RESUMEN ANALÍTICO EN EDUCACIÓN

- RAE -
RIUCaC

FACULTAD INGENIERÍA
PROGRAMA DE INGENIERÍA INDUSTRIAL
BOGOTÁ D.C.

LICENCIA CREATIVE COMMONS: Atribución no comercial.

AÑO DE ELABORACIÓN: 2018

TÍTULO: Estructuración del sistema de seguridad de la información en el área de

protección de datos para un operador logístico bajo la norma NTC/ISO
27001:2013.

AUTORA: León Cepeda, Laura Carolina

DIRECTOR: Aldana Bernal, Juan Carlos.

MODALIDAD: Práctica Empresarial.

PÁGINAS: 119 TABLAS: CUADROS: 15 FIGURAS: 10 ANEXOS: 1

CONTENIDO:

INTRODUCCIÓN
1. GENERALIDADES.
2. ESTADO ACTUAL DEL OPERADOR LOGÍSTICO RESPECTO AL SGSI BAJO
LA NORMA NTC/ISO 27001:2013.
3. VALORACIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
EN UN OPERADOR LOGÍSTICO.
4. PLANEACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA UN OPERADOR LOGÍSTICO.
5. CONCLUSIONES.
6. RECOMENDACIONES.
BIBLIOGRAFÍA
ANEXOS

DESCRIPCIÓN: En un promedio de 60 palabras se debe realizar una síntesis del

contenido del trabajo (es análogo al resumen).

1
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

Estructurar un Sistema de Gestión de Seguridad de la Información desde el área

de protección de datos estableciendo como guía la norma ISO/IEC 27001 con la
intención de proteger la confidencialidad e integridad de toda la información que la
organización tenga en su poder; dicho propósito se logra con la ejecución de un
checklist en cuanto a la norma NTC/IEC 27001;2013, seguido de ello, se elabora
una matriz de riesgos identificando las vulnerabilidades que se pueden presentar
en el Sistema de Gestión De Seguridad de la Información, y con ello elaborar un
plan para la estructuración del Sistema de Gestión de Seguridad de la
Información.

METODOLOGÍA: El tipo de estudio usado para el diseño del sistema de gestión

de la información bajo la norma 27001, en un operador logístico colombiano,
corresponde a una investigación aplicada y a un estudio aplicativo y descriptivo a
una organización, en el cual se muestran, narran, reseñan o identifican los hechos,
situaciones, características de un objeto de estudio, o se diseñan productos o
modelos y se seleccionan las características fundamentales del objeto de estudio
y su descripción detallada de las partes.

Las herramientas usadas para la recolección de datos acerca de la investigación

que se propone el autor en hacer a lo largo del desarrollo del proyecto se dividen
en primarias y secundarias, donde las primarias corresponden a la informacion
directa que es la referente a documentos e informacion propia del operador
logístico y las secundarias a informacion referente a libros, revistas, articulos,
bases de datos, papers e investigaciones ya realizadas.

Fase N°1. Diagnóstico del SGSI referente a la norma 27001:2013. Identificar el

nivel de madurez inicial de la empresa con respecto al modelo de seguridad de la
información que plantea la norma NTC/ISO 27001:2013, para la recolección de
información se usara una lista de chequeo evaluada en las áreas de tecnología y
protección de datos además de la documentación existente en el sistema de
calidad de la organización.

Fase N°2. Identificación, análisis y evaluación de los riegos en el SGSI. En esta

etapa se realiza la valoración de riesgos de seguridad de la información a los
cuales se encuentra expuesta, con base en ello se realiza una priorización de
riesgos y se establece si los riesgos se mitigan, asumen, transfieren o se eliminan
de acuerdo al margen de probabilidad por consecuencia.

2
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

Fase N°3. Planeación del SGSI. En esta fase se contempla la elaboración de un

plan de tratamiento de riesgos que contenga los controles a seguir para la
satisfacción en su totalidad de cada control y controles establecidos, de ese modo
dejar escrito cuales serían las acciones a tomar para iniciar con la elaboración del
Sistema de Gestión de Seguridad de la información.

PALABRAS CLAVE: SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN, NTC/ISO 27001:2013, GESTIÓN DE RIESGOS,
CONFIDENCIALIDAD, DISPONIBILIDAD, INTEGRIDAD, AMENAZA
INFORMÁTICA Y SEGURIDAD DE LA INFORMACIÓN.

CONCLUSIONES:
•Al iniciar el plan de estructuración del sistema de gestión de seguridad de la
información para la empresa, el interés y la colaboración de las diferentes áreas
de la organización permitió evidenciar la preocupación por la organización por los
temas relacionados con seguridad de la información, con la implementación futura
de políticas que contribuyan a preservar los principios de confidencialidad,
integridad y confidencialidad de la información.

