Fase 4.
Evaluación Final
Control Interno y Gobierno en Línea
Ballesteros Durán Juan Carlos, Arión Mendoza Edison Javier
Universidad Nacional Abierta y a Distancia ''UNAD''
Cúcuta, Colombia
juancaba@gmaill.com; ejam1973@gmail.com

Resumen— El desarrollo del trabajo final del curso
Seguridad en Sistemas Operativos contiene los aspectos más
relevantes del tema Control Interno en las organizaciones, así
como el cumplimiento de la estrategia GEL.
Palabras clave— Control Interno, ISO 27002, políticas de
seguridad, control de acceso, GEL, SYSAGEL.
Abstract— The development of the final work of the
Security in Operating Systems course contains the most
relevant aspects of the topic Internal Control in
organizations, as well as compliance with the GEL
strategy.
Keywords— Internal Control, ISO 27002, security policies,
access control, GEL.
I. INTRODUCCIÓN
Los Sistemas de Gestión de Seguridad de la Información,
tienen como ciclo de vida, el famoso PHVA, Planear, Hacer,
Verificar y Actuar, los sistema de control interno
informáticos, son los encargados de actuar en las dos
últimas fases, Verificar y Actuar, en ellas se comprueba que
los controles establecidos, los tratamientos brindados, los
planes creados, los recursos asignados, son realmente
suficientes para garantizar la confidencialidad,
disponibilidad e integridad de la Información empresarial
que está dentro del alcance del SGSI.
La seguridad de la información es fundamental en todas las
empresas, y son múltiples los riesgos a los que puede estar
expuesto un sistema informático. Sumado a esto, las
entidades públicas deben garantizar la integridad,
disponibilidad y seguridad de la información, siendo
transparentes, responsables y justos. Para cumplir estos
objetivos, se estableció el plan Gobierno en Línea (GEL) en
busca de que todas las entidades públicas cumplieran con
estándares y medidas, para lograr que todos cumpliesen sus
metas y aprovechar al máximo las nuevas tecnologías y así
asegurar mejores servicios por parte del Estado a los
ciudadanos.
II. CONTROL INTERNO
Es un proceso que se ha diseñado con el fin de cumplir
objetivos específicos tales como la eficacia de las
operaciones, confiabilidad en la información y
cumplimiento de las leyes y regulaciones aplicables.
 responsable designado parea las mismas.
El control interno es de vital importancia para las
organizaciones ya que este permite el manejo óptimo de los
bienes, funciones e información, además contribuye a que
todos los recursos que componen la organización sean
utilizados eficientemente y estimando los criterios
necesarios para asegurar la integridad y custodia de los
sistemas.
MECI: Con cumplimiento obligatorio para el día 8 de
diciembre de 2008, el gobierno nacional a través de la ley
87 de 1993 decretó que todas las entidades del estado deben
adoptar y estructurar el Modelo Estándar de Control
Interno, de tal forma que se implemente una estructura de
operación por procesos soportados en el control de la
estrategia, la gestión y la evaluación orientándose al logro
de los objetivos institucionales y, por ende, a los objetivos
planificados del orden nacional.
IMPORTANCIA
El control interno en cualquier organización, reviste
mucha importancia, tanto en la conducción de la
organización, como en el control e información de la
operaciones, puesto que permite el manejo adecuado de los
bienes, funciones e información de una empresa
determinada, con el fin de generar una indicación confiable
de su situación y sus operaciones en el mercado; ayuda a
que los recursos (humanos, materiales y financieros)
disponibles, sean utilizados en forma eficiente, bajo criterios
técnicos que permitan asegurar su integridad, su custodia y
registro oportuno, en los sistemas respectivos.
En las empresas que deseen ser competitivas el control
interno debe implementarse ya que por medio de estos
controles la ocurrencia de errores y fraudes financieros
disminuyen, estas actividades inciden para que los entes
reguladores emitan un impacto positivo ya que emiten
comunicados indicando que la organización cumple con las
leyes y regulaciones.
OBJETIVOS DEL ÁREA DEL CONTROL INTERNO
En las organizaciones se siguen procedimientos
previamente establecidos, para la realización de los
procedimientos y aunque los cambios casi siempre generan
resistencia debido a los controles ya establecidos, una de las
funciones principales del Control Interno en el tema de
información es garantizar que todas las medidas y políticas
impartidas se ejecuten de manera correcta y por el

