Informe 3-1

TERCER INFORME DE AUDITORIA DE SISTEMAS SOBRE DISEÑO DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO

EN LA NORMA ISO 27001 E ISO 27002 APLICADA A PROCESO DE
GESTIÓN TIC DE LA GOBERNACION DE NARIÑO
WILLIAM ALFREDO INAMPUES VILLA
DANIEL ESTEBAN LARA ROSERO
UNIVERSIDAD DE NARIÑO
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS
SAN JUAN DE PASTO
2016
Análisis De Vulnerabilidades
En el siguiente informe se realizo la Identificación de Vulnerabilidades, La cual

se realizó mediante una visita a las instalaciones para realizar una inspección
visual de los activos, entrevistas con el personal encargado del manejo de los
recursos informáticos, luego de haber identificado las vulnerabilidades
realizamos la Estimación del Impacto el objetivo conocer el alcance del daño
producido en el Proceso de Gestión TIC de la Gobernación de Nariño derivado
de la materialización de las amenazas sobre los activos de información,
también se realizo la Estimación de la Probabilidad el objetivo consiste en
estimar la frecuencia de materialización de una amenaza en función de la
cantidad de veces que esta pueda ocurrir, por ultimo se realizo la Estimación
del Riesgo con el objetivo de levantar la información sobre la identificación de
los peligros, el análisis de las condiciones de vulnerabilidad y calculo del riesgo
con la finalidad de recomendar las medidas de prevención, todo lo anterior se
realizo para cada uno de los activos que se encuentran en el Proceso de
Gestión TIC de la Gobernación de Nariño.
Tabla 1. Vulnerabilidades Servidor Dell PowerEdge T430
Activo PGT-02 PGT-01 Servidor Dell PowerEdge T430
Administrador Soporte Técnico
Tipo activo Hardware
Tipo ID Amenaza Exposición / Vulnerabilidad
No existe sistema de alarma contra incendios.

N1 Fuego
Desastres naturales
posee un solo extintor en la sala de servidores
Daños por agua

N2
El Proceso de Gestión TIC se encuentra en zona media de

N* Desastres naturales riesgo de desastre natural de origen de inundación debido a su
mala ubicación en el primer piso

I1 Fuego Se posee un solo extintor de (Clase C) recomendados para
incendios en lugares donde se encuentren equipos eléctricos.
I2 Daños por agua
No se utilizan paneles de obturación para el cableado.

No existe sistema de alarma de control de temperatura y
humedad.
No existen planos, esquemas, avisos que indiquen que hay una
fuente de energía y señales de estas mismas.
I* Desastres industriales El sistema eléctrico de la unidad no cuenta con protección contra

electrocución por contacto directo o indirecto en las áreas de
trabajo.
De origen industrial
No cuentan con un sistema de protección contra rayos.
No están por separado los circuitos de la red regulada y normal.
En la sala de servidores no se realiza una limpieza periódica en

I3 Contaminación mecánica
cuanto a contaminación por polvo y/o suciedad.
Contaminación
I4 Los racks no cuentan con aisladores.
electromagnética
En la sala de servidores no se realiza una limpieza periódica en

I5 Avería de origen físico o lógico
cuanto a contaminación por polvo y/o suciedad.
Funcionamiento no confiable de las UPS.

El sistema eléctrico de la unidad no cuenta con protección contra
I6 Corte del suministro eléctrico
electrocución por contacto directo o indirecto en las áreas de
trabajo. No cuentan con un sistema de protección
contra rayos.
No están por separado los circuitos de la red regulada y normal.

Condiciones inadecuadas de No existe sistema de alarma de control de temperatura y
I7
temperatura o humedad humedad.
Emanaciones
I11 Los racks no cuentan con aisladores.
electromagnéticas
E2 Errores del administrador Falta de conocimiento del administrador.
Errores de No existe hoja de vida del servidor AKANE.

E23 mantenimiento/actualización
de equipos Falta de conocimiento del administrador.
E
Falta de recursos necesarios.

Caídas del sistema por
E24
agotamiento de recursos
Falta de planes de continuidad del negocio
No existen la suficiente cámaras de seguridad en la

E25 Perdida de equipos
organización
Como medida de control de acceso a la sala de servidores en la

puerta no se cuenta con un control biométrico, sino con una
cerradura de llave la cual no garantiza un control de quienes
tienen los privilegios de entrar al sitio, ni manera de identificarlos.
A6 Abuso de privilegios de acceso Para ingresar a la sala de servidores primeramente se debe

pasar por la oficina del Proceso de Gestión TIC, y luego por la
oficina de Soporte Técnico; cuyos controles de ingreso son
únicamente puertas de madera con ventanas de vidrio, donde
cada puerta cuenta con una sola chapa de seguridad y la llave
principal la manejan todos los empleados de la oficina.
A7 Uso no previsto No cuenta con una hoja de vida

Ataques intencionados
Cualquier persona puede entrar a la sala de servidores no existe

A11 Acceso no autorizado
un control
A23 Manipulación de equipos Falta de controles para el ingreso a la sala de servidores

A24 Denegación de servicio
Como medida de control de acceso a la sala de servidores en la

puerta no se cuenta con un control biométrico, sino con una
cerradura de llave la cual no garantiza un control de quienes
tienen los privilegios de entrar al sitio, ni manera de identificarlos.
Para ingresar a la sala de servidores primeramente se debe

A25 Robo pasar por la oficina del Proceso de Gestión TIC, y luego por la
oficina de Soporte Técnico; cuyos controles de ingreso son
únicamente puertas de madera con ventanas de vidrio, donde
cada puerta cuenta con una sola chapa de seguridad y la llave
principal la manejan todos los empleados de la oficina.
Tabla 2. Vulnerabilidades portal web de la Gobernación de Nariño
Activo Portal Web Gobernación de Nariño
Administrador Administrador Portal Web
Tipo activo Sistema de Información
Un error del administrador puede conllevar a la disponibilidad de

E2 Errores del administrador las aplicaciones los servicios que ellos soportan se vera
seriamente afectado
Hay poca capacitación para los empleados que manejan

Errores y fallos no intencionados
E8 Difusión de software dañino

software de la organización
Alteración accidental de la No existe medidas de control

E15
información
o No existe un protocolo para la limpieza del sitio web y un

E18 Destrucción de información
procedimiento de mantenimiento
No existe medidas de control esta información puede ser

E19 Fugas de información
modificada o usada para beneficios propios
Vulnerabilidades de los No existe un procedimiento para llevar a cabo las pruebas de los
E20
programas programas antes de ponerlos en funcionamiento
Errores de No existe un protocolo para la actualización de las diferentes

E21 mantenimiento/actualización aplicaciones
de programas
Suplantación de la identidad No se han implementado normativas para el uso de contraseñas

A5
del usuario fuertes para el acceso a los servicios
A8 Difusión de software dañino No existe un procedimiento para la actualización de software
Falta de controles, esta falla permite desplegar en el navegador

datos no confiables proporcionados por usuarios, generalmente

[Re-] encaminamiento de
A9 inyectando código javascript malicioso. Estos datos pueden
mensajes
secuestrar tu sitio web, permitiendo que tus usuarios sean re
direccionados a sitios maliciosos o descarguen malware.
Falta de controles, afectara directamente la dimensión de

integridad en un nivel mu alto, porque de presentarse ataques
de modificación de información se va a ver alterados los datos
Modificación deliberada de la
A15 almacenados, causando un caos informático y arrojando datos
información
erróneos a la hora de las consultas transacciones en cada uno
de los procesos normalizados dentro de las labores de la
organización
No existe un control para la información importante, seria mu

A18 Destrucción de información
grave destruir información importante de la organización
Tabla 3. Vulnerabilidades Soporte Técnico
Activo Soporte Técnico
Administrador Administrador de Sistemas

Tipo activo Personal
Falta de controles, al haber fuga de información esta puede ser

Fugas de
E19 modificada o usada para beneficios propios llevando a perdida de
información
confianza de la organización
E
Falta de controles, al haber indisponibilidad del personal pueden dejar

Indisponibilidad del
E28 ausentes sus puestos de trabajo dejando así al no desarrollo de sus
personal
labores
Indisponibilidad del Falta de controles, ejecutar información importante para la organización si

A28
personal el personal esta indispuesto
Mediante amenazas pueden sacar información importante para la

A29 Extorsión
organización
A
Falta de concientización del personal en las mejores practicas de

A30 Ingeniería social seguridad informática. Llevando a un afectación alta en la dimensión de
confidencialidad
Tabla 4. Vulnerabilidades Base de Datos Correo Electrónico Institucional
Activo Base de datos Correo Electrónico Institucional

Tipo activo Datos / Información
Los usuarios no cuentan con capacitación para el manejo del

E1 Errores de los usuarios
activo
Algunos equipos del Proceso de Gestión TIC No están

E2 Errores del administrador
actualizados por software de protección y reparación de virus
E3 Errores de monitorización No se realizan correctamente los mantenimientos
No se tiene un Anti spam para controlar el ingreso de correos no

E4 Errores de configuración
deseados propagación de virus
Alteración accidental de la Se obtiene fácil acceso a la BIOS, lo que ocasiona que otras
E15
información personas puedan modificar la configuración
Destrucción de la No existe un protocolo para la clasificación de la información

E18
información
E19 Fugas de información Falta de interés por aplicar las políticas de seguridad
Manipulación de los Falta de controles

A3
registros de actividad
Manipulación de la Falta de controles

A4
configuración [D.log]
Suplantación de la No existe una implementación de procesos rigurosos para

A5
identidad del usuario actualizar las contraseñas
Abuso de privilegios de No existe mecanismos de control

A6
acceso
A11 Acceso no autorizado Las contraseñas son muy pocas inseguras
Modificación deliberada de No realizan copias de seguridad periódicamente

A15
la información
A19 Divulgación de información No hay mayor seguridad para la información

Tabla 5. Vulnerabilidades Código fuente Portal Web de la Gobernación de
Nariño, Portales.
Activo Código fuente Portal Web de la Gobernación de Nariño, Portales.

Tipo activo Datos/información

De origen
industrial
I8 Fuego
E2 Errores del administrador La actualización del antivirus no se actualiza diariamente
No cuenta con una protección segura a los ataques al

E4 Errores de configuración
sitio web
E
E19 Fugas de información Los datos no son correctamente protegidos
Manipulación de los registros de Suplantación de contenido

A3
actividad
intencionados
Ataques
A7 Uso no previsto Autorización insuficiente
No cuenta con la suficiente protección a los Ataques

maliciosos
A26 Ataque destructivo No se cuenta con la suficiente protección

Tabla 6. Vulnerabilidades Correo Electrónico Institucional
Activo Correo Electrónico institucional

Corte del suministro No existe una fuente alterna de corriente eléctrica

I6
eléctrico
Fallo de servicio de Baja capacidad de respuesta

I8
comunicaciones
No existe un análisis de seguridad para todos los correos spam que

E2 Errores del administrador
llegan
No existe un protocolo adecuado ya que Mediante el uso de scripts

en el código HTML, intrusos pueden leer el correo electrónico de
E19 Fugas de información
terceros, enviar correo usurpando identidades e incluso hacerse del
E
control de un PC intervenido.
Errores de mantenimiento / No se mantienen actualizados los parches de seguridad.

