Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SGSI2
SGSI2
1
DISEÑO E IMPLEMENTACIÓN DE UN SGSI PARA EL ÁREA DE
INFORMÁTICA DE LA CURADURÍA URBANA SEGUNDA DE PASTO BAJO
LA NORMA ISO/IEC 27001
Director de Proyecto
Ingeniero de Sistemas, Especialista en Seguridad Informática
Martin Cancelado
Tutor UNAD
2
Nota de aceptación:
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
_______________________________
Firma del presidente del jurado
_______________________________
Firma del jurado
_______________________________
Firma del jurado
3
CONTENIDO
ABSTRACT ....................................................................................................... 12
GLOSARIO .........................................................................................................................14
INTRODUCCIÓN ...............................................................................................................17
1. ELEMENTOS DE IDENTIFICACIÓN...................................................... 18
1.1 TEMA .......................................................................................................... 18
1.2 TÍTULO ....................................................................................................... 18
1.3 LINEA DE INVESTIGACIÓN ....................................................................... 18
1.3.1 Gestión de sistemas .............................................................................. 18
1.3.2 Auditoría de sistemas ............................................................................. 18
1.4 PLANTEAMIENTO DEL PROBLEMA. ........................................................ 19
1.4.1 DESCRIPCIÓN DEL PROBLEMA .......................................................... 19
1.4.2 FORMULACIÓN DEL PROBLEMA .......................................................... 19
1.5 OBJETIVOS ................................................................................................ 19
1.5.1 Objetivo general ....................................................................................... 19
1.5.2 Objetivos específicos ............................................................................... 19
1.6 JUSTIFICACIÓN ........................................................................................ 20
1.7 DELIMITACIÓN .......................................................................................... 21
1.8 ALCANCES ................................................................................................. 21
2. MARCO REFERENCIAL ..........................................................................................22
2.1 MARCO TEÓRICO ................................................................................. 22
2.1.1 Sistema de Gestión de la Seguridad de la Información SGSI .................. 22
2.1.1.1 ¿Qué es un SGSI?: ............................................................................... 22
2.1.1.2 ¿Para qué sirve un SGSI? .................................................................... 23
2.1.1.3 ¿Qué incluye un SGSI? ........................................................................ 25
2.1.1.4 ¿Cómo implementar un SGSI? ............................................................. 27
2.1.1.4.1 Plan: Establecer el SGSI .................................................................... 28
2.1.1.4.2 Do: Implementar y utilizar el SGSI ..................................................... 30
2.1.1.4.3 Check: Monitorizar y revisar el SGSI ................................................. 30
2.1.1.4.4 Act: Mantener y mejorar el SGSI........................................................ 31
2.1.1.5 ¿Qué tareas tiene la gerencia en un SGSI? ......................................... 32
2.1.1.5.1 Compromiso de la dirección ............................................................... 32
2.1.1.5.2 Asignación de Recursos .................................................................... 32
4
2.1.1.5.3 Formación y concienciación ............................................................... 33
2.1.1.5.4 Revisión del SGSI .............................................................................. 33
2.1.2 Conceptos Básicos .................................................................................. 34
2.1.2.1 ¿Qué es la seguridad de la información?.............................................. 34
2.1.2.2 ¿Por qué es necesaria la seguridad de la información? ....................... 35
2.1.2.3 ¿Cómo establecer los requisitos de seguridad? ................................... 35
2.1.2.4 Confidencialidad.................................................................................... 36
2.1.2.5 Integridad .............................................................................................. 36
2.1.2.6 Disponibilidad ........................................................................................ 36
2.1.2.7 Evaluación de los riesgos de seguridad ................................................ 36
2.1.2.8 Evento de seguridad de la información ................................................. 36
2.1.2.9 Incidente de seguridad de la información.............................................. 36
2.1.2.10 Política de seguridad........................................................................... 37
2.1.2.11 Riesgo ................................................................................................. 37
2.1.2.12 Análisis de riesgos .............................................................................. 37
2.1.2.13 Evaluación de riesgos ......................................................................... 37
2.1.2.14 Valoración del riesgo........................................................................... 37
2.1.2.15 Gestión del riesgo ............................................................................... 37
2.1.2.16 Amenaza ............................................................................................. 37
2.1.2.17 Vulnerabilidad ..................................................................................... 37
2.1.3 Sobre la Norma ISO/IEC 27000 ............................................................... 37
2.1.3.1 ISO/IEC 27000 ...................................................................................... 37
2.1.3.2 ISO/IEC 27001 ...................................................................................... 37
2.1.3.3 ISO/IEC 27002 ...................................................................................... 38
2.1.3.4 ISO/IEC 27003 ...................................................................................... 38
2.1.3.5 ISO/IEC 27004 ...................................................................................... 38
2.1.3.6 ISO/IEC 27005 ...................................................................................... 38
2.1.3.7 ISO/IEC 27006 ...................................................................................... 38
2.1.3.8 ISO/IEC 27007 ...................................................................................... 39
2.1.3.9 ISO/IEC TR 27008 ................................................................................ 39
2.1.4 Conceptos sobre Curadurías ................................................................... 39
2.1.4.1 Qué son las curadurías urbanas ........................................................... 39
2.1.4.2 Qué es el curador urbano ..................................................................... 39
5
2.1.4.3 Quién designa al curador urbano .......................................................... 39
2.1.4.4 Qué es una licencia urbanística ............................................................ 39
2.1.4.5 Qué es una licencia de urbanización .................................................... 39
2.1.4.6 Qué es una licencia de parcelación ...................................................... 40
2.1.4.7 Qué es una licencia de subdivisión ....................................................... 40
2.1.4.8 Qué es una licencia de construcción..................................................... 40
2.1.4.9 Cuál es el término de tiempo que tiene un curador urbano para
expedir una licencia: ......................................................................................... 40
2.1.4.10 Quienes pueden solicitar una licencia urbanística .............................. 40
2.1.4.11 Que documentos se deben adjuntar para obtener una licencia
urbanística. ....................................................................................................... 40
2.1.4.12 Cuál es la vigencia y prórroga de una licencia .................................... 41
2.2. MARCO CONTEXTUAL ............................................................................. 41
2.3. MARCO LEGAL ......................................................................................... 42
2.3.1 Normas Nacionales: ................................................................................. 43
2.3.1.1 Ley 388 del 18 de Julio de 1997 – Ley de ordenamiento territorial ....... 43
2.3.1.2 Decreto 1469 del 2010 del Ministerio de Ambiente, Vivienda y
Desarrollo Territorial ......................................................................................... 45
2.3.2 Normas Locales ....................................................................................... 45
2.3.2.1 Decreto número 0026 del 13 de octubre de 2009 ................................ 45
2.4 MARCO HISTÓRICO .................................................................................. 45
3.1 TIPO DE INVESTIGACIÓN......................................................................... 47
Este proyecto se enmarca dentro del tipo de investigación descriptiva y
analítica ...................................................................................................... 47
3.1.1 Descriptiva ............................................................................................... 48
3.1.2 Analítica ................................................................................................... 48
3.2 METODO DE INVESTIGACIÓN ................................................................ 48
3.3.2 Muestra .................................................................................................... 49
3.4 RECOLECCION DE DE LA INFORMACIÓN ............................................. 49
3.4.1 Información primaria: ............................................................................... 49
3.4.2 Información secundaria ............................................................................ 49
3.4.3 Instrumentos de recolección de información: ........................................... 49
3.4.3.1 Técnica de Observación ....................................................................... 49
3.4.3.2 Técnica de Encuesta:............................................................................ 49
6
3.4.3.3 Técnica de realización de pruebas:....................................................... 49
3.4.4 MUESTRAS ............................................................................................. 50
3.4.4.1 Muestra Empleados: ............................................................................. 50
3.4.4.2 Características de la encuesta para empleados de la Curaduría: ......... 50
3.4.4.5 Descripción del Instrumento: ................................................................. 50
3.5 PROCESAMIENTO DE LA INFORMACIÓN ............................................... 50
3.5.1 METODOLOGÍA PARA EL ANÁLISIS Y DISEÑO. .................................. 50
Planear ....................................................................................................... 51
Hacer: ......................................................................................................... 51
Verificar ...................................................................................................... 51
Actuar: ........................................................................................................ 52
3.5.2 Análisis de la encuesta realizada a los empleados de Curaduría
Urbana Segunda de Pasto. ............................................................................... 52
3.5.3 Descripción y análisis de la prueba realizada a la red de la Curaduría
Urbana Segunda de Pasto, con Wiresshark ..................................................... 52
4. SGSI PARA LA CURADURIA URBANA SEGUNDA DE PASTO ................. 53
4.1. Establecer el SGSI .................................................................................... 53
4.1. 1 Alcance ................................................................................................... 53
4.1. 2 Política del Sistema de Gestión .............................................................. 53
4.1. 3 Metodología de Evaluación del Riesgo ................................................... 53
4.1. 4 Análisis de Riesgos de la Curaduría Urbana Segunda de Pasto ............ 54
4.1. 4.1. Inventario de Activos ........................................................................... 54
4.1. 4.1. 1 Activos esenciales............................................................................ 55
4.1. 4.1. 2 Datos/Información ............................................................................ 55
4.1. 4.1. 3 Claves Criptográficas ....................................................................... 56
4.1. 4.1. 4 Inventario de Servicios ..................................................................... 56
4.1. 4.1. 5 Software – Aplicaciones Informáticas .............................................. 56
4.1. 4.1. 6 Equipos Informáticos........................................................................ 57
4.1. 4.1. 7 Redes de comunicaciones ............................................................... 57
4.1. 4.1. 8 Soportes de Información _almacenamiento electrónico................... 58
4.1. 4.1. 9 Soportes de Información _almacenamiento no electrónico .............. 58
4.1. 4.1. 10 Equipamiento auxiliar ..................................................................... 58
4.1. 4.1. 11 Instalaciones .................................................................................. 59
7
4.1. 4.1. 12 Personal ......................................................................................... 59
4.1.4.2. Valoración cualitativa de los activos..................................................... 59
4.1. 4.2. 1 Valoración Cualitativa de Activos esenciales ................................... 60
4.1. 4.2. 2 Valoración Cualitativa de Datos/Información ................................... 61
4.1. 4.2. 3 Valoración Cualitativa de Claves Criptográficas .............................. 62
4.1. 4.2. 4 Valoración Cualitativa de Servicios .................................................. 62
4.1. 4.2. 5 Valoración Cualitativa de Software – Aplicaciones Informáticas ...... 63
4.1. 4.2. 6 Valoración Cualitativa de Equipos Informáticos ............................... 64
4.1. 4.2. 7 Valoración Cualitativa de Redes de comunicaciones ....................... 65
4.1. 4.2. 8 Valoración Cualitativa de Soportes de Información
_almacenamiento electrónico ........................................................................... 66
4.1. 4.2. 9 Valoración Cualitativa de Soportes de Información
_almacenamiento no electrónico ...................................................................... 66
4.1. 4.2. 10 Valoración Cualitativa de Equipamiento auxiliar ............................ 67
4.1. 4.2. 11 Valoración Cualitativa de Instalaciones.......................................... 68
4.1. 4.2. 12 Valoración Cualitativa de Personal ................................................ 68
4.1. 4.3. Identificación de Amenazas ................................................................ 68
4.1. 4.4. Salvaguardas ...................................................................................... 80
4.1. 4.4. 1 Salvaguardas de Activos esenciales ................................................ 81
4.1.4.4.2 Salvaguardas de Datos/Información ................................................. 84
4.1.4.4.3 Salvaguardas de Claves Criptográficas ............................................ 87
4.1.4.4.4 Salvaguardas de Servicios ................................................................ 87
4.1.4.4.5 Salvaguardas de Software – Aplicaciones Informáticas .................... 90
4.1.4.4.6 Salvaguardas de Equipos Informáticos ............................................. 92
4.1.4.4.7 Salvaguardas de comunicaciones..................................................... 94
4.1.4.4.8 Salvaguardas de Soportes de Información _almacenamiento
electrónico......................................................................................................... 95
4.1.4.4.9 Salvaguardas de Soportes de Información _almacenamiento no
electrónico......................................................................................................... 97
4.1.4.4.10 Salvaguardas de Equipamiento auxiliar .......................................... 98
4.1.4.4.11Salvaguardas de Instalaciones ........................................................ 99
4.1.4.4.12 Salvaguardas - Personal ................................................................. 99
4.1. 4.5. Informe de Calificación del Riesgos ................................................. 100
8
4.1.4.6. ¿Cómo quedarían reducidos los riesgos de seguridad a los que está
expuesta el área de informática de la Curaduría Urbana Segunda de
Pasto? ............................................................................................................. 101
4.1.4.6. 1 Políticas y objetivos de seguridad del área de informática .............. 101
Generalidades:................................................................................................ 101
Alcance ........................................................................................................... 102
4.1.4.6. 2 Organización de la Seguridad de la Información............................. 104
4.1.4.6. 3 Gestión de Activos .......................................................................... 107
4.1.4.6. 4 Seguridad de los recursos humanos ............................................... 109
4.1.4.6. 5 Seguridad física y del entorno ......................................................... 111
4.1.4.6. 6 Gestión de operaciones y comunicaciones .................................... 113
4.1.4.6. 7 Control del Acceso .......................................................................... 117
4.1.4.6. 8 Adquisición, desarrollo y mantenimiento de sistemas de
información ..................................................................................................... 119
4.1.4.6.9 Gestión de los incidentes de seguridad de la información ............... 122
4.1.4.6. 10 Gestión de la continuidad del negocio .......................................... 123
4.1.4.6. 11 Cumplimiento ................................................................................ 125
4.1. 4.2 Segunda Etapa – Implantar .............................................................. 127
4.1. 4.2.1. Declaración de Aplicabilidad .......................................................... 127
4.1. 4.2.2. Aplicabilidad de los Controles ....................................................... 128
4.1. 4.2.3. Definición del Plan de Tratamiento del Riesgo............................... 158
4.1.4.2.3.1 Plan de Tratamiento del Riesgos .................................................. 159
4.1.4.2.4 Carta de Respuesta de la Curaduría Urbana Segunda de Pasto .... 169
CONCLUSIONES ............................................................................................................170
BIBLIOGRAFÍA ................................................................................................................171
ANEXOS ............................................................................................................................174
ANEXO A ........................................................................................................ 175
ANEXO B ........................................................................................................ 177
ANÁLISIS DE TRÁFICO DE RED CON WIRESHARK DE LA RED DE LA
CURADURIA URBANA SEGUNDA DE PASTO ............................................. 177
9
LISTA DE FIGURAS
10
LISTA DE TABLAS
11
RESUMEN
El gobierno nacional dispone mediante leyes y decretos que en las ciudades para
el desarrollo urbano sean las curadurías urbanas o la oficina de planeación
municipal las encargadas de otorgar licencias urbanísticas en todas sus
modalidades.
Por lo tanto el Curador Urbano es un particular con función pública encargado de
estudiar, tramitar y expedir licencias urbanísticas a todos los interesados que
presenten solicitud de obtención de licencia. Su función es verificar el
cumplimiento de las normas urbanísticas y de edificaciones vigentes, con
autonomía en el ejercicio de sus funciones y responsable conforme a la ley.
Este proyecto se lleva a cabo para la Curaduría Urbana Segunda de Pasto la cual
pretende cada día implementar políticas y controles de seguridad para proteger la
información; mejorar la atención a sus clientes, brindándoles eficiencia y calidad
en la prestación de su servicio y asegurar la continuidad del negocio.
Este trabajo tiene como objetivo fundamental, diseñar un SGSI para el área de
informática de la Curaduría Urbana Segunda de Pasto bajo la Norma ISO/IEC
27001 con el fin de clasificar la información, identificar vulnerabilidades y
amenazas en el área de informática; valorar los riesgos y con base en estos
definir controles y políticas de seguridad que deben ser de conocimiento de la
empresa, instrucciones de los procedimientos a realizarse y la documentación
que se debe desarrollar en todo el proceso para la posterior implementación del
SGSI, aplicando el modelo PHVA (Planificar, hacer, verificar y actuar).