Los objetivos del área del control interno son:
 Implementar mecanismos y/o controles que validen
la ejecución de las actividades, se realice la
ubicación del nivel de servicio obtenido de la
implementación y validar que los responsables
cumplan los objetivos propuestos.
 Productos y herramientas de desarrollo de software.
Software para desarrollo de programas, software de
gestión de bibliotecas y para operaciones automáticas.
 Seguridad del ordenador central y bases de datos.
Identificar y verificar usuarios, control de acceso,
registro e información, integridad del sistema, controles
de supervisión, etc.

 Verificar que las actividades que se ejecutan

cumplan con los lineamientos establecidos y la
normatividad legal.
 Asesorar a los integrantes del área el conocimiento
y aplicación de la norma.
 Apoyar las labores de auditorías informáticas
realizadas por agentes internos como externos.
 Asesorar a los integrantes del área el conocimiento
y aplicación de la norma
TIPOS DE CONTROLES
Para lograr una correcta configuración de un sistema
se deben documentar todos los detalles que estén
vinculados al sistema como por ejemplo las aplicaciones,
el entorno de red, las herramientas usadas, los
mecanismos de seguridad y la gestión de cambio.
SISTEMA DE CONTROL INTERNO
Para la creación del sistema del control interno también
se debe definir:
 Gestión de sistemas de información: a través de
políticas, pautas y normas técnicas que sirvan de base
para el diseño y la implantación de los sistemas de
información y de los controles correspondientes.
 Administración de sistemas.: a través de controles sobre
la actividad de los centros de datos y otras funciones de
apoyo al sistema, incluyendo la administración de las
redes.
 Seguridad: que debe incluir las tres clases de controles
fundamentales implantados en el software del sistema,
como integridad del sistema, confidencialidad (control
de acceso) y disponibilidad.

Al interior de la organización se pueden implementar  Gestión de cambio: separación de las pruebas y la

controles preventivos y correctivos, algunos controles
internos están relacionados en controles de desarrollo,
adquisición y soporte de sistemas de información,
aplicación de controles en las aplicaciones que se
ejecutan dentro de la organización.
El control interno debe implantarse a varios niveles. Para
llegar a conocer la configuración del sistema es necesario
documentar los detalles de la red, así como los distintos
niveles de control y elementos relacionados. Por tanto, se
debe conocer a fondo y documentar:
producción a nivel de software y controles de
procedimientos, para la migración de programas
software aprobados y probados.
La implantación de una política y cultura sobre la
seguridad, requiere que sea realizada por fases, como se
puede ver en la siguiente figura, y esté respaldada por la
Dirección.

 Entorno de red. descripción de la configuración

hardware de comunicaciones, descripción del software
que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de
entornos de base que soportan aplicaciones críticas y
consideraciones relativas a la seguridad de la red.

 Configuración del ordenador o servidor de la empresa.

Configuración del soporte físico, en torno del sistema Fig. 1. Implantación política y cultura d seguridad
operativo, software con particiones, entornos pruebas y
real, bibliotecas de programas y conjunto de datos.

 Entorno de aplicaciones. Procesos de transacciones,

sistemas de gestión de base de datos y entornos de
procesos distribuidos.

