Proyecto Tatiana

PROPUESTA DE IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN BASADA EN LA NORMA INTERNACIONAL

ISO/IEC 27001:2013 PARA LA CONSTRUCTORA ROA LEIVA S.A.S. DE LA
CIUDAD DE NEIVA
KELIN TATIANA ÁLVAREZ MOYA

CAROLINA GONZALEZ
UNIVERSIDAD COOPERATIVA DE COLOMBIA

PROGRAMA DE INGENIERÍA DE SISTEMAS
NEIVA, HUILA I - 2018
1
PROPUESTA DE IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN BASADA EN LA NORMA INTERNACIONAL
ISO/IEC 27001:2013 PARA LA CONSTRUCTORA ROA LEIVA S.A.S. DE LA
CIUDAD DE NEIVA
KELIN TATIANA ÁLVAREZ MOYA

CAROLINA GONZALEZ
Propuesta en Seguridad Informática, para optar al título de Ingeniero de Sistemas
Directora:
IRLESA INDIRA SANCHEZ MEDINA

Ingeniera de Sistemas, Especialista en Redes de Telecomunicaciones,
Especialista en Docencia Universitaria, Magister Educación, Doctoranda en E-
LEARNING
UNIVERSIDAD COOPERATIVA DE COLOMBIA

PROGRAMA DE INGENIERÍA DE SISTEMAS
NEIVA, HUILA I - 2018
2
PÁGINA DE ACEPTACIÓN
______________________________________________
DIRECTOR
______________________________________________
JURADO
______________________________________________
JURADO
Neiva, ___ de ______________ de 201__
3
AGRADECIMIENTOS
Esta propuesta es el resultado del esfuerzo conjunto de todos los que formamos el
grupo de trabajo. Por esto agradezco a nuestra tutora Irlesa Indira Sánchez
Medina, mis compañeros de trabajo y mi persona, quienes a lo largo de este
tiempo hemos puesto a prueba nuestras capacidades, esfuerzos y conocimientos
para el desarrollo de esté, el cual ha finalizado llenando todas nuestras
expectativas.
Damos gracias primordialmente a Dios por darnos la inteligencia, sabiduría,

paciencia, entendimiento y la capacidad para ejercer esta idea.
A nuestros padres quienes a lo largo de toda nuestra vida han apoyado y

motivado nuestra formación académica, creyeron en cada una de nosotras en
todo momento y no dudaron de nuestras habilidades.
A mis profesores a quienes les debo gran parte de mis conocimientos, gracias a
su paciencia y enseñanza y finalmente un eterno agradecimiento a esta
prestigiosa universidad la cual nos abrió sus puertas, preparándonos para un
futuro competitivo y formándonos como profesionales y personas de bien.
KELIN TATIANA ÁLVAREZ Y CAROLINA GONZALEZ
4
DEDICATORIA
A Dios por estar pendiente en todos los momentos de mi vida, iluminándome en el

camino, con su protección y bendición me ayudo a serle frente a todos los
problemas presentados durante mi estudio.
A mis padres por infundir en mi la lucha y el deseo de superación personal,

resaltando el apoyo en los momentos de duda, desesperación, felicidades y
alegrías.
A mi compañero, amigo y novio por brindarme su apoyo, comprensión y ayuda en

este proceso.
A mi abuela que con su voz de aliento aumentaba la fe ante los momentos de

debilidad.
A mi compañera de Propuesta, que con sus conocimientos brindo aportes útiles y

valiosos para el desarrollo de esta investigación.
KELIN TATIANA ÁLVAREZ
A Dios por ser mi guía y fortaleza en cada paso de mi vida.
A mis padres y hermanos por creer en mí y darme todo su apoyo durante la

carrera, especialmente a mi madre a quien admiro por su superación personal
ejemplo fundamentalmente en mi vida, quien con sus conocimientos nos guío y
acompaño en la presente propuesta.
A mi novio por estar conmigo en los momentos de alegría y de tristeza; por su

actitud de ayuda y comprensión.
A mi amiga y compañera de estudio y trabajo; a quien admiro por sus esfuerzos

para el logro de nuestra carrera y de esta promesa; quien con su actitud de lucha
me enseñó a guerrear por lo que se quiere.
CAROLINA GONZALEZ
5
TABLA DE CONTENIDO
Agradecimiento 4
Dedicatoria 5
Glosario 10
Resumen 17
0 Introducción 18
1 Presentación del Proyecto de Grado 19
1.1 Planteamiento Del Problema................................................................................19
1.1.1 Definición Y Alcance del Problema .........................................................19
1.1.2 Formulación del Problema …......……………………………………………20
1.2 Alcance ………………………………………………………………………………….22
1.3 Justificación ……………………………………….....…………………………………23
1.4 Objetivos………………......…………………………………………………………....25
1.4.1 General ……….………………………………………………………….........25
1.4.2 Específicos…….………………………………………………………….……25
2 Marco Referencial ……………………………....……………………………….….………26
2.1 Marco Legal ………………………………………………………………………….…26
2.2 Marco Teórico…………………………………………………………………………..29
2.3 Marco Conceptual…………………………………………………………………...…34
2.4 Marco Contextual……………………………………………………………………....42
2.5 Marco Tecnológico……………………………………………………………………..45
3 Materiales y Métodos …………………………………………………………………….... 45
3.1 Materiales ………………………………………………………………………….……45
3.2 Metodología …………………………………………………………………………….47
4 Modelo de Madurez………………………………………………………………………….49
5 Desarrollo de la Propuesta………………………………………………………………....52
5.1 Soporte de la Dirección ……………………………………………………………….52
5.2 Alcance Del Sistema De Gestión De La Seguridad De La Información …………55
5.3 Análisis Diferencial …………………………………………………………………....57
5.4 Política de Seguridad de la Información……………………………………………..59
5.5 Cronograma ……………………………………………………………………………64
6 Planes de Acción…………………………………………………………………………….64
6
7 Conclusiones………………………………………………………………………………....84
8 Recomendaciones …………………………………………………………………………..86
Bibliografía …………………………………………………………………………………...…...87
7
LISTA DE TABLAS
Pág.
Tabla 1. Dominios de una típica infraestructura TI en una organización ……………..31

Tabla 2. Amenazas a la seguridad de la información …………………………………..32
Tabla 3. Familia de estándares ISO/IEC 27000 ……………………………………………….….38
Tabla 4. Requisitos de la norma ISO-IEC 27001:2013 …………………………………40
Tabla 5. Elementos de un Gobierno de TI………………………………………………..41
Tabla 6. Materiales y Recursos utilizados en la propuesta …………………………….46
Tabla 7. Requisito de la Norma ISO/IEC 27001:2013 ………………………………….58
Tabla 8. Nivel de Cumplimiento de los Requisitos de la Norma ISO/IEC
27001:2013 ………………………………………………………………………………………..58
8
LISTA DE FIGURAS
Pág.
Figura 1. Modelo PHVA aplicado a los procesos de un SGSI ……………………………34

Figura 2. Organigrama de la Constructora Roa Leiva S.A.S ……………………………..44
9
GLOSARIO
ACTIVO INFORMÁTICO: Se define como todo aquello que pueda generar valor
para la empresa u organización y sean sujetos de protección. Un activo o recurso
informático está representado por los objetos físicos (hardware, como los routers,
switches, hubs, firewalls, antenas, computadoras), entes abstractos (software,
sistemas de información, bases de datos, sistemas operativos) e incluso el
personal de trabajo y las oficinas.
AMENAZA: Fuentes generadoras de eventos en las que se originan las pérdidas

por riesgos de seguridad de la información
ANTIVIRUS: Es un programa informático que tiene el propósito de detectar y

eliminar virus informáticos y otros programas perjudiciales antes o después de que
ingresen al sistema.
ATAQUE: Es cualquier intento no autorizado de acceso, uso, alteración,

exposición, robo, indisposición o destrucción de un activo.
BACKUP: Copia de Respaldo o Seguridad. Acción de copiar archivos o datos de

forma que estén disponibles en caso de que un fallo produzca la pérdida de los
originales. Esta sencilla acción evita numerosos, y a veces irremediables,
problemas si se realiza de forma habitual y periódica.
BASE DE DATOS: Conjunto de datos que pertenecen al mismo contexto

almacenados sistemáticamente. En una base de datos, la información se organiza
en campos y registros. Los datos pueden aparecer en forma de texto, números,
gráficos, sonido o vídeo.
10
C
CONFIDENCIALIDAD: La confidencialidad es la propiedad que impide la

divulgación de información a personas o sistemas no autorizados. A grandes
rasgos, asegura el acceso a la información únicamente a aquellas personas que
cuenten con la debida autorización.
CONTRASEÑAS: Una contraseña o clave es una forma de autentificación que

utiliza información secreta para controlar el acceso hacia algún recurso. La
contraseña debe mantenerse en secreto ante aquellos a quien no se les permite el
acceso. A aquellos que desean acceder a la información se les solicita una clave;
si conocen o no conocen la contraseña, se concede o se niega el acceso a la
información según sea el caso.
CONTROL DE SEGURIDAD: Es un conjunto de normas, técnicas, acciones y

procedimientos que interrelacionados e interactuando entre sí con los sistemas y
subsistemas organizacionales y administrativos, permite evaluar, comparar y
corregir aquellas actividades que se desarrollan en las organizaciones,
garantizando la ejecución de los objetivos y el logro de las metas institucionales.
DATOS: El dato es una representación simbólica (numérica, alfabética,

algorítmica, etc.) de un atributo o variable cuantitativa. Los datos describen hechos
empíricos, sucesos y entidades. Es un valor o referente que recibe el computador
por diferentes medios, representando la información que manipula el programador
en la construcción de una solución de un algoritmo.
DEBILIDAD: Las debilidades se refieren a todos aquellos elementos, recursos,

habilidades y actitudes que la empresa ya tiene y que constituyen barreras para
lograr la buena marcha de la organización. (en este caso un sistema).
11
DISPONIBILIDAD: Es la característica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones; es el acceso a la información y a los sistemas por
personas autorizadas en el momento que así lo requieran.
EVENTO: Es una situación que es posible pero no certera; es siempre un evento

futuro y tiene influencia directa o indirecta sobre el resultado. Un evento se trata
como un suceso negativo y representa algo indeseado.
FALLOS: Es un estado o situación en la que se encuentra un sistema formado por

dispositivos, equipos, aparatos y/o personas en el momento que deja de cumplir la
función para el cual había sido diseñado. Hay que evitar ésta situación siempre
que queramos diseñar un sistema altamente fiable, competitivo y fuerte, para ello
hay que adelantarse a dicho estado o situación mediante métodos matemáticos y
científicos.
FIREWALL: Combinación de hardware y software la cual separa una red de área

local (LAN) en dos o más partes con propósitos de seguridad. Su objetivo básico
es asegurar que todas las comunicaciones entre dicha red e Internet se realicen
conforme a las políticas de seguridad de la organización que lo instala. Además,
estos sistemas suelen incorporar elementos de privacidad, autentificación, etc.
IMPACTO: Es la cantidad de daño que puede causar una amenaza que explote
una vulnerabilidad.
12
INTEGRIDAD: Es la propiedad que busca mantener los datos libres de
modificaciones no autorizadas. (No es igual a integridad referencial en bases de
datos.) A groso modo, la integridad es el mantener con exactitud la información tal
cual fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
ISO/IEC 27000: Publicada el 1 de Mayo de 2009, revisada con una segunda

edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de
2014. Esta norma proporciona una visión general de las normas que componen la
serie 27000, indicando para cada una de ellas su alcance de actuación y el
propósito de su publicación. Recoge todas las definiciones para la serie de normas
27000 y aporta las bases de por qué es importante la implantación de un SGSI,
una introducción a los Sistemas de Gestión de Seguridad de la Información, una
breve descripción de los pasos para el establecimiento, monitorización,
mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo
PlanDo-Check-Act para evitar convertirlo en el único marco de referencia para la
mejora continua).
ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre

de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de
gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002
(que ya quedó anulada) y es la norma con arreglo a la cual se certifican por
auditores externos los SGSIs de las organizaciones.
MALWARE: Cualquier programa cuyo objetivo sea causar daños a computadoras,

sistemas o redes y, por extensión, a sus usuarios.
13
P
POLÍTICAS DE SEGURIDAD: Es un documento que define el alcance de la

necesidad de la seguridad para la organización y discute los activos que necesitan
protección y el grado para el cual deberían ser las soluciones de seguridad con el
fin de proveer la protección necesaria.
PROCEDIMIENTOS: Es un conjunto de acciones u operaciones que tienen que

realizarse de la misma forma, para obtener siempre el mismo resultado bajo las
mismas circunstancias (por ejemplo, procedimiento de emergencia).
RECURSOS: Un recurso es una fuente o suministro del cual se produce un

beneficio
RIESGO: Combinación de la probabilidad de un evento y sus consecuencias
RIESGO INFORMÁTICO: Es la probabilidad de que una amenaza en particular

expone a una vulnerabilidad que podría afectar a la organización. Es la posibilidad
de que algo pueda dañar, destruir o revelar datos u otros recursos.
SISTEMA DE DETECCIÓN DE INTRUSOS: (o IDS de sus siglas en inglés

