Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DIRECTOR
Esp. Carlos Arturo Blandón Jaramillo
Jurado
Jurado
Por esta razón está tesis pretende diagnosticar el grado de madurez de los controles
de seguridad establecidos en la norma NTC ISO/IEC 27001:2013 para instituciones
públicas de educación preescolar de la comuna universidad de la ciudad de Pereira.
For this reason, this project attempts to diagnose the maturity degree of the safety
controls established in the norm NTC ISO/IEC 27001:2013 for public institutions of
pre-school education of the commune university city of Pereira.
INTRODUCCIÓN ............................................................................................................... 13
1. FORMULACIÓN DEL PROYECTO ........................................................................... 14
1.1 DESCRIPCIÓN Y FORMULACIÓN DEL PROBLEMA ................................. 14
1.2 OBJETIVO GENERAL ....................................................................................... 14
1.2.1 Objetivos Específicos ................................................................................. 14
1.3 JUSTIFICACIÓN ................................................................................................. 15
1.4 PLANTEAMIENTO DE HIPÓTESIS ................................................................ 18
1.5 IDENTIFICACIÓN DE VARIABLES ................................................................. 19
1.6 PRESUPUESTO ................................................................................................. 19
1.7 CRONOGRAMA.................................................................................................. 22
2. MARCO CONTEXTUAL. ............................................................................................. 23
2.1 EL ENTORNO ESCOLAR ................................................................................. 23
2.2 MARCO LEGAL DEL ENTORNO ESCOLAR RELACIONADO CON LA
SEGURIDAD DE LA INFORMACIÓN ........................................................................ 28
2.3 IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN EN EL
ENTORNO ESCOLAR .................................................................................................. 31
2.4 DIRECTRICES Y LINEAMIENTOS DEL MINISTERIO DE EDUCACIÓN
NACIONAL...................................................................................................................... 33
2.5 ESTRUCTURA DE UN ESTABLECIMIENTO EDUCATIVO ....................... 34
3. MARCO TEÓRICO ....................................................................................................... 35
3.1 INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN ................... 35
3.1.1 Activo de información ..................................................................................... 35
3.1.2 Riesgo ............................................................................................................... 36
3.2 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ....... 37
3.3 DIFERENCIAS ENTRE SISTEMAS DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN Y SEGURIDAD INFORMÁTICA. ............................................. 39
3.4 CRITERIOS DE SEGURIDAD DE LA INFORMACIÓN ............................... 40
3.5 FAMILIA DE NORMAS ISO/IEC 27000 .......................................................... 41
3.6 PRINCIPALES NORMAS A UTILIZAR ........................................................... 43
3.6.1 Norma ISO/IEC 27001 ................................................................................... 43
3.6.2 Norma ISO/IEC 27001 ................................................................................... 44
3.6.3 Norma ISO/IEC 31000 ................................................................................... 45
3.7 REQUERIMIENTOS EXIGIDOS POR LA ISO/IEC 27001 .......................... 47
3.8 METODOLOGÍAS DE RIESGOS COMO BASE DE LA GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN ........................................................................ 49
3.8.1 NTC ISO 31000 .................................................................................................... 49
3.8.2 ISO/IEC 27005 ..................................................................................................... 51
3.8.3 Metodología de riegos de MINTIC ............................................................... 54
3.8.4 CONTROLES ESTABLECIDOS EN LA ISO/IEC 27002. ......................... 55
3.9 MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ....... 56
4. MODELO TEÓRICO ..................................................................................................... 59
5. INFORME DE RESULTADO .................................................................................... 64
5.1 ANÁLISIS DEL MARCO LEGAL DE LA EDUCACIÓN EN COLOMBIA ........ 64
5.2 DIAGNÓSTICO DEL ESTADO ACTUAL DE LAS INSTITUCIONES
EDUCATIVAS DE EDUCACIÓN PREESCOLAR DE LA COMUNA
UNIVERSIDAD ............................................................................................................... 66
5.3 DETERMINACIÓN DEL ALCANCE ..................................................................... 79
5.4 ESTRUCTURA ORGANIZACIONAL DE LA SEGURIDAD DE LA
INFORMACIÓN .............................................................................................................. 80
5.5 IDENTIFICACIÓN DE ACTIVOS TECNOLÓGICOS .................................... 81
5.6 DETERMINACIÓN DE RIESGOS.................................................................... 88
5.7 CALIFICACIÓN DEL RIESGO INHERENTE ................................................. 91
5.8 MAPA DE RIESGO INHERENTE .................................................................. 101
5.9 DEFINICIÓN DE CONTROLES ..................................................................... 106
5.10 CALIFICACIÓN DEL RIESGO RESIDUAL ............................................... 118
5.11 MAPA DE RIESGOS RESIDUAL ............................................................... 128
5.12 PLAN DE MITIGACIÓN DE RIESGOS ..................................................... 133
5.13 DECLARACIÓN DE APLICABILIDAD ....................................................... 155
CONCLUSIONES ............................................................................................................ 205
RECOMENDACIONES .................................................................................................. 206
REFERENCIAS BIBLIOGRAFICAS ............................................................................. 207
GLOSARIO ....................................................................................................................... 209
LISTA DE TABLAS
13
1. FORMULACIÓN DEL PROYECTO
14
1.3 JUSTIFICACIÓN
15
Mejora continua en la gestión de la seguridad
Disponibilidad del Servicio Educativo
Reducción de costos de incidentes e inversiones
Cumplimiento de la legislación
Incremento de los niveles de confianza de las partes interesadas
Mejora de la imagen institucional
Formalización de responsabilidades operativas
Aseguramiento de la confidencialidad, integridad y disponibilidad de la
información
Los índices de GEL del orden nacional revelan que, en el campo educativo, el
subíndice Eficiencia Electrónica (Numerales del 1 al 5), tiene un puntaje de 22,05
para la implementación del SGSI (numeral 5) siendo el más bajo de las actividades
relacionadas al sub índice (Ver gráfica 2 tomado de (GEL, 2015) Recuperado el día
4 de mayo de 2016)
16
4 de mayo de 2016), lo que ubica el departamento de Risaralda en el puesto número
16 de los 32 departamentos medidos.
17
Gráfica 5: Representación de los avances de las entidades en la ejecución de la estrategia GEL del
departamento de Risaralda Fuente: Índice de Gobierno en Línea
Al indagar sobre las entidades estatales que han venido desarrollando actividades
relacionadas al Numeral 5 del Subíndice Eficiencia Electrónica se observa que se
hace un gran esfuerzo en torno a las administraciones municipales (Alcaldías) y en
la gobernación de Risaralda, sobresaliendo la Alcaldía de Dosquebradas y la
Alcaldía de Pereira mediante la puesta a disposición de los ciudadanos de portales
tributarios y APPs de consulta de vendedores informales, así como la consulta
interactiva del plan de desarrollo.
18
1.5 IDENTIFICACIÓN DE VARIABLES
N/A
1.6 PRESUPUESTO
RUBROS TOTAL
3. INVERSIONES $3.742.000
TOTAL $33.170.200
19
Tabla 3: Presupuesto detalles gastos de viaje Fuente: Propia - 2016
1. DETALLE GASTOS DE VIAJE
LUGAR LUGAR TRAYECTO N° DE N° DE VALOR JUSTIFICACION TOTAL
DE DE DÍAS PERSONAS VIATICOS
ORIGEN DESTINO POR
PERSONA
20
Tabla 5: Presupuesto detalles de gastos generales Fuente: Propia - 2016
4. DETALLE GASTOS GENERALES
DESCRIPCIÓN DEL CANTIDAD VALOR JUSTIFICACIÓN TOTAL
ARTÍCULO UNITARIO
21
1.7 CRONOGRAMA
22
2. MARCO CONTEXTUAL.
23
riesgosos. Gozarán también de los demás derechos consagrados en la
Constitución, en las leyes y en los tratados internacionales ratificados por
Colombia.
La familia, la sociedad y el Estado tienen la obligación de asistir y proteger al
niño para garantizar su desarrollo armónico e integral y el ejercicio pleno de
sus derechos. Cualquier persona puede exigir de la autoridad competente su
cumplimiento y la sanción de los infractores. Los derechos de los niños
prevalecen sobre los derechos de los demás.” Art. 44, (Constitución Política
de Colombia, 1991, pág. 24)
24
educación formal en sus niveles preescolar, básica (primaria y secundaria) y
media, no formal e informal, dirigida a niños y jóvenes en edad escolar, a
adultos, a campesinos, a grupos étnicos, a personas con limitaciones físicas,
sensoriales y psíquicas, con capacidades excepcionales, y a personas que
requieren rehabilitación social.” Art. 1, (Ley 115, 1994, pág. 1)
Lo que define de manera clara que el nivel preescolar esta categorizado como nivel
de formación desde la jurisprudencia nacional. La misma Ley General de Educación
en su artículo 2 establece que el servicio educativo está comprendido por
25
la operación de la Institución Educativa, evidenciando de igual manera la
concepción de una administración basada en procesos permitiendo una
aproximación a la norma ISO/IEC 27001 la cual está basada igualmente en
procesos, tal como puede verse en el numeral 0,1 de la misma.
Hacia 1930, algunos de estos centros estaban orientados por religiosas, señalando
el primer antecedente de educación preescolar, valorando el carácter educativo de
la actividad, aunque no estuviera reconocida legalmente, situación que continuo
hasta mediados de 1975.
El servicio educativo a este nivel solo se ofrecía a familias que tuvieran buena
posición económica, situación que cambio cuando el papel de la mujer como
participante activa del mundo laboral, permite la generación de una alternativa para
la población de escasos recursos económicos, que en su inicio estuvo apalancado
por el Instituto Colombiano de Bienestar Familiar ICBF, pero éste se sujetó a las
normas de protección del menor desde el punto de vista asistencial y dejo de lado
la parte educativa.
26
En 1987 se precisaron las áreas y temas relacionados con el preescolar,
permitiendo la generación de currículos fundamentados desde lo teórico al igual que
la regulación de la operatividad de las instituciones que tenían este nivel de
educación.
La misma Ley indica que una de las competencias de los distritos y los municipios
certificados es la de “Administrar el Sistema de Información Educativa Municipal o
Distrital y suministrar la información al departamento y a la Nación con la calidad y
en la oportunidad que señale el reglamento”. Art. 7, Numeral 7.10 (Ley 715, 2001,
pág. 5)
27
La población atendida por las instituciones educativas será asignada de acuerdo a
las variables de la prestación del servicio educativo y dependiendo de la zona (rural
o urbana), dentro de los cuales se encuentran
Los sistemas de información que permitan facilitar la prestación del servicio por
parte de la institución educativa deberán mantenerse actualizados de acuerdo con
las orientaciones que para tal fin determine la nación, lo que vislumbra aún más la
articulación que existe entre la Estrategia de Gobierno en Línea y los mandatos
legales para las entidades que prestan servicios educativos de nivel preescolar.
28
información a través de plataformas virtuales, además de espacios para la
participación ciudadana.
La aplicación del título 9 del Decreto 1078 cobija todas “las entidades que conforman
la administración pública” Titulo 9, Capitulo 1, Sección 1, Art, 2.2.9.1.1.2 (Decreto
1078, 2015, pág. 134), dentro de las cuales se encuentran “los ministerios, los
departamentos administrativos y las superintendencias constituyen el Sector
Central de la Administración Pública Nacional. Las gobernaciones, las alcaldías y
las secretarías de despacho son los organismos principales de administración en el
correspondiente nivel territorial”. Art, 39, (Ley 489, 1998, pág. 10)
29
necesidades y demandas de los ciudadanos y empresas, en condiciones de
calidad, facilidad de uso y mejoramiento continuo.
30
Es importante resaltar que la Ley 1581 del 17 de octubre de 2012, mediante la cual
se dictan las disposiciones generales para la protección de los datos personales
establece en el artículo 7 que:
" Es tarea del estado y de las entidades educativas de todo tipo proveer
información y capacitar a los representantes legales y tutores sobre
eventuales riesgos a los que se enfrentan los niños, niñas y adolescentes
respecto del tratamiento indebido de sus datos personales..." Art, 7, (Ley
1581, 2012, pág. 4)
31
permanentemente a la adopción de acciones preventivas y correctivas que
permiten la identificación de nuevos riesgos y la ratificación de que los
controles adoptados han dado los resultados deseados.
32
Todos estos aspectos se traducen en los tres pilares emanados de la norma y
perseguidos por la estrategia de GEL disponibilidad, integridad y seguridad de la
información.
El Decreto 1075 del 26 de mayo de 2015, indica que: "Los municipios con más de
100.000 habitantes deben cumplir con los siguientes requisitos:
“La prestación del servicio público educativo del nivel preescolar se ofrecerá a los
educando de 3 a 5 años de edad”, comprendiendo pre – jardín, jardín y transición,
Art, 2.3.3.2.2.1.2 (Decreto 1075, 2015, pág. 89) dado tal servicio “con base en los
lineamientos del MEN, ejecutado con un plan que permita asumir procesos de
calidad” Art, 2.3.1.1.6 (Decreto 1075, 2015, pág. 12)
33
2.5 ESTRUCTURA DE UN ESTABLECIMIENTO EDUCATIVO
El Decreto 1075 de 2015 establece la estructura del sector educativo en cabeza del
MEN por parte del Gobierno Nacional, secretarias de educación departamentales,
secretarias de educación municipales, quienes velaran en su jurisdicción por el
adecuado manejo del servicio educativo de todas las instituciones educativas.
34
3. MARCO TEÓRICO
Se define activo como cualquier cosa que tenga un valor para la organización, sean
estos de carácter tangible o intangible. Por cuanto es necesario identificar aquellos
activos que son críticos para el adecuado funcionamiento de los procesos en la
institución educativa, y que son fundamentales para el diagnóstico del grado de
madurez de los controles de seguridad de la información.
35
Contextualizando el anterior concepto al sector educativo de las entidades oficiales
de nivel preescolar se han considerado como activos los siguientes:
3.1.2 Riesgo
36
d. Probabilidad: medición de la posibilidad de ocurrencia del riesgo identificado,
generando un valor que permite realizar el proceso de priorización y catálogo
de los mismos, permitiendo crear una base esencial para el establecimiento
de los controles para su mitigación.
37
Contiene el catálogo de los activos de información que deben protegerse, dada la
importancia que tienen para la operatividad de los procesos organizacionales, los
riesgos y amenazas a lo que están expuestos y los controles adoptados para mitigar
y preservar los activos.
Lo anterior con el propósito de garantizar que los riesgos son conocidos, asumidos,
gestionados y mitigados de forma documentada, sistemática, estructurada,
repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el
entorno y las tecnologías. (ISO 27000.ES, 2005) Recuperado el día 5 de enero de
2016
38
3.3 DIFERENCIAS ENTRE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN Y SEGURIDAD INFORMÁTICA.
La información hoy por hoy evoca un sin número de temores tanto para las personas
naturales como para las personas jurídicas, en razón a que contemplar y mantener
la información bajo control sin fugas y sin intrusiones ha sido un gran reto, llevando
a que la información se considere como uno de los activos más importantes, para
la cual las Tecnologías de Información y Comunicación han sido, son y serán el
mecanismo más idóneo para su manipulación tanto en equipos de escritorio como
en la nueva ola de almacenamiento cloud y la incursión del BigData.
39
Seguridad de la información
Seguridad informática
40
Gráfica 8: Pilares de la seguridad de la información fuente propia
La información, en conjunción con los procesos y los sistemas que hacen uso de
ella, son activos importantes, por cuanto las características anteriormente
mencionadas pueden ser esenciales para la competitividad, rentabilidad,
conformidad legal e imagen empresarial necesarios para alcanzar las metas de la
organización.
Desde 1901, la British Standar Institution BSI, se constituyó como la primera entidad
de normalización a nivel mundial, publicando entre otras: la BS 5750 ahora ISO
9001, la BS 7750 ahora ISO 14001 y la BS 8800 ahora OHSAS 18001.
Es así como la BS 7799-1 se revisó en 1999 y se adoptó por la ISO en el año 2000
como ISO 17799.
41
En 2002, se revisó BS 7799-2 adecuándose a la filosofía de normas ISO de
sistemas de gestión.
En 2005, se publicó el estándar ISO 27001 y se renombro la ISO 17799 como ISO
27002
La familia ISO 27000, es realmente una serie estándares con numeración que va
de 27000 a 27019 y de 27030 a 2044.