Fuente:http://auditoriainformaticavidanueva.blogspot.com.co/2
015/05/blog-post.html
Para la creación del control interno se deben agrupar por
secciones para agilizar el proceso de verificación
determinando su cumplimiento y, se debe hacer de la
siguiente forma:
Control general organizativos: engloba una serie de
elementos, tales como:
 Políticas generales.
 Planificación (plan estratégico de información,
plan informático, plan general de seguridad y plan
de emergencia ante desastres).
 Estándares de adquisición.
 Procedimientos.
 Organizar el departamento de informática.
 Descripción de las funciones y responsabilidades
dentro del departamento.
 Políticas de personal.
 Asignación de funciones y responsabilidades.
 Asegurar que la dirección revisa todos los informes
de control y resuelve las excepciones que ocurran.
 Asegurar que existe una política de clasificación de
la información.
 Designar oficialmente la figura del Control Interno
Informático y de la Auditoría Informática
Controles sobre desarrollo, adquisición y mantenimiento de
sistemas de información: se utilizan para que se puedan
alcanzar la eficacia del sistema, economía y eficiencia,
integridad de los datos, protección de los recursos y
cumplimiento con las leyes y regulaciones. Se compone de:
 Metodología del ciclo de vida del desarrollo de
sistemas (como especificaciones, estándares de
pruebas, pases a producción, roll-back, etc.).
 Explotación y mantenimiento.
Controles sobre la explotación de los sistemas de
información: consta de:
 Planificación y gestión de recursos.
 Presencia de personal en momentos críticos
(calendario personal).
 Reparto de costes informáticos a la organización.
 Controles propios (por ejemplo, accesos muy
restringidos al host).
 Revisiones técnicas preceptivas.
 Controles para usar de manera efectiva los recursos
en ordenadores.
 Procedimientos de selección del software del
sistema, de instalación, de mantenimiento, de
seguridad y de control de cambios.
 Seguridad física y lógica (como definir un grupo de
seguridad de la información, controles físicos,
formación y concienciación de procedimientos de
seguridad, seguridad contra
incendios/inundaciones, control de acceso
restringido, normas que regulen el acceso a los
recursos informáticos, existencia de un plan de
contingencias, etc.).
Controles sobre las aplicaciones: cada aplicación debe llevar
controles incorporados para garantizar la entrada,
actualización, y mantenimiento de los datos:
 Control de entrada de datos (validaciones,
conversiones, formatos, procedencias).
 Controles de tratamiento de datos (sobre usos no
previstos).
 Controles de salida de datos (ídem entrada +
seguridad).
Controles específicos de ciertas tecnologías:
 Controles en Sistemas de Gestión de Bases de
Datos.
 Controles en informática distribuida y redes.
 Controles sobre ordenadores personales (ofimática)
y redes de área local.
 Controles conexiones OPEN <-> HOST.
Controles de Calidad.
 Existencia de un Plan General de Calidad basado
en el Plan de la Entidad a Largo Plazo, y el Plan a
Largo Plazo de Tecnología.
 Esquema General de Garantía de Calidad: abarca
todos los sectores de la organización, no sólo la
Informática y las TI.
 Compatibilidad de la revisión de Garantía de
Calidad: con las normas y procedimientos en las
funciones de informática.
 Metodología de Desarrollo de Sistemas.
 Actualización de la Metodología de Desarrollo de
Sistemas respecto a cambios en la tecnología.
 Coordinación y comunicación.
 Relaciones con proveedores que desarrollan
sistemas.
 Normas de documentación de programas.
 Normas de pruebas de programas.
 Normas respecto a la Prueba de Sistemas,
  Pruebas piloto o en paralelo.
 Documentación de las pruebas de sistemas.
 Evaluación del cumplimiento de garantía de
Calidad de las Normas de Desarrollo.
CONCEPTOS DE MECI
Rol de los Trabajadores en MECI:
 Ejecutar eficientemente sus actividades a cargo.
 Supervisar la eficacia de los controles a cargo.
 Autoevaluar y controlar su trabajo.
 Tomar acciones.
Principios del Modelo Estándar de Control Interno:
Autocontrol: Capacidad que deben desarrollar todos los
trabajadores de la empresa, para evaluar y controlar su
trabajo, detectar desviaciones y efectuar correctivos de
manera oportuna para el adecuado cumplimiento de los
resultados esperados, fundamentados en los principios
establecidos en la Constitución Política.
Autorregulación: Capacidad de cada una de las
organizaciones para desarrollar y aplicar en su interior
métodos, normas y procedimientos que permitan el
desarrollo, implementación y fortalecimiento continuo del
Sistema de Control Interno, en concordancia con la
normatividad vigente.
Autogestión: Capacidad de toda organización pública para
interpretar, coordinar, aplicar y evaluar de manera efectiva,
eficiente y eficaz la función administrativa que le ha sido
asignada por la Constitución, la ley y sus reglamentos.