E21 actualización de
programas (Software)
No existe un protocolo de seguridad ya que Mediante el uso de

Suplantación de la scripts en el código HTML, intrusos pueden leer el correo electrónico
A5
identidad del usuario de terceros, enviar correo usurpando identidades e incluso hacerse
del control de un PC intervenido.
No existe un protocolo para acceder a al información

Tabla 7. Vulnerabilidades Computadores de Escritorio
Activo Computadores de Escritorio


Desastres naturales
N1 Fuego
No poseen extintor en al oficina de Proceso de Gestión TIC
Los computadores de escritorio se encuentra ubicados sin ninguna

N2 Daños por agua
precaución
El Proceso de Gestión TIC se encuentra en zona media de riesgo de

N* Desastres naturales desastre natural de origen de inundación debido a su mala ubicación
en el primer piso
Corte del suministro No existe una fuente de energía alterna

I6
eléctrico
Condiciones No cuentan con aire acondicionado en la oficina de Proceso de

inadecuadas de Gestión TIC

I7
temperatura o
humedad

No existe sistema de alarma de control de temperatura y humedad.
I* Desastres industriales
Errores del los No existe un manual para el uso de las diferentes aplicaciones
E1
usuarios
Errores del No existe un protocolo para la instalación de las diferentes

E2
administrador aplicaciones
Errores de No existe un manual para la debida configuración de los equipos de

E4
configuración computo
E
Errores de No cuentan con una política de mantenimiento

mantenimiento /
programas
(hardware)
No existen las suficientes cámaras de seguridad en la oficina de

Proceso de Gestión TIC
Debido a la gran cantidad de equipos de computo que están

intencionados
Difusión de software
A6 destinados para los usuarios y la falta de asesoría puede causar
Ataques
dañino
daños
Suplantación de la No se han implementado normativas para el uso de contraseñas

A11
identidad del usuario fuertes para el acceso a los servicios
Manipulación de la No se ha tomado medidas o políticas de seguridad que asesore a los
A3
configuración usuarios de la manipulación de las aplicaciones
Tabla 8. Vulnerabilidades Computadores Portátiles
Activo Computadores Portátiles


N1 Fuego
Desastres naturales
Los computadores portátiles se encuentra ubicados sin ninguna

N2 Daños por agua
precaución

N* Desastres naturales

I6
eléctrico
Condiciones No cuentan con aire acondicionado en la oficina de Proceso de

inadecuadas de Gestión TIC

I7
temperatura o
humedad

I* Desastres industriales
Errores del los No existe un manual para el uso de las diferentes aplicaciones
E1
usuarios

E2
Errores de No existe un manual para la debida configuración de los equipos de

E4
configuración computo
E

mantenimiento /
programas
(hardware)
No existen las suficientes cámaras de seguridad en la oficina de

Debido a la gran cantidad de equipos de computo que están

intencionados
A6 destinados para los usuarios y la falta de asesoría puede causar
Ataques
dañino
daños
Suplantación de la No se han implementado normativas para el uso de contraseñas

A11
identidad del usuario fuertes para el acceso a los servicios
Manipulación de la No se ha tomado medidas o políticas de seguridad que asesore a los
A3
configuración usuarios de la manipulación de las aplicaciones
Tabla 9. Vulnerabilidades Impresoras
Activo Impresoras
N1 Fuego Falta de protección contra fuego

Desastres
naturales
N2 Daños por agua Falta de protección física adecuada
Desastres Condiciones de los locales donde los recursos son fácilmente afectados por
N*
naturales desastres
I1 Fuego No poseen extintor en al oficina de Proceso de Gestión TIC

I2 Daños por agua Falta de protección física adecuada

Desastres
I* No existen planos, esquemas, avisos que indiquen que hay una fuente de
industriales
energía y señales de estas mismas.
Avería de origen Mal ubicación de las impresoras

I5
físico o lógico
Errores de los Falta de conocimiento para el uso de la aplicación

E1
usuarios
Errores de Falta de control

E4
configuración
E
Perdida de Falta de protección física

E25
equipos
No se ha tomado medidas o políticas de seguridad que asesore a los

intencionados
usuarios de la manipulación de las aplicaciones

Manipulación de
A4
Ataques
la configuración
Tabla 10. Vulnerabilidades Escáner
Activo Escáner
Tipo ID Amenaza Exposición /Vulnerabilidad
N1 Fuego Falta de protección contra fuego

Desastres
naturales
N2 Daños por agua Falta de protección física adecuada
Desastres Condiciones locales donde los recursos son fácilmente afectados por
N*
naturales desastres
I1 Fuego No poseen extintor en al oficina de Proceso de Gestión TIC

I2 Daños por agua Falta de protección física adecuada

Desastres
I* No existen planos, esquemas, avisos que indiquen que hay una fuente de
industriales
energía y señales de estas mismas.
Avería de origen Mala ubicación del escáner

I5
físico o lógico

E1
usuarios

E4
configuración
E

E25
equipos
Manipulación de No se ha tomado medidas o políticas de seguridad que asesore a los

A4
la configuración usuarios de la manipulación de las aplicaciones
intencionados
Falta de protección física
A25 Robo
Ataques
ESTIMACIÓN DEL IMPACTO
Mediante el uso de tablas de doble entrada, en donde:
Impacto = Valor del activo x Degradación
El objetivo es conocer el alcance del daño producido en el Proceso de Gestión

TIC de la Gobernación de Nariño derivado de la materialización de las
amenazas sobre los activos de información, mediante el uso de tablas de doble
entrada para la obtención de resultados. A partir de los datos obtenidos en las
fases anteriores, se procede a estimar el impacto.
El primer dato requerido es el “Nivel del activo” valorado cuantitativa y/o

cualitativamente:
Tabla 11. Valor del activo

CLASIFICACION INFORMACION VALORACION
TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Confidencialidad Integridad Disponibilidad Nivel Valor
Servidor
Muy
PGT-02 Dell 1 HW Confidencial Sensible Muy Alta 5
Alto
PowerEdge
T430
El segundo dato necesario para la valoración del impacto es la “Degradación”,

el cual nos indica que tan perjudicado resulta el valor del activo de información
(1%, 50%, 100%), como resultado de la materialización de las amenazas:
 90% a 100%: Degradación muy considerable del activo

 25% a 89%: Degradación medianamente considerable del activo
 1% a 24%: Degradación poco considerable del activo
Para el caso de Servidor Dell PowerEdge T430 con nivel Muy Alto y un
porcentaje estimado de degradación de 90% - 100%, puesto que al ser de tipo
hardware, las principales amenazas que recaen sobre esta clase de activos
son desastres naturales, desastres industriales y robo; que lo afectarían
considerablemente o afectarían a Proceso de Gestión TIC considerablemente.
Al realizar el producto de ambos datos en la tabla X, el valor del impacto

obtenido es 8 equivalente a Desastroso, lo que quiere decir que en caso de
materialización de amenaza(s), impacta fuertemente en la operatividad de los
procesos en los que participa este activo de información
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Desastroso (8): Impacta fuertemente en la operatividad de los procesos.
Mayor (5): Impacta en la operatividad de los procesos.
Moderado (3): Impacta en la operatividad del macro proceso.
Menor (2): Impacta en la operatividad del proceso.
Insignificante (1): Impacta levemente en la operatividad del proceso

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Soporte
PGT-01 1 P Uso Interno Normal Muy Alta Alto 4
Técnico
Para el caso de Soporte Técnico con nivel Alto y un porcentaje estimado de

degradación de 25% a 89%, puesto que al ser de tipo Personal, las principales
amenazas que recaen sobre esta clase de activos son fugas de información,
extorción, ingeniería social; que lo afectarían considerablemente o afectarían a
Proceso de Gestión TIC considerablemente.

obtenido es 3 equivalente a Moderado, lo que quiere decir que en caso de
materialización de amenaza(s), impacta Moderadamente en la operatividad del
macro proceso en los que participa este activo de información
1% 50% 100%
Muy Alto 3 5 8
Valor del
Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Código
fuente Portal
Muy
PGT-03 Web de la D Confidencial Sensible Muy Alta 5
Gobernación Alto
de Nariño,
Portales.
Para el caso de Código fuente Portal Web de la Gobernación de Nariño,

Portales con nivel Muy Alto y un porcentaje estimado de degradación de 90% -
100%, puesto que al ser de tipo Datos/Información, las principales amenazas
que recaen sobre esta clase de activos son errores y fallas no intencionadas,
ataques intencionados, fugas de información; que lo afectarían

1% 50% 100%
Muy Alto 3 5 8
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Portal Web
de la
PGT-04 1 SI Uso Público Sensible Muy Alta Alto 4
Gobernación
de Nariño
Para el caso de Portal Web de la Gobernación de Nariño con nivel Alto y un

porcentaje estimado de degradación de 25% a 89%, puesto que al ser de
Sistema de Información, las principales amenazas que recaen sobre esta clase
de activos son fugas de información, extorción, ingeniería social; que lo
afectarían considerablemente o afectarían a Proceso de Gestión TIC
considerablemente.

materialización de amenaza(s), el impacto es moderado en la en la
operatividad del macro proceso en los que participa este activo de información
1% 50% 100%
Muy Alto 3 5 8
Valor del
Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Servidor
PGT-05 Vacunas- 1 HW Confidencial Sensible Alta Muy Alto 5
Proliant ML
110
Para el caso de Servidor Vacunas-Proliant ML 110 con nivel Muy Alto y un

Hardware, las principales amenazas que recaen sobre esta clase de activos

1% 50% 100%
Muy Alto 3 5 8
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Desastroso (8): Impacta fuertemente en la operatividad de los procesos

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Servidor
Muy
PGT-06 Mail - Dell 1 HW Confidencial Sensible Alta 5
PowerEdge Alto
R810
Para el caso de Servidor Mail - Dell PowerEdge R810 con nivel Muy Alto y un
Hardware, las principales amenazas que recaen sobre esta clase de activos

1% 50% 100%
Muy Alto 3 5 8
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Correo Muy
PGT-07 Electrónico S Uso Interno Sensible Alta 5
Alto
institucional
Para el caso de Correo Electrónico institucional con nivel Muy Alto y un

Servicios, las principales amenazas que recaen sobre esta clase de activos
desastres industriales, errores y fallos no intencionados, ataques
intencionados, fugas de información; que lo afectarían considerablemente o
afectarían a Proceso de Gestión TIC considerablemente.

1% 50% 100%
Muy Alto 3 5 8
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Base de
datos Correo Muy
PGT-08 D Confidencial Sensible Alta 5
Electrónico Alto
Institucional
Para el caso de Base de datos Correo Electrónico Institucional con nivel Muy
Alto y un porcentaje estimado de degradación de 90% - 100%, puesto que al
ser de tipo Datos/Información, ataques intencionados, errores fallos no
intencionados, fugas de información; que lo afectarían considerablemente o
afectarían a Proceso de Gestión TIC considerablemente.

1% 50% 100%
Muy Alto 3 5 8
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Servidor
Conferencias-
Muy
PGT-09 Dell 1 HW Confidencial Sensible Alta 5
Alto
PowerEdge
2850
Para el caso de Servidor Conferencias-Dell PowerEdge 2850 con nivel Muy

Alto y un porcentaje estimado de degradación de 90% - 100%, puesto que al
ser de tipo Hardware, las principales amenazas que recaen sobre esta clase de
activos son desastres naturales, desastres industriales y robo; que lo afectarían

1% 50% 100%
Muy Alto 3 5 8
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Servidor
Muy
PGT-10 Encuestas- 1 HW Confidencial Sensible Alta 5
HP ProLian Alto
tML 110
Para el caso de Servidor Encuestas-HP ProLian tML 110 con nivel Muy Alto y
un porcentaje estimado de degradación de 90% - 100%, puesto que al ser de
tipo Hardware, las principales amenazas que recaen sobre esta clase de
activos son desastres naturales, desastres industriales y robo; que lo afectarían

1% 50% 100%
Muy Alto 3 5 8
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

VALORACION
CLASIFICACION INFORMACION
TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Computadores
PGT-13 10 HW Uso Interno Sensible Alta Alto 4
de Escritorio
Para el caso de Computadores de Escritorio con nivel Alto y un porcentaje

estimado de degradación de 25% a 89%, puesto que al ser de tipo Hardware,
las principales amenazas que recaen sobre esta clase de activos son desastres
naturales, desastres de origen industrial, errores fallos no intencionados, robo;
que lo afectarían considerablemente o afectarían a Proceso de Gestión TIC
considerablemente.

materialización de amenaza(s), el impacto es moderado impacta levemente en
la operatividad del proceso en los que participa este activo de información
1% 50% 100%
Muy Alto 3 5 8
Valor del
Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

VALORACION
CLASIFICACION INFORMACION
TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Computadores
PGT-14 5 HW Uso Interno Sensible Alta Alto 4
Portátiles
Para el caso de Computadores Portátiles con nivel Alto y un porcentaje

estimado de degradación de 25% a 89%, puesto que al ser de tipo Hardware,
las principales amenazas que recaen sobre esta clase de activos son desastres
naturales, desastres de origen industrial, errores fallos no intencionados, robo;
que lo afectarían considerablemente o afectarían a Proceso de Gestión TIC
considerablemente.

materialización de amenaza(s), el impacto es moderado impacta levemente en
la operatividad del proceso en los que participa este activo de información
1% 50% 100%
Muy Alto 3 5 8
Valor del
Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
.
TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
PGT-15 Impresoras 4 HW Uso Interno Normal Media Baja Medio 3
Para el caso de Impresoras con nivel Medio y un porcentaje estimado de

degradación de 1% a 24%, puesto que al ser de tipo Hardware, las principales
amenazas que recaen sobre esta clase de activos son desastres naturales,
desastres de origen industrial, errores fallos no intencionados, robo; que lo
considerablemente.

obtenido es 1 equivalente a Insignificante, lo que quiere decir que en caso de
materialización de amenaza(s), impacta levemente en la operatividad de los
1% 50% 100%
Muy Alto 3 5 8
Alto 2 3 5
Valor del
activo
Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1

TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
PGT-16 Escáner 2 HW Uso Interno Normal Media Baja Bajo 2
Para el caso de Escáner con nivel Bajo y un porcentaje estimado de

degradación de 1% a 24%: puesto que al ser de tipo Hardware, las principales
amenazas que recaen sobre esta clase de activos son desastres naturales,
desastres de origen industrial, errores fallos no intencionados, robo; que lo
considerablemente.

obtenido es 1 equivalente a Menor, lo que quiere decir que en caso de
materialización de amenaza(s), impacta levemente en la operatividad de los
procesos en los que participa este activo de información.
1% 50% 100%
Muy Alto 3 5 8
Alto 2 3 5
Valor del Medio 1 2 3
activo
Bajo 1 1 2
Muy Bajo 1 1 1

ESTIMACIÓN DE LA PROBABILIDAD
El objetivo consiste en estimar la frecuencia de materialización de una

amenaza en función de la cantidad de veces que esta pueda ocurrir (a mayor
número de vulnerabilidades, mayor probabilidad de ocurrencia de las
amenazas) y se utilizó la siguiente escala:
1 Raro Puede ocurrir una vez cada 2 años.