Como primera medida se recolecta información de la curaduría a través de la
observación, la técnica de la encuesta y una prueba de tráfico de red que permiten
tener una idea general del manejo de la seguridad en la organización.
12
ABSTRACT
The national government has through laws and decrees that in cities for urban
development are the urban curator or the municipal planning office responsible for
granting planning permission in all its forms.
This project is carried out for the urban curator Second Pasto which seeks every
day to implement policies and security controls to protect information; improve
service to its customers, providing efficiency and quality in the provision of service
and ensure business continuity.
This work has as main objective, to design an ISMS for the computer field of urban
curator Second Pasto under ISO / IEC 27001 standard in order to classify
information, identify threats and vulnerabilities in the computer field; assess the
risks and based on these controls and define security policies that should be
known to the company, instructions for procedures to be performed and the
documentation that must be developed throughout the process for the subsequent
implementation of the ISMS, using the model PDCA (plan, do, check and act).
As a first step curated information through observation, survey technique and test
network traffic that provide a general idea of the management of security in the
organization is collected.
Following a risk analysis step by step developing the asset inventory, qualitative
valuation of assets, identifying threats, safeguards for identifying assets, valuation
and risk assessment and risk rating report that identify performed the most
pressing risks to which the company is exposed.
Subsequently policies and security checks, which aim to contribute to the reduction
of risks of the elements of informatics and strengthen security measures that are
reflected in the company and its customers in providing an agile defined , efficient,
effective and quality.
Finally, the first phase of implementation is the risk management plan where
concrete clearly how it will act in the control of risks, selected controls are
identified, those responsible and the time is done. Ready to be adopted by the
Second Curator Curator when desired
13
GLOSARIO
14
cual fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
15
En el contexto aquí tratado, se entiende por información todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organización o de fuentes externas) o de la fecha de elaboración.
16
INTRODUCCIÓN
Una vez identificado claramente los activos que se encuentran en riesgo y que
generarían mayor impacto en caso de sufrir un ataque, se procede a definir
políticas de seguridad, la declaración y aplicabilidad de los controles y el plan de
gestión del riesgo, para cada uno de estos activos teniendo en cuenta lo expuesto
por la Norma ISO/IEC 27002. Dichas políticas y controles deben ser
implementadas en la organización por parte de la gerencia, en este caso por
Curador urbano junto al comité de seguridad para cumplir el objetivo fundamental
del SGSI que es proteger la información y disminuir los riesgos, garantizando la
continuidad del negocio.
17
1. ELEMENTOS DE IDENTIFICACIÓN
1.1 TEMA
1.2 TÍTULO
18
1.4 PLANTEAMIENTO DEL PROBLEMA.
1.5 OBJETIVOS
19
Definir políticas de seguridad encaminadas a minimizar los riesgos a los que
está expuesta la información.
1.6 JUSTIFICACIÓN
20
Por lo anteriormente expuesto es de suma importancia el diseño de un SGSI para
el área de informática bajo la norma ISO/IEC 27001 que permita obtener una
visión global del estado de los sistemas de información y observar claramente las
medidas de seguridad a aplicar para prevenir futuros incidentes.
1.7 DELIMITACIÓN
1.8 ALCANCES
21
2. MARCO REFERENCIAL
22
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI1.
Figura 1. SGSI
Fuente: www.iso27000.es
23
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las
condiciones variables del entorno, la protección adecuada de los objetivos de
negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos fundamentales en los que
un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión
de las organizaciones2.
Fuente: www.iso27000.es
2
IBID., ISO 27001.
24
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una sistemática
definida, documentada y conocida por todos, que se revisa y mejora
constantemente.
Fuente: www.iso27000.es
Documentos de Nivel 1:
Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa
también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que
expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y
directrices principales, etc., del SGSI.
Documentos de Nivel 2:
Documentos de Nivel 3:
3
IBID., ISO 27001.
25
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los
requisitos del SGSI; están asociados a documentos de los otros tres niveles como output
que demuestra que se ha cumplido lo indicado en los mismos.
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: Ámbito de la organización que queda sometido al SGSI, incluyendo
una identificación clara de las dependencias, relaciones y límites que existen entre el
alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que
el ámbito de influencia del SGSI considere un subconjunto de la organización como
delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas)4.
4
IBID., ISO 27001.
26
SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Control de la documentación
Fuente: www.iso27000.es
5
IBID., ISO 27001.
27
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI6.
6
IBID., ISO 27001.
28
originan; transferir el riesgo a terceros, p. ej., compañías aseguradoras o
proveedores de outsourcing7.
Fuente: www.iso27000.es
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001
para el tratamiento del riesgo que cumplan con los requerimientos
identificados en el proceso de evaluación del riesgo.
Aprobar por parte de la dirección tanto los riesgos residuales como la
implantación y uso del SGSI.
Definir una declaración de aplicabilidad que incluya: Los objetivos de control y
controles seleccionados y los motivos para su elección; los objetivos de control
y controles que actualmente ya están implantados; los objetivos de control y
controles del Anexo A excluidos y los motivos para su exclusión; este es un
mecanismo que permite, además, detectar posibles omisiones involuntarias.
7
IBID., ISO 27001.
8
ISO / IEC 2700 (2009) Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la
Información – Medición. Obtenido de http://www.iso27001security.com/html/27004.html
29
referenciada en ISO 27001, en su segunda cláusula, en términos de “documento
indispensable para la aplicación de este documento” y deja abierta la posibilidad
de incluir controles adicionales en el caso de que la guía no contemplase todas las
necesidades particulares.
La organización deberá:
9
IBID., ISO 27001.
30
incidentes, resultados de las mediciones de eficacia, sugerencias y
observaciones de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los
riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles
cambios que hayan podido producirse en la organización, la tecnología, los
objetivos y procesos de negocio, las amenazas identificadas, la efectividad de
los controles implementados y el entorno exterior -requerimientos legales,
obligaciones contractuales, etc.
Realizar periódicamente auditorías internas del SGSI en intervalos
planificados.
Revisar el SGSI por parte de la dirección periódicamente para garantizar que
el alcance definido sigue siendo el adecuado y que las mejoras en el proceso
del SGSI son evidentes.
Actualizar los planes de seguridad en función de las conclusiones y nuevos
hallazgos encontrados durante las actividades de monitorización y revisión.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad
o el rendimiento del SGSI.
31
2.1.1.5 ¿Qué tareas tiene la gerencia en un SGSI? 10. Uno de los componentes
primordiales en la implantación exitosa de un Sistema de Gestión de Seguridad de
la Información es la implicación de la dirección. No se trata de una expresión
retórica, sino que debe asumirse desde un principio que un SGSI afecta
fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y
acciones que sólo puede tomar la gerencia de la organización. No se debe caer en
el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada a
niveles inferiores del organigrama; se están gestionando riesgos e impactos de
negocio que son responsabilidad y decisión de la dirección.
32
Identificar y tratar todos los requerimientos legales y normativos, así como las
obligaciones contractuales de seguridad.
Aplicar correctamente todos los controles implementados, manteniendo de esa
forma la seguridad adecuada.
Realizar revisiones cuando sea necesario y actuar adecuadamente según los
resultados de las mismas.
Mejorar la eficacia del SGSI donde sea necesario.
11
IBID., ISO 27001.
33
Recomendaciones de mejora.
12
IBID., ISO 27001.
34
del negocio de la organización. Esto debería hacerse en conjunto con otros
procesos de gestión de negocio.
13
IBID., ISO 27001.
35
2.1.2.4 Confidencialidad: La confidencialidad es la propiedad que impide la
divulgación de información a personas o sistemas no autorizados. A grandes
rasgos, asegura el acceso a la información únicamente a aquellas personas que
cuenten con la debida autorización.
14
IBID., ISO 27001.
36
2.1.2.10 Política de seguridad: Toda intención y directriz expresada formalmente por
la Dirección, Su objetivo es proporcionar a la gerencia la dirección y soporte para
la seguridad de la información, en concordancia con los requerimientos
comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser
creado de forma particular por cada organización. Se debe redactar un
"Documento de la política de seguridad de la información".
2.1.2.14 Valoración del riesgo. Proceso de comparación del riesgo estimado frente a
criterios de riesgo establecidos para determinar la importancia del riesgo.
2.1.2.15 Gestión del riesgo. Actividades coordinadas para dirigir y controlar una
organización con respecto al riesgo.
2.1.3.1 ISO/IEC 2700015: Publicada el 1 de Mayo de 2009, revisada con una segunda
edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de
2014. Esta norma proporciona una visión general de las normas que componen la
serie 27000, indicando para cada una de ellas su alcance de actuación y el
propósito de su publicación. Recoge todas las definiciones para la serie de normas
27000 y aporta las bases de por qué es importante la implantación de un SGSI,
una introducción a los Sistemas de Gestión de Seguridad de la Información, una
breve descripción de los pasos para el establecimiento, monitorización,
mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-
Do-Check-Act para evitar convertirlo en el único marco de referencia para la
mejora continua).
15
IBID., ISO 27001.
37
sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-
2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por
auditores externos los SGSIs de las organizaciones.
16
IBID., ISO 27001.
38
2.1.3.8 ISO/IEC 27007: Publica da el 14 de Noviembre de 2011. No certificable. Es
una guía de auditoría de un SGSI, como complemento a lo especificado en ISO
19011. En España, esta norma no está traducida.
17
Decreto1469. (2010). Ministerio de Vivienda Ciudad y Territorio. Obtenido de http://www.minvivienda.gov.co.
39
edificaciones con destino a usos urbanos acordes con el plan de ordenamiento
territorial del municipio.
2.1.4.7 Qué es una licencia de subdivisión: Es la autorización previa para dividir uno o
varios predios localizados en suelo rural, urbano o de expansión de conformidad
con el plan de ordenamiento territorial del municipio. Son modalidades de la
Licencia de Subdivisión en suelo rural y de expansión; la Subdivisión Rural y en
suelo urbano; la Subdivisión Urbana y Reloteo. La Licencia de Subdivisión no
implica autorización alguna para urbanizar, parcelar, o construir sobre los lotes
resultantes, para cuyo efecto, en todos los casos, deberá adelantar el trámite de
solicitud de licencia de parcelación, urbanización o construcción.
2.1.4.9 Cuál es el término de tiempo que tiene un curador urbano para expedir una
licencia: Cuarenta y cinco (45) días hábiles. Este plazo podrá prorrogarse hasta en
la mitad del mismo 18.
2.1.4.10 Quienes pueden solicitar una licencia urbanística: Los titulares de derechos
reales principales, los propietarios del derecho de dominio a título de fiducia y los
fideicomitentes de las mismas fiducias, de los inmuebles objeto de la solicitud. Los
poseedores solo podrán ser titulares de las licencias de construcción.
18
IBID., Decreto1469.
40
Plano de localización e identificación del predio o predios objeto de la solicitud,
mediante carta catastral del Codazzi – IGAC.
Certificado de demarcación urbanística y arquitectónica de la oficina de
Planeación Municipal.
Copia del documento que acredite el pago o declaración privada con pago del
impuesto predial de los últimos cinco (5) años, donde figure la nomenclatura
alfanumérica o identificación del predio.
Si el solicitante de la licencia fuera una persona jurídica, deberá acreditarse la
existencia y representación de la misma mediante el documento legal idóneo,
cuya fecha de expedición no sea superior a un (1) mes.
Poder debidamente otorgado, cuando se actúe mediante apoderado.
La relación de la dirección de los vecinos de los predios colindantes objeto de
la solicitud y si fuere posible el nombre de ellos.
La manifestación bajo la gravedad del juramento de si el proyecto sometido a
consideración se destinará o no a vivienda de interés social, de lo cual se
dejará constancia en el acto que resuelva la solicitud de licencia.
Los documentos o planos que el proyecto requiera en forma específica.
La prórroga deberá formularse dentro de los treinta (30) días calendario, anteriores
al vencimiento de la respectiva licencia, siempre y cuando se haya iniciado la
obra19.
Las licencias de subdivisión tendrán una vigencia improrrogable de seis (6) meses.
19
IBID., Decreto1469.
41
En la actualidad la curaduría segunda de Pasto cuenta con 12 empleados que se
encargan de elaborar diferentes trabajos así:
Por otra parte existen personas que se encargan de realizar la parte operativa
como, ingreso de proyectos al sistema actual, comunicación de vecinos, ubicación
de proyectos, transcripción de memos, elaboración de licencias, citación de
vecinos y organización de archivo.
20
MINVIVIENDA. (2010). Decreto 1469. Obtenido de http://www.minvivienda.gov.co/Decretos%20Vivienda/1469%20-
%202010.pdf#search=1469
42
Decreto 975-2004 subsidio de vivienda
Decreto 1469 de 2010
Plan de ordenamiento territorial de Pasto – POT.
2.3.1.1 Ley 388 del 18 de Julio de 1997 – Ley de ordenamiento territorial: “Por la cual se
modifica la Ley 9ª de 1989, y la Ley 3ª de 1991 y se dictan otras disposiciones. El
Congreso de Colombia.
21
MINVIVIENDA. (1997). Ley 388. Obtenido de http://www.minvivienda.gov.co/LeyesMinvivienda/0388%20-
%201997.pdf#search=ley%20388%20de%201997
43
Artículo 2º. Principios. El ordenamiento del territorio se fundamenta en los
siguientes principios:
1. La función social y ecológica de la propiedad.
2. La prevalencia del interés general sobre el particular.
3. La distribución equitativa de las cargas y los beneficios.
_______________________
21
MINVIVIENDA. (1997). Ley 388. Obtenido de http://www.minvivienda.gov.co/LeyesMinvivienda/0388%20-
%201997.pdf#search=ley%20388%20de%201997
44
2.3.1.2 Decreto 1469 del 2010 del Ministerio de Ambiente, Vivienda y Desarrollo
Territorial: "Por el cual se reglamentan las disposiciones relativas a las licencias
urbanísticas; al reconocimiento de edificaciones; a la función pública que
desempeñan los curadores urbanos; a la legalización de asentamientos humanos
constituidos por viviendas de interés social, y se expiden otras disposiciones.
2.3.2.1 Decreto número 0026 del 13 de octubre de 2009: Por medio del cual se realiza
la revisión ordinaria y ajustes del Plan de Ordenamiento Territorial del Municipio de
Pasto, adoptado mediante Decreto Municipal 0084 de 2003 y se dictan otras
disposiciones.
45
En cuanto a la revisión arquitectónica es realizada por el curador urbano quien al
contar con un postgrado en urbanismo se encarga de revisar los planos
arquitectónicos y atender consultas en cuanto al cumplimiento del Plan de
Ordenamiento Territorial POT.
Por otra parte existen personas que se encargan de realizar la parte operativa
como, ingreso de proyectos al sistema actual, comunicación de vecinos, ubicación
de proyectos, transcripción de memos, elaboración de licencias, citación de
vecinos y organización de archivo.
46
3. DISEÑO METODOLÓGICO
47
la información, sobre el cual se pretende detectar falencias, plantear soluciones y
resolver problemas22.
22
Ciclo PDCA. Sistemas de Gestión de Seguridad de la Información. Obtenido de
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-14-agosto-2013/135_ciclo_pdca__edward_deming.htmll
48
3.3.2 Muestra
Teniendo en cuenta que el personal que labora en la Curaduría es igual a un
número de personas relativamente pequeño, se tomó como muestra el total de
personas = 11.
49
3.4.4 Muestras
50
equivalencia en español es Planificar, hacer, verificar y actuar (PHVA), es una
estrategia de mejora continua de calidad en cuatro pasos. Este modelo es muy
utilizado para implantación de sistemas de gestión, como los sistemas de gestión
de la calidad que muchas empresas de hoy lo implantan para la calidad
administrativa y de servicios con el objetivo de perfeccionarlos y continuar en un
proceso de mejora continua23.