42
h. ISO 27007, guidelines for information security management systems auditing.
Guía de auditoría para SGSI.
i. ISO 27008 TR, guidelines for auditors on information security controls. Guía
para la revisión de la implementación y operación de controles.
k. ISO 27010, Information security management for inter – sector and inter –
organisational communications. Gestión de seguridad de la información para
las comunicaciones inter – sectoriales e inter – organizacionales.
Esta Norma Internacional contiene los requisitos que permiten “el establecimiento,
implementación, mantenimiento y mejora continua de un sistema de gestión de la
seguridad de la información”. (NTC ISO/IEC 27001, 2013, pág. 7) Esta Norma tiene
un enfoque orientado a procesos, por lo que su campo de aplicación abarca “todas
las organizaciones, independientes de su tipo, tamaño o naturaleza”, (NTC ISO/IEC
27001, 2013, pág. 8) permitiendo su adaptación a las instituciones educativas de
carácter oficial y nivel preescolar de la comuna universidad de la ciudad de Pereira.
Las características actuales de la Norma hacen que sea compatible con otros
sistemas de gestión tal como ISO 9001, NTCGP 1000 facilitando su implementación
y mantenimiento.
43
Se constituye entonces en un referente crítico para diagnosticar el grado de
madurez de los controles en las instituciones educativas de nivel preescolar de
carácter oficial, si bien esta Norma no incluye referencia a la metodología de Deming
para la mejora continua, permitiendo la adopción de otros modelos para conseguir
tal objetivo, el presente trabajo emplea la metodología de Deming (Plan, Do, Check,
Act) como parte integral para diagnosticar el grado de madurez de los controles de
seguridad establecidos en la norma
Dicha declaración contendrá los controles que ya se deben implementar y los que
son excluidos para las instituciones educativas de educación preescolar.
44
3.6.3 Norma ISO/IEC 31000
g. La gestión del riesgo está hecha a la medida: alineada con las necesidades
del contexto organizacional (Interno y externo).
45
h. La gestión de los riesgos toma en cuenta los factores humanos y culturales:
verificando y reconociendo las capacidades, percepciones e intenciones de
todas las partes interesadas.
46
Un adecuado modelo de gestión de riesgos permite entre otros:
b. Definición de la política del SGSI que incluya un marco general y los objetivos
de seguridad de la información de la organización.
d. Identificar todos los activos de información que tienen algún valor para la
organización, a sus responsables directos y propietarios.
47
e. Identificar las amenazas relevantes asociadas a los activos identificados.
a. Mitigando
b. Aceptando
c. Evitando
d. Transfiriendo
48
Gráfica 11: Sistemas de Gestión de Seguridad de la Información, Fuente: Ana Cecilia Vargas y
Alonso Castro Mattei http://archivo.ucr.ac.cr
La norma ISO 31000, establece los principios y directrices para la Gestión de Riesgo
en las organizaciones, proporcionando además una guía para los programas de
auditorías internas o externas. La implementación de esta norma apoya a las
diferentes entidades para aumentar la probabilidad de cumplir con la política y los
objetivos del negocio de manera tal que la efectiva aplicación de esta, proporcionen
sólidos principios para una gestión eficaz y una óptima gestión empresarial.
49
e) Encamina a la organización a la gestión del riesgo más no a la eliminación
de estos.
Los principios que establece esta norma para que la gestión del riesgo sea eficaz y
los cuales deben poner en práctica las organizaciones son:
La ISO 31000 puede ser aplicada a cualquier tipo de empresa pública o privada,
tipo de sector o industria.
Fases:
50
3 Contexto Externo.
4 Contexto Interno.
9 Registro del proceso para la Gestión del Riesgo: durante todo el proceso de
la gestión del riesgo es importante llevar el registro de las actividades realizadas
y los resultados obtenidos con el fin de implementar mejoras en cada uno de los
procesos, las cuales con un análisis detallado apliquen a cada caso.
La Norma ISO 27005, forma parte de la familia de ISO 27000 la cual fomenta la
seguridad de la información, esta norma, aporta un enfoque para la descripción del
proceso de gestión de riesgos de la seguridad de la información proporcionando a
los departamentos de TI un marco para la implementación de gestión de riesgos,
por medio de acciones asociadas, además apoya conceptos generales empleados
en la norma ISO/IEC como tecnología de la información, técnicas de seguridad,
sistemas de gestión de seguridad y requisitos.
ISO 27005 aplica a los sistemas de información de todas las organizaciones, por lo
tanto, se adapta al enfoque de gestión de riesgos de cualquiera de estas.
51
Gráfica 12: Mapa de Análisis de Riesgos bajo la norma ISO/IEC 27005. Fuente. ISO (International
Standard Organization)
Fases
52
la realización del análisis se utilizan varios métodos y puede hacerse de
forma cualitativa o cuantitativa
53
El proceso de gestión de riesgos de seguridad de la información se compone de:
a) Contexto de creación.
b) Evaluación de riesgos
e) La comunicación de riesgos
54
III. Implementación: En esta fase es importante configurar, activar, probar y
verificar las características de seguridad del sistema, tomando decisiones sobre los
riesgos identificados.
Gráfica 13: Controles establecidos en norma ISO 27002. Fuente ISO/IEC 27002:2013
55
3.9 MODELO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
56
A continuación, se observa los requerimientos de cada uno de los niveles de
madurez con sus respectivas metas
Gráfica 15 requerimientos y metas de cada uno de los niveles de grado de madurez Fuente Modelo
de Seguridad y Privacidad de la Información MINTIC
A continuación puede visualizar el paralelo entre los niveles y los controles del
modelo de seguridad y privacidad de la información
57
Gráfica 16 Paralelo entre los niveles y los controles del modelo de seguridad y privacidad de la
información Fuente Modelo de Seguridad y Privacidad de la Información MINTIC
58
4. MODELO TEÓRICO
A = Actuar P = Planear
Acciones preventivas, correctivas y Revisar documentación MINTIC, MEN y GEL
oportunidades de mejora de procesos y Diseñar herramienta de recolección de datos
revisión de los riesgos Emplear herramienta de diagnóstico MINTIC
Realizar análisis de riesgos
AUDITORÍAS
V = Verificar H = Hacer
Medición de riesgos residuales, Elaboración de herramientas de recolección de datos
verificación de efectividad de los Análisis de documentación legal,
controles de la declaración de Revisar la información existente sobre seguridad de
aplicabilidad la información y controles de seguridad
Aplicación de los instrumentos de MINTIC para
determinar el grado de madurez de los controles
Identificación de activos de información
Análisis de Riesgos inherentes, residuales, mapas
Térmicos, identificación de controles, plan de
mitigación de riesgos y declaración de aplicabilidad
59
FASE DE PLANEAR
FASE DE HACER
60
2. Análisis de los componentes legales y su convergencia en torno a la
seguridad de la información.
61
equipos, posteriormente se realizó un mapeo de puertos vulnerables mediante
nmap -sS -sV encontrando el puerto 139 y 445 disponibles para el test de
penetración. Se empleó el comando msfconsole para generar la penetración a
través de los puertos identificados.
INFORME DE EQUIPOS
VULNERADOS
PENTESTING
63%
38%
SI NO
EQUIPOS PENETRADOS
Gráfica 18 Resultado del Test de penetración en los equipos del área administrativa de la IED
sujeto de estudio. Fuente: Propia
FASE DE VERIFICAR
62
2. Generación de los mapas de temperatura de los riesgos residuales.
Es importante verificar y medir los controles generados para mitigar los riesgos,
permitan cerrar las brechas y con ellos generar más seguridad a los activos de
información, también es importante verificar que los controles de seguridad de la
norma, se ajuste a los controles que por ley debe cumplir las instituciones
educativas de la Comuna Universidad de la Ciudad de Pereira.
FASE DE ACTUAR
Al determinar cada uno de los riesgos y aplicarse los controles necesarios que los
neutralicé, con el fin de mitigar el impacto que se puede presentar: Se realiza una
serie de recomendaciones preventivas con el fin de mejorar los procesos, dichas
recomendaciones están relacionadas al final de este documento.
63
5. INFORME DE RESULTADO
El marco legal que rige el Ministerio de Educación Nacional, el cual se inicia desde
la constitución política de Colombia, menciona que la educación en Colombia es un
derecho fundamental de todos los niños, además de mencionar que el estado, la
familia y la sociedad son los responsables de que los niños a partir de los 5 años
accedan a la educación iniciando con un año de preescolar y nueve de educación
básica, la ley 715, 115 y los decretos 1860 y 2247 son normativas que rigen la
educación en Colombia, en el cual se decreta los niveles de educación los deberes
y derechos a los que están sujetos los niños en Colombia en cuanto lo concerniente
a la educación e incluso se menciona que es fundamental salvaguardar y mantener
confidencialidad con toda la documentación de los menores de edad que se
encuentran en cada una de las instituciones educativas.
64
Al mencionar por separado las normativas que contemplan cada uno de los
Ministerios, existe un punto en el que se relacionan los dos y es la información,
como resultado del análisis legal de Colombia en cuanto a la seguridad de la
información y al contexto educativo y la preservación y cuidado de la información de
los niños y niñas se genera el siguiente mapa conceptual que muestra la
convergencia de la jurisprudencia emanada de cada ministerio con la obligatoriedad
del cumplimiento de GEL
65
5.2 DIAGNÓSTICO DEL ESTADO ACTUAL DE LAS INSTITUCIONES
EDUCATIVAS DE EDUCACIÓN PREESCOLAR DE LA COMUNA
UNIVERSIDAD
66
Tablas para la interpretación de resultados
Tabla 8. Tabla para interpretación de resultados fase planeación – límites nivel inicial/gestionado.
Fuente: MINTIC, 2015
67
Fase de implementación – limites nivel definido
Tabla 9. Tabla para interpretación de resultados fase de implementación – límites nivel definido.
Fuente: MINTIC, 2015
68
o Perfiles y experiencia del personal (descripción) para cada rol o
función
o Inventario de habilidades del personal disponible (experiencia
existente)
o Procedimientos para la asignación del personal según las funciones
o Procedimientos para la contratación de personal
o Implementación del plan y estrategia de transición de IPV4 a IPV6
Tabla 10. Tabla para la interpretación de resultados fase de gestión – límites para el nivel
gestionado cuantitativamente. Fuente: MINTIC, 2015
69
Fase de mejora continua – límites para el nivel optimizado
Tabla 11. Tabla para la interpretación de resultados fase de mejora continua – límites para el nivel
optimizado. Fuente: MINTIC, 2015
70
Análisis de resultados
Los resultados se analizaron de acuerdo a la escala de valores que fue establecida por el MINTIC en la guía
Tabla 12. Fase planeación – nivel inicial/gestionado - valores posibles por pregunta y totales. Fuente MINTIC, 2015
De acuerdo a la tabla anterior para que cada Institución Educativa obtenga el 100% en esta fase debe acumular un
total de 210 puntos, al aplicar el instrumento el total de puntos obtenidos en cada una de las instituciones fue de 49,
11, 0 y 11, dando como resultado un 8,5% de acciones llevadas a cabo en esta fase.
71
25
20
15
10
0
CONTEXTO LIDERAZGO PLANIFICACIÓN SOPORTE
ORGANIZACIONAL
72
Fase de implementación – nivel definido
En esta etapa cada Institución Educativa debe alcanzar un total de 245 puntos, para obtener el 100% (ver tabla 13), al
aplicar el instrumento el total de puntos obtenidos por cada institución fue de 115, 40, 40, 20, dando como resultado un
21,9% de acciones llevadas a cabo en esta fase.
Tabla 13. Fase de implementación – nivel definido. Valores posibles por pregunta y totales. Fuente: MINTIC, 2015
73
80
70
60
50
40
30
20
10
0
PLANIFICACIÓN Y PLAN DE GESTIÓN DE GESTIÓN DE
CONTROL TRATAMIENTO DEL RECURSOS Y RECURSOS Y
OPERACIONAL RIESGO PROCEDIMIENTOS PROCEDIMIENTOS
IMPLEMENTADOS IMPLEMENTADOS
PARA LA PARA LA
ASIGNACIÓN DE ASIGNACIÓN DE
RECURSOS RECURSOS
FINANCIEROS HUMANOS
En esta etapa cada Institución Educativa debe alcanzar un total de 80 puntos, para
obtener el 100% (Ver Tabla 14), al aplicar el instrumento el total de puntos obtenidos
por cada institución fue de 17,0,0,0, dando como resultado un 1,7% de acciones
llevadas a cabo en esta fase.
74
Tabla 14. Fase de gestión – nivel gestionado cuantitativamente. Valores posibles por pregunta y
totales. Fuente: MINTIC, 2015
10
10
9
8 7
7
6
5
4
3
2
1 0 0 0 0 0 0 0 0 0 0
0
PLAN DE SEGUIMIENTO, AUDITORÍA INTERNA PLAN DE TRATAMIENTO
EVALUACIÓN Y DE RIESGOS
ANÁLISIS DEL MSPI
75
Fase de mejora continua – nivel optimizado
Tabla 15. Fase de mejora continua – nivel optimizado. Valores posibles por pregunta y totales.
Fuente: MINTIC, 2015
40
35
30
25
20
15
10
5
0
PLAN DE SEGUIMIENTO, REVISIÓN Y APROBACIÓN POR LA
EVALUACIÓN Y ANÁLISIS DEL MSPI ALTA DIRECCIÓN
76
La gráfica anterior permite resaltar el tópico que más influencia tiene en la
calificación para la fase de mejora continua es la revisión y aprobación por la alta
dirección.
Al observar los resultados arrojados, y siendo consecuentes con los datos arrojados
por las instituciones educativas de la comuna universidad, la comuna en general se
encuentra en el grado de madurez inicial, debido a que los resultados arrojados por
cada uno de los niveles, se evidenció que las instituciones educativas se ubicaron
en un nivel de cumplimiento crítico
25,0% 22%
20,0%
15,0%
8,5%
10,0% 7,1%
5,0% 1,7%
0,0%
FASE PLANEACIÓN FASE DE FASE DE GESTIÓN FASE DE MEJORA
IMPLEMENTACIÓN CONTINUA
Gráfica 24 Resultado promedio del diagnóstico realizado a las IEDS Fuente: Propia
77
Tabla 16 Resultado del grado de madurez de las instituciones de la comuna universidad Fuente: Propia
Limites para las alertas para el Nivel Inicial / Gestionado Limites para las alertas para el Nivel Definido
Nivel de Nivel de
Limite Inferior Limite Superior Resultado IEDS Limite Inferior Limite Superior Resultado IEDS
Cumplimiento Cumplimiento
Crítico 0 85 8,5% Crítico 0 87 22%
Intermedio 86 125 Intermedio 88 147
Suficiente 126 210 Suficiente 147 245
Nivel de Nivel de
Limite Inferior Limite Superior Resultado IEDS Limite Inferior Limite Superior Resultado IEDS
Cumplimiento Cumplimiento
Crítico 0 28 1,7% Crítico 0 31 7,1%
Intermedio 29 47 Intermedio 32 53
Suficiente 48 80 Suficiente 54 90
78
5.3 DETERMINACIÓN DEL ALCANCE
79
5.4 ESTRUCTURA ORGANIZACIONAL DE LA SEGURIDAD DE LA
INFORMACIÓN
80
5.5 IDENTIFICACIÓN DE ACTIVOS TECNOLÓGICOS
Cada uno de los activos fue puntuado para determinar el grado de criticidad para la
institución educativa y poder tener el insumo que permita realizar el cálculo de los
riesgos inherentes basados en los tres criterios Confiabilidad, Integridad y
disponibilidad, el valor máximo de cada ítem evaluado por criterio es 1, dando un
total de 3 punto como máximo para cada criterio.