2 Muy baja Al año.
3 Baja En 6 meses.
4 Media Al mes.
5 Alta A la semana.
En la Tabla 25, se visualiza el impacto y la frecuencia de materialización cada

una de las amenazas sobre el Servidor Dell PowerEdge T430:
Tabla 25. Impacto y frecuencia Servidor Dell PowerEdge T430
Activo PGT-02 Servidor Dell PowerEdge T430

Degradación 100%
Impacto 8 Desastroso
Tipo activo Hardware / equipos
Frecuencia
Tipo ID Amenaza Exposición / Vulnerabilidad (F)
Desastres naturales

N1 Fuego Muy baja 2
posee un solo extintor en la sala de servidores
N2 Daños por agua Raro 1
El Proceso de Gestión TIC se encuentra en zona media

N* Desastres naturales de riesgo de desastre natural de origen de inundación Muy baja 2
debido a su mala ubicación en el primer piso

Se posee un solo extintor de (Clase C) recomendados
I1 Fuego Muy baja 2
para incendios en lugares donde se encuentren equipos
eléctricos.
I2 Daños por agua Raro 1

humedad.
No existen planos, esquemas, avisos que indiquen que
hay una fuente de energía y señales de estas mismas.
El sistema eléctrico de la unidad no cuenta con

I* Desastres industriales Media 4
protección contra electrocución por contacto directo o

indirecto en las áreas de trabajo.
No cuentan con un sistema de protección contra rayos.
No están por separado los circuitos de la red regulada y

normal.
En la sala de servidores no se realiza una limpieza

I3 Contaminación mecánica periódica en cuanto a contaminación por polvo y/o Baja 3
suciedad.
Contaminación
I4 Los racks no cuentan con aisladores. Muy baja 2
electromagnética
En la sala de servidores no se realiza una limpieza

Avería de origen físico o
I5 periódica en cuanto a contaminación por polvo y/o Baja 3
lógico
suciedad.
Funcionamiento no confiable de las UPS.

Corte del suministro
I6 No se utilizan paneles de obturación para el cableado. Muy baja 2
eléctrico
No existen planos, esquemas, avisos que indiquen que
hay una fuente de energía y señales de estas mismas.
El sistema eléctrico de la unidad no cuenta con
protección contra electrocución por contacto directo o
indirecto en las áreas de trabajo. No cuentan
con un sistema de protección contra rayos.
No están por separado los circuitos de la red regulada y

normal.
Condiciones inadecuadas No existe sistema de alarma de control de temperatura y

I7 Baja 3
de temperatura o humedad humedad.
Emanaciones
I11 Los racks no cuentan con aisladores. Baja 3
electromagnéticas
E2 Errores del administrador Falta de conocimiento del administrador. Muy baja 2
Errores de No existe hoja de vida del servidor AKANE.

E23 mantenimiento/actualización Baja 3
de equipos Falta de conocimiento del administrador.
E

E24 Baja 3
agotamiento de recursos
No existen la suficiente cámaras de seguridad en la

E25 Perdida de equipos Muy baja 2
organización
Como medida de control de acceso a la sala de

servidores en la puerta no se cuenta con un control
biométrico, sino con una cerradura de llave la cual no
garantiza un control de quienes tienen los privilegios de
entrar al sitio, ni manera de identificarlos.
Abuso de privilegios de
A6 Para ingresar a la sala de servidores primeramente se Baja 3
acceso
debe pasar por la oficina del Proceso de Gestión TIC, y
luego por la oficina de Soporte Técnico; cuyos controles
de ingreso son únicamente puertas de madera con
ventanas de vidrio, donde cada puerta cuenta con una
sola chapa de seguridad y la llave principal la manejan
todos los empleados de la oficina.
A7 Uso no previsto No cuenta con una hoja de vida Baja 3

Cualquier persona puede entrar a la sala de servidores

A11 Acceso no autorizado Baja 3
no existe un control
A23 Manipulación de equipos Falta de controles para el ingreso a la sala de servidores Baja 3

A24 Denegación de servicio Baja 3
Como medida de control de acceso a la sala de

servidores en la puerta no se cuenta con un control
biométrico, sino con una cerradura de llave la cual no
garantiza un control de quienes tienen los privilegios de
A25 Robo Para ingresar a la sala de servidores primeramente se Muy baja 2

debe pasar por la oficina del Proceso de Gestión TIC, y
luego por la oficina de Soporte Técnico; cuyos controles
de ingreso son únicamente puertas de madera con
ventanas de vidrio, donde cada puerta cuenta con una
sola chapa de seguridad y la llave principal la manejan
todos los empleados de la oficina.
Tabla 26. Impacto y frecuencia Portal Web de la Gobernación de Nariño
Activo PGT-04 Portal Web Gobernación de Nariño
Degradación 50%
Impacto 3 Moderado
Tipo ID Amenaza Exposición / Vulnerabilidad Frecuencia (F)
Un error del administrador puede conllevar a la

E2 Errores del administrador disponibilidad de las aplicaciones los servicios Media 4
que ellos soportan se vera seriamente afectado
Hay poca capacitación para los empleados que

E8 Difusión de software dañino Baja 3
manejan software de la organización
Alteración accidental de la No existe mediadas de control

E15 Baja 3
información
o No existe un protocolo para la limpieza del sitio

E18 Destrucción de información Baja o 3
web y un procedimiento de mantenimiento
No existe medidas de control esta información

E19 Fugas de información puede ser modificada o usada para beneficios Baja 3
propios
No existe un procedimiento para llevar a cabo las

Vulnerabilidades de los
E20 pruebas de los programas antes de ponerlos en Media 4
programas
funcionamiento
Errores de No existe un protocolo para la actualización de

E21 mantenimiento/actualización las diferentes aplicaciones Baja 3
de programas
No se han implementado normativas para el uso

Suplantación de la identidad
A5 de contraseñas fuertes para el acceso a los Baja 3
del usuario
servicios
No existe un procedimiento para la actualización

A8 Difusión de software dañino Baja 3

de software
Falta de controles, esta falla permite desplegar en

el navegador datos no confiables proporcionados
por usuarios, generalmente inyectando código
A9 javascript malicioso. Estos datos pueden Baja 3
mensajes
secuestrar tu sitio web, permitiendo que tus
usuarios sean re direccionados a sitios maliciosos
o descarguen malware.
Falta de controles, afectara directamente la

Modificación deliberada de la dimensión de integridad en un nivel mu alto,
A15 Media 4
información porque de presentarse ataques de modificación
de información se va a ver alterados los datos
almacenados, causando un caos informático y
arrojando datos erróneos a la hora de las
consultas transacciones en cada uno de los
procesos normalizados dentro de las labores de
la organización
No existe un control para la información

A18 Destrucción de información importante, seria mu grave destruir información Media 4
importante de la organización
Tabla 27. Impacto y frecuencia Soporte Técnico
Activo PGT-01 Soporte Técnico

Degradación 100%
Falta de controles, al haber fuga de información esta

Fugas de
E19 puede ser modificada o usada para beneficios propios Baja 3
información
llevando a perdida de confianza de la organización
E
Falta de controles, al haber indisponibilidad del personal

Indisponibilidad
E28 pueden dejar ausentes sus puestos de trabajo dejando Muy baja 2
del personal
así al no desarrollo de sus labores
Indisponibilidad Falta de controles, ejecutar información importante para la

A28 Muy baja 2
del personal organización si el personal esta indispuesto
Mediante amenazas pueden sacar información importante

A29 Extorsión Baja 3
para la organización
A
Falta de concientización del personal en las mejores

A30 Ingeniería social practicas de seguridad informática. Llevando a un Baja 3
afectación alta en la dimensión de confidencialidad
Tabla 28. Impacto y frecuencia Base de Datos Correo Electrónico
Institucional
Activo PGT-08 Base de datos Correo Electrónico Institucional

Degradación 100%
Los usuarios no cuentan con capacitación para el

E1 Errores de los usuarios Media 4
manejo del activo
Algunos equipos del Proceso de Gestión TIC no

Errores del
E2 están actualizados por software de protección y Media 4
administrador
reparación de virus
Errores de No se realizan correctamente los mantenimientos

E3 Baja 3
monitorización
Errores de No se tiene un Anti spam para controlar el ingreso de

E4 Baja 3
configuración correos no deseados propagación de virus
Se obtiene fácil acceso a la BIOS, lo que ocasiona

Alteración accidental
E15 que otras personas puedan modificar la Muy baja 2
de la información
configuración
Destrucción de la No existe un protocolo para la clasificación de la

E18 Media 4
información información
E19 Fugas de información Falta de interés por aplicar las políticas de seguridad Muy baja 2
Manipulación de los Falta de controles

A3 Baja 3

A4 Muy baja 2
configuración [D.log]
Suplantación de la No existe una implementación de procesos rigurosos

A5 Muy baja 2
identidad del usuario para actualizar las contraseñas
Abuso de privilegios de No existe mecanismos de control

A6 Baja 3
acceso
A11 Acceso no autorizado Las contraseñas son muy pocas inseguras Muy baja 2
Modificación deliberada No realizan copias de seguridad periódicamente

A15 Baja 3
de la información
Divulgación de No hay mayor seguridad para la información

A19 Baja 3
información
Tabla 29. Impacto y frecuencia Código fuente Portal Web de la
Gobernación de Nariño, Portales.
Activo PGT-03 Código fuente Portal Web de la Gobernación de

Nariño, Portales.
Degradación 100%

De origen
industrial
I8 Fuego Muy baja 2
La actualización del antivirus no se actualiza

E2 Errores del administrador Media 4
diariamente
No cuenta con una protección segura a los

E4 Errores de configuración Media 4
E
ataques al sitio web
E19 Fugas de información Los datos no son correctamente protegidos Media 4
Manipulación de los registros Suplantación de contenido

A3 Muy baja 2
de actividad
intencionados
Ataques
A7 Uso no previsto Autorización insuficiente Baja 3
No cuenta con la suficiente protección a los

A24 Denegación de servicio Media 4
Ataques maliciosos
A26 Ataque destructivo No se cuenta con la suficiente protección Media 4

Tabla 30. Impacto y frecuencia Correo Electrónico Institucional
Activo PGT-07 Correo Electrónico institucional

Degradación 100%
Corte del suministro No existe una fuente alterna de corriente eléctrica

I6 Muy baja 2
eléctrico

I8 Baja 3
comunicaciones
Errores del No existe un análisis de seguridad para todos los

E2 Media 4
administrador correos spam que llegan
No existe un protocolo adecuado ya que Mediante el

uso de scripts en el código HTML, intrusos pueden leer
E19 Fugas de información el correo electrónico de terceros, enviar correo Baja 3
usurpando identidades e incluso hacerse del control de
E
un PC intervenido.
Errores de No se mantienen actualizados los parches de

mantenimiento / seguridad.
E21 Media 4
actualización de
programas (Software)
No existe un protocolo de seguridad ya que Mediante

el uso de scripts en el código HTML, intrusos pueden

Suplantación de la
A5 leer el correo electrónico de terceros, enviar correo Baja 3
identidad del usuario
usurpando identidades e incluso hacerse del control de
un PC intervenido.
No existe un protocolo para acceder a al información
A24 Denegación de servicio Muy baja 2

Tabla 31. Impacto y frecuencia Computadores de Escritorio
Activo PGT-13 Computadores de Escritorio

Degradación 50%
Impacto 3 Moderado

Desastres naturales
N1 Fuego Baja 3
Los computadores de escritorio se encuentra ubicados sin

N2 Daños por agua Bajo 3
ninguna precaución
El Proceso de Gestión TIC se encuentra en zona media de

N* Desastres naturales riesgo de desastre natural de origen de inundación debido Baja 3
a su mala ubicación en el primer piso

I6 Baja 3
eléctrico
Condiciones No cuentan con aire acondicionado en la oficina de

inadecuadas de Proceso de Gestión TIC
I7 Baja 3
temperatura o
humedad

Desastres
I* humedad. Baja 3
industriales
No existen planos, esquemas, avisos que indiquen que hay
una fuente de energía y señales de estas mismas.
Errores de los No existe un manual para el uso de las diferentes

E1 Baja 3
usuarios aplicaciones

E2 Baja 3
Errores de No existe un manual para la debida configuración de los

E4 Baja 3
configuración equipos de computo
E

mantenimiento /
E21 actualización de Baja 3
programas
(hardware)
No existen las suficientes cámaras de seguridad en la

E25 Perdida de equipos Baja 3
oficina de Proceso de Gestión TIC
Ataques
Debido a la gran cantidad de equipos de computo que

intencio
nados
A6 están destinados para los usuarios y la falta de asesoría Baja 3
dañino
puede causar daños
Suplantación de la No se han implementado normativas para el uso de
A11 Baja 3
identidad del usuario contraseñas fuertes para el acceso a los servicios
No se ha tomado medidas o políticas de seguridad que

Manipulación de la
A3 asesore a los usuarios de la manipulación de las Baja 3
configuración
aplicaciones
Tabla 32. Impacto y frecuencia Computadores Portátiles
Activo PGT-14 Computadores Portátiles