23
Ciclo PDCA. Sistemas de Gestión de Seguridad de la Información. Obtenido de
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-14-agosto-2013/135_ciclo_pdca__edward_deming.htmll
51
aceptables y residuales y se realicen periódicamente auditorías internas para el
SGSI.
52
4. SGSI PARA LA CURADURIA URBANA SEGUNDA DE PASTO
Teniendo en cuenta el ciclo PDCA que permite realizar una serie de pasos y
procesos para la construcción de un SGSI, a continuación se procede a realizar
cada una de estas etapas:
53
Se puede decir que por estar incluida en los estándares ISO, sirve como
como punto de partida para procesos de certificación y mejoramiento del
sistema de gestión para la empresa.
54
Soportes de Información
Equipamiento Auxiliar
Instalaciones
55
4.1.4.1.3 Claves Criptográficas. Debemos garantizar cifrado de datos y
comunicaciones por el hecho de manejar aplicaciones bancarias.
56
Código grupo de Nombre grupo de activo Código Activo de Nombre activo de
activo Magerit Magerit acuerdo a la empresa acuerdo a la empresa
[app] Servidor de aplicaciones [Server_App] Servidor de
aplicaciones
[dbms] Sistema de gestión de bases [S_BaseDeDatos] Gestor base de datos,
de datos aplicación destinada a
realizar el proceso de
gestión de las bases
de datos manejadas
al interior de la
empresa.
[Oficce] Ofimática [Oficce] Office 2010
[av] Antivirus [Antivirus] McAfee original con
actualizaciones
automáticas.
[os] Sistema operativo [OS_Win7] Sistema operativo
Windows 7, en su
versión professional
con actualizaciones
automáticas
activadas.
Código grupo Nombre grupo de activo Código Activo de acuerdo Nombre activo de
de activo Magerit a la empresa acuerdo a la empresa
Magerit
[wifi] Red inalámbrica [R_wifi] Red Inalámbrica
[LAN] Red local [R_Local] Red local
[Internet] Internet [Internet] Internet
57
4.1.4.1.8 Soportes de Información _almacenamiento electrónico. Se considera
dispositivos físicos de almacenamiento electrónico.
58
4.1.4.1.11 Instalaciones
Código grupo de activo Nombre grupo de activo Código Activo de Nombre activo de
Magerit Magerit acuerdo a la acuerdo a la
empresa empresa
[building] Edificio [E_empresa] Edificio de la
empresa
(Curaduría)
4.1.4.1.12 Personal
Código Nombre grupo de activo Código Activo de Nombre activo de
grupo de Magerit acuerdo a la empresa acuerdo a la empresa
activo
Magerit
[ui] Usuarios internos [E_personal] Personal de recepción,
área técnica,
administrativa y archivo
[adm] Administradores de sistemas [A_sistemas] Administrador de
sistemas
4.1.4.2. Valoración cualitativa de los activos. Teniendo en cuenta que todos los
activos no tienen la misma relevancia e importancia para la empresa y que cada
uno de estos en caso de ser atacado o sufrir un incidente genera un impacto
diferente en la organización, se procede a realizar una valoración cualitativa para
cada uno de los activos teniendo en cuenta las dimensiones de seguridad como
confiabilidad, integridad, autenticidad, disponibilidad y trazabilidad de acuerdo a la
siguiente Tabla.
59
4.1.4.2.1 Valoración Cualitativa de Activos esenciales
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
60
4.1.4.2.2 Valoración Cualitativa de Datos/Información
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
61
4.1.4.2.3 Valoración Cualitativa de Claves Criptográficas. Debemos garantizar
cifrado de datos y comunicaciones por el hecho de manejar aplicaciones
bancarias.
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
4.1.4.2.4 Valoración Cualitativa de Servicios. Los servicios son para los clientes
y empleados.
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
Disponibilidad
Trazabilidad
[www] World wide [S_Internet] Servicio de internet Confiabilidad 6
web al que pueden Integridad 6
acceder los Autenticidad 6
empleados.
Disponibilidad
Trazabilidad
[email] Correo [S_correo] Manejo de correos Confiabilidad 6
electrónico electrónicos Integridad 6
Autenticidad 7
62
Disponibilidad
Trazabilidad
[file] Almacenam [S_A_Bases de Servicio de Confiabilidad 7
iento de datos] almacenamiento de Integridad 7
ficheros información en el Autenticidad 7
servidor de bases Disponibilidad
de datos.
Trazabilidad
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
[app] Servidor [Server_App] Servidor de Confiabilidad 7
de aplicaciones Integridad 7
aplicacion
es Autenticidad 7
Disponibilidad
Trazabilidad
63
Integridad
Autenticidad
Disponibilidad 2
Trazabilidad
[av] Antivirus [Antivirus] McAfee original Confiabilidad 7
con Integridad
actualizaciones Autenticidad
automáticas. Disponibilidad 7
Trazabilidad
[os] Sistema [OS_Win7] Sistema operativo Confiabilidad
operativo Windows 7, en su Integridad
versión Autenticidad
professional con Disponibilidad 4
actualizaciones Trazabilidad
automáticas
activadas.
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
Autenticidad 7
Disponibilidad 7
Trazabilidad
[mid] Equipos [PC_trabajadores] Equipos de mesa Confiabilidad 6
medios Integridad 6
(Equipos Autenticidad 6
de trabajo
Disponibilidad
64
conectado Trazabilidad
s a través
de red
inalámbric
a por red
802.1x)
[pc] Equipos [PC_portatiles] Equipos Portatiles Confiabilidad 6
que son Integridad 6
fácilmente Autenticidad 6
transporta Disponibilidad
dos Trazabilidad
[print] Equipos [E_Impresoras] Impresoras Confiabilidad
de Integridad
impresión Autenticidad
Disponibilidad 4
Trazabilidad
[router] Enrutadore [R_enrutadores] Enrutadores Confiabilidad 7
s Integridad 7
Autenticidad 7
Disponibilidad 7
Trazabilidad
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
65
4.1.4.2.8 Valoración Cualitativa de Soportes de Información _almacenamiento
electrónico
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
66
Autenticidad
Disponibilidad
Trazabilidad
C_Sop0rtesContabili Carpetas facturas y Confiabilidad
dad soportes contabilidad Integridad 7
Autenticidad
Disponibilidad
Trazabilidad
C_varios Carpetas varios Confiabilidad
Integridad 7
Autenticidad
Disponibilidad
Trazabilidad
Criterio
grupo de activo Magerit de acuerdo a acuerdo a la Seguridad
activo la empresa empresa
Magerit
67
4.1.4.2.11 Valoración Cualitativa de Instalaciones
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
[building] Edificio [E_empresa] Edificio de la Confiabilidad
empresa Integridad
(Curaduría) Autenticidad
Disponibilidad 5
Trazabilidad
Criterio
grupo de grupo de acuerdo a la acuerdo a la Seguridad
activo activo empresa empresa
Magerit Magerit
[ui] Usuarios [E_personal] Personal de Confiabilidad
internos recepción, área
Integridad
técnica,
administrativa y Autenticidad
archivo Disponibilidad 6
Trazabilidad
[adm] Administrad [A_sistemas] Administrador de Confiabilidad
ores de sistemas Integridad
sistemas
Autenticidad
Disponibilidad 6
Trazabilidad
68
Tabla 4: Dimensiones de seguridad según Magerit
69
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
agua Instalaciones
Soporte de 5 100
[N.1] Fuego
almacenamiento %
[N.2] Daños por
electrónico y no
agua
electrónico
Soporte de 5 100
[I.1] Fuego
almacenamiento %
[I.2] Daños por
electrónico y no
agua
electrónico
[N.1] Fuego Equipamiento 5 50%
[N.2] Daños por Auxiliar
agua
[I.1] Fuego Equipamiento 5 50%
[I.2] Daños por Auxiliar
agua
Equipos 10 100
informáticos, %
Soporte de 5 75%
[N.*] Desastres Información
industriales Equipamiento 5 20%
Auxiliar
Instalaciones 5 100
%
Equipos 10 100
Informáticos %
Soporte de 5 75%
[I.*] Desastres Información
industriales Equipamiento 5 20%
Auxiliar
Instalaciones 5 100
%
Equipos 50
75%
Informáticos
[I.3] Contaminación
Soporte de 5
mecánica 50%
información
Equipamiento 5 20%
70
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
auxiliar
[I.4] Contaminación Router de acceso 50 100
electromagnética inalámbrico. %
Software - 50
100
Aplicaciones
%
Informáticas
[I.5] Avería de Equipos 10 100
origen físico o informáticos %%
lógico Soportes de 5
20%
Información
Equipamiento 5
20%
Auxiliar
Equipos 50 100
Informáticos %
[I.6] Corte del Soporte de 5
suministro eléctrico Información 50%
(electrónicos)
Ups computadores 5 5%
[I.7] Condiciones Equipos 50
inadecuadas de Informáticos 100
temperatura o %
humedad
Redes de 50
[I.8] Fallo de
comunicaciones 100
servicios de
(Red inalámbrica, %
comunicaciones
red local e internet)
[I.9] Interrupción de Equipamiento 5
otros servicios y Auxiliar
5%
suministros
esenciales.
[I.10] Degradación Soportes de 5
de los soportes de Información
5%
almacenamiento de
la información.
[E.1] Errores de los Archivos de 50 100 100
75%
usuarios proyectos radicados % %
71
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Archivos de Clientes 5 100
50% 50%
%
Datos/Información Archivo de 5 100 100
50%
Contabilidad % %
Archivos de Informes 10 100 100
50%
y licencias expedidas % %
Archivo de Copias 5
100 100
de seguridad de la 50%
% %
información
Datos de 5
100 100
configuración de 50%
% %
servidores y equipos
Datos de Gestión de 5 100 100 100
proyectos radicados % % %
Contraseñas de 5
acceso de 50% 50% 50%
empleados
[E.1] Errores de los Claves 5
100 100 100
usuarios Criptográficas
% % %
Servicios prestados 5
a usuarios externos
bajo relación 50% 50% 50%
contractual (Clientes
de proyectos)
Servicios prestados 5
[E.1] Errores de los
a trabajadores tanto
usuarios 100 100
al interior como 75%
% %
haciendo uso de
internet.
Servicios
Servicio de internet
al que pueden 10
75% 50% 50%
acceder los
empleados.
Manejo de correos 5
50% 50% 75%
electrónicos
72
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Servicio de 10
almacenamiento de
información en el 75% 75% 75%
servidor de bases de
datos.
Manejo de privilegios 5
de acuerdo al rol
dentro de la empresa
y el lugar de donde
esté ingresando, 100
75% 75%
considerando el %
desempeño como
teletrabajo.
Servidor de 5 100
75% 75%
aplicaciones %
Gestor base de 5
datos, aplicación
destinada a realizar
el proceso de gestión 100 100 100
de las bases de % % %
datos manejadas al
[E.1] Errores de los
interior de la
usuarios
empresa.
Office 2010 5 75% 50% 75%
McAfee original con 5
Aplicaciones
actualizaciones 75% 20% 75%
automáticas.
Sistema operativo 10
Windows 7, en su
versión professional
75% 20% 75%
con actualizaciones
automáticas
activadas.
73
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Soportes de 10
Información
50% 50% 50%
[E.1] Errores de los almacenamiento
usuarios. electrónico.
10
Soporte de Soportes de
información Información
50% 50% 50%
_almacenamiento
no electrónico.
Datos/Información 50 100
75% 50%
%
Claves 5 100
[E.2] Errores del 75% 50%
criptográficas %
administrador
Servicios 5 75% 50% 75%
Aplicaciones 5 100 75
75%
% %
Redes de 10 100 75
75%
Comunicación % %
Datos de 5
[E.4] Errores de 100
configuración de
configuración %
servidores y equipos
Personal de 50
recepción, área
técnica, 75%
[E.7] Deficiencias
administrativa y
en la organización
archivo
Administrador de 5
75%
sistemas
Software – 5
[E.8] Difusión de
Aplicaciones 50% 50% 75%
software dañino
Informáticas
Servicios 5 20%
[E.9] Errores de [re-
Software – 5
]encaminamiento 20%
Aplicaciones
74
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Informáticas
Redes de 5
20%
comunicaciones
Activos esenciales 5 100
[E.14] Escapes de %
información Datos / información 5 100
%
[E.15] Escapes de Datos / información 10 100
información %
Datos / información 10
[E.18] Escapes de Aplicaciones 5 50%
información Soporte 5
20%
Información
Datos / información 10 75%
Claves 5
75%
[E.19] Fugas de criptográficas
información Servicios 10 75%
Aplicaciones 10 50%
Personal 10 75%
Servidor de 5
75% 50% 20%
aplicaciones
Gestor base de 10
datos, aplicación
destinada a realizar
el proceso de gestión
50% 20% 75%
de las bases de
[E.20]
datos manejadas al
Vulnerabilidades
interior de la
de los programas
empresa.
(software)
Office 2010 5 5% 5% 5%
McAfee original con 5
100
actualizaciones 75% 20%
%
automáticas.
Sistema operativo 10
Windows 7, en su 50% 20% 75%
versión professional
75
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
con actualizaciones
automáticas
activadas
Servidor de 5
20% 75%
aplicaciones
Gestor base de 10
datos, aplicación
destinada a realizar
el proceso de gestión
20% 75%
de las bases de
datos manejadas al
[E.21] Errores de
interior de la
mantenimiento /
empresa.
actualización de
Office 2010 5 20% 20%
programas (softwa-
McAfee original con 10
re)
actualizaciones 5% 20%
automáticas.