81
De acuerdo a la valoración dada a cada activo para los criterios se determina la
criticidad de acuerdo a la siguiente tabla:
82
Tabla 20 Criticidad de los activos Fuente propia
Financiero
Legal
Financiero
Financiero
Confidencialidad
Disponibilidad
N° NOMBRE DEL Nivel de
Valor Total
Integridad
PROCESO TIPO DOCUMENTO OBSERVACIONES
ACTIVO DOCUMENTO criticidad
Imagen
Imagen
Imagen
Legal
Legal
Se encontró la
información detrás
Coordinación
Reporte de conducta 1 1 1 1 1 1 1 1 1 3 3 3 9 de un archivador, se
Disciplinaría
Inapropiada del evidencia registro
1 Formato estudiante ALTO fotográfico
No tiene placa de
Coordinación 6 archivadores de 4 inventario, están
1 1 1 1 1 1 1 1 1 3 3 3 9
Académica gavetas, 5 metálico y Providencia tarde - 3 marcados por los
2 1 de madera archivadores metálicos NO APLICA grados escolares
Documentos varios,
Coordinación
bolsas cuadernos y 1 1 1 1 1 1 1 1 1 3 3 3 9
Académica
3 carpetas 1 archivador de madera NO APLICA
tiene hojas de vida de
Coordinación información varia de los docentes y
1 1 1 1 1 1 1 1 1 3 3 3 9
Académica la julita y marco Fidel administrativos,
4 Suarez 2 archivadores metálicos ALTO diplomas
83
hay un sensor de
movimiento, en un
punto ciego, en la
parte superior hay
información del
Colegio Remigio
Coordinación Antonio Cañarte del
1 1 1 1 1 1 1 1 1 3 3 3 9
Académica año 2013, hay una
carpeta con
información del liceo información de
archivador movible de Pereira desde el año registro de notas y
3 cuerpos, en la parte 1958, información del certificación de notas
trasera, 5 entrepaños colegio Juvenal Cano del año 2013 del
6 ALA 3 Moreno desde 1970 ALTO remigio Antonio
Coordinación información del Rafael 1 1 1 1 1 1 1 1 1 3 3 3 9
7 Académica ala 3 parte delante Uribe Uribe y de la julita ALTO
información del Rafael se encontró una
Coordinación Uribe, colegio Hildardo bolsa como marbetes
Castaño Orozco Corosito 1 1 1 1 1 1 1 1 3 2 3 8 usados, otra bolsa
Académica
desde el año 1991, con muchos ganchos
8 Ala 2 parte trasera Benjamín herrera ALTO de legajar
información del Rafael
Coordinación Uribe desde 1965 y
1 1 1 1 1 1 1 1 3 2 3 8
Académica juvenal cano por años
9 ala 2 parte delantera desde 1994 ALTO
información del colegio
Coordinación Benjamín Herrara, Liceo
Pereira, complejo 1 1 1 1 1 1 1 1 1 3 3 3 9
Académica
educativo la julita y
10 ala 1 marco Fidel Suarez ALTO
84
CRITICIDAD DE LOS ACTIVOS TÉCNOLOGICO
Disponibilidad
Confidencialidad Integridad Disponibilidad
Confidencialidad
COD
N° Nivel de
Valor Total
Integridad
PROCESO TIPO ACTIVO INVENTARIO SERIAL ESTADO MODELO MARCA OBSERVACIONES
ACTIVO criticidad
Financiero
Financiero
Financiero
INTERNO
Imagen
Imagen
Imagen
Legal
Legal
Legal
Se encontró
Coordinación detrás de un
1 Disciplinaría BAFLES NO TIENE CNPV03275076 BUENO AR550A COMPAQ 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA archivador
Coordinación
2 Disciplinaría MOUSE NO TIENE BZC5VF BUENO MSU0923 HP 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Coordinación
3 Disciplinaría TECLADO NO TIENE BZC17W BUENO KU-0841 HP 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Coordinación
4 Disciplinaría DVD NO TIENE BUENO VTA-83006 VTA 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA Serial despegado
Coordinación
5 Disciplinaría COMPUTADOR NO TIENE 3CR03314FH BUENO 100-5010LA HP OMNI 100 0 1 1 1 1 1 1 1 1 2 3 3 8 ALTO Es un todo en uno
la carcasa de la
parte superior de
Coordinación la impresora está
6 Disciplinaría IMPRESORA NO TIENE CNB2716847 REGULAR HP LASERJET 1020 HP 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA quebrada
Capacidad de
1000 voltios, con
Coordinación 4 puertos de
7 Disciplinaría ESTABILIZADOR VARIOS 0012 N/A BUENO PR-1000 ARTELECTRO 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA conexión
85
Coordinación
8 Académico BAFLES NO TIENE YK8094009539 BUENO SP-F200 GENIUS 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Coordinación
9 Académico UPS NO TIENE N/A BUENO PS1200 UNITEC 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Coordinación
11 Académico IMPRESORA LASER NO TIENE VND3G45473 BUENO LASERJET 1102 HP 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Coordinación
12 Académico ESTABILIZADOR NO TIENE BUENO R1000 ELECTROLINEC 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Coordinación
13 Académico TELEFONO (CONMUTADOR) BUENO KXT7730X PANASONIC 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Coordinación
14 Académico TECLADO 2 N/A BUENO DELL 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Coordinación
15 Académico CPU BUENO JANUS 0 1 1 1 1 1 1 1 1 2 3 3 8 ALTO
Coordinación
16 Académico MONITOR NO TIENE ET78807191026 BUENO E2200HDA LCD BENQ 0 1 1 1 1 1 1 1 1 2 3 3 8 ALTO
Coordinación
17 Académico MOUSE NO TIENE 120900250 BUENO HM5010 PC SMART 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Secretaría de
19 Rectoría MONITOR NO TIENE ET89806379026 BUENO E2200HDA LCD BENQ 0 1 1 1 1 1 1 1 1 2 3 3 8 ALTO
Secretaría de
20 Rectoría TORRE NO TIENE EQ S/PCS100066 BUENO NO TIENE PC SMART 0 1 1 1 1 1 1 1 1 2 3 3 8 ALTO
86
Secretaría de
21 Rectoría MOUSE NO TIENE 165127506245 BUENO NO TIENE GENIUS 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Secretaría de
22 Rectoría TECLADO NO TIENE CN-0DJ415-71616-6AH-0MHY BUENO SK-8115 DELL 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA TODO SE BORRO
Secretaría de
23 Rectoría IMPRESORA NO TIENE CNBKS20434 BUENO LASERJET 1200 HP 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
Secretaría de
24 Rectoría TELEFONO NO TIENE BORRADO BUENO KX-T2310 PANASONIC 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA Se borró el serial
Secretaría de
25 Rectoría IMPRESORA NO TIENE NO TIENE BUENO FS1016MFP KYOCERA 0 0 0 0 0 0 0 0 0 0 0 0 0 NO APLICA
87
5.6 DETERMINACIÓN DE RIESGOS
88
Pérdida de la integridad y disponibilidad de información almacenada en medios, causa por un tratamiento indebido o no autorizado por
19
parte de las personas que las custodian o de terceros
20 Acceso de personal no autorizado a CPD
21 Acceso de personal no autorizado a información crítica por medio de las conexiones de red
22 Acceso a los activos de información con privilegios disonantes con el perfil del usuario
23 Acceso de los activos de información por parte de personal no autorizado
24 Acceso a sistemas de información por deficiencias en los sistemas de autenticación
25 Acceso no autorizado a los sistemas de información
26 Parálisis de los servicios de los sistemas de información por el uso de programas utilitarios
27 Instalación de código no autorizado que afecte negativamente la operación de los sistemas de información
28 Acceso a información privilegiada
29 Intrusión de personas ajenas no autorizadas a las instalaciones físicas
30 Pérdida de activos críticos causado por desastres naturales ataques maliciosos o accidentes
31 Sanciones legales o daño en activos
32 Daños en los equipos por fallas de fluido eléctrico
*Daños en los cableados por problemas eléctricos
33
*Interceptación del sistema de registro de estudiantes y tesorería
34 Fallos en la prestación de servicio de tesorería y secretaria académica por problemas en los funcionamientos de los equipos
35 Pérdida de los equipos
36 Pérdida de los equipos o daños cuando se encuentran fuera de la instalación
37 Pérdida de información por falta de copias de seguridad
38 Daños en los equipos
39 Dificultad en la recuperación de información crítica
Error en los procedimientos de registro académico por falta de información documentada que especifique las actividades relacionadas
40
con dicho registro
41 Pérdida de integridad de la información en el proceso de registro académico
42 Deficiencias en la atención de la comunidad académica por recursos insuficientes
89
43 Errores de disponibilidad de la información académica y tesorería por uso de software sin haber realizado pruebas
44 Interceptación de información por código maliciosos instalado con o sin voluntad por el usuario del sistema
45 Perdidas de la continuidad del negocio por daños en los equipos o sistemas de información
46 Problemas en sistemas de información sin resolver por falta de información de trazabilidad
47 Acceso no autorizado a la información de registro
48 Problemas de integridad de información sin resolver por falta de sincronización de los sistemas de información
49 Sanciones legales por software pirata
50 Acceso no autorizado a información crítica
51 Acceso no autorizado a información crítica a través de las redes
52 Acceso no autorizado en los sistemas de información de secretaria académica mediante la explotación de vulnerabilidades
53 Fallos en la prestación del servicio por falta de pruebas
54 Daños en la información original comprometiendo la disponibilidad, integridad y confidencialidad de la información
55 Acceso no autorizado a información crítica
56 Fuga de información de los dicentes por parte de los proveedores que intervienen en los sistemas de información
57 Pérdida de imagen por no atención oportuna por daños en los activos
58 No se presta el servicio de registro académico permanentemente a los usuarios a consecuencia de un desastre natural
Ausencia de información crítica redundante que garantice la disponibilidad y la continuidad de los procesos críticos (registro académico y
59
tesorería)
60 Sanciones legales por uso inadecuado de la información de conformidad por lo dispuesto por el MEN
61 Sanciones legales por uso inadecuado de la información de conformidad por lo dispuesto por la legislación de derechos de autor
62 Sanciones legales por uso inadecuado de la información de conformidad por lo dispuesto por el MEN y la ley de habeas data
63 Ausencia de controles alineados a la realidad operativa de la seguridad de la información por falta de revisiones periódicas
90
5.7 CALIFICACIÓN DEL RIESGO INHERENTE
Para la calificación del impacto potencial se tomaron los criterios establecidos por la Norma NISP 800-60
91
Tabla 23 Calificación de impacto potencial Fuente NIST SP 800-60 (2008)
IMPACTO POTENCIAL
BAJO (1) MODERADO (2) ALTO (3)
CONFIDENCIALIDAD la divulgación no se podría esperar que la la divulgación no autorizada
La preservación de las autorizada de divulgación no autorizada de información podría tener
restricciones autorizadas información podría de información tenga un un efecto adverso grave o
sobre el acceso y tener un efecto adverso efecto adverso serio catastrófico en las
divulgación de limitado en las sobre las operaciones de operaciones de la
información, que incluye operaciones de la la organización, los organización, los activos de
medios para la protección organización, los activos de la la organización, o individuos.
de la intimidad personal y activos de la organización o sus
la propiedad de la organización o sus individuos.
información. individuos
La modificación o
La modificación o
destrucción no La modificación o destrucción
INTEGRIDAD destrucción no
autorizada de no autorizada de información
Protección contra la autorizada de
información podrían podrían tener un efecto
inapropiada modificación o información podrían
tener un efecto adverso adverso grave o
destrucción de tener un efecto adverso
limitado en las catastrófico en las
información, e incluye serio en las operaciones
operaciones de la operaciones de la
garantizar el no repudio y de la organización, los
organización, los organización, los activos de
la autenticidad de la activos de la
activos de la la organización o sus
información. organización o sus
organización o sus individuos
individuos
individuos
92
La interrupción del
La interrupción del La interrupción del acceso o
acceso o uso de
acceso o uso de uso de información o a un
información o a un
información o a un sistema de información
sistema de información
DISPONIBILIDAD sistema de información podría tener un efecto
podría tener un efecto
Garantizar el acceso podría tener un efecto adverso grave o
adverso limitado en las
oportuno y confiable y uso adverso serio en las catastrófico en las
operaciones de la
de la información. operaciones de la operaciones de la
organización, los
organización, los activos organización, los activos de
activos de la
de la organización, o sus la organización, o sus
organización, o sus
individuos. individuos.
individuos.
93
Tabla 24 Escenarios de riesgos Fuente Propia
IMPACTO VULNERABILIDAD INHERENTE
CODIGO ESCENARIO DE RIESGO PROBABILIDAD
C I D TOTAL C I D T
Problemas legales por pérdida de
1 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
información
Falta de reacción apropiada y
2 oportuna en la ocurrencia de un 2 1 1 2 4 22,22% 22,22% 44,44% 29,63%
incidente
Obsolescencia en los controles de
3 2 2 2 2 6 44,44% 44,44% 44,44% 44,44%
seguridad por falta de capacitación
La ejecución de un proyecto puede
alterar la Confiabilidad,
4 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
disponibilidad e integridad de los
activos críticos
Acceso a información crítica
5 mediante el uso de dispositivos 2 3 0 0 3 66,67% 0,00% 0,00% 22,22%
móviles
Tratamiento inadecuado de la
información debido a la falta de
6 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
claridad en las condiciones de
trabajo
Tratamiento inadecuado de la
información crítica por
7 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
desconocimiento de la políticas y
procedimientos
94
No contar con un proceso
debidamente documentado, que de
las directrices para adelantar
8 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
procesos disciplinarios en caso de
violación en la seguridad de la
información
Acceso de información privilegiado
9 por parte de un empleado que ha 2 1 1 1 3 22,22% 22,22% 22,22% 22,22%
sido promovido
Perdida de activos por falta de un
10 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
inventario actualizado
Imposibilidad en la asignación de
11 responsabilidades en caso de 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
pérdida o daño de activos
Uso inadecuado de los activos por
12 parte de los propietarios de los 2 1 1 1 3 22,22% 22,22% 22,22% 22,22%
mismos
Pérdida de los activos por falta de
13 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
trazabilidad en préstamo.
