin de incidentes de 10%
seguridad
16.1 Gestin de incidentes de seguridad de la 10%
informacin y mejoras
16.1.1 Responsabilidades y 10%
procedimientos
16.1.2 Presentacin de informes 10%
de eventos de seguridad
de informacin
16.1.3 Informes debilidades de 10%
seguridad de informacin
16.1.4 Evaluacin y decisin 10%
sobre los eventos de
seguridad de informacin
16.1.5 Respuesta a incidentes de 10%
seguridad de la
informacin
16.1.6 Aprendiendo de los 10%
incidentes de seguridad de
la informacin
16.1.7 acopio de pruebas 10%

91 de 97
Juan Manuel Crdenas Restrepo - 2014
(17) Los aspectos de seguridad de informacin de la gestin de la continuidad del negocio

Objetivo 17.1: Informacin continuidad de seguridad debe estar integrada en los sistemas de
gestin de continuidad de negocio de la organizacin.

Objetivo 17.2: Asegurar la disponibilidad de instalaciones de procesamiento de informacin.

Tabla 47. Evaluacin de madurez de la capacidad Los aspectos de seguridad de informacin


de la gestin de la continuidad del negocio.

Control Evaluacin
17. Los aspectos de seguridad de informacin 10%
de la gestin de la continuidad del negocio
17.1 Informacin continuidad seguridad 10%
17.1.1 Planificacin informacin 10%
continuidad seguridad
17.1.2 implementacin de la 10%
informacin continuidad
seguridad
17.1.3 Verificar, revisar y evaluar 10%
la informacin de
seguridad de continuidad
17.2 despidos 10%
17.2.1 Disponibilidad de 10%
instalaciones de
procesamiento de
informacin

(18) Conformidad

Objetivo 18.1: Evitar incumplimientos de las obligaciones legales, estatutarias, reglamentarias o


contractuales en materia de seguridad de la informacin y de las exigencias de seguridad.

Objetivo 18.2: Garantizar la seguridad de la informacin que se implementa y opera de acuerdo


con las polticas y procedimientos de la organizacin.

Tabla 48. Evaluacin de madurez de la capacidad Conformidad

Control Evaluacin
18. Conformidad 10%
18.1 cumplimiento de los requisitos legales y 10%
contractuales
18.1.1 Identificacin de la 10%
legislacin aplicable y los
requisitos contractuales
18.1.2 derechos de propiedad 10%
Intelectual
18.1.3 Proteccin de los registros 10%
18.1.4 Privacidad y proteccin de 10%
datos personales
18.1.5 Reglamento de los 10%
controles criptogrficos
18.2 Revisiones de seguridad de informacin 10%

92 de 97
Juan Manuel Crdenas Restrepo - 2014
18.2.1 Revisin independiente de 10%
seguridad de la
informacin
18.2.2 El cumplimiento de las 10%
polticas y estndares de
seguridad
18.2.3 Revisin de cumplimiento 10%
tcnico

5.4 Presentacin de resultados

Tabla 49. Resultados 114 controles - evaluacin de madurez.

EFECTIVIDAD CMM SIGNIFICADO NMERO DE CONTROLES

25
0% L0 Inexistente

69
10% L1 Inicial / Ad-hoc

18
50% L2 Reproducible,
pero intuitivo

2
90% L3 Proceso definido

0
95% L4 Gestionado y medible

0
100% L5 Optimizado

Grfica 2. Madurez CMM de los controles ISO.

93 de 97
Juan Manuel Crdenas Restrepo - 2014
Madurez CMM de los controles ISO
0% Inexistente
2% 0%
Inicial / Ad-hoc
16% 22%

Reproducible, pero
intuitivo
Proceso definido
60%
Gestionado y medible

Optimizado

Una visin ms detallada es la que se presenta como diagrama de radar que mostrara el nivel
de cumplimiento por captulo ISO. Anticipndonos a las medidas, ser interesante
comparar el estado actual con el estado deseado:

Grfica 3. Madurez de los controles.