Sistema operativo 10
Windows 7, en su
versión profesional
50% 50%
con actualizaciones
automáticas
activadas
Servicios 5 100
%
[E.24] Caída del
Equipos 10
sistema por 100
Informáticos
agotamiento de %
recursos
Redes de 5 100
comunicaciones %
Equipos 5 100
75%
Informáticos %
[E.25] Pérdida de Soporte 5 100
20%
equipos -Robo Información %
Equipamiento 5
5% 20%
Auxiliar
76
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Personal de 10
recepción, área
[E.28] técnica, 75%
Indisponibilidad del administrativa y
personal archivo
Administrador de 5 100
sistemas %
Datos / información 5 75% 75% 75%
Claves 5
75% 75% 50%
[A.5] Suplantación criptográficas
de la identidad del Servicios 5 50% 75% 50%
usuario Aplicaciones 5 20% 75% 50%
Redes de 5
20% 75% 75%
comunicaciones
Datos / información 5 100
75% 5%
%
Claves 5
75% 50% 5%
criptográficas
[A.6] Abuso de Servicios 5
privilegios de 50% 50% 75%
acceso
Equipos 50
75% 75% 75%
Informáticos
Redes de 10
75% 50% 75%
comunicaciones
Servicios 5 75% 75% 75%
Aplicaciones 10 75% 75% 75%
Equipos 50
75% 75% 75%
Informáticos
Redes de 10
75% 75% 75%
[A.7] Uso no comunicaciones
previsto Soporte de 5
20% 20% 20%
Información
Equipamiento 5
20% 20% 20%
Auxiliar
Instalaciones 10
75% 50% 20%
77
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
[A.8] Difusión de Aplicaciones 5
50% 75% 75%
software dañino
Datos / información 10 100
75% 50%
%
Claves 5
50% 75% 20%
criptográficas
Servicios 5 75% 50% 50%
Aplicaciones 10 75% 50% 50%
Equipos 10
[A.11] Acceso no 75% 20% 75%
Informáticos
autorizado
Redes de 10
75% 20% 75%
comunicaciones
Soporte de 5
20% 20% 20%
Información
Equipamiento 5
5% 5% 5%
Auxiliar
Instalaciones 5 75% 20% 20%
[A.13] Repudio Servicios 5 50% 75%
[A.14] Redes de 5
Interceptación de comunicaciones
75%
información
(escucha pasiva)
Datos / información 5 75%
[A.15] Modificación Claves 5
75%
deliberada de la criptográficas
información Servicios 5 75%
Aplicaciones 5 75%
Datos / información 5 100
%
Claves 5 100
criptográficas %
[A.18] Destrucción
Servicios 5 100
de información
%
Aplicaciones 5 100
%
Soporte de la 5 75%
78
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
información
Datos / información 10 100
%
[A.19] Divulgación Claves 5 100
de información criptográficas %
Soporte de 5
Información
[A.22] Manipulación Aplicaciones 10 100 100 100
de programas % % %
Equipos 50 100
75%
Informáticos %
[A.23] Manipulación Soportes de 5
20% 20%
de los equipos Información
Equipamiento 5
5% 5%
auxiliar
Equipos 5
75%
Informáticos
[A.24] Denegación
Servicios 5 75%
de servicio
Redes de 5
75%
Comunicación
Equipos 5 100
75%
informáticos %
[A.25] Robo
Soporte de 5
75% 20%
Información
Equipo 5 100
Informáticos %
Soporte de 5
[A.26] Ataque 50%
Información
destructivo
Equipamiento 5
50%
Auxiliar
instalaciones 5 75%
[A.28] Personal 5
Indisponibilidad del 75%
Personal
[A.29] Extorsión Personal 5 75% 75% 75%
[A.30] Ingeniería Personal 5 75% 75% 75%
79
Relación de amenazas por activo identificando su frecuencia e impacto
Frec Impacto para cada
uenci Dimensión de seguridad (%)
a de [A] [C] [I] [D] [T]
Amenaza Activo
la
amen
aza
Social
4.1.4.4. Salvaguardas
Efecto Tipo
Preventivas: reducen la probabilidad [PR] preventivas
[DR] disuasorias
[EL] eliminatorias
Acotan la degradación [IM] minimizadoras
[CR] correctivas
[RC] recuperativas
Consolidan el efecto de las demás [MN] de monitorización
[DC] de detección
[AW] de concienciación
[AD] administrativas
80
4.1.4.4.1 Salvaguardas de Activos esenciales
81
[I_Normativa] Información de Preventivas(PR) Políticas de
Normativa ( seguridad para
Normas el personal
locales, que tiene
nacionales, acceso a la
POT, información
acuerdos, Recuperación Copias de
decretos, (RC) Seguridad
Cartografía) Concienciación Capacitación
(AW) al personal en
el manejo de la
información.
Administrativas Puesta en
(AD) marcha del
Plan Director
[per] Datos de [I_Contabilidad] Contabilidad Preventivas(PR) Políticas de
Carácter de la empresa seguridad para
Personal el personal
que tiene
acceso a la
información
Recuperación Copias de
(RC) Seguridad de
la información
de contabilidad
Concienciación Capacitación
(AW) al personal en
el manejo de la
información.
Administrativas Puesta en
(AD) marcha del
Plan Director
82
radicados que tiene
acceso a la
información.
Acceso
Restringido
Recuperación Copias de
(RC) Seguridad de
datos
históricos
guardadas en
sitios seguros
Concienciación Capacitación
(AW) al personal en
el manejo de la
información.
Administrativas Puesta en
(AD) marcha del
Plan Director
[D_Proyectos] Documentació Preventivas(PR) Políticas de
n de proyectos seguridad para
tramitados. el personal
que tiene
acceso a la
información.
Acceso
Restringido
Recuperación Copias de
(RC) Seguridad de
datos
históricos
guardadas en
sitios seguros
Concienciación Capacitación
(AW) al personal en
el manejo de la
información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Preventivas(PR) Políticas de
seguridad para
el personal
que tiene
acceso a la
información
83
4.1.4.4.2 Salvaguardas de Datos/Información
Código Nombre Código Activo Nombre activo Tipo de Des.
grupo de grupo de de acuerdo a la de acuerdo a Protección Salvaguarda
activo activo empresa la empresa
Magerit Magerit
84
Recuperación Copias de
(RC) Seguridad
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminación (EL) Gestión de
contraseñas
[A_Informes y Archivos de Preventivas(PR) Políticas de
Licencias ] Informes y seguridad para
licencias el personal
expedidas que tiene
acceso a la
información.
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminación (EL) Gestión de
contraseñas
[backup] Copias de [A_Copias de Archivo de Preventivas(PR) Políticas de
Respaldo Seguridad] Copias de seguridad para
seguridad de el personal
la información que tiene
acceso a la
información.
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminación (EL) Gestión de
contraseñas
[conf] Datos de [D_Configuracio Datos de Preventivas(PR) Políticas de
configuraci n_ser] configuración seguridad para
ón de servidores el personal
y equipos que tiene
85
acceso a la
información.
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminación (EL) Gestión de
contraseñas
[int] Datos de [D_GestionProy Datos de Preventivas(PR) Políticas de
gestión ectos] Gestión de seguridad para
interna proyectos el personal
radicados que tiene
acceso a la
información.
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminación (EL) Gestión de
contraseñas
[passwor Credencial [Pass_usuarios] Contraseñas Preventivas(PR) Políticas de
d] es de acceso de seguridad para
empleados el personal
que tiene
acceso a la
información.
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminación (EL) Gestión de
contraseñas
86
4.1.4.4.3 Salvaguardas de Claves Criptográficas
87
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Políticas de
seguridad,
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad de
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
[www] World wide [S_Internet] Servicio de Monitorización(M Registro de
web internet al que n) descarga
pueden Preventivas(PR) Clasificación
acceder los de la
empleados. información en
este caso
catalogada
como
confidencial.
Políticas de
seguridad,
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad de
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
[email] Correo [S_correo] Manejo de Monitorización(M Registro de
88
electrónico correos n) descarga
electrónicos Preventivas(PR) Clasificación
de la
información en
este caso
catalogada
como
confidencial.
Políticas de
seguridad,
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad de
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
[file] Almacenam [S_A_Bases de Servicio de Monitorización(M Registro de
iento de datos] almacenamien n) descarga
ficheros to de Preventivas(PR) Clasificación
información en de la
el servidor de información en
bases de este caso
datos. catalogada
como
confidencial.
Políticas de
seguridad,
Gestión de
privilegios
Recuperación Copias de
(RC) Seguridad de
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
[ipm] Gestión de [G_privilegios] Manejo de Preventivas(PR) Clasificación
privilegios privilegios de de la
acuerdo al rol información en
dentro de la este caso
empresa y el catalogada
lugar de como
89
donde esté confidencial.
ingresando,
considerando Políticas de
el desempeño seguridad,
como Gestión de
teletrabajo. privilegios
Recuperación Copias de
(RC) Seguridad
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Eliminación (EL) Eliminación de
cuentas sin
contraseña
90
proceso de manejo de
gestión de las antivirus
bases de Preventivas(PR) Políticas de
datos seguridad,
manejadas al Gestión de
interior de la privilegios
empresa. Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Monitorización(M Registro de
n) uso y
descarga
Eliminación (EL) Eliminación de
cuentas sin
contraseña
Correctivas(CR) Gestión de
incidentes
[Oficce] Ofimática [Oficce] Office 2010 Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Monitorización(M Registro de
n) uso y
descarga
Eliminación (EL) Eliminación de
cuentas sin
contraseña
Preventivas(PR) Políticas de
seguridad,
Gestión de
privilegios
91
con n) uso y
actualizacione descarga
s automáticas Eliminación (EL) Eliminación de
activadas. cuentas sin
contraseña
Preventivas(PR) Políticas de
seguridad,
Gestión de
privilegios
92
contraseña
Minimización (IM) Detención del
servicio en
caso de
ataque
Correctivas(CR) Gestión de
incidentes
Monitorización(M Registro de
n) descarga,
registro de
acceso
Detección (DC) Activación de
Firewall,
software de
monitorización
y escaneo,
manejo de
antivirus
Concienciación Capacitación
(AW) al personal en
el manejo.
[mid] Equipos [PC_trabajadore Equipos de Detección (DC) Activación de
medios s] mesa IDS y Firewall,
(Equipos manejo de
de trabajo antivirus
conectados Preventivas(PR) Políticas de
a través de seguridad,
red Gestión de
inalámbrica privilegios
por red Concienciación Capacitación
802.1x) (AW) al personal en
el manejo de
la información.
Recuperación Copias de
(RC) Seguridad
Eliminación (EL) Eliminación de
cuentas sin
contraseña
Correctivas(CR) Gestión de
incidentes
[pc] Equipos [PC_portatiles] Equipos Detección (DC) Activación de
que son Portatiles IDS y Firewall,
fácilmente manejo de
transportad antivirus
os Preventivas(PR) Políticas de
seguridad,
Gestión de
privilegios
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
93
Recuperación Copias de
(RC) Seguridad
Eliminación (EL) Eliminación de
cuentas sin
contraseña
Correctivas(CR) Gestión de
incidentes
[print] Equipos de [E_Impresoras] Impresoras Preventivas(PR) Políticas de
impresión seguridad.
Correctivas(CR) Gestión de
incidentes
[router] Enrutadore [R_enrutadores] Enrutadores Preventivas(PR) Políticas de
s seguridad,
Gestión de
privilegios
Minimización (IM) Detención del
servicio en
caso de
ataque
Correctivas(CR) Gestión de
incidentes
Monitorización(M Registro de
n) descarga,
registro de
acceso
Detección (DC) Activación de
Firewall,
software de
monitorización
y escaneo,
manejo de
antivirus
94
Disuasión (DR) Guardias de
seguridad
[LAN] Red local [R_Local] [LAN] Preventivas(PR) Políticas de
seguridad,
Gestión de
privilegios
Minimización (IM) Detención del
servicio en
caso de
ataque
Correctivas(CR) Gestión de
incidentes
Disuasión (DR) Guardias de
seguridad
[Internet] Internet [Internet] [Internet] Preventivas(PR) Políticas de
seguridad,
Gestión de
privilegios
Minimización (IM) Detención del
servicio en
caso de
ataque
Correctivas(CR) Gestión de
incidentes
Disuasión (DR) Guardias de
seguridad
95
el personal
que tiene
acceso a la
información
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Disuasión (DR) Guardias de
seguridad
96
4.1.4.4.9 Salvaguardas de Soportes de Información _almacenamiento no electrónico
97
Administrativas Puesta en
(AD) marcha del
Plan Director
Disuasión (DR) Guardias de
seguridad
98
etc. información
Concienciación Capacitación
(AW) al personal en
el manejo de
la información.
Administrativas Puesta en
(AD) marcha del
Plan Director
Disuasión (DR) Guardias de
seguridad
4.1.4.4.11Salvaguardas de Instalaciones
99
internos recepción, (AW) capacitación y
área técnica, entrenamiento
administrativa Administrativas Puesta en
y archivo (AD) marcha del
Plan Director
[adm] Administrad [A_sistemas] Administrador Concienciación Cursos de
ores de de sistemas (AW) capacitación y
sistemas entrenamiento
Administrativas Puesta en
(AD) marcha del
Plan Director
Por otra parte los impactos generados por los desastres naturales como fuego e
inundaciones son críticos en el caso de que se llegasen a presentar
afortunadamente la posibilidad de que ocurra es muy baja, esto no quiere decir
que no se deba de tener en cuenta al contrario también se debe considerar como
100
una posibilidad y se debe establecer políticas y medidas de seguridad
encaminadas a minimizar cada riesgo.
En este orden de ideas los activos con mayor necesidad de ser protegidos son:
Equipos informáticos, datos e información, software y aplicaciones, redes de
comunicación puesto que son vulnerables y blanco fácil de los atacantes.
De que se los debe proteger: Del uso no previsto, del abuso de privilegios, fallos
en los servicios de comunicaciones, errores de usuarios y administradores del
sistema, condiciones inadecuadas de seguridad, contaminación electromagnética
y mecánica etc.
4.1.4.6. ¿Cómo quedarían reducidos los riesgos de seguridad a los que está
expuesta el área de informática de la Curaduría Urbana Segunda de Pasto?
Una vez realizado el análisis de riesgos para los activos de la Curaduría Urbana
Segunda de Pasto y teniendo en cuenta los resultados obtenidos, se procede a
especificar las políticas y objetivos de la seguridad del área de informática,
teniendo como guía la norma ISO/IEC-27002.
101
Alcance: Esta política se debe aplicar a todos los procesos y dependencias
relacionados con el área de informática de la Curaduría Urbana Segunda de
Pasto.
102
Responsable de Recursos Humanos: Es el encargado de divulgar las
políticas de seguridad y la obligatoriedad del cumplimiento de las mismas por
todos los empleados de la empresa. Si se generan cambios este se encargara
de divulgar dichos cambios.
103
4.1.4.6.2 Organización de la Seguridad de la Información
104
Tabla 8: Comité de Seguridad de la información
105
Tabla 10: Encargados de la seguridad de la Información en la Organización
106
Partes externas y coordinación de la seguridad de la información: Se debe
controlar todo acceso a los servicios, comunicación, procesamiento de la
información y comunicación que provienen de partes externas así:
107
usuarios. Cada dependencia debe supervisar que la clasificación y rotulado de
la información sea correcto.
Política
108
Hace referencia a cuya información en caso de no
0 poderse acceder, no afecta los procesos y servicios de la
organización.
0
0
1 Hace referencia a cuya información que en caso de no
poderse
1 acceder en un plazo largo como una semana,
puede ocasionar pérdidas significativas a la empresa
2 Hace referencia a cuya información que en caso de no
poderse
2 acceder en un plazo corto como un día, puede
ocasionar pérdidas significativas a la empresa
3 Hace referencia a cuya información que debe estar
disponible
3 todo el tiempo y la inaccesibilidad mayor a
una hora puede ocasionar pérdidas significativas a la
empresa
Criticidad baja: ninguno de los valores asignados superan el
Criticidad media: alguno de los valores asignados es 2
Criticidad alta: alguno de los valores asignados es 3
109
Alcance: Esta política se debe aplicar a todo el personal de la organización,
interno y externo
Responsables:
Política
110
políticas de seguridad, motivarlos y verificar que estén de acuerdo con los
términos y condiciones establecidas en el contrato laboral.
111
Alcance: Esta política se debe aplicar la instalaciones de la Curaduría y todos sus
equipos, expedientes, cableados, documentación etc.
Responsables:
Política
112
un lugar aislado y protegido tanto de amenazas naturales ambientales, físicas
y humanas, adicional a esta medida se restringirá el acceso. Por lo tanto solo
podrá acceder personal autorizado con su credencial y los ingresos y tareas a
realizar serán debidamente documentadas por el responsable de la seguridad;
las labores de aseo serán verificadas para evitar daños y hurtos.
113
Responsables:
Política
114
Control de Cambios en las Operaciones: Todo cambio debe ser
evaluado y aprobado previamente y se tendrán en cuenta los siguientes
aspectos: Evaluación del cambio y posible impacto, planificación, prueba,
e identificación de responsabilidades en caso de que el cambio sea
fallido.
Procedimientos de Manejo de incidentes: El responsable de la
seguridad junto con el jefe del área de informática establecerán protocolo
para el manejo de incidentes tales como: Definir los posibles tipos de
incidentes (Fallas operativas, código malicioso, intrusiones, fraude
informático, error humano, desastres naturales). En caso de presentarse
incidentes comunicarlos a la dirección y seguir el plan de contingencia,
implementar controles de acceso a los sistemas y medidas de
recuperación.
Mantenimiento
115
almacenamiento de copias de seguridad debe estar físicamente protegida
con un esquema de seguridad especial.