Sanciones legales por tratamiento
14 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
indebido de la información
Imposibilidad de recuperación de la
información necesario o requerida
15 2 2 2 2 6 44,44% 44,44% 44,44% 44,44%
para adelantar procesos críticos de
prestación del servicio
Manejo inadecuado de activos por
16 carencia de una adecuada 2 2 2 2 6 44,44% 44,44% 44,44% 44,44%
clasificación de la información
95
Copia no autorizada de información
17 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
crítica de la organización
18 Robo de medios 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
Pérdida de la integridad y
disponibilidad de información
almacenada en medios, causa por
19 un tratamiento indebido o no 3 3 3 3 3 100,00% 100,00% 100,00% 33,33%
autorizado por parte de las
personas que las custodian o de
terceros
Acceso de personal no autorizado a
20 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
CPD
Acceso de personal no autorizado a
21 información crítica por medio de las 3 3 3 3 3 100,00% 100,00% 100,00% 33,33%
conexiones de red
Acceso a los activos de información
22 con privilegios disonantes con el 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
perfil del usuario
Acceso de los activos de
23 información por parte de personal 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
no autorizado
Acceso a sistemas de información
24 por deficiencias en los sistemas de 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
autenticación
Acceso no autorizado a los sistemas
25 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
de información
96
Parálisis de los servicios de los
26 sistemas de información por el uso 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
de programas utilitarios
Instalación de código no autorizado
que afecte negativamente la
27 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
operación de los sistemas de
información
28 Acceso a información privilegiada 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
Intrusión de personas ajenas no
29 autorizadas a las instalaciones 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
físicas
Pérdida de activos críticos causado
30 por desastres naturales ataques 3 3 3 3 3 100,00% 100,00% 100,00% 33,33%
maliciosos o accidentes
31 Sanciones legales o daño en activos 2 2 2 2 6 44,44% 44,44% 44,44% 44,44%
Daños en los equipos por fallas de
32 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
fluido eléctrico
*Daños en los cableados por
problemas eléctricos
33 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
*Interceptación del sistema de
registro de estudiantes y tesorería
Fallos en la prestación de servicio de
tesorería y secretaria académica por
34 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
problemas en los funcionamientos
de los equipos
35 Pérdida de los equipos 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
97
Pérdida de los equipos o daños
36 cuando se encuentran fuera de las 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
instalaciones
Pérdida de información por falta de
37 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
copias de seguridad
38 Daños en los equipos 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
Dificultad en la recuperación de
39 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
información crítica
Error en los procedimientos de
registro académico por falta de
40 información documentada que 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
especifique las actividades
relacionadas con dicho registro
Pérdida de integridad de la
41 información en el proceso de 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
registro académico
Deficiencias en la atención de la
42 comunidad académica por recursos 2 1 1 1 3 22,22% 22,22% 22,22% 22,22%
insuficientes
Errores de disponibilidad de la
información académica y tesorería
43 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
por uso de software sin haber
realizado pruebas
Interceptación de información por
código maliciosos instalado con o
44 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
sin voluntad por el usuario del
sistema
98
Perdidas de la continuidad del
45 negocio por daños en los equipos o 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
sistemas de información
Problemas en sistemas de
46 información sin resolver por falta de 2 2 2 2 6 44,44% 44,44% 44,44% 44,44%
información de trazabilidad
Acceso no autorizado a la
47 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
información de registro
Problemas de integridad de
información sin resolver por falta de
48 2 1 1 1 3 22,22% 22,22% 22,22% 22,22%
sincronización de los sistemas de
información
Sanciones legales por software
49 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
pirata
Acceso no autorizado a información
50 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
crítica
Acceso no autorizado a información
51 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
crítica a través de las redes
Acceso no autorizado en los
sistemas de información de
52 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
secretaria académica mediante la
explotación de vulnerabilidades
Fallos en la prestación del servicio
53 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
por falta de pruebas
Daños en la información original
comprometiendo la disponibilidad,
54 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
integridad y confidencialidad de la
información
99
Acceso no autorizado a información
55 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
crítica
Fuga de información de los dicentes
por parte de los proveedores que
56 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
intervienen en los sistemas de
información
Pérdida de imagen por no atención
57 3 1 1 1 3 33,33% 33,33% 33,33% 33,33%
oportuna por daños en los activos
No se presta el servicio de registro
académico permanentemente a los
58 2 2 2 2 6 44,44% 44,44% 44,44% 44,44%
usuarios a consecuencia de un
desastre natural
Ausencia de información crítica
redundante que garantice la
59 disponibilidad y la continuidad de 3 3 3 3 9 100,00% 100,00% 100,00% 100,00%
los procesos críticos (registro
académico y tesorería)
Sanciones legales por uso
inadecuado de la información de
60 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
conformidad por lo dispuesto por el
MEN
Sanciones legales por uso
inadecuado de la información de
61 2 2 2 2 6 44,44% 44,44% 44,44% 44,44%
conformidad por lo dispuesto por la
legislación de derechos de autor
100
Sanciones legales por uso
inadecuado de la información de
62 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
conformidad por lo dispuesto por el
MEN y la ley de habeas data
Ausencia de controles alineados a la
realidad operativa de la seguridad
63 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
de la información por falta de
revisiones periódicas
101
Tabla 26 Mapa de riesgos confidencialidad inherente Fuente Propia
,566,7,8,14,17,18,19,21,23,24,25,26,27,28,29
57 1,10,13,49,53,60,62 ,30,32,34,35,36,37,39,40,41,43,44,45,47,50,5
3
1,52,53,54,55,59
PROBABILIDAD
1 2 3
IMPACTO
102
Tabla 27 Mapa de Riesgos Integridad inherente Fuente Propia
6,7,8,14,17,18,19,21,23,24,25,26,27,28,29,30
57 1,9,10,13,49,53,60,62 ,32,34,35,36,37,39,40,41,43,44,45,50,51,52,5
3
3,54,55,56,59
PROBABILIDAD
1 2 3
IMPACTO
103
Tabla 28 Mapa de riesgos disponibilidad inherente Fuente Propia
6,7,8,14,17,18,19,21,23,24,25,26,27,28,29,30
57 1,10,13,49,53,60,62 ,32,34,35,36,37,39,40,41,43,44,45,50,51,52,5
3
3,54,55,56,59
PROBABILIDAD
1 2 3
IMPACTO
104
Tabla 29 Mapa de riesgos total inherente Fuente Propia
6,7,8,14,17,18,19,21,23,24,25,26,27,28,29,30,32,34,35,36,37,39,40,41,43,44,45,5
57 10
3
0,51,52,53,54,55,56,59
PROBABILIDAD
5,9,42,48 3,11,13,16,31,38,46,47,58,60,
2 4,15,20,33,49
2
,53 61,62,63
12
1
1 2 3 4 5 6 7 8 9
IMPACTO
105
5.9 DEFINICIÓN DE CONTROLES
106
La ejecución de un proyecto puede
4 alterar la Confiabilidad, disponibilidad A.6.1.5 Seguridad de la información en la gestión de proyectos
e integridad de los activos críticos
Tratamiento inadecuado de la
información crítica por Toma de conciencia, educación y formación en la
7 A.7.2.2
desconocimiento de la políticas y seguridad de la información
procedimientos
107
Perdida de activos por falta de un
10 A.8.1.1 Inventarios de activos
inventario actualizado
Imposibilidad en la asignación de
11 responsabilidades en caso de pérdida o A.8.1.2 Propiedad de los activos
daño de activos
Imposibilidad de recuperación de la
información necesario o requerida
15 A.8.2.2 Etiquetado de la información
para adelantar procesos críticos de
prestación del servicio
108
Copia no autorizada de información
17 A.8.3.1 Gestión de medios removibles
crítica de la organización
Pérdida de la integridad y
disponibilidad de información
almacenada en medios, causa por un
19 A.8.3.3 Transferencia de los medios físicos
tratamiento indebido o no autorizado
por parte de las personas que las
custodian o de terceros
Acceso de personal no autorizado a
20 A.9.1.1 Política de control de acceso
CPD
109
*Gestión de información de autenticación secreta de
Acceso de los activos de información A.9.2.4 usuarios
23
por parte de personal no autorizado A.9.2.5 *Revisión de los derechos de acceso de usuarios
110
Pérdida de activos críticos causado por
30 desastres naturales ataques maliciosos A.11.1.4 Protección contra amenazas externas y ambientales
o accidentes
111
Pérdida de los equipos o daños cuando
36 se encuentran fuera de las A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones
instalaciones
Dificultad en la recuperación de
39 A.11.2.9 Política de escritorio limpio y pantalla limpia
información crítica
Pérdida de integridad de la
41 información en el proceso de registro A.12.1.2 Gestión de cambios
académico
112
Deficiencias en la atención de la
42 comunidad académica por recursos A.12.1.3 Gestión de capacidad
insuficientes
Errores de disponibilidad de la
información académica y tesorería por Separación de los ambientes de desarrollo, pruebas y
43 A.12.1.4
uso de software sin haber realizado operación
pruebas
113
Problemas de integridad de
información sin resolver por falta de
48 A.12.4.4 Sincronización de relojes
sincronización de los sistemas de
información
*Controles de redes
*Seguridad de los servicios de red
A.13.1.1
*Separación en las redes
A.13.1.2
*Políticas y procedimientos de transferencia de
A.13.1.3
información
A.13.2.1
Acceso no autorizado a información *Acuerdos sobre transferencia de información
51 A.13.2.2
crítica a través de las redes *Mensajería electrónica
A.13.2.3
*Acuerdos de confidencialidad o de no divulgación
A.13.2.4
*Seguridad de servicios de las aplicaciones en redes
A.14.1.2
públicas
A.14.1.3
*Protección de transacciones de los servicios de las
aplicaciones
114
Acceso no autorizado en los sistemas
de información de secretaria Análisis y especificación de requisitos de seguridad de la
52 A.14.1.1
académica mediante la explotación de información
vulnerabilidades
115
*Responsabilidades y procedimientos
A.16.1.1 *Reportes de eventos de seguridad de información
A.16.1.2 *Reporte de debilidades de seguridad de la información
A.16.1.3 *Evaluación de eventos de seguridad de la información y
Pérdida de imagen por no atención
57 A.16.1.4 decisiones sobre de ellos
oportuna por daños en los activos
A.16.1.5 *Respuesta a incidentes de seguridad de la información
A.16.1.6 *Aprendizaje obtenidos de los incidentes de seguridad de
A.16.1.7 la información
*Recolección de evidencia
*Planificación de la continuidad de la seguridad de la
No se presta el servicio de registro información
A.17.1.1
académico permanentemente a los *Implementación de la continuidad de la seguridad de la
58 A.17.1.2
usuarios a consecuencia de un información
A.17.1.3
desastre natural *Verificación, revisión y evaluación de la continuidad de
la seguridad de la información
116
Sanciones legales por uso inadecuado
de la información de conformidad por
61 A.18.1.2 Derechos de propiedad intelectual
lo dispuesto por la legislación de
derechos de autor
117
5.10 CALIFICACIÓN DEL RIESGO RESIDUAL
TABLA DE PROBABILIDADES
Para la calificación del impacto potencial se tomaron los criterios establecidos por la Norma NISP 800-60
118
Tabla 32 Criterios del Impacto potencial Fuente NIST SP 800-60 (2008)
IMPACTO POTENCIAL
BAJO (1) MODERADO (2) ALTO (3)
CONFIDENCIALIDAD la divulgación no se podría esperar que la la divulgación no autorizada
La preservación de las autorizada de divulgación no autorizada de información podría tener
restricciones autorizadas información podría de información tenga un un efecto adverso grave o
sobre el acceso y tener un efecto adverso efecto adverso serio catastrófico en las
divulgación de limitado en las sobre las operaciones de operaciones de la
información, que incluye operaciones de la la organización, los organización, los activos de
medios para la protección organización, los activos de la la organización, o individuos.
de la intimidad personal y activos de la organización o sus
la propiedad de la organización o sus individuos.
información. individuos
La modificación o
La modificación o
destrucción no La modificación o destrucción
INTEGRIDAD destrucción no
autorizada de no autorizada de información
Protección contra la autorizada de
información podrían podrían tener un efecto
inapropiada modificación o información podrían
tener un efecto adverso adverso grave o
destrucción de tener un efecto adverso
limitado en las catastrófico en las
información, e incluye serio en las operaciones
operaciones de la operaciones de la
garantizar el no repudio y de la organización, los
organización, los organización, los activos de
la autenticidad de la activos de la
activos de la la organización o sus
información. organización o sus
organización o sus individuos
individuos
individuos
119
La interrupción del
La interrupción del La interrupción del acceso o
acceso o uso de
acceso o uso de uso de información o a un
información o a un
información o a un sistema de información
sistema de información
DISPONIBILIDAD sistema de información podría tener un efecto
podría tener un efecto
Garantizar el acceso podría tener un efecto adverso grave o
adverso limitado en las
oportuno y confiable y uso adverso serio en las catastrófico en las
operaciones de la
de la información. operaciones de la operaciones de la
organización, los
organización, los activos organización, los activos de
activos de la
de la organización, o sus la organización, o sus
organización, o sus
individuos. individuos.
individuos.
120
Obsolescencia en los controles de
3 seguridad por falta de 2 1 1 1 3 22,22% 22,22% 22,22% 22,22%
capacitación
La ejecución de un proyecto
puede alterar la Confiabilidad,
4 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
disponibilidad e integridad de los
activos críticos
Acceso a información crítica
5 mediante el uso de dispositivos 1 3 0 0 3 33,33% 0,00% 0,00% 11,11%
móviles
Tratamiento inadecuado de la
información debido a la falta de
6 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
claridad en las condiciones de
trabajo
Tratamiento inadecuado de la
información crítica por
7 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
desconocimiento de la políticas y
procedimientos
No contar con un proceso
debidamente documentado, que
de las directrices para adelantar
8 3 2 2 2 6 66,67% 66,67% 66,67% 66,67%
procesos disciplinarios en caso de
violación en la seguridad de la
información
121
Acceso de información
9 privilegiado por parte de un 1 1 1 1 3 11,11% 11,11% 11,11% 11,11%
empleado que ha sido promovido
122
Copia no autorizada de
17 información crítica de la 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
organización
Pérdida de la integridad y
disponibilidad de información
almacenada en medios, causa por
19 un tratamiento indebido o no 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
autorizado por parte de las
personas que las custodian o de
terceros
Acceso de personal no autorizado
20 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
a CPD
Acceso de personal no autorizado
21 a información crítica por medio de 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
las conexiones de red
Acceso a los activos de
información con privilegios
22 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
disonantes con el perfil del
usuario
Acceso de los activos de
23 información por parte de personal 2 3 3 3 9 66,67% 66,67% 66,67% 66,67%
no autorizado
Acceso a sistemas de información
24 por deficiencias en los sistemas de 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
autenticación
123
Acceso no autorizado a los
25 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
sistemas de información
Parálisis de los servicios de los
26 sistemas de información por el 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
uso de programas utilitarios
Instalación de código no
autorizado que afecte
27 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
negativamente la operación de los
sistemas de información
28 Acceso a información privilegiada 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
Intrusión de personas ajenas no
29 autorizadas a las instalaciones 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
físicas
Pérdida de activos críticos
30 causado por desastres naturales 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
ataques maliciosos o accidentes
124
Fallos en la prestación de servicio
de tesorería y secretaria
34 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
académica por problemas en los
funcionamientos de los equipos
125
Errores de disponibilidad de la
información académica y
43 3 1 1 1 3 33,33% 33,33% 33,33% 33,33%
tesorería por uso de software sin
haber realizado pruebas
Interceptación de información por
código maliciosos instalado con o
44 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
sin voluntad por el usuario del
sistema
Perdidas de la continuidad del
45 negocio por daños en los equipos 3 1 1 1 3 33,33% 33,33% 33,33% 33,33%
o sistemas de información
Problemas en sistemas de
46 información sin resolver por falta 1 2 2 2 6 22,22% 22,22% 22,22% 22,22%
de información de trazabilidad
Acceso no autorizado a la
47 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
información de registro
Problemas de integridad de
información sin resolver por falta
48 1 1 1 1 3 11,11% 11,11% 11,11% 11,11%
de sincronización de los sistemas
de información
Sanciones legales por software
49 1 2 2 2 6 22,22% 22,22% 22,22% 22,22%
pirata
Acceso no autorizado a
50 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
información crítica
Acceso no autorizado a
51 información crítica a través de las 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
redes
126
Acceso no autorizado en los
sistemas de información de
52 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
secretaria académica mediante la
explotación de vulnerabilidades
Fallos en la prestación del servicio
53 1 1 0 0 1 11,11% 0,00% 0,00% 3,70%
por falta de pruebas
Daños en la información original
comprometiendo la
54 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
disponibilidad, integridad y
confidencialidad de la información
Acceso no autorizado a
55 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
información crítica
Fuga de información de los
dicentes por parte de los
56 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
proveedores que intervienen en
los sistemas de información
Pérdida de imagen por no
57 atención oportuna por daños en 1 1 1 1 3 11,11% 11,11% 11,11% 11,11%
los activos
No se presta el servicio de registro
académico permanentemente a
58 2 1 1 1 3 22,22% 22,22% 22,22% 22,22%
los usuarios a consecuencia de un
desastre natural
Ausencia de información crítica
59 redundante que garantice la 1 3 3 3 9 33,33% 33,33% 33,33% 33,33%
disponibilidad y la continuidad de
127
los procesos críticos (registro
académico y tesorería)
Sanciones legales por uso
inadecuado de la información de
60 1 2 2 2 6 22,22% 22,22% 22,22% 22,22%
conformidad por lo dispuesto por
el MEN
Sanciones legales por uso
inadecuado de la información de
61 conformidad por lo dispuesto por 1 2 2 2 6 22,22% 22,22% 22,22% 22,22%
la legislación de derechos de
autor
Sanciones legales por uso
inadecuado de la información de
62 1 2 2 2 6 22,22% 22,22% 22,22% 22,22%
conformidad por lo dispuesto por
el MEN y la ley de habeas data
Ausencia de controles alineados a
la realidad operativa de la
63 1 2 2 2 6 22,22% 22,22% 22,22% 22,22%
seguridad de la información por
falta de revisiones periódicas
128
IDENTIFICACIÓN CRITERIO DESCRIPCIÓN
ACEPTABLE Vulnerabilidad < 25%
TOLERABLE Vulnerabilidad entre el 25 y el 50%
INACEPTABLE Vulnerabilidad superior al 50%
43 13 8,24,50
3
PROBABILIDAD
4,5,20,23,25,26,27,28,29,30,32,33,34,35,36,
9,12,42,48,53,57 15,16,31,38,46,60,61,62,63
1
37,39,40,41,44,45,47,51,52,54,55,56,59
1 2 3
IMPACTO
129
Tabla 36 Mapa de riesgo integridad residual Fuente Propia
43 13 8,24,50
3
PROBABILIDAD
4,2,23,25,26,27,28,29,30,32,33,34,35,36,37,
9,12,42,48,57,60 15,16,31,38,46,61,62,63
1
39,40,41,44,45,47,51,52,54,55,56,59
1 2 3
IMPACTO
130
Tabla 37 Mapa de riesgo disponibilidad residual Fuente Propia
43 13 8,24,50
3
PROBABILIDAD
4,2,23,25,27,28,29,30,32,33,34,35,36,37,
9,12,42,48,57,60 15,16,31,38,46,61,62,63
1
39,40,41,44,45,47,51,52,54,55,56,59
1 2 3
IMPACTO
131
Tabla 38 Mapa de riesgos total residual Fuente Propia
8 50
3
PROBABILIDAD
1 2 3 4 5 6 7 8 9
IMPACTO
132
5.12 PLAN DE MITIGACIÓN DE RIESGOS
133
La institución debe establecer el
procedimiento a seguir para la
notificación de un incidente de seguridad
de la información, así como la
Falta de reacción apropiada y oportuna identificación de las autoridades
2 Seguridad Bajo
en la ocurrencia de un incidente pertinentes - policía, entes reguladores,
etc, permitirá que dichos eventos no
pasen desapercibidos, recibiendo el
tratamiento adecuado por parte de las
autoridades correspondientes
La institución debe establecer
comunicación con los grupos de interés a
Obsolescencia en los controles de
3 los que pertenece en este caso, al Rectoría Bajo
seguridad de capacitación núcleo, las secretarias de educación,
ministerio de educación nacional
Los proyectos que se realicen dentro del
alcance del presente proyecto deberán
La ejecución de un proyecto puede ser gestionado debidamente mediante Coordinación académica
4 alterar la Confiabilidad, disponibilidad una metodología teniendo en cuenta la Medio
gestión de riesgos y además contar con y rectoría
e integridad de los activos críticos
lineamiento de seguridad de la
información.