Degradación 50%
Impacto 3 Moderado

N1 Fuego Muy baja 2
Desastres naturales
Los computadores portátiles se encuentra ubicados sin

N2 Daños por agua Raro 1
ninguna precaución

N* Desastres naturales humedad. Muy baja 2

I6 Muy baja 2
eléctrico
Condiciones No cuentan con aire acondicionado en la oficina de

inadecuadas de Proceso de Gestión TIC
I7 Baja 3
temperatura o
humedad

Desastres
I* humedad. Baja 3
industriales
Errores de los No existe un manual para el uso de las diferentes

E1 Baja 3
usuarios aplicaciones

E2 Baja 3
Errores de No existe un manual para la debida configuración de los

E4 Muy baja 2
configuración equipos de computo
E

mantenimiento /
E21 actualización de Baja 3
programas
(hardware)
No existen las suficientes cámaras de seguridad en la

E25 Perdida de equipos Muy baja 2
oficina de Proceso de Gestión TIC
ncio
que
inte
Debido a la gran cantidad de equipos de computo que

nad
A6 Muy baja 2
Ata
os
s
están destinados para los usuarios y la falta de asesoría

dañino puede causar daños
Suplantación de la No se han implementado normativas para el uso de

A11 Baja 3
identidad del usuario contraseñas fuertes para el acceso a los servicios

Manipulación de la
A3 asesore a los usuarios de la manipulación de las Baja 3
configuración
aplicaciones
Tabla 33. Impacto y frecuencia Impresoras
Activo PGT-15 Impresoras

Degradación 1%
Impacto 1 Insignificante
N1 Fuego Falta de protección contra fuego Muy baja 2

Desastres
naturales
N2 Daños por agua Falta de protección física adecuada Raro 1
Desastres Condiciones de los locales donde los recursos son fácilmente

N* Muy baja 2
naturales afectados por desastres
I1 Fuego No poseen extintor en al oficina de Proceso de Gestión TIC Muy baja 2

I2 Daños por agua Falta de protección física adecuada Raro 1

Desastres humedad.
I* Muy baja 2
industriales No existen planos, esquemas, avisos que indiquen que hay
Avería de origen Mal ubicación de las impresoras

I5 Muy baja 2
físico o lógico

E1 Baja 3
usuarios

E4 Baja 3
configuración
E

E25 Baja 3
equipos

intencionados
asesore a los usuarios de la manipulación de las aplicaciones

Manipulación de
A4 Baja 3
Ataques
la configuración
Tabla 34. Impacto y frecuencia Escáner
Activo PGT-16 Escáner

Degradación 1%
Tipo ID Amenaza Exposición /Vulnerabilidad Frecuencia (F)
N1 Fuego Falta de protección contra fuego Muy baja 2

Desastres
naturales
N2 Daños por agua Falta de protección física adecuada Raro 1
Desastres Condiciones locales donde los recursos son fácilmente

N* Muy baja 2
naturales afectados por desastres
I1 Fuego No poseen extintor en al oficina de Proceso de Gestión TIC Muy baja 2

I2 Daños por agua Falta de protección física adecuada Raro 1

Desastres humedad.
I* Muy baja 2
industriales No existen planos, esquemas, avisos que indiquen que hay
Avería de origen Mala ubicación del escáner

I5 Muy baja 2
físico o lógico

E1 Baja 3
usuarios

E4 Baja 3
configuración
E

E25 Baja 3
equipos
Manipulación de No se ha tomado medidas o políticas de seguridad que

A4 Baja 3
la configuración asesore a los usuarios de la manipulación de las aplicaciones
intencionados
A25 Robo Muy baja 2

Ataques
ESTIMACIÓN DEL RIESGO
Este valor se obtiene como resultado de la siguiente fórmula:
Riesgo (R)= Probabilidad (F) x Impacto
Tabla 35. Estimación del Riesgo Servidor Dell PowerEdge T430
Activo PGT-02 Servidor Dell PowerEdge T430

Degradación 100%
Tipo activo Hardware / equipos
Riesgo Actual
Exposición /
Tipo ID Amenaza 3.91 Intolerable
Vulnerabilidad
Frecuencia R NR
(F)
No existe sistema de alarma
contra incendios. Muy
N1 Fuego 2 16 4 Extremo
posee un solo extintor en la baja
Desastres naturales
sala de servidores
N2 Daños por agua Raro 1 8 3 Intolerable
El Proceso de Gestión TIC se

encuentra en zona media de
riesgo de desastre natural de Muy
N* Desastres naturales 2 16 4 Extremo
origen de inundación debido baja
a su mala ubicación en el
primer piso

contra incendios.
Se posee un solo extintor de
Muy
I1 Fuego (Clase C) recomendados 2 16 4 Extremo
baja
para incendios en lugares
donde se encuentren equipos
eléctricos.
I2 Daños por agua Raro 1 8 3 Intolerable
No se utilizan paneles de
obturación para el cableado.
de control de temperatura y
humedad.
No existen planos,
I* Desastres industriales esquemas, avisos que Media 4 32 4 Extremo
indiquen que hay una fuente
de energía y señales de estas
mismas.
El sistema eléctrico de la
unidad no cuenta con
protección contra
electrocución por contacto
directo o indirecto en las
áreas de trabajo.
No cuentan con un sistema

de protección contra rayos.
No están por separado los

circuitos de la red regulada y
normal.
En la sala de servidores no
se realiza una limpieza
I3 Contaminación mecánica periódica en cuanto a Baja 3 24 4 Extremo
contaminación por polvo y/o
suciedad.
Contaminación Los racks no cuentan con Muy

I4 2 16 4 Extremo
electromagnética aisladores. baja
Avería de origen físico o
I5 periódica en cuanto a Baja 3 24 4 Extremo
lógico
suciedad.
Funcionamiento no confiable
de las UPS.
No existen planos,
esquemas, avisos que
indiquen que hay una fuente
de energía y señales de estas
mismas.
Corte del suministro Muy
I6 unidad no cuenta con 2 16 4 Extremo
eléctrico baja
protección contra
áreas de trabajo.

normal.

Condiciones inadecuadas de
I7 de control de temperatura y Baja 3 24 4 Extremo
temperatura o humedad
humedad.
Emanaciones Los racks no cuentan con

I11 Baja 3 24 4 Extremo
electromagnéticas aisladores.
Falta de conocimiento del Muy

E2 Errores del administrador 2 16 4 Extremo
administrador. baja
No existe hoja de vida del

Errores de servidor AKANE.
E23 mantenimiento/actualización Baja 3 24 4 Extremo
E
de equipos Falta de conocimiento del

administrador.
E24 Falta de recursos necesarios. Baja 3 24 4 Extremo

agotamiento de recursos Falta de planes de
continuidad del negocio
No existen la suficiente
Muy
E25 Perdida de equipos cámaras de seguridad en la 2 16 4 Extremo
baja
organización
Como medida de control de

acceso a la sala de
servidores en la puerta no se
cuenta con un control
biométrico, sino con una
cerradura de llave la cual no
garantiza un control de
quienes tienen los privilegios
de entrar al sitio, ni manera
de identificarlos.
Para ingresar a la sala de

Abuso de privilegios de
A6 servidores primeramente se Baja 3 24 4 Extremo
acceso
debe pasar por la oficina del
Proceso de Gestión TIC, y
luego por la oficina de
Soporte Técnico; cuyos
controles de ingreso son
únicamente puertas de
madera con ventanas de
vidrio, donde cada puerta
cuenta con una sola chapa de
seguridad y la llave principal
la manejan todos los
empleados de la oficina.
No cuenta con una hoja de

A7 Uso no previsto Baja 3 24 4 Extremo
vida
Cualquier persona puede

A11 Acceso no autorizado entrar a la sala de servidores Baja 3 24 4 Extremo
Falta de controles para el

A23 Manipulación de equipos ingreso a la sala de Baja 3 24 4 Extremo
servidores

A24 Denegación de servicio Baja 3 24 4 Extremo
Falta de planes de

acceso a la sala de
quienes tienen los privilegios Muy
A25 Robo 2 16 4 Extremo
de entrar al sitio, ni manera baja
de identificarlos.

servidores primeramente se
debe pasar por la oficina del
cuenta con una sola chapa de
seguridad y la llave principal
la manejan todos los
empleados de la oficina.
El valor NR (Nivel de Riesgo) obedece al Mapa de Riesgos:
Riesgo = Probabilidad * Impacto

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Por último, con ayuda de la función promedio se obtiene el Nivel de Riesgo

total del activo de información, que para el Servidor Dell PowerEdge T430 es
de 3.91, es decir, intolerable y por lo tanto se requiere de atención inmediata y
monitoreo permanente.
Tabla 36. Estimación del Riesgo Portal Web de la Gobernación de Nariño
Activo PGT-04 Portal Web Gobernación de
Nariño
Degradación 50%
Impacto 3 Moderado
Riesgo Actual
Exposición / 3 Intolerable
Tipo ID Amenaza
Vulnerabilidad
Frecuencia (F) R NR
Un error del
administrador puede
conllevar a la
disponibilidad de las
E2 Errores del administrador Media 4 12 3 Intolerable
aplicaciones los
servicios que ellos
soportan se vera
seriamente afectado
Hay poca
capacitación para los
E8 Difusión de software dañino empleados que Baja 3 9 3 Intolerable
manejan software de
la organización
Alteración accidental de la No existe mediadas

E15 Baja 3 9 3 Intolerable
información de control
o No existe un
protocolo para la
E18 Destrucción de información limpieza del sitio webo Baja 3 9 3 Intolerable
y un procedimiento
de mantenimiento
No existe medidas
de control esta
información puede
E19 Fugas de información Baja 3 9 3 Intolerable
ser modificada o
usada para
beneficios propios
No existe un
procedimiento para
llevar a cabo las
Vulnerabilidades de los
E20 pruebas de los Media 4 12 3 Intolerable
programas
programas antes de
ponerlos en
funcionamiento
E21 Errores de No existe un Baja 3 9 3 Intolerable

mantenimiento/actualización protocolo para la
de programas actualización de las
diferentes
aplicaciones
No se han
implementado
normativas para el
Suplantación de la identidad
A5 uso de contraseñas Baja 3 9 3 Intolerable
del usuario
fuertes para el
acceso a los
servicios
No existe un
procedimiento para
A8 Difusión de software dañino Baja 3 9 3 Intolerable
la actualización de
software
Falta de controles,
esta falla permite
desplegar en el
navegador datos no
confiables
proporcionados por
usuarios,
generalmente
inyectando código
A9 javascript malicioso. Baja 3 9 3 Intolerable
mensajes
Estos datos pueden
secuestrar tu sitio
web, permitiendo
que tus usuarios

sean re
direccionados a
sitios maliciosos o
descarguen
malware.
Falta de controles,
afectara
directamente la
dimensión de
integridad en un
nivel mu alto, porque
de presentarse
ataques de
modificación de
información se va a
ver alterados los
Modificación deliberada de
A15 datos almacenados, Media 4 12 3 Intolerable
la información
causando un caos
informático y
arrojando datos
erróneos a la hora
de las consultas
transacciones en
cada uno de los
procesos
normalizados dentro
de las labores de la
organización
No existe un control
para la información
A18 Destrucción de información Media 4 12 3 Intolerable
importante, seria mu
grave destruir
información
importante de la
organización

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable

total del activo de información, que para el Portal Web de la Gobernación de
Nariño es de 3, es decir, intolerable y por lo tanto se requiere de atención
inmediata y monitoreo permanente.
Tabla 37. Estimación del Riesgo Soporte Técnico
Activo PGT-01 Soporte Técnico
Degradación 50%
Impacto 3 Moderado
Riesgo Actual
Tipo ID Amenaza Exposición / Vulnerabilidad 2.6 Tolerable
Frecuencia
R NR
(F)
Falta de controles, al haber fuga de

información esta puede ser modificada
Fugas de
E19 o usada para beneficios propios llevando Baja 3 9 3 Intolerable
información
a perdida de confianza de la
organización
E
Falta de controles, al haber

indisponibilidad del personal pueden
Indisponibilidad Muy
E28 dejar ausentes sus puestos de trabajo 2 6 2 Tolerable
del personal baja
dejando así al no desarrollo de sus
labores
Falta de controles, ejecutar información

Indisponibilidad Muy
A28 importante para la organización si el 2 6 2 Tolerable
del personal baja
personal esta indispuesto
Mediante amenazas pueden sacar

A29 Extorsión información importante para la Baja 3 9 3 Intolerable
A
organización
Falta de concientización del personal en

las mejores practicas de seguridad
A30 Ingeniería social Baja 3 9 3 Intolerable
informática. Llevando a un afectación
alta en la dimensión de confidencialidad

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable

total del activo de información, que para Soporte Técnico es de 2.6, es decir,
Tolerable y por lo tanto no se requiere de atención inmediata.
Tabla 38. Estimación del Riesgo Base de Datos Correo Electrónico
Institucional
Activo PGT-08 Base de datos Correo Electrónico
Institucional
Degradación 100%
Riesgo Actual
Exposición / 4 Extremo
Tipo ID Amenaza
Vulnerabilidad
Frecuencia
R NR
(F)
Errores de los Los usuarios no cuentan con