116
Intercambios de Información y de Software: Se debe utilizar medios de
mensajería confiable, se deben de tener en cuenta las siguientes
recomendaciones: Uso adecuado por de la mensajería electrónica por parte
del personal, no abrir mensajes de remitentes desconocidos, toda información
que llega debe ser escaneada, se debe conocer los posibles riesgos de
seguridad a los que se enfrenta un usuario al utilizar mensajería electrónica
(interceptación, robo, engaños, bombas lógicas etc.) y transferir por este
medio información confidencial.
Alcance: Esta política se aplica a todas los procesos o formas de acceso a los
sistemas de información, bases de datos o servicios de información de la
empresa.
Responsables:
117
Política
118
Control de acceso a la red: El responsable de la seguridad informática es el
encargado de otorgar los permisos para el acceso a la red y sus recursos,
realizar normas y procedimientos de autorización, establecer controles y
procedimientos de control de acceso, para autenticación de usuarios para
conexiones externas debe de escogerse un método de autenticación, un
protocolo de autenticación, a autenticar las conexiones a sistemas
informáticos remotos, protección de puertos para evitar accesos no
autorizados, en lo posible subdividir o segmentar la red para realizar procesos
separados con el fin de que si se presenta un incidente no se contamine toda
la red o si un espía ingresa a esta no tenga acceso a toda la información, por
otra parte se debe controlar el acceso lógico a los servicios, configurar los
servicios de manera segura etc. El acceso a internet solo será autorizado por
el jefe del área de informática.
119
operativos, todo esto con el fin de evitar que personas conocedoras de los
procesos puedan cometer fraudes o ilícitos y si es el caso identificarlos de manera
inmediata.
Alcance: Esta política se debe aplicar a todos los sistemas informáticos tanto
sistemas operativos como software requerido para la entidad.
Responsables:
Política
120
de campos claves, se debe establecer como se realizara y con qué
método, además se definirá las responsabilidades del personal.
Controles criptográficos
121
los cambios son necesarios, que impacto genera, informar al área
involucrada y verificar la continuidad del negocio.
Objetivo: Garantizar que todos los eventos maliciosos, como fallas y debilidades
de la seguridad de la información sean comunicados de manera inmediata.
Responsables:
122
Política
123
Alcance: Esta política se debe aplicar a todos los procesos críticos y prioritarios
de la empresa.
Responsables:
Política
124
Ensayo, mantenimiento y reevaluación de los planes de continuidad de la
empresa: El comité de seguridad establecerá un cronograma de pruebas, el
cronograma señalara quienes son los responsables, efectuara pruebas,
realizara simulaciones y pruebas completas en las instalaciones, involucrando
procesos y con todo el personal.
4.1.4.6. 11 Cumplimiento
Responsables:
Política
125
otros de estos se debe realizar un inventario, implementar controles, y
establecer procedimientos de almacenamiento, divulgación, manipulación
o eliminación.
Auditorías de sistemas
126
auditar, controlar el alcance de las comprobaciones, limitar la auditoria
para evitar modificaciones.
127
Tabla 12: Estado de los Controles
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Políticas de
5
seguridad
Políticas de
seguridad de
5.1
la
información.
Documentos La implementación de Garantizar que Documentaci
de políticas las políticas de los ón de todos
de seguridad seguridad debe estar procedimientos los procesos
de la debidamente para el manejo a
5.1.1 información Si documentada y para de la información desarrollarse P
que sirva como guía en sean conocidos para la
la implementación del por los implementaci
SGI miembros de la ón de la
Curaduría. seguridad
Revisión de Es necesario revisar Garantizar que Revisión de
políticas seguidamente las las políticas de las políticas
para políticas de seguridad seguridad de la de seguridad
5.1.2 Si P
seguridad de para verificar el información se de la
la cumplimiento de las mantengan información.
información mismas actualizadas.
Aspectos
organizativo
s de la
6
seguridad de
la
información
Organizació
6.1
n interna
128
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Compromiso Cada trabajador debe Garantizar que Políticas de
de la conocer cuáles son sus sólo personas gestión de
dirección responsabilidades frente dentro de cierta privilegios.
con la al manejo de la jerarquía dentro
seguridad de información en la de la empresa
6.1.1 Si PI
la Curaduría para tengan acceso a
información asumirlas de manera la información.
adecuada, además debe
conocer a fondo el rol
que desempeña.
Coordinació Es importante que cada Garantizar que Políticas de
n de la empleado que labora en sólo personas seguridad
seguridad de la Curaduría conozca su idóneas tengan para el
la límite en el manejo de la acceso a la personal que
6.1.2 Si PI
información información información. maneja la
información
al interior de
la empresa.
Asignación Los empleados de la Garantizar que Planes de
de las Curaduría que tiene las políticas de capacitación
responsabili acceso a la información seguridad de la para el
dades deben contribuir de información personal a
6.1.3 relativas a la Si manera exhaustiva al estén acordes cargo del PI
seguridad de mejoramiento de la con los manejo de la
la seguridad dentro de la requerimientos y información.
información empresa exigencias del
entorno.
Procesos de Toda información nueva Garantizar la Políticas de
autorización que ingrese a la protección de la seguridad
de recursos Curaduría debe ser información de para nuevos
para el protegida bajo los nuevos clientes activos de
6.1.4 Si PI
tratamiento parámetros y políticas y proyectos que información.
de la de seguridad (software llega a la
información nuevo, programas, empresa.
bases de datos etc.)
Acuerdos de Se deben definir Garantizar el Acuerdos de
confidenciali acuerdos de adecuado confidencialid
dad confidencialidad para el manejo de la ad para los
manejo de la información en empleados
6.1.5 Si información que deben todos los niveles de la PI
quedar establecidos en de acceso a la empresa.
el contrato laboral o en misma.
los contratos de
prestación de servicios.
129
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Contacto La información debe ser Evitar fallas en Definir
con las manejada de acuerdo a los canales de canales
autoridades las políticas de comunicación seguros para
6.1.6 Si seguridad y a través de para el manejo el manejo de PI
canales de de la la
comunicación seguros información. información.
para evitar incidentes.
Contacto Para el cumplimiento de Estandarizar el Políticas para
con los los objetivos y alcances manejo de la el manejo de
grupos de del SGSI se deben información a la
especial definir políticas internas nivel interno. información
6.1.7 interés Si para la protección de la al interior de PI
información que deben la
ser conocidas por todos organización.
los empleados de la
Curaduría.
Revisión Se debe definir de qué Dinamizar las Políticas
independient manera serán políticas de pensadas en
e de la adoptadas y seguridad para futuros
seguridad de modificadas las políticas que se ajusten a activos que
la de seguridad cuando se los nuevos formaran
6.1.8 Si P
información presenten cambios en activos que parte de la
los activos de la entran a formar empresa.
empresa (nuevos parte de la
programas, nuevos empresa.
servicios etc.)
6.2 Terceros
Identificació Es necesario identificar Identificar los Controles de
n de los los posibles riesgos riesgos acceso a la
riesgos asociados a los accesos asociados al información
derivado del otorgados a la acceso a la redundantes.
acceso a información entidades información y
terceros externas o a terceros, sistemas de
N
6.2.1 No considerando el uso de información por
A
aplicaciones web y parte de
portales terceros.
electrónicos.(cuando se
de la conectividad con
planeación y se haga
uso de un servidor web)
Tratamiento Es necesario que los Brindar Controles de
de la terceros que necesiten lineamientos a la seguridad
seguridad en acceder a la información hora de que un para clientes
N
6.2.2 la relación No conozcan bajo qué clienta requiera externos.
A
con los condiciones pueden tener acceso a la
clientes tener acceso a la información.
información.
130
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Tratamiento Cualquier convenio o Establecer Políticas para
de la acuerdo realizado con controles de el manejo de
seguridad en otra entidad como seguridad para acuerdos que
contratos planeación que el acceso a impliquen la
con terceros implique la relación con activos internos relación con
N
6.2.3 No los activos internos de la empresa información
A
(información) de la por parte de interna de
curaduría deben terceros. empresa.
garantizar el
cumplimiento de
requisitos de seguridad.
Gestión de
7
Activos
Responsabili
7.1 dad sobre
los activos
Inventario de Es importante identificar Jerarquizar la Clasificación
activos los activos de acuerdo importancia de de los activos
a su grado de los activos al y
importancia dentro de la interior de la establecimien
Curaduría, en la que se empresa. to del nivel de
7.1.1 Si deja claro que el activo importancia P
más relevante es la de los
base de datos donde se mismos.
registran los proyectos,
el archivo de licencias y
el archivo físico.
Propietario Cada activo dentro de la Tener Asignar
de activos Curaduría debe tener responsables de responsables
relacionado un los activos que tanto para los
responsable de la forman parte de activos de
seguridad. la empresa. información a
través del
área de
gestión de
7.1.2 Si TI
proyectos,
como para
activos
físicos que
forman parte
de los
sistemas de
información.
131
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Uso Las políticas sobre Definir políticas Políticas de
aceptable de manejo de la para el manejo manejo de
los activos información deben de activos. activos.
7.1.3 Si PI
permitir tener claridad
acerca del manejo
adecuado de activos.
Clasificación
7.2 de la
información
Directrices La información debe ser Identificar el Establecimie
de clasificada de acuerdo a nivel de nto de
clasificación su grado de importancia importancia de prioridades
7.2.1 Si para establecer los los activos de en el manejo PI
controles adecuados información al de la
para el manejo de la interior de la información.
misma. empresa.
Etiquetado y Cada tipo de Identificar el Políticas de
manipulado información debe ser nivel de acceso a la
de la identificado para que confidencialidad información.
información cada persona y acceso a la
conociendo su información.
7.2.2 Si naturaleza respete su PI
nivel de
confidencialidad, es
decir debe ser
etiquetada relacionando
sus restricciones.
Seguridad
en los
8
recursos
Humanos
Seguridad
8.1 antes del
empleo
Funciones y Antes de contratar Contratar Claridad en
responsabili personal es necesario personal idóneo las políticas
dades definir claramente el para ocupar un de
8.1.1 Si P
perfil y cargo contratación.
responsabilidades del determinado.
cargo.
132
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Para contratar al Garantizar en los Claridad en
Investigació personal se deben nuevos las políticas
n de evaluar las cualidades empleados tanto de
antecedente profesionales, el nivel de cualidades contratación.
8.1.2 Si TI
s. ética y compromiso con profesionales
la empresa. específicas
como principios
éticos.
Términos y Es necesario que los Establecer las Claridad en
condiciones nuevos empleados reglas que debe las políticas
de conozcan políticas y seguir quien de
8.1.3 contratación. Si responsabilidades en desee formar contratación. P
cuanto a sus funciones y parte de la
manejo de la empresa.
información
Seguridad
en el
desempeño
8.2 de las
funciones al
interior de la
empresa
Responsabili Se debe asegurar que Garantizar que Definición de
dades de la las políticas diseñadas los empleados políticas de
dirección para el manejo de la usen las manejo de la
información sean políticas información,
8.2.1 Si PI
cumplidas por los definidas por la acompañada
empleados de la empresa. s de planes
Curaduría de
capacitación.
Concienciaci Todas las políticas de Dar a conocer Planes de
ón, seguridad de la las políticas de capacitación
formación y información deben ser seguridad de la en políticas
8.2.2 capacitación Si conocidas al interior de información. de seguridad PI
en seguridad la Curaduría. de la
de la información.
información
133
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Proceso Las posibles sanciones Dar a conocer Planes de
disciplinario. por incumplimiento de las sanciones capacitación
las políticas de que acarrea el en políticas
seguridad o el mal mal manejo de la de seguridad
manejo de la información. de la
8.2.3 Si información que pongan información. P
en riesgo la seguridad
de la información deben
ser conocidas por todos
los empleados de la
Empresa.
Finalización
8.3 o cambio de
empleo
Responsabili Es necesario garantizar Evitar impacto Implementaci
dad del cese que después de la negativo en la ón de
o cambio finalización de un información tras políticas de
contrato interno, la la salida de un manejo de
8.3.1 Si P
información que maneja empleado que privilegios
esta persona no se vea tenga sobre la
afectada o divulgada. conocimiento información.
sobre la misma.
Devolución Se deben tener Garantizar que Implementaci
de activos protocolos que los activos no se ón de
garanticen que un vean afectados mecanismos
8.3.2 Si TI
empleado haga entrega tras la salida de para la
de los activos que tiene un empleado de devolución de
a su cargo. la empresa. activos.
Retirada de Se debe contar con Evitar niveles de Implementaci
los derechos procedimientos para acceso a la ón de
de acceso revocar privilegios a información políticas de
personal que no inadecuados, manejo de
8.3.3 Si PI
requiera de los mimos. que pongan en privilegios
riesgo la sobre la
seguridad de la información.
misma.
Seguridad
9 física y del
ambiente
Áreas
9.1
Seguras
134
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Perímetro de Se debe garantizar la Asegurar las Políticas de
seguridad seguridad de las zonas áreas que control de
física. que manejan contengan acceso físico
información sensible información a áreas que
9.1.1 Si (archivo físico, sensible. contienen PI
ubicación de servidores, información
equipos, sensible.
almacenamiento copias
de seguridad etc).
Controles Sólo personal Restringir el Políticas de
físicos de autorizado debe acceder acceso a áreas control de
entrada. a áreas que contengan que contengan acceso físico
activos sensibles. información a áreas que
9.1.2 Si PI
(Archivo histórico físico, sensible. contienen
almacenamiento de información
copias de seguridad, sensible.
uso de servidor).
Seguridad En oficinas al interior de Garantizar la Políticas de
de oficinas, la Curaduría se puede seguridad en control de
despachos e tener acceso a oficinas y acceso físico.
9.1.3 Si PI
instalaciones información sensible por despachos.
. lo cual se debe aplicar
controles de seguridad
Protección Se debe garantizar que Garantizar la Protección
contra las ninguna amenaza protección contra
amenazas ambiental externa pueda contra factores
externas y generar daño sobre la amenazas atmosféricos
9.1.4 Si PI
de origen información. ambientales como
ambiental. externas. temperatura,
humedad,
etc.
Trabajo en Las áreas sobre las que Garantizar el Verificación
áreas se desarrollan las desarrollo de las del nivel de
seguras. actividades deben actividades seguridad de
cumplir estándares de sobre áreas las áreas de
9.1.5 Si PI
seguridad lo cual es seguras. trabajo.
muy importante tanto
para equipos como para
el personal.
135
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Áreas de Las áreas como archivo Garantizar que Control de
acceso histórico y ubicación de el acceso a acceso físico
público y de servidores se áreas sensibles a
carga y denominan áreas dentro de la determinadas
descarga. sensibles por la empresa tenga áreas de la
9.1.6 Si PI
información que maneja, mecanismos de empresa.
por tanto se debe evitar control.
que terceros puedan
llegar a tener acceso a
esta.
Seguridad
9.2
en equipos
Emplazamie Es necesario tener Garantizar la Implementar
nto y protecciones contra integridad de los controles
protección daños ambientales, equipos al para el
de equipos. especialmente para los interior de la control de
9.2.1 Si servidores que se empresa. factores PI
maneja al interior de la ambientales
empresa. como
humedad,
polvo, etc.
Instalacione La integridad de los Garantizar que Implementar
s de equipos depende de los fallos eléctricos UPS.
suministro. controles para la no afecten la
protección antes fallas integridad de los
9.2.2 Si PI
eléctricas, ya un fallo de equipos que
energía puede dejar forman parte del
inutilizable un equipo, sistema de
dañar su disco duro etc. información.
Seguridad Se debe garantizar que Garantizar que Implementar
del las redes de datos no las redes de y auditar los
cableado. vean afectada su datos no sean sistemas de
integridad y alteradas cableado
confidencialidad de los físicamente y no existentes.
9.2.3 Si TI
datos que transportan. puedan ser
interceptados los
datos que se
transportan a
través de estas.