Intrusion Detection System) es un programa usado para detectar accesos no
autorizados a un computador o a una red. Estos accesos pueden ser ataques de
habilidosos crackers, o de Script Kiddies que usan herramientas automáticas.
14
SGSI: Es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Información Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
(de la propia organización o de fuentes externas) o de la fecha de elaboración.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: Es un

marco de administración general a través del cual las organizaciones identifican,
analizan y direccionan sus riesgos en la seguridad de la información. Su correcta
implementación garantiza que los acuerdos de seguridad están afinados para
mantenerse al ritmo constante con las amenazas de seguridad, vulnerabilidades e
impactos en el negocio, el cual es un aspecto a considerar profundamente
teniendo en cuenta la competitividad y cambios a los que enfrentan las
organizaciones hoy en día.
USUARIO: Persona que tiene una cuenta en una determinada computadora por
medio de la cual puede acceder a los recursos y servicios que ofrece una red.
Puede ser tanto usuario de correo electrónico como de acceso al servidor en
modo terminal. Un usuario que reside en una determinada computadora tiene
una dirección única de correo electrónico.
VIRTUAL: Término de frecuente utilización en el mundo de las tecnologías de la

información y de las comunicaciones el cual designa dispositivos o funciones
simulados.
15
VIRUS: Programa que se duplica a sí mismo en un sistema informático
incorporándose a otros programas que son utilizados por varios sistemas.
VULNERABILIDAD: Es una falla o debilidad en los procedimientos, diseño,

implementación o controles internos en un sistema de seguridad. Es cualquier
ocurrencia potencial que pueda causar un resultado indeseado para una
organización o para un activo en específico.
16
RESUMEN
La Propuesta de grado corresponde a la implementación de un Sistema de

Gestión de Seguridad de la Información de acuerdo a la norma ISO/IEC 27001 de
2013 para la CONSTRUCTORA ROA LEIVA S.A.S. En donde dicho sistema,
contempla una serie de elementos, mecanismo, y lineamientos apropiados para el
mejoramiento de la seguridad de la información al interior de la constructora a
trabajar.
La idea solo consistirá en el diseño de SGSI en la oficina de Ingreso de

Tesorería como en la de atención al público, esto con el fin de desarrollarlo dentro
del marco conceptual y metodológico de un sistema de gestión de seguridad de
información bajo la norma ISO 27001:2013.
Palabras Claves: Sistemas de Gestión de la Seguridad de la Información

(SGSI, ISMS), Estándar ISO/IEC 27001:2013, Metodología de Riesgos
Informáticos, Planes de Continuidad de la Construcción (BCP), Gobierno de TI.
17
1. INTRODUCCION
Desde hace ya algunos años la información se considera uno de los activos

más valiosos de una compañía (los costes derivados de pérdida de seguridad no
son sólo costes económicos directos, sino que también afectan a la imagen de la
empresa), por lo que, cada vez más, la seguridad de la información forma parte de
los objetivos de las organizaciones y, sin embargo, y a pesar de esa
concienciación generalizada, muchas compañías no se enfrentan a este aspecto
con la profundidad con la que debiera tratarse.
La continua evolución, crecimiento y sofisticación de la tecnología, al igual que

los ataques cibernéticos en las organizaciones, ponen de manifiesto la necesidad
de adoptar las medidas y controles que permitan proteger a la compañía ante las
amenazas a los activos informáticos. De esta manera se hace necesario diseñar
un sistema de seguridad que permita salvaguardar los recursos informáticos
misionales del grupo empresarial, ayudando a la institución a cumplir sus
objetivos. La gestión de la seguridad en la información debe realizarse mediante
un proceso sistemático, documentado y conocido por toda la empresa.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el

caso de disponer de un presupuesto ilimitado. El propósito de un sistema de
gestión de la seguridad de la información es, por tanto, garantizar que los riesgos
en la validación de los datos sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologías.
18
2. PRESENTANCIÓN DE LA PROPUESTA DE GRADO
2.1. PLANTEAMIENTO DEL PROBLEMA
2.1.1. Definición del Problema
La Constructora Roa Leiva no cuenta actualmente con un modelo de seguridad

de la información definido, ya que el que tiene no es el adecuado para proteger la
información, ni planes de acción para generar conciencia de la importancia del
buen uso y manejo de esta clase de sistemas en la empresa. A causa de estas
fallas hemos visto presentarse incidentes leves relacionados con la divulgación de
la información y acceso a personal no autorizado a la misma. Estas fallas han
hecho que nos cuestionemos como empleados llevándonos a preguntar:
 ¿Qué información es la que realmente debemos cuidar?

 ¿A qué amenazas está expuesta los activos de información?
 ¿Cómo podemos mitigar estos riesgos y disminuir estos impactos en la
constructora?
Por estas y más razones, y teniendo en cuenta cada uno de los pilares de la
seguridad de la información (Confidencialidad, Integridad y Disponibilidad) nuestra
constructora requiere la implementación de una SGSI la cual ayude a mitigar cada
uno de los riesgos; ya que se contará con la colaboración de los controles y los
procesos que la norma ISO/IEC 27001:2013 sugiere, y al mismo tiempo se le
estará dando el cumplimento al manual del gobierno en línea.
Antecedentes
De acuerdo al decreto 2482 de diciembre de 2012, el Gobierno Nacional

establece los lineamientos para la integración de las políticas de gestión de
Tecnologías de Información y Comunicación (TIC) a las políticas administrativas
19
definidas en el artículo 3 del decreto; las cuales se adoptan según acuerdo No.
005 de febrero de 2013. En el cuál se fija la creación del grupo de gobierno en
línea, con el objetivo de dar cumplimiento a los requerimientos establecidos por el
Ministerio de Tecnologías de la Información y las Comunicaciones (Ministerio TIC)
en el manual 3.1 de Gobierno en Línea (GEL).
2.1.2. Formulación del Problema
¿Se puede pensar si es posible tener diseñado un sistema de gestión de

seguridad de la información para la Constructora Roa Leiva S.A.S?
El problema radica en que no existe un sistema de gestión de seguridad de la

información en la Constructora Roa Leiva S.A.S.; el propósito de un sistema de
gestión de la seguridad de la información, es garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologías, la ausencia del mismo presentan riesgos
rutinarios con la información que allí se maneja.
Cada vez están más en auge las empresas que diseñan un sistema de gestión
de seguridad de la información SGSI. En la actualidad se ha convertido en una
técnica utilizada de acuerdo a las circunstancias cambiantes que han generado
preocupación y prevención en cada una de las organizaciones. Lo anterior, hace
que se establezca como prioridad un sistema de gestión de seguridad de la
información como parte relevante de una Organización. En algunos grupos
empresariales como ComBanc S.A, Etek International Holding Corp., Financial
Systems Company Ltda., Ricoh Colombia, S.A. están presentes estos sistemas
de gestión desde hace muchos años, y es la caja fuerte personal (a nivel web), en
la que se puede guardar joyas, documentos críticos en papel, o cualquier
elemento físico que no debe ser extraviado por el alto valor que tiene. Asumida en
20
toda la sociedad la importancia de la información concentrada en vídeos,
grabaciones de sonido, ficheros, documentos escaneados, fotografías, planos o
todo lo que en si cada organización considere valioso, se necesita poder guardar
cierta información en formato electrónico de modo completamente seguro a salvo
de desastres.
Por tanto, en el SGSI a diseñar, una de las medidas más destacables será el
salvaguardar el activo más indispensable que es la información y establecer los
controles necesarios para tal fin.
21
2.2. ALCANCE
El Sistema de Gestión de Seguridad Informática y de la Información se aplicará

específicamente a la infraestructura tecnológica de la constructora y al personal
que hace parte del proceso de gestión tecnológica.
El desarrollo del proyecto se llevará a cabo en la ciudad de Neiva, en la empresa

Constructora Roa Leiva S.A.S., durante el periodo de tiempo comprendido en el
año 2018.
22
2.3. JUSTIFICACION
Teniendo en cuenta cada uno de los pilares de la seguridad de la información,

podemos ver como la creciente de cantidad de amenazas que sufre nuestra
compañía tanto al interior como al exterior de la mismas, hace que crezca la
necesidad de gestionar de manera eficiente cada uno de los riesgos e involucrar
de manera veraz al personal de la compañía con el fin de capacitarlos para que
cada uno de ellos puedan hacerle frente a cada uno de las amenazas,
minimizando el impacto para la constructora.
La implementación de la propuesta SGSI basados en la norma ISO/IEC

27001:2013 suministrara las condiciones necesarias para que la seguridad de la
información apoye y extienda los objetivos que la constructora busca,
garantizando la debida gestión tanto administrativa como operativa.
Esta propuesta es muy importante para la constructora ya que se están

realizando todas las adecuaciones tecnológicas y de infraestructura para el ajuste
de procesos y restructuración de las distintas áreas brindando a cada uno de las
dependencias de la constructora el autocontrol, basándose en reglas y controles
claros que definan el mantenimiento de las mismas, evitando los reprocesos de
área; mejorando así los objetivos claros establecidos en el CORE del negocio.
Es fundamental para la empresa la implementación del sistema de gestión de

seguridad de la información porque aparte de salvaguardar el activo más
importante, se puede tener a la mano la asesoría necesaria y el apoyo continuo
que fundamenta el ciclo PHVA.
23
2.4. OBJETIVOS
1.4.1 General
Diseñar y desarrollar un Sistema de Gestión de la Seguridad de Información

basados en la norma internacional ISO/IEC 27001:2013.
1.4.2. Específicos
 Analizar la situación actual de la constructora, con relación a la gestión de

seguridad de la información.
 Definir la metodología a trabajar para la identificación y clasificación de los

activos de la información.
 Realizar una valoración y tratamiento de los riesgos y amenazas posibles en la

constructora.
 Realizar capacitaciones con base a las técnicas y herramientas que se

utilizaran en el sistema de gestión de la información.
24
3. MARCO REFERENCIAL
3.1. MARCO LEGAL
En el momento en que sea aprobada la implementación de un SGSI, es

importante tener en cuenta la legislación que regula todo y cada uno de los temas
concernientes a este proceso.
 ISO/IEC 27001:2005
Publicada el 15 de octubre de 2005, es la norma principal de la familia de la

