Informe de Auditoria en La Alcaldia Municipal Del Peñon Bolivar en El Area de Sistemas Terminado

INFORME DE AUDITORIA EN EL AREA DE SISTEMAS DE LA ALCALDIA
MUNICIPAL DEL PEÑON BOLIVAR
ALUMNOS:
JEORDY OSKAR MORA VEGA

EUGENIO ANDRES PIÑEREZ DIAZ
LUIS VILLARREAL TOBÍO
IVAN SANDOVAL PICALUA
DOCENTE:
ING. NEHEMIAS SARABIA DIAZ
UNIVERSIDAD POPULAR DEL CESAR

FACULTAD DE INGENIERIAS Y TECNOLOGIAS
PROGRAMA DE INGENIERIAS DE SISTEMAS VALLEDUPAR-CESAR
2019
ALCALDÍA MUNICIPAL
EL PEÑÓN (BOLÍVAR)
Contenido
INTRODUCCIÓN..................................................................................................... 4
DESCRIPCIÓN DE LA ALCALDIA DEL PEÑON BOLIVAR .................................... 5
MISIÓN ................................................................................................................ 5
VISIÓN ................................................................................................................. 5
OBJETIVOS ............................................................................................................ 6
OBJETIVO GENERAL ......................................................................................... 6
OBJETIVOS ESPECÍFICOS ................................................................................ 6
PLANIFICACIÓN ..................................................................................................... 7
PLAN DE IMPLANTACIÓN .................................................................................. 9
PLAN DE SEGURIDAD ......................................................................................... 10
DESCRIPCIÓN .................................................................................................. 10
FUNCIONALIDADES DE LA ALCALDÍA ........................................................... 11
SITUACIÓN ACTUAL ............................................................................................ 13
ORGANIZACIÓN DE LA EMPRESA ................................................................. 13
INFRAESTRUCTURA ........................................................................................ 14
ALCANCE DEL SGSI ........................................................................................ 15
DECLARACIÓN DE APLICABILIDAD ................................................................... 15
DEFINICIÓN DE LA POLITICA DE SEGURIDAD ................................................. 34
POLÍTICA DE SEGURIDAD .............................................................................. 34
OBJETIVOS ....................................................................................................... 34
ALCANCE .......................................................................................................... 35
ORGANIZACIÓN............................................................................................ 35
GESTIÓN DE ACTIVOS ................................................................................ 35
RECURSOS HUMANOS ................................................................................ 36
SEGURIDAD FÍSICA Y DEL ENTORNO ....................................................... 36
COMUNICACIONES Y OPERACIONES........................................................ 37
CONTROL DE ACCESOS ............................................................................. 38
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO ................................... 39
GESTIÓN DE INCIDENTES........................................................................... 39
CONTINUIDAD DEL LA ALCALDÍA ............................................................... 39
CUMPLIMIENTO ............................................................................................ 40
2
ALCALDÍA MUNICIPAL
ENFOQUE DEL ANALISIS DE RIESGO ............................................................... 40

INVENTARIO DE ACTIVOS .............................................................................. 41
VALORACIÓN DE ACTIVOS ............................................................................. 46
IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES............................ 48
AMENAZAS.................................................................................................... 48
AMENAZAS ESENCIALES: ............................................................................... 49
AMENAZAS DE SUBCONTRATADOS: ............................................................ 55
AMENAZAS DE PERSONAL: ............................................................................ 55
AMENAZAS SOBRE LOS ACTIVOS DE INFORMACIÓN: ............................... 63
PROBABILIDAD DE OCURRENCIA DE LAS AMENAZAS: .............................. 63
VULNERABILIDADES .................................................................................... 63
VALORACIÓN DE RIESGO ........................................................................... 64
SALVAGUARDAS.............................................................................................. 67
GRAFICAS DE RESULTADOS ......................................................................... 86
CONCLUSIONES .................................................................................................. 89
REFERENCIAS ..................................................................................................... 90
3
ALCALDÍA MUNICIPAL
INTRODUCCIÓN
El valor de la información se vuelve muy relevante e importante para cada

organización. Obviamente con el tiempo se ganarán nuevos activos y algunos se
perderán y ahí es donde se tiene un problema de seguridad donde en algunos o en
su mayoría no podremos adquirir nuevamente.
Habitualmente la gestión de la seguridad de la información en una organización

queda con fallos, no sigue un patrón definido, cada área, especialmente la de
Tecnologías de la Información, tiene sus propias políticas y procedimientos,
establecidos sin una visión global de las necesidades de la entidad, incluso alejada
de los objetivos de la alcaldía.
Un Sistema de Gestión de la Seguridad de la Información (SGSI) garantiza la

adecuada gestión de la seguridad en la organización, todo esto teniendo en cuenta
todos los posibles escenarios de riesgo y amenazas sobre los activos de la
organización.
La gestión de la seguridad por medio de un SGSI se convierte en un proceso

evolutivo ya que este entra en un estado de mejoras continuas y se adapta a los
cambios de la organización a lo largo del tiempo ya sea en sus procesos o la
tecnología usada.
La seguridad de la información se desarrolla atendiendo a tres dimensiones

principales:
Confidencialidad: Entendida como la garantía del acceso a la información

únicamente de los usuarios autorizados.
Integridad: entendida como la preservación de la información de forma completa y

exacta.
Disponibilidad: Entendida como la garantía del acceso a la información en el instante

en que el usuario la necesita.
El SGSI considera las tres dimensiones a la hora de dirigir el tratamiento de los

riesgos de la empresa mediante la implantación de controles de seguridad en los
activos de la organización.
4
ALCALDÍA MUNICIPAL
DESCRIPCIÓN DE LA ALCALDIA DEL PEÑON BOLIVAR
La Alcaldía municipal es un ente público que busca Mejorar la calidad de vida,

superar las necesidades básicas insatisfechas y el acceso a oportunidades a todos
los habitantes en igualdad de condiciones aprovechando al máximo los recursos
disponibles y potencialidades para el desarrollo económico, superando
desequilibrios sociales existentes y propiciando acceso con calidad y equidad en
los servicios públicos sociales.
Actualmente su estructura organizacional tiene 35 áreas, entre estas están

secretaría de salud, control interno, comisaría de familia, área de sistemas,
secretaría de planeación y obras públicas, secretaría de hacienda, desarrollo social
y comunitario, indeporte, secretaría general y del interior, etc. En el presente
cuentan con una nómina de 55 empleados. [1]
MISIÓN
Queremos un Municipio próspero, en donde lo habitantes tengan sentido de

pertenencia y se sientan comprometidos con el desarrollo de nuestro territorio, con
inclusión social y generación de oportunidades para todos. Gestionaremos para que
las obras lleguen y fortaleceremos la administración para brindar a la comunidad el
mejor servicio, teniendo siempre presente la responsabilidad y la transparencia.
VISIÓN
Al término de nuestra Administración el Municipio de El Peñón se destacará por el

nivel de desarrollo y el aumento de la calidad de vida de sus habitantes, ocupando
los primeros lugares en gestión y desempeño a nivel departamental, con armonía
entre los pobladores y en convivencia pacífica, sentando las bases para impulsar el
Municipio y prepararlo para los retos que el mundo actual le impone.
5
ALCALDÍA MUNICIPAL
OBJETIVOS
OBJETIVO GENERAL
Diseñar un Sistema de Gestión de Riesgos para disminuir las vulnerabilidades y

amenazas de la alcaldía municipal del peñón bolívar en el área de sistemas basados
en las normas ISO/IEC 27001:2006-2013.
OBJETIVOS ESPECÍFICOS
 Realizar un levantamiento de información del estado actual de la alcaldía

municipal del peñón bolívar en el área de sistemas.
 Elaborar un diagnóstico de la situación actual de la seguridad de la
información de la alcaldía municipal del peñón bolívar, por medio de los
procesos descritos en la norma ISO/IEC 27001:2006-2013.
 Realizar las respectivas recomendaciones de acuerdo a los resultados
obtenidos de la auditoria.
6
ALCALDÍA MUNICIPAL
PLANIFICACIÓN
Para la implantación de un SGSI se va a utilizar la norma ISO 27001 del cual

podemos decir que un SGSI es un Sistema de Gestión de la Seguridad de la
Información o ISMS por sus siglas en inglés (Information Security Management
System), consiste de una serie de actividades de gestión que deben realizarse
mediante procesos sistemáticos, documentados y conocidos por una organización
o entidad
El SGSI protege los activos de información de una organización,
independientemente del medio en que se encuentren; por Ejemplo, correos
electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos,
hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información
confidencial de trabajadores y colaboradores, entre otros. [2]
Esta norma nos presenta un sistema de gestión basado en Planificar, Hacer,
Verificar y Actuar, que se conoce como el ciclo de PHVA: que en inglés es el Plan,
Do, Check, Act.
Imagen 1 Ciclo PVHA
7
ALCALDÍA MUNICIPAL
El ciclo PHVA supone la implantación de un sistema de mejora continua que

requiere una constante evolución para adaptarse a los cambios producidos en su
ámbito y para tratar de conseguir la máxima eficacia operativa.
A continuación, vamos a describir las actividades que se realizan en cada una de
las cuatro fases del ciclo PHVA. [4]
 Planificar
En esta fase tiene lugar la creación del SGSI, con la definición del alcance y la
Política de Seguridad. El núcleo fundamental de esta fase y del SGSI es la
realización de un análisis de riesgos que refleje la situación actual de la entidad. A
partir del resultado de este análisis se definirá un plan de tratamiento de riesgos que
conlleva la implantación en la organización de una serie de controles de seguridad
con el objetivo de mitigar los riesgos no asumidos por la Dirección.
 Hacer:
Esta fase cubre la implantación del plan de tratamiento de riesgos, su ejecución.
Incluye también la formación y concienciación de los empleados en materia de
seguridad y la definición de métricas e indicadores que sirvan para evaluar la
eficacia de los controles implantados.
 Verificar:
Durante esta fase se realizan diferentes tipos de revisiones para comprobar la
correcta implantación del sistema. Entre ellos, se realiza una auditoría interna
independiente y objetiva, así como una revisión global del SGSI por Dirección, con
el objetivo de marcarse nuevas metas a cubrir en el próximo ciclo del SGSI.
 Actuar:
El resultado de las revisiones debe reflejarse en la definición e implantación de
acciones correctivas, preventivas y de mejora para avanzar en la consecución de
un SGSI eficaz y eficiente.
8
ALCALDÍA MUNICIPAL
PLAN DE IMPLANTACIÓN
Debido a que un plan de implantación basado en la norma ISO 27001 puede tener
una duración de 6 a 12 meses tomáremos como referencia los tiempos dados para
la entrega del documento final.
FASE INICIO FIN