Mantenimien Se debe realizar Garantizar la Implementar
to de los mantenimiento periódico integridad y planes de
equipos. de los equipos como disponibilidad de mantenimient
9.2.4 Si PI
política interna de la los equipos. o de equipos
empresa. al interior de
la empresa
136
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Seguridad Todo equipo que trabaje Garantizar la Aplicar
de los fuera de la empresa seguridad al controles de
equipos pero tenga injerencia interior de la acceso a
fuera de las interna debe tener empresa al equipos
instalaciones reglas y restricciones de permitir acceso a externos que
. acceso. equipos que tengan que
trabajen fuera. ver
N
9.2.5 No directamente
A
con la
actividad de
la empresa
(Acceso
remoto
derivado del
teletrabajo)
Reutilización Al dar de baja un equipo Garantizar que Establecer
o retirada puede quedar ningún dato políticas para
segura de almacenada información sensible o el proceso de
equipos. que puede comprometer licencia sean baja de
9.2.6 Si TI
la confidencialidad de la expuestos a equipos.
empresa. terceros tras un
proceso de baja
de equipos.
Retirada de Tanto las aplicaciones Garantizar que Establecer
materiales propias como de ningún tipo de políticas
propiedad terceros que la empresa aplicación salga sobre el
de la utiliza deben ser de la empresa. manejo de
9.2.7 Si TI
empresa. protegidas para evitar aplicaciones
que puedan ser sacadas y licencias al
de la empresa. interior de la
empresa.
Administraci
ón de
10 comunicacio
nes y
operaciones
Procedimien
tos y
responsabili
10.1
dades
operacionale
s
137
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Documentac Para garantizar la Garantizar la Políticas para
ión de los continuidad de procesos documentación la
procedimient se debe contar con de procesos documentaci
os de bitácoras que permitan operacionales. ón de
10.1. operación. conocer los procedimient
Si P
1 procedimientos os.
operacionales
especialmente los que
tengan que ver con
activos esenciales.
Se debe tener claridad Gestionar los Implementaci
Gestión de de quienes serán los cambios de roles ón de
cambios. encargados de realizar encargados de políticas de
10.1.
Si el proceso de la administración manejo de P
2
administración de la de la privilegios
información. información. sobre la
información.
Sólo el personal Garantizar que Implementaci
Segregación autorizado debe tener un número ón de
de tareas. acceso a la información. reducido de políticas de
10.1.
Si personas tengan manejo de PI
3
acceso a la privilegios
información. sobre la
información.
Separación Cada área dentro de la Reducir los Implementar
de los empresa debe ser riesgos de controles de
10.1. recursos de separada de acuerdo a acceso no acceso a
Si TI
4 desarrollo, sus funciones y autorizado a la áreas
prueba y competencias. información. seguras.
operación.
Supervisión
de los
10.2 servicios
prestados
por terceros
Provisión de Cualquier servicio Garantizar que Definir
servicios subcontratado debe los servicios políticas para
contar con políticas de prestados por la integración
10.2. seguridad de la terceros y control de N
No
1 información. cumplan con sistemas de A
requerimientos terceros al
mínimos de interior de la
seguridad. empresa.
138
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Supervisión Cualquier servicio Garantizar la Definir
y revisión de prestado por terceros calidad en la políticas para
los servicios debe ser controlado prestación de la integración
A.10. prestados internamente mediantes servicios y control de N
No
2.2 por terceros. procesos de autoridad. ofrecidos por sistemas de A
tercero. terceros al
interior de la
empresa.
Gestión del Cualquier cambio en los Garantizar que Definir
cambio en servicios prestados por los cambios en políticas para
los servicios terceros debe ser la prestación de la integración
A.10. prestados monitoreado servicio sean y control de N
No
2.3 por terceros. constantemente. acordes con las sistemas de A
necesidades y terceros al
requerimientos interior de la
de la empresa. empresa.
Planificación
A.10.
y aceptación
3
del sistema
Es importante que Garantizar que Planificación
Gestión de dentro de las políticas los recursos con de recursos
capacidades internas sea planificado los que cuenta la acordes con
. el crecimiento de la empresa sean las
empresa para que los acordes con los necesidades
A.10.
Si recursos sean acordes requerimientos y TI
3.1
con el mismo. de la misma. proyecciones
de
crecimiento
de la
empresa.
Se debe definir la Garantizar la Definición de
capacidad de compatibilidad políticas para
Aceptación integración de nuevos de nuevos la integración
del sistema. elementos al sistema, ya elementos en de nuevos
10.3. sea por actualización, cuanto a sus elementos al
Si P
2 renovación o totalmente dimensiones sistema de
nuevos. físicas y lógicas información.
que garanticen
la seguridad de
la información.
Protección
contra
software
10.4
malicioso y
código
móvil.
139
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Se deben tener Garantizar la Implementar
controles que garanticen seguridad en mecanismos
Controles que códigos maliciosos contra de de seguridad
contra el no terminen afectando el amenazas para
código sistema. lógicas al garantizar el
malicioso. sistema de control lógico
10.4. información. al interior de
Si TI
1 la empresa
(Antivirus,
sistemas de
encriptación y
manejo de
aplicaciones
seguras).
Controles
contra el Por seguridad no se NA NA
10.4. N
código No autoriza el uso de
2 A
descargado código móvil.
en el cliente.
Gestión
interna de
10.5
soportes y
recuperación
Respaldar la Garantizar Backups
información garantiza políticas de regulares de
que ante cualquier respaldo para el la
Copias de problema de seguridad manejo de la información.
seguridad de se tendrá una fácil información.
la recuperación de la
información. información.
bases de datos, archivo
10.5.
Si de licencias, archivo de TI
1
contabilidad, archivo de
manejo técnico, bases
de datos de clientes,
ingenieros arquitectos,
documentos auxiliares,
normativa ), de acuerdo
con la política de
recuperación
A.10. Gestión de
6 redes
Controles de Es necesario que la red Garantizar la Definición de
red. inalámbrica que maneja protección de las políticas de
A.10.
Si la empresa sea redes contra administració PI
6.1
controlada. ataques n y uso de
informáticos. redes.
140
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Seguridad Deben existir políticas Garantizar el uso Definición de
de los que permitan la adecuado de los políticas de
A.10.
servicios de Si definición de acuerdos recursos de red administració PI
6.2
red. sobre el manejo de las en cada nivel del n y uso de
redes. servicio. redes.
Utilización y
seguridad de
A.10.
los soportes
7
de
información
Gestión de No se permite el uso de Garantizar que Definición de
soportes medios informáticos la información no políticas para
A.10. extraíbles. removibles para evitar sea extraída por que la
Si PI
7.1 fugas y amenazas que los trabajadores información
puedan contener. de la empresa no sea
extraída
Retirada de Se debe contar con Evitar que Definir
soportes. políticas que permitan información políticas para
eliminar de forma almacenada en la gestión y
segura los soportes de medios que van eliminación
A.10.
Si información de la a ser eliminados de medios de PI
7.2
empresa. (Destrucción pueda quedar almacenamie
segura de elementos expuesta a ntos.
desde papel hasta terceros.
discos duros.)
Procedimien Se debe garantizar que Evitar que malas Definir
tos de la información en manipulaciones políticas para
manipulació cualquier nivel sea puedan dejar la
10.7. n de la manipulada y expuesta la manipulación
Si TI
3 información. almacenada de forma información. y
segura. almacenamie
nto de
información.
Seguridad La documentación de Garantizas la Definir
de la los sistemas protección del políticas y
documentaci (información de activo más sistemas de
ón del proyectos y bases de importante al protección
10.7.
sistema. Si datos) deben ser interior de la para la TI
4
protegidos. empresa. documentaci
ón de los
sistemas de
información.
Intercambio
de
10.8
información
y software
141
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Políticas y Se debe garantizar que Garantizas la Diseñar
procedimient la información se seguridad de la políticas e
os de encuentre segura al ser información al implementar
intercambio transportada haciendo ser enviada por controles
10.8. Si TI
de uso de diferentes diferentes para el
1
información. servicios de medios de intercambio
comunicación. comunicación. seguro de
información.
Acuerdos de Se debe tener claridad Garantizar el Diseñar
intercambio. de la forma como se intercambio políticas e
puede compartir seguro de implementar
.10.8. información al interior de información. controles
Si TI
2 la empresa. para el
intercambio
seguro de
información.
Implementar
mecanismos
Soportes Garantizar la de protección
físicos en Se debe proteger la protección de la de
tránsito. información durante el información al información
transporte de la misma ser transportada. como por
10.8.
Si ejemplo P
3
encriptación
(se garantiza
con los
controles con
que cuenta la
empresa).
Mensajería Se debe proteger la Garantizar que Implementar
electrónica. información contenida la información de mecanismos
en correos electrónicos. mensajería de protección
electrónica se para evitar
10.8.
Si encuentre accesos no TI
4
totalmente autorizados a
protegida. los servicios
de
mensajería.
Sistemas de Todos los sistemas de Garantizar la Políticas para
información información tanto conexión segura el acceso a la
10.8. empresariale internos como externos entre los información
Si TI
5 s. deben estar conectados sistemas de tanto a nivel
de forma segura. información. interno como
externo.
Servicios de
10.9 comercio
electrónico
142
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
De debe garantizar que Proteger la Implementaci
la información información que ón de
involucrada en comercio usada en mecanismos
Comercio sea protegida, por la comercio para la
electrónico naturaleza de la electrónico. protección de
empresa esto se puede la
garantizar. información
involucrada
10.9. en comercio N
Si
1 electrónico A
(Los
mecanismos
de seguridad
de las
aplicaciones
permiten
garantizar
esto.)
Transaccion La información Garantizar la Implementar
es en línea involucrada en procesos seguridad de la mecanismos
de transacciones información de seguridad
electrónicas que maneja involucrada en para
la empresa por su transacciones en garantizar la
10.9.
Si actividad económica línea. seguridad de TI
2
deber ser protegida para la
evitar problemas de información
seguridad. usada en
transacciones
en línea.
Información La información que se Garantizar la Políticas para
públicament maneja por aplicaciones integridad de la la verificación
e disponible de acceso público debe información de la
10.9. ser protegida. disponible en integridad de N
Si
3 sistemas de sistemas de A
acceso público. información
de acceso
público.
Monitorizaci
10.10
ón
Registros de Se deben tener registros Contar con Políticas de
Auditoria de auditorías que soportes de implementaci
permitan facilitar actividades para ón y control
10.10
Si investigaciones futuras procesos de de registros P
.1
en caso de detectarse investigación de actividad.
algún incidente de asociados a los
seguridad. mismos.
143
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Supervisión Se debe realizar Verificar la Políticas de
del usos del monitoreo de cualquier instalación de implementaci
sistema cambio en los sistemas sistemas de ón y control
10.10 de información, información. de registros
Si P
.2 revisando sus de actividad.
resultados.
Revisar las actividades
de monitoreo
Protección Se debe tener control Proteger los Políticas de
de la sobre los registros de registros de implementaci
10.10 información actividad para que no actividad contra ón y control
Si P
.3 de los puedan ser alterados acciones de de registros
registros (intentos forzosos o no modificación de de actividad.
autorizados) los mismos.
Registros de Es muy importante que Garantizar que Políticas de
administraci la actividad de quienes las acciones de implementaci
10.10 ón y tengan mayores tipo ón y control
Si P
.4 operación. privilegios sean administrativo se de registros
monitoreados. realicen de de actividad.
forma adecuada.
Registro de Se debe controlar Garantizar la Políticas de
fallos. cualquier avería que se trazabilidad de control y
10.10
Si presente en el sistema averías en el gestión de
.5
de información. sistema. fallas en el
sistema.
Sincronizaci Es muy importante que Garantizar que Políticas de
ón del reloj. todos los sistemas estén todo el sistema implementaci
sincronizados para que esté ón y control
10.10
Si cualquier registro sincronizado. de registros P
.6
coincida en tiempos y se de actividad.
pueda hacer la
trazabilidad del mismo.
Control de
11
acceso
Requisitos
de negocio
11.1
para control
de accesos
Política de Basado en los servicios Controlar el Definir
control de que presta la Curaduría acceso de políticas para
acceso. que es otorgar licencias acuerdo a las el control de
11.1.
Si urbanísticas, se deben actividades que acceso PI
1
establecer políticas de desarrolla la teniendo en
control de acceso. empresa. cuenta áreas
críticas.
144
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Gestión de
11.2 acceso de
usuario
Registro de Es importante gestionar Brindar o quitar Definir
usuario. los usuarios para que acceso a políticas para
sean asignados y dados usuarios basado el ingreso o
11.2.
Si de alta en el sistema sin en eliminación P
1
generar problemas de procedimientos de usuarios
seguridad. propios de la del sistema.
empresa.
Gestión de Se debe garantizar que Controlar los Definir
privilegios. cada usuario tenga privilegios de políticas para
11.2.
Si acceso al sistema de acceso. la gestión de P
2
información basado en privilegios.
privilegios.
Gestión de Debe existir un Asignar Establecer
contraseñas procedimiento para la contraseñas de políticas para
11.2.
de usuario. Si asignación de forma segura. la asignación P
3
contraseñas al interior de
de la empresa. contraseñas.
Revisión de Se debe verificar que los Verificar el Establecer
los derechos usuarios puedan acceso a políticas para
de acceso acceder sólo a los sistemas de la verificación
11.2.
de usuario. Si sistemas que tienen información. regular del P
4
permiso. acceso a
sistemas de
información.
Responsabili
11.3 dades del
usuario
Uso de Se debe definir y Controlar el uso Establecer
contraseñas. verificar el uso de de contraseñas políticas para
contraseñas seguras. seguras. que los
usuarios
realicen un
11.3. adecuado
Si PI
1 manejo de
los sistemas
de
información
ofrecidos por
la empresa.
145
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Equipo de Es importante que los Garantizar la Establecer
usuario servidores de los seguridad de las políticas para
desatendido. clientes tengan aplicaciones que los
mecanismos de entregadas a los usuarios
protección para los clientes. realicen un
11.3. sistemas de la empresa adecuado
Si PI
2 que alojan en los manejo de
mismos. los sistemas
de
información
ofrecidos por
la empresa.
Política de Se debe evitar que por Garantizar que Establecer
puesto de alguna razón quede la información no políticas para
trabajo expuesta información a sea expuesta a que los
despejado y la vista de terceros. la vista de usuarios
pantalla Políticas para escritorios terceras realicen un
11.3. limpia. y monitores limpios de personas. adecuado
Si P
3 información manejo de
los sistemas
de
información
ofrecidos por
la empresa.
Control de
11.4 acceso en
red
Política de Los clientes de los Garantizar el Establecer
uso de los servicios de la empresa acceso a políticas de
11.4. servicios en sólo podrán tener servicios acceso a
Si P
1 red. acceso a los servicios autorizados. servicios
autorizados. ofrecidos por
la empresa.
Autenticació Tanto para clientes Garantizar el Establecer
n de usuario externos de servicios acceso remoto políticas de
para alojados en la empresa seguro. acceso a
11.4. N
conexiones NO como para empleados servicios
2 A
externas. con acceso remoto ofrecidos por
deben existir políticas de la empresa.
acceso adecuadas.
Identificació Se debe garantizar Garantizar que Establecer
n de los conocer la procedencia todas las políticas de
11.4. equipos en de cualquier petición de conexiones acceso a
Si P
3 las redes. servicio. establecidas servicios
sean seguras. ofrecidos por
la empresa.
146
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Protección El entorno de Proteger el Establecer
de los diagnóstico de la sistema de políticas de
puertos de empresa debe estar diagnóstico de acceso a
11.4.
diagnóstico Si protegido. los sistemas de servicios P
4
y información. ofrecidos por
configuració la empresa.
n remotos.
Segregación Se debe tener Garantizar la Establecer
de las redes. claramente definido el identificación de políticas de
11.4. papel de cada usuario los usuarios en acceso a
Si PI
5 dentro de la red, un grupo servicios
asignándolo a un grupo determinado. ofrecidos por
determinado. la empresa.