134
*Establecer procedimientos
documentados que garanticen la
adecuada verificación de antecedentes y
cualificación de las personas que aspiran
Tratamiento inadecuado de la a realizar trabajos dentro de la institución
6 información debido a la falta de *Se debe especificar la responsabilidad
Rectoría y secretaría Bajo
claridad en las condiciones de trabajo de la rectoría en cuanto a la
implementación y el mantenimiento del
SGSI puesto que hace parte del plan
estratégico y a los intereses de sus
estudiantes
135
La institución debe manejar un inventario
Perdida de activos por falta de un
10 de activos en el que se identifique el tipo Área de Sistemas Alto
inventario actualizado de activo y su ubicación.
Los activos de información deben ser
asignados a un custodio encargado del
Imposibilidad en la asignación de inventario, clasificación y protección de
11 responsabilidades en caso de pérdida o los activos, así como de la destrucción Área de Sistemas Alto
daño de activos en caso de que sea necesario, además
de la revisión de las restricciones en
cuanto a accesos
136
Realizar el etiquetado que identifique la
Imposibilidad de recuperación de la información según la clasificación
previamente definida, en el caso de los
información necesario o requerida
15 sistemas información los usuarios Área de Sistemas Alto
para adelantar procesos críticos de deberán ver un mensaje visible que
prestación del servicio indique la clasificación de la información
al que accede.
137
Establecer una política de acceso a nivel
Acceso de personal no autorizado a de red que establezca los lineamientos
21 información crítica por medio de las en cuanto a segmentación de redes, Área de Sistemas Medio
conexiones de red acceso de externos a la red interna,
monitoreo, etc
138
*Para mitigar el riesgo de acceso no
autorizado, se debe mantener un
procedimiento de alta y sobretodo bajas
de usuario de los sistemas de la
institución
139
*Se debe establecer las directivas de uso
de los métodos de autenticación, así
como los requisitos para asegurar la
confidencialidad de estos datos siento
indispensable que estas directivas, se
hagan publica a todos los empleados de
la institución
Acceso de los activos de información
23 Área de Sistemas Medio
por parte de personal no autorizado
*Los responsables de los activos de
información son quienes deben vigilar
que empleados puede acceder a los
activos de información, además de
revisar periódicamente los usuarios que
tienen permiso para identificar los que
ya no están autorizados a acceder
140
Establecer requisitos mínimos en cuanto
Parálisis de los servicios de los sistemas a complejidad de contraseñas, los
26 de información por el uso de procedimientos de cambios de Área de Sistemas Alto
programas utilitarios contraseñas y el almacenamiento de las
mismas entre otros
141
*Establecer un límite de acceso físico a
los empleados y personal externo a las
áreas donde se encuentran la
información crítica
142
Pérdida de activos críticos causado por Implementar medidas para proteger la
información crítica frente a incidentes
30 desastres naturales ataques maliciosos que puedan afectar tanto naturales como
Comité Alto
o accidentes provocados como los incendios
Establecer puntos alejados de las áreas Jefe de sistemas y
31 Sanciones legales o daño en activos críticas, donde se permita trabajar de Alto
forma segura Rectoría
143
La institución debe asegurar que el uso
Pérdida de los equipos o daños cuando de la información crítica de la institución Área de Sistemas y
36 Alto
se encuentran fuera de la instaciones que maneja haya sido autorizado por las Rectoría
personas correspondientes
Los equipos que se den de baja o se
cambien de área deben hacer pasado
Pérdida de información por falta de Área de Sistemas y
37 por un proceso de limpieza que garantice Alto
copias de seguridad la eliminación completa de toda la Rectoría
información sensible que pueda contener
Los empleados deberán mantener la
seguridad de sus equipos incluso cuando
38 Daños en los equipos se levantan del puesto de trabajo para Área de Sistemas Alto
dirigirse a otro sector, o cuando no se
está trabajando
Los empleados deberán mantener los
Dificultad en la recuperación de escritorios libres de cualquier información
39 crítica que pueda ser usada o extraída
Área de Sistemas Medio
información crítica
por persona externo.
144
Deficiencias en la atención de la Se debe hacer seguimiento al uso de
recursos y establecer si se necesita más
42 comunidad académica por recursos recursos para asegurar el desempeño
Rectoría Alto
insuficientes requerido del sistema.
Errores de disponibilidad de la Se deben separar las áreas, para reducir
información académica y tesorería por los riesgos de acceso o cambios no
43 Área de Sistemas Medio
uso de software sin haber realizado autorizados el área donde se encuentre
pruebas información crítica
145
*Establecer una política de respaldo que
garantice la continuidad de la atención y
mitigue la pérdida de datos en caso de
incidente
Problemas en sistemas de información
46 sin resolver por falta de información de Académico Alto
*Los usuarios que accedan a información
trazabilidad
crítica deben contar con un login y
contraseña con el fin de que se genere
un registro de los movimientos
realizados por cada usuario
Problemas de integridad de
Realizar una revisión a los equipos para
información sin resolver por falta de
48 garantizar que estén ajustados a la hora Área de Sistemas Alto
sincronización de los sistemas de establecida en el país
información
146
*Realizar auditorías periódicas a los
equipos informáticos con el fin de
identificar software piratas instalados, o
que no son permitidos en la institución
147
*La red interna de la institución debe
contar con los controles necesarios para
asegurar que la información viaje a
través de la misma, de modo que no
puede ser capturada por un agente
externo al flujo de información
148
crítica, e indicar mediante un acuerdo de
condiciones la confidencialidad de la
misma
149
La red interna de la institución debe
Acceso no autorizado en los sistemas contar con los controles necesarios para
de información de secretaria asegurar que la información viaje a
52 Área de Sistemas Alto
académica mediante la explotación de través de la misma, de modo que no
vulnerabilidades puede ser capturada por un agente
externo al flujo de información
150
*Documentar todos los procesos
realizados por los proveedores externos
Acceso no autorizado a información
55 Área de Sistemas Alto
crítica
Documentar todos los procesos
realizados por los proveedores externos
151
*Se debe detallar las responsabilidades y
procedimientos correspondientes a
dicho equipo de manera que se
encuentren debidamente identificadas
las funciones del mismo
152
*La institución deberá identificar los
activos de información que son críticos
para asegurar la continuidad de las
operaciones de la institución, según el
impacto de disponibilidad del servicio
que tendría una pérdida de dicha
información
153
Sanciones legales por uso inadecuado La institución debe contar con
documentación alusivos a la normativa Coordinación
60 de la información de conformidad por relacionada a seguridad de la
Alto
Académica y Rectoría
lo dispuesto por el MEN información que afecta a la institución
implementar procedimientos apropiados
Sanciones legales por uso inadecuado para asegurar el cumplimiento de los
de la información de conformidad por requisitos legislativos, de reglamentación Coordinación
61 y contractuales relacionados con los
Medio
lo dispuesto por la legislación de Académico
derechos de autor derechos de propiedad intelectual y el
uso de productos de software patentados
154
El sistema de Gestión de Seguridad de la
información deberá ser revisado
periódicamente teniendo en cuenta los
cambios organizacionales o legislativos
que se produzcan
155
Tabla 41 Políticas de la seguridad de la información Fuente Propia
A.5 Políticas de la Seguridad de la Información
DESCRIPCIÓN Aplic
TITULO DESCRIPCION OBSERVACIONE
COD OBJETIVO DE COD CONTROLES a RIESGO ACTIVIDAD
CONTROL DEL CONTROL S
CONTROL Si/No
Se requiere
establecer las
políticas
Brindar
Se debe definir un necesarias que
orientación y
conjunto de definan los
soporte, por
políticas para la lineamientos
parte de la
seguridad de la internos para
Orientación de la dirección, para la
información, Problemas asegurar los
dirección para la seguridad de la Políticas para la
aprobada por la legales por activos de
A.5.1 gestión de la información de A.5.1.1 seguridad de la SI
dirección, pérdida de información
seguridad de la acuerdo con los información
publicada y información critico que
información requisitos del
comunicada a los contienen
negocio y con
empleados y a las información
las leyes y
partes externas confidencial o
reglamentos
pertinentes. son vitales para
pertinentes
la continuidad de
las operaciones
de la institución
156
Definir revisiones
periódicas a las
Las políticas para
políticas de
la seguridad de la
seguridad para
información se
asegurar el
deben revisar a
cumplimiento de
Revisión de las intervalos Problemas
las modificación
políticas para la planificados o si legales por
A.5.1.2 Si o nuevas normas
seguridad de la ocurren cambios pérdida de
legales que
Información significativos, para información
involucren a la
asegurar su
institución, así
conveniencia,
como los
adecuación y
cambios internos
eficacia continúas.
que pueda sufrir
la institución
157
dentro de la Los deberes y
organización áreas de
responsabilidad en
conflicto se deben Es importante
separar para establecer las
Problemas
reducir las limitaciones de
Separación de legales por
A.6.1.2 posibilidades de SI acceso en
deberes pérdida de
modificación no cuanto a la
información
autorizada o no información
intencional, o el crítica.
uso indebido de los
activos de la
organización
La institución
debe establecer
el procedimiento
a seguir para la
notificación de
un incidente de
seguridad de la
información, así
Se deben como la
Falta de reacción
mantener identificación de
apropiada y
Contacto con las contactos las autoridades
A.6.1.3 SI oportuna en la
autoridades apropiados con las pertinentes -
ocurrencia de un
autoridades policía, entes
incidente
pertinentes reguladores, etc,
permitirá que
dichos eventos
no pasen
desapercibidos,
recibiendo el
tratamiento
adecuado por
parte de las
158
autoridades
correspondientes
La institución
Se deben debe establecer
mantener comunicación
contactos con los grupos
apropiados con de interés a los
Obsolescencia
Contacto con grupos de interés que pertenece
en los controles
A.6.1.4 grupos de interés especial u otros SI en este caso, al
de seguridad de
especial foros y núcleo, las
capacitación
asociaciones secretarias de
profesionales educación,
especializadas en ministerio de
seguridad educación
nacional
Los proyectos
que se realicen
dentro del
alcance del
La seguridad de la presente
La ejecución de
información se proyecto
un proyecto
Seguridad de la debe tratar en la deberán ser
puede alterar la
información en la gestión de gestionado
A.6.1.5 SI Confiabilidad,
gestión de proyectos, debidamente
disponibilidad e
proyectos independientement mediante una
integridad de los
e del tipo de metodología
activos críticos
proyecto. teniendo en
cuenta la gestión
de riesgos y
además contar
con lineamiento
159
de seguridad de
la información.
Se deben adoptar
una política y unas Establecer una
medidas de Acceso a política sobre el
seguridad de información uso de
Políticas para
soporte para crítica mediante dispositivos
A.6.2.1 dispositivos SI
gestionar los el uso de móviles en las
móviles
riesgos dispositivos áreas de
introducidos por el móviles información
uso de dispositivos crítica
móviles
Garantizar la
Se deben
seguridad del
Dispositivos implementar una
teletrabajo y el
A6.2 móviles y política y unas
uso de
teletrabajo medidas de
dispositivos
seguridad de
móviles
soporte para
proteger la
A.6.2.2 Teletrabajo información a la NO
que se tiene
acceso que es No se considera
procesada o dado a que en las
almacenada en los instituciones
lugares en los que educativas no se
se realiza brinda el servicio de
teletrabajo teletrabajo
160
A.7 Seguridad de los recursos humanos
DESCRIPCIÓN Aplic
TITULO DESCRIPCION OBSERVACIONE
COD OBJETIVO DE COD CONTROLES a Riesgo ACTIVIDAD
CONTROL DEL CONTROL S
CONTROL Si/No
Las verificaciones
de los
antecedentes de
todos los
candidatos a un
empleo se deben
llevar acabo de
acuerdo con las
leyes
reglamentaciones
A.7.1.1 Selección NO
y ética pertinente y
No procede porque
deben ser
Asegurar que los todo el proceso de
proporcionales a
empleados y contratación del
los requisitos de
contratistas personal asignado
negocio a la
comprenden sus en las instituciones,
Antes de asumir clasificación de la
A.7.1 responsabilidade es realizado
el empleo información a que
s y son idóneos directamente desde
se va a tener
en los roles para las secretarias de
acceso y a los
los que se
riesgos percibidos educación
consideran
Establecer
Los acuerdos
procedimientos
contractuales con
documentados
empleados y Tratamiento
que garanticen la
contratistas deben inadecuado de la
adecuada
Termino y establecer información
verificación de
A.7.1.2 condiciones del responsabilidades SI debido a la falta
antecedentes y
empleo y las de la de claridad en
cualificación de
organización en las condiciones
las personas que
cuanto a la de trabajo
aspiran a realizar
seguridad de la
trabajos dentro
información
de la institución
161
Se debe
La dirección debe especificar la
exigir a todos los responsabilidad
empleados y de la rectoría en
Tratamiento
contratistas la cuanto a la
inadecuado de la
aplicación de la implementación
información
Responsabilidade seguridad de la y el
A.7.2.1 SI debido a la falta
s de la dirección información de mantenimiento
de claridad en
acuerdo con las del SGSI puesto
las condiciones
políticas y que hace parte
de trabajo
procedimientos del plan
Asegurarse que
establecidos por la estratégico y a
los empleados y
organización los intereses de
contratistas
sus estudiantes
tomen
Durante la Todos los
conciencia de
A.7.2 ejecución del empleados de la Establecer un
sus
empleo organización y en plan de
responsabilidade
donde sea capacitación de
s de seguridad
pertinente los los
de la información
contratistas deben Tratamiento colaboradores
y las cumplan Toma de
recibir la educación inadecuado de la sobre la política
conciencia,
y la formación en información de seguridad de
educación y
A.7.2.2 toma de conciencia SI crítica por la información,
formación en la
apropiada y desconocimiento así como su
seguridad de la
actualizaciones de la políticas y evaluación
información
regulares sobre las procedimientos permitirá medir
políticas y el nivel de
procedimientos de conocimiento de
la organización los mismo en
pertinentes para su este tema
cargo
162
No contar con un Se debe
Se debe contar
proceso establecer la
con un proceso
debidamente penalización
formal el cual debe
documentado, disciplinaria que
ser comunicado
que de las se debe aplicar
para emprender
Proceso directrices para en caso de
A.7.2.3 acciones contra SI
disciplinario adelantar infringir las
empleados que
procesos condiciones en
hayan cometido
disciplinarios en cuanto a la
una violación a la
caso de violación seguridad de la
seguridad de la
en la seguridad información con
información
de la información la que se trabaja
Se debe
Las establecer
responsabilidades términos y
y los deberes de condiciones en
Proteger los seguridad de la el momento de la
intereses de la información que Acceso de incorporación,
organización Terminación o permanecen información permitiendo a la
Terminación y
como parte del cambio de validos después de privilegiado por institución
cambio de A.7.3.1 SI
proceso de responsabilidades la terminación o parte de un protegerse
empleo
cambio o de empleo cambio de empleo empleado que ha legalmente
terminación de se debe definir, sido promovido frente a
empleo comunicar al filtraciones
empleado o realizadas por
contratista y se trabajadores
debe hacer cumplir cesados o
promovidos
163
Se deben
identificar los
activos asociados La institución
con la información debe manejar un
Perdida de
e instalaciones de inventario de
Inventarios de activos por falta
A.8.1.1 procesamiento de SI activos en el que
activos de un inventario
información y se se identifique el
actualizado
debe elaborar y tipo de activo y
mantener un su ubicación.