Creación de plan de trabajo 22/04/2019 26/04/2019
Definición del alcance del SGSI 29/04/2019 10/05/2019
Definición de la política de seguridad 13/05/2019 31/05/2019
Identificación de los activos de 3/06/2019 21/06/2019

información
Definición del enfoque del análisis de 24/06/2019 5/07/2019
riesgo
Metodología de análisis de riesgo 8/07/2019 27/07/2019
Tratamiento de los riesgos 29/07/2019 23/08/2019

Selección de controles 26/08/2019 13/08/2019
Tabla 1 Tiempo de implementación
9
ALCALDÍA MUNICIPAL
PLAN DE SEGURIDAD
DESCRIPCIÓN
Es una entidad pública, con personería jurídica Pues, es evidente que para que una
colectividad pueda realmente manejarse a sí misma, requiere tener la capacidad de
ser sujeto de derecho y obligaciones. De conformidad con el art. 80 de la Ley 153
de 1887, se observa que los departamentos y los municipios son definidos como
personas jurídicas y por consiguiente capaces de contraer derechos y obligaciones.
Y un Control de tutela por parte del poder central, este elemento se explica, pues,
en un Estado Unitario las entidades territoriales no pueden gozar de total
autonomía. Ellas gozan de autonomía para la gestión de sus intereses por dentro
de los límites de la Constitución Nacional y la Ley.” [5].
Mejorar la calidad de vida, superar las necesidades básicas insatisfechas y el
acceso a oportunidades a todos los habitantes en igualdad de condiciones
aprovechando al máximo los recursos disponibles y potencialidades para el
desarrollo económico local, superando desequilibrios sociales existentes y
propiciando acceso con calidad y equidad en los servicios públicos sociales.
De igual forma promover la cultura de la innovación en todas las áreas del desarrollo
municipal mediante el fortalecimiento de la plataforma de las comunicaciones y el
uso de las tecnologías existentes; el desarrollo se pretende medir mediante el
ordenamiento de uso de los recursos, garantizando la sostenibilidad del medio
ambiente, asegurando la eficacia y eficiencia de la gestión a través del
fortalecimiento a la administración pública dado en un manejo transparente con
participación de la comunidad con miras a mejorar la gobernabilidad e
institucionalidad democrática. [6]
ALCALDÍA MUNICIPAL
FUNCIONALIDADES DE LA ALCALDÍA
La alcaldía del municipio del peñón bolívar se compromete a:
1ª Cumplir y hacer cumplir la Constitución, leyes, ordenanzas, acuerdos y

Decretos que estén en vigor;
2ª Cuidar de que el Concejo se reúna oportunamente, desempeñe los deberes

que le corresponden y convocarlo a reuniones extraordinarias;
3ª Suministrar al Concejo los informes y datos que necesite para el buen

desempeño de sus funciones y cada vez que aquél se reúna en sesiones
ordinarias, presentar un informe general sobre la marcha de la administración en
el trimestre anterior;
4ª Presentar al Concejo los proyectos de acuerdo que juzgue convenientes a la

buena marcha del Municipio;
5ª Sancionar u objetar los acuerdos expedidos por el Concejo y publicarlos en

debida forma;
6ª Velar porque los empleados del servicio municipal desempeñen oportuna y

debidamente sus funciones;
7ª Nombrar y remover libremente los empleados de su oficina;
8ª Dictar los actos necesarios para la administración del personal que presta sus
servicios en el Municipio de conformidad con el artículo 294 de este Código;
9ª Ordenar los gastos municipales de acuerdo con el presupuesto y los

reglamentos fiscales;
ALCALDÍA MUNICIPAL
10ª Inspeccionar con frecuencia los establecimientos públicos del municipio, para
que marchen con regularidad;
11ª Imponer multas, o arresto hasta de seis (6) días, a los que desobedezcan o no
cumplan sus órdenes y a los que le falten al debido respecto;
12ª Coadyuvar activamente a las medidas que dicten los empleados de instrucción
pública;
13ª Cuidar de que los archivos de las oficinas del Municipio se conserven en
perfecto estado y buen arreglo;
14ª Dar en el mes de diciembre un informe al Gobernador del Departamento sobre

la marcha de la administración pública en el Municipio y las medidas que
convenga tomar para mejorarla;
15ª Perseguir a los reos prófugos que haya en el Municipio;
16ª Despachar sin pérdida de tiempo los exhortos y oficios que les dirijan las
autoridades judiciales.
ALCALDÍA MUNICIPAL
SITUACIÓN ACTUAL
ORGANIZACIÓN DE LA EMPRESA
Imagen 2 Estructura organizacional

ALCALDÍA MUNICIPAL
INFRAESTRUCTURA
La infraestructura TI de la alcaldía se divide en dos grandes áreas:

1. Área administrativa: es quien tiene control sobre todo el personal y las
decisiones que se toman en la alcaldía.
2. Área de sistemas: es la más importante y en ella trabajan los responsables
del despliegue y servicios de la alcaldía y usuarios. Disponen de varios
servidores donde albergan las aplicaciones e información organizacional.
Además, gestionan los entornos de desarrollo y las actualizaciones de los
sistemas.
Equipos utilizados en la alcaldía (Área de Sistemas):
N° Descripción Cantidad
1 Equipos de escritorio con SO Windows instalado. 6
2 Equipos multifunción. 3
3 Scanner 2
4 Router 6
5 Impresora 3
6 Switch 3
7 equipos de cortafuegos 1
8 UPS 3
9 Red de comunicaciones internet y ethernet dentro 3
de la empresa.
10 Perdida de datos 20
Tabla 2 Elementos en el área se sistemas
ALCALDÍA MUNICIPAL
ALCANCE DEL SGSI
El objeto del sistema de gestión planteado es incrementar la seguridad de la

información mediante el mantenimiento de la integridad, disponibilidad y
confidencialidad de la información manejada y de los sistemas informáticos donde
esta es depositada y manejada.
DECLARACIÓN DE APLICABILIDAD
El análisis de situación de la entidad respecto a la norma no es obligatorio según la

ISO 27001 pero si aconsejable para entender dónde nos encontramos. El análisis
diferencial nos permitirá evaluar el grado de cumplimiento de la norma y nos
permitirá tener una versión preliminar de la Declaración de aplicabilidad.
La nomenclatura que se va a utilizar en este análisis es la siguiente:
 Si: Cumple con el requisito o control.
 No: No cumple con la aplicación del control.
 Parcial: El control está aplicado de manera parcial.
 N/A: No se aplica o no se utiliza.
Objetivos Observaciones Cumple Justificación

5.Política de seguridad
5.1 Política de seguridad de la información
5.1.1
Documento de
política de Requerimiento
SI
seguridad de ISO 27001
la
información
5.1.2 Revisión de
la política de Requerimiento
SI
seguridad de la ISO 27001
información
ALCALDÍA MUNICIPAL

6. Organización de la seguridad de la
Información
6.1 Organización interna
6.1.1
Compromiso
de la Existen
dirección compromisos de Requerimiento
PARCIAL
con la medidas de ISO 27001
seguridad seguridad.
de la
información
6.1.2 Ya existen
Coordinación de controles de Requerimiento
la seguridad de la seguridad. PARCIAL ISO 27001
información
6.1.3 Asignación
de
Requerimiento
responsabilidades SI
ISO 27001
para la seguridad
de la información
6.1.4 Procesos de
autorización para
Requerimiento
los servicios de NO
ISO 27001
procesamiento de
información
Existen
6.1.5 Acuerdos contratos con
Requerimiento
sobre confi- trabajadores, SI
legal
dencialidad clientes y
proveedores
6.1.6 Contacto Requerimiento
con las NO ISO 27001
autoridades
ALCALDÍA MUNICIPAL
6.1.7 Contacto
con grupos de NO
interés especiales
6.1.8 Revisión
independiente de Requerimiento
NO
la seguridad de la ISO 27001
información
6.2 Terceras partes
6.2.1 Hay informes de
Identificación de riesgos
los riesgos derivados de los
relacionados con procesos PARCIAL
las partes externos.
externas
6.2.2
Consideraciones
de la seguridad SI
cuando se trata
con los clientes
6.2.3
Consideraciones
Existen
de la seguridad
contratos de SI
en los acuerdos
confidencialidad.
con terceras
partes

7. Gestión de activos
7.1 Responsabilidad de los

activos
7.1.1 Inventario Requerimiento
SI
de activos ISO 27001
7.1.2 Propiedad Requerimiento
SI
de los activos ISO 27001
ALCALDÍA MUNICIPAL
7.1.3 Uso
Requerimiento
aceptable de los SI
ISO 27001
activos
7.2 Clasificación de la
información
7.2.1 Directrices Requerimiento
NO
de clasificación ISO 27001
7.2.2 Etiquetado
Requerimiento
y manejo de NO
ISO 27001
información

8. Seguridad de la gestión de los recursos
humanos
8.1 Seguridad en actividades previas a la
contratación
Todas las
8.1.1 Roles y Requerimiento
competencias SI
responsabilidades ISO 27001
están definidas.
Existe un
análisis de
8.1.2 Análisis y
requisitos para SI
selección
la selección de
personal.
Todos los
empleados y
8.1.3 Términos y
proveedores
condiciones de SI
tienen
empleo
cláusulas de
seguridad.
8.2 Seguridad durante el desempeño de funciones
Existen los
8.2.1
documentos
Responsabilidad
pero falta la PARCIAL
de la dirección
revisión.
ALCALDÍA MUNICIPAL
8.2.2 Educación,
formación y
concientización NO
sobre la seguridad
de la información
8.2.3 Proceso
NO
disciplinario
8.3 Finalización o cambio de empleo
8.3.1
Existen
Responsabilidades SI
procesos.
de fin de contrato
8.3.2 Restitución Existen

SI
de activos procesos.
8.3.3 Eliminación
Existen SI
de derechos de
procesos.
acceso