•Del diagnóstico realizado en base de la norma ISO/IEC 27001:2013, se identificó

que la organización cumple con el 49% de controles de seguridad de la
información, y el porcentaje restante del 51% requiere que la organización
establezca políticas, procedimientos, actividades y asignación de recursos que
contribuyan al crecimiento de la Compañía en materia de seguridad de la
información, de esta manera en un largo plazo la compañía pertenezca a las 106
empresas con un sistema de gestión de seguridad de la información.

•La gestión de riesgos a través de la matriz de riesgo y la priorización de los

mismos estableció las bases de mejora continua del SGSI, ya que por medio de
una lluvia de ideas se identificaron los principales riesgos a los que está sometida
la información, se estableció una descripción de cada riesgo, se resaltó la
probabilidad y la consecuencia de cada riesgo estableciendo objetivos de mejora,
indicadores y acciones a tomar que puede considerar la organización, adicional a
ello se destacan 22 riesgos de los cuales 17 son de carácter tolerables y 5 de
carácter inaceptables a los cuales se les estableció un plan de tratamiento de
riesgos de acuerdo a las necesidades.

3
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

•La organización para establecer un Sistema de Gestión de Seguridad de la

Información debe cumplir con el establecimiento de actividades y planes de mejora
en cada control donde se presentan mayores falencias, el tiempo para ello se
maximiza en un plazo de año y medio ya que las actividades propuestas se
pueden desarrollar en simultaneo y se cuenta con la integración de las áreas de
tecnología y protección de datos.

•El presente proyecto establece las bases mínimas para la estructuración del SGSI
en la empresa, ya que este proyecto es pensado en la mejora continua de los
controles ya implementados por la organización y no concluye en una
implementación o en una revisión de lo realizado en el proyecto, adicional de la
limitación de tiempo que se tiene para el adecuado estudio de la organización en
materia de seguridad de la información.

FUENTES:
AEC .Seguridad de la Información [En línea].Madrid: Claudio Coello [17 abril ,
2018).Disponible en internet :<URL: https://www.aec.es/web/guest/centro-
conocimiento/seguridad-de-la-informacion>

AGUIRRE, Juan. Diseño del sistema de gestión de seguridad de la información

para el grupo empresarial la ofrenda. Pereira: Universidad Tecnológica de Pereira.
Facultad Ingeniería de Sistemas y computación. Modalidad Pasantía,2013., p.48.

AREVALO, Ascanio, J. G., Bayona Trillos, R. A., & Rico Bautista, D. W.

Implantación de un sistema de gestión de seguridad de información bajo la ISO
27001: Análisis del riesgo de la información. Bogotá: Universidad Nacional Mayor
de San Marcos. Facultad de Ingeniería de Sistemas. Modalidad Pasantía, 2015,
p.123.

ARGENTINA.CONGRESO DE LA REPUBLICA. Constitución política. Art.43.

Asociación Española de Calidad (AEC). Seguridad de la Información [En línea].

Ciudad: España Editor: Centro Nacional De Información de la Calidad [ 17 abril ,
2018]. Disponible en
internet:<URL:https://www.aec.es/c/document_library/get_file?uuid=b4fcf82c-5056-
4ac4-aa15-915e74891bb2&groupId=10128>

BRASIL. CONGRESO DE LA REPUBLICA. Constitución política. Art 25.

4
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

CARDONA, Cecilia. Herramientas de control, lista de chequeo [En línea].Ciudad:

Cecilia Cardona [Citado 9 marzo, 2018).Disponible en
Internet:<URL:http://puntosdeencuentro.weebly.com/uploads/2/2/3/6/22361874/list
as_de_chequeo.pdf>

COLOMBIA.CONGRESO DE LA REPUBLICA. Constitución política. Art.15.

COLOMBIA.CONGRESO DE LA REPUBLICA. Ley Estatutaria 1581. (17, octubre

2012) Por la cual se dictan disposiciones generales para la protección de datos
personales. Bogotá, 2012.no .48.587. p.12100. (23, diciembre 2015).