CONTROL INTERNO INFORMÁTICO PARA LA
ORGANIZACIÓN CON LOS ESTÁNDARES DE
CONTROL ISO 27002
El control interno en la organización puede basarse en los
once dominios que corresponden a la norma ISO 27002.
POLITICAS DE SEGURIDAD:
Es de vital importancia para a organización como primera
medida en el control interno establecer políticas de
seguridad que vayan ligadas a su misión y a la seguridad de
la información en pro del progreso de la organización, para
ello es necesario que para cada cargo se asignen roles y
responsabilidades de acuerdo al nivel de información que
cada cargo maneja, además se debe establecer políticas que
le permitan a la organización la administración de recursos,
seguridad física, control de accesos, administración de las
comunicaciones y operaciones.
El objetivo de las políticas de seguridad para la
organización proporciona elementos de mejora en sus
empleados por medio de capacitación continua para reforzar
el tema de la seguridad de la información lo que permite
minimizar los riegos, asegurar los activos y proteger la
integridad de la información, de igual forma dentro de las
políticas que se establecen se dan a conocer las sanciones
pertinentes de acuerdo a la infracción cometida.
ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
Se deben establecer y asignar las responsabilidades para la
seguridad de la información en cada una de las
dependencias pertenecientes a la organización, también se
deben separar las diferentes tareas realizadas y las
responsabilidades de acuerdo a cada dependencia que
permitan minimizar el mal uso de los activos y la
modificación no autorizada de la información, de igual
forma se debe establecer un contacto con las autoridades
pertinentes.
GESTION DE ACTIVOS
En la organización todos los activos deben estar
identificados por medio de un inventario especificando los
propietarios de dichos activos con el fin de asignarle
responsabilidades sobre ellos, además se debe documentar e
implantar medidas para el uso de cada uno de los activos.
Se debe clasificar también de acuerdo al tipo de activo como
por ejemplo activos físicos, activos de información, recursos
software y servicios. Para los activos de información se
deben clasificar según su sensibilidad y funcionalidad.
SEGURIDAD DE LOS RECURSOS HUMANOS
En la organización se debe realizar una formación continua
a los empleados sobre las políticas de seguridad y la
importancia que estas tienen para minimizar riesgos y para
el cumplimiento de las metas establecidas por la
organización en pro de su desarrollo, enfatizando que al
faltar a las medidas de seguridad establecidas estas pueden
afectar la confidencialidad de la información y por ende el
desarrollo de sus funciones y de las responsabilidades
adquiridas, también se debe socializar el proceso
disciplinario que se sigue cuando se presente una falta a las
políticas de seguridad establecidas.
SEGURIDAD FISICA Y DEL ENTORNO
A pesar de que la organización cuenta con un sistema
central para incendios que aseguran las instalaciones, se
debe realizar campañas para socializar este sistema y
realizar simulacros de evacuación.
Se debe implementar seguridad para el acceso a las
diferentes áreas u oficinas de la organización con el fin de
evitar el acceso de personas no autorizadas que signifiquen
un riesgo en la seguridad.
GESTION DE COMUNICACIONES Y OPERACIONES
La organización debe realizar manuales de que describan la
elaboración de los diversos procesos y que estén al
conocimiento de sus empleados y llevar un registro de los
cambios realizados en dichos manuales.
Además, debe realizar un monitoreo de los servicios
prestados en caso de error debe tener un procedimiento para
la atención de dichos errores.
CONTROL DE ACCESO
De acuerdo al análisis del nivel de sensibilidad de la
información y de la asignación de roles y responsabilidades
en cada uno de los cargos como se ha especificado
anteriormente, también es necesario para la organización
realizar un proceso para la asignación de acceso a los
usuarios para los sistemas y servicios que posee la
organización, además se debe realizar una gestión
controladas de información confidencial de autenticación de
usuarios.
De igual forma se debe tener un control de acceso también
para las redes, al sistema operativo y a las aplicaciones con
el fin de evitar el acceso no autorizado.
AQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
LOS SISTEMAS DE INFORMACIÓN
La organización debe realizar requisitos específicos para la
seguridad de la información con el fin de mejorarla, de
igual forma debe establecer políticas para la adquisición de
software indicando la persona o dependencia encargada de
ello, para las aplicaciones que posee la organización es
necesario que tengan perfiles de usuario e identificación
única de la sesión de usuario de tal forma que permita
validar los datos verificando que estos sean correctos.
GESTION DE INCIDENTES