9. Seguridad física y del
entorno
9.1 Áreas seguras
9.1.1 Perímetro
de seguridad NO
física
9.1.2 Controles
físicos de NO
entrada
9.1.3 Seguridad
de oficinas,
NO
despachos y
recursos
9.1.4 Protección
contra
amenazas PARCIAL
externas y
ambientales
ALCALDÍA MUNICIPAL
9.1.5 Trabajo en
PARCIAL
áreas seguras
La oficina
9.1.6 Áreas de dispone de
carga y acceso entrada de NO
público materiales y
almacén.
9.2 Seguridad de los equipos
9.2.1 Instalación
y protección de SI
los equipos
9.2.2 Servicios Los servidores
de suministro disponen de SI
SAI.
Ninguna parte
9.2.3 Seguridad de la
SI
del cableado infraestructura
es pública.
Existen
9.2.4 contratos de
Mantenimiento mantenimiento SI
de los equipos de los
servidores.
9.2.5 Seguridad
de los equipos
NO
fuera de las
instalaciones
9.2.6 Seguridad
en la
Requerimiento
reutilización o NO
ISO 27001
eliminación de
los equipos
9.2.7 Retiro de
NO
activos

ALCALDÍA MUNICIPAL
10. Gestión de las comunicaciones y las

operaciones
10.1 Procedimientos operativos y
responsabilidades
10.1.1 El gestor
Documentación documental
de los lleva la gestión SI
procedimientos de
de operación operaciones.
El gestor
documental
10.1.2 Gestión
lleva la gestión SI
del cambio
de
operaciones.
Los procesos
10.1.3
están definidos
Segregación de SI
y
tareas
documentados.
10.1.4 La gestión de
Separación de desarrollo y
operaciones de
las instalaciones
sistemas está SI
de desarrollo, documentada y
pruebas y se realizan los
producción procesos.
10.2 Gestión de los servicios suministrados por terceros
10.2.1 Prestación Requerimiento
NO
del servicio ISO 27001
10.2.2
Seguimiento y
revisión de NO
servicios de
terceros
10.2.3 Gestión
de los cambios
NO
en servicios por
terceras partes
ALCALDÍA MUNICIPAL
10.3 Planificación y aceptación del sistema

Existen
10.3.1 métricas de
Planificación de capacidades SI
capacidades tanto internas
como externas.
Existe control
10.3.2
de
Aceptación del SI
nuevas
sistema
versiones.
10.4 Protección frente a código malicioso y código móvil
10.4.1 Medidas Todos los

de control contra equipos con
SI
códigos antivirus.
maliciosos
Existe control
10.4.2 Medidas
de acceso a la
de control contra SI
instalación de
software móvil
aplicaciones.
10.5 Copias de seguridad
Control
completo de
10.5.1 Copia de
las copias de
seguridad de la SI
seguridad y
información
pruebas de
restauración
10.6 Gestión de la seguridad de la red
10.6.1 Controles Existe

SI
de red monitorización.
10.6.2
Seguridad de los Existe
SI
servicios de la monitorización.
red
10.7 Gestión de los soportes
ALCALDÍA MUNICIPAL
10.7.1 Gestión
Requerimiento
de los soportes NO
legal
extraíbles
10.7.2 Retirada Requerimiento
NO
de los soportes legal
10.7.3
Procedimientos
Requerimiento
para la PARCIAL
legal
utilización de la
información
10.7.4 Seguridad
de la Requerimiento
NO
documentación legal
del sistema
10.8 Intercambio de información
Existen
10.8.1 Políticas y
procedimientos
procedimientos
para el envío
para el SI
de información
intercambio de la
y procesos
información
telemáticos.
10.8.2
Acuerdos
SI
para el
intercambio
10.8.3 Soportes La información
Requerimiento
físicos en utiliza medidas SI
legal
tránsito de seguridad.
El correo
electrónico se
10.8.4
gestiona
Mensajería SI
desde la
electrónica
propia
empresa.
ALCALDÍA MUNICIPAL
Los diferentes
sistemas como
Sharepoint,
10.8.5 Sistemas SQL Server y
SI
de información otros
incorporan
medidas de
seguridad
10.9 Servicios de comercio electrónico
10.9.1 Comercio
SI
electrónico
10.9.2
Transacciones SI
en línea
10.9.3
Información
SI
disponible al
público
10.10 Seguimiento
Los
sistemas
10.10.1 Registro Requerimiento
disponen SI
de auditorías legal e ISO
de
registros.
10.10.2
Se revisan los
Seguimiento del
registros del SI
uso de los
sistema
sistemas
10.10.3 Existe un
Protección de la control de Requerimiento
SI
información del acceso a los legal e ISO
registro registros
Todos los
10.10.4
sistemas
Registros del Requerimiento
tienen activado SI
administrador y legal e ISO
el control de
del operador
registros.
ALCALDÍA MUNICIPAL
10.10.5 Registro Se analizan los

de registros de SI
fallas errores.
10.10.6 Todos los
Sincronización equipos están PARCIAL
de relojes sincronizados.

11. Control de accesos
11.1 Requisitos de negocio para el control

de acceso
11.1.1 Política Existe y está Requerimiento
de control de documentada. SI ISO 27001
acceso
11.2 Gestión del acceso de los usuarios
11.2.1 Registro Requerimiento

SI
de usuarios legal
Se gestiona,
11.2.2 Gestión Requerimiento
pero no se PARCIAL
de privilegios legal
documenta.
11.2.3 Gestión Existe política
Requerimiento
de contraseñas de gestión de SI
legal
para usuario contraseñas.
11.2.4 Revisión
Se revisa cada
de los derechos
cierto tiempo no PARCIAL
de acceso de
estipulado.
los usuarios
11.3 Responsabilidad de los usuarios
Se gestiona
11.3.1 Uso de
de forma SI
contraseñas
automática.
ALCALDÍA MUNICIPAL
Existen
11.3.2 Equipo de procesos de
usuario bloqueos en NO
desatendido todos los
equipos.
11.3.3 Política de
puesto de trabajo
desatendido y NO
bloqueo de
pantalla
11.4 Control de acceso a la red
Los usuarios
11.4.1 Política de no pueden
Requerimiento
uso de los acceder a SI
ISO 27001
servicios de red recursos no
asignados.
11.4.2
Autenticación de Acceso
usuarios para remoto SI
conexiones controlado.
externas
11.4.3
Identificación de
SI
los equipos en
las redes
11.4.4 Protección
de los puertos de
configuración y SI
diagnóstico
remoto
Existen
11.4.5
métodos de
Separación en SI
control de
las redes
acceso.
Existen
11.4.6 Control de
métodos de
conexión a las SI
control de
redes
acceso.
ALCALDÍA MUNICIPAL
11.4.7 Control de Existen

enrutamiento en métodos de
SI
la red control de
enrutamiento.
11.5 Control de acceso al sistema operativo
11.5.1 Se dispone de
Procedimientos contraseñas
SI
de conexión de acceso.
segura
11.5.2
Identificación y
SI
autenticación de
usuarios
La gestión de
cambio y
11.5.3 Sistema complejidad
de gestión de de SI
contraseñas contraseñas
se realiza de
forma remota
11.5.4 Uso de los
servicios del Restringido. SI
sistema
11.5.5
Desconexión
Restringido. NO
automática de
sesión
11.5.6 Limitación
del tiempo de SI
conexión
11.6 Control de acceso a información y aplicaciones
11.6.1 Restricción a
Restricción de nivel de
SI
acceso a la aplicación.
información
11.6.2
NO
Aislamiento de
ALCALDÍA MUNICIPAL
sistemas
sensibles
11.7 Informática móvil y teletrabajo

11.7.1 No están
Informática y permitidos los
SI
comunicaciones accesos
móviles inalámbricos.
No se
11.7.2
contempla en N/A
Teletrabajo
el alcance.
12. Adquisición, desarrollo y mantenimiento

12.1 Requisitos de seguridad en los sistemas de
información
12.1.1 Análisis y
especificación Requerimiento
NO
de los requisitos ISO 27001
de seguridad
12.2 Procesamiento correcto de las aplicaciones
No se utilizan
12.2.1 sistemas
Validación de los empresariales SI
datos de entrada en sistemas y
desarrollo.
No se utilizan
12.2.2 Control
sistemas
de
empresariales PARCIAL
procesamiento
en sistemas y
interno
desarrollo.
No se utilizan
sistemas
12.2.3 Integridad
empresariales N/A
del mensaje
en sistemas y
desarrollo
ALCALDÍA MUNICIPAL
No se utilizan
12.2.4 sistemas
Validación de los empresariales N/A
datos de salida en sistemas y
desarrollo.
12.3 Controles criptográficos
Se utiliza
controles para
la
12.3.1 Política comunicación
sobre el uso de de los sistemas
SI
controles con los
criptográficos proveedores
iCloud
(PGP, VPN,
SSL).
Las claves de
los controles
12.3.2 Gestión
criptográficos SI
de claves
se almacenan y
gestionan.
12.4 Seguridad en los ficheros del sistema
12.4.1 Control
Existen
del software en SI
controles.
producción
12.4.2
Protección de Existe un ciclo
los datos de de desarrollo SI
prueba del de software.
sistema
12.4.3 Control
de acceso al Se gestiona
SI
código fuente de todo el proceso.
los programas
12.5 Seguridad en los procesos de
desarrollo y soporte
ALCALDÍA MUNICIPAL
12.5.1 Existe un ciclo

Procedimientos de desarrollo Requerimiento
SI
de control de de software. ISO
cambios
12.5.2 Revisión
técnica de las
aplicaciones
Se gestiona
después de los SI
todo el proceso.
cambios en el
sistema
operativo
12.5.3
Restricciones en
Se gestiona
los cambios a SI
todo el proceso
los paquetes de
software
12.5.4 Fuga de
NO
información
12.5.5
Desarrollo de
software NO
contratado
externamente
12.6 Gestión de vulnerabilidades técnicas
12.6.1 Control
de Se realizan test
SI
vulnerabilidades periódicamente.
técnicas

13. Gestión de incidentes de seguridad
13.1 Comunicación de eventos y

debilidades
ALCALDÍA MUNICIPAL
13.1.1
Comunicación de
eventos de SI
seguridad de la
información
13.1.2
Comunicación de
NO
las debilidades de
seguridad
13.2 Gestión de incidencias
13.2.1
Responsabilidades NO
y procedimientos
13.2.2 Aprendizaje
debido a los
incidentes de NO
seguridad de la
información
13.2.3 Recogida Requerimiento
NO
de pruebas legal

14. Gestión de la continuidad de negocio
14.1 Aspectos de la seguridad de la

información
14.1.1 Inclusión
de la seguridad
de la inf. En el
Requerimiento
proceso de NO
legal e ISO
gestión de la
continuidad del
negocio
14.1.2
Continuidad del
Requerimiento
negocio y NO
legal e ISO
evaluación de
riesgos
ALCALDÍA MUNICIPAL
14.1.3
Desarrollo e
implementación
de planes de Requerimiento
NO
continuidad que legal e ISO
incluyen la
seguridad de la
inf.
14.1.4 Marco de
planificación de Requerimiento
NO
la continuidad legal e ISO
del negocio
14.1.5 Pruebas,
mantenimiento y
reevaluación de Requerimiento
PARCIAL
los planes de legal e ISO
continuidad del
negocio