COLOMBIA.CONGRESO DE LA REPUBLICA. Ley 1727. (11, julio 2014) Por

medio de la cual se reforma el Código de Comercio, se fijan normas para el
fortalecimiento de la gobernabilidad y el funcionamiento de las Cámaras de
Comercio y se dictan otras disposiciones. Bogota,2014. no. 49.209. p.8

COLOMBIA.CONGRESO DE LA REPUBLICA. Ley Estatutaria 1266. (31,

diciembre 2008) por la cual se dictan las disposiciones generales del Hábeas Data
y se regula el manejo de la información contenida en bases de datos personales,
en especial la financiera, crediticia, comercial, de servicios y la proveniente de
terceros países y se dictan otras disposiciones. Bogota,2008. no. 47.219. p.12

COLOMBIA.CONGRESO DE LA REPUBLICA. Ley 1213. (5, enero 2009) Por

medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico
tutelado - denominado "de la protección de la información y de los datos"- y se
preservan integralmente los sistemas que utilicen las tecnologías de la información
y las comunicaciones, entre otras disposiciones. Bogotá, 2009.no. 47.223. p.10

COLOMBIA. EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA. Decreto

1377. (27 junio,2013). Por el cual se reglamenta parcialmente la Ley 1581 de
2012.Bogota: El Presidente de la republica colombiana,2013.

COLOMBIA. EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA. Decreto

1727(5 mayo,2009). Por el cual se determina la forma en la cual los operadores de
los bancos de datos de información financiera, crediticia, comercial, de servicios y
la proveniente de terceros países, deben presentar la información de los titulares
de la información. Bogotá: El Presidente de la republica colombiana,2009.

5
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

COLOMBIA. CONGRESO DE LA REPÚBLICA DE COLOMBIA. Ley Estatuaria

1266 (31 diciembre ,2008). Por la cual se dictan las disposiciones generales del
hábeas data y se regula el manejo de la información contenida en bases de datos
personales, en especial la financiera, crediticia, comercial, de servicios y la
proveniente de terceros países y se dictan otras disposiciones. Bogotá:
CONGRESO DE LA REPUBLICA,2008.

COLOMBIA.CONGRESO DE COLOMBIA. Ley Estatutaria 1587. (17 octubre

,2012). Por la cual se dictan disposiciones generales para la protección de datos
personales. Bogotá: Congreso de Colombia, 2012.

Datasec. Certificados ISO /IEC 27001 emitidos a nivel mundial MIPYME [En línea].
Ciudad: Editor [Citado 14 marzo ,2018]. Disponible en
internet:<URL:http://www.datasec.com.uy/es/blog/certificados-isoiec-27001-
emitidos-nivel-mundial>

Diccionario seguridad de la información. Términos de seguridad de la información

que debes manejar”[En línea] Bogotá: Atlas seguridad [Citado 13 marzo, 2018].
Disponible en internet:<URL: https://blog.atlas.com.co/diccionario-seguridad-de-la-
informacion> Diccionario seguridad de la información.

DORIA, Felipe. Diseño de un Sistema de Gestión de Seguridad de la Información

mediante la aplicación de la norma internacional ISO/IEC 27001;2013 en la oficina
de sistemas de información y telecomunicaciones de la universidad de Córdoba.
Montería: Universidad Nacional Abierta y a Distancia. Modalidad Pasantía.
Facultad de Ingeniería de Sistemas,2015 ,p.48.

ECUADOR.CONGRESO DE LA REPUBLICA. Constitución política. Art. 30.

ELIZONDO, Juan D., Importancia de la protección de datos personales,

aplicabilidad real de la normativa costarricense y el modelo de regulación
española. En: Revista Judicial.Julio,2013. no 108, p.8.

ESPINOZA, Hans. Análisis y diseño de un sistema de gestión de seguridad de

información basado en la norma ISO/IEC 27001:2005 para una empresa de
producción y comercialización de productos de consumo masivo. Universidad
Católica de Perú. Facultad de Ciencias e Ingeniería. Modalidad Pasantía, 2013,
p.69

6
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

GACITUA, Alejandro. El derecho fundamental a la protección de datos personales

en el ámbito de la prevención y represión penal europea, Barcelona: Universidad
Autónoma de Barcelona. Facultad de Ciencias Política y Derecho Público.
Modalidad Pasantía, 2014, p. 440,

GCP GLOBAL. Seguridad Advisor. Estándar de seguridad de la información [En

línea].México :GCP Global [Citado 12 abril , 2018).Disponible en internet:
<URL:http://www.gcpglobal.com/docs/Intro_ISO27001.pdf>

GÓMEZ, Andres.Guía de Aplicación de la Norma UNE-ISO/IEC 27001 Sobre

Seguridad en Sistemas de Información para PYMES [En línea].España: Andrés
Gómez [10 de Marzo de 2018].Disponible en
Internet:<URL:http://www.varios.cen7dias.es/documentos/documentos/90/iso.pdf>