E1 Media 4 32 4 Extremo
usuarios capacitación para el manejo del activo
Algunos equipos del Proceso de

Errores del Gestión TIC no están actualizados
administrador por software de protección y
reparación de virus
Errores de No se realizan correctamente los

E3 Baja 3 24 4 Extremo
monitorización mantenimientos
No se tiene un Anti spam para

Errores de
E4 controlar el ingreso de correos no Baja 3 24 4 Extremo
configuración
deseados propagación de virus
Alteración Se obtiene fácil acceso a la BIOS, lo

Muy
E15 accidental de la que ocasiona que otras personas 2 16 4 Extremo
baja
información puedan modificar la configuración
Destrucción de la No existe un protocolo para la

información clasificación de la información
Fugas de Falta de interés por aplicar las Muy

E19 2 16 4 Extremo
información políticas de seguridad baja
Manipulación de Falta de controles

A3 los registros de Baja 3 24 4 Extremo
actividad

Muy
A4 configuración 2 16 4 Extremo
baja
[D.log]
Suplantación de la No existe una implementación de

Muy
A5 identidad del procesos rigurosos para actualizar las 2 16 4 Extremo
baja
usuario contraseñas
Abuso de No existe mecanismos de control

A6 privilegios de Baja 3 24 4 Extremo
acceso
Acceso no Las contraseñas son muy pocas Muy

A11 2 16 4 Extremo
autorizado inseguras baja
A15 Modificación No realizan copias de seguridad Baja 3 24 4 Extremo

deliberada de la
información periódicamente
Divulgación de No hay mayor seguridad para la

A19 Baja 3 24 4 Extremo
información información

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable

total del activo de información, que para la Base de Datos Correo Electrónico
Institucional es de 4, es decir, extremo y por lo tanto se requiere de atención
inmediata y monitoreo permanente.
Tabla 39. Estimación del Riesgo Código fuente Portal Web de la
Activo PGT-03 Código fuente Portal Web de la

Degradación 100%
Riesgo Actual
4 Extremo
Exposición /
Tipo ID Amenaza
Vulnerabilidad
Frecuencia
R NR
(F)
No existe sistema de alarma contra

De origen
industrial
incendios.
I8 Fuego Muy baja 2 16 4 Extremo
Errores del La actualización del antivirus no se

administrador actualiza diariamente
Errores de No cuenta con una protección

configuración segura a los ataques al sitio web
E
Los datos no son correctamente

E19 Fugas de información Media 4 32 4 Extremo
protegidos
Manipulación de los Suplantación de contenido

A3 Muy baja 2 16 4 Extremo
intencionados
A7 Uso no previsto Autorización insuficiente Baja 3 24 4 Extremo

Ataques
No cuenta con la suficiente

A24 Denegación de servicio Media 4 32 4 Extremo
protección a los Ataques maliciosos
No se cuenta con la suficiente

A26 Ataque destructivo Media 4 32 4 Extremo
protección

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable

total del activo de información, que para el Código fuente Portal Web de la
Gobernación de Nariño, Portales es de 4, es decir, extremo y por lo tanto se
requiere de atención inmediata y monitoreo permanente.
Tabla 40. Estimación del Riesgo Correo Electrónico Institucional
Activo PGT-07 Correo Electrónico institucional

Degradación 100%
Riesgo Actual
Tipo ID Amenaza Exposición / Vulnerabilidad 4 Extremo
Frecuencia R NR
(F)
Corte del suministro No existe una fuente alterna de corriente
I6 Muy baja 2 16 4 Extremo
eléctrico eléctrica

I8 Baja 3 24 4 Extremo
comunicaciones
Errores del No existe un análisis de seguridad para

administrador todos los correos spam que llegan
No existe un protocolo adecuado ya que

Mediante el uso de scripts en el código
Fugas de HTML, intrusos pueden leer el correo
información electrónico de terceros, enviar correo
usurpando identidades e incluso hacerse
E
del control de un PC intervenido.
Errores de No se mantienen actualizados los

mantenimiento / parches de seguridad.
E21 actualización de Media 4 32 4 Extremo
programas
(Software)
No existe un protocolo de seguridad ya

que Mediante el uso de scripts en el

Suplantación de la código HTML, intrusos pueden leer el
identidad del usuario correo electrónico de terceros, enviar
correo usurpando identidades e incluso
hacerse del control de un PC intervenido.
No existe un protocolo para acceder a al

Denegación de información
A24 Muy baja 2 16 4 Extremo
servicio

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable

total del activo de información, que para el Correo Electrónico Institucional es
de 4, es decir, extremo y por lo tanto se requiere de atención inmediata y
Tabla 41. Estimación del Riesgo Computadores de Escritorio
Activo PGT-13 Computadores de Escritorio

Degradación 50%
Impacto 3 Moderado
Riesgo Actual
Tipo ID Amenaza Exposición / Vulnerabilidad 3 Intolerable

Frecuencia
R NR
(F)

incendios.
N1 Fuego Baja 3 9 3 Intolerable
No poseen extintor en al oficina de
Desastres naturales
Los computadores de escritorio se

N2 Daños por agua encuentra ubicados sin ninguna Bajo 3 9 3 Intolerable
precaución
El Proceso de Gestión TIC se encuentra

Desastres en zona media de riesgo de desastre
N* Baja 3 9 3 Intolerable
naturales natural de origen de inundación debido a
su mala ubicación en el primer piso
Corte del No existe una fuente de energía alterna

I6 suministro Baja 3 9 3 Intolerable
eléctrico
Condiciones No cuentan con aire acondicionado en la

inadecuadas de oficina de Proceso de Gestión TIC
I7 Baja 3 9 3 Intolerable
temperatura o
humedad
No se utilizan paneles de obturación para

el cableado.
No existe sistema de alarma de control de
Desastres
I* temperatura y humedad. Baja 3 9 3 Intolerable
industriales
No existen planos, esquemas, avisos que
indiquen que hay una fuente de energía y
señales de estas mismas.
Errores de los No existe un manual para el uso de las

usuarios diferentes aplicaciones
Errores del No existe un protocolo para la instalación

administrador de las diferentes aplicaciones
Errores de No existe un manual para la debida

configuración configuración de los equipos de computo
E
Errores de No cuentan con una política de

mantenimiento / mantenimiento
E21 actualización de Baja 3 9 3 Intolerable
programas
(hardware)
No existen las suficientes cámaras de
Perdida de
E25 seguridad en la oficina de Proceso de Baja 3 9 3 Intolerable
equipos
Gestión TIC
Debido a la gran cantidad de equipos de

Difusión de computo que están destinados para los
A6 Baja 3 9 3 Intolerable
software dañino usuarios y la falta de asesoría puede
causar daños
Suplantación de No se han implementado normativas para

A11 la identidad del el uso de contraseñas fuertes para el Baja 3 9 3 Intolerable
usuario acceso a los servicios
No se ha tomado medidas o políticas de

Manipulación de
A3 seguridad que asesore a los usuarios de Baja 3 9 3 Intolerable
la configuración
la manipulación de las aplicaciones

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
total del activo de información, que para los Computadores de Escritorio es de
3, es decir, intolerable y por lo tanto se requiere de atención inmediata y
Tabla 42. Estimación del Riesgo Computadores Portátiles
Activo PGT-14 Computadores Portátiles

Degradación 50%
Impacto 3 Moderado
Riesgo Actual
Tipo ID Amenaza Exposición / Vulnerabilidad 3 Intolerable
Frecuencia R NR
(F)
incendios.
N1 Fuego Baja 3 9 3 Intolerable
Desastres naturales
Los computadores portátiles se

N2 Daños por agua encuentra ubicados sin ninguna Bajo 3 9 3 Intolerable
precaución

el cableado.
No existe sistema de alarma de control
Desastres
N* de temperatura y humedad. Baja 3 9 3 Intolerable
naturales
Corte del No existe una fuente de energía alterna

I6 suministro Baja 3 9 3 Intolerable
eléctrico
Condiciones No cuentan con aire acondicionado en la

inadecuadas de oficina de Proceso de Gestión TIC
I7 Baja 3 9 3 Intolerable
temperatura o
humedad

el cableado.
No existe sistema de alarma de control
Desastres
I* de temperatura y humedad. Baja 3 9 3 Intolerable
industriales
Errores de los No existe un manual para el uso de las

usuarios diferentes aplicaciones
Errores del No existe un protocolo para la instalación

administrador de las diferentes aplicaciones
E
Errores de No existe un manual para la debida

configuración configuración de los equipos de computo
Errores de No cuentan con una política de

mantenimiento / mantenimiento
actualización de
programas
(hardware)
No existen las suficientes cámaras de

Perdida de
E25 seguridad en la oficina de Proceso de Baja 3 9 3 Intolerable
equipos
Gestión TIC
Debido a la gran cantidad de equipos de

Difusión de computo que están destinados para los
A6 Baja 3 9 3 Intolerable
software dañino usuarios y la falta de asesoría puede
causar daños
Suplantación de No se han implementado normativas

A11 la identidad del para el uso de contraseñas fuertes para Baja 3 9 3 Intolerable
usuario el acceso a los servicios

Manipulación de
A3 seguridad que asesore a los usuarios de Baja 3 9 3 Intolerable
la configuración
la manipulación de las aplicaciones

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
total del activo de información, que para los Computadores Portátiles es de 3,
es decir, intolerable y por lo tanto se requiere de atención inmediata y
Tabla 43. Estimación del Riesgo Impresoras
Activo PGT-15 Impresoras

Degradación 1%
Riesgo Actual
1.4 Aceptable
Frecuencia
R NR
(F)
N1 Fuego Falta de protección contra fuego Muy baja 2 2 1 Aceptable
Daños por Falta de protección física adecuada

Desastres
naturales
N2 Raro 1 1 1 Aceptable
agua
Condiciones de los locales donde los

Desastres
N* recursos son fácilmente afectados por Muy baja 2 2 1 Aceptable
naturales
desastres

I1 Fuego Muy baja 2 2 1 Aceptable

I2 Raro 1 1 1 Aceptable
agua

temperatura y humedad.
Desastres
I* No existen planos, esquemas, avisos que Muy baja 2 2 1 Aceptable
industriales
Avería de Mal ubicación de las impresoras

I5 origen físico o Muy baja 2 2 1 Aceptable
lógico
Errores de los Falta de conocimiento para el uso de la

E1 Baja 3 3 2 Aceptable
usuarios aplicación

configuración
E

equipos

intencionados
Manipulación seguridad que asesore a los usuarios de

A4 de la la manipulación de las aplicaciones Baja 3 3 2 Aceptable
Ataques
configuración

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad 3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable

total del activo de información, que para las Impresoras es de 1.4, es decir,
aceptable y por lo tanto no se requiere de atención inmediata.
Tabla 44. Estimación del Riesgo Escáner
Activo PGT-16 Escáner

Degradación 1%
Riesgo Actual
Tipo ID Amenaza 1.33 Aceptable
Exposición /Vulnerabilidad
Frecuencia R NR
(F)
N1 Fuego Falta de protección contra fuego Muy baja 2 2 1 Aceptable
Desastres
naturales

N2 Raro 1 1 1 Aceptable
agua
Desastres Condiciones locales donde los recursos

N* Muy baja 2 2 1 Aceptable
naturales son fácilmente afectados por desastres

I1 Fuego Muy baja 2 2 1 Aceptable

I2 Raro 1 1 1 Aceptable
agua

temperatura y humedad.
Desastres
I* No existen planos, esquemas, avisos que Muy baja 2 2 1 Aceptable
industriales
Avería de Mala ubicación del escáner

I5 origen físico o Muy baja 2 2 1 Aceptable
lógico
Errores de los Falta de conocimiento para el uso de la

usuarios aplicación

configuración
E

equipos
Manipulación No se ha tomado medidas o políticas de

A4 de la seguridad que asesore a los usuarios de Baja 3 3 2 Aceptable
configuración la manipulación de las aplicaciones
intencionados
A25 Robo Muy baja 2 2 1 Aceptable