ISO27000, y contiene los requisitos básicos que debe tener todo sistema de
gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es
la norma sobre la cual se certifican, por auditores externos, los SGSI de las
organizaciones. A pesar de no ser obligatoria la implementación de todos los
controles, se debe argumentar la no aplicabilidad de los controles no
implementados. Recomienda el uso del ciclo Plan – Do – Check – Act para el
diseño de un SGSI.
La norma ISO 27001:2000 contiene las recomendaciones para el

aseguramiento de la información que se basan en las mejores prácticas de
seguridad, esta norma es una evolución del estándar británico BS 7799 en su
primera versión, no es certificable, pero debe ser adoptado por las organizaciones
que quieran obtener la certificación BS7799-2:2002; cubre aspectos como el
manejo de equipos, la administración de políticas, los recursos humanos y los
aspectos legales entre otros.
Esta norma se basa en 10 Dominios de control:
 Política de seguridad
 Organización de la seguridad
25
 Clasificación y control de recursos
 La seguridad del personal
 La seguridad física y ambiental.
 Administración de comunicaciones y operaciones
 Control de acceso
 Desarrollo y mantenimiento de sistemas
 Plan de continuidad del negocio
 Cumplimiento de normatividad legal
Cada dominio busca cumplir con unos objetivos que suman 56 en total. Para
cumplir los objetivos se deben evaluar 127 controles que son las recomendaciones
de la norma, las organizaciones deciden si adoptar o no el control dependiendo del
nivel de seguridad que desean para sus activos informáticos.
Esta norma está dividida en once dominios de control, 39 objetivos y 133

controles. Los dominios presentados abarcan: política de seguridad, organización
de la seguridad de la información, gestión de activos, control de acceso, seguridad
de los recursos humanos, cumplimiento, seguridad física y del entorno,
adquisición, desarrollo y mantenimiento de sistemas de información, gestión de las
comunicaciones y operaciones, gestión de la continuidad del negocio y gestión de
incidentes de seguridad de la información.
 ISO/IEC 27002:2005
Describe los objetivos de control y controles recomendables en cuanto a

seguridad de la información con 11 dominios, mencionados en la ISO 27001, 39
objetivos de control y 133 controles. Los dominios a tratar son los siguientes:
 Políticas de Seguridad
 Organización de la seguridad de la información
 Gestión de activos
26
 Seguridad de los recursos humanos
 Seguridad física y ambiental
 Gestión de comunicaciones y operaciones
 Control de accesos
 Sistemas de información, adquisición, desarrollo y mantenimiento
 Gestión de incidentes de seguridad de la información
 Gestión de continuidad del negocio
 Cumplimiento
 Circular G140-2009-SBS
La circular G-140-2009-SBS, elaborada en abril del 2009 por la

Superintendencia de Banca y Seguros, obliga a las entidades financieras que son
reguladas por este organismo a establecer, mantener y documentar un Sistema de
Gestión de Seguridad de la Información (SGSI) tomando como referencia la ISO
17799 e ISO 27001. El objetivo de implementar el SGSI es de brindar seguridad a
los activos de información más importantes como resultado del análisis de riesgo y
sobre todo cumpliendo con las expectativas de todos los interesados del sistema,
clientes, comunidad, estado, proveedores, y la misma entidad financiera entre
otros. Los controles con los que cuenta la circular, especificados en el artículo 5º,
son los siguientes:
 Seguridad lógica
 Seguridad de personal
 Seguridad física y ambiental
 Inventario de activos y clasificación de la información
 Administración de las operaciones y comunicaciones
 Adquisición, desarrollo y mantenimiento de sistemas informáticos
 Procedimientos de respaldo
 Gestión de incidentes de seguridad de información.
27
 Cumplimiento normativo
3.2. MARCO TEÓRICO
Para el desarrollo e implementación de un SGSI se utilizarán conceptos

referentes a la seguridad que será aplicada en la constructora.
 Seguridad de la información: Comprende todas las medidas

preventivas encaminadas a proteger y garantizar la confidencialidad,
disponibilidad, integridad y trazabilidad de la información.
Dentro de esta, se tratan los riesgos, las amenazas, el análisis de

escenarios, las buenas prácticas de los procesos tecnológicos
gestionados en una organización, enfocados a incrementar y mantener el
nivel de confianza en lo que compete al tratamiento de la información.
 Seguridad Informática: Corresponde a las prácticas ejecutadas para la

protección de los sistemas informáticos y los usuarios de estos.
La seguridad informática se logra mediante la implementación de

políticas de seguridad, el uso de herramientas para la defensa de la
información, como lo son: el antivirus, firewalls, detección de intrusos,
detección de anomalías, entre otros, y con las prácticas de gobierno de
tecnologías de información, en las que se especifica el cómo actuar y
tratar las posibles fallas en el momento en que la información se
encuentre en riesgo.
28
 Estándar RFC2196: Es uno de los principales estándares para la
seguridad de la información que como característica principal propone
que la puesta en marcha de este, se logre mediante procedimientos
descritos, publicación de guías u otros medios prácticos a consideración
de la organización, igualmente propone la inclusión de herramientas de
seguridad que garanticen el cumplimiento de las acciones relacionadas,
se detecten errores y se asignen responsables para cada posible
situación.
 Implementación SGSI: De acuerdo a lo planteado en la ISO 27001, la

seguridad de la información, reside en la preservación de la
confidencialidad, integridad y disponibilidad de los datos, así como los
sistemas comprometidos en su tratamiento.
 Paso para implementar un SGSI: Como se mencionó anteriormente

para establecer y gestionar un Sistema de Gestión de la Seguridad de la
Información basado en la ISO 27001, se utiliza el ciclo continuo PHVA.
Se contemplan las fases descritas a continuación:
 La Fase “Plan” (Planificación). Corresponde al establecimiento de los

objetivos de seguridad de la información y selección de los controles
adecuados de seguridad.
 La Fase “Hacer” (Implementación). Esta etapa es la ejecución de todo

lo planificado en la anterior fase. Se indica cómo se debe manejar el
sistema en pro de las políticas, controles y procedimientos
correspondientes.
 La Fase "Verificar" (Revisión). Es aquí en donde se realiza el

monitoreo del SGSI mediante diversos “conductos” y comprobar si los
resultados cumplen los objetivos establecidos.
29
 La Fase "Actuar" mantenimiento y mejora. Corresponde a la
realización de todas las acciones de prevención y corrección del
SGSI, con el fin de garantizar la mejora continua del mismo.
Figura 1. Modelo PHVA aplicado a los procesos de un SGSI.
Fuente: ISO/IEC. International Standard ISO/IEC 27000: Information Technology - Security

Techniques - Information Security Management Systems - Overview and Vocabulary. Geneva: ISO
Copyright Office. 2014.
3.3. MARCO CONCEPTUAL
En esta parte se presentarán algunas definiciones importantes relacionadas al

SGSI que se busca implementar.
 Riesgos Informáticos. El riesgo informático se define como "la probabilidad de

que una amenaza en particular expone a una vulnerabilidad que podría afectar
a la organización", o como "la posibilidad de que algo pueda dañar, destruir o
revelar datos u otros recursos". El riesgo va inherente a una serie de términos
30
que se describen a continuación para poder tener una mejor concepción de su
significado en el contexto de la seguridad de la información; entre ellos se
encuentran:
 Evento: Es una situación que es posible pero no certera. En el contexto de

la evaluación de riesgos es siempre un evento futuro y tiene influencia
directa o indirecta sobre el resultado. Un evento (nuevamente en este
contexto) se trata como un suceso negativo y representa algo indeseado.
 Activo: Representa el objetivo directo o indirecto de un evento. El resultado
siempre tiene una consecuencia directa el cual es aplicado al activo. Un
activo es algo valioso para una organización y en el contexto de seguridad
informática están constituidos por el software, el hardware, las aplicaciones,
las bases de datos, las redes, copias de seguridad e incluso las personas.
 Resultado: Es el impacto del evento. En el contexto de la seguridad

informática siempre será una circunstancia no deseada como una pérdida o
pérdida potencial. Esta pérdida siempre tiene un efecto directo en una
mayor parte del activo.
 Probabilidad: Posibilidad o frecuencia de que un evento ocurra sobre un

activo.
 Gestión del Riesgo. Implica todas las acciones fundamentadas y orientadas a

garantizar el funcionamiento de un sistema informático; abarcando la seguridad
de la información, minimizando el impacto de los riesgos y de las amenazas
existentes.
 Vulnerabilidad: Es una falla o debilidad en los procedimientos, diseño,

implementación o controles internos en un sistema de seguridad. Es cualquier
ocurrencia potencial que pueda causar un resultado indeseado para una
organización o para un activo en específico.
31
 Amenaza: Es el potencial que un intruso o evento explote una vulnerabilidad
específica. Es cualquier probabilidad que pueda ocasionar un resultado
indeseable para la organización o para un activo en específico.
Son acciones que puedan causar daño, destrucción, alteración, pérdida o

relevancia de activos que podrían impedir su acceso o prevenir su
mantenimiento.
 Impacto: Se refiere a la cantidad de daño que puede causar una amenaza que
explote una vulnerabilidad.
Para una adecuada gestión de la administración de riesgos, se recomiendan los

siguientes aspectos:
 La evaluación de los riesgos inherentes a los procesos informáticos.

 La evaluación de las amenazas o causas de los riesgos.
 Los controles utilizados para minimizar las amenazas a riesgos.
 La asignación de responsables a los procesos informáticos.
 La evaluación de los elementos del análisis de riesgos.
 Estándar ISO/IEC 27001:2013. La ISO y la IEC (ISO/IEC) constituyen un

sistema que se encarga de crear normalizaciones a nivel mundial, donde los
organismos miembros de diferentes nacionalidades participan en el proceso de
desarrollo de las normas. Para el campo de las TIC han establecido el comité
ISO/IEC JTC 1, y específicamente para el sistema de gestión de la seguridad
de la información han establecido la familia de normas o estándares ISO/IEC
27000.
Dentro de esta familia ISO/IEC 27000 de estándares de seguridad de la

información, se encuentran los siguientes:
32
 Integridad: Estado de un objeto o individuo al poseer todas sus características
sin alteración alguna.
 Ingeniería social: Labor enfocada a logar información de las personas

mediante prácticas relacionadas con la comunicación y la aplicación de
engaños.
 Modelo de Seguridad: Es un modelo que abarca pautas procedimentales

tenientes a mantener el control dado el uso de los sistemas informáticos.
 Políticas de Seguridad: Lineamientos que rigen la seguridad de la información.
 Riesgo: Es la probabilidad de sufrir un daño o pérdida. Se mide en términos de

impacto y probabilidad de ocurrencia
 Tolerancia a fallos: Capacidad de responder a un suceso inesperado.
 Trazabilidad: Habilidad del sistema para establecer quién, cómo y cuándo se

hizo a fin de detectar posibles incidentes de seguridad de la información.
Tabla 3. Familia de estándares ISO/IEC 27000.
33
Fuente: http://www.iso27001security.com/index.htmr.
3.4. MARCO CONTEXTUAL
HISTORIA
Visión:
Misión:
ORGANIGRAMA
34
Constructora Roa Leiva S.A.S., presenta el siguiente organigrama.
Figura 2. Organigrama de la Constructora Roa Leiva S.A.S
3.5. MARCO TECNOLOGICO
La Constructora Roa Leiva S.A.S posee una infraestructura tecnológica

desarrollada para soportar toda su estructura académica y administrativa en la
sede principal en Neiva.
Posee un cableado estructurado que abarca a todas las dependencias y

oficinas, así como la cobertura de datos inalámbrica. Su modelo de conexión
básicamente es un modelo Cliente-Servidor. Posee varios servidores donde se
ejecutan los servicios y almacenamiento de la información.
35
4. DISEÑO METODOLOGICO
4.1. LINEA DE INVESTIGACION
La metodología que se implementó en la siguiente propuesta, fue basada en los