15. Cumplimiento
15.1 Cumplimiento de los requisitos legales
15.1.1
Identificación de Requerimiento
NO
legislación legal
aplicable
15.1.2
Derechos de Requerimiento
NO
propiedad legal
intelectual
15.1.3
Protección de Requerimiento
SI
los registros de legal
la organización
ALCALDÍA MUNICIPAL
15.1.4
Protección de
los datos y Requerimiento
SI
privacidad de la legal
información
personal
15.1.5
Prevención del
uso inadecuado
Requerimiento
de los SI
legal
dispositivos de
tratamiento de
la información
Se utiliza
15.1.6
sistemas VPN,
Regulación de Requerimiento
PGP, SSL en SI
los controles legal
las
criptográficos
comunicaciones.
15.2 Cumplimiento con políticas y normas
de seguridad
15.2.1 No siempre se
Conformidad realizan los
con políticas y controles PARCIAL
normas de establecidos.
seguridad
Los sistemas
15.2.2
empresariales
Comprobación
disponen de
de la SI
documentación
conformidad
de
técnica
cumplimiento.
15.3 Consideraciones sobre la auditoría
15.3.1
Controles de Las auditorias
auditoría de los se planifican y SI
sistemas de registran.
información
ALCALDÍA MUNICIPAL
15.3.2
Protección de
las Existen
Requerimiento
herramientas de controles de SI
ISO 27001
auditoría de los acceso.
sistemas de
información
Tabla 3 Declaración de aplicabilidad
DEFINICIÓN DE LA POLITICA DE SEGURIDAD
POLÍTICA DE SEGURIDAD
La alcaldía municipal del peñón bolívar decide implementar SGSI basado en la

ISO27001 con el fin de revisar y aprobar las Políticas de Seguridad de la Información
demostrando así su compromiso con la seguridad de la información, una vez
aprobadas dichas políticas, debe velar por su divulgación, mantenimiento y
cumplimiento al interior y con los terceros que interactúen directamente con la
organización.
La Alta Dirección debe revisar periódicamente la aplicabilidad y vigencia de las
siguientes Políticas específicas de Seguridad de la Información y efectuar los
ajustes necesarios sobre ellas para que sean funcionales y se pueda seguir
exigiendo su cumplimiento por parte de todos los empleados y personal de trabajo
de la alcaldía municipal del peñón bolívar
OBJETIVOS
 Proteger los recursos de información de la empresa la alcaldía municipal del

peñón bolívar y los recursos tecnológicos utilizados para su procesamiento,
frente a amenazas, tanto internas como externas, deliberadas o accidentales,
con el fin de asegurar el cumplimiento de la confidencialidad, integridad,
disponibilidad y confiabilidad de la información.
 Asegurar la implementación de las medidas de seguridad enmarcadas en
este documento.
 Establecer mecanismos legales de las empresas involucradas para cumplir
las normas de seguridad.
ALCALDÍA MUNICIPAL
ALCANCE
Todos los Integrantes de la Alta Dirección, Empleados, Contratistas o Terceros son

responsables de la implementación de las siguientes Políticas de Seguridad de la
Información.
Las Políticas de Seguridad de la Información son de Carácter Obligatorio para todo
el personal de la organización, cualquiera sea su situación laboral, el proceso al que
pertenece y cualquiera que sea el nivel organizacional en el que se encuentre.
Los usuarios de la Información y de los Sistemas utilizados para su procesamiento
son responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de
Seguridad de la Información vigente.
ORGANIZACIÓN
 la alcaldía municipal del peñón bolívar debe definir responsabilidades y

deberes con respecto a la seguridad de la información, y asegurar la
concientización de empleados y terceros con respecto a la importancia y el
cumplimiento de la normatividad definida.
 la alcaldía municipal del peñón bolívar debe estar suscrita a páginas o grupos
de investigación de seguridad de la información para mantener actualizada
la gestión de vulnerabilidades y demás temas en seguridad.
GESTIÓN DE ACTIVOS
 La organización debe identificar los activos de información de acuerdo con el

alcance del SGSI, sus respectivos responsables y su ubicación, para luego
elaborar un inventario con dicha información.
 El Inventario se debe documentar y actualizar ante cualquier modificación de
la información y los activos asociados con los medios de procesamiento. Este
debe ser revisado con una periodicidad no mayor a un año.
 Es responsabilidad de realizar y mantener actualizado el inventario de activos
de información cada responsable de proceso en la alcaldía municipal del
peñón bolívar en compañía del Líder de Seguridad de la Información.
ALCALDÍA MUNICIPAL
RECURSOS HUMANOS
 Se debe llevar a cabo un proceso de Selección adecuado según los perfiles

a los que esté aspirando, por medio de la verificación de Antecedentes de los
Empleados, Contratistas o Terceros, los controles del proceso de verificación
cumplirán con los Requerimientos y Disposiciones legales de la Normatividad
Vigente.
 La organización debe realizar un proceso de desvinculación de personal
donde se garantice la eliminación de privilegios y eliminación de datos de
acceso a los sistemas de información.
 La organización debe implementar capacitaciones y divulgaciones en
seguridad de la información, de las políticas y procedimientos del sistema de
gestión de seguridad de la información.
 Los empleados deben conocer la normatividad relacionada con la seguridad
de la información en la alcaldía municipal del peñón bolívar ya que el
desconocimiento de la misma no los exonerará de los procesos disciplinarios
definidos ante violaciones de las políticas de seguridad.
SEGURIDAD FÍSICA Y DEL ENTORNO
 Mantener Áreas seguras para la gestión, almacenamiento y procesamiento

de información en la alcaldía municipal del peñón bolívar, las áreas deben
contar con protecciones físicas y ambientales acordes con el valor y la
necesidad de aseguramiento de los activos que se protegen, incluyendo la
definición de perímetros de seguridad, controles de acceso físicos, seguridad
para protección de los equipos, seguridad en el suministro eléctrico y
cableado, condiciones ambientales adecuadas de operación y sistemas de
contención, detección y extinción de incendios.
 El ingreso de terceros a las instalaciones de equipos, debe estar
debidamente registrado mediante el personal de vigilancia de la alcaldía.
 Los privilegios de acceso físico a las instalaciones de Equipos deben ser
eliminados o modificados oportunamente a la terminación, transferencia o
cambio en las labores de un funcionario o contratista autorizado.
 Las oficinas e instalaciones donde haya atención al público no deben
permanecer abiertas cuando los empleados se levantan de sus puestos de
trabajo, así sea por periodos cortos de tiempo.
ALCALDÍA MUNICIPAL
 Los empleados o terceros que presten a la alcaldía municipal del peñón

bolívar, no deben intentar ingresar a áreas a las cuales no tengan la debida
autorización.
 La seguridad de los equipos de cómputo fuera de las instalaciones será
responsabilidad de cada funcionario y contratista asignado, junto con una
autorización del jefe inmediato.
 La documentación física generada o recibida por los empleados de la alcaldía
o contratistas debe estar ubicada en archivos o repositorios con condiciones
de temperatura y humedad adecuadas, de acuerdo con las directrices
establecidas por el proceso documental de la alcaldía y según la clasificación
de la documentación.
COMUNICACIONES Y OPERACIONES
 Mantener instalados y habilitados sólo aquellos servicios y puertos que sean

utilizados por los sistemas de información y software de la alcaldía.
 controlar el acceso lógico, tanto a su uso como a su administración mediante
bloqueo de puertos en el firewall de la alcaldía.
 Los contratos o acuerdos contractuales que realice la alcaldía municipal del
peñón bolívar, deben incluir cláusulas que especifiquen las
responsabilidades sobre el adecuado tratamiento de Información,
estableciendo sanciones en caso de incumplimiento, y advirtiendo sobre la
responsabilidad que en materia legal implica su desconocimiento. Se debe
mantener un registro por movimiento dentro de la alcaldía y seguimiento de
la Política.
 Deben establecerse medidas de control de acceso al sistema operativo, para
garantizar la autenticación de los empleados.
 Los usuarios finales no deben configurar, instalar y eliminar software de los
equipos de cómputo en la alcaldía municipal del peñón bolívar, la interfaz del
sistema operativo debe estar configurada de tal forma que tenga solo
privilegios de invitado. Todas estas labores deben ser estrictamente
realizadas por el proceso de gestión de tecnologías de la información.
 Todos los usuarios con acceso a un sistema de información o a la red
informática de la alcaldía dispondrán de una única autorización de acceso
compuesta de identificador de usuario y contraseña, serán responsables de
las acciones realizadas por el usuario que ha sido asignado.
 El acceso a la información en la alcaldía municipal del peñón bolívar, deberá
ser otorgado sólo a Usuarios autorizados, basados en lo que es requerido
para realizar las tareas relacionadas con su responsabilidad.
ALCALDÍA MUNICIPAL
 Todo el personal debe bloquear el equipo de cómputo con protector de

pantalla que exija la contraseña de acceso a la sesión ante la ausencia
temporal del puesto de trabajo.
 El escritorio virtual de cada equipo de cómputo independiente del sistema
operativo que use, debe mantenerte despejado, no debe contener archivos
de ningún tipo salvo los accesos directos a aplicaciones necesarias en la
labor del empleado.
 El proceso de tecnologías de la información y la comunicación debe ser la
encargada de bloquear el acceso a las páginas de contenido para adultos,
mensajería instantánea y demás páginas que no sean de uso corporativo
mediante el uso de servidor proxy, firewall o el software que mejor se ajuste
a la necesidad.
CONTROL DE ACCESOS
 Los privilegios de acceso a los sistemas de información, infraestructura de