GOOGLE MAPS. Ubicación geográfica del sector. Suppla S.A. Sucursal Connecta.
[En línea]. Bogotá: Google Maps [Citado 15 , Noviembre de 2017]. Disponible en
internet:<URL:https://www.google.com.co/search?q=suppla+s.a&npsic=0&rflfq=1&
rlha=0&rllag=4661467,-
74111743,2592&tbm=lcl&ved=0ahUKEwiimMidpc3XAhXEKiYKHX2lD0EQtgMILA&
tbs=lrf:!2m1!1e2!3sIAE,lf:1,lf_ui:2&rldoc=1#rlfi=hd:;si:;mv:!1m3!1d14456.16556724
7324!2d-74.11972575402831!3d4.686139672032783!3m2!1i604!2i349!4f13.1>

Grupo control. Evolución de la Seguridad Informática [en línea]. Almería: David

López [Citado 15 noviembre ,2017]. Disponible en Internet:<URL:
https://www.grupocontrol.com/evolucion-de-la-seguridad-informatica>

GUATEMALA.CONGREO DE LA REPUBLICA. Constitución política. Art. 31

HERNANDEZ, Alejandro. Seguridad de la Información: Norma ISO/ IEC 17799 /

ISO/ IEC 27001. (En línea). (2008).Disponible en internet:
<URL:http://www.slideshare.net/disalazar/certificacion-iso-27001-
isecseguritypresentation>

INSTITUTO COLOMBIANO DE NORMAS TÉCNICAS Y CERTIFICACIÓN. Norma

Técnica Colombiana: NTC-ISO-IEC 27001. Tecnología de la Información.
Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información.
Requisitos. Bogotá: ICONTEC. 2013. p. 9.

7
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

INTITUTO COLOMBIANO DE NORMAS TECNICAS Y CERTIFICACION. Gestión

del riesgo, principios y directrices. NTC ISO-3100.Bogota: ICONTEC, 2011.p15.

INSTITUTO ECUATORIANO DE NORMALIZACIÓN INTERNATIONAL.

Tecnología de la información técnicas de seguridad guía de implementación del
Sistema de gestión de la seguridad de la información NTE INEN-ISO/IEC
27003:2012. Ecuador: INEN,2012. p.8

INSTITUTO PERUANO DE NORMALIZACIÓN INTERNATIONAL. Tecnología de

la información técnicas de seguridad guía de implementación del Sistema de
gestación de la seguridad de la información NTE ISSA . ISO/ IEC 27004. (2011)..
Perú: INEN,2011. p. 9

INSTITUTO ECUATORIANO DE NORMALIZACIÓN INTERNATIONAL.

Tecnología de la información técnicas de seguridad guía de implementación del
Sistema de gestión de la seguridad de la información NTE INEN-ISO/IEC
27003:2012. Ecuador: INEN,2012. p.8

INSTITUTO NACIONAL DE TECNOLOGÍAS DE COMUNICACIÓN. Enciclopedia

Jurídica: ISO/IEC 27005:2008. (2011). (En línea). Disponible en internet:
https://www.incibe.es/wikiAction/Seguridad/Observatorio/area_juridica_seguridad/
Enciclopedia/Articulos_1/iso_27005_en

INTERNATIONAL STANDARD. ISO/IEC 27006 2007 Information technology —

Security techniques — Requirements for bodies providing audit and certification of
information security 68 management systems. First Edition. (En línea). (2007).
Disponible en internet: http://www.pqm-
online.com/assets/files/standards/iso_iec_27006- 2007.pdf

INTERNATIONAL STANDARD. ISO/IEC 27007 2011 Information technology —

Security techniques — Guidelines for information security management systems
auditing. First Edition. (En línea). (2011). Disponible en Internet:
https://www.sis.se/api/document/preview/914037/

INTITUTO COLOMBIANO DE NORMAS TECNICAS Y CERTIFICACION. Gestión

del riesgo, principios y directrices. NTC ISO-31000.Bogota: ICONTEC, 2011.p15.

ISO27000.es 2005 ISO 27001: Auditoria y Certificación. (En línea). (2012).

Disponible en internet: <URL:http://www.iso27000.es/certificacion.html#section5b>

8
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

ISO27000, “Norma NTC/ISO 27000”, (En línea), (18 de marzo), disponible en

internet: URL<http://www.iso27000.es/iso27000.html>

ISO 27000.ES. Normas: ISO/ IEC 27001 [En línea]. Ciudad: España Editor:ISO
27001.ES [Citado 13 marzo ,2018). Disponible en internet:<URL:
http://www.iso27000.es/download/doc_sgsi_all.pdf>

LOPD. ¿Que son los datos de carácter personal?[En línea].Ciudad: España Editor
Cruz Agustín [15 marzo, 2018].Disponible en internet:<URL:
http://www.cuidatusdatos.com/infodatospersonales.html>

MEXICO.EL CONGRESO DE LOS ESTADOS UNIDOS MEXICANOS. Ley federal

de protección al consumidor.(11,enero 2018). Protección al consumidor. México.