planteamientos definidos con referente a la Seguridad de la Información y Diseño
de Sistemas de Gestión de Seguridad de la Información.
Lo que principalmente buscamos; es realizar un SGSI que brinde seguridad y

protección a la información sensible de los grupos de interés de la constructora y
prevenir la ocurrencia e impacto de amenazas y riesgos.
4.2. TIPO DE INVESTIGACION
4.2.1. Investigación Exploratoria: A través de la entrevista y

observación se busca encontrar datos que permitan el
diagnóstico inicial sobre el manejo de la información que se
pretenden proteger al igual que los mecanismos de control y
seguridad al interior de la misma.
Teniendo en cuenta lo anterior, es importante conocer los
procedimientos actuales y el plan estratégico establecido por la
constructora.
4.2.2. Investigación Descriptiva: Lo que logramos con este tipo de

análisis es verificar la delimitación de los hechos que conforman
el problema de investigación, como lo son:
 Establecer características propias como unidad de

investigación (número de equipos de cómputo,
aplicaciones utilizadas, número de usuarios, etc.).
36
 Identificar conductas, actitudes de las personas que se
encuentran en el universo de investigación
(comportamientos sociales, preferencias, etc.)
 Descubrir y comprobar la posible asociación de las

variables de investigación.
4.3. AREA DE INVESTIGACIÓN
La presente propuesta esta agrupada dentro del área de conocimiento: Gestión

de la Seguridad Informática, específicamente en, Sistema de Gestión de
Seguridad de la Información “SGSI” basado en la norma ISO/IEC 27001:2013 y
gestión del riesgo informático.
La gestión del riesgo contempla el análisis, valoración y clasificación del riesgo

con el fin de hallar los controles apropiados para contrarrestar dichos problemas
encontrados.
Se implementarán los siguientes pasos, como lo son:
 Análisis: Mediante esta acción es posible establecer que partes del sistema
necesitan protección, además, identificar cuáles son las vulnerabilidades y
amenazas y reconocer el grado de riesgo al que se enfrentan.
 Clasificación: Se categoriza el riesgo y el nivel de aceptación.
 Reducción y control: corresponde a labores de sensibilización del usuario y
al análisis de la efectividad de las medidas seleccionadas.
4.4. Técnicas e Instrumentos De Recolección De Información
Para esta propuesta se tendrá en cuenta el uso de todas las fuentes

bibliográficas posibles relacionadas con el Diseño e Implementación de un SGSI
37
basado en la norma ISO/IEC 27001:2013, esto con el fin de establecer
antecedentes que sustenten la investigación.
Las técnicas de recolección de datos elegidas para el desarrollo de esta

investigación son: La observación, encuesta y entrevista.
 Observación: Esta técnica permite entrar en contacto directo con los

profesionales de informática y una investigación continúa de los
procedimientos reales sucedidos en el sistema.
 Entrevista Estructurada: Mediante preguntas precisas es posible
socializar la temática de investigación y conocer el punto de vista de las
diferentes partes involucradas, además, permite registrar de forma
estandarizada datos sobre seguridad informática y procedimientos
ejecutados por la organización.
 Encuesta: Debido a su estructura con preguntas de múltiples opciones
referentes a la seguridad informática es posible conocer la posición de
las personas involucradas frente a la problemática y también saber el
grado de conocimiento de las mismas respecto a la temática tratada en
esta investigación.
http://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/11980/1/79218306.pdf
http://repositorio.autonoma.edu.co/jspui/bitstream/11182/976/1/SGSI
%20CARDER%20-%20Informe%20Final.pdf
http://repository.poligran.edu.co/bitstream/handle/10823/994/Trabajo
%20Final.pdf?sequence=1&isAllowed=y
5. MODELO DE MADUREZ
38
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI
consiste en desarrollar un método de asignación de puntos para que una
organización pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este
planteamiento se basa en el Modelo de Madurez que el Software Engineering
Institute definió para la madurez de la capacidad de desarrollo de software.
Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo
que haría que el sistema fuera difícil de usar y sugeriría una precisión que no es
justificable.
Por tanto, se extrae para generar el siguiente cuadro que explica en qué estado
se encuentran los procesos en la organización para cualificarlos en la
presentación de procesos con relación al modelo de madurez.
MODELO GENÉRICO DE MADUREZ

Inexistente. Total, falta de un proceso reconocible. La organización ni siquiera
ha reconocido que hay un problema que resolver.
Inicial. Hay evidencia de que la organización ha reconocido que los problemas
existen y que necesitan ser re sueltos. Sin embargo, no hay procesos
estandarizados, pero en cambio hay métodos ad hoc que tienden a ser
aplicados en forma individual o caso por caso. El método general de la
administración es desorganizado.
Repetible. Los procesos se han desarrollado hasta el punto en que diferentes
personas siguen procedimientos similares emprendiendo la misma tarea. No hay
capacitación o comunicación formal de procedimientos estándar y la
responsabilidad se deja a la persona. Hay un alto grado de confianza en los
conocimientos de las personas y por lo tanto es probable que haya errores.
Definida. Los procedimientos han sido estandarizados y documentados, y
comunicados a través de capacitación. Sin embargo, se ha dejado en manos de
la persona el seguimiento de estos procesos, y es improbable que se detecten
desviaciones. Los procedimientos mismos no son sofisticados sino que son la
formalización de las prácticas existentes.
Administrada. Es posible monitorear y medir el cumplimiento de los
procedimientos y emprender acción donde los procesos parecen no estar
39
funcionando efectivamente. Los procesos están bajo constante mejoramiento y
proveen buena práctica. Se usan la automatización y las herramientas en una
forma limitada o fragmentada
Optimizada. Los procesos han sido refinados hasta un nivel de la mejor
práctica, basados en los resultados de mejoramiento continuo y diseño de la
madurez con otras organizaciones. TI se usa en una forma integrada para
automatizar el flujo de trabajo, suministrando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte con rapidez
La ventaja de un enfoque de Modelo de Madurez es que es relativamente fácil

para la administración ponerse en la escala y apreciar lo que está involucrado si
necesita mejorar el desempeño. La escala incluye 0 a 5 porque es bastante
probable que no exista ningún proceso en absoluto. Ya se basa en una escala
simple de madurez donde 0 es el número más bajo, y 5 es el número más alto,
que muestra cómo evoluciona un proceso desde Inexistente hasta optimizado.
Debido a que son procesos de administración, la madurez y la capacidad
aumentada es también sinónimo de mayor manejo del riesgo y eficiencia.
Directrices Gerenciales
Las escalas del Modelo de Madurez ayudarán al profesional a explicar a los

administradores dónde existen deficiencias en la administración de TI y a fijarse
objetivos para donde necesitan estar comparando las prácticas de control de su
organización con los ejemplos de la mejor práctica. El nivel correcto de madurez
estará influenciado por los objetivos de negocio y el entorno operativo de la
empresa. Específicamente, el nivel de madurez de control dependerá de la
dependencia de TI que tenga la empresa, de la sofisticación de la tecnología y, lo
que es más importante, del valor de su información.
Un punto estratégico de referencia para que una organización mejore la

seguridad y el control podría consistir también en mirar las normas internacionales
que surgen y las mejores prácticas de su clase. Las prácticas actuales que surgen
40
pueden llegar a ser el nivel esperado de desempeño de mañana y es por lo tanto
útil para planificar dónde quiere una organización estar en el tiempo.
Los Modelos de Madurez se construyen a partir del modelo genérico cualitativo

a los que se agregan las prácticas y los principios de los dominios siguientes de
forma creciente a través de todos los niveles:
 Entendimiento y conocimiento de los riesgos y de los problemas de control

 Capacitación y comunicación aplicadas a los problemas
 Proceso y prácticas que son implementados
 Técnicas y automatización para hacer los procesos más efectivos y eficientes
 Grado de cumplimiento de la política interna, las leyes y las
reglamentaciones
 Tipo y grado de pericia empleada.
6. DESARROLLO DE LA PROPUESTA
6.1. Soporte De La Dirección
Roa Leiva
Oficina De Sistemas Y Telecomunicaciones Constructora Roa Leiva S.A.S

Propuesta Para El Diseño De Un Sistema De Gestión De La Seguridad De La
Información Mediante La Aplicación Del Estándar ISO/IEC 27001:2013
Propósito
41
El propósito de este documento es establecer una propuesta para el Diseño de
un Sistema de Gestión de la Seguridad de la Información mediante la aplicación
del estándar ISO/IEC 27001:2013.
Razones
Las razones principales de esta propuesta mediante el estándar ISO/IEC

27001:2013 son:
 Establecer un punto de partida para la implementación de un Sistema de

Gestión de la Seguridad de la Información que garantice la confidencialidad,
integridad y disponibilidad de la información, asumiendo niveles de riesgos
aceptables.
 Comprender la importancia y beneficios que ofrece un Sistema de Gestión de
la Seguridad de la Información en la optimización de los procesos
institucionales.
 Cumplir con las leyes y regulaciones a las cuales está sujeta la institución.
Objetivos De La Propuesta
Los objetivos principales de la propuesta son:
 Diseñar o planear un Sistema de Gestión de la Seguridad de la Información

mediante el estándar ISO/IEC 27001:2013.
 Realizar una clasificación de los activos informáticos y establecer sus
niveles de riesgos de acuerdo a una metodología de análisis y evaluación
de riesgos sistemática.
 Elaborar un Plan de Tratamiento de Riesgos donde se definan los controles
de seguridad a implementar.
42
 Identificar los procesos y servicios críticos en la institución y elaborar un
Plan de Continuidad del Negocio para eventos de emergencia.
Duración Y Estructura De La Propuesta
El diseño de la propuesta solamente corresponde a la fase de planeación del

Sistema de Gestión de la Seguridad de la Información. No se implementan
controles de seguridad, ni se elabora la documentación respectiva de las fases
subsiguientes. Dentro de esta fase de planeación se desarrollan las siguientes
actividades:
N° ACTIVIDAD FECHA INICIO FECHA FINAL

1 Análisis Diferencial 15-01-2017 10-07-2017
2 Políticas de Seguridad de la
15-02-2017 10-08-2017
Información
3 Análisis y Evaluación de
15-03-2017 10-09-2017
Riesgos
4 Selección de Controles de
15-04-2017 10-10-2017
Seguridad
5 Declaración de Aplicabilidad 15-05-2017 10-11-2017
6 Plan de Tratamiento de
15-06-2017 10-12-2017
Riesgos
Responsabilidades
Esta propuesta será liderada por el Jefe de la Oficina de Sistemas y

Telecomunicaciones y Líder del Desarrollo del Proceso Tecnológico, el Líder para
la planeación del Sistema de Gestión de la Seguridad de la Información y los
funcionarios miembros del área.
Recursos
Los recursos incluidos para la planeación del Sistema de Gestión de la Seguridad

de la Información están catalogados en Humanos y Técnicos.
43
 Humanos: Funcionarios de la oficina de Sistemas y Telecomunicaciones.
 Técnicos: Herramientas de ofimática (procesador de texto, hojas de
cálculo).
 Otros: Documentos del estándar ISO/IEC 27001:2013, ISO/IEC
27002:2013 y documentación correspondiente a las metodologías de
análisis y evaluación de riesgos.
Entregables
Para esta fase de planeación del Sistema de Gestión de la Seguridad de la

Información, los documentos entregables serán los siguientes:
 Definición del alcance del Sistema de Gestión de la Seguridad de la

Información.
 Políticas de la Seguridad de la Información.
 Metodología de Análisis, Evaluación y Tratamiento de Riesgos.
 Declaración de Aplicabilidad.
 Plan de Tratamiento de Riesgos.
 Plan de Continuidad del Negocio.
6.2. Alcance Del Sistema De Gestión De La Seguridad De La

Información
Oficina De Sistemas Y Telecomunicaciones

Constructora Roa Leiva S.A.S
Alcance Del Sistema De Gestión De La Seguridad De La Información
44
Roa Leiva
Propósito, Alcance Y Usuarios
El propósito de este documento es definir claramente el alcance y límite de la

planeación del Sistema de Gestión de la Seguridad de la Información en la oficina
de Sistemas y Telecomunicaciones de la Constructora Roa Leiva S.A.S.
Este documento es aplicable a toda la documentación y actividades relativas a

la planeación del SGSI en cuestión e involucra a todos los funcionarios de la
oficina de Sistemas y Telecomunicaciones y sus áreas de apoyo, incluyendo al
Líder del Proceso de Desarrollo Tecnológico y Líder de la planeación del SGSI.
Documentos De Referencia
 Estándar ISO/IEC 27001:2013, cláusula 4.3.