La organización debe establecer procedimientos en caso de
algún incidente en la seguridad de la información para que
este sea solucionado de forma óptima, organizada y
oportuna para que no afecte los procesos de la organización
o la seguridad de la información.
GESTIÓN DE CONTINUIDAD DEL NEGOCIO
Para que la organización tenga continuidad y sus procesos
se realicen sin ningún problema se deben realizar procesos
de evaluación de toda la organización con el fin de reducir
riesgos y limitar los incidentes en sus procesos y la
reanudación en tiempo oportuno de las diferentes
operaciones.
III. GOBIERNO EN LÍNEA (GEL)
¿QUÉ ES GOBIERNO EN LÍNEA (GEL)?
Es una estrategia para la implementación de acciones y
medidas que buscan las mejoras de servicio en línea al
ciudadano, mejorando la transparencia y efectividad en los
procesos y de los entes, la seguridad de la información y el
aprovechamiento de nuevas tecnologías de la información y
las comunicaciones.
Según la ley 1341 de 2009, el gobierno colombiano se
compromete entre otras cosas a:
 prestar mejores servicios a los ciudadanos
 lograr la excelencia en la gestión
 empoderar y generar confianza a los ciudadanos
 facilitar las acciones para el desarrollo sostenible y
el uso de las TIC’s.
Adicionalmente, esta ley ha sido reglamentada con otras
leyes y decretos en especial el decreto 2573 de 2014.
Para la implementación de la estrategia de Gobierno en
Línea, se diseñó el “Manual de Gobierno en Línea” que
contiene y define las acciones que deben realizar las
entidades del orden nacional y territorial para su
cumplimiento. Además, se define el “Marco de Referencia
de Arquitectura Empresarial” para la gestión de TICS que
deben adoptar los sujetos obligados de los cuales habla la
ley.
La ejecución de la estrategia GEL estará liderada por el
Ministerio de Tecnologías de la Información, pero la
responsabilidad en cada entidad recae sobre las juntas
directivas, comités institucionales, consejo de gobierno, o
quien haga sus veces y estos deberán asegurar la asignación
de tareas, actividades. metas y asignar presupuesto para su
ejecución.
EJES TEMÁTICOS DE LA ESTRATEGIA
La estrategia de gobierno en línea se basa en 4 ejes
temáticos a saber:
 TIC para el Gobierno Abierto: su foco es llevar al
Estado a ser más transparente y colaborativo,
dando a los ciudadanos la oportunidad de
participar activamente en la toma de decisiones
gracias a las TIC.
 TIC para servicios: se basa en la creación y
ejecución de trámites y servicios en línea para
agilizar las necesidades de los ciudadanos.
 TIC para la gestión: Busca que el Estado use
estratégicamente la tecnología para hacer más
eficaz su gestión administrativa.
 Seguridad y privacidad de la información: Busca
guardar los datos de los ciudadanos como un
tesoro, garantizando la disponibilidad, integridad,
confiabilidad y no repudio de la información.
¿A QUIENES APLICA?
La estrategia GEL aplica a todas las entidades u organismos
de naturaleza públicas de los cuales trata el artículo 390 de
la ley 489 de 1998 y actualizado en el Decreto Único
Reglamentario 1078 de 2015. Ejemplos de estos son: la
presidencia, ministerios, departamentos administrativos,
departamentos, alcaldías, empresas industriales y
comerciales del estado, etc.
¿QUIÉNES PARTICIPAN?
En la ejecución de la estrategia GEL participamos todos los
colombianos desempeñando alguno de los siguientes roles:
 Ciudadanos: Somos los principales beneficiarios de la
Estrategia, ya que con ella se tendrán amplias ofertas de
trámites, servicios y canales de comunicación en línea
para interactuar con las entidades públicas. También
 pueden participar en la toma de decisiones de asuntos
de interés público. TIC para la
20 45 80 100
Mantener Mantener
Gestión 100 100
 Funcionarios: Son los principales encargados de
conocer, implementar, garantizar el cumplimiento y
Seguridad y
monitorear los resultados de la estrategia de Gobierno privacidad Mantener Mantener
en línea en las entidades públicas del orden territorial y 35 50 80 100
de la 100 100
nacional con el fin de construir un Estado más eficiente Información
y transparente gracias a las TIC.
Fuente: El autor
 Industria TI, academia, organizaciones: Son actores
B. Gobernaciones de categoría segunda, tercera y cuarta;
fundamentales para la estrategia, ya que con su
alcaldías de categoría primera, segunda y tercera y demás
implementación podrán desarrollar alianzas y
sujetos obligados de la Administración Pública en el mismo
oportunidades de negocio con las entidades públicas del
nivel.
orden nacional y territorial. Son beneficiados por los
acuerdos marco de precios para TI, participan en los Tabla 3. Plazo Entidades B
programas de fortalecimiento a la industria de TI y en Entidades B
los programas de financiación a proyectos de Componente
2015 2016 2017 2018 2019 2020
innovación.
TIC para Mantener Mantener Mantener
45 70 100
servicios 100 100 100