Control de la El acceso a los sistemas Restringir el Establecer
conexión a internos de la empresa acceso a políticas de
11.4. la red. debe estar limitado para servicios de red acceso a
Si TI
6 que no se puedan usar desde servicios
servicios que pongan en ubicaciones ofrecidos por
juego la seguridad. externas. la empresa.
Control de Se debe controlar el Garantizar que Establecer
encaminami enrutamiento de la información de políticas de
ento información. la empresa no enrutamiento
11.4.
(routing) de Si use rutas que de la P
7
red. pongan en información.
peligro su
integridad.
Control de
acceso al
11.5
sistema
operativo
Procedimien Se debe controlar el Controlar el Establecer
tos seguros acceso a los sistemas acceso al SO políticas de
11.5.
de inicio de Si operativos con los con acceso a los P
1
sesión. procedimientos procedimientos sistemas
adecuados. seguros. operativos.
Identificació Deben existir Garantizar que Establecer
n y mecanismos de los usuarios políticas de
11.5. autenticació identificación únicos tengan manejo de
Si P
2 n de usuario. para los usuarios. credenciales credenciales
únicas de de usuarios.
acceso.
Sistema de Se debe garantizar que Garantizar la Establecer
gestión de los sistemas de gestión eficiencia y políticas de
11.5. contraseñas. de contraseñas sean seguridad en los manejo de
Si P
3 eficientes. sistemas de credenciales
gestión de de usuarios.
contraseñas.
147
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Uso de los Se debe controlar el uso Realizar control Establecer
recursos del de aplicaciones sobre el uso de políticas de
sistema. administrativas seguras aplicaciones uso de
11.5. que pueden ser usadas administrativas. aplicaciones
Si P
4 para generar algún tipo de carácter
de daño al sistema. administrativo
propias del
sistema.
Desconexión Se debe controlar el Garantizar el Establecer
automática tiempo de inactividad del bloqueo de políticas de
11.5.
de sesión. Si equipo. equipos tras acceso a los P
5
cierto tiempo de sistemas
inactividad. operativos.
Limitación Se debe controlar el Controlar el uso Establecer
del tiempo tiempo de conexión al del sistema políticas de
11.5.
de conexión. Si SO basado en el uso de operativo. acceso a los P
6
aplicaciones. sistemas
operativos.
Control de
11.6 acceso a las
Aplicaciones
Restricción Se debe restringir el Generar Establecer
del acceso a acceso a los sistemas restricciones a la controles
la en especial al programa gestión de para el
información. que maneja la base de aplicaciones. acceso a los
datos, genera licencia, diferentes
11.6. reportes, notificaciones, niveles de
Si PI
1 citaciones y estado de aplicaciones,
cada proyecto. considerando
que se
manejan
diferentes
entornos
148
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Aislamiento Los sistemas sensibles Garantizar que Establecer
de sistemas como copias de los sistemas controles
sensibles. seguridad, archivo físico sensibles de la para el
y servidores deben estar empresa tengan acceso a los
aislados un entorno diferentes
informático niveles de
propio. aplicaciones,
11.6.
Si considerando PI
2
que se
manejan
diferentes
entornos
como
desarrollo y
pruebas.
Informática
11.7 móvil y tele
trabajo
Ordenadore La conexión a través de Brindar Establecer
s portátiles y red inalámbrica hace protección políticas para
comunicacio necesario la definición contra riesgos el manejo de
11.7. N
nes móviles. Si de políticas de derivados del riesgos
1 A
protección en cuento a uso de recursos derivados de
recursos móviles. móviles. la informática
móvil.
Teletrabajo. Ya que se considera el Garantizar el Diseñar e
teletrabajo al interior de desempeño implementar
la empresa es necesario seguro y políticas para
11.7. considerar políticas y eficiente de la gestión del N
NO
2 procedimientos tanto actividades de teletrabajo. A
para acceso como para teletrabajo.
cumplimiento de
funciones.
Adquisición,
desarrollo y
mantenimien
12
to de
sistemas de
información
Requisitos
de seguridad
12.1
de los
sistemas
149
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Análisis y Es importante que todo Garantizar que Establecer
especificació nuevo sistema de todo nuevo políticas para
12.1. n de los seguridad especifique sistema incluya la integración
Si P
1 requisitos de los controles necesarios controles de de sistemas
seguridad para su implementación. seguridad. de
información.
Seguridad Las aplicaciones del Garantizar Establecer
de las sistema deben brindar seguridad en las políticas de
12.2 aplicaciones Si seguridad. aplicaciones del seguridad P
del sistema sistema. para las
aplicaciones.
Validación Cualquier acceso debe Garantizar la Establecer
de los datos ser validado para seguridad del políticas de
12.2.
de entrada. Si garantizar que se esté acceso a las seguridad P
1
haciendo desde una aplicaciones. para las
aplicación confiable. aplicaciones.
Control del Se deben verificar las Garantizar que Establecer
procesamien aplicaciones para la información no políticas de
to interno. detectar alteraciones en haya sido seguridad
12.2. la información. modificada para las
Si P
2 durante el aplicaciones.
procesamiento o
de forma
deliberada.
Integridad Se debe asegurar la Garantizar que Establecer
de los autenticidad de la los mensajes en políticas de
12.2.
mensajes. Si información en los las aplicaciones seguridad P
3
mensajes en las no sean para las
aplicaciones. modificados. aplicaciones.
Validación Se debe garantizar la Garantizar la Establecer
de los datos correcta funcionalidad integridad de la políticas de
12.2.
de salida. Si de la aplicación al información de seguridad P
4
arrojar los datos salida de la para las
esperados. aplicación. aplicaciones.
Controles
12.3 criptográfico
s
Política de Es necesario contar con Garantizar la Establecer
uso de los políticas de protección confidencialidad políticas de
12.3. N
controles No de la información al ser de la información protección de
1 A
criptográfico entregada al usuario. la
s. información.
Gestión de Se debe gestionar Garantizar la Establecer
claves. adecuadamente las gestión políticas de
12.3. N
No claves como por adecuada de protección de
2 A
ejemplo haciendo uso claves al interior la
de un PKI. de la empresa. información.
150
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Seguridad
de los
12.4
ficheros del
sistema
Control del Es necesario controlar la Controlar la Establecer
software en instalación de software instalación de políticas para
explotación. de tal manera que software. la instalación
12.4. N
No responda a las de software y
1 A
necesidades de la modificación
empresa. de ficheros
del sistema.
Protección Se deberían Proteger la Establecer
de los datos seleccionar, proteger y información políticas para
de prueba controlar empleada en el la protección
12.4. N
del sistema. No cuidadosamente los entorno de de códigos
2 A
datos utilizados para las pruebas. fuente y
pruebas. archivos del
sistema.
Control de Se debería restringir el Garantizar la Establecer
acceso al acceso al código fuente protección del políticas para
código de los programas código fuente de la protección
12.4. N
fuente de los No aplicaciones de códigos
3 A
programas. desarrolladas fuente y
por la empresa. archivos del
sistema.
Seguridad
en los
12.5 procesos de
desarrollo y
soporte
Procedimien Se debe tener control de Garantizar que Establecer
tos de versiones de los cambios políticas para
control de aplicaciones para que respondan a garantizar la
cambios. los cambios sean procedimientos seguridad de
12.5. realizados conforme a formales dentro las
Si P
1 necesidades reales de de la empresa. aplicaciones
la empresa. en desarrollo
y
funcionamien
to.
151
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Revisión Se debe revisar la Garantizar que Establecer
técnica de funcionalidad de las un cambio en el políticas para
las aplicaciones tras realizar SO no afecte el garantizar la
aplicaciones cambios en el Sistema funcionamiento seguridad de
12.5. tras efectuar Operativo para no crear de las las
Si PI
2 cambios en conflictos aplicaciones. aplicaciones
el sistema en desarrollo
operativo. y
funcionamien
to
Restriccione Se debe tener control de Garantizar el Establecer
s a los cualquier modificación adecuado políticas para
cambios en en el software de la funcionamiento garantizar la
los paquetes empresa. de las seguridad de
12.5. de software. aplicaciones. las
Si TI
3 aplicaciones
en desarrollo
y
funcionamien
to
Fugas de Se debe garantizar la Garantizar la Establecer
información. confidencialidad de la confidencialidad políticas para
información referente a de la garantizar la
aplicaciones como información. seguridad de
12.5. programa licenciador, las
Si PI
4 base de datos, licencias aplicaciones
etc. en desarrollo
y
funcionamien
to
Externalizaci Si se contrata desarrollo
ón del de software a la medida NA NA
12.5. desarrollo de es importante realizar N
No
5 software. monitorización para A
evitar incidentes en el
manejo.
Gestión de
las
12.6
vulnerabilida
des técnicas
152
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Se debe estar Garantizar la Definir
Control de verificando protección políticas para
Vulnerabilida constantemente las contra la gestión de
des técnicas vulnerabilidades que vulnerabilidades vulnerabilidad
12.6.
Si puedan presentar los de los sistemas es de P
1
sistemas o tecnologías empleados en la aplicaciones
usadas dentro de la empresa. o sistemas
Curaduría. usados por la
empresa.
Gestión de
incidentes
13 de seguridad
de la
información
Comunicació
n de eventos
y
debilidades
13.1
en la
seguridad de
la
información
Notificación Se deben disponer Garantizar la Definir
de los canales de pronta solución a políticas para
eventos de comunicación que eventos de la gestión de
13.1.
seguridad de Si permitan dar a conocer seguridad incidentes de PI
1
la eventos de seguridad presentes en la seguridad de
información. que afecten la seguridad empresa. la
de la empresa. información.
Notificación Se deben definir Garantizar la Definir
de puntos mecanismos para que rápida solución políticas para
débiles de todas las personas que de incidentes la gestión de
13.1.
seguridad. Si tengan que ver con el informáticos. incidentes de PI
2
sistema de información seguridad de
puedan reportar la
incidentes de seguridad. información.
Gestión de
incidentes y
mejoras en
13.2
la seguridad
de la
información
153
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Responsabili Se debe establecer Definir Definir
dades y quién es el responsable responsables políticas para
procedimient de manejar determinado para la gestión la gestión de
13.2.
os. Si tipo de incidente para de eventos de incidentes de PI
1
que sea mucha más seguridad. seguridad de
rápida la respuesta. la
información.
Aprendizaje Se debe poder Determinar el Definir
de los establecer el costo de costo de un políticas para
incidentes un evento de seguridad evento de la gestión de
13.2.
de seguridad Si de la información. seguridad incidentes de PI
2
de la informática. seguridad de
información. la
información.
Recopilación Se deben tener Definir medidas Definir
de mecanismos para en contra de políticas para
evidencias. determinar la forma quienes generen la gestión de
como se debe actuar eventos de incidentes de
13.2.
Si contra personas que se seguridad seguridad de P
3
les compruebe la informática. la
generación de eventos información.
de seguridad
informática.
Gestión de
14 continuidad
del negocio
Aspectos de
la gestión de
14.1
continuidad
del negocio
Inclusión de Es necesario contar con Contar con Definir
la seguridad procesos de seguridad procedimientos políticas de
de la de la información que de seguridad de seguridad de
información aseguren la continuidad la información la
14.1.
en el Si del negocio al interior de que garanticen información PI
1
proceso de la empresa. la continuidad que
gestión de la del negocio. garanticen la
continuidad continuidad
del negocio. del negocio.
154
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Continuidad Es necesario tener Tener claridad Definir
del negocio claridad de los eventos del grado de políticas de
y evaluación que pueden afectar el afectación sobre seguridad de
de riesgos. negocio y el impacto de el negocio de un la
14.1.
Si los mismos. evento información P
2
determinado. que
garanticen la
continuidad
del negocio.
Desarrollo e Es muy importante Tener planes de Definir
implantación contar con planes de contingencia políticas de
de planes de contingencia que ante eventos seguridad de
continuidad permitan la recuperación informáticos. la
14.1.
que incluyan Si del negocio ante información P
3
la seguridad cualquier evento que que
de la ponga en riesgo la garanticen la
información. información. continuidad
del negocio.
Marco de Es ideal tener Contar con un Definir
referencia estandarizado el plan de políticas de
para la esquema del plan de continuidad seguridad de
planificación continuidad para estandarizado. la
14.1.
de la Si garantizar su fácil información P
4
continuidad aplicabilidad en la que
del negocio. empresa. garanticen la
continuidad
del negocio.
Pruebas, Se deben evaluar los Garantizar que Definir
mantenimien planes de continuidad los planes de políticas de
to y garantizando que continuidad seguridad de
reevaluación evoluciones con los evolucionen en la
14.1.
de planes de Si requerimientos del concordancia información P
5
continuidad. negocio. con los que
requerimientos garanticen la
del negocio. continuidad
del negocio.
15 Conformidad
Conformidad
con los
15.1
requisitos
legales
155
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Identificació Es muy importante que Alinear los Definir
n de la la empresa sea sistemas de políticas que
legislación consciente de sus información con permitan el
aplicable. obligaciones legales los cumplimiento
15.1. para garantizar el requerimientos de los
Si P
1 cumplimiento de las legales. requerimiento
mismas. s de carácter
legal por
parte de la
empresa.
Derechos de Se debe garantizar el Garantizar el uso Definir
propiedad uso de cualquier de software políticas que
intelectual material u software de debidamente permitan el
(DPI). acuerdo a las licencias licenciado y cumplimiento
15.1. definidas para los contenidos de los
Si PI
2 mismos. respetando los requerimiento
derechos de s de carácter
autor. legal por
parte de la
empresa.
Protección Se debe garantizar la Definir Definir
de los integridad de los mecanismos políticas que
documentos registros importantes para garantizar permitan el
de la para evitar cualquier la integridad de cumplimiento
15.1. organización pérdida de información. los registros de los
Si PI
3 importantes de requerimiento
carácter legal. s de carácter
legal por
parte de la
empresa.
Protección Debe garantizar la Brindar Definir
de datos y protección de los datos protección de los políticas de
privacidad en concordancia con datos de protección de
15.1. de la requerimientos de acuerdo a información
Si PI
4 información carácter legal y que requerimientos alineadas con
de carácter mucha de la información de carácter requerimiento
personal. que maneja tiene esta legal. s de carácter
característica. legal.
Prevención Se debe garantizar que Garantizar el uso Definir
del uso los recursos empleados exclusivo de los políticas para
indebido de para el tratamiento de la sistemas de el manejo de
15.1.
recursos de Si información sean tratamiento de la los sistemas TI
5
tratamiento dedicados sólo a este información para de
de la fin. este propósito. información.
información.
156
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Regulación Los controles Garantizar la Definir
de los empleados deben estar confidencialidad políticas para
controles cifrados para asegurar de los controles el manejo de
15.1. criptográfico su concordancia con la de seguridad y los sistemas N
No
6 s. legislación vigente su concordancia de A
teniendo en cuenta el con la información.
tipo de información que legislación.
se maneja.
Revisiones
de la política
de seguridad
15.2
y de la
conformidad
técnica
Cumplimient Cada director de área Garantizar la Revisar el
o de las debe asegurarse de que adecuada uso de
políticas y los procedimientos de realización de procedimient
normas de seguridad se realicen los os de
seguridad. adecuadamente. procedimientos seguridad de
15.2.
Si de seguridad en conformidad P
1
cada área de la con los
empresa. lineamientos
de la
empresa y
estándares.
Comprobaci Es importante que los Garantizar la Revisar el
ón del procedimientos de alineación entre uso de
cumplimient seguridad estén en procedimientos procedimient
o técnico. concordancia con los de seguridad y os de
estándares definidos estándares. seguridad de
15.2.
Si para los mismos. conformidad P
2
con los
lineamientos
de la
empresa y
estándares.