 Lista de la documentación legal, regulatoria y contractual (Ley 1273 de
2009 [Ley de Delitos Informáticos en Colombia] y Decreto 2573 de 2014
[Estrategia de Gobierno en Línea]).
Definición Del Alcance Del SGSI
La oficina de Sistemas y Telecomunicaciones de la Constructora Roa Leiva

S.A.S., necesita establecer los límites de la planeación del SGSI con el fin de
proteger sus activos informáticos que prestan el servicio a la institución.
45
Con el fin de alcanzar este objetivo, se ha propuesto desarrollar la fase de
planeación de un SGSI mediante el estándar ISO/IEC 27001:2013 teniendo en
cuenta las leyes y regulaciones que cobijan a la Constructora Roa Leiva S.A.S,
como lo es la Ley 1273 de 2009 (Ley de Delitos Informáticos en Colombia) y el
Decreto 2573 de 2014 (Estrategia de Gobierno en Línea).
Esta fase de planeación del SGSI comprenderá las siguientes áreas:
 Oficina de Sistemas y Telecomunicaciones: Comprende el personal

administrativo, sus activos informáticos y toda la infraestructura que le
presta servicios de TI a la institución.
 Oficina de G-RED: Comprende el personal administrativo y los activos
informáticos que se utilizan para llevar a cabos sus actividades diarias y el
servicio que le prestan a la institución.
6.3. Análisis Diferencial
La norma o estándar ISO/IEC 27001:2013 requiere el cumplimiento de juicios

para establecer, implementar, mantener y mejorar continuamente el Sistema de
Gestión de la Seguridad de la Información (SGSI) en el contexto de una
organización.
Para verificar el estado actual del cumplimiento del estándar ISO/IEC

27001:2013 de la oficina de Sistemas y Telecomunicaciones de la Constructora
Roa Leiva S.A.S, se realiza un Análisis Diferencial de los numerales
obligatorios 4 al 10 (Requisitos de la Norma ISO/IEC 27001:2013) y del
(Dominios, Objetivos de Control y Controles de Seguridad). Este análisis permite
comparar las condiciones actuales con el fin de encontrar las deficiencias
existentes y el nivel de cumplimiento en base al estándar y desarrollar un plan de
mejoramiento de acuerdo a los objetivos de seguridad deseados.
46
Requisitos de la Norma ISO/IEC 27001:2013. Para que una organización esté
conforme al estándar ISO/IEC 27001:2013, no se deben excluir ninguno de los
requisitos especificados en los numerales 4 al 10.
A continuación, se muestran los resultados del nivel de conformidad y

cumplimiento de estos requisitos.
Tabla 7. Requisito de la Norma ISO/IEC 27001:2013.
Fuente:.NTC-ISO-IEC 27001. Requisitos. Bogotá: ICONTEC. 2013. p. 9.
De esta manera, el nivel de cumplimiento para cada uno de los requisitos

mínimos de la norma ISO/IEC 27001:2013 se resume de la siguiente manera:
Tabla 8. Nivel de Cumplimiento de los Requisitos de la Norma ISO/IEC 27001:2013.
47
Fuente: El Autor.
Y el nivel de cumplimiento general que se tiene actualmente referente a estos

requisitos mínimos es el siguiente:
Figura 3. Nivel de Cumplimiento de los Requisitos Mínimos de la Norma ISO/IEC 27001:2013.
Fuente: El Autor.
Mediante este Análisis Diferencial es posible determinar que la oficina de

Sistemas y Telecomunicaciones de la Constructora comprende la importancia y
beneficios de un SGSI y posee el liderazgo necesario para realizarlo; sin embargo,
aún no se ha establecido formalmente una metodología de análisis y evaluación
de riesgos informáticos y su tratamiento, así como tampoco ningún documento
requerido por el estándar ISO/IEC 27001:2013. Por otra parte, se comprende la
48
necesidad de alinear el SGSI con el proceso de desarrollo tecnológico llevado a
cabo en la constructora.
6.4. Políticas De Seguridad De La Información
Oficina De Sistemas Y Telecomunicaciones
Constructora Roa Leiva S.A.S
Políticas De La Seguridad De La Información
Roa Leiva
Propósito, Alcance Y Usuarios
La oficina de Sistemas y Telecomunicaciones de la Constructora Roa Leiva

S.A.S., se comprometerá a proteger los pilares fundamentales de la seguridad
informática como lo son la Confidencialidad, Integridad y Disponibilidad de la
información, así como todos sus recursos y activos informáticos que garantice el
cumplimiento de sus funciones y los requerimientos reguladores, operacionales y
contractuales.
Este documento será aplicado a todo el Sistema de Gestión de la Seguridad de la
Información de acuerdo a lo definido en su alcance y será de conocimiento público
para todos los funcionarios.
Documentos De Referencia
Los documentos de referencia son los siguientes:
 Estándar ISO/IEC 27001:2013, cláusulas 5.2 y 5.3.
49
 Documento del Alcance del Sistema de Gestión de la Seguridad de la
Información.
 Documento de Metodología del Análisis, Evaluación y Tratamiento de Riesgos.
 Documento de Declaración de Aplicabilidad.
 Lista de documentación legal, requerida y contractual.
 Documento de la Política de la Continuidad del Negocio.
Estrategia De Seguridad De La Información
Se implementará una estrategia y un marco de trabajo que gestione los riesgos

a los que está expuesta la información, así como sus activos informáticos a través
de guías, procedimientos, evaluaciones y controles que permitan mantener y
cumplir esta política de seguridad.
Se garantizarán los planes de continuidad, copias de seguridad de la
información sensitiva, protección y defensa contra el software malicioso, control de
acceso físico y lógico, transmisión segura de datos, acceso remoto seguro y
reporte de incidentes.
Objetivos Generales
En su compromiso de proteger la Confidencialidad, Integridad y Disponibilidad

de la información, la oficina de Sistemas y Telecomunicaciones tendrá como
objetivos generales los siguientes:
 Garantizar el cumplimiento de las regulaciones, leyes y lineamientos actuales.

 Garantizar la Confidencialidad, Integridad y Disponibilidad de la información de
los estudiantes, docentes, administrativos, entre otros usuarios, así como los
datos catalogados como confidenciales, privados y sensitivos.
 Establecer controles físicos y lógicos en los activos informáticos para prevenir
el ingreso, modificación, robo y/o divulgación de la información de personas no
autorizadas.
50
 Garantizar la disponibilidad y confiabilidad de la estructura y servicios de
transmisión de datos.
 Garantizar la continuidad, operación y prestación de servicios de la institución
en caso de incidentes mayores de seguridad.
 Motivar al personal en la seguridad de información con el fin de minimizar
riesgos.
Alcance E Importancia
El presente documento establece la Política de Seguridad de la información

únicamente de la oficina de Sistemas y Telecomunicaciones de la Constructora
Roa Leiva S.A.S., en pro de ayudar a conseguir los objetivos institucionales.
Esta oficina que administrativamente depende de la Unidad de Planeación y

Desarrollo, juega un papel clave en el normal desarrollo de los procesos
académicos y administrativos, brindando soporte tecnológico a toda la institución;
por esto es imprescindible cumplir a cabalidad las Políticas de Seguridad de la
Información establecidas en el presente documento.
Definiciones
Con el fin de entender esta política, a continuación, se definen algunos

conceptos básicos:
 Confidencialidad: Protege a la información de que esté disponible a

usuarios, entidades o procesos no autorizados.
 Integridad: Permite que la información sea correcta y que no haya sido
alterada por usuarios, entidades o procesos no autorizados.
 Disponibilidad: Permite que la información esté disponible solamente a los
usuarios autorizados en el tiempo que lo requieran.
51
 Autenticidad: Permite que la información transmitida o intercambiada
provenga de fuentes auténticas y de quiénes dicen ser que son.
 No Repudio: Garantizar que la transferencia de un mensaje ha sido
enviado y recibido por entidades que son quienes dicen ser.
 Activo: Es cualquier recurso que genere valor para la institución. Dentro de
los activos informáticos se encuentran las bases de datos, sistemas
operativos, software, aplicaciones, códigos fuentes, dispositivos de redes y
comunicaciones, etc.
 Vulnerabilidad: Es una falla presente en un activo y que pueda ser
explotada por intrusos.
 Amenaza: Es la probabilidad de que ocurra un hecho indeseado y que
tenga un efecto negativo sobre un activo.
 Riesgo: Es la probabilidad de que se materialice una amenaza y determine
el nivel de impacto en una organización.
 Control: Son medidas que se implementan con el fin de mitigar los riesgos.
Responsabilidad
Cada persona administrativa de la oficina de Sistemas y Telecomunicaciones

velará por la seguridad de los activos informáticos que están a su disposición, así
como se comprometerá a seguir los lineamientos estipulados en este documento
de una manera satisfactoria y de acuerdo a las reglamentaciones contractuales.
El no actuar con responsabilidad frente a la Política de la Seguridad de la

Información, será sancionado de acuerdo al código ético de la Constructora Roa
Leiva S.A.S.
Procedimientos En Incidentes De Seguridad
52
Si la persona administrativa detecta que ha sido violado un procedimiento
referente a las Políticas de Seguridad establecidas en este documento, deberá
informarlo inmediatamente al líder de la oficina de Sistemas y Telecomunicaciones
mediante un documento formal reportando el incidente, posibles causas y fallas
que podrían haberlo generado, así como las recomendaciones y/o controles para
mitigarlo.
6.5. CRONOGRAMA
7. PLANES DE ACCIÓN.
53
Los controles que se sugieren implementar para mitigar los riesgos identificados
en la fase de “evaluación y priorización de riesgos”, así como sus responsables y
tiempos aproximados de implementación se pueden encontrar en los planes de
acción.
Plan de Acción: Evaluar riesgo.
El plan de acción satisface los requerimientos del negocio en el momento de

verificar y auditar las decisiones de la gerencia a través del logro de los objetivos
del departamento de Informática y Tecnología, así como responder a las
amenazas reduciendo su complejidad incrementando su objetividad e identificando
factores de decisión importantes lo que hace posible la intervención directa de la
empresa en un todo colaborándole al área en la evaluación del impacto que cada
uno de los cambios planteados en el modelo conllevan, involucrando funciones a
cada uno de los miembros de la organización tomando en consideración diferentes
tipos de riesgos que estructuran el plan de riesgos.
 Controles a Implementar: Políticas y Procedimientos de Evaluación de

riesgos: La administración deberá implementar unas reuniones gerenciales
para asegurarse que dentro de la organización existan direcciones claras en
todas las iniciativas de seguridad, que se aplique una metodología continua y
que con frecuencia se llevan a cabo las evaluaciones correspondientes al ciclo
de vida del SGSI teniendo en cuenta todo el equipo multidisciplinario para
mantener actualizadas las evaluaciones de riesgos, resultados de auditorías
inspecciones e incidentes. Este control debe ser implementado por la
Gerencia General en un plazo no mayor a 10 meses.
 Revisiones de Grupos Especializados: La Gerencia General debe solicitar

la revisión de grupos especializados externos para que ellos realicen la
verificación tanto de las normas establecidas por el auditor interno como por la
Vicepresidencia de Informática y Tecnología de esta manera se le dará total
54
continuidad y trasparencia al proceso. Este control debe ser implementado por
Gerencia General y Departamento de Informática y Tecnología en un plazo no
mayor a 6 meses.
 Definición de un marco referencial de Riesgos: La Gerencia General

debe establecer una evaluación sistemática de riesgos incorporando los
riesgos de la información más relevantes que hagan parte de los objetivos
de la organización y que son la base de datos fundamental para determinar
la forma en la que los riesgos deben ser manejados a un nivel aceptable.
Este control debe ser implementado por la Gerencia General en un plazo no
mayor a 3 meses.
 Procedimiento de evaluación de riesgos: La Gerencia General deberá

comprobar que los riesgos identificados hacen parte tanto de factores
externos, como de internos, así como revisar los resultados de las
auditorías internas y de las revisiones de las inspecciones e incidentes
identificados. Este control debe ser implementado por la Gerencia General
en un plazo no mayor a 5 meses.
 Reportes a la Gerencia para su revisión y acuerdo de aceptación: La