94 de 97
Juan Manuel Crdenas Restrepo - 2014
Evaluacin de Controles

Poltica de
Seguridad
100% Organizacin de la
Conformidad 90%
seguridad de la
80%
Los aspectos de 70% Seguridad de
seguridad de 60% Recursos Humanos
50%
40%
Informacin de 30%
20% Gestin de Activos
gestin de Estado Actual
10%
0%
Relaciones con los Estado Ideal
Control de Acceso
proveedores

Sistema de
Criptografa
adquisicin,
Seguridad de las Seguridad fsica y
comunicaciones ambiental
Operaciones de
seguridad

6. CONCLUSIONES

Objetivos conseguidos

La organizacin entiende de forma clara que debe comenzar a realizar todas las actividades que
sean necesarias para establecer un SGSI y posteriormente poder aplicar a la certificacin de la
norma ISO/IEC 27001:2013.

La organizacin obtiene documentos muy importantes para continuar el camino que lo conduzca a
una buena implementacin de un SGSI.

Establecimiento de un plan de auditora, informe de auditora y programa de auditora.

Creacin de la poltica de seguridad.

La organizacin reconoce las debilidades que tiene en materia de seguridad de la informacin.

El aprendizaje obtenido sobre la norma ISO / IEC 27001 es muy importante para mi desarrollo
profesional en esta rea del conocimiento.

Las bases que fueron dadas a conocer permiten que todo el personal de la organizacin tenga
conciencia de la importancia de realizar procesos con calidad y que sean documentados.

95 de 97
Juan Manuel Crdenas Restrepo - 2014
Objetivos no conseguidos

La creacin de ms documentos que apoyen la organizacin, el trabajo de la misma es muy lento


para el levantamiento de la informacin, por ejemplo: diagrama de red.

El impacto potencial que apoye los proyectos en la gestin de riesgos, es difcil estimar sin mucha
informacin, pero se logran proyectos que son los primeros con los que pueden comenzar a
establecer planes presupuestales para ser ejecutados.

La sensibilizacin de toda la organizacin en el tema de SGSI, no fue posible reunirlos a todos


durante las ltimas fases del proyecto.

La evaluacin de la madurez indica que puede haber un retroceso en los procesos, ya que
comenzarn a desarrollar desde cero algunos de los documentos.

Ampliaciones del trabajo

Este trabajo puede servir como base para que la organizacin contine en las tareas que deben
ser realizadas con el fin de a mediano plazo acceder a la certificacin ISO/IEC 27001:2013

7. BIBLIOGRAFA
Material de estudio asignatura Sistemas de Gestin de Seguridad de Informacin

Norma ISO/IEC 27001:2013

SGSI

http://www.iso27000.es/sgsi.html

Auditoras internas

http://www.revistadintel.es/Revista1/DocsNum22/Normas/Corletti.pdf

http://sociedaddelainformacion.wordpress.com/2006/11/12/auditoria-interna-de-un-sgsi-iso-27001/

Gestin de indicadores

http://sgsi-iso27001.blogspot.com/

Cuadro de mando indicadores

http://www.upo.es/cic/export/sites/webcic/SGS/CMI/DOC_CIC-51_SGS_CMI_2013.pdf

Gestin de roles y responsabilidades

96 de 97
Juan Manuel Crdenas Restrepo - 2014
http://www.ecopetrol.com.co/documentos/64203_Anexo_15._ECP-DTI-G-
11_Roles_y_Responsabilidades_de_Seguridad_de_la_Informaci%C3%B3n_2010-v-
1%5B1%5D.pdf

Polticas de seguridad

http://www.utp.edu.co/cms-
utp/data/bin/UTP/web/uploads/media/calidad/documentos/politicas_sgsi.pdf

Modelo de poltica de seguridad

http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf

Pasos para implementar polticas y procedimientos

http://www.iso27001standard.com/es/blog/2011/03/08/siete-pasos-para-implementar-politicas-y-
procedimientos/

MAGERIT v.3 : Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mage
rit.html#.VEPM7Pl5OSo

Libro I. Mtodo MAGERIT v3

http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/M
etodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-
8/2012_Magerit_v3_libro1_m%C3%A9todo_es_NIPO_630-12-171-8.pdf

Anlisis de Riesgo Informtico


http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico

Libro III Gua de Tcnicas MAGERIT

file:///C:/Users/pc/Downloads/2012_Magerit_v3_libro3_gu%C3%ADa%20de%20t%C3%A9cnicas_e
s_NIPO_630-12-171-8.pdf

97 de 97
Juan Manuel Crdenas Restrepo - 2014