SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

TRABAJO FINAL

ESTUDIANTES:

JUAN SEBASTIAN ACOSTA CARDENAS

JUAN SEBASTIAN SANCHEZ PEREZ

MIGUEL DAVID VARÓN ORTIZ

PROFESOR:

MIGUEL VALENCIA IDROBO

GESTION PUBLICA

UNIVERSIDAD COOPERATIVA DE COLOMBIA

2021
TABLA DE CONTENIDO

1. INTRODUCCIÓN..................................................................................................................3

2. JUSTIFICACIÓN.................................................................................................................. 4

3. PLANTEAMIENTO DEL PROBLEMA...................................................................................5

4. OBJETIVOS......................................................................................................................... 6

5. ESTADO DEL ARTE............................................................................................................7

6. ANALISIS............................................................................................................................. 9

7. CONCLUSIONES............................................................................................................... 11

8. RECOMENDACIONES.......................................................................................................12

9. BIBLIOGRAFIA................................................................................................................... 13
 1. INTRODUCCIÓN

La presente investigación involucra el diseño de estrategias de seguridad para la

Superintendencia de Industria y Comercio (SIC), las cuales pueden definirse como la

interacción entre usuarios y gerentes, quienes establecen canales formales de acción con

importantes recursos y personal de la organización.

La principal característica de la estrategia de seguridad es asegurar el normal

funcionamiento de los usuarios internos y externos de la Superintendencia de Industria y

Comercio (SIC), para promover sus procesos, y mejorar sus módulos a nivel de seguridad

porque contienen información de gran influencia.

Para analizar este problema, es necesario realizar un diagnóstico para identificar las

deficiencias del sistema de seguridad. Por tanto, estas deficiencias surgen por la falta de

protocolos de seguridad, lo que hace que los sistemas de información sean más susceptibles a

la fuga de información.
 2. JUSTIFICACIÓN

Actualmente, la Superintendencia de Industria y Comercio (SIC) tiene importantes

vulnerabilidades de seguridad de la información en diferentes áreas de la entidad, por lo que es

necesario revisar diversas vulnerabilidades en la protección de datos y los lineamientos de

seguridad de la información de la entidad.

Por las razones anteriores, es necesario diseñar un modelo de política de seguridad

informática para resolver diversos eventos en la Superintendencia de Industria y Comercio

(SIC), y desarrollar mecanismos que ayuden a reducir el impacto de la seguridad de la

información, pues estos son fundamentales para el desarrollo de las actividades de la

Superintendencia de Industria y Comercio (SIC).

Con el fin de efectuar con el modelo de políticas, se pide contar con un profesional

ingeniero de sistemas, que apoye proyectos de solución informática y despliegue servicios de

monitoreo y un plan de auditorías en proyectos de seguridad informática. Por lo tanto el

desarrollo de la actual investigación completa los diferentes procesos que adelanta la

Superintendencia de Industria y Comercio (SIC), en la ejecución de la norma ISO 27001, por lo

que se requiere un control y seguimiento especial en dicho proceso, que debe ser de forma

permanente.
 3. PLANTEAMIENTO DEL PROBLEMA

3.1 FORMULACION DEL PROBLEMA

¿Cómo diseñar un modelo de políticas de seguridad para proteger la información en la

Superintendencia de Industria y Comercio?

3.2 DESCRIPCIÓN DEL PROBLEMA

A nivel mundial, las mayores incidencias en seguridad informática se manifiestan por

diferentes factores que aumentan el riesgo de pérdida de información. Según la investigación

realizada por el Dr. Andrés Ricardo Almanza, se encontraron cuatro incidentes mayores. El

primer incidente estuvo relacionado con la instalación de software no autorizado (55,56%), el

segundo incidente se relacionó con virus / troyanos (46,3%) y el tercero estaba relacionado con

la instalación Relacionado con software no autorizado. Se produjo un acceso a la red no

autorizado. Por tanto, la fuga de información continúa con la proporción determinada (19,14%),

lo que muestra el panorama actual de peligros existentes. A nivel nacional, continúa la

tendencia de accidentes en Colombia (SIC, 2015).