Vicepresidencia de Informática y Tecnología deberá emitir reportes
periódicos a la gerencia para su revisión y acuerdo con cada uno de los
riesgos identificados, así como crear en el área la política de la periodicidad
de los mismos. Este control debe ser implementado por la Vicepresidencia
de Informática y Tecnología en un plazo no mayor a 2 meses.
 Plan de acción: La Gerencia deberá determinar el plan de acción contra

los peligros, se debe establecer la estrategia para evitar, mitigar o aceptar
el riesgo. Este control debe ser implementado por la Gerencia General en
un plazo no mayor a 4 meses.
55
Plan de acción: Administración de la calidad.
El plan de acción satisface las exigencias del negocio cuando satisface los
requerimientos del cliente de Informática y Tecnología, se hace posible a través de
la planeación, implementación y mantenimiento de estándares y sistemas de
administración que estén presentes en las diferentes fases del desarrollo con
entregables de usuario claros y con responsabilidades explicitas en el modelo; se
busca establecer con el control una cultura de calidad y se hace un entrenamiento
al usuario final con los planes de calidad y sus responsabilidades de
aseguramiento de la misma estableciendo buenas prácticas de control de calidad.
Controles a Implementar:
 Políticas y procedimientos relacionados con el aseguramiento de la

calidad: La organización deberá desarrollar y revisar periódicamente las
políticas de administración consistente con el plan general de la calidad
formalmente definida y documentada. Este control debe ser implementado
por la Vicepresidencia de Informática y Tecnología en un plazo no mayor a 1
mes.
 Metodología del ciclo de vida de desarrollo de sistemas: El departamento

de Informática y Tecnología deberá fijar, realizar y documentar la
metodología adecuada para el ciclo de vida en el desarrollo de los sistemas
tanto adquiridos como desarrollados internamente. Este control debe ser
implementado por la Vicepresidencia de Informática y Tecnología en un
plazo no mayor a 2 meses.
 Marco Referencial de adquisición y mantenimiento para la

infraestructura de tecnología: El departamento de Informática y Tecnología
deberá construir un marco referencial que incluya pasos a seguir para los
procesos de adquisición, programación, documentación y pruebas
56
estableciendo los parámetros y aplicación de correcciones para cada caso.
Este control debe ser implementado por la Vicepresidencia de Informática y
Tecnología en un plazo no mayor a 2 semanas.
 Enfoque de aseguramiento de la calidad de la organización: La

organización deberá desarrollar una reunión de la post-implementación para
asegurar que todos los sistemas nuevos o modificados sean desarrollados y
puestos en producción verificando que el equipo de la propuesta este
siguiendo la metodología del ciclo de vida respetando siempre los
lineamientos del mismo. Este control debe ser implementado por la
Vicepresidencia de Informática y Tecnología en un plazo no mayor a 3
meses.
Plan de acción: Administrar Cambios.
El plan de acción satisface los requerimientos de minimizar la probabilidad de

interrupciones alteraciones no autorizadas y errores, se hace posible a través de
un sistema de administración que permita el análisis, implementación y
seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura
en funcionamiento del departamento de Informática y Tecnología, se toman en
consideración la identificación de los cambios, procedimientos de categorización,
priorización y emergencia, evaluación del impacto así como el rediseño de los
procesos del negocio.
Controles a Implementar:
 Control de Cambios: La Vicepresidencia de Informática y Tecnología

deberá asegurar que la administración de cambios, así como el control y la
57
distribución de todo el sistema serán integrados apropiadamente en un
sistema completo de administración de configuración siendo este un proceso
automático para soportar el registro y el seguimiento de cada actividad que
se realice. Este control debe ser implementado por la Vicepresidencia de
Informática y Tecnología en un plazo no mayor a 9 meses.
 Software instalado por el usuario: La Vicepresidencia de Informática y

tecnología deberá dar las restricciones explicitas para descargar e instalar
software por parte de los usuarios. Este control debe ser implementado por la
meses.
 Restricciones de uso del software: La organización en pleno y sin

excepción deberá obedecer y acatar las restricciones impartidas por el
departamento de TI. Este control debe ser implementado por la
meses.
 Documentación de los sistemas de información: La organización deberá

asegurar que esté disponible en todo momento y para quien solicite la
adecuada documentación para el sistema de información y sus
componentes, salvaguardarla en todo momento y solo hacer distribución de
la misma al personal autorizado. Este control debe ser implementado por la
meses.
 Políticas y procedimientos de administración de la configuración: La

organización debe desarrollar, revisar y actualizar una política de
administración de la configuración formalmente definida y documentada que
sean para facilitar la implantación de la política de administración de la
configuración y delos controles asociados. Este control debe ser
58
 Configuración básica: La organización deberá desarrollar, documentar y

mantener actualizada la configuración básica que por defecto deben manejar
cada uno de los usuarios en todos los sistemas de información
computarizados y un inventario de los componentes constitutivos del
sistema. Este control debe ser implementado por la Vicepresidencia de
 Configuración de opciones: La organización deberá configurar el ambiente

de seguridad de los productos de tecnología de información del modo más
restrictivo posible, consistente con los requisitos operacionales de los
sistemas de información. Este control debe ser implementado por la
meses.
 Bitácora de control de cambios: El área de Informática y Tecnología

deberá establecer una bitácora de control de cambios sobre los sistemas de
información computarizados. Este control debe ser implementado por la
meses.
Plan de acción: Asegurar la continuidad de los servicios.
El plan de acción satisface los requerimientos de asegurabilidad de los servicios

de TI estén permanentemente disponibles y asegurar un impacto mínimo en el
negocio en el evento que ocurra una interrupción mayor, se hace posible a través
59
de un plan de continuidad probado y funcional que este perfectamente alineado
con el plan de continuidad del negocio. Toma en consideración procedimientos
alternativos, respaldo y recuperación, clasificación con base en la criticidad,
pruebas y entrenamiento sistemático, procesos de escalamiento y monitoreo y
administración de problemas.
 Políticas y procedimientos del plan de contingencia: La organización

deberá desarrollar y revisar periódicamente una política de plan de
contingencia con el propósito de identificar los roles, responsabilidades y
cumplimiento de los mismos, así como el procedimiento documentado para
facilitar la implantación de las políticas en el plan de negocio. Este control
debe ser implementado por la Vicepresidencia de Informática y Tecnología
 Plan de contingencia: La organización debe desarrollar e implementar un

plan de contingencia para los sistemas de información y designar un veedor
para que revise y apruebe el plan de contingencia, así como distribuir las
copias del mismo al personal que interviene en el proceso. Este control debe
ser implementado por la Vicepresidencia de Informática y Tecnología en un
 Entrenamiento para la contingencia: la organización deberá capacitar de

manera eficaz al personal involucrado con el plan de contingencia con sus
roles y responsabilidades con respecto a los sistemas de información y
proveer constantemente esta capacitación para una respuesta efectiva en el
momento de crisis. Este control debe ser implementado por la
semanas.
 Probar el plan de contingencia: La organización deberá probar el plan de

contingencia para los sistemas de información, determinar si el mismo es
60
efectivo y la organización se encuentra en el punto clave para ejecutarlo.
Tecnología en un plazo no mayor a 2 meses.
 Actualización del plan de contingencia: La organización debe revisar el

plan de contingencia, los problemas detectados durante su ejecución y
prueba del mismo. Este control debe ser implementado por la
Vicepresidencia de Informática y Tecnología en un plazo no mayor a 1 mes.
 Sitio alterno de almacenamiento: La organización deberá buscar un sitio

alterno que le permita alojar la información de respaldo. La zona debe estar
geográficamente separado del sitio base para que no esté expuesto a
ninguna amenaza y debe estar configurado de manera que sea rápida,
oportuna y efectiva la recuperación de la información en caso tal que se
necesite. Este control debe ser implementado por la Vicepresidencia de
Informática y Tecnología en un plazo no mayor a 1 mes.
 Sitio alterno de procesamiento: La organización debe identificar un sitio

alterno para el procesamiento de la información e iniciar los acuerdos
necesarios que permitan reiniciar las operaciones cuando no esté disponible
el sitio primario de operaciones. El área de procesamiento debe estar
completamente configurado para soportar el mínimo de capacidad de las
operaciones aparte de estar completamente adecuado para su uso. Este
control debe ser implementado por la Vicepresidencia de Informática y
 Servicio de telecomunicaciones: La Organización debe tener un servicio

alterno de comunicaciones cuando este no esté disponible. Este control debe
plazo no mayor a 2 semanas.
61
 Backup de los sistemas de información: La organización debe respaldar y
almacenar toda la información en una ubicación completamente segura de
todos los sistemas críticos de información. Este control debe ser
 Recuperación y reconstitución de los sistemas de información: La

organización debe incluir una recuperación y reconstitución completa del
sistema de información como parte de la prueba del plan de contingencia así
mismo debe emplear mecanismos con procedimientos de soporte para
permitir que el sistema de información sea recuperado y reconstituido al
estado original del sistema después de una interrupción o falla. Este control
Plan de acción: Garantizar la seguridad de sistemas.
Salvaguardar la información contra los usos no acreditados y que la misma no

se divulgada, modificada, dañada o extraviada, se hace posible mediante
controles de acceso lógicos y programas que restrinjan el uso a los usuarios no
autorizados.
Toma en consideración requerimiento de confidencialidad y privacidad,

autenticaciones y control de acceso, identificaciones de usuario, administración de
llaves criptográficas, manejo reporte y seguimiento de incidentes, prevención y
detección de virus, herramientas para el monitoreo y pruebas y reportes de
intrusión.
Controles a implementar:
 Política y procedimientos de control de acceso: La organización debe

tener una política de control de acceso definida y documentada. Este control
62
 Revisión gerencial de cuentas de usuario: La Gerencia deberá contar con

un proceso de control para revisar y confirmar periódicamente los derechos
de acceso. Se lleva a cabo la comparación periódica entre los recursos y los
registros de las cuentas para reducir el riesgo de errores, fraudes y
alteraciones no autorizadas o accidentales. Este control debe ser
plazo no mayor a 1 mes.
 Accesos inválidos en el sistema: El sistema de información debe tener un

límite de intentos inválidos en el acceso durante un periodo de tiempo y por
seguridad realizar el bloqueo del mismo para el ingreso. Deberá hacerlo de
forma automática y solo podrá levantar dicha restricción el área de TI. Este
Tecnología en un plazo no mayor a 1 semana.
 Administración de cuentas de usuario: La gerencia deberá establecer