Ataques

5 5 10 15 25 40
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable

total del activo de información, que para los Escáner es de 1.33, es decir,
aceptable y por lo tanto no se requiere de atención inmediata.
Con los resultados obtenidos en este análisis se procede a la evaluación de
riesgos.
Para cada activo de información, el proceso concluye si el Nivel de Riesgo es

aceptable, caso contrario, se define el tratamiento (evitar, transferir o mitigar) y
se establecen los controles necesarios.
Para el Servidor Dell PowerEdge T430 como el Nivel de Riesgo es Intolerable;

es necesario definir el tratamiento a seguir.
Primeramente se descarta la opción de evitar el riesgo, ya que este es un

activo de muy alto valor y el retiro del mismo no permitiría la prestación de
muchos servicios fundamentales para la unidad de Proceso de Gestión Tic de
la Gobernación de Nariño.
La opción de transferir el riesgo por medio de la adquisición de un seguro

tampoco es la adecuada, puesto que los costos de las pólizas en la mayoría de
los casos son muy elevados y el Proceso de Gestión Tic no cuenta con los
recursos necesarios para adquirirlos.
No obstante, el tratamiento a seguir consiste en la definición de nuevos

controles de tipo preventivo y/o correctivo que permitan reducir los niveles de
riesgo del Servidor Dell PowerEdge T430 pase de un nivel Intolerable a un nivel
tolerable, o en el mejor de los casos a un nivel aceptable de ser posible; que es
lo que se espera que suceda con los demás activos de información que tienen
un nivel de riesgo similar o peor. Por lo tanto, se procede a realizar el
diagnostico o Análisis de Brecha para verificar los controles existentes en la
unidad de Proceso de Gestión Tic de la Gobernación de Nariño con respecto al
estándar ISO/IEC 27002:2005 y así poder determinar con mayor claridad el
tratamiento a seguir para cada uno de los activos con nivel de riesgo tolerable,
intolerable o extremo.
4. ANÁLISIS DE BRECHA
El diagnóstico se realizó por medio de entrevista estructurada (audios

completos carpeta Anexo D - Entrevistas estructuradas) al Director de proceso
de Gestión Tic, al Administrador de Soporte Técnico, a cada uno de los
funcionarios que laboran dentro de la organización de Proceso de Gestión Tic,
para lo cual se diseñó un formato conformado por un conjunto de preguntas
que permitieron verificar el estado actual de los controles que aplican para la
unidad con relación al estándar ISO/IEC 27002:2005. Esto se complementó
con revisión documental de los procedimientos, reglamento y políticas de uso,
manual de funciones y competencias laborales, formatos, hoja de vida de los
servidores y verificación visual.
Una vez relevada la información, se procedió a analizar los controles y asignar

un valor de acuerdo con su nivel de madurez, utilizando para este propósito la
escala definida por el estándar COBIT. (Ver Tabla 7. Escala nivel de madurez
COBIT)
La Tabla 45 muestra un fragmento del formato que puede ser consultado en su

totalidad en el documento Anexo E - Verificación controles ISO 27002
Tabla 45. Verificación de ISO 27002:2005
Nivel de
ISO/IEC 27001 - ISO/IEC 27002 Pregunta y/o forma de verificación Descripción estado actual
madurez
A5 - Política de seguridad de la información
Administrador Soporte Técnico: ¿En Proceso de

Gestión Tic existe un documento de políticas de No existe documento de políticas de seguridad.
seguridad de la información?
Director de Proceso de Gestión Tic: ¿En Proceso

de Gestión Tic existe un documento de políticas No existe documento de políticas de seguridad.
A.5.1.1 Documento de de seguridad de la información?
política de seguridad INICIAL
de información. Existen manuales de funciones donde se
especifica cada una de las funciones específicas
5.1 - Política de a realizar en cada uno de los cargos, donde una
seguridad de la Verificación de documento(s) relacionados con
de ella es velar por la integridad de la
información. políticas de seguridad de la información.
información almacenada, lo que acarrea
implícitamente tareas de seguridad de la
información.
No se lleva una revisión de los manuales de

A.5.1.2 Revisión de la
Director de Proceso de Gestión Tic: ¿Se revisan funciones.
política de seguridad INICIAL
frecuentemente los Manuales de funciones?
de la información.
A6 - Organización de la seguridad de la información
Director de Proceso de Gestión Tic: ¿La Dirección

Se han llevado a cabo capacitaciones a la parte
está comprometida con la seguridad de la
administrativa con el fin de concientizar a los
información y ofrece instrucciones claras y apoyo
funcionarios.
para las iniciativas de seguridad?
En el manual de funciones del Director de

A.6.1.1 Compromiso de Proceso de Gestión Tic están las funciones de
la dirección con la administrar y coordinar el personal del
departamento, lo que incluye tareas de REPETIBLE
seguridad de la
información. Verificación de responsabilidades del director en seguridad de la información.
A6.1 -
el manual de funciones, verificación de El Departamento de Proceso de Gestión Tic
Organización
procedimientos y reuniones semanales. programa reuniones periódicas con el fin de
interna
programar tareas a realizar y verificar avances
en los proyectos llevados a cabo por el personal
del departamento, lo que incluye proyectos
relacionados a seguridad de la información.
Director de Proceso de Gestión Tic: ¿Las

A.6.1.2 Coordinación iniciativas y las medidas de seguridad están Los temas de seguridad se tratan en las
de seguridad de la coordinadas por medio de reuniones en el que reuniones recientemente tras la vinculación de REPETIBLE
información. participan activamente todos los funcionarios del personal que maneje este tema.
Departamento de Proceso de Gestión Tic?
Administrador Soporte Técnico: ¿Considera que
en el manual de funciones están bien definidas
No hay política o procedimiento que indique el
las responsabilidades para la protección de
correcto manejo de los activos de información.
activos individuales y la realización de procesos
específicos?
Director de Proceso de Gestión Tic: ¿Considera

A.6.1.3 Asignación de que en el manual de funciones están bien
No existen unos parámetros adecuados a la
responsabilidades para definidas las responsabilidades para la protección
consecución del documento de planeación. INICIAL
la seguridad de la de activos individuales y la realización de
información. procesos específicos?
En los manuales de funciones están estipuladas

claramente las funciones que se deben
Verificación de responsabilidades en el manual desempeñar en cada cargo, no hay funciones
de funciones. específicas sobre responsabilidad sobre activos
de información pero está implícito en las demás
funciones.
Administrador Soporte Técnico: ¿Existe un

A.6.1.4 Proceso de
proceso de autorización para nuevos activos de No existe.
autorización de
información?
recursos para el INEXISTENTE
tratamiento de la
información.
Director de Proceso de Gestión Tic: ¿Existe un No existe.
proceso de autorización para nuevos activos de
información?
No existe un proceso dentro del Departamento

de Proceso de Gestión Tic para la autorización
de recursos para el tratamiento de la
información, pero sin embargo para la compra
Verificación en cada uno de los procedimientos de nuevos dispositivos se deben solicitar a
del Departamento de Sistemas almacén, quien pasa la solicitud a comité de
compras quien verifica si existe el capital para
efectuar la compra, mas no un proceso
verificación si el activo es realmente necesario
o no.
Director de Proceso de Gestión Tic: ¿Existen

requisitos de confidencialidad o no divulgación
No existen requisitos de este tipo.
de la información tanto para empleados como
terceros?
A.6.1.5 Acuerdos de Director de Proceso de Gestión Tic: ¿Existen

requisitos de confidencialidad o no divulgación INEXISTENTE
confidencialidad. No existen requisitos de este tipo.
de la información tanto para empleados como
terceros?
Verificación de la existencia de acuerdos de Acuerdos de confidencialidad implícitos en las

confidencialidad en el manual de funciones, funciones, pero en los contratos no existe una
reglamento y contratos de vinculación. cláusula que especifique un acuerdo de
confidencialidad.
Administrador Soporte Técnico: ¿El

Departamento de Proceso de Gestión Tic
mantiene contacto con autoridades pertinentes No se tiene contacto con estas autoridades.
por ej. Policía Nacional, Bomberos, Cruz Roja,
A.6.1.6 Contacto con Defensa civil? INICIAL
las autoridades.
Director Proceso de Gestión Tic: ¿El
Departamento de Sistema mantiene contacto con
Se tiene contacto únicamente con Bomberos.
autoridades pertinentes por ej. Policía Nacional,
Bomberos, Cruz Roja, Defensa civil?

mantiene contacto con entidades especializadas
A.6.1.7 Contacto con en SI como por ejemplo de protección de datos, No se tiene un contacto directo y constante,
organizaciones de de delitos informáticos, de piratería software solo se tuvo contacto cuando se efectuó la INICIAL
especial interés. (Policía judicial: Brigada de Investigación perdida de la información de un servidor.
Tecnológica, Guardia civil: Grupo de Delitos
Informáticos, Convenio Antipiratería de
Colombia)?
Director de Proceso de Gestión Tic: ¿El
mantiene contacto con entidades especializadas
en SI como por ej. De protección de datos, de
No se mantiene contacto con ninguna entidad
delitos informáticos, de piratería software
u organización de especial interés.
(Policía judicial: Brigada de Investigación
Tecnológica, Guardia civil: Grupo de Delitos
Informáticos, Convenio Antipiratería de
Colombia)?
Administrador Soporte Técnico: ¿Se revisan

Se realizan reuniones de departamento en el se
independientemente la seguridad de la
planean actividades a realizar y se tocan
A.6.1.8 Revisión información del Departamento de Proceso de
ligeramente los temas de seguridad.
independiente de la Gestión Tic (reuniones) de manera regular?
INICIAL
seguridad de la Director de Proceso de Gestión TIC: ¿Se revisan
información independientemente la seguridad de la Se revisan en algunos ámbitos, pero no en su
información del Departamento de Proceso de totalidad.
Gestión Tic (reuniones) de manera regular?

A.6.2.1 Identificación Departamento de Proceso de Gestión Tic
A6.2 -
de los riesgos identifica riesgos de seguridad de la información No se identifican riesgos derivados del acceso
Entidades INICIAL
derivados del acceso derivados del acceso de terceros (Proveedores de terceros.
externas.
de terceros. de internet, organismos de vigilancia de los
procesos)?
Director de Proceso de Gestión Tic: ¿El
identifica riesgos de seguridad de la información Se realizan algunos controles a terceros que
derivados del acceso de terceros (Proveedores ingresan al departamento.
de internet, organismos de vigilancia de los
procesos)?
Administrador Soporte Técnico: ¿Qué

requerimientos se necesitan para conceder el No hay requerimiento identificados, pero para
acceso a la información y a los activos de el suministro de información debe haber una
información del Departamento de Proceso de autorización y justificación valida por un ente
A.6.2.2 Tratamiento de Gestión Tic a usuarios externos del superior.
la seguridad en la departamento? REPETIBLE
relación con los
clientes Director de Proceso de Gestión Tic: ¿Qué
requerimientos se necesitan para conceder el Para el suministro de información debe haber
acceso a la información y a los activos de una autorización y justificación valida por un
información del Departamento de Sistemas a ente superior.
usuarios externos del departamento?
Para obtener el acceso a información y/o
activos de información, dependiendo el grado
de confidencialidad y delicadeza debe haber
una orden escrita por parte de las directivas
Verificación requerimientos para el acceso a la
donde se apruebe el acceso a la misma, esta
información y a los activos de información del
autorización debe ser dada por la Directora de
Proceso de Gestión Tic la cual aprueba el
acceso a la sala de servidores, quien acompaña
a la persona a ingresar o en su ausencia lo hace
el Administrador Soporte Técnico.
Administrador Soporte Técnico: ¿Existen

contratos o vínculos con entidades externas
Solo se posee contrato con Media Comerce
(terceros) que impliquen el acceso a la
quien es el proveedor de internet y tiene
información, la manipulación de la misma o
acceso a parte de la red de datos.
adición de productos o servicios a las
A.6.2.3 Tratamiento de instalaciones?
la seguridad en REPETIBLE
contratos con terceros Director de Proceso de Gestión Tic: ¿Existen
contratos o vínculos con entidades externas
(terceros) que impliquen el acceso a la
Si existen contratos con entidades externas.
información, la manipulación de la misma o
adición de productos o servicios a las
instalaciones?
Debe existir una notificación por parte de la
Administrador Soporte Técnico: ¿Qué controles empresa de que se realizara una visita a las
implementan y que requerimientos se necesitan instalaciones, quien autoriza el ingreso es el
para conceder el acceso a terceros con los cuales Director del Departamento, al momento de
hicieron algún contrato (Proveedores de internet, ingresar el personal externo se valida la
organismos de vigilancia de los procesos)? identificación y vinculación de la misma con la
empresa.
A9 - Seguridad física y medioambiental
IMG_1 e IMG_2: Como medida de control de

acceso a la sala de servidores en la puerta no se
cuenta con un control biométrico, sino con una
cerradura de llave la cual no garantiza un
control de quienes tienen los privilegios de
Tampoco con una cámara de seguridad.
Fotografías perímetros de seguridad (paredes,
A9.1 - Áreas A.9.1.1 Perímetro de
seguridad puertas o entradas). Ver carpeta REPETIBLE
seguras seguridad física. IMG_3 e IMG_4: Para ingresar a la sala de
ANEXO F - FOTOGRAFÍAS
servidores primeramente se debe pasar por la
oficina de Proceso de Gestión Tic, y luego por
la oficina del Administrador de Soporte Técnico
cuyos controles de ingreso son únicamente
puertas de madera con ventanas de vidrio,
donde cada puerta cuenta con una sola
cerradura de seguridad y la llave principal la
manejan todos los empleados de la
organización
IMG_5: Se cuenta con una cámara de vigilancia
en el interior de la sala de servidores la cual se
encuentra en funcionamiento y graba las
personas al interior del mismo.
Control de puertas de oficinas y sala de
servidores: Se cuenta con una puerta metálica
Director Proceso de Gestión Tic: ¿Qué tipo de con cerradura, los únicos que poseen las llaves
controles físicos de entrada (ej. vigilantes) a los servidores son el Director de Proceso de
implementan para garantizar el acceso Gestión Tic y el Administrador de Soporte
únicamente a personal autorizado? Técnico, en la Vigilancia: Se contrata seguridad
A.9.1.2 Controles
privada en la entrada de la Gobernación, REPETIBLE
físicos de entrada.
quienes revisan y controlan a las personas que
ingresan a la organización y los artículos que
entran y salen de ella, adicionalmente se
cuenta con un sistema cerrado de cámaras de
vigilancia en toda la organización.
Administrador Soporte Técnico: ¿Qué tipo de