Consideraci
ones sobre
15.3
la auditoría
de sistemas
157
Controles Apl
Actividades
según la ica
para la Es
Domi norma bili Justificación de Objetivo del
implementac ta
nios ISO/IEC dad elección/ no elección control
ión de los do
27001 (Sí/
controles
No)
Controles de Es muy importante tener Evitar que Establecer
auditoria de control sobre los procedimientos políticas para
los sistemas procedimientos de de auditoría el desarrollo
de auditoría desarrollados terminen de procesos
15.3. información al interior de la empresa sacando de de auditoria.
Si P
1 sobre sistemas en funcionamiento
funcionamiento. algún sistema
importante
dentro de la
empresa.
Protección Se deben tener control Evitar el uso Establecer
de las sobre el acceso a inadecuado de políticas para
herramienta herramientas de herramientas de el desarrollo
15.3. s de auditoría ya que muchas auditoría. de procesos
Si P
2 auditoria de pueden comprometer la de auditoria.
los sistemas seguridad al interior de
de la empresa.
información
158
Tabla 13: Identificación del estado de la Actividad
159
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Acuerdos de 1 mes Es necesario que los
confidencialidad para los acuerdos de
empleados de la confidencialidad para el
empresa. manejo de la
Curador información queden PI
establecidos en el
contrato laboral o en
los contratos de
prestación de servicios.
Definir canales seguros 3 meses Definir políticas de
para el manejo de la Curador, Jefe de seguridad para evitar
PI
información. Sistemas fallas en los canales de
comunicación.
Políticas para el manejo 2 meses Es necesario definir,
de la información al documentar e informar
interior de la sobre la
organización. implementación y
Curador, Jefe de
cumplimiento de las PI
Sistemas,
políticas de seguridad
para el manejo de la
información al interior
de la empresa.
Políticas pensadas en 3 meses Es necesaria la
futuros activos que definición de políticas
Curador, Jefe de
formaran parte de la de seguridad para
Sistemas, Comité P
empresa. nuevos y futuros
de seguridad
activos dentro de la
empresa.
Clasificación de los 3 meses Es necesario que se
Curador, Jefe de
activos y establecimiento clasifiquen los activos
Sistemas, Comité P
del nivel de importancia de acuerdo al nivel de
de seguridad
de los mismos. seguridad.
Políticas de manejo de 3 meses Es necesario definir,
activos. documentar e informar
Curador, Jefe de sobre el manejo de los
Sistemas, Comité activos y las políticas PI
de seguridad de seguridad a
aplicarse a dichos
activos.
Establecimiento de Curador, Jefe de 3 meses Es necesario definir
prioridades en el manejo Sistemas, Comité PI
de la información. de seguridad
160
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Políticas de acceso a la 2 meses Es necesario definir,
información. documentar e informar
sobre la
Curador, Jefe de
implementación y
Sistemas, Comité PI
cumplimiento de las
de seguridad
políticas de seguridad
para el acceso a la
información.
Claridad en las políticas Curador, Jefe de 1 mes Es necesario definir e
de contratación. recursos informar las políticas de
P
humanos, Área confidencialidad dentro
Jurídica de la organización,
Definición de políticas de 3 meses Aunque existen
manejo de la políticas de seguridad
información, para la información, se
acompañadas de planes debe definir la
de capacitación. competencia de
Curador, Jefe de
manejo de la misma y
Sistemas, Comité PI
garantizar el
de seguridad
conocimiento de las
mismas por parte de
todas las personas que
tienen acceso a la
misma.
Implementación de 3 meses Es necesario que se
políticas de manejo de definan políticas para la
privilegios sobre la Curador, Jefe de verificación de acceso
información. Sistemas, Comité a los sistemas de P
de seguridad información y verificar
los privilegios con los
que tiene acceso.
Políticas de control de 3 meses Ya se encuentran
acceso físico a áreas que implementados
contienen información controles para acceso
sensible. Curador, Jefe de a la empresa mediante
Sistemas, Comité clave y al archivo solo PI
de seguridad a personal autorizado,
es ideal que es
extiendan a todas las
áreas.
161
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Políticas de control de 1 mes Ya se encuentran
acceso físico. implementados
controles para acceso
a la empresa mediante
Curador clave y al archivo solo PI
a personal autorizado,
es ideal que es
extiendan a todas las
áreas.
Protección contra 3 meses Es necesario
factores atmosféricos establecer controles
Curador, Jefe de
como temperatura, ambientales para evitar
Sistemas, Comité PI
humedad, etc. el deterioro de activos
de seguridad
derivado de estos
factores.
Verificación del nivel de 3 meses Es necesario
seguridad de las áreas establecer controles
de trabajo. que permitan verificar
Curador, Jefe de de seguridad a aplicar
Sistemas, Comité en cada área de trabajo PI
de seguridad de acuerdo a la
información que se
maneje en cada
dependencia.
Control de acceso físico 1 mes Es necesario
a determinadas áreas de establecer controles de
la empresa. seguridad para áreas
críticas donde se debe
Curador, Jefe de
seleccionar el personal
Sistemas, Comité PI
que tiene acceso a esta
de seguridad
y las responsabilidades
que esto implica
ejemplo: Área de
archivo
Implementar controles 1 mes Es necesario
para el control de establecer controles
Curador, Jefe de
factores ambientales ambientales para evitar
Sistemas, Comité PI
como humedad, polvo, el deterioro de activos
de seguridad
etc. derivado de estos
factores.
Implementar UPS. 3 meses Debe existir sistemas
de respaldo ante
Curador caídas del suministro PI
eléctrico. Para cada
uno de los equipos.
162
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Implementar planes de 3 meses Es necesario que se
mantenimiento de Curador, Jefe de establezca un plan
equipos al interior de la Sistemas, Comité para el mantenimiento PI
empresa de seguridad de equipos al interior
de la empresa.
Políticas para la 3 meses Es necesario iniciar el
documentación de proceso de
procedimientos. implementación de un
plan director
Curador, Jefe de debidamente
Sistemas, Comité documentado de P
de seguridad seguridad de la
información que
permita cubrir cada uno
de los aspectos que
han sido enumerados.
Implementación de 3 meses Es necesario
políticas de manejo de implementar controles
privilegios sobre la y políticas de seguridad
información. aplicados a los grupos
Curador, Jefe de
de trabajos y
Sistemas, Comité P
adicionalmente realizar
de seguridad
controles que permitan
gestionar la gestión de
privilegios dentros del
sistema.
Definición de políticas 3 meses Es necesario definir
para la integración de controles que se deben
Curador, Jefe de
nuevos elementos al tener en cuenta en el
Sistemas, Comité P
sistema de información. caso de que ingresen
de seguridad
nuevos elementos al
sistema de informaciòn,
Definición de políticas de 3 meses Es necesario definir
administración y uso de Curador, Jefe de políticas de seguridad
redes. Sistemas, Comité para el manejo y PI
de seguridad administración de la
red.
163
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Definición de políticas 3 meses Aunque existen
para que la información restricciones que se
no sea extraída deben tener en cuenta
en cuanto al manejo de
la información es
necesario definir
Curador, Jefe de
políticas de seguridad
Sistemas, Comité PI
para evitar que la
de seguridad
información sea
extraída, además
concientizar de las
implicaciones legales a
las que se expone
quien lo haga.
Definir políticas para la 3 meses Se debe definir
gestión y eliminación de políticas a tener en
medios de cuenta para la
almacenamientos. eliminación de medios
de almacenamiento
tales como discos
Curador, Jefe de duros, CD, DVD,
Sistemas, Comité memorias usb y papel PI
de seguridad firmado o sellado ya
que si es desechado de
forma incorrecta puede
ser utilizado de forma
indebida por terceros y
ocasionar problemas a
la organización.
Implementar 6 meses Es necesario definir
mecanismos de polticas de seguridad
protección de para el manejo de
Curador, Jefe de
información como por herramientas
Sistemas, Comité P
ejemplo encriptación (se criptográficas, en caso
de seguridad
garantiza con los de ser implementadas.
controles con que cuenta
la empresa).
Políticas de 3 meses Es necesario que sean
implementación y control definidos sistemas de
de registros de actividad. Curador, Jefe de registros de actividad
Sistemas, Comité para tener control de P
de seguridad cualquier cambio en los
sistemas de
información.
164
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Políticas de control y 3 meses Es necasrio definir
gestión de fallas en el políticas de seguridad
Curador, Jefe de
sistema. para implentar la
Sistemas, Comité P
gestión de fallos
de seguridad
(notifición, visualización
y reparación de fallos).
Políticas de 3 meses Es necasrio definir
implementación y control Curador, Jefe de políticas de seguridad
de registros de actividad. Sistemas, Comité para la administración P
de seguridad del registro de
actividades.
Definir políticas para el 1 mes Es necesario definir
control de acceso políticas a seguir para
teniendo en cuenta áreas Curador, Jefe de controlar el acceso a
críticas. Sistemas, Comité áreas restringidas PI
de seguridad (llevar un registro
detallado de ingreso a
estas áreas)
Definir políticas para el 3 meses Es necesario definir
ingreso o eliminación de Curador, Jefe de políticas de seguridad a
usuarios del sistema. Sistemas, Comité aseguir en el procesos P
de seguridad de eliminación de
usuarios.
Definir políticas para la 3 meses Es necesario definir
gestión de privilegios. políticas de seguridad
para la gestión de
privilegios, esta labor la
Curador, Jefe de
debe realizar el
Sistemas, Comité P
administrador del
de seguridad
sistema que se
encargara de definir los
roles y permisos a los
usuarios del sistema.
Establecer políticas para 3 meses Es necesario
la asignación de establecer políticas de
contraseñas. seguridad que permitan
implementar el uso de
Curador, Jefe de contraseñas. Es decir
Sistemas, Comité para cada usuario y P
de seguridad equipo una contraseña
la cual debe cumplir
con todas las
condiciones de una
contraseña segura.
165
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Establecer políticas para 3 meses Implmentar políticas de
la verificación regular del Curador, Jefe de seguridad que permitan
acceso a sistemas de Sistemas, Comité verificar los accesos a P
información. de seguridad los sistemas de
información.
Establecer políticas para 3 meses Es necesario definir
que los usuarios realicen políticas que los
un adecuado manejo de trabajadores de la
los sistemas de empresa deben poner
Curador, Jefe de
información ofrecidos por en práctica para la
Sistemas, Comité PI
la empresa. utilización de los
de seguridad
sistemas de
información de la
empresa adicionales a
los ya existentes.
Establecer políticas de Curador, Jefe de 3 meses Es necesario definir
enrutamiento de la Sistemas, Comité políticas de P
información. de seguridad enrutamiento de red.
Establecer políticas de 3 meses Es necesario
acceso a los sistemas Curador, Jefe de establecer políticas
operativos. Sistemas, Comité para el acceso y P
de seguridad manejo del sistema
operativo.
Establecer políticas de 3 meses Es necesario definir
manejo de credenciales políticas de seguridad
de usuarios. para el manejo de
Curador, Jefe de
credenciales de
Sistemas, Comité P
usuarios (manejo del
de seguridad
administrador de
credenciales en el
S.O.)
Establecer políticas de 3 meses Es necesario definir
uso de aplicaciones de políticas de seguridad
Curador, Jefe de
carácter administrativo para el uso de
Sistemas, Comité P
propias del sistema. aplicaciones de
de seguridad
carácter administrativo
propias del sistema.
Establecer controles para 3 meses Es necesario definir
el acceso a los diferentes políticas de seguridad
niveles de aplicaciones, para el uso y
Curador, Jefe de
considerando que se configuración de los
Sistemas, Comité PI
manejan diferentes diferentes niveles de
de seguridad
entornos. aplicaciones que se
manejan en los
diferentes entornos.
166
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Establecer políticas para 3 meses Es necesario definir
la integración de políticas de seguridad
sistemas de información. para la integración de
Curador, Jefe de
sistemas de
Sistemas, Comité P
información para que la
de seguridad
informaciòn sea
compartidad de forma
segura.
Establecer políticas para 3 meses Es necesario definir
garantizar la seguridad Curador, Jefe de políticas de seguridad
de las aplicaciones en Sistemas, Comité para acada apliación P
funcionamiento. de seguridad manejada en la
Curaduria.
Definir políticas para la 3 meses Es necesario definir
gestión de políticas de seguridad
Curador, Jefe de
vulnerabilidades de para la gestión de
Sistemas, Comité P
aplicaciones o sistemas vulnerabilidades de
de seguridad
usados por la empresa. aplicaciones usadas
por la empresa.
Definir políticas para la 3 meses Es necesario definir
gestión de incidentes de Curador, Jefe de políticas de seguridad
seguridad de la Sistemas, Comité para la gestión de PI
información. de seguridad incidentes de seguridad
de la información.
Definir políticas de 6 meses Es necesario y de
seguridad de la suma importancia
información que definir políticas de
garanticen la continuidad seguridad de la
del negocio. información a
Curador, Jefe de
implementarse
Sistemas, Comité P
encaminadas a
de seguridad
garantizar la
continuidad del negocio
(tramite y expedición
de licencias
urbanisticas)
Definir políticas de 6 meses Es necesario definir
protección de políticas de seguridad a
información alineadas Curador, Jefe de implementarse con el
con requerimientos de Sistemas, Comité fin de proteger la PI
carácter legal. de seguridad información teniendo
en cuenta las normas
legales.
167
Descripción de las Tiempo
Estado
actividades derivadas para la
de la
de los controles de Responsables entrega de Hallazgos
Activid
seguridad y del la
ad
análisis de riesgos actividad
Revisar el uso de 6 meses Es necesario
procedimientos de establecer políticas de
seguridad de seguridad que permitan
conformidad con los Curador, Jefe de verificar que los
lineamientos de la Sistemas, Comité procedimientos se P
empresa y estándares. de seguridad estén realizando de
acuerdo a las políticas
y estándares definidos
por la empresa.
Establecer políticas para 6 meses Es necesario definir
el desarrollo de procesos Curador, Jefe de políticas de seguridad
de auditoria. Sistemas, Comité que permitan P
de seguridad desarrollar futuras
auditorias.
168
4.1.4.2.4 Carta de Respuesta de la Curaduría Urbana Segunda de Pasto
169
CONCLUSIONES
Una vez realizado el proceso de análisis de riesgo que permite conocer a fondo
los riesgos a los que está expuesta la empresa se procede a definir políticas de
seguridad, la declaración de aplicabilidad y aplicabilidad de los controles teniendo
como soporte la Norma ISO/IEC-27002 que sugiere 11 dominios, 39 objetivos de
control y 133 controles en materia de seguridad que abarcan todos los aspectos a
proteger en una empresa.
170
beneficios a mediano y largo plazo, garantizando el cumplimiento de estándares
que trabajan por la protección de la información y los activos relacionados.
Además contribuyen a fortalecer la continuidad del negocio ya que su objetivo es
disminuir al máximo los riesgos a los que está expuesta la información.
171
BIBLIOGRAFÍA
172
http://pegasus.javeriana.edu.co/~CIS0830IS12/documents/Anexo%20K%20MG-
05%20Manual%20del%20Sistema%20de%20Gestion%20de%20Seguridad%20de%20la
%20Informacion.pdf.
173
ANEXOS
174
ANEXO A
a) El pc se bloquea
c) El pc no se conecta a la red
d) El pc es lento
175
Valore las siguientes afirmaciones: Siendo 1= malo, 2= Aceptable, 3= Bueno, 4=
Excelente
Afirmaciones: 1 2 3 4
SI:____ NO:____
¿Recomendaría usted adoptar políticas de seguridad encaminadas a proteger la
información y evitar posibles daños de la información?
SI:____ NO:____
176
ANEXO B
177
Se puede observar que el servidor se conectó a través de la petición DNS.
178
Mediante este análisis se puede seleccionar un paquete y en panel de detalles de
paquete se encuentra información adicional para casa paquete.
179
180