red, equipos de cómputo e información sensible en la empresa deben estar
autorizados por el responsable o dueño del proceso al que pertenece el activo
de información.
 El proceso de tecnologías de la información y de acuerdo al perfil de cargo
define los niveles de acceso a la red, sistema operativo, sistemas de
información y servicios de TI.
 El proceso de Talento Humano deberá mantener los registros donde se
autorizó a los empleados o terceros los accesos a los diferentes sistemas de
información de la organización.
 Las contraseñas de acceso deberán cumplir con un mínimo de 8 caracteres
y la combinación de números, letras mayúscula y minúscula, en lo posible
utilizar caracteres especiales.
 Todos los empleados deberán cambiar su contraseña de acceso a los
diferentes sistemas de información con una frecuencia mínima de 4 meses.
 Si el funcionario debe abandonar la estación de trabajo por determinado
tiempo, activará protectores de pantalla, con el fin de evitar que terceros
puedan ver la información o continuar con la sesión de usuario habilitada.
ALCALDÍA MUNICIPAL
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO
 La alcaldía municipal del peñón bolívar, debe establecer controles para cifrar
la información que sea considerada sensible y evitar la posibilidad de repudio
de una acción por parte de un usuario del sistema. Se deben asegurar los
archivos del sistema y mantener un control adecuado de los cambios que
puedan presentarse.
 La información tratada por las aplicaciones aceptadas por la alcaldía
municipal del peñón bolívar debe preservar su confiabilidad desde su ingreso,
transformación y entrega a las aplicaciones de la Organización.
GESTIÓN DE INCIDENTES
 La alcaldía municipal del peñón bolívar, debe asegurar que se establezcan y

ejecuten procedimientos para identificar, analizar, valorar y dar un
tratamiento adecuado a los incidentes, y que se haga una adecuada
evaluación del impacto en el negocio de los incidentes de seguridad de la
información.
 Todos los usuarios de la información de la alcaldía municipal del peñón
bolívar, deben reportar los incidentes de seguridad que se presenten, según
el procedimiento de gestión de incidentes vigente en la alcaldía.
CONTINUIDAD DEL LA ALCALDÍA
 Debe evaluarse el impacto de las interrupciones que afectan la operación de

los procesos críticos de la alcaldía y definir e implementar planes de
continuidad y de recuperación ante desastres para propender por la
continuidad de la misma.
 Los planes de continuidad y de recuperación deben probarse y revisarse
periódicamente y mantenerlos actualizados para su mejora continua y
garantizar que sean efectivos.
 Para los procesos críticos, la alcaldía municipal del peñón bolívar, debe
contar con instalaciones alternas y con capacidad de recuperación, que
permitan mantener la continuidad del negocio aún en caso de desastre en las
instalaciones de los lugares de Operación.
ALCALDÍA MUNICIPAL
CUMPLIMIENTO
 La alcaldía municipal del peñón bolívar, gestiona la seguridad de la

información de tal forma que se dé cumplimiento adecuado a la legislación
vigente. Para esto, analiza los requisitos legales aplicables a la información,
incluyendo entre otros los derechos de propiedad intelectual, protección de
datos personales, los tiempos de retención de registros, la privacidad, los
delitos informáticos, el uso inadecuado de recursos de procesamiento, el uso
de criptografía y la recolección de evidencia.
 Todos los productos de Software que se adquieran e instalen en los equipos
de cómputo de la compañía deben contar con su respectiva licencia de uso.
 Realización de auditorías, para verificar la eficacia de los controles y asegurar
la administración de los riesgos de seguridad de la información.
 La Política junto con el Sistema de Gestión de Seguridad de la Información
de la alcaldía municipal del peñón bolívar, debe ser auditado anualmente
para verificar su nivel, actualidad, aplicación, completitud y cumplimiento.
 La información de auditoría generada por el uso de los controles de seguridad
de los Recursos de Tecnología, debe ser evaluada por el responsable para:
Detectar Violaciones a la Política, reportar incidentes de seguridad, constatar
que los datos registrados incluyen evidencias suficientes para el seguimiento
y resolución de incidentes de seguridad.
 Los contratos de trabajo de empleados y los contratos de desarrollo
realizados deben contar con cláusulas respecto a la propiedad intelectual que
le pertenece a la alcaldía municipal del peñón bolívar
ENFOQUE DEL ANALISIS DE RIESGO
La Metodología de Análisis y Gestión de Riesgos se enfocará a los activos de

información de la organización que son identificados y valorados por cada
responsable en la Alcaldía Municipal del Peñón Bolívar, para poder diseñar,
implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la
Información (SGSI).
De acuerdo con la norma ISO/IEC 27001, “activo de información” se define como
cualquier elemento que tenga valor para la organización y, en consecuencia, deba
ser protegido.
ALCALDÍA MUNICIPAL
INVENTARIO DE ACTIVOS
ACTIVO DESCRIPCION CATEGORIA
Software Para manejar todos los Software

procesos de la Alcaldía
Empleados Personas encargadas de las Personal

operaciones realizadas en
cada área de la Alcaldía
Computadores Equipos para el Hardware
almacenamiento y
operaciones de la
organización
Impresoras Máquina que se utiliza para Hardware
imprimir la información
seleccionada
Router Dispositivo que proporciona Hardware
conectividad a nivel de red
Swicht Dispositivo utilizado para la Hardware

interconexión de redes
informáticas.
Scanner Se utiliza para "copiar", Hardware

mediante el uso
de la luz,
Imágenes impresas o
documentos a formato
digital.
UPS Sistema de alimentación Hardware

interrumpida, proporciona
energía eléctrica por un
tiempo limitado
ALCALDÍA MUNICIPAL
Servidores Un servidor es una Hardware

aplicación en ejecución
capaz de atender las
peticiones de un cliente y
devolverle una respuesta en
concordancia.
Documentos Manuales y Contratos de Datos y soportes
mantenimiento de información
Correo Electrónico Es un servicio de red que Servicios

permite a los usuarios enviar
y recibir información.
Antivirus Es un sistema que te permite Software
tener seguridad en algunos
activos no permitiendo el
acceso de software
malicioso.
Internet Es una red de redes que Servicios
permite la interconexión
descentralizada de
computadoras a través de
un conjunto de protocolos
Perdida de datos Son los archivos o la Datos e Información

información que maneja la
entidad.
Se hace uso de la herramienta PILAR dentro de los cuales se incluye la

identificación de los activos [6]
ALCALDÍA MUNICIPAL
Imagen 3 Presentación de activos

ALCALDÍA MUNICIPAL
Imagen 4 Identificación de Activos

ALCALDÍA MUNICIPAL
TÉCNICAS DE ANÁLISIS DE DATOS.
Las técnicas de análisis de datos utilizada fueron la estipula por la metodología

MAGERIT. El análisis de riesgos implica trabajar con una cantidad considerable de
elementos que se deben combinar dentro de un sistema ordenado según la
importancia, evitando que muchos perjudiquen la visión de conjunto. [7]
MAGERIT utiliza la siguiente escala para asignar un valor relativo a los activos de
información a analizar. Este valor permite además calificar la magnitud del impacto
y la magnitud del riesgo.
Imagen 5 Análisis cuantitativos

ALCALDÍA MUNICIPAL
Imagen 6 Valoración cualitativa
VALORACIÓN DE ACTIVOS
MAGERIT establece una escala de diez valores, donde el cero determina un valor
despreciable, es decir no constituye riesgo alguno. Debe asignarse a los activos un
valor ajustado al servicio que prestan a la empresa, medido por el impacto que
tendría excluir dicho activo a efectos de la materialización de alguna amenaza.
Imagen 7 Valoración cuantitativa

DIMENSIONES DE VALORACIÓN.
Una dimensión es un aspecto o característica de un activo que lo hace diferente de
otro y permite valorar las consecuencias de la materialización de las amenazas.
Esta valoración apunta a la afectación de cada uno de los pilares de la seguridad
de la información de cada activo.
 Disponibilidad.
 Integridad de los Datos.
 Confidencialidad de los Datos.
 Autenticidad de los usuarios y de la información.
 Trazabilidad del servicio y de los datos.
 Valor
 Datos personales
ALCALDÍA MUNICIPAL
Tabla 4 Valoración de Activos-Metodología-Magerit
ACTIVO D. I. C. A. T. VAL. DP.

Software 8 10 6 6 5 8 7
Correo 8 10 7 7 7 6 7
Electrónico
Internet 7 6 7 6 7 7 7
Computadores 9 5 8 6 7 8 6
Impresoras 9 8 7 7 7 6 8
Router 8 6 7 7 7 6 7
Switch 6 5 6 7 6 5 6
Scanner 8 5 5 5 8 9 7
UPS 8 8 7 8 6 7 8
Servidores 7 10 8 8 8 8 7
Antivirus 9 7 7 7 8 7 8
Perdida de datos 7 9 8 8 6 8 9
Red de área local 9 7 8 7 6 6 7
Documentos 7 5 7 7 7 9 8
Empleados 9 7 8 7 7 8 6
ALCALDÍA MUNICIPAL
IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES
AMENAZAS
Procederemos a identificar las amenazas que pueden afectar a nuestros activos.

Una amenaza es cualquier acción o acontecimiento que puede atentar contra
nuestra seguridad.
El siguiente listado corresponde a las amenazas de los activos antes
mencionados.
Las amenazas se pueden dividir en:
 [A] Ataques deliberados
 [E] Errores y fallos no intencionados
 [I] De origen industrial
 [N] Desastres naturales
 [PR] Riesgos de privacidad
ALCALDÍA MUNICIPAL
AMENAZAS ESENCIALES:
ALCALDÍA MUNICIPAL
Imagen 2 Amenazas de software
Imagen 7 Amenazas de internet
AMENAZAS DE EQUIPAMIENTO:
ALCALDÍA MUNICIPAL
Imagen 8 Amenazas de computador
Imagen 9 Amenazas de impresora
Imagen 10 Amenazas de router

ALCALDÍA MUNICIPAL
Imagen 14 Amenazas de switch
Imagen 11 Amenazas Ups
Imagen 13 Amenazas de scaner

ALCALDÍA MUNICIPAL
Imagen 14 Amenazas de ups
Imagen 15 Amenazas de Software

ALCALDÍA MUNICIPAL
Imagen 17 Amenazas de Empleado
Imagen 18 amenaza de perdida de datos

ALCALDÍA MUNICIPAL
AMENAZAS DE SUBCONTRATADOS:
Imagen 18 Amenaza de red de área local

AMENAZAS DE PERSONAL:
Imagen 19 Amenaza de empleados

ALCALDÍA MUNICIPAL
A continuación. Se muestra las amenazas sobre cada activo de información de

la alcaldía del peñón bolívar y el rango porcentual del impacto sobre cada una de
las dimensiones del mismo.
Imagen 18 Valoración de la Amenaza Software

ALCALDÍA MUNICIPAL
Imagen 19 Valoración de la Amenaza internet

ALCALDÍA MUNICIPAL
Imagen 21 Valoración de la Amenaza computadoras
Imagen 20 Valoración de la Amenaza Impresoras

ALCALDÍA MUNICIPAL
Imagen 21 Valoración de la Amenaza Router
Imagen 22 Valoración de la Amenaza Switch

ALCALDÍA MUNICIPAL
Imagen 23 Valoración de la Amenaza Scanner
Imagen 24 Valoración de la Amenaza Ups