inventario de estos
activos
Los activos de
información
deben ser
asignados a un
Identificar los custodio
activos encargado del
organizacionales inventario,
Responsabilidad Imposibilidad en
A.8.1 y definir las Los activos clasificación y
de los activos la asignación de
responsabilidade mantenidos en el protección de los
s de protección Propiedad de los responsabilidade
A.8.1.2 inventario deben SI activos, así
apropiadas activos s en caso de
tener un como de la
pérdida o daño
propietario destrucción en
de activos
caso de que sea
necesario,
además de la
revisión de las
restricciones en
cuanto a
accesos
Se deben Especificar y
Uso inadecuado
identificar documentar a
de los activos
Uso aceptable de documentar e qué se define
A.8.1.3 SI por parte de los
los activos implementar reglas como uso
propietarios de
para el uso aceptable en
los mismos
aceptable de la cuanto a manejo
164
información y de de información
activos asociados personal y
con información e sensible
instalaciones de mediante una
procesamiento de política o
información procedimiento
que debe ser de
conocimiento
obligatorio para
el personal del
área
Todos los Se debe
empleados y establecer un
usuarios de partes procedimiento de
Pérdida de los
externas deben asignación y
activos por falta
devolver todos los devolución de
Devolución de de trazabilidad
A.8.1.4 activos de la SI los activos de
activos en préstamo por
organización que información,
falta de
se encuentren a su asignado o
devolución
cargo, al terminar entregado al
su empleo, personal de la
contrato o acuerdo organización
Realizar una
La información se clasificación de
Asegurar que la
debe clasificar en los activos
información
función de los Sanciones identificados
recibe un nivel
requisitos legales legales por según su
Clasificación de apropiado de Clasificación de la
A.8.2 A.8.2.1 valor criticidad y SI tratamiento criticidad para la
la información protección de información
susceptibilidad a indebido de la institución o el
acuerdo con su
divulgación o a información nivel de
importancia para
modificación no confidencialidad
la organización
autorizada que se le debe
otorgar.
165
Realizar el
etiquetado que
identifique la
Se debe
información
desarrollar e
según la
implementar un Imposibilidad de
clasificación
conjunto adecuado recuperación de
previamente
de procedimientos la información
definida, en el
para el etiquetado necesario o
Etiquetado de la caso de los
A.8.2.2 de la información SI requerida para
información sistemas
de acuerdo con el adelantar
información los
esquema de la procesos críticos
usuarios
clasificación de de prestación del
deberán ver un
información servicio
mensaje visible
adoptado por la
que indique la
organización
clasificación de
la información al
que accede.
Se deben
desarrollar e
Establecer
implementar un
procedimientos
conjunto adecuado Manejo
de manejo de
de procedimientos inadecuado de
activos de
para el manejo de activos por
información
A.8.2.3 Manejo de activos activos, de SI carencia de una
permitirá que se
acuerdo con el adecuada
sigan protocolos
esquema de clasificación de
que garanticen la
clasificación de la información
seguridad de los
información
mismo.
adoptado por la
organización
Evitar la Se deben
Gestión de Copia no Establecer
divulgación, la implementar
A.8.3 Manejo de medios A.8.3.1 medios SI autorizada de procedimientos
modificación, el procedimientos
removibles información para gestión de
retiro o la para gestión de
166
destrucción no medios removibles, crítica de la medios
autorizados de de acuerdo con el organización removibles
información esquema de
almacenada en clasificación
los medios adoptado por la
organización
Establecer un
protocolo de
eliminación de
Se debe disponer
medios que
en forma segura
contengan
de los medios
información
Disposición de los cuando ya no se
A.8.3.2 SI Robo de medios confidencial, de
medios requieran,
manera que no
utilizando
pueda ser
procedimientos
reutilizado o
formales
extraído por
personas no
autorizadas
Se debe
Pérdida de la establecer
integridad y protocolos que
disponibilidad de aseguren la
Los medios que
información información en
contienen
almacenada en sus
información se
medios, causa transferencias
deben proteger
Transferencia de por un físicas de
A.8.3.3 contra acceso no SI
los medios físicos tratamiento manera que se
autorizado, uso
indebido o no garantice su
indebido o
autorizado por integridad, y que
corrupción durante
parte de las no sea
el trasporte
personas que las manipulada por
custodian o de personal no
terceros autorizado en el
momento de salir
167
e ingresar a otro
sitio
168
Se debe
Para mitigar el
implementar un
riesgo de acceso
proceso formal de Acceso a los
no autorizado, se
registro y de activos de
Registro y debe mantener
cancelación de información con
cancelación del un procedimiento
A.9.2.1 registro de SI privilegios
registro de de alta y
usuarios para disonantes con
usuarios sobretodo bajas
posibilitar la el perfil del
de usuario de los
asignación de los usuario
sistemas de la
derechos de
institución
acceso
Se debe
implementar un implementar un
Asegurar el
proceso de proceso de
acceso de los
suministro de Acceso a los acceso con
usuarios
acceso formal de activos de privilegios a los
Gestión de autorizados y
A.9.2 Suministro de usuarios para información con empleados
acceso a usuarios evitar el acceso
A.9.2.2 acceso de asignar o revocar SI privilegios autorizados, y
no autorizado a
usuarios los derechos de disonantes con que permita
sistemas y
acceso para todo el perfil del también retirar
servicios
tipo de usuarios usuario ese privilegio en
para todos los caso de que ya
sistemas y sea necesario
servicios
Establecer un
Acceso a los proceso de
Se debe restringir activos de suministro de
Gestión de
y controlar la información con acceso según
derechos de
A.9.2.3 asignación y uso SI privilegios las funciones o
acceso
de derechos de disonantes con áreas a las
privilegiado
acceso privilegiado el perfil del cuales cada
usuario empleado
pertenece
169
Se debe
establecer las
directivas de uso
de los métodos
de autenticación,
así como los
La asignación de
Acceso de los requisitos para
Gestión de información de
activos de asegurar la
información de autenticación
información por confidencialidad
A.9.2.4 autenticación secreta se debe SI
parte de de estos datos
secreta de controlar por medio
personal no siento
usuarios de un proceso de
autorizado indispensable
gestión formal
que estas
directivas, se
hagan publica a
todos los
empleados de la
institución
Los
responsables de
los activos de
información son
quienes deben
Los propietarios de vigilar que
los activos deben Acceso de los empleados
Revisión de los revisar los activos de puede acceder a
derechos de derechos de información por los activos de
A.9.2.5 SI
acceso de acceso de los parte de información,
usuarios usuarios, a personal no además de
intervalos autorizado revisar
regulares periódicamente
los usuarios que
tienen permiso
para identificar
los que ya no
están
170
autorizados a
acceder
Los privilegios
con los que
Los derechos de cuentan los
acceso de todos empleados
los empleados y de deberán ser
usuarios externos eliminados en el
a la información y Acceso a los caso en que el
a las instalaciones activos de trabajador, haya
Retiro o ajuste de de procesamiento información con cesado su
A.9.2.6 los derechos de de información se SI privilegios relación con la
acceso deben retirar al disonantes con Institución, o
terminar su el perfil del ajustados a lo
empleo, contrato o usuario largo del tiempo
acuerdo, o se en caso en el
deben ajustar que el empleado
cuando se hagan requiera
cambios mayores
privilegios o ya
no los necesite
Se debe
Se debe exigir a
Acceso a los establecer el uso
Hacer que los los usuarios que
activos de de los métodos
usuarios rindan Uso de la cumplan las
información con de autenticación,
Responsabilidade cuenta por la información de prácticas de la
A.9.3 A9.3.1 SI privilegios así como los
s de los usuarios salvaguarda de autenticación organización para
disonantes con requisitos para
su información secreta uso de información
el perfil del asegurar la
de autenticación de autenticación
usuario confidencialidad
secreta
de estos datos.
171
El acceso a la Establecer un
información y a las Acceso a los doble control de
funciones de los activos de autenticación en
Restricción de sistemas de las información con aquellos
A9.4.1 acceso de aplicaciones se SI privilegios sistemas en los
información debe restringir de disonantes con que se
acuerdo con la el perfil del encuentra
política de control usuario información
de acceso sensible
Establecer un
Cuando lo requiere
control enfocado
la política de
a proteger la
control de acceso, Acceso a
información de
el acceso a sistemas de
inicio de sesión
Procedimiento de sistemas y información por
Evitar el acceso A9.4.2 SI del usuario en
Control de acceso ingreso seguro aplicaciones se deficiencias en
no autorizado a los sistemas de
A.9.4 a sistemas de debe controlar los sistemas de
sistemas y forma que no
aplicación mediante un autenticación
aplicaciones pueda ser
proceso de ingreso
sustraída por un
seguro
agente externo
Establecer
requisitos
mínimos en
Los sistemas de
cuanto a
gestión de
Acceso no complejidad de
Sistema de contraseñas deben
autorizado a los contraseñas, los
A9.4.3 gestión de ser interactivos y SI
sistemas de procedimientos
contraseñas deben asegurar la
información de cambios de
calidad de las
contraseñas y el
contraseñas
almacenamiento
de las mismas
entre otros
172
Se deben restringir
y controlar Identificar los
Parálisis de los
estrictamente el lineamientos de
servicios de los
Uso de uso de programas uso de utilidades
sistemas de
programas utilitarios que ya sean internas
A9.4.4 SI información por
utilitarios podrían tener o externas,
el uso de
privilegiados capacidad de traídas por los
programas
anular el sistema y empleados a la
utilitarios
los controles de las Institución
aplicaciones
Generar cuentas
Instalación de de usuarios
código no restringidos en el
Se debe restringir autorizado que equipo
Control de acceso
el acceso a los afecte informáticos, que
A9.4.5 a códigos fuente SI
códigos fuente de negativamente la no permita que
de programas
los programas operación de los los empleados
sistemas de instalen
información programas
inadecuados
A.10 Criptografía
DESCRIPCIÓN Aplic
TITULO DESCRIPCION OBSERVACIONE
COD OBJETIVO DE COD CONTROLES a Riesgo ACTIVIDAD
CONTROL DEL CONTROL S
CONTROL Si/No
Se debe Implementar
Asegurar el uso
desarrollar e controles y
apropiado y
implementar una políticas sobre el
eficaz de la Política sobre el Acceso a
A.10. Controles política sobre el manejo
criptografía para A10.1.1 uso de controles SI información
1 criptográficos uso de controles criptográficos
proteger la criptográficos privilegiada
criptográficos para para garantizar
confidencialidad,
protección de la la protección de
autenticidad y o
información la información
173
la integridad de Se debe
Implementar
la información desarrollar e
controles y
implementar una
políticas sobre la
política sobre el
Acceso a protección de las
uso, protección y
A10.1.2 Gestión de llaves SI información llaves
tiempo de vida de
privilegiada criptográficos
las llaves
para garantizar
criptográficas
la vida útil de la
durante todo su
misma
ciclo de vida
A.11 Seguridad Física y del entorno
DESCRIPCIÓN Aplic
TITULO DESCRIPCION OBSERVACIONE
COD OBJETIVO DE COD CONTROLES a Riesgo ACTIVIDAD
CONTROL DEL CONTROL S
CONTROL Si/No
Se deben definir y
usar perímetros de Establecer un
seguridad y límite de acceso
usarlos para físico a los
Intrusión de
proteger las áreas empleados y
personas ajenas
Perímetro de que contenga personal externo
Prevenir el A11.1.1 SI no autorizadas a
seguridad física información a las áreas
acceso físico no las instalaciones
confidencial o donde se
autorizado, el físicas
critica, e encuentran la
daño y la
instalaciones de información
interferencia a la
A.11. manejo de crítica
Áreas seguras información y las
1 información
instalaciones de
Utilizar controles
procesamientos Las áreas seguras
de registro de
de información que se deben
acceso para el
de la proteger mediante Intrusión de
personal que
organización controles de personas ajenas
Controles de requiera ingresar
A11.1.2 acceso apropiados SI no autorizadas a
acceso físico a los ambientes
para asegurar que las instalaciones
donde se
solo se permita el físicas
almacena la
acceso a personal
información
autorizado
crítica, debe está
174
debidamente
identificado en
todo momento
Se debe evitar el
acceso de
personal no
autorizado o al
Se debe diseñar y Intrusión de
público que hace
Seguridad de aplicar seguridad personas ajenas
A.11.1. uso de los
oficinas, recintos física a oficinas, SI no autorizadas a
3 servicios de la
e instalaciones recintos e las instalaciones
Institución a los
instalaciones. físicas
ambientes en los
que se almacena
información
sensible
Implementar
medidas para
Pérdida de proteger la
Se debe diseñar y
activos críticos información
aplicar protección
Protección contra causado por crítica frente a
física contra
A.11.1. amenazas desastres incidentes que
desastres SI
4 externas y naturales puedan afectar
naturales, ataques
ambientales ataques tanto naturales
maliciosos o
maliciosos o como
accidentes.
accidentes provocados
como los
incendios
Se deben diseñar y Establecer
aplicar Sanciones puntos alejados
A.11.1. Trabajo en áreas
procedimientos SI legales o daño de las áreas
5 seguras
para trabajos en en activos críticas, donde
áreas seguras se permita
175
trabajar de forma
segura
Se deben controlar
los puntos de
acceso tales como
áreas de
despachos y de Establecer
carga y otros puntos alejados
puntos en donde Intrusión de de las áreas
Áreas de puedan entrar personas ajenas críticas, donde
A.11.1.
despachos y personas no SI no autorizadas a se permita
6
carga autorizadas y si es las instalaciones cargar y
posible, aislarlos físicas descargar
de las elementos para
instalaciones de la institución,
procesamiento de
información para
evitar el acceso no
autorizado
176
Los equipos
críticos
relacionados al
Los equipos se manejo de
deben proteger información
contra fallas de Daños en los sensible deben
Servicio de energía y otras equipos por contar con
A11.2.2 SI
suministros interrupciones fallas de fluido medidas que
causadas por fallas eléctrico aseguran su
en los servicios de funcionamiento
suministro. en el caso de
caída de algún
servicio como el
fluido eléctrico
El cableado de
energía eléctrica y Adecuar el
de *Daños en los cableado
telecomunicacione cableados por estructurado, de
s que porta datos o problemas tal forma que no
brinda soporte a eléctricos sea posible
Seguridad de
A11.2.3 los servicios de SI *Interceptación intervenir o
cableado
información se del sistema de dañar,
debe proteger registro de interrumpiendo
contra estudiantes y el servicio, o
interceptación, tesorería extraer
interferencia o información
daño
Fallos en la Los equipos que
Los equipos se prestación de cuentan con
deben mantener servicio de acceso a
correctamente tesorería y información
Mantenimientos
A11.2.4 para asegurar SI secretaria crítica deberán
de equipos
disponibilidad e académica por seguir un
integridad problemas en los procedimiento de
continuas funcionamientos mantenimiento
de los equipos adecuado, de
177
manera que la
información que
contiene sea
comprometida
La institución
debe establecer
políticas que
Los equipos de limiten el retiro
información o de la información
software no se Pérdida de los sensible de las
A11.2.5 Retiro de activos SI
deben retirar de su equipos instalaciones a
sitio sin excepción de ser
autorización previa para cumplir con
alguno de los
servicios que
brinda
Se deben aplicar
medidas de
La institución
seguridad a los
debe asegurar
activos que se
que el uso de la
encuentran fuera Pérdida de los
Seguridad de información
de las equipos o daños
equipos y activos crítica de la
A11.2.6 instalaciones de la SI cuando se
fuera de las institución que
organización, encuentran fuera
instalaciones maneja haya
teniendo en cuenta de la instaciones
sido autorizado
los diferentes
por las personas
riesgos de trabajar
correspondientes
fuera de dichas
instalaciones
Se deben verificar Los equipos que
Disposición todos los Pérdida de se den de baja o
segura o elementos de información por se cambien de
A11.2.7 SI
reutilización de equipos que falta de copias área deben
equipos contengan medios de seguridad hacer pasado
de por un proceso
178
almacenamiento de limpieza que
para asegurar que garantice la
cualquier dato eliminación
confidencial o completa de toda
software licenciado la información
haya sido retirado sensible que
o sobre escrito en pueda contener
forma segura antes
de su disposición o
reusó
Los empleados
deberán
mantener la
seguridad de sus
Los usuarios
equipos incluso
deben asegurar
Equipos de cuando se
que a los equipos Daños en los
A11.2.8 usuario SI levantan del
desatendidos se equipos
desatendido puesto de
les da protección
trabajo para
apropiada
dirigirse a otro
sector, o cuando
no se está
trabajando
Se debe adoptar
una política de Los empleados
escritorio limpio deberán
para los papeles y mantener los
medios de Dificultad en la escritorios libres
Política de
almacenamiento recuperación de de cualquier
A11.2.9 escritorio limpio y SI
removibles y una información información
pantalla limpia
política de pantalla crítica crítica que pueda
limpia en las ser usada o
instaciones de extraída por
procesamiento de persona externo.
información
179
A.12 Seguridad de las operaciones
DESCRIPCIÓN Aplic
TITULO DESCRIPCION OBSERVACIONE
COD OBJETIVO DE COD CONTROLES a Riesgo ACTIVIDAD
CONTROL DEL CONTROL S
CONTROL Si/No
Se requiere la
documentación
de los procesos
Error en los
que se tienen en
procedimientos
Los la institución con
de registro
procedimientos de el fin de
académico por
operación se determinar el
Procedimientos falta de
A.12.1. deben documentar área más crítica,
de operación SI información
1 y poner a y realizar una
documentados documentada
disposición de evaluación
que especifique
todos los usuarios continua sobre el
Asegurar las las actividades
que los necesitan nivel de riesgo
operaciones relacionadas con
Procedimientos existente, para
correctas y dicho registro
A.12. operacionales y establecer
seguras de las
1 responsabilidade controles
instalaciones de
s necesarios
procesamiento
Se deben controlar
de información
los cambios en la Se deben
organización, en controlar los
los procesos de Pérdida de cambios en la
negocio, en las integridad de la institución y en
A.12.1. Gestión de instalaciones y en información en el los sistemas de
SI
2 cambios los sistemas de proceso de procesamiento
procesamiento de registro de información,
información que académico que afecte la
afectan la seguridad de la
seguridad de la información.
información.