procedimientos para asegurar acciones oportunas relacionadas con la
solicitud, establecimiento, emisión, suspensión y cierre de cuentas de
usuario. Deberán incluirse los procedimientos de aprobación formal que
indique el propietario de los datos o del sistema que otorga a su vez los
privilegios de acceso. Este control debe ser implementado por la
meses.
 Supervisión y revisión de control de acceso: La organización deberá

revisar y supervisar las actividades de los usuarios con respecto a la
aplicación y uso de los controles de accesos a los sistemas de información.
63
Tecnología en un plazo no mayor a 1 mes.
 Acceso remoto: La Organización deberá documentar, monitorear y controlar

todos y cada uno de los métodos de acceso remoto a cada uno de los
sistemas de información para cualquier función relacionada con la empresa.
 Concientización respecto a la seguridad de TI: La organización se

asegura que todos y cada uno de los usuarios incluyendo la junta directiva
estén conscientes de la gran importancia del sistema de seguridad de la
información antes de autorizar el acceso a cualquier sistema de información.
 Entrenamiento de seguridad: La organización deberá identificar personal

con los perfiles y responsabilidades significativas en el SGSI, documentar
cada uno de estos perfiles y responsabilidades y proporcionales a los
mismos un entrenamiento acorde a su cargo. Este control debe ser
 Registros de entrenamiento de seguridad: La organización debe

monitorear y documentar las actividades de entrenamiento individual de
seguridad básico y especifico. Este control debe ser implementado por la
 Eventos auditables: El sistema de información deberá generar registros de

auditoria para los eventos de transacciones que afectan la contabilidad,
inventarios o Bancos y eventos fallidos de inicio de sesión. Este control debe
64
 Contenido de los registros de auditoria: Los sistemas de información

computarizados deben capturar suficiente información en cada uno de los
registros de auditoria para establecer que eventos ocurrieron, sus fuentes y
resultados. Este control debe ser implementado por la Vicepresidencia de
 Capacidad de almacenamiento para los Logs de auditoria: La

organización asigna suficiente capacidad de almacenamiento y configura los
registros de la auditoria para prevenir que no se excedan los espacios. Este
 Procesamiento de la auditoria: En el evento de una falla en el registro de la

auditoria el sistema de información alertara de inmediato a las personas
encargadas de salvaguardarla para que tomen las acciones necesarias. Este
 Protección de la información de auditoria: El Sistema de Información

Computarizado protege la información de acceso no autorizado,
modificación, y borrado. Este control debe ser implementado por la
 Categorización de la información: La gerencia deberá implementar

procedimientos que aseguren que todos los datos son clasificados en
términos de sensibilidad, mediante decisiones explicitas y formales, aun con
los datos que no requieran protección. Los dueños de los mismos deben
determinar la ubicación o la disposición de sus datos y determinar quiénes
65
pueden compartir los mismo. Debe quedar evidencia explicita de la
aprobación y de la disposición sobre el mismo. El esquema de clasificación
debe tener los criterios de intercambio de datos entre organizaciones
teniendo en cuenta la seguridad y el cumplimiento. Este control debe ser
implementado por la Vicepresidencia de Informática y Tecnología, Audito
Interno en un plazo no mayor a 3 meses.
 Política y procedimientos de acreditación y certificación: La

organización deberá desarrollar y periódicamente revisar y actualizar la
política de acreditación y certificación verificar que la misma este totalmente
documentada, así como los procedimientos documentados para facilitar la
implantación de las políticas de acreditación y certificación. Este control debe
 Certificación de seguridad: La organización debe dirigir una valoración de

los controles de seguridad de cada sistema de información para determinar
hasta qué punto cada control se implementa de forma correcta y que se han
estado ejecutando de la manera que se tenía planeado de acuerdo a los
requerimientos del SGSI. Este control debe ser implementado por la
meses.
 Plan de acción y logros: La organización debe desarrollar y actualizar un

plan de acción para el sistema de información que documente los planes de
la organización, implementaciones y evolución de acciones tomadas para
detectar cualquier deficiencia notada durante la valoración de los controles
de seguridad, para reducir o eliminar todas las vulnerabilidades conocidas.
66
 Monitoreo continuo: La organización debería supervisar que los controles
de seguridad se mantengan de una forma continua. Este control debe ser
 Política y procedimientos de respuesta a incidentes: La organización

debe tener desarrollada una política de respuesta a incidentes formalmente
definida y documentada para facilitar que cada procedimiento tenga una
política implantada de respuesta a incidentes. Este control debe ser
implementado por la Vicepresidencia de Informática y Tecnología, Auditor
Interno en un plazo no mayor a 3 meses.
 Manejo de incidentes: La organización debe implementar una actividad de

manejo de incidentes para los eventos de seguridad el cual debe tener:
preparación, detección de análisis, contención, erradicación, y recuperación.
Tecnología, Auditor Interno en un plazo no mayor a 3 meses.
 Reporte de violación de actividades de seguridad: La administración de la

función de los servicios de información deberá asegurar que las violaciones y
la actividad de seguridad sean reportadas, registradas, revisadas y
escaladas de forma apropiada y en forma regular para resolver e identificar
los incidentes que involucren actividades no autorizadas, Este control debe
 Reporte de incidentes: La organización deberá reportar de forma inmediata

los informes de incidentes a las autoridades que así se estipulen. Este
67
 Incidente de accidentes y respuesta: La organización deberá proporcionar
a los usuarios ayuda para el manejo de cada incidente de seguridad. Este
 Política y procedimientos para la planificación de la seguridad: La

organización deberá desarrollar y periódicamente revisar la política para la
planificación de la seguridad. Este control debe ser implementado por la
meses.
 Plan del sistema de seguridad de la información: La organización debe

desarrollar un plan de seguridad para el sistema de información que
proporcione una apreciación global de los requisitos de seguridad para los
sistemas y una descripción para los controles de seguridad. Este control
 Actualizar plan del sistema de seguridad de la información: la

organización debe revisar el plan de seguridad para detectar desviaciones y
efectuar las correcciones. Este control debe ser implementado por la
meses.
 Reglas de conducta: La organización debe establecer y hacer prontamente

disponible a todos los usuarios de los sistemas de información y las reglas
que definen sus responsabilidades y conductas esperadas con respecto a los
usos de los sistemas de información. Este control debe ser implementado por
la Vicepresidencia de Informática y Tecnología en un plazo no mayor a 4
meses.
68
 Control de los usuarios sobre sus cuentas: Los usuarios deben controlar
la actividad generada desde su propia cuenta, se establecerán los
mecanismos de información que permitan supervisar la actividad normal, así
como alertarlos sobre las actividades inusuales. Este control debe ser
 Vigilancia de seguridad: La administración de seguridad de TI, debe

asegurar que toda actividad quede registrada y que cualquier cosa que
indique una inminente violación de seguridad será notificada a todos aquellos
que puedan verse afectados, sin importar su origen actuando de manera
oportuna frente al hecho. Este control debe ser implementado por la
meses.
Plan de acción: Administrar los datos.
Los requerimientos que se satisfacen con este plan de acción son asegurar que
los datos permanezcan completos precisión y validos durante su entrada,
actualización y almacenamiento, lo cual se hace posible a través de una
combinación efectiva de controles generales y de aplicación sobre las operaciones
de TI, toma en consideración el diseño de formatos, Controles de entrada,
procesamiento y salida, identificación, movimiento y administración de la librería
de medios, recuperación y respaldo de datos, autenticación e integridad y
propiedad de datos.
 Políticas y procedimientos de administración de datos: la organización

deberá diseñar, implementar y revisar de forma periódica el flujo de datos
dentro de la función de TI, el proceso de autorización de la documentación
69
fuente, procesos de recolección y seguimiento, transmisión de datos. Este
 Revisión de todas las aplicaciones críticas: El área de informática y

tecnología deberá revisar los módulos que llevan a cabo revisiones de
precisión o capturas de datos sensibles, así como las que lleven a cabo
rutinas de corrección de errores, procedimiento de salidas y balanceo de las
cargas en los aplicativos críticos. Este control debe ser implementado por la
meses.
 Revisión de todas las aplicaciones críticas: El área de TI deberá revisar

funciones que lleven a cabo las rutinas de corrección de errores de entrada
de datos, control de la integridad de los procesos de datos enviados a
proceso, distribución de salidas sensitiva sólo a personas autorizadas,
procedimientos de balanceo de salidas para control de totales y conciliación
de variaciones. Este control debe ser implementado por la Vicepresidencia
de Informática y Tecnología en un plazo no mayor a 6 meses.
 Políticas y procedimientos de repositorio central de bases de datos: la

organización deberá establecer las normas, el diseño y los controles sobre:
la organización de la base de datos, sobre los diccionarios de datos,
procedimientos de mantenimiento de seguridad de la base de datos,
determinación y mantenimiento de la propiedad de las bases de datos,
procedimientos de control de cambios sobre el diseño y contenido de la
base de datos y los reportes administrativos y cada pista de auditoria que
definen las actividades de bases de datos. Este control debe ser
70
 Políticas y procedimientos de librería de medios y almacenamiento de
datos externo: La organización debe definir los controles para:
Procedimientos de reconciliación entre registros actuales y registros de
datos almacenados, reciclaje de datos y protección de información
sensitiva, rotación de medios de datos, inventario de datos de prueba y
pruebas de recuperación llevadas a cabo, administración de la librería de
medios y del sistema de administración de la librería, medios y funciones
del personal en el sitio alterno en el plan de continuidad, asegurar que el
archivo cumple con requerimientos legales y de negocio. Este control debe
Plan de acción: Administrar Instalaciones.
Satisface el proporcionar un ambiente físico conveniente que proteja el quipo y al

persona de TI contra peligros o fallas humanas, se hace posible a través de la
instalación de controles físicos y ambientales adecuados y que sean revisados
regularmente para su funcionamiento apropiado, toma en consideración el acceso
a las instalaciones, identificaciones del sitio, seguridad física, las políticas de
inspección y escalamiento, administración de crisis, salud y seguridad del
personal, políticas del mantenimiento preventivo y protección sobre amenazas
ambientales.
 Políticas y procedimientos de mantenimiento de sistemas: La

organización deberá desarrollar y revisar periódicamente una política de
mantenimiento de sistemas formalmente definida y documentada. Este
71
 Mantenimiento periódico: La organización debe fijar, realizar y documentar
el preventivo mantenimiento a cada uno de los componentes de los sistemas
de información de acuerdo a las especificaciones técnicas determinadas.
 Acceso a medios: La organización debe asegurar que solo los usuarios

autorizados tienen acceso a la información en forma impresa o en medios
digitales que puedan ser exportados del sistema de información. Este control
en un plazo no mayor a 1 mes.
 Autorización de acceso físico: La organización deberá desarrollar y

conservar listas con el personal que tiene acceso autorizado a los recursos
de los sistemas de información, portando las credenciales que acrediten su
vínculo con la compañía. Este control debe ser implementado por la
semanas.
 Control de acceso físico: La organización deberá controlar todos los puntos

de acceso físico a los recursos de los sistemas de información y verificar
autorizaciones de acceso individuales antes de conceder acceso a los
recursos. La organización también deberá controlar el acceso a las áreas
oficialmente designadas como públicamente accesible, como es apropiado,
en acuerdo con la valoración de riesgos de la organización. Este control debe
 Discreción sobre las instalaciones de tecnología de información: El área

de TI deberá asegurar que se mantenga un bajo perfil sobre la identificación
física y lógica relacionado con las operaciones de tecnología de información,
72
todo esto debe ser limitado y mantenerse con la reserva adecuada. Este
8. CONCLUSIONES
Los sistemas de información y las TIC en general juegan un papel fundamental

en la prestación de servicios de las organizaciones, satisfacción del cliente, logro
de objetivos e incluso sacar ventaja competitiva. Sin embargo, el uso de la
tecnología conlleva riesgos que la mayoría de las veces son desconocidos por la
alta gerencia y no invierten en mecanismos de protección, así como en la
implementación de modelos de seguridad de la información.
Esta propuesta permitió conocer los beneficios que genera un Sistema de