¿CUÁLES SON LOS PLAZOS?

TIC para el
Para los Sujetos obligados del Orden Nacional los plazos Mantener Mantener Mantener
Gobierno 65 80 100
100 100 100
son: Abierto

Tabla 1. Plazo Entidades Orden Nacional TIC para la

10 30 50 65 80 100
Gestión
AÑO /
2015 2016 2017 2018 2019 2020
COMPONENTE
Seguridad y
Mantener Mantener Mantener Mantener privacidad
TIC para servicios 90% 100% 10 30 50 65 80 100
100% 100% 100% 100% de la
TIC para el Mantener Mantener Mantener Mantener
Información
90% 100%
Gobierno Abierto 100% 100% 100% 100% Fuente: El autor
Mantener Mantener
TIC para la Gestión 25% 50% 80% 100%
100% 100%
C. Alcaldías de categoría cuarta, quinta y sexta, y demás
Seguridad y
privacidad de la 40% 60% 80% 100%
Mantener Mantener sujetos obligados la Administración Pública en el mismo
100% 100%
Información nivel.
Fuente: El autor Tabla 4. Plazo Entidades C
Entidades C
Componente
2015 2016 2017 2018 2019 2020
Para los Sujetos obligados del Orden Territorial los plazos
son:
TIC para Mantener Mantener
40 55 70 100
servicios 100 100
A. Gobernaciones de categoría Especial y Primera; alcaldías
de categoría Especial, y demás sujetos obligados de la
Administración Pública en el mismo nivel. TIC para el
Mantener Mantener
Gobierno 65 75 85 100
100 100
Abierto
Tabla 2. Plazo Entidades A
Entidades A TIC para la
Componente 10 30 50 65 80 100
Gestión
2015 2016 2017 2018 2019 2020
Seguridad y
privacidad
TIC para Mantener Mantener Mantener 10 30 50 65 80 100
70 90 100 de la
servicios 100 100 100 Información
Fuente: el autor

TIC para el
Mantener Mantener Mantener
Gobierno 80 95 100
100 100 100
Abierto
 SISTEMA DE ADMINISTRACIÓN DE SEGURIDAD
DE LA INFORMACIÓN DE GOBIERNO EN LINEA
(SASIGEL)
Es un modelo que busca el cumplimiento de la protección
de la información del individuo y la credibilidad y confianza
en el Gobierno en Línea. Junto a la Comisión de seguridad
de la información para Gobierno en línea, se define las
acciones estratégicas y lineamientos que permitan la
implementación, seguimiento y mantenimiento del modelo
de seguridad de la información en cada una de las entidades
públicas.
De acuerdo al modelo de seguridad de la información para
la estrategia de Gobierno en Línea 2.0 el SASIGEL surge,
como la necesidad de dirigir las interacciones de los actores
públicos, privados y de la sociedad civil que interactúan y
afectan la seguridad de la información de las entidades
públicas.
En este sentido, el SASIGEL coordinará las actividades
relacionadas con la formulación, ejecución, seguimiento y
mantenimiento de las políticas y lineamientos del modelo,
necesarios para fortalecer la adecuada gestión de la
seguridad de la información de las entidades públicas a
nivel nacional.
Fig. 2. Ciclo de Vida SASIGEL
Mejoramiento permanente - La entidad refuerza la
divulgación de las políticas de seguridad, ejecuta los
procedimientos y políticas de seguridad, de manera
repetitiva, realiza la revisión periódica interna de los riesgos
inicialmente detectados, políticas, procedimientos y
controles para finalmente evaluar sus políticas de seguridad
e implementa acciones para mejorarlas
IV. CONCLUSIONES
La seguridad de la información es una estrategia que las
organizaciones deben establecer para garantizar a los
clientes productos o servicios de mejor calidad.
El control interno informático es el responsable de
monitorear y mejorar los Sistemas de Gestión de Seguridad
de la Información, este debe mantener en el tiempo para
comprobar la eficiencia del sistema.
MECI, Modelo Estándar de Control Interno proporciona la
estructura básica para el control a la estrategia, la gestión y
la evaluación en las organizaciones.
Es importante conocer la normatividad vigente para las
empresas públicas referentes a la seguridad de la
información y control informático, que buscan además
contar con entes transparentes, efectivos y seguros en sus
trámites y servicios.