180
Se debe hacer
Se debe hacer
seguimiento al uso
seguimiento al
de recursos, hacer
Deficiencias en uso de recursos
los ajustes, y hacer
la atención de la y establecer si
proyecciones de
A.12.1. Gestión de comunidad se necesita más
los requisitos de SI
3 capacidad académica por recursos para
capacidad futura,
recursos asegurar el
para asegurar el
insuficientes desempeño
desempeño
requerido del
requerido del
sistema.
sistema.
Se deben
Se deben separar separar las
los ambientes de Errores de áreas, para
desarrollo, prueba disponibilidad de reducir los
Separación de los
y operación, para la información riesgos de
ambientes de
A.12.1. reducir los riesgos académica y acceso o
desarrollo, SI
4 de acceso o tesorería por uso cambios no
pruebas y
cambios no de software sin autorizados el
operación
autorizados al haber realizado área donde se
ambiente de pruebas encuentre
operación información
crítica
debido al gran
Se deben
avance de
Asegurarse de implementar
Interceptación de amenazas
que la controles de
información por informáticas, la
información y las detección, de
código institución
Protección contra instalaciones de Controles contra prevención y de
A.12. A.12.2. maliciosos deberá asegurar
códigos procesamiento códigos recuperación, SI
2 1 instalado con o que los equipos
maliciosos de información maliciosos combinados con la
sin voluntad por de cómputo se
estén protegidas toma de conciencia
el usuario del encuentren
con códigos apropiada de los
sistema debidamente
maliciosos usuarios, para
protegidos ante
proteger contra
software
181
códigos malicioso que
maliciosos. ponga en peligro
la información
sensible de la
institución
Se deben hacer
copias de respaldo Establecer una
de la información, política de
Perdidas de la
software e respaldo que
continuidad del
imágenes de los garantice la
negocio por
A.12. Copias de Proteger con la A.12.3. Respaldo de la sistemas y continuidad de la
SI daños en los
3 respaldo pérdida de datos 1 información ponerlas a prueba atención y
equipos o
regularmente de mitigue la
sistemas de
acuerdo con una pérdida de datos
información
política de copias en caso de
de respaldo incidente
acordadas
182
proteger contra información de crítica deben
alteración y acceso registro contar con un
no autorizado login y
contraseña con
el fin de que se
genere un
registro de los
movimientos
realizados por
cada usuario
Los usuarios que
accedan a
información
Las actividades del
crítica deben
administrador y del Problemas en
contar con un
operador del sistemas de
Registros del login y
A.12.4. sistema se deben información sin
administrador y SI contraseña con
3 registrar, y los resolver por falta
del operador el fin de que se
registros se deben de información
genere un
proteger y revisar de trazabilidad
registro de los
con regularidad
movimientos
realizados por
cada usuario
Los relojes de
todos los sistemas
de procesamiento Realizar una
Problemas de
de información revisión a los
integridad de
pertinentes dentro equipos para
información sin
A.12.4. Sincronización de de una garantizar que
SI resolver por falta
4 relojes organización o estén ajustados
de sincronización
ámbito de a la hora
de los sistemas
seguridad se establecida en el
de información
deben sincronizar país
con una única
fuente de
183
referencia de
tiempo
Realizar
auditorías
Se deben periódicas a los
implementar equipos
Asegurarse de la Instalación de procedimiento para informáticos con
Control de Sanciones
A.12. integridad delos A.12.5. software en controlar la el fin de
software SI legales por
5 sistemas 1 sistemas instalación de identificar
operacional software pirata
operacionales operativos software en software pirata
sistemas instalados, o que
operativos no son
permitidos en la
institución
Se deben obtener
oportunamente
información acerca
Se debe
de las
establecer una
vulnerabilidades
política de
técnicas de los
revisión
Prevenir el sistemas de
Acceso no periódica para
Gestión de la aprovechamiento Gestión de las información que se
A.12. A.12.6. autorizado a analizar las
vulnerabilidad de las vulnerabilidades usen; evaluar la SI
6 1 información vulnerabilidades
técnica vulnerabilidades técnicas exposición de la
crítica en los equipos
técnicas organización a
donde se
estas
almacena
vulnerabilidades, y
información
tomar las medidas
crítica.
apropiadas para
tratar el riesgo
asociado
184
Establecer una
política que evite
que el personal
Se deben pueda instalar
establecer e aplicaciones no
Restricciones
implementar las Sanciones licenciadas o no
A.12.6. sobre la
reglas para la SI legales por permitidas,
2 instalación de
instalación de software pirata también se
software
software por parte puede restringir
de los usuarios las cuentas para
que no permita
instalar
programas
Se debe realizar
una auditoría
Los requisitos y periódica de
actividades de modo que se
auditoría que verifique el buen
involucran la funcionamiento y
Minimizar el verificación de los uso de los
Consideraciones impacto de las Controles de sistemas sistemas de
Sanciones
A.12. sobre auditorías actividades de A.12.7. auditorías de operativos se información
SI legales por
7 de sistemas de auditoría sobre 1 sistemas de deben planificar y además de
software pirata
información los sistemas información acordar asegurar que
operativos cuidadosamente solo los usuarios
para minimizar las debidamente
interrupciones en autorizados
los procesos de cuenten con
negocio. acceso a la
información
sensible
185
DESCRIPCIÓN Aplic
TITULO DESCRIPCION OBSERVACIONE
COD OBJETIVO DE COD CONTROLES a Riesgo ACTIVIDAD
CONTROL DEL CONTROL S
CONTROL Si/No
La red interna de
la institución
debe contar con
los controles
Las redes se
necesarios para
deben gestionar y Acceso no
asegurar que la
controlar para autorizado a
A.13.1. Controles de información viaje
proteger la SI información
1 redes a través de la
información en crítica a través
misma, de modo
sistemas y de las redes
que no puede
aplicaciones
ser capturada
por un agente
Asegurar la
externo al flujo
protección de la
de información
información en
Gestión de la Se deben
A.13. las redes, y sus
seguridad de las identificar los
1 instalaciones de
redes mecanismos de
procesamiento Se debe contar
seguridad, los
de información con un inventario
niveles de servicio
de soporte de servicios de
y los requisitos de
red que
gestión de todos Acceso no
establezca los
los servicios de autorizado a
A.13.1. Seguridad de los niveles de
red, e incluirlos en SI información
2 servicios de red servicio que
los acuerdos de crítica a través
deben cumplir
servicios de red, ya de las redes
además de las
sea que los
características
servicios se
de seguridad con
presten
lo que se cuenta
internamente o se
contraten
externamente.
186
Se deben contar
con una correcta
Los grupos de separación tanto
servicios de de redes, como
Acceso no
información, de usuarios en el
autorizado a
A.13.1. Separaciones en usuarios y dominio de la
SI información
3 las redes sistemas de institución que
crítica a través
información se permita verificar
de las redes
deben separar en los accesos
las redes. brindados y
puedan ser
verificados
Se debe contar
Se deben contar
con políticas,
con una correcta
procedimientos y
separación tanto
controles de
de redes, como
transferencia Acceso no
Políticas y de usuarios en el
formales para autorizado a
A.13.2. procedimientos dominio de la
proteger la SI información
1 de transferencia institución que
transferencia de crítica a través
Mantener la de información permita verificar
información de las redes
seguridad de la los accesos
mediante el uso de
información brindados y
todo tipo de
A.13. Transferencia de transferida puedan ser
instalaciones de
2 información dentro de una verificados
comunicaciones
organización y
Durante la
con cualquier
Los acuerdos transferencia de
entidad externa
deben tratar la información se
Acceso no
transferencia debe especificar
Acuerdos sobre autorizado a
A.13.2. segura de a la entidad que
transferencia de SI información
2 información del la recibe la
información crítica a través
negocio entre la categoría de la
de las redes
organización y las información si es
partes externas sensible,
confidencial o
187
crítica, e indicar
mediante un
acuerdo de
condiciones la
confidencialidad
de la misma
Se debe
Se debe proteger establecer la
Acceso no
adecuadamente la información que
autorizado a
A.13.2. Mensajería información no debe ser
SI información
3 electrónica incluida en la divulgada a
crítica a través
mensajería través de
de las redes
electrónica correos
electrónicos
Se deben
identificar, revisar
regularmente y La institución
documentar los debe establecer
requisitos para los Acceso no acuerdos de
Acuerdos de acuerdos de autorizado a confidencialidad
A.13.2.
confidencialidad o confidencialidad o SI información que detallen las
4
de no divulgación no divulgación que crítica a través limitaciones de
reflejan las de las redes divulgación de la
necesidades de la información por
organización para sus empleados
la protección de la
información
188
La red interna de
Los requisitos la institución
relacionados con debe contar con
Acceso no
seguridad de la los controles
autorizado en los
información se necesarios para
Análisis y sistemas de
deben incluir en los asegurar que la
especificación de información de
A.14.1. requisitos para información viaje
requisitos de SI secretaria
1 nuevos sistemas a través de la
seguridad de la académica
de información o misma, de modo
información mediante la
para mejoras a los que no puede
Asegurar que la explotación de
sistemas de ser capturada
seguridad de la vulnerabilidades
información por un agente
información sea
existentes externo al flujo
una parte
de información
integral de los
La información La red interna de
sistemas de
involucrada en los la institución
información
Requisitos de servicios de las debe contar con
durante todo el
A.14. seguridad de los aplicaciones que los controles
ciclo de vida.
1 sistemas de pasan sobre redes necesarios para
Esto incluye Acceso no
información Seguridad de públicas se debe asegurar que la
también los autorizado a
A.14.1. servicios de las proteger de información viaje
requisitos para SI información
2 aplicaciones en actividades a través de la
sistemas de crítica a través
redes públicas fraudulentas, misma, de modo
información que de las redes
disputas que no puede
prestan servicios
contractuales y ser capturada
sobre redes
divulgación y por un agente
públicas
modificación no externo al flujo
autorizadas. de información
La información La red interna de
involucrada en las la institución
Acceso no
Protección de transacciones de debe contar con
autorizado a
A.14.1. transacciones de los servicios de las los controles
SI información
3 los servicios de aplicaciones se necesarios para
crítica a través
las aplicaciones debe proteger para asegurar que la
de las redes
evitar la información viaje
transmisión a través de la
189
incompleta, el misma, de modo
enrutamiento que no puede
errado, la ser capturada
alteración no por un agente
autorizada de externo al flujo
mensajes, la de información
divulgación no
autorizada y la
duplicación o
reproducción de
mensajes no
autorizada
Se deben
establecer y aplicar No se considera
reglas para el dado a que en las
A.14.2. Política de desarrollo de instituciones
NO
1 desarrollo seguro software y de educativas no se
sistemas, a los realiza desarrollo
desarrollos dentro de software
Asegurar que la
de la organización
seguridad de la
Los cambios a los
información esté
sistemas dentro
Seguridad en los diseñada e No se considera
del ciclo de vida de
A.14. procesos de implementada Procedimientos dado a que en las
desarrollo se
2 desarrollo y de dentro del ciclo A.14.2. de control de instituciones
deben controlar NO
soporte de vida de 2 cambios en educativas no se
mediante el uso de
desarrollo de los sistemas realiza desarrollo
procedimientos
sistemas de de software
formales de control
información
de cambios
Cuando se Se debe solicitar
Revisión técnica
cambian las Fallos en la pruebas que
de las
A.14.2. plataformas de prestación del garantice que, al
aplicaciones SI
3 operación, se servicio por falta realizar cambios
después de
deben revisar las de pruebas de software para
cambios en la
aplicaciones operaciones en
190
plataforma de críticas del la institución, no
operación negocio, y someter se generen
a prueba para pérdidas o daños
asegurar que no a la información,
haya impacto además de
adverso en las realizar una
operaciones o copia de
seguridad de la seguridad previa
organización
Se deben
desalentar las
modificaciones a
los paquetes de
Restricciones en software, los
A.14.2. los cambios a los cuales se deben No se considera
NO dado a que en las
4 paquetes de limitar a los
software cambios instituciones
necesarios, y todos educativas no se
los cambios se realiza desarrollo
deben controlar de software
estrictamente
Se deben
establecer,
documentar y
mantener
Principios de principios para la
A.14.2. construcción de construcción de No se considera
NO
5 los sistemas sistemas seguros, dado a que en las
seguros y aplicarlos a instituciones
cualquier actividad educativas no se
de implementación realiza desarrollo
de sistemas de de software
información
Las organizaciones No se considera
A.14.2. Ambiente de
deben establecer y NO dado a que en las
6 desarrollo seguro
proteger instituciones
191
adecuadamente educativas no se
los ambientes de realiza desarrollo
desarrollo seguros de software
para las
actividades de
desarrollo e
integración de
sistemas que
comprendan todo
el ciclo de vida de
desarrollo de
sistemas
La organización
debe supervisar y No se considera
hacer seguimiento dado a que en las
Desarrollo instituciones
A.14.2. de la actividad de
contratado NO
7 desarrollo de educativas no se
externamente
sistemas realiza desarrollo
contratados de software
externamente.