No existe ningún control o protocolo que
controles físicos de entrada (ej. vigilantes)
garantice el acceso únicamente a personal
implementan para garantizar el acceso
autorizado.
únicamente a personal autorizado?
IMG_1, IMG_6, IMG_7 e IMG_8: Muestran los
controles de acceso a las distintas áreas del
departamento de Proceso de Gestión Tic.
El acceso a la sala de servidores es controlado
por una puerta metálica con cerradura.
El acceso a la oficina de Proceso de Gestión Tic
A.9.1.3 Seguridad de Verificación seguridad física para oficinas, está controlado por una puerta de madera con
oficinas, despachos y despachos y recursos (Ubicación tomas, cerraduras con llave, es la puerta principal. INICIAL
recursos. corriente, refrigeración, etc.) El acceso a la oficina de Soporte Técnico esta
en la misma oficina de Proceso de Gestión Tic.
En las oficinas de Proceso de Gestión Tic se
encuentra bien distribuido de acuerdo a las
necesidades los puntos eléctricos y de datos.
En la sala de servidores no se cuenta con un
sistema de climatización.
Director Proceso de Gestión Tic: ¿Qué tipo de

En cuanto a la información se realizan backups
medidas (físicas) se aplicarían en el
en la nube y respaldo de la misma en discos.
A.9.1.4 Protección departamento en caso de algún desastre natural?
contra amenazas INICIAL
externas y del entorno. Administrador de Soporte Técnico: ¿Qué tipo de Solo conoce el plan de evacuación por sismo,
medidas (físicas) se aplicarían en el desconoce las medidas físicas que se aplicarían
departamento en caso de algún desastre natural? en caso de desastres naturales.
IMG_9 e IMG10: Un solo extintor que se
encuentra en la oficina de Proceso de Gestión
Tic.
IMG_11 e IMG_12: No existen planos ni
esquemas que indiquen que hay una fuente de
energía, solo se cuenta con una pequeña señal
de riesgo eléctrico en el panel eléctrico.
Verificación de medidas de protección física El sistema eléctrico del departamento no
contra incendio, inundación, terremoto, cuenta con protección contra electrocución por
explosión, malestar civil y otras formas de contacto directo o indirecto en las áreas de
desastre natural o humano. trabajo.
No cuentan con un sistema de protección
contra rayos.
No están por separado los circuitos de la red

regulada y normal.
IMG_13, IMG_14 e IMG_15: Los equipos y racks
cuentan con suficiente espacio para la
circulación de aire y acceso a ellos.
No tiene acceso a sala de servidores, se aplican

A.9.1.5 El trabajo en normas de protección en cuanto a dispositivos
pautas y controles (físicos) lleva a cabo para INICIAL
áreas seguras. de cómputo mediante daños causados por
trabajar en la sala de servidores y demás áreas?
electroestática.
de riesgo eléctrico en el panel eléctrico.
El sistema eléctrico del departamento no
Verificación seguridad en la sala de servidores cuenta con protección contra electrocución por
(UPS, sistema de refrigeración) y demás áreas y contacto directo o indirecto en las áreas de
procedimientos relacionados. trabajo.
contra rayos.

regulada y normal.
A.9.1.6 Áreas aisladas

No Aplica. No Aplica. NO APLICA
de carga y descarga.
IMG_5: Se cuenta con una cámara de seguridad
al interior de la sala de servidores para
controlar.
IMG_1 e IMG_2: No existe un sistema de
Verificación seguridad y protección física en la seguridad que permita saber quién ingreso a la
A.9.2.1 Instalación y
sala de servidores ante accesos no autorizados y sala de servidores con precisión, como control REPETIBLE
protección de equipos.
procedimientos relacionados. de acceso únicamente se cuenta con una
puerta metálica con cerradura, los únicos que
poseen las llaves son el Director de Proceso de
A9.2 - Gestión Tic y el Administrador de Soporte
Seguridad del Técnico.
equipo
Los servidores están respaldados y protegidos

Director de Proceso de Gestión Tic: ¿Qué tipo de frente a irregularidades del servicio eléctrico
protección existe para los equipos frente a fallas por unas UPS, pero no el rack de
de servicios públicos en el suministro de energía? comunicaciones que alberga los routers y los
A.9.2.2 Suministro
switch. INICIAL
eléctrico.
Administrador Soporte Técnico: ¿Qué tipo de Los servidores están respaldados y protegidos
protección existe para los equipos frente a fallas frente a irregularidades del servicio eléctrico
de servicios públicos en el suministro de energía? por unas UPS, pero no el rack de
comunicaciones que alberga los routers y los
switch.
Verificación de protección frente a fallas de

servicios públicos en el suministro de energía y IMG_16: UPS
revisión procedimientos relacionados.
La acometida eléctrica está normalizada con

Director de Proceso de Gestión Tic: ¿Qué tipo de
RETIE pero dentro de la organización no se
protección existe para el cableado de energía y
implementa ninguna norma eléctrica, no se
telecomunicaciones frente a posibles
cuenta con planos eléctricos. La acometida de
A.9.2.3 Seguridad del interceptaciones o daños?
datos esta por fibra óptica. INICIAL
cableado.
protección existe para el cableado de energía y
No tiene conocimiento.
telecomunicaciones frente a posibles
interceptaciones o daños?
IMG_13, IMG_14, IMG_17, IMG_18, IMG_19 e
IMG 20: El cableado de datos parte se
encuentra organizado y etiquetado, el cableado
eléctrico va independiente del de datos.
Verificación protección cableado en la sala de de riesgo eléctrico en el panel eléctrico.
servidores El sistema eléctrico del departamento no
cuenta con protección contra electrocución por
contacto directo o indirecto en las áreas de
trabajo.
contra rayos.

regulada y normal.
IMG_22 e IMG_23: En la sala de servidores no

se realiza una limpieza periódica en cuanto a
contaminación por polvo y/o suciedad, lo que
A.9.2.4 Mantenimiento Verificación estado de los equipos en la sala de podría causar daño en los servidores y UPS.
INICIAL
de equipos. servidores No se posee un sistema de control ambiental.
Los rack en los que están ubicados los
servidores no cuentan con aisladores de
emanaciones electromagnéticas.
En cuanto a software se realizan backaps, la
frecuencia depende del servidor y la
información que este almacene. se revisan los
Administrador Soporte Técnico: ¿Qué procesos y
logs de los servidores con frecuencia para
procedimientos de mantenimiento preventivo se
determinar anomalías, en cuanto a hardware se
realizan en los servidores?
realiza un mantenimiento físico
semestralmente, no se sigue algún protocolo o
procedimiento específico para estas tareas.
Revisión del Plan de mantenimiento preventivo y No existe plan ni cronograma de

procedimientos relacionados. mantenimiento preventivo.
Director Proceso de Gestión Tic: ¿Qué tipo de

Hay equipos de red en oficinas. Estos
seguridad existe para equipos que se encuentran
dispositivos están vigilados por un circuito de
fuera de las instalaciones del departamento
A.9.2.5 Seguridad de cámaras de seguridad.
(switches, equipos eléctricos)?
equipos fuera de los
REPETIBLE
locales de la Administrador Soporte Técnico ¿Qué tipo de
Organización. seguridad existe para equipos que se encuentran Estos dispositivos están vigilados por un
fuera de las instalaciones del departamento circuito de cámaras de seguridad.
(switches, equipos eléctricos)?
Director Proceso de Gestión Tic: ¿Existen
control(es) o procedimiento(s) para revisar
equipos que contengan dispositivos de
almacenamiento (extraíbles o fijos) con el fin de
No existe ningún control.
garantizar que cualquier información sensible o
software con licencia se haya eliminado o
sobrescrito con seguridad antes de la eliminación
o dada de baja de este?
Administrador Soporte Técnico: ¿Existen

control(es) o procedimiento(s) para revisar
A.9.2.6 Seguridad en la equipos que contengan dispositivos de
reutilización o almacenamiento (extraíbles o fijos) con el fin de
No existe ningún control. INEXISTENTE
eliminación de garantizar que cualquier información sensible o
equipos. software con licencia se haya eliminado o
sobrescrito con seguridad antes de la eliminación
o dada de baja de este?
No existe plan ni cronograma de

mantenimiento preventivo.
Revisión del Plan de mantenimiento preventivo y Al presentarse daños o cambios de equipos se

realizan copia de seguridad antes de iniciar el
procedimientos relacionados.
mantenimiento correctivo en el equipo o
cambio del mismo, si un equipo es dado de baja
se sustrae los componentes que pueden ser
utilizados como repuestos en otros equipos,
incluyendo los discos duros.
Administrador Soporte Técnico: ¿Si surgiera la Si se va a realizar un proceso de soporte lógico

necesidad de que usted tenga que sacar un o físico se solicita al funcionario la autorización
equipo, información o software fuera del para poder acceder al equipo e información y
departamento, que requerimientos debe movilizarlo al área de soporte y mantenimiento
A.9.2.7 Traslado de cumplir? si es pertinente.
REPETIBLE
activos. Director Proceso de Gestión Tic: ¿Si surgiera la
Debe haber una autorización del jefe inmediato
necesidad de que usted tenga que sacar un
y una justificación donde se aclare el destino
equipo, información o software fuera del
del equipo o software y el propósito de mover
departamento, que requerimientos debe
el activo fuera de la organización.
cumplir?
Las fotografías enumeradas en esta tabla se pueden ver en la carpeta ANEXO
F – FOTOGRAFÍAS.
Para los cálculos totales, se determinó el promedio de valores asignados a

cada control para obtener la calificación del objetivo de control al cual
pertenecen, los cuales a su vez se promediaron para calcular el nivel de
madurez de cada dominio. En la tabla 43 se registran algunos de los
resultados (documento completo ver documento ANEXO G – ANÁLISIS DE
BRECHA) :(ver tabla 43)
Tabla 46. Formato Análisis de Brecha
% NM
% NM Objetivo No. Nivel de
ID Dominio y
de Control Ctrls Madurez
Ctrls
Política de seguridad de la información 2
A5 20
Dirigir y dar soporte a la gestión de la seguridad de la información de
acuerdo con los requisitos institucionales, leyes y reglamentos
pertinentes.
A.5.1.1 Documento de política de

1 Inicial 20
seguridad de información
Política de seguridad de la información 20
A.5.1.2 Revisión de la política de
1 Inicial 20
seguridad de la información
Gestión de activos de información (AI) 5

A7 28,33
Lograr y mantener la protección apropiada de los activos de información
A.7.1.1 Inventario de activos. 1 Gestionado 80
A.7.1.2 Responsable de los activos. 1 Repetible 40

Responsabilidad por los activos 46,67
A.7.1.3 Acuerdos sobre el uso
1 Inicial 20
aceptable de los activos.
A.7.2.1 Directrices de clasificación. 1 Inicial 20

Clasificación de la información. 10
A.7.2.2 Marcado y tratamiento de la
1 Inexistente 0
información.
Seguridad física y medioambiental 13
A9 30,95
Prevenir el acceso físico no autorizado, daño e interferencia en las
instalaciones y activos de información.
A.9.1.1 Perímetro de seguridad

1 Repetible 40
física.
A.9.1.2 Controles físicos de

1 Definido 60
entrada.
A.9.1.3 Seguridad de oficinas,

1 Repetible 40
despachos y recursos.
Áreas seguras 33,33
A.9.1.4 Protección contra
1 Inicial 20
amenazas externas y del entorno.
A.9.1.5 El trabajo en áreas seguras. 1 Repetible 40
A.9.1.6 Áreas aisladas de carga y

1 No Aplica N/A
descarga.
A.9.2.1 Instalación y protección de

1 Repetible 40
equipos.
A.9.2.2 Suministro eléctrico. 1 Inicial 20
A.9.2.3 Seguridad del cableado. Seguridad del equipo 28,57 1 Inicial 20
A.9.2.4 Mantenimiento de equipos. 1 Repetible 40
A.9.2.5 Seguridad de equipos fuera

1 Repetible 40
de los locales de la Organización.
A.9.2.6 Seguridad en la reutilización
1 Inexistente 0
o eliminación de equipos.
A.9.2.7 Traslado de activos. 1 Repetible 40
Control de acceso (lógico) 25

A11 23,45
Controlar el acceso lógico a los activos de información
A.11.1.1 Política de control de

Requerimientos 0 1 Inexistente 0
accesos.
A.11.2.1 Registro de usuario. 1 Inexistente 0
A.11.2.2 Gestión de privilegios. 1 Definido 60
A.11.2.3 Gestión de contraseñas de Gestión de acceso de usuarios 25