La estrategia Gobierno en Línea (GEL) y el Sistema de

administración de seguridad de la información de Gobierno
en Línea (SASIGEL) deben ser tenidos en cuenta e
implementar las medidas de acuerdo a los manuales
publicados.

Fuente: Estrategia de Gobierno en línea 2.0 V. REFERENCIAS

Dicho nivel de madurez propuesto por SASIGEL se [1] Decreto 2573 de 2014 disponible en:
compone de cuatro niveles que se describen de la siguiente https://www.mintic.gov.co/portal/604/articles-14673_documento.pdf
manera: [2] Estrategia de gobierno en línea. Disponible en:
http://estrategia.gobiernoenlinea.gov.co/623/w3-channel.html
Nivel Inicial - Por medio del cual la entidad debe definir
[3] Decreto 2364 de 2012 disponible en:
una política de seguridad que garantice la protección de la http://wsp.presidencia.gov.co/Normativa/Decretos/2012/Documents/NO
información, los datos personales y los activos de VIEMBRE/22/DECRETO%202364%20DEL%2022%20DE
información con que cuenta. %20NOVIEMBRE%20DE%202012.pdf

[4] Decreto 1078 de 2015 disponible en:

Nivel básico - Con base en el análisis de procesos realizado
en el nivel inicial y la política o plan de seguridad definido,
la entidad inicia la ejecución de dicho plan de seguridad [5]
para implementar los controles que mitigarán los riesgos
identificados, lo cual implica que la entidad presenta
avances en la implementación de tales controles. [6]
Nivel avanzado - La entidad documenta la totalidad de
políticas y procedimientos de seguridad, ejecuta las
actividades de capacitación en temas de seguridad, con [7]
todos los servidores públicos, define el plan de verificación
periódica de los controles, procedimientos y políticas de
seguridad y reporta los avances del cumplimiento del plan.
http://www.mintic.gov.co/portal/604/articles-9528_documento.pdf
¿Por qué es importante el control interno en las empresas? Disponible en:
https://www2.deloitte.com/py/es/pages/audit/articles/opinion-control-
interno-empresas.html
DIFERENCIA ENTRE CONTROL INTERNO INFORMATICO Y
AUDITOR INFORMATICO. Disponible en:
http://auditoriainformaticavidanueva.blogspot.com.co/2015/05/blog-
post.html
Control interno, ¿QUE ES EL MECI? Disponible en:
http://uniajc.edu.co/controlinterno/wp-content/uploads/2014/04/Para-
los-que-a%C3%BAn-no-conocen-que-el-modelo-MECI-1.pdf
 VI. BIOGRAFÍA

Juan Ballesteros nació en Colombia – Cúcuta, el 07

de noviembre de 1982. Se graduó de la Universitaria
Francisco de Paula Santander, en ingeniería de
Sistemas, y estudio en la universidad de Pamplona su
especialización en Gestión de Proyectos Informáticos.

Su experiencia profesional está enfocada a la

prestación de soporte de sistemas comerciales como a
la programación web y programación cliente servidor,
actualmente trabaja en Centrales Eléctricas del Norte
de Santander S.A E.S.P. Actualmente estudia la
Especialización en Seguridad Informática en la Universidad Nacional Abierta
y a Distancia.

Edison Javier Arión Mendoza nació en Cúcuta el 13

de febrero de 1973. Se graduó de la Universidad
Francisco de Paula Santander como Ingeniero de
Sistemas, Actualmente estudio Especialización en
Seguridad Informática en la UNAD.