MINTIC. Definición de filtración de datos[En línea] Bogotá :MINTC [13 marzo ,

2018].Disponible en internet:<URL: http://www.mintic.gov.co/portal/604/w3-article-
18798.html >

MINTIC. Guía de seguridad de la información para Mipymes [En línea] Bogotá

:MINTC [13 marzo , 2018].Disponible en internet:<URL:
http://www.mintic.gov.co/gestionti/615/articles-
5482_Guia_Seguridad_informacion_Mypimes.pdf

MINTIC. Malware [En línea] Ciudad: Editor [13 de marzo , 2018] Bogotá :MINTC
.Disponible en internet:<URL: http://www.mintic.gov.co/portal/604/w3-article-
18744.html>

MINTIC. Modelo de seguridad [En línea] Bogotá :MINTC [13 marzo ,

2018].Disponible en internet:<URL:http://www.mintic.gov.co/gestionti/615/w3-
propertyvalue-7275.html>

Ministerio de Comunicaciones, “Modelo de Seguridad de la Información, Sistema

SANSI, SGSI”, (En línea), (15 de abril de 2018), disponible en Internet:
URL<http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/Modelo_Seguridad_SANSI_SGSI.pdf>

NICARAGUAS.CONGRESO DE LA REPUBLICA. Constitución política. Art. 14

9
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

Organización para la cooperación y el desarrollo económico, Directrices de la

OCDE para la seguridad de sistemas y redes de información: Hacia una cultura de
seguridad [En línea]. España: OCDE [14 marzo, 2018]. Disponible en
Internet:<URL: https://www.oecd.org/sti/ieconomy/34912912.pdf.>

PARAGUAY.CONGREO DE LA REPUBLICA. Constitución nacional. Art. 26

PERU.CONGRESO DE LA REPUBLICA. Constitución política.Art.200.

PUCCINELLI, Oscar Raúl. Evolución histórica y análisis de las diversas especies,

subespecies, tipos y subtipos de habeas data en América latina. En: Revista
javeriana.Abril.2014.vol. 53,p. 480.

SANCHÉZ, Alejandra. Importancia de implementar un SGSI en una empresa

certificada con BASC. Bogotá: Universidad Militar Nueva Granada. Facultad de
relaciones internacionales, estrategia y seguridad. Modalidad Pasantías,2014,p .
32

Searchdatacenter. Protección de datos [En línea]. Bogotá: Margaret Rouse [Citado

12 abril, 2018]. Disponible en internet:<URL:
https://searchdatacenter.techtarget.com/es/definicion/Proteccion-de-datos>

SECLEN, Javier. Factores que afectan la implementación del sistema de gestión

de seguridad de la información en las entidades públicas peruanas. Lima:
Universidad Nacional Mayor de San Marcos. Facultad de Ingeniería de Sistemas e
información. Modalidad Pasantía,2016, p.45.

SEMANA. Una de cada dos empresas fue hackeada en el 2015 [En línea ].Bogotá
:Semana [Citado 18 mayo,2016].Disponible en Internet:
<URL:http://www.semana.com/tecnologia/articulo/cibercrimen-en-colombia-una-
de-cada-dos-empresas-fue-hackeada/474110 >

SUPPLA, Grupo SUPPLA. Quienes Somos. [En línea], Bogotá .Suppla [Citado 14
marzo, 2018]. Disponible en Internet:<URL:
http://www.suppla.com/web/portal/grupo-suppla >

Symantec. Tendencias de seguridad cibernética en América Latina y el Caribe [En

línea]. Ciudad :Editor [Citado 14 marzo ,2018 ].Disponible en

10
 RESUMEN ANALÍTICO EN EDUCACIÓN
- RAE -
RIUCaC

internet:<URL:https://www.symantec.com/content/es/mx/enterprise/other_resource
s/b-cyber-security-trends-report-lamc.pdf >

ZAPATA, Angela. Análisis de riesgos por procesos basado en la norma ISO

31000:2011 para el Centro Comercial Premier El Limonar -Cali Colombia.
Santiago de Cali: Universidad Autónoma de Occidente. Facultad de Ciencias
Económicas y Administración. Modalidad Pasantías, 2015, p.72.

11