1 Repetible 40
usuario.
A.11.2.4 Revisión de los derechos

1 Inexistente 0
de acceso de los usuarios.
A.11.3.1 Uso de contraseña. 1 Inicial 20
A.11.3.2 Equipo informático de

1 Inicial 20
usuario desatendido. Responsabilidades de usuarios 13,33
A.11.3.3 Políticas para escritorios y

1 Inexistente 0
monitores sin información.
A.11.4.1 Política de uso de los

Control de acceso a la red 45,71 1 Repetible 40
servicios de red.
A.11.4.2 Autenticación de usuario
1 Definido 60
para conexiones externas.
A.11.4.3 Autenticación de nodos de

1 Repetible 40
la red.
A.11.4.4 Protección a puertos de

1 Inicial 20
diagnóstico remoto.
A.11.4.5 Segregación en las redes. 1 Definido 60
A.11.4.6 Control de conexión a las

1 Definido 60
redes.
A.11.4.7 Control de
1 Repetible 40
encaminamiento en la red.
A.11.5.1 Procedimientos de
1 Definido 60
conexión de terminales.
A.11.5.2 Identificación y
1 Definido 60
autenticación de usuario.
A.11.5.3 Sistema de gestión de

1 Inexistente 0
contraseñas.
Control de acceso al sistema operativo 36,67
A.11.5.4 Uso de los servicios del
1 Definido 60
sistema.
A.11.5.5 Desconexión automática

1 Inicial 20
de terminales.
A.11.5.6 Limitación del tiempo de

1 Inicial 20
conexión.
A.11.6.1 Restricción de acceso a la
1 Inicial 20
información.
Control de acceso a las aplicaciones e
20
información
A.11.6.2 Aislamiento de sistemas
1 Inicial 20
sensibles.
A.11.7.1 Informática móvil. 1 Inicial 20

Computación móvil y teletrabajo N/A
A.11.7.2 Tele trabajo. 1 No Aplica N/A
Gestión de incidentes de seguridad de información 5
A13 Asegurar que los eventos y debilidades de seguridad de información 28,33

sean comunicados de manera tal que, permita una acción correctiva
oportuna.
A.13.1.1 Comunicación de eventos

1 Repetible 40
en seguridad.
Comunicación de eventos y debilidades en
30
la seguridad de la información
A.13.1.2 Comunicación de
1 Inicial 20
debilidades en seguridad.
A.13.2.1 Identificación de
responsabilidades y 1 Inicial 20
procedimientos.
Gestión de incidentes y mejoras en la
20
A.13.2.2 Evaluación de incidentes seguridad de información
1 Inicial 20
en seguridad.
A.13.2.3 Recogida de pruebas. 1 Inicial 20

Al asignar un nivel de madurez para cada uno de los dominios, se logra
calcular un promedio que nos indica que el Proceso de Gestión Tic se
encuentra en un nivel de madurez Inicial; es decir, que la Organización ha
reconocido que existe un problema y que hay que tratarlo, pero no se posee
procesos estandarizados y la implementación de un control depende de cada
individuo y es principalmente reactiva. Este nivel de madurez en el Proceso de
Gestión Tic indica que la seguridad de la información no ha sido una prioridad
dentro del mismo, pero los funcionarios de este están conscientes de los
problemas que esto puede acarrear y que se deben tomar medidas que
solvente este problema. (Ver figura 47)
Figura 47. Nivel de medurez Proceso de Gestion Tic por dominios de

seguridad
A5Politica de seguridad
de la informacion
100
A6Organizacion de la
A15 Cumplimiento
seguridad de la
90
regulatorio 80
70
informacion
60
A14 Gestion de 50
A7Gestion de activos de
continuidad de 20% informacion(AI)
40
operaciones 20% 16,67%

30
20% 28,33%
20
10
A13 Gestion de
0
28,33% 42,22% A8Seguridad de los

incidentes de seguridad
recursos humanos
de informacion 22,33%
30,95%
23,45%
A12 Adquisicion, 38,51%
A9Seguridad fisica y
desarrollo y
medioambiental
mantenimiento de…
A10 Gestion de
A11 Control de acceso
operaciones
(logico)
comunicaciones
Desde esta perspectiva, es necesario formalizar aquellos procedimientos que lo
requieran, definir los faltantes, implementar los controles tecnológicos que se
identifiquen como necesarios y establecer mecanismos que permitan llevar a
cabo actividades de gestión sistemáticas enfocadas a la mejora de la seguridad
de la información del Proceso de Gestión Tic.
Este proceso de diagnóstico junto con el análisis y evaluación de riesgos

realizados anteriormente, hace posible la definición de nuevos controles para
cada uno de los activos de información que lo requieran según su nivel de
riesgo.
Al resultado de esta fase se le conoce como “Informe de análisis de riesgos”

equivalente al Anexo B – Análisis y evaluación de riesgos que contiene los
documentos completos. Con este informe se elabora el “Plan de Tratamiento
de Riesgos”.
Como ya se ha venido trabajando con el Servidor Dell PowerEdge T430, a

continuación se indican apartes de los controles necesarios para este activo y
se determina el riesgo residual esperado después de la implementación de
dichos controles. (ver Tabla 48)
Tabla 48. Análisis y evaluación de riesgos
Activo TI PGT-02 Servidor Dell PowerEdge Tipo Hardware / equipos

T430
Administrador Soporte Técnico Degradación 100%
Impacto 8 Desastroso Ubicación Proceso de Gestión Tic Gobernación de Nariño
Riesgo Actual Riesgo Residual Esperado

Exposición / 3.91 Intolerable 2.61 Tolerable
Tipo ID Amenaza Control recomendado
Vulnerabilidad
Frecuencia Frecuencia
R NR R' NR'
(F) (F')
9.1.4 - Se debería designar y

No existe sistema de alarma aplicar medidas de protección física
contra incendios. contra incendio, inundación,
N1 Fuego Muy baja 2 16 4 Extremo Raro 1 3 2 Tolerable
Posee un solo extintor en la terremoto, explosión, malestar civil
sala de servidores. y otras formas de desastre natural o
humano.
Desastres naturales

aplicar medidas de protección física
Daños por contra incendio, inundación,
N2 Raro 1 8 3 Intolerable Raro 1 3 2 Tolerable
agua terremoto, explosión, malestar civil
y otras formas de desastre natural o
humano.
El Proceso de Gestión TIC 9.1.4 - Se debería designar y

se encuentra en zona media aplicar medidas de protección física
Desastres de riesgo de desastre natural contra incendio, inundación,
N* Muy baja 2 16 4 Extremo Raro 1 3 2 Tolerable
naturales de origen de inundación terremoto, explosión, malestar civil
debido a su mala ubicación y otras formas de desastre natural o
en el primer piso humano.
Continuación tabla 20.
contra incendio, inundación,
terremoto, explosión, malestar civil
humano.
contra incendios.
9.2.3 - Se debería proteger el
Se posee un solo extintor de
cableado de energía y de
I1 Fuego (Clase C) recomendados Muy baja 2 16 4 Extremo Raro 1 3 2 Tolerable
telecomunicaciones que transporten
para incendios en lugares
datos o soporten servicios de
donde se encuentren
información contra posibles
equipos eléctricos.
interceptaciones o daños.
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.

Daños por contra incendio, inundación,
I2 Raro 1 8 3 Intolerable Raro 1 3 2 Tolerable
agua terremoto, explosión, malestar civil
humano.
de control de temperatura y
humedad.
No existen planos,
esquemas, avisos que
Desastres
I* indiquen que hay una fuente Media 4 32 4 Extremo
industriales
de energía y señales de
estas mismas.
protección contra
áreas de trabajo.


normal.
Contaminació
I3 periódica en cuanto a Baja 3 24 4 Extremo
n mecánica
suciedad.
Contaminació
n Los racks no cuentan con
I4 Muy baja 2 16 4 Extremo
electromagnét aisladores.
ica
Avería de se realiza una limpieza
I5 origen físico o periódica en cuanto a Baja 3 24 4 Extremo
lógico contaminación por polvo y/o
suciedad.
Funcionamiento no confiable
de las UPS.
No existen planos,
Corte del esquemas, avisos que
I6 suministro indiquen que hay una fuente Muy baja 2 16 4 Extremo
eléctrico de energía y señales de
estas mismas.
protección contra
áreas de trabajo.

normal.
Condiciones
inadecuadas No existe sistema de alarma
I7 de de control de temperatura y Baja 3 24 4 Extremo
temperatura o humedad.
humedad
Emanaciones
Los racks no cuentan con
I11 electromagnét Baja 3 24 4 Extremo
aisladores.
icas
Errores del Falta de conocimiento del

E2 Muy baja 2 16 4 Extremo
administrador administrador.
No existe hoja de vida del

Errores de
servidor AKANE.
mantenimient
o/actualizació
Falta de conocimiento del
n de equipos
administrador.
Falta de recursos
Caídas del
necesarios.
sistema por
agotamiento
Falta de planes de
de recursos
No existen la suficiente
Perdida de
E25 cámaras de seguridad en la Muy baja 2 16 4 Extremo
equipos
organización
acceso a la sala de
de identificarlos.
Abuso de Para ingresar a la sala de

A6 privilegios de servidores primeramente se Baja 3 24 4 Extremo
acceso debe pasar por la oficina del
cuenta con una sola chapa
de seguridad y la llave
principal la manejan todos
los empleados de la oficina.
Uso no No cuenta con una hoja de

previsto vida
Cualquier persona puede

Acceso no
A11 entrar a la sala de servidores Baja 3 24 4 Extremo
autorizado
Falta de controles para el

Manipulación
A23 ingreso a la sala de Baja 3 24 4 Extremo
de equipos
servidores
Falta de recursos
necesarios.
Denegación
de servicio
Falta de planes de

acceso a la sala de
de identificarlos.

servidores primeramente se
A25 Robo debe pasar por la oficina del Muy baja 2 16 4 Extremo
cuenta con una sola chapa
de seguridad y la llave
principal la manejan todos
los empleados de la oficina.

Informe 3-1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe 3-1

Cargado por

Copyright:

Formatos disponibles

TERCER INFORME DE AUDITORIA DE SISTEMAS SOBRE DISEÑO DE UN

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO

WILLIAM ALFREDO INAMPUES VILLA

DANIEL ESTEBAN LARA ROSERO

PROGRAMA DE INGENIERÍA DE SISTEMAS

SAN JUAN DE PASTO

En el siguiente informe se realizo la Identificación de Vulnerabilidades, La cual

Tipo ID Amenaza Exposición / Vulnerabilidad

No existe sistema de alarma contra incendios.

posee un solo extintor en la sala de servidores

Daños por agua

El Proceso de Gestión TIC se encuentra en zona media de

No existe sistema de alarma contra incendios.

I2 Daños por agua

No se utilizan paneles de obturación para el cableado.

I* Desastres industriales El sistema eléctrico de la unidad no cuenta con protección contra

No cuentan con un sistema de protección contra rayos.

No están por separado los circuitos de la red regulada y normal.

En la sala de servidores no se realiza una limpieza periódica en

En la sala de servidores no se realiza una limpieza periódica en

Funcionamiento no confiable de las UPS.

No están por separado los circuitos de la red regulada y normal.

E2 Errores del administrador Falta de conocimiento del administrador.

Errores de No existe hoja de vida del servidor AKANE.

Falta de recursos necesarios.

No existen la suficiente cámaras de seguridad en la

Como medida de control de acceso a la sala de servidores en la

A6 Abuso de privilegios de acceso Para ingresar a la sala de servidores primeramente se debe

A7 Uso no previsto No cuenta con una hoja de vida

Cualquier persona puede entrar a la sala de servidores no existe

A23 Manipulación de equipos Falta de controles para el ingreso a la sala de servidores

Falta de recursos necesarios.

Como medida de control de acceso a la sala de servidores en la

Para ingresar a la sala de servidores primeramente se debe

Tipo ID Amenaza Exposición / Vulnerabilidad

Un error del administrador puede conllevar a la disponibilidad de

Hay poca capacitación para los empleados que manejan

E8 Difusión de software dañino

Alteración accidental de la No existe medidas de control

o No existe un protocolo para la limpieza del sitio web y un

No existe medidas de control esta información puede ser

Errores de No existe un protocolo para la actualización de las diferentes

Suplantación de la identidad No se han implementado normativas para el uso de contraseñas

A8 Difusión de software dañino No existe un procedimiento para la actualización de software

Falta de controles, esta falla permite desplegar en el navegador

datos no confiables proporcionados por usuarios, generalmente

Falta de controles, afectara directamente la dimensión de

No existe un control para la información importante, seria mu

Administrador Administrador de Sistemas

Tipo ID Amenaza Exposición / Vulnerabilidad

Falta de controles, al haber fuga de información esta puede ser

Falta de controles, al haber indisponibilidad del personal pueden dejar

Indisponibilidad del Falta de controles, ejecutar información importante para la organización si

Mediante amenazas pueden sacar información importante para la

Falta de concientización del personal en las mejores practicas de

Administrador Administrador de Sistemas

Tipo ID Amenaza Exposición / Vulnerabilidad

Los usuarios no cuentan con capacitación para el manejo del

Algunos equipos del Proceso de Gestión TIC No están

E3 Errores de monitorización No se realizan correctamente los mantenimientos

No se tiene un Anti spam para controlar el ingreso de correos no

Destrucción de la No existe un protocolo para la clasificación de la información

Manipulación de los Falta de controles