A nivel regional, el Sistema de Gestión de Seguridad de la Información (SGSI) ha

identificado algunos problemas. Por ejemplo, en el caso de la Dirección de Supervisión de

Industria y Comercio (SIC), las primeras fallas encontradas estaban relacionadas con la

infraestructura debido a que las instalaciones eran antiguas y bien equipado. Puede derivar en

desastres, la segunda falla está relacionada con ingresos o centros informáticos no

autorizados, y la tercera falla se refiere a la falta de actualizaciones de software en todas las

computadoras de la entidad. La falta de políticas de seguridad y la insuficiente gestión de

usuarios en las entidades públicas fortalecerán el proceso de desarrollo empresarial de

Colombia, que puede tener un impacto en los sectores empresariales del país.
 4. OBJETIVOS

4.1 OBJETIVO GENERAL

Diseñar un modelo de política de seguridad de la información para proteger los datos en la

Oficina de Industria y Comercio (SIC).

4.2 OBJETIVOS ESPECÍFICOS

 Realizar análisis y diagnóstico de riesgos para delinear vulnerabilidades en diferentes

áreas de la Superintendencia de Industria y Comercio (SIC).

 Analizar los resultados obtenidos para determinar los factores y áreas vulnerables.

 Construir una matriz de vulnerabilidad para diseñar el modelo político de la

Superintendencia de Industria y Comercio (SIC).

 5. ESTADO DEL ARTE

La política de seguridad analiza las diferentes líneas de una organización, formando

parte de la política general, por ende, debe estar estrechamente relacionada a la alta

dirección de la compañía. Es por esto que debe ser preciso involucrar un sistema de

información, ya que la política de seguridad información debe estar estructurada en cinco

puntos importantes que permita identificar, relacionar, proporcionar, detectar y definir todas

aquellas falencias de seguridad informática; el análisis y gestión de riesgos se enfoca en la

identificación de factores que tiene la organización, y establecer medidas que permitan

reducir perdidas de la información. La inseguridad en sistemas informáticos se debe a un

gran número de amenazas que circulan en el internet. Por esta razón los niveles de

seguridad para la una para una organización como la superintendencia de industria y

comercio deben ser de un alto estándar, ya que podrían tener fugas de información

sensible, se deben implementar tipos de software que impidan el acceso no autorizado para

terceras personas que no pertenecen a la organización.

Es por todo esto que se necesita un sistema de gestión de seguridad con medidas

técnicas de procedimiento, lógicas, de personas y de gestión. Por consiguiente, el SGSI

(Sistema de gestión de la seguridad de la información) está basado en los riesgos de

negocio e implementa, monitorea, revisa y mantiene la seguridad de la información.

En la actualidad existen términos que es necesario entender y conocer para estar

alertas a los diferentes riesgos a los cuales pueden estar sometidos los empleados y la

información alojada en la superintendencia.

 ADWARE: El principal síntoma de infección de adware es la aparición de ventanas

emergentes en nuestra computadora.

SPYWARE: Es un programa cuyo objetivo es conocer los hábitos informáticos del

usuario de la computadora.

MALWARE: Es un tipo de software que tiene como objetivo infiltrarse o dañar una

computadora o sistema de información sin el consentimiento de su propietario.

ISO: Es una organización internacional la cual se encarga en contribuir a que el

desarrollo, la producción y el suministro de bienes y servicios sean más eficaces, seguros y

transparentes. Gracias a estas normas, los intercambios comerciales entre países son más

fáciles y justos. Proporcionan a los gobiernos un fundamento técnico para la legislación en

materia de salud, seguridad y medio ambiente. También contribuyen a la transferencia de

tecnología a los países en vías de desarrollo

 6. ANALISIS

Por todo lo anteriormente mencionado creemos necesario que se creen y se

cumplan ciertas funciones y políticas de seguridad con el fin de preservar y guardar de

manera eficiente los datos que custodia dentro de sus sistemas.

 Respaldo de la información

La información y datos que se guardan dentro de los servidores debe tener un

respaldo en caso de que se llegue a presentar una perdida, robo o falla técnica que

ponga en peligro la información sensible para la nación. Cabe tener en cuenta que no

toda la información debe ser guardada en estos respaldados si no que se debe aclarar

la información que es más importante y de vital importancia cuidar.