ALCALDÍA MUNICIPAL
Imagen 25 Valoración de la Amenaza Servidores
Imagen 26 Valoración de la Amenaza Antivirus

ALCALDÍA MUNICIPAL
Imagen 27 Valoración de la Amenaza perdida de datos
Imagen 28 Valoración de la Amenaza Empleados

ALCALDÍA MUNICIPAL
AMENAZAS SOBRE LOS ACTIVOS DE INFORMACIÓN:
Los activos de información en la alcaldía municipal del peñón bolívar al igual que
cualquier organización, están expuestos a una serie de amenazas que, aunque
muchas de ellas tienen una probabilidad de ocurrencia muy baja, bien vale la pena
no descartarlas de plano.
PROBABILIDAD DE OCURRENCIA DE LAS AMENAZAS:
Para medir la probabilidad de materialización de una amenaza sobre cada uno de

los activos de información en la alcaldía municipal del peñón bolívar. Se utilizó la
siguiente escala de valores que toma como valor de referencia un año, de tal
manera que determine la ocurrencia como medida de la probabilidad. La Tabla.
Muestra el rango de frecuencia probable de ocurrencia de una amenaza sobre los
activos de información en la alcaldía municipal del peñón bolívar.
VULNERABILIDAD RANGO VALOR
Probabilidad muy alta 1 vez al día 100
Probabilidad alta 1 vez cada 70
semana
Probabilidad media 1 vez cada 2 50
meses
Probabilidad baja 1 vez cada 6 10
meses
Probabilidad muy baja 1 vez cada año 5
VULNERABILIDADES
En el marco de las posibles amenazas que pueden llegar a materializarse, las

siguientes son las vulnerabilidades referenciadas por los entrevistados e
identificadas durante las visitas a sitio y que pueden ser explotadas para convertir
una amenaza en un riesgo real causando daños graves en la alcaldía:
IMPACTO VALOR
Muy alto 100%
Alto 75%
ALCALDÍA MUNICIPAL
Medio 50%
Bajo 20%
Muy bajo 5%
 Existencia de materiales inflamables como papel o cajas

 Cableado inapropiado
 Mantenimiento inapropiado del servicio técnico
 Deficiencia en la capacitación y concienciación en temas de seguridad
de la información
 Ausencia de política de seguridad
 Derechos de acceso incorrectos
 Ausencia de un sistema de extinción automática de fuegos/humos
 Ausencia de control de cambios de configuración eficiente y efectiva
 Descarga incontrolada y uso de software de Internet
 Ausencia de mecanismos de cifrado de datos para la transmisión de
datos confidenciales
 Protección física de equipos inadecuada
 Ausencia de un Plan de recuperación de incidentes
 No se exige el uso de contraseñas seguras para los accesos a los
sistemas de información.
 No se han implementado políticas o procedimientos para la asignación,
modificación, eliminación y revisión de privilegios en los Sistemas de
Información.
 No se cuenta con bloqueos automáticos o políticas de bloqueo manual
para la pantalla.
 No se cuenta con registros de los privilegios asignados a los Empleados
y contratistas.
 No se tiene definido un procedimiento de respuesta a eventos e
incidentes de seguridad.
 No se han implementado políticas para evitar el consumo de líquidos y
alimentos cerca a los equipos.
 No se cuenta con plan de continuidad en la alcaldía
 No se tiene definido un procedimiento de respuesta a eventos e
incidentes de seguridad.
 No se cuenta con actualización del software, aplicaciones.
VALORACIÓN DE RIESGO
La valoración de riesgos es la herramienta que determina la exposición real a los

riesgos que están expuestos los activos de información en una organización. Se
ALCALDÍA MUNICIPAL
busca con esto, individualizar los riesgos a través de la identificación de sus

elementos y obtener el riesgo total para posteriormente establecer el riesgo residual
luego de establecidas las salvaguardas.
La herramienta PILAR nos proporciona los valores de impacto repercutido y riesgos

acumulados.
Imagen 29 Riesgo Acumulado

ALCALDÍA MUNICIPAL
Imagen 30 Impacto Repercutido
Imagen 32 Identificación de los valores de criticidad
Una vez evaluados los activos, las amenazas, la probabilidad de ocurrencia de los
riesgos y el impacto en el sistema de información, podemos concluir:
ALCALDÍA MUNICIPAL
 El 17% de los activos de información presentan un riesgo medio bajo o

despreciable según el valor de impacto generado por PILAR según nuestro
estudio de impacto Repercutido.
 El 83% de los activos presentan riesgo de amenaza alta en alguna de sus
dimensiones.
 Los activos Software, Computadores, Correo, Internet y Empleados
constituye una vulnerabilidad alta en la disponibilidad de cada uno lo que
requiere con urgencia un control para mitigar sus amenazas.
SALVAGUARDAS
En la siguiente tabla se identifican las salvaguardas o controles que se deben tener

en cuenta. Estos controles se plantean como un complemento a la gestión de
activos de la información, buscando fortalecer los mecanismos adoptados para
ejercer un control adecuado de las acciones que se realicen sobre ellos, tales como:
 Mantenimiento.
 Control de acceso.
 Uso.
 Controles.
 Importancia para los procesos de la alcaldía.
 Criticidad de la información que manejan.
 Entre otros.
Se debe tener en cuenta los controles generados por la Norma ISO/IEC-27001
A.5 POLÍTICA DE SEGURIDAD

A.5.1 Política de seguridad de la
información Objetivo: Brindar apoyo y
orientación a la dirección con respecto a la
seguridad de la información, de acuerdo
con los requisitos del negocio y los
reglamentos y las leyes pertinentes.
ALCALDÍA MUNICIPAL
Control La dirección
debe aprobar un
documento de política
de seguridad de la
Documento de la política de
A.5.1.1 información y lo debe APICAR
seguridad de la información.
publicar y comunicar a
todos los empleados y
partes externas
pertinentes.
Control La política de
seguridad de la
información se debe
revisar a intervalos
Revisión de la política de planificados o cuando
A.5.1.2 APLICAR
seguridad de la información. se producen cambios
significativos, para
garantizar que sigue
siendo adecuada,
suficiente y eficaz.
A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMAC
A.6.1 Organización interna
Objetivo: gestionar la seguridad de la información dentro de la
entidad
La dirección debe
apoyar activamente la
seguridad dentro de la
organización con un
rumbo claro, un
Compromiso de la dirección compromiso
A.6.1.1 con la seguridad de la demostrado, APLICAR
información una asignación
explícita y el
conocimiento de las
responsabilidades de la
seguridad de la
información
ALCALDÍA MUNICIPAL
Control Las actividades

de la seguridad de la
información deben ser
coordinadas por los
Coordinación de la seguridad
A.6.1.2 representantes de APLICAR
de la información.
todas las partes de la
organización con roles
y funciones laborales
pertinentes.
Control Se deben
definir claramente
todas las
APLICADO
Asignación de responsabilidades en
responsabilidades para la cuanto a seguridad de
A.6.1.3 seguridad de la información. la información.
Control Se debe definir

e implementar un
proceso de autorización
de la dirección para APLICAR
Proceso de autorización para nuevos servicios de
los servicios de procesamiento procesamiento de
A.6.1.4 de información. información
Control Se deben
identificar y revisar con
regularidad los
requisitos de
confidencialidad o los
Acuerdos sobre
A.6.1.5 acuerdos de no- APLICAR
confidencialidad
divulgación que reflejan
las necesidades de la
organización para la
protección de la
información.
Control Se deben
mantener contactos
APLICAR
apropiados con las
A.6.1.6 Contacto con las autoridades autoridades pertinentes
ALCALDÍA MUNICIPAL
Control Se deben
mantener los contactos
apropiados con grupos
de interés especiales,
otros foros
especializados en
seguridad de la
información, y
asociaciones de
profesionales. APLICAR
Contacto con grupos de interés
A.6.1.7 especiales
A.6.2 Partes externas

Objetivo: mantener la seguridad de la información y de los
servicios de procesamiento de información de la alcaldía a los
cuales tienen acceso partes externas o que son procesados,
comunicados o dirigidos por éstas.
Control Se deben
identificar los riesgos
para la información y
los servicios de
procesamiento de
Identificación de los riesgos información de la
A.6.2.1 relacionados con las partes organización de los APLICAR
externas. procesos del negocio
que involucran partes
externas e implementar
los controles
apropiados antes de
autorizar el acceso
Control Todos los
requisitos de seguridad
identificados se deben
considerar antes de dar
acceso a los clientes APLICADO
Consideraciones de la a los activos o la
seguridad cuando se trata con información de la
A.6.2.2 los clientes organización
ALCALDÍA MUNICIPAL
Consideraciones de la Control Los acuerdos

seguridad en los acuerdos con con terceras partes
terceras partes que implican acceso,
procesamiento,
comunicación o
gestión de la
información o de los
procesamiento de
información de la
A.6.2.3 alcaldía, o la adición APLICAR
de productos o
servicios a
los servicios de
procesamiento de la
información deben
considerar todos los
requisitos pertinentes
de seguridad
A.7 GESTIÓN DE ACTIVOS
A.7.1 Responsabilidad por los activos
Objetivo: lograr y mantener la protección adecuada de los activos de la
entidad.
Control Todos los
activos deben estar
claramente
identificados y se
APLICADO
deben elaborar y
mantener un inventario
de todos los activos
A.7.1.1 Inventario de activos importantes.
Control Toda la
información y los
activos asociados con
los servicios de
procesamiento de
información deben ser
"propiedad" de una
parte designada de la
organización APLICAR
A.7.1.2 Propiedad de los activos
ALCALDÍA MUNICIPAL
Control Se deben
identificar, documentar
e implementar las
reglas sobre el uso
aceptable de la APLICADO
información y de los
activos asociados con
procesamiento de la
A.7.1.3 Uso aceptable de los activos información
A.7.2 Clasificación de la información
Objetivo: asegurar que la información recibe el nivel de protección adecuado.
Control
La información se debe
clasificar en términos
de su valor, de los
APLICADO
requisitos legales, de la
sensibilidad y la
importancia para la
A.7.2.1 Directrices de clasificación alcaldía.
Control
Se deben desarrollar e
implementar un
conjunto de
procedimientos
adecuados para el APLICAR
etiquetado y el manejo
de la información de
acuerdo al esquema de
Etiquetado y manejo de clasificación adoptado
A.7.2.2 información por la alcaldía
A.8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
A.8.1 Antes de la contratación laboral
Objetivo: asegurar que los empleados, contratistas y usuarios por tercera parte
entienden sus responsabilidades y son adecuados para los roles para los que
se los considera, y reducir el riesgo de robo, fraude o uso inadecuado de las
instalaciones.
ALCALDÍA MUNICIPAL
Control Se deben
definir y documentar
los roles y
responsabilidades de
los empleados, y
usuarios de terceras APLICAR
partes por la seguridad,
de acuerdo con la
política de seguridad
de la información de la
A.8.1.1 Roles y responsabilidades alcaldía
Control Se deben
realizar revisiones para
la verificación de
antecedentes de los
candidatos a ser
empleados,
contratistas o usuarios
de terceras partes, de
acuerdo con los
reglamentos, la ética y APLICAR
las leyes pertinentes, y
deben ser
proporcionales a los
requisitos de la
alcaldía, la clasificación
de la información a la
cual se va a tener
acceso y los riesgos
A.8.1.2 Selección percibidos
ALCALDÍA MUNICIPAL
A.8.1.3 Términos y condiciones Control Como parte de

laborales. su obligación
contractual, los
empleados y usuarios
de terceras partes
deben estar de
acuerdo y firmar los APLICADO
términos y condiciones
de su contrato laboral,
el cual debe establecer
sus
responsabilidades y las
de la alcaldía
A.8.2 Durante la vigencia de la contratación laboral