No se considera
Durante el
dado a que en las
desarrollo se
Pruebas de instituciones
A.14.2. deben llevar a
seguridad de NO educativas no se
8 cabo pruebas de
sistemas realiza desarrollo
funcionalidad de la
de software
seguridad
Para los sistemas Se debe solicitar
de información pruebas que
nuevos, garantice que, al
Fallos en la
Prueba de actualizaciones y realizar cambios
A.14.2. prestación del
aceptación de nuevas versiones, SI de software para
9 servicio por falta
sistemas se deben operaciones en
de pruebas
establecer la institución, no
programas de se generen
prueba para pérdidas o daños
192
aceptación y a la información,
criterios de además de
aceptación realizar una
relacionados. copia de
seguridad previa
Se debe solicitar
pruebas que
garantice que, al
Daños en la realizar cambios
Los datos de información de software para
Asegurar la prueba se deben original operaciones en
A.14. protección de los A.14.3. Protección de seleccionar, comprometiendo la institución, no
Datos de prueba SI
3 datos usados 1 datos de prueba proteger y la disponibilidad, se generen
para pruebas controlar integridad y pérdidas o daños
cuidadosamente confidencialidad a la información,
de la información además de
realizar una
copia de
seguridad previa
193
deben acordar con
estos y se deben
documentar
Se deben
establecer y
acordar todos los
requisitos de
seguridad de la
información
pertinentes con Documentar
Tratamiento de la cada proveedor Acceso no todos los
A.15.1. seguridad dentro que pueda tener autorizado a procesos
SI
2 de los acuerdos acceso, procesar, información realizados por
con proveedores almacenar, crítica los proveedores
comunicar o externos
suministrar
componentes de
infraestructura de
TI para la
información de la
organización
Los acuerdos con
proveedores deben
incluir requisitos
para tratar los
Fuga de
riesgos de
información de Realizar
Cadena de seguridad de la
los dicentes por auditoria a los
suministro de información
A.15.1. parte de los servicios
tecnología de asociados con la SI
3 proveedores que prestados por los
información y cadena de
intervienen en proveedores de
comunicación suministro de
los sistemas de la institución
productos y
información
servicios de
tecnología de
información y
comunicación
194
Las organizaciones Fuga de
Se debe
deben hacer información de
establecer una
Seguimiento y seguimiento, los dicentes por
política de
A.15.2. revisión de los revisar y auditar parte de los
SI auditoria
1 servicios de los con regularidad la proveedores que
permanente a
proveedores prestación de intervienen en
los proveedores
servicios de los los sistemas de
de la institución
proveedores información
Se deben
gestionar los
cambios en el
suministro de
Mantener el nivel servicios por parte
acordado de de los
seguridad de la proveedores,
Gestión de la
información y de incluido el
A.15. prestación de
prestación del mantenimiento y la
2 servicios de Fuga de
servicio en línea mejora de las
proveedores información de Realizar
con los acuerdos políticas,
Gestión de los dicentes por auditoria a los
con los procedimiento y
A.15.2. cambios en los parte de los servicios
proveedores controles de SI
2 servicios de los proveedores que prestados por los
seguridad de la
proveedores intervienen en proveedores de
información
los sistemas de la institución
existentes,
información
teniendo en cuenta
la criticidad de la
información,
sistemas y
procesos del
negocio
involucrados, y la
reevaluación de los
riesgos
195
A.16 Gestión de incidentes de seguridad de la información
DESCRIPCIÓN Aplic
TITULO DESCRIPCION OBSERVACIONE
COD OBJETIVO DE COD CONTROLES a Riesgo Control
CONTROL DEL CONTROL S
CONTROL Si/No
Se debe detallar
Se deben las
establecer las responsabilidade
responsabilidades sy
Pérdida de
y procedimientos procedimientos
imagen por no
Responsabilidade de gestión para correspondientes
A.16.1. atención
sy asegurar una SI a dicho equipo
1 oportuna por
procedimientos respuesta rápida, de manera que
daños en los
eficaz y ordenada se encuentren
activos
a los incidentes de debidamente
Asegurar un
seguridad de la identificadas las
enfoque
información funciones del
coherente y
mismo
eficaz para la
Los eventos de
Gestión de gestión de Realizar
seguridad de la
incidentes y incidentes de Pérdida de revisiones para
A.16. información se
mejoras en la seguridad de la Reporte de imagen por no identificar
1 deben informar a
seguridad de la información, A.16.1. eventos de atención eventos o
través de los SI
información incluida la 2 seguridad de la oportuna por vulnerabilidades
canales de gestión
comunicación información daños en los y deben ser
apropiados, tan
sobre eventos de activos reportados para
pronto como sea
seguridad y su análisis
posible
debilidades
Se debe exigir a
todos los Realizar
empleados y Pérdida de revisiones para
Reporte de contratistas que imagen por no identificar
A.16.1. debilidades de usan los servicios atención eventos o
SI
3 seguridad de la y sistemas de oportuna por vulnerabilidades
información información de la daños en los y deben ser
organización, que activos reportados para
observen y su análisis
reporten cualquier
196
debilidad de
seguridad de la
información
observada o
sospechada en los
sistemas o
servicios
Los eventos de
seguridad de la Analizar los
Evaluación de Pérdida de
información se eventos
eventos de imagen por no
deben evaluar y se encontrados por
A.16.1. seguridad de la atención
debe decidir si se SI el equipo,
4 información y oportuna por
van a clasificar determinando las
decisiones sobre daños en los
como incidentes de acciones para
ellos activos
seguridad de la evitar incidentes
información
Establecer
Se debe dar
procedimientos
respuesta a los Pérdida de
para evitar
Respuesta a incidentes de imagen por no
eventos y
A.16.1. incidentes de seguridad de la atención
SI vulnerabilidades
5 seguridad de la información de oportuna por
que se han
información acuerdo con daños en los
presentado o se
procedimientos activos
puedan
documentados
presentar
Se debe
El conocimiento
documentar y
adquirido al
dejar historial de
analizar y resolver Pérdida de
Aprendizajes todos los
incidentes de imagen por no
obtenidos de los eventos que se
A.16.1. seguridad de la atención
incidentes de SI identifiquen en
6 información se de oportuna por
seguridad de la una bitácora, con
usar para reducir la daños en los
información el fin de ayudar a
posibilidad o el activos
disminuir
impacto de
ocurrencias
incidentes futuros
futuras
197
La organización
debe definir y
aplicar
procedimientos Pérdida de
Se debe
para la imagen por no
recolectar todas
A.16.1. Recolección de identificación, atención
SI las evidencias de
7 evidencia recolección, oportuna por
los incidentes
adquisición y daños en los
presentados.
preservación de activos
información que
pueda servir como
evidencia.
198
Establecer que
La organización los planes de
debe establecer, contingencia la
documentar, protección de los
implementar y No se presta el activos de
mantener servicio de información
procesos, registro previamente
Implementación
procedimientos y académico identificados, de
A.17.1. de la continuidad
controles para SI permanentement manera que se
2 de la seguridad
asegurar el nivel e a los usuarios asegure la
de la información
de continuidad a consecuencia disponibilidad de
requerido para la de un desastre los mismo
seguridad de la natural haciendo más
información eficiente la
durante una recuperación de
situación adversa los servicios de
la institución
La organización Establecer la
debe verificar a realización de
intervalos pruebas
regulares los periódicas para
No se presta el
controles de verificar que los
servicio de
Verificación, continuidad de la planes de
registro
revisión y seguridad de la contingencia
académico
A.17.1. evaluación de la información establecidos, así
SI permanentement
3 continuidad de la establecidos e como el nivel de
e a los usuarios
seguridad de la implementados, protección de la
a consecuencia
información con el fin de información esté
de un desastre
asegurar que son disponible frente
natural
válidos y eficaces a los distintos
durante escenarios que
situaciones haya
adversas presentado.
199
La institución
debe establecer
servidores que
almacene la
información
sensible o crítica
Ausencia de
para las
Las instalaciones información
operaciones,
de procesamiento crítica
además deberán
Asegurar la de información se redundante que
Disponibilidad de contar con
disponibilidad de deben implementar garantice la
A.17. A.17.2. instalaciones de instalaciones
Redundancias instalaciones de con redundancia SI disponibilidad y
2 1 procesamiento de alternas en las
procesamiento suficiente para la continuidad de
información cuales se
de información cumplir los los procesos
almacene la
requisitos de críticos (registro
información de
disponibilidad académico y
manera
tesorería)
redundante, con
el fin de
recuperar la
información en
caso de una
emergencia
A.18 Cumplimiento
DESCRIPCIÓN Aplic
TITULO DESCRIPCION OBSERVACIONE
COD OBJETIVO DE COD CONTROLES a Riesgo Control
CONTROL DEL CONTROL S
CONTROL Si/No
Evitar el Todos los La institución
Sanciones
incumplimiento requisitos debe contar con
Identificación de legales por uso
de las estatutarios, documentación
Cumplimiento de la legislación inadecuado de la
A.18. obligaciones A.18.1. reglamentarios y alusivos a la
requisitos legales aplicable y de los SI información de
1 legales, 1 contractuales normativa
y contractuales requisitos conformidad por
estatutarias, de pertinentes y el relacionada a
contractuales lo dispuesto por
reglamentación o enfoque de la seguridad de la
el MEN
contractuales organización para información que
200
relacionadas con cumplirlos, se afecta a la
seguridad de la deben identificar y institución
información y de documentar
cualquier explícitamente, y
requisito de mantenerlos
seguridad actualizados para
cada sistema de
información y para
la organización
Se deben
implementar
implementar
procedimientos
procedimientos
apropiados para
apropiados para
asegurar el
asegurar el Sanciones
cumplimiento de
cumplimiento de legales por uso
los requisitos
los requisitos inadecuado de la
legislativos, de
Derechos de legislativos, de información de
A.18.1. reglamentación y
propiedad reglamentación y SI conformidad por
2 contractuales
intelectual contractuales lo dispuesto por
relacionados con
relacionados con la legislación de
los derechos de
los derechos de derechos de
propiedad
propiedad autor
intelectual y el
intelectual y el uso
uso de productos
de productos de
de software
software
patentados
patentados
Los registros se La institución
deben proteger Sanciones debe contar con
contra pérdida, legales por uso procedimiento
destrucción, inadecuado de la que determinen
A.18.1. Protección de falsificación, información de las condiciones
SI
3 registros acceso no conformidad por de
autorizado y lo dispuesto por almacenamiento
liberación no el MEN y la ley de información
autorizada, de de habeas data física, el periodo
acuerdo con los de tiempo por el
201
requisitos cual dicha
legislativos de información debe
reglamentación, ser almacenada
contractuales y de y los
negocio procedimientos
estándar de
desecho de
información
La institución
Se deben asegurar
debe garantizar
la privacidad y la
Sanciones que la
protección de la
legales por uso información
información de
Privacidad y inadecuado de la personal de la
datos personales,
A.18.1. protección de información de población deberá
como se exige en SI
4 información de conformidad por ser protegida de
la legislación y la
datos personales lo dispuesto por acuerdo a lo
reglamentación
el MEN y la ley indicado por la
pertinentes,
de habeas data Ley de
cuando sea
protección de
aplicable.
datos personales
Se deben usar Se debe
Sanciones
controles establecer
legales por uso
criptográficos, en controles para el
inadecuado de la
Reglamentación cumplimiento de uso de
A.18.1. información de
de controles todos los SI criptografía en
5 conformidad por
criptográficos acuerdos, cumplimiento de
lo dispuesto por
legislación y todos los
el MEN y la ley
reglamentación acuerdos y
de habeas data
pertinentes reglamentación.
202
El enfoque de la
organización para
la gestión de la
seguridad de la
información y su
El sistema de
implementación
Gestión de
(es decir, los Ausencia de
Seguridad de la
objetivos de controles
información
control, los alineados a la
deberá ser
Revisiones controles, las realidad
revisado
A.18.2. independientes políticas, los operativa de la
SI periódicamente
1 de la seguridad procesos y los seguridad de la
teniendo en
de la información procedimientos información por
cuenta los
para seguridad de falta de
cambios
Asegurar que la la información) se revisiones
organizacionales
seguridad de la deben revisar periódicas
o legislativos que
información se independientement
Revisiones de se produzcan
A.18. implemente y e a intervalos
seguridad de la
2 opere de acuerdo planificados o
información
con las políticas cuando ocurran
y procedimientos cambios
organizacionales significativos
Los directores Las políticas de
deben revisar con Seguridad de la
regularidad el Ausencia de Información
cumplimiento del controles deberán ser
procesamiento y alineados a la evaluadas
Cumplimiento con procedimientos de realidad periódicamente
A.18.2. las políticas y información dentro operativa de la en cuanto a su
SI
2 normas de de su área de seguridad de la cumplimiento en
seguridad responsabilidades, información por la institución, así
con las políticas y falta de como ajustados
normas de revisiones de acuerdo a los
seguridad periódicas cambios que se
apropiadas, y puedan hacer
cualquier otro producido en el
203
requisito de marco legal u
seguridad organizacional
Los sistemas de
información
utilizados deben
Ausencia de
ser evaluados
Los sistemas de controles
periódicamente
información se seguridad de la
en cuanto al
deben revisar información
cumplimiento de
periódicamente alineados a la
Revisión del los aspectos
A.18.2. para determinar el realidad
cumplimiento SI técnicos
3 cumplimiento con operativa de la
técnico relacionados con
las políticas y seguridad de la
las políticas de
normas de información por
seguridad de
seguridad de la falta de
modo que se
información revisiones
puedan detectar
periódicas
fallas o
vulnerabilidades
nuevas.
204
CONCLUSIONES
205
RECOMENDACIONES
1. Implementar un SGSI
206
REFERENCIAS BIBLIOGRAFICAS
207
Koenig, S. (7 de Marzo de 2016). Movimiento de los Pueblos para la Educación
en Derechos Humanos. Obtenido de Movimiento de los Pueblos para la
Educación en Derechos Humanos:
http://www.pdhre.org/rights/education-sp.html
Ley 115. (1994). Por la cual se expide la ley general de educación. Bogotá.
Ley 1581. (2012). Por lo cual se dictan disposiciones generales para la
Protección de Datos Personales. Bogotá.
Ley 489. (1998). por la cual se dictan normas sobre la organización y
funcionamiento de las entidades del orden nacional, se expiden las
disposiciones, principios y reglas generales para el ejercicio de las
atribuciones previstas en los numerales 15 y 16 del artículo 189. Bogotá.
Ley 715. (2001). Por la cual se dictan normas orgánicas en materia de recursos
y competencias de conformidad con los artículos. Bogotá.
M. Talabis, M. R., & L. Martín, J. (2013). Herramientas para la Evaluación de
Riesgos. United States of America: ELSEVIER.
MInisterio de la Presidencia. (2010). Legislación consolidad. España.
NTC ISO/IEC 27001. (2013). Tecnología de la información. Técnicas de
Seguridad. Sistemas de Gestión de la Seguridad de la Información.
Requisitos. Bogotá.
OSI ISO-7498-2. (1989). Modelo Arquitectura de Seguridad.
Torres Bermúdez, A. A. (2010). Introducción a la Seguridad Informática.
208
GLOSARIO
Activo
En relación con la seguridad de la información, se refiere a cualquier información
o elemento relacionado con el tratamiento de la misma (sistema, soportes,
edificios, personas…) que tenga valor para la organización. (ISO/IEC 27000,
Tomado de Modelo de Seguridad y Privacidad de la Información).
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daños a un
sistema o a la organización (ISO/IEC 27000, Tomado de Modelo de Seguridad y
Privacidad de la Información)
Análisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo
(ISO/IEC 27000, Tomado de Modelo de Seguridad y Privacidad de la
Información)
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de auditoria (ISO/IEC 27000, Tomado de Modelo de Seguridad y
Privacidad de la Información)
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos
los ciudadanos, ante amenazas o incidentes de naturaleza cibernética.
(CONPES 3701, Tomado de Modelo de Seguridad y Privacidad de la
Información)
Ciberespacio
Ámbito o espacio hipotético o imaginario de quienes se encuentran inmersos en
la civilización electrónica, la informática y la cibernética. (CONPES 3701,
Tomado de Modelo de Seguridad y Privacidad de la Información)
Control
Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo
del nivel de riesgo asumido. Control es también utilizado como sinónimo de
salvaguarda o contramedida. En una definición más simple, es una medida que
modifica el riesgo. (Tomado de Modelo de Seguridad y Privacidad de la
Información)
Declaración de aplicabilidad
Documento que enumera los controles aplicados por el Sistema de Gestión de
Seguridad de la Información - SGSI, de la organización tras el resultado de los
procesos de evaluación y tratamiento de riesgos y su justificación, asi como la
209
justificación de las exclusiones de controles del anexo A de ISO 27001. (ISO/IEC
27000, Tomado de Modelo de Seguridad y Privacidad de la Información)
Riesgo
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño en un activo de información. Suele considerarse
como una combinación de la probabilidad de un evento y sus consecuencias.
(ISO/IEC 27000, Tomado de Modelo de Seguridad y Privacidad de la
Información)
Seguridad de la información
Preservación de la confidencialidad, integridad, y disponibilidad de la
información. (ISO/IEC 27000, Tomado de Modelo de Seguridad y Privacidad de
la Información)
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o más
amenazas. (ISO/IEC 27000, Tomado de Modelo de Seguridad y Privacidad de la
Información)
210