Gestión de Seguridad de la Información en cualquier organización moderna y
especialmente en la oficina de Sistemas y Telecomunicaciones de la Constructora
Roa Leiva S.A.S., mediante la aplicación de un estándar internacional de
seguridad de la información como la ISO/IEC 27001:2013, que, a través de un
ciclo de mejoramiento continuo, y mediante su fase de diseño permitió establecer
la documentación base que requiere ésta norma. Además, se pudo conocer el
estado actual de los dominios, objetivos y controles de seguridad mediante un
análisis diferencial y el nivel de cumplimiento que se tiene.
73
A del estándar. Esto a su vez, permitió elaborar las Políticas de Seguridad de la
Informaciones generales que deberían ser comunicadas a todos los funcionarios
con el fin de establecer un compromiso en mantener de los niveles de riesgos
aceptables.
Por otra parte, se pudo clasificar los activos de información y determinar el nivel
de riesgo potencial de cada uno de ellos aplicando una metodología de riesgos de
TI sistemática como MAGERIT, donde se pudo identificar los activos más críticos y
que requieren de mayor atención y controles de seguridad dado el alto impacto
que tienen en la prestación de servicios y funcionamiento óptimo de los procesos
de la institución. Para ello, se propuso un documento que contiene el Plan de
Continuidad del Negocio con el fin de mantener o restablecer en el menor tiempo
posible el funcionamiento de los mismos.
Por último, se propuso el modelo COBIT como Gobierno de TI ya que presenta

un enfoque integral de la institución y permite la alineación de los objetivos de TI
con los objetivos y metas estratégicas de la constructora. Además, su integración
con otros estándares de seguridad de la información como ISO/IEC 27001 y su
ejecución en cascada o de arriba hacia abajo permite que la alta dirección tenga
un mejor entendimiento de la importancia de la infraestructura de a TI en el
desarrollo normal de los procesos institucionales y por ende en los objetivos
misionales.
74
9. RECOMENDACIONES
Con el fin de mejorar y beneficiar la presente propuesta, se recomienda que

exista un compromiso de la alta dirección de la Constructora Roa Leiva S.A.S; es
decir, que el diseño o implementación de un Sistema de Gestión de Seguridad de
la Información no sea una propuesta solamente de la oficina de Sistemas y
Telecomunicaciones y del Líder del Proceso de Desarrollo Tecnológico, sino que
sea entendido por la Unidad de Planeación y Desarrollo y generalizado por el
Consejo Superior como un soporte para la optimización de los procesos y apoyo
para el cumplimiento de los objetivos estratégicos, permitiendo la alineación de los
objetivos de TI a éstos.
A su vez, para obtener una mayor exactitud en determinar las amenazas de los
activos, permitir detallar las especificaciones técnicas de los mismos y
documentarse sobre las vulnerabilidades que presentan mediante la suscripción a
boletines especializados de seguridad de la información. Además, capacitar a los
funcionarios en temas relativos a la seguridad de la información y disponer
públicamente de las Políticas de Seguridad.
75
Por otra parte, para obtener resultados más precisos y de actualización
automática, se recomienda adquirir un software de gestión de riesgos para la
metodología MAGERIT que permita disponer en tiempo real el cálculo de los
niveles de riesgo potencial y residual, para realizar comparaciones con los niveles
de riesgos aceptables.
Últimamente, se recomienda adelantar un proceso de capacitación y/o

selección de personal que lidere los procesos y actividades relativas a la
seguridad de la información, así como determinar la viabilidad y factibilidad para la
continuidad de la propuesta.
BIBLIOGRAFÍA
AHMAD, N., & ZULKIFLI, S. Systematic Approach to Successful Implementation of

ITIL. Procedia Computer Science, 2013. p. 237-244.
AMUTIO, M. A., CANDAU, J., & MAÑAS, J. A. MAGERIT – versión 3.0.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Libro I - Método. Madrid: Ministerio de Hacienda y Administraciones Públicas,
2012. p. 127.
AMUTIO, M. A., CANDAU, J., & MAÑAS, J. A. MAGERIT – versión 3.0.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Libro II – Catálogo de Elementos. Madrid: Ministerio de Hacienda y
Administraciones Públicas, 2012. p. 75.
76
ARORA, V. (s.f.). "Comparing different information security standards: COBIT vs.
ISO 27001". En Línea. Disponible en Carnegie Mellon University, Qatar:
(http://qatar.cmu.edu/media/assets/CPUCIS2010-1.pdf)
BENAVIDES, M., & SOLARTE, F. J. Módulo Riesgos y Control Informático. Pasto:

UNAD, 2012. p. 188.
COLOMBIA. CONGRESO DE LA REPÚBLICA. "Ley 1273 de 2009". En Línea. 10

de mayo de 2015. Disponible en Ministerio de Tecnologías de la Información y
las Comunicaciones: (http://www.mintic.gov.co/portal/604/articles-
3705_documento.pdf)
Comparison of IT Risk Assessment Framework: Octave, Fair, NIST-RMF and

TARA. En Línea. Disponible el 16 de Marzo de 2014, en FinanceSheets.com
(http://www.financesheets.com/comparison-of-it-risk-assessment-framework-
octave-fair-nist-rmf-and-tara/)
DEBARATI, H., & JAISHANKAR, K. Cyber Crime and the Victimization of Women:
Laws, Rights, and Regulations.IGI Global, 2011.
DURANGO, J. M. Plan de Gestión Rectoral - Universidad de Córdoba, 2012.

Montería.
EASTTOM, C. Computer Security Fundamentals (Segunda ed.). Indianapolis:

Pearson, 2012. p. 350.
GÓMEZ, L., & ANDRÉS, A. Guía de Aplicación de la Norma UNE-ISO/IEC 27001

Sobre Seguridad en Sistemas de Información para PYMES. España: Asociación
Española de Normalización y Certificación, 2012. p. 214.
77
HAMDI, M., BOUDRIGA, N., & OBAIDAT, M. S. Security Policy Guidelines. En H.
BIDGOLI, Handbook of Information Security: Threats, Vulnerabilities,
Prevention, Detection, and Management (págs. 945-958). New Jersey: Wiley,
2006.
HODEGHATTA, U., & NAYAK, U. The InfoSec Handbook: An Introduction to

Information Security.New York: Apress Media, 2014. p. 376.
ICONTEC. Norma Técnica Colombiana: NTC-ISO-IEC 27001. Tecnología de la

Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la
Información. Requisitos. Bogotá: Instituto Colombiano de Normas Técnicas y
Certificación, 2013.
ISACA. COBIT 5 for Information Security. Illinois, Michigan, Estados Unidos de

América: ISACA, 2012. p. 220.
ISACA. COBIT 5: Un Marco de Negocio para el Gobierno y la Gestión de las TI de
la Empresa. Illinois, Estados Unidos: ISACA, 2012.
ISACA. COBIT 5 Principles: ¿Where Did They Come From? En Línea. Junio de
2015. Disponible en ISACA: (http://www.isaca.org/knowledge-
center/research/researchdeliverables/pages/cobit-5-principles.aspx)
78

Proyecto Tatiana

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proyecto Tatiana

Cargado por

Copyright:

Formatos disponibles

PROPUESTA DE IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN BASADA EN LA NORMA INTERNACIONAL

KELIN TATIANA ÁLVAREZ MOYA

UNIVERSIDAD COOPERATIVA DE COLOMBIA

KELIN TATIANA ÁLVAREZ MOYA

Propuesta en Seguridad Informática, para optar al título de Ingeniero de Sistemas

IRLESA INDIRA SANCHEZ MEDINA

UNIVERSIDAD COOPERATIVA DE COLOMBIA

Neiva, ___ de ______________ de 201__

Damos gracias primordialmente a Dios por darnos la inteligencia, sabiduría,

A nuestros padres quienes a lo largo de toda nuestra vida han apoyado y

KELIN TATIANA ÁLVAREZ Y CAROLINA GONZALEZ

A Dios por estar pendiente en todos los momentos de mi vida, iluminándome en el

A mis padres por infundir en mi la lucha y el deseo de superación personal,

A mi compañero, amigo y novio por brindarme su apoyo, comprensión y ayuda en

A mi abuela que con su voz de aliento aumentaba la fe ante los momentos de

A mi compañera de Propuesta, que con sus conocimientos brindo aportes útiles y

KELIN TATIANA ÁLVAREZ

A Dios por ser mi guía y fortaleza en cada paso de mi vida.

A mis padres y hermanos por creer en mí y darme todo su apoyo durante la

A mi novio por estar conmigo en los momentos de alegría y de tristeza; por su

A mi amiga y compañera de estudio y trabajo; a quien admiro por sus esfuerzos

Tabla 1. Dominios de una típica infraestructura TI en una organización ……………..31

Figura 1. Modelo PHVA aplicado a los procesos de un SGSI ……………………………34

AMENAZA: Fuentes generadoras de eventos en las que se originan las pérdidas

ANTIVIRUS: Es un programa informático que tiene el propósito de detectar y

ATAQUE: Es cualquier intento no autorizado de acceso, uso, alteración,

BACKUP: Copia de Respaldo o Seguridad. Acción de copiar archivos o datos de

BASE DE DATOS: Conjunto de datos que pertenecen al mismo contexto

CONFIDENCIALIDAD: La confidencialidad es la propiedad que impide la

CONTRASEÑAS: Una contraseña o clave es una forma de autentificación que

CONTROL DE SEGURIDAD: Es un conjunto de normas, técnicas, acciones y

DATOS: El dato es una representación simbólica (numérica, alfabética,

DEBILIDAD: Las debilidades se refieren a todos aquellos elementos, recursos,

EVENTO: Es una situación que es posible pero no certera; es siempre un evento

FALLOS: Es un estado o situación en la que se encuentra un sistema formado por

FIREWALL: Combinación de hardware y software la cual separa una red de área

ISO/IEC 27000: Publicada el 1 de Mayo de 2009, revisada con una segunda

ISO/IEC 27001: Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre

MALWARE: Cualquier programa cuyo objetivo sea causar daños a computadoras,

POLÍTICAS DE SEGURIDAD: Es un documento que define el alcance de la

PROCEDIMIENTOS: Es un conjunto de acciones u operaciones que tienen que

RECURSOS: Un recurso es una fuente o suministro del cual se produce un

RIESGO: Combinación de la probabilidad de un evento y sus consecuencias

RIESGO INFORMÁTICO: Es la probabilidad de que una amenaza en particular

SISTEMA DE DETECCIÓN DE INTRUSOS: (o IDS de sus siglas en inglés

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: Es un

VIRTUAL: Término de frecuente utilización en el mundo de las tecnologías de la

VULNERABILIDAD: Es una falla o debilidad en los procedimientos, diseño,

La Propuesta de grado corresponde a la implementación de un Sistema de

La idea solo consistirá en el diseño de SGSI en la oficina de Ingreso de

Palabras Claves: Sistemas de Gestión de la Seguridad de la Información

Desde hace ya algunos años la información se considera uno de los activos

La continua evolución, crecimiento y sofisticación de la tecnología, al igual que

Garantizar un nivel de protección total es virtualmente imposible, incluso en el

2.1. PLANTEAMIENTO DEL PROBLEMA

2.1.1. Definición del Problema

La Constructora Roa Leiva no cuenta actualmente con un modelo de seguridad

 ¿Qué información es la que realmente debemos cuidar?

De acuerdo al decreto 2482 de diciembre de 2012, el Gobierno Nacional

2.1.2. Formulación del Problema

¿Se puede pensar si es posible tener diseñado un sistema de gestión de

El problema radica en que no existe un sistema de gestión de seguridad de la

Neiva, _ de __________ de 201