 Uso de dispositivos de almacenamiento externos

Se debe crear una política estricta en el uso de los dispositivos que puedan guardar

y/o almacenar información de la superintendencia y puedan colocar en riesgo la

confidencialidad y deberían ser entregados y permitidos solo para el personal que lo

requiera y que sea necesario para la realización de sus actividades laborales

 Diseñar e implementar procedimientos de protección contra el malware

Es necesario socializar con todos los implicados de la superintendencia los peligros

que se corren con los malware para que conozcan y eviten descargar, instalar algún tipo

de programa o archivo de origen desconocido para evitar cualquier tipo de fuga de

información, adicional se hace necesario que sea de todos los conocimientos de cómo
se debe actuar frente a la detección de algún malware en los sistemas de información, y

por último se recomienda que todas los puestos de trabajo cuenten con seguridad

informática contra el malware.

Para finalizar con este apartado se harán unas recomendaciones secundarias para

la seguridad de la información de la superintendencia

 Buen uso del servicio de navegación a internet

 Ningún usuario deberá desinstalar, desactivar y/o manipular ninguna pieza de

software que no haya sido instalada por soporte técnico

 Comunicación de incidentes y/o anomalías en seguridad de la información.

 Contactos y asesoramiento de atención y respuesta a incidentes en seguridad

de la información
 7. CONCLUSIONES

 Durante el desarrollo de trabajo investigativo se evidencia que la falta de

procedimientos y conocimientos en cuanto a los problemas de seguridad

informáticos que puedan tener las empresas u organizaciones, pueden tener

consecuencias.

 Se debe tener lineamientos claros para toda la seguridad y no quedar expuestos a

perdida de información

 Las creaciones de políticas de seguridad permiten el mejoramiento en los diferentes

elementos que la componen

 8. RECOMENDACIONES

Se recomendaciones adicionales se sugiere lo siguiente:

 En el largo plazo, la entidad considera desarrollar un plan de migración de datos para

una base de datos más potente, ya que la base de datos actualmente en uso puede

servir de respaldo a la industria para obtener beneficios en su producción.

 Puede considerar tener un departamento de desarrollo y conocimiento donde la

empresa pueda utilizar aún más las ideas de sus empleados para que puedan

convertirse en líderes en la calidad de sus productos.

 En el largo plazo, en el campo de la gestión de personal, al implementar las

recomendaciones dadas anteriormente, se puede formular el mejor plan de retención de

talento para hacerlo competitivo para los puestos profesionales y comenzar a atraer a

los talentos más calificados. entidad Más competitiva e innovadora en términos de

procesos, productos y seguridad

 9. BIBLIOGRAFIA

 Aguilera, P. (2010). SEGURIDAD INFORMATICA. Madrid España: EDITEX S.A.

 Bertolin, J. A. (2008). Seguridad de la Informacion ,Redes Informatica y sistemas de

informacion. Madrid(España): Paraninfo.

 Cerra, M. (2010). 200:Respuestas_Seguridad. Lomas de Zamora : Fox Andina Gradi

S.A.

 Diaz, G., Mur, F., San Cristobal, E., Castro, A.-M., & Peire, J. (2012). Seguridad en las

Comunicaciones y en la Infiormacion. Madrid(España): Uned.

 Heredero, C. D., Lopez, J. J., Agius, H., Romero Romero, S. M., Medina Salgado, S.,

Navarro Montero, A., & Sanchez Najera, J. J. (2006). Direccion y Gestión de los

Sistemas de Informacion en la empresa. Pozuelo de Alarcon (Madrin): ESIC seguna

edicion.

 Royer, J.-M. (2004). Seguridad en la Informatica de empresa. Cornella de

Llobregat(Barcelona): Eni.

 Estrada, A. C. (2011). Seguridad por Niveles. Madrid(España): Darfe.

 Yost, J. R. (2007). A history of computer security standards. Elsiever, 595- 621

 Academic, 2. (2015). http://advisera.com/27001academy/es/que-es-iso-27001/.

Obtenido de http://advisera.com/27001academy/es/que-es-iso-27001/

 Colombia.com. (1999). Obtenido de: http://www.colombia.com/tecnologia/derechos-de-

autor-propiedad-intelectual/nacional/ley-lleras.aspx:

http://www.colombia.com/tecnologia/derechos-de-autor-propiedad-

intelectual/nacional/ley-lleras.aspx
 Docsetools. (2015). docsetools. Obtenido de: http://docsetools.com/articulos-

enciclopedicos/article_80922.html#

 MINITIC. (s.f.). MINITIC. Obtenido de MINITIC: www.mintic.gov.co/portal/604/articles-

3705_documento.pdf

 SIC. (2015). http://www.sic.gov.co/drupal/mision-y-vision.