Objetivo: asegurar que todos los empleados y usuarios de terceras
partes estén conscientes de las amenazas y preocupaciones
respecto a la seguridad de la información, sus responsabilidades y
sus deberes, y que estén equipados para apoyar la política de
seguridad de la organización en el transcurso de su trabajo
normal, al igual que reducir el riesgo de error humano.
Control La dirección
debe exigir que los
empleados y usuarios
de terceras partes
apliquen la seguridad
según las APLICAR
políticas y los
procedimientos
Responsabilidades de la establecidos por la
A.8.2.1 dirección alcaldía.
ALCALDÍA MUNICIPAL
Control Todos los

empleados de la
alcaldía y, cuando sea
pertinente, los usuarios
de terceras partes
deben recibir formación
adecuada en
concientización y APLICADO
actualizaciones
regulares sobre las
políticas y los
procedimientos de la
Educación, formación y entidad, según sea
concientización sobre la pertinente para sus
A.8.2.2 seguridad de la información funciones laborales.
Control Debe existir un
proceso disciplinario
formal para los
empleados que hayan APLICADO
cometido alguna
violación de la
A.8.2.3 Proceso disciplinario seguridad
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS
A.8.3 Terminación o cambio de la contratación laboral
Objetivo: asegurar que los empleados, los usuarios de terceras partes salen de
la alcaldía o cambian su contrato laboral de forma ordenada.
Control Se deben
definir y asignar
claramente las
responsabilidades
APLICADO
para llevar a cabo la
terminación o el
Responsabilidades en la cambio de la
A.8.3.1 terminación contratación laboral.
ALCALDÍA MUNICIPAL
Control Todos los

empleados, usuarios
de terceras partes
deben devolver todos
los activos
pertenecientes a la APLICADO
organización que
estén en su poder al
finalizar su
contratación laboral,
A.8.3.2 Devolución de activos contrato o acuerdo.
Retiro de los derechos de Control Los derechos
acceso de acceso de todos los
empleados, usuarios
de terceras partes a la
información de
procesamiento
de información se
APLICADO
deben retirar al
finalizar su
contratación laboral,
contrato o acuerdo o
se deben ajustar
después del cambio
A.8.3.3
A.9 SEGURIDAD FÍSICA Y AMBIENTAL.
A.9.1 Áreas seguras Objetivo: evitar el acceso físico no
autorizado, el daño e interferencia a las instalaciones y a la
información de la alcaldía
ALCALDÍA MUNICIPAL
Control Se deben
utilizar perímetros de
seguridad (barreras
tales como paredes,
puertas de acceso
controladas con tarjeta APLICAR
o mostradores de
recepción atendidos)
para proteger las áreas
que contienen
A.9.1.1 Perímetro de seguridad física información.
Control Las áreas
seguras deben estar
protegidas con
controles de acceso
APLICAR
apropiados para
asegurar que sólo se
permite el acceso a
A.9.1.2 Controles de acceso físico. personal autorizado.
Control Se debe
diseñar y aplicar la
seguridad física para APLICAR
Seguridad de oficinas, recintos oficinas, recintos e
A.9.1.3 e instalaciones. instalaciones.
Control Se deben
diseñar y aplicar
protecciones físicas
contra daño por
incendio, inundación,
APLICADO
terremoto, explosión,
manifestaciones
sociales y otras formas
Protección contra amenazas de desastre natural o
A.9.1.4 externas y ambientales. artificia
Control Se deben
diseñar y aplicar la
protección física y las APLICADO
directrices para trabajar
A.9.1.5 Trabajo en áreas seguras en áreas seguras
ALCALDÍA MUNICIPAL
Los puntos de acceso

tales como las áreas de
carga y despacho y
otros puntos por donde
pueda ingresar
personal no autorizado
a las instalaciones se
deben controlar y, si es APLICAR
posible,
aislar de los servicios
de procesamiento de
información para evitar
Áreas de carga, despacho y el acceso no
A.9.1.6 acceso público autorizado.
A.9.2 Seguridad de los equipos Objetivo: evitar pérdida, daño,
robo o puesta en peligro de los activos y la interrupción de las
actividades de la alcaldía.
Control Los equipos
deben estar ubicados o
protegidos para reducir
el riesgo debido a
APLICAR
amenazas o peligros
del entorno, y las
Ubicación y protección de los oportunidades de
A.9.2.1 equipos. acceso no autorizado
Procesos de los equipos Control Los equipos
deben estar protegidos
contra fallas en el
APLICAR
suministro de energía y
otras anomalías
A.9.2.2 causadas por fallas
Control El cableado de
energía eléctrica y de
telecomunicaciones
que transporta datos o
presta soporte a los
servicios de
información deben
estar protegidos contra
interceptaciones o
daños. APLICADO
ALCALDÍA MUNICIPAL
A.9.2.3 Seguridad del cableado
Control Los equipos

deben recibir
mantenimiento
adecuado para APLICADO
asegurar su continua
disponibilidad e
A.9.2.4 Mantenimiento de los equipos. integridad
Control Se debe
suministrar seguridad
para los equipos fuera
de las instalaciones
teniendo en cuenta los APLICAR
diferentes riesgos de
trabajar fuera de las
Seguridad de los equipos fuera instalaciones de la
A.9.2.5 de las instalaciones. alcaldía
Control Se deben
verificar todos los
elementos del equipo
que contengan medios
de almacenamiento
para asegurar que se
haya eliminado
APLICAR
cualquier software
licenciado y datos
sensibles o asegurar
que se hayan
sobrescrito de forma
Seguridad en la reutilización o segura, antes de la
A.9.2.6 eliminación de los equipos. eliminación.
Control Ningún equipo,
información ni software
APLICADO
se deben retirar sin
A.9.2.7 Retiro de activos autorización previa
A.10 SEGURIDAD EN LA OPERATIVA.
A.10.1 Procedimientos operacionales y responsabilidades
Objetivo: asegurar la operación correcta y segura de los procesos
de información.
ALCALDÍA MUNICIPAL
Control Los
procedimientos de
operación se deben
documentar, mantener
y estar disponibles
para todos los usuarios
que los necesiten. APLICADO
Documentación de los
A.10.1.1 procedimientos de operación
Control Se deben
controlar los cambios
en los sistemas de APLICADO
procesamiento de
A.10.1.2 Gestión del cambio información
Control Las funciones y
las áreas de
responsabilidad se
deben distribuir para
reducir las
oportunidades de APLICAR
modificación no
autorizada o no
intencional, o el uso
inadecuado de los
A.10.1.3 Distribución de funciones. activos de la alcaldía.
Control Las
instalaciones de
desarrollo, ensayo y
operación deben estar
separadas para reducir APLIADO
los riesgos de acceso o
Separación de las cambios no
instalaciones de desarrollo, autorizados en el
A.10.1.4 ensayo y operación sistema operativo.
A.10.2 Gestión de la prestación del servicio por terceras partes

Objetivo: implementar y mantener un grado adecuado de seguridad de la
información y de la prestación del servicio, de conformidad con los acuerdos
de atención al público por terceras partes.
ALCALDÍA MUNICIPAL
Atención al publico
Control Se deben garantizar
que los controles de
seguridad, las definiciones
de los niveles de atención al
APLICADO
público sean incluidos en el
acuerdo, sean
implementados, mantenidos
y operados por las terceras
A.10.2.1 partes.
A.10.2.2 Monitoreo y revisión de la

atención al público por Control de atención, reportes y
terceras partes registros suministrados por
terceras partes se deben
APLICAR
controlar y revisar con
regularidad y las auditorias se
deben llevar a cabo a
intervalos regulares.
A.10.2.3 Gestión de los cambios en
la atención al público por
terceras partes
Control Los cambios en la
atención al público, incluyendo
mantenimiento y mejora de las
políticas existentes de
seguridad de la información, APLICAR
en los procedimientos y los
controles se deben gestionar
teniendo en cuenta la
importancia de los sistemas y
procesos involucrados, así
como la reevaluación de los
riesgos.
A.10.3 Planificación y aceptación del sistema
Objetivo: minimizar el riesgo de fallas de los sistemas.
ALCALDÍA MUNICIPAL
A.10.3.1 Gestión de la capacidad.

Control Se debe hacer
seguimiento y adaptación del
uso de los recursos, así como
APLICAR
proyecciones de los requisitos
de la capacidad futura para
asegurar el desempeño
requerido del sistema.
A.10.3.2 Aceptación del sistema

Control Se deben establecer
criterios de aceptación para
sistemas de información
nuevos, actualizaciones y
APLICADO
nuevas versiones y llevar a
cabo los ensayos adecuados
del sistema durante el
desarrollo y antes de la
aceptación.
A.10.4 Protección contra códigos maliciosos y móviles
Objetivo: proteger la integridad del software y de la información.
A.10.4.1 Controles contra códigos Control Se deben
maliciosos. implementar controles de
detección, prevención y
recuperación para proteger
contra códigos maliciosos, así APLICAR
como procedimientos
apropiados de concientización
de los usuarios.
ALCALDÍA MUNICIPAL
A.10.4.2 Controles contra códigos Control Cuando se autoriza la

móviles utilización de códigos móviles,
la configuración debe
asegurar que dichos códigos
operan de acuerdo con la
APLICADO
política de seguridad
claramente definida, y se
debe evitar la ejecución de los
códigos móviles no
autorizados.
A.10.5 Respaldo
Objetivo: mantener la integridad y disponibilidad de la información y de los
servicios de procesamiento de información.
A.10.5.1 Respaldo de la Control Se deben hacer

información. copias de respaldo de la
información y del software, y
se deben poner a prueba con
regularidad de acuerdo APLICAR
con la política de respaldo
acordada.
A.10.6 SEGURIDAD EN LAS TELECOMUNICACIONES.

Objetivo: asegurar la protección de la información en las redes y la
protección de la infraestructura de soporte.
A.10.6.1 Controles de las redes Control Las redes se deben

mantener y controlar
adecuadamente para
protegerlas de las amenazas y
mantener la seguridad de los APLICADO
sistemas y aplicaciones que
usan la red, incluyendo la
información en tránsito.
ALCALDÍA MUNICIPAL
A.10.6.2 Seguridad de los servicios Control

de la red. En
Cualquier acuerdo sobre los
servicios de la red se deben
identificar e incluir las
características de seguridad,
los niveles de servicio y los APLICADO
requisitos de gestión de todos
los servicios de la red, sin
importar si los servicios se
prestan en la organización o
se contratan externamente.
A.10.7 Manejo de los medios

Objetivo: evitar la divulgación, modificación, retiro o destrucción de
activos no autorizada, y la interrupción en las actividades de la
alcaldía
A.10.7.1 Gestión de los medios Control

removibles Se
deben establecer APLICAR
procedimientos para la
gestión de los medios
removibles
A.10.7.2 Eliminación de los Control. Cuando ya no se
medios. requieran estos medios, su
eliminación se debe hacer de
forma segura y sin APLICAR
riesgo, utilizando los
procedimientos formales
A.10.7.3 Procedimientos para el Control Se deben establecer
manejo de la procedimientos para el
información. manejo y almacenamiento de
APLICAR
la información con el fin de
proteger dicha información
A.10.7.4 Seguridad de la Control La documentación del

documentación del sistema debe estar protegida
APLICAR
sistema. contra el acceso no
autorizado.
ALCALDÍA MUNICIPAL
A.10.8 Intercambio de la información

Objetivo: mantener la seguridad de la información y del software
que se intercambian dentro de la alcaldía y con cualquier entidad
externa.
A.10.8.1 Políticas y procedimientos Control. Se deben establecer
para el intercambio de políticas, procedimientos y
información controles formales de
intercambio para proteger la APLICAR
información
A.10.8.2 Acuerdos para el Control. Se deben establecer

intercambio acuerdos para el intercambio
de la información y del
APLICAR
software entre la organización
y partes externas
A.10.8.3 Medios físicos en tránsito. Control. Los medios que

contienen información se
deben proteger contra el
acceso no autorizado, el uso
inadecuado o la corrupción APLICADO
durante el transporte más allá
de los límites físicos de la
alcaldía.
A.10.8.4 Mensajería electrónica. Control. La información

contenida en la mensajería
APLICAR
electrónica debe tener la
protección adecuada
A.10.8.5 Sistemas de información Control. Se deben establecer,
de la alcaldía desarrollar e implementar
políticas y procedimientos
para proteger la información
asociada con la interconexión APLICAR
de los sistemas de
información de la alcaldía.
ALCALDÍA MUNICIPAL
GRAFICAS DE RESULTADOS
Valor-activo
Impacto acumulado-activo
Potencial
ALCALDÍA MUNICIPAL
Current (situación actual)

Target (situación objetivo)
Pilar (recomendación)
Impacto acumulado-dimensiones
 Disponibilidad
 Integridad de los datos
 Confidencialidad de los datos
 Autenticidad de los usuarios y de la información
 Trazabilidad del servicio y de los datos
 Valor
 Datos personales
ALCALDÍA MUNICIPAL
Riesgo acumulado- activo

ALCALDÍA MUNICIPAL
CONCLUSIONES
Como se ha evidenciado a lo largo de este trabajo, es claro e innegable que la

“información y los datos” son el activo más importante de una entidad, es por ello
que partiendo de lo importante que es poder contar con un Sistema de Gestión de
Seguridad de la Información (SGSI) enfocado en las necesidades de la organización
y basado en estándares y buenas prácticas como lo es la norma ISO/IEC
27001:2013.
 La falta de políticas, controles y normativas de seguridad pueden ocasionar

consecuencias graves en el cumplimiento de los objetivos organizacionales.
 Se debe atacar en el menor tiempo posible los incidentes se seguridad
materializados y que aún no reciben tratamiento formal mediante el diseño e
implementación de un “procedimiento de gestión de incidentes” para el
tratamiento correcto de los mismos y que ayude a crear cultura para
documentar todo lo que sucede respecto a la seguridad que facilite la
identificación de las vulnerabilidades en seguridad de la información.
 La implementación de un SGSI en la alcaldía municipal del peñón bolívar,
brindará seguridad efectiva en los sistemas de información e incrementará la
confianza de sus usuarios mejorando su imagen ante ellos generando solidez
de la misma.
ALCALDÍA MUNICIPAL
REFERENCIAS
[ g. digital, «alcaldia municipal del peñon bolivar,» [En línea]. Available:

1 http://www.elpenon-bolivar.gov.co/. [Último acceso: 12 junio 2019].
]
[ «ISO 27000.es,» [En línea]. Available: http://www.iso27000.es/sgsi.html. [Último
2 acceso: 03 03 2019].
]
[ «IsoTools,» [En línea]. Available: https://www.isotools.com.co/la-norma-iso-
3 9001-2015-se-basa-ciclo-phva/. [Último acceso: 04 03 2019].
]
[ J. A. N. CORBALA, «ingenio empresa,» 08 agosto 2018. [En línea]. Available:
4 https://ingenioempresa.com/ciclo-pdca/. [Último acceso: 07 julio 2019].
]
[ c. m. r. santos, «regimen municipal colombiano,» 2000.
5
]
[ «Ear Pilar,» [En línea]. Available: https://www.ar-
6 tools.com/es/tools/pilar/v72/doc.html. [Último acceso: 04 03 2019].
]
[ «Portal Administración Electronica,» [En línea]. Available:
7 https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_
] Metodolog/pae_Magerit.html#.XIHhZChKjIV. [Último acceso: 04 03 2019].
[ J. A. N. CORBALA, «INGENIO EMPRESA,» 08 AGOSTO 2018. [En línea].
8 Available: https://ingenioempresa.com/ciclo-pdca/. [Último acceso: 07 JULIO
] 2019].

Informe de Auditoria en La Alcaldia Municipal Del Peñon Bolivar en El Area de Sistemas Terminado

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe de Auditoria en La Alcaldia Municipal Del Peñon Bolivar en El Area de Sistemas Terminado

Cargado por

Copyright:

Formatos disponibles

INFORME DE AUDITORIA EN EL AREA DE SISTEMAS DE LA ALCALDIA

MUNICIPAL DEL PEÑON BOLIVAR

JEORDY OSKAR MORA VEGA

ING. NEHEMIAS SARABIA DIAZ

UNIVERSIDAD POPULAR DEL CESAR

ENFOQUE DEL ANALISIS DE RIESGO ............................................................... 40

El valor de la información se vuelve muy relevante e importante para cada

Habitualmente la gestión de la seguridad de la información en una organización

Un Sistema de Gestión de la Seguridad de la Información (SGSI) garantiza la

La gestión de la seguridad por medio de un SGSI se convierte en un proceso

La seguridad de la información se desarrolla atendiendo a tres dimensiones

Confidencialidad: Entendida como la garantía del acceso a la información

Integridad: entendida como la preservación de la información de forma completa y

Disponibilidad: Entendida como la garantía del acceso a la información en el instante

El SGSI considera las tres dimensiones a la hora de dirigir el tratamiento de los

DESCRIPCIÓN DE LA ALCALDIA DEL PEÑON BOLIVAR

La Alcaldía municipal es un ente público que busca Mejorar la calidad de vida,

Actualmente su estructura organizacional tiene 35 áreas, entre estas están

Queremos un Municipio próspero, en donde lo habitantes tengan sentido de

Al término de nuestra Administración el Municipio de El Peñón se destacará por el

Diseñar un Sistema de Gestión de Riesgos para disminuir las vulnerabilidades y

 Realizar un levantamiento de información del estado actual de la alcaldía

Para la implantación de un SGSI se va a utilizar la norma ISO 27001 del cual

Imagen 1 Ciclo PVHA

El ciclo PHVA supone la implantación de un sistema de mejora continua que

FASE INICIO FIN

Definición de la política de seguridad 13/05/2019 31/05/2019

Identificación de los activos de 3/06/2019 21/06/2019

Tratamiento de los riesgos 29/07/2019 23/08/2019

La alcaldía del municipio del peñón bolívar se compromete a:

1ª Cumplir y hacer cumplir la Constitución, leyes, ordenanzas, acuerdos y

2ª Cuidar de que el Concejo se reúna oportunamente, desempeñe los deberes

3ª Suministrar al Concejo los informes y datos que necesite para el buen

4ª Presentar al Concejo los proyectos de acuerdo que juzgue convenientes a la

5ª Sancionar u objetar los acuerdos expedidos por el Concejo y publicarlos en

6ª Velar porque los empleados del servicio municipal desempeñen oportuna y

7ª Nombrar y remover libremente los empleados de su oficina;

9ª Ordenar los gastos municipales de acuerdo con el presupuesto y los

14ª Dar en el mes de diciembre un informe al Gobernador del Departamento sobre

15ª Perseguir a los reos prófugos que haya en el Municipio;

Imagen 2 Estructura organizacional

La infraestructura TI de la alcaldía se divide en dos grandes áreas:

ALCANCE DEL SGSI

El objeto del sistema de gestión planteado es incrementar la seguridad de la

El análisis de situación de la entidad respecto a la norma no es obligatorio según la

Objetivos Observaciones Cumple Justificación

5.1 Política de seguridad de la información

Objetivos Observaciones Cumple Justificación

Objetivos Observaciones Cumple Justificación

7.1 Responsabilidad de los

Objetivos Observaciones Cumple Justificación

8.3.2 Restitución Existen

Objetivos Observaciones Cumple Justificación

Objetivos Observaciones Cumple Justificación

10. Gestión de las comunicaciones y las

10.3 Planificación y aceptación del sistema

10.4.1 Medidas Todos los

10.6.1 Controles Existe

10.10.5 Registro Se analizan los

Objetivos Observaciones Cumple Justificación

11.1 Requisitos de negocio para el control

11.2.1 Registro Requerimiento

11.4.7 Control de Existen

11.7 Informática móvil